OK FR CCNP - Securite - VPN

VPN
(Virtual Private Networks)
1
Sommaire
• Présentation des VPN
• Scénarios VPN
• Choix de technologies VPN
• VPN termes clés
• IPSec
• Présentation du système de cryptage de l'IOS Cisco
• Cryptage
• Technologies IPSec
• Taches de configuration IPSec
2
Présentation des VPN
Un VPN transporte du trafic privé sur un réseau public en utilisant du cryptage et des
tunnels pour obtenir:
• La confidentialité des données
• L'intégrité des données
• L'authentification des utilisateurs
• Un réseau privé virtuel (VPN) est défini comme une connectivité réseau déployée sur
une infrastructure partagée avec les mêmes politiques de sécurité que sur un réseau privé.
• Un VPN peut être entre deux systèmes d'extrémité ou entre deux ou plusieurs réseaux.
• Un VPN est construit en utilisant des tunnels et du cryptage. Un VPN peut être construit
au niveau de n'importe quelle couche du modèle OSI.
• Un VPN est une infrastructure WAN alternative aux réseaux privés qui utilisent des lignes
louées ou des réseaux d'entreprise utilisant Fame Relay ou ATM.
3
Un VPN transporte du trafic privé sur un réseau public en utilisant du cryptage et des
tunnels pour obtenir:
• La confidentialité des données
• Intégrité des données
• L'authentification des utilisateurs
• Les VPNs fournissent trois fonctions essentielles:
- Confidentialité (cryptage) - L'émetteur peut crypter les paquets avant de les transmettre
dans le réseau.
- Par ce moyen, si la communication est interceptée les données ne pourront pas être lues.
- Intégrité des données - Le récepteur peut vérifier si les données n'ont pas été altérées lors
de leur passage dans le réseau.
- Authentification - Le récepteur peut authentifier la source du paquet, garantissant et

certifiant la source de l'information.
4
Conventionnel VPN
Site Central Site Central
Frame
Relay Frame
Internet Relay
Internet
Réseau
Réseau
Frame Relay
Tunnel Frame Relay
VPN
Frame Frame
Relay Site distant Relay
Site distant
• Coût élevé • Faible coût

• Peu flexible • Plus flexible
• Gestion WAN • Gestion simplifiée
• Topologies complexes • Topologie tunnel
• Les principaux avantages sont:
- Les VPNs amènent des coûts plus faibles que les réseaux privés.
- Les coûts de la connectivité LAN-LAN sont réduits de 20 à 40 pourcent par rapport

à une ligne louée. .
- Les VPNs offrent plus de flexibilité et d'évolutivité que des architectures WAN classiques
5
Conventionnel VPN
Site Central Site Central
Frame
Relay Frame
Internet Relay
Internet
Réseau
Réseau
Frame Relay
Tunnel Frame Relay
VPN
Frame Frame
Relay Site distant Relay
Site distant
• Coût élevé • Faible coût

• Peu flexible • Plus flexible
• Gestion WAN • Gestion simplifiée
• Topologies complexes • Topologie tunnel
• Les principaux avantages sont:
- Les VPNs simplifient les tâches de gestion comparé à la l'exploitation de sa propre

infrastructure de réseau.
- Les VPNs fournissent des topologies de réseaux avec tunnels qui réduisent les taches
de gestion.
- Un backbone IP n'utilise pas les circuits virtuels permanents (PVCs) avec des protocoles
orientés connexion tels ATM et Frame Relay.
6
Réseau Virtuel Tunneling
Réseau Privé Cryptage
Cryptage Message Décryptage

Crypté
• Un réseau virtuel est crée en utilisant la capacité de faire transporter un protocole

par un autre (Tunnel) sur une connexion IP standard.
• GRE (Generic Routing Encapsulation) et L2TP (Layer 2 Tunneling Protocol) sont deux
méthodes de "tunneling" et sont toutes les deux configurables sur les routeurs Cisco.
• La troisième méthode, IPSec est également configurable sur les routeurs Cisco.
• Un réseau privé assure la Confidentialité, l'Intégrité et l'Authentification.
• Le cryptage des données et le protocole IPSec permettent aux données de traverser

Internet avec la même sécurité que sur un réseau privé.
7
• Tunneling et Cryptage
Tunnel
Message
Infos Infos
Crypté
Cryptage Décryptage
• Un tunnel est une connexion point à point virtuelle

• Un tunnel transporte un protocole à l'intérieur d'un autre
• Le cryptage transforme les informations en texte chiffré
• Le décryptage restore les informations à partir du texte chiffré
• Bien que Internet ait offert de nouvelles opportunités aux entreprises, il a aussi crée une
grande dépendance des réseaux et un besoin de protection contre une grande variété de
menaces sur la sécurité.
• La fonction principale d'un VPN est d'offrir cette protection avec du cryptage au travers
d'un tunnel.
8
Tunnel
Message
Infos Infos
Crypté
• Les tunnels fournissent des connexions logiques point à point au travers d'un réseau IP en
mode non-connecté.
• Ceci permet d'utiliser des fonctionnalités de sécurité améliorées.
• Les Tunnels des solutions VPN emploient le cryptage pour protéger les données pour qu'elles
ne soient pas lisibles par des entités non-autorisées et l'encapsulation multiprotocole si cela
est nécessaire.
9
Tunnel
Message
Infos Infos
Crypté

• Le cryptage assure que le message pourra pas être lu et compris uniquement par le receveur
• Le cryptage transforme une information en un texte chiffré sans signification sous sa forme
cryptée.
• Le décryptage restore le texte chiffré en information originale destinée au receveur.
10
Scénarios VPN
Routeur à Routeur PC à Routeur/Concentrateur
Routeur à plusieurs routeurs PC à Pare-Feu
11
Scénarios VPN
Partenaire
Fournisseur
Entreprise
AAA
Opérateur DMZ
B
Opérateur
A
Agence Serveurs Web

Serveur DNS
Relais Mail SMTP
Utilisateur Mobile
ou Télétravailleur
Agence
Régionale Service
Distant
• Un réseau basé uniquement sur des connexions fixes entre des sites d'entrprises tels que
des agences locales ou régionales avec un site central n'est plus suffisant aujourd'hui pour
beaucoup d'entreprises.
• Des options de connexions avec des clients , des partenaires commerciaux dans un système
plus ouvert sont des ajouts aux connexions réseau standards.
12
Scénarios VPN
Accès Distants Clients Site Central Sites Distants Site Central
DSL DSL
Cable Cable
POP Internet Modem
POP Internet
Télétravailleur
Télétravailleur
POP
Intranet
Extranet
Business Extranet
Mobile
Intranet B to B
• Il y a deux types d'accès VPN:
- Initié par le client - Des utilisateurs distants utilisent des clients VPN pour établir un
tunnel sécurisé au travers d'un réseau d'opérateur avec une entreprise.
- Initié par le serveur d'accès Réseau - Les utilisateurs distants se connectent à un opérateur
- Le serveur d'accès distant établit un tunnel sécurisé vers le réseau privé de l'entreprise
qui doit pouvoir supporter de multiples sessions distantes initiées par un utilisateur.
13
Scénarios VPN
• VPN initié par le client
Accès Distants Clients Site Central
DSL
Cable
POP Internet
Télétravailleur
POP
Extranet
Business
Mobile
• Les VPNs site à site ont aussi deux fonctions principales:
- Les VPNs Intranet connectent des sites centraux d'entreprise, des sites distants,
des agences au travers d'une infrastructure publique.
- Les VPNs Extranets relient des clients, des fournisseurs, des partenaires commerciaux à
un intranet d'entreprise au travers d'une infrastructure publique.
14
Scénarios VPN
DSL
Cable
POP Internet
Télétravailleur
POP
Extranet
Business
Mobile
• L' accès distant est ciblé pour les utilisateurs mobiles ou les télétravailleurs.
• Les entreprises supportaient les utilisateurs distants via des réseaux d'accès par appel.
- Ce scénario nécessitait un appel payant ou un numéro vert pour accéder à l'entreprise.
• Avec l'arrivée des VPNs, les utilisateurs mobiles peuvent se connecter à leur opérateur pour
accéder à l'entreprise via Internet quelque soit l'endroit ou ceux-ci se trouvent.
• Les accès distants VPN peuvent satisfaire les besoins des utilisateurs mobiles, des clients
Extranet, des télétravailleurs, etc....
15
Scénarios VPN
DSL
Cable
POP Internet
Télétravailleur
POP
Extranet
Business
Mobile
• Les VPNs Accès distant sont une extension des réseaux d'accès distants par appel.
• Les VPNs Accès distant peuvent se terminer sur des équipements frontaux tels que
les routeurs Cisco, les pare-feu PIX ou les concentrateurs VPN.
• Les clients accès distant peuvent être des routeurs Cisco et des clients VPN Cisco.
16
Scénarios VPN
• VPN initié par le serveur d'accès
Site Central
Sites Distants
DSL
Cable
Modem
POP Internet
Télétravailleur
Intranet
Extranet
B to B
Intranet
• Un VPN site à site peut être utilisé pour connecter des sites d'entreprise. Des lignes louées
ou une connexion Frame Relay étaient nécessaires mais aujourd'hui toutes les entreprises
ont un accès Internet.
• Un VPN peut supporter des intranets de l'entrprise et des extranets des partenaires
commerciaux
• Les VPNs site à site peuvent être construits avec des routeurs Cisco, des pare-feu PIX et des
concentrateurs VPN.
17
Choix de technologies VPN
• Cryptage dans plusieurs couches
SSH Couche Application

S/MIME
Application
Couches (5-7)
SSL Couche Transport

Couche Réseau
Réseau/ IPSec
Transport
Couches (3-4)
Physique/
Liaison
Couches (1-2)
Cryptage
Cryptage
Couche
Couche
Liaison
Liaison
• Différentes méthodes pour la protection de VPN sont implémentées sur différentes

couches.
• Fournir de la protection et des services de cryptographie au niveau de la couche

application était très utilisé dans le passé et l'est toujours pour des cas très précis.
18

S/MIME
Application
Couches (5-7)

Couche Réseau
Réseau/ IPSec
Transport
Couches (3-4)
Physique/
Liaison
Couches (1-2)
Cryptage
Cryptage
Couche
Couche
Liaison
Liaison
• L'IETF a un protocole basé sur des standards appelé S/MIME ( Secure/Multipurpose
Internet Mail Extensions) pour des applications VPNs générées par différents composants
d'un système de communication.
- Agents de transfert de message, passerelles,...
• Cependant, la sécurité au niveau de la couche application est spécifique à l'application

et les méthodes de protection doivent être implémentées à chaque nouvelle application.
19

S/MIME
Application
Couches (5-7)

Couche Réseau
Réseau/ IPSec
Transport
Couches (3-4)
Physique/
Liaison
Couches (1-2)
Cryptage
Cryptage
Couche
Couche
Liaison
Liaison
• Des standards au niveau de la couche transport ont eu beaucoup de succés
• Le protocole tel SSL (Secure Socket Layer) pournit de la protection, de l'authentification

de l'intégrité aux applications basées sur TCP.
• SSL est communément utilisé par les sites de e-commerce mais manque de flexibilité,
n'est pas facile à implémenter et dépend de l'application.
20

S/MIME
Application
Couches (5-7)

Couche Réseau
Réseau/ IPSec
Transport
Couches (3-4)
Physique/
Liaison
Couches (1-2)
Cryptage
Cryptage
Couche
Couche
Liaison
Liaison
• La protection aux niveau des couches basses du modèle à été aussi utilisée dans les systèmes
de communication, spécialement par la couche liaison.
- Cette protection au niveau de la couche liaison fournissait une protection indépendante du

du protocole sur des les liaisons non-sécurisées.
- La protection au niveau de la couche liaison coûte cher car elle doit être réalisée pour
chaque liaison.
- Elle n'exclut pas l'intrusion au moyen de stations intermédiaires ou de routeurs et de plus
est très souvent propriétaire.
21
Application
Couches (5-7)
Couche Réseau
Réseau/ IPSec L2F

Transport L2TP
Couches (3-4) GRE PPTP
Physique/
Liaison
Couches (1-2)
Protocoles VPN Description Standard

L2TP Layer 2 tunneling Protocol RFC 2661
GRE Generic Routing Encapsulation RFC 1701 et 2784
IPSec Unternet Protocol Security RFC 2401
• Un ensemble de technologies de couche réseau sont disponibles pour permettre le

tunneling de protocoles au travers de réseaux pour réaliser des VPNs.
• Les trois protocoles de tunneling les lpus utilisés sont:
- L2TP ( Layer 2 Tunneling Protocol)

- GRE ( Generic Routing Encapsulation par Cisco)
- IPSec (IP Security)
22
• L2TP - Layer 2 Tunneling Protocol
Application
Couches (5-7)
Couche Réseau
Réseau/ IPSec L2F

Transport L2TP
Physique/
Liaison
Couches (1-2)
• Avant le standard L2TP (Août 1999), Cisco utilisait L2F (Layer 2 Forwarding) comme
protocole de tunneling propriétaire.
- L2TP est compatible avec L2F

- L2F n'est pas compatible avec L2TP
• L2TP est une cominaison de Cisco L2F et Microsoft PPTP
- Microsoft supporte PPTP dans les anciennes versions de Windows et PPTP/L2TP dans
Windows NT/2000.
23
• L2TP - Layer 2 Tunneling Protocol
Application
Couches (5-7)
Couche Réseau
Réseau/ IPSec L2F

Transport L2TP
Physique/
Liaison
Couches (1-2)
• L2TP est utilisé pour créer un VPDN (Virtual Private Dial Network) multiprotocole et
indépendant du média.
• L2TP permet aux utilisateurs d'invoquer des politiques de sécurité au travers de toute
liaison VPN ou VPDN comme une extension de leur propre réseau interne.
• L2TP ne fournit pas de cryptage et peut être supervisé par un analyseur de réseau.
24
• Cisco GRE (Generic Routing Encapsulation)
Application
Couches (5-7)
Couche Réseau
Réseau/ IPSec L2F

Transport L2TP
Physique/
Liaison
Couches (1-2)
• Ce protocole transpoteur multiprotocole encapsules IP, CLNP et tout autre paquet de

protocole dans des tunnels IP.
• Avec le tunneling GRE, un routeur Cisco encapsule à chaque extrémité les paquets de
protocole avec un en-tête IP créant une liaison virtuelle point à point avec l'autre
routeur Cisco à l'autre extrémité du réseu IP.
• En connectant des réseaux d'extrémité multiprotocoles avec un backbone IP, le tunneling

IP permet l'expansion du réseau au travers du backbone IP.
• GRE ne fournit pas de cryptage et peut être supervisé par un analyseur de réseau.
25
• IPSec (IP Security protocol)
Application
Couches (5-7)
Couche Réseau
Réseau/ IPSec L2F

Transport L2TP
Physique/
Liaison
Couches (1-2)
• IPSec est un bon choix pour sécuriser les VPNs d'entreprise
• IPSEc est un cadre de standards ouverts qui fournissent la confidentialité, l'intégrité et

l'authentification des données entre deux extrémités.
• IPSec fournit ces services de sécurité en utilisant IKE (Internet Key Exchange) pour gérer
la négociation de protocoles et d'algorithmes basée sur une politiqie locale et de générer
les clés d'authentification et de cryptage devant être utilisées par IPSec.
26
• Choix de la meilleure technologie
Oui
Trafic
IP seul?
Utilisateur
Non
Utilisez un Oui
Tunnel Unicast seul?
GRE Non
ou
L2TP
Utilisez un
VPN
IPSec
• Sélectionnez la meilleure technologie VPN pour fournir une connectivité réseau selon
les besoins du trafic.
• Le diagramme ci-dessus montre le processus de choix d'un tunneling de couche réseau

basé sur les diférents scénarios de VPN.
27
• Choix de la meilleure technologie
• IPSEc est le meilleur choix pour sécuriser des VPNs d'entreprise.
- Malheureusement IPSec supporte uniquement le trafic IP unicast.

- Si les paquets IP unicast doivent être encapsulés dans un tunnel, l'encapsulation
IPSec est suffisante et moins compliquée à configurer et à vérifier.
• Pour du tunneling multiprotocole ou IP multicast, utilisez GRE ou L2TP.
- Pour des réseaux qui utilisent Microsoft, L2TP peut être le meilleur choix.
- A cause de son lien avec PPP, L2TP peut être souhaitable pour des VPNs accès distant
avec support multiprotocole.
• GRE est le meilleur choix pour des VPNs site à site avec support multiprotocole.
- GRE est également utilisé pour des tunnels de paquets multicast tels les protocoles de
routage.
- GRE encapsule tout trafic, quelque soit la source ou la destination.
• Ni L2TP, ni GRE supportent le cryptage des données ou l'intégrité des paquets. Utilisez
IPSec en combinaison avec L2TP et/ou GRE pour obtenir le cryptage et l'intégrité IPSec.
28
VPN - Termes clés
• Tunnel
• Cryptage/Décryptage
• Cryptosystème
• Hashing
• Athentification
• Autorisation
• Gestion de clé
• Certificat
29
VPN - Termes clés
Tunnel
Message
Infos Infos
Crypté
• Tunnel - Connexion virtuelle point à point utilisée dans un réseau pour transporter le
trafic d'un protocole encapsulé dans un autre protocole. Par exemple du texte crypté
transporté dans un paquet IP.
30
VPN - Termes clés
Tunnel
Message
Infos Infos
Crypté
• Cryptage/Décryptage - Le cryptage est un processus qui transforme une information en un

texte chiffré qui pourra pas être lu ou utilisé par des utilisateurs non-autorisés.
Le décryptage restore le texte chiffré en information originale qui pourra être lue et utilisée
par le receveur.
31
VPN - Termes clés
Tunnel
Message
Infos Infos
Crypté
• Cryptosystème - Système qui réalise le cryptage/décryptage, l'authentification

utilisateur, le hachage, et le processus d'échange de clés. Un cryptosystème peut
utiliser une des ces différentes méthodes selon la politique choisie en fonction
des différents trafics de l'utilisateur.
32
VPN - Termes clés
Tunnel
Message
Infos Infos
Crypté
• Hachage - Technologie d'intégrité des données qui utilise un algorithme pour convertir
un message de longueur variable et une clé secrète en une seule chaîne de caractères
de longueur fixe. L'ensemble message/clé et hash traversent le réseau de la source vers
la destination. 0 la destination, le hash recalculé est comparé avec le hash reçu. Si les
deux valeurs sont identiques, le message n'a pas été corrompu.
33
VPN - Termes clés
• Authentification - Processus d'dentification d'un utilisateur ou d'un

processus tentant d'accéder à une ressource.
- L'authentification assure que l'individu ou le processus est bien celui

qu'il prétend être.
- L'authentification n'attribut pas de droits d'accès
• Autorisation - Processus qui donne accès à des ressources à des individus

ou à des processus authentifiés.
• Gestion de clés - Un clé est généralement une séquence binaire aléatoire

utilisée pour exécuter les opérations dans un cryptosystème.
- La gestion de clés est la supervision et le controle du processus par lequel

les clés sont générées, stockées, protégées, transférées, chargées, utilisées
et détruites.
34
VPN - Termes clés
• Service Autorité de Certificat - Partie tiers de confiance qui aide à la sécurisation

des communications entre entités de réseau ou utilisateurs en créant et en affectant
des certificats tels des certificats clés-publiques pour des besoin de cryptage.
- Une autorité de certificat se porte garant du lien entre les items de sécurité du
certificat. Optionnellement une autorité de certificat crée les clés de cryptage.
35
IPSEC
• Protocoles et éléments clés
• Authenticaton Header (AH)
• Encapsulation Payload (ESP)
• Internet Key Exchange (IKE)
• Internet Security Association Key Management Protocol ( ISAKMP)
• Security Association (SA)
• Authentication, Authorization and Accounting (AAA)
• Terminal Access Controller Access Control System Plus (TACACS+)
• Remote Authentication Dial-In User Service (RADIUS)
36
IPSEC
En-tête En-tête Charge utile IP

IP IPSec sécurisé Internet
ou Réseau Privé
Bits 0
e IP
ée P
8 16 31
r i i le
ris ile I
Sytème
cu U t
sé
sé e Ut
avec IPsec
sé ge
Payload
ar
Next Header RESERVED
cu
g
Length
Ch
ar
Ch
Security Parameters Index (SPI)
Se te
IP -tê
c
IP tête
En
Sequence Number
c
Se
n-
IP ête
IP te E
-t
En
-tê
Données authentifiées
En
(Variable)
En-tête En-tête
Charge utile IP Charge utile IP
IP IP
Routeur
avec IPSec
• AH (Authentication Header) - Protocole de sécurité qui fournit l'authentification, l'intégrité

des données et un service optionnel de détection d'intrusion. AH est dans la charge utile du
paquet.
37
IPSEC
En-tête
IPv4 TCP Données
IP original
(a) Paquet IP original
Authentifié
Crypté
En-tête En-tête Queue Auth
IPv4 TCP Données
IP original ESP ESP ESP
(b) Mode Transport
Authentifié
Crypté
IPv4 Nouveau En-tête En-tête Queue Auth

TCP Données
En-tête IP ESP IP original ESP ESP
(c) Mode Tunnel
• ESP (Ancapsulation Security payload) - Protocole de sécurité qui fournit la confidentialité,

l'ntégrité des données et des services de protection, deservices optionnels d'authentifiction
de l'orogine des données et de détection d'intrusion. ESP encapsule les données à protéger.
38
IPSEC
IPSec IPSec
Routeur A Routeur B
IKE IKE
Tunnel IKE
• IKE (Internet Key Exchange) - Protocole hybride qui implémente l'échange de clés Oakley
et l'échange de clés Skeme dans le cadre de ISAKMP. Oakley et Skeme définissent chacun
une méthode pour établir un échange de clés authentifié. Ceci inclut la construction de la
charge utile, les informations transportées dans la charge utile, l'ordre dans lequel les clés
sont traitées et comment elles sont utilisées.
39
IPSEC
A B
Accès Accès
client
Backbone
client
Opérateur
SADB SADB
A vers B A vers B
ESP/DES/SHA-1 ESP/DES/SHA-1
Keys K1,K2,... Keys K1,K2,...
lifetime=3600s lifetime=3600s
B vers A B vers A
keys K6,K7,... keys K6,K7,...
• ISAKMP - (Internet Association and Key Management Protocol) - Un protocol cadre qui
définit le format des charge utiles, les mécanismes d'implémentation d'un protocole
d'échan,ge de clés et la négociation d'une SA.
• SA (Security Association) - Ensemble de principes (politiques) et de clés utilisés pour protéger

l'information. La SA ISAKMP est la politique commune et les clés utilisées par les extrémités
qui négocient dans ce protocole pour protéger leur communication.
40
IPSEC
• AAA (Authentication, Authorization and Accounting) - Services de sécurite

réseau qui fournissent un cadre de base au travers duquel un controle est
activé sur les routeurs et les serveurs d'accès. Deux alternatives majeures
pour AAA sont TACACS+ et RADIUS.
• TACACS+ (Terminal Access Controller Access Control System Plus) - C'est une
application de sécurité qui fournit une validation cantralisée des utilisateurs
qui tentent d'obtenir un accès à un routeur ou à un serveur d'accès.
• RADIUS (Remote Dial-In User Service) - Un système client serveur distribué

qui sécurise les réseaux contre les accès non-autorisés.
41
Présentation du système de cryptage
Gestion de clés
Gestion Manuelle Echange de clés secètes Echange de clés publiques

Diffie-Hellman Autorité de Certificats
Cryptage Authentification Fonctions de hachage
Symétrique Asymétrique SHA MD5

Clé secrète: Clé publique:
MAC
DES, 3DES, RSA
AES HMAC Signature
(clé secrète) numérique
(clé publique)
• Il a de nombreuses technologies de cryptage disponibles pour fournir de la confidentialité
• DES (Data Encryption Standard) crypte les paquets avec une clé d'une longueur de 56 bits.
• A sa création dans les années 1970, DES paraissait inviolable.
• Aujourd'hui avec de super-ordinateurs, le cryptage DES peut être décodé en quelques jours.•
42
Gestion de clés


MAC
DES, 3DES, RSA
AES HMAC Signature
(clé publique)
• 3DES utilise une clé d'une longueur de 168 bits et exécute trois opérations DES en
séquence.
• 3DES est 256 fois plus fiable que DES. AES (Advanced Encryption Standard) spécifie des
clés de longueurs 128, 192 ou 256 bits pour crypter des blocs de 128, 192 ou 256 bits
( Les 9 combinaisons de tailles de clés et de tailles de blocs sont possibles).
• Cisco prévoit que AES sera disponible sur tous les produits Cisco qui les fonctionnalités
IPSec DES/3DES tels les routeurs avec IOS, les PIX Cisco, les concentrateurs VPN Cisco
et les clients VPN Cisco.•
43
Gestion de clés


MAC
DES, 3DES, RSA
AES HMAC Signature
(clé publique)
• Plusieurs standards ont émergé pour protéger le secret des clés et faciliter le changement
de ces clés.
• L'algorithme Diffie-Hellman implémente l'échange de clés sans échanger les clé réelles.
• C'est l'algorithme le plus connu et le plus utilsé pour établier des sessions de clés pour
crypter des données.
44
Gestion de clés


MAC
DES, 3DES, RSA
AES HMAC Signature
(clé publique)
• Plusieurs techniques fournissent l'authentification dont MD5 (Message Digest 5) et

SHA (Secure Hash Algorithm).
45
Cryptage
• Cryptage symétrique
Clé secrète
Clé secrète
partagée
partagée
Message
Infos Infos
Crypté
• Cryptage symétrique ou cryptage à clé secrète
• Utilisé pour de grands volumes de données.

• Durant l'échange, les clés peuvent changer plusieurs fois.
• Cryptage asymétrique ou cryptage à clé publique tel RSA demande beaucoup plus de
ressources CPU aussi il est utilisé uniquement pour l'échange de clés.
46
Cryptage
Clé secrète
Clé secrète
partagée
partagée
Message
Infos Infos
Crypté
• La caractéristique la plus importante d'un algorithme de cryptogaphie est sa robustesse

aux attaques de décryptage.
• La sécurité d'un crypto-système ou le degré de difficulté pour retrouver l'information

originale est fonction de plusieurs variables.
- Beaucoup de précautions sont prises pour protéger le secret de la clé.
• Dans la majorité des protocoles le secret de la clé utilisée pour crypter est la base de la
sécurité.
47
Cryptage
Clé secrète
Clé secrète
partagée
partagée
Message
Infos Infos
Crypté
• DES (Digital Encryption Standard) est un des standards de cryptage les plus utilisés.
• Les clés permettent de crypter et de décrypter.
• 3DES (Triple DES) est une alternative à DES qui préserve les investissements existants
et rend les attaques de type "force-brute" plus difficiles.
• 3DES peut utiliser une, deux ou trois clés différentes.
48
Cryptage
• Cryptage asymétrique
• La clé privée est connue uniquement par le receveur
• La clé publique est connu par le public
• La distribution de la clé publique n'est pas sécrète
Clé publique Clé privée

du receveur du receveur
Message
Infos Infos
Crypté
• Cryptage asymétrique ou à clé publique
• Le même algorithme ou des algorithmes complémentaires peuvent être utilisés pour

crypter et décrypter les données.
• Deux clés sont requises : Une clé publique et une clé privée. elles sont différentes mais
elles sont liées par une relation mathématique.
• Chaque extrémité doit avoir sa paire clé publique/clé privée ainsi des clés différentes seront
utilisées pour crypter et décrypter.
49
Cryptage
• Cryptage asymétrique
Clé publique Clé privée

du receveur du receveur
Message
Infos Infos
Crypté
• Les mécanismes utilisés pour générer les paires de clés sont complexes. Le résultat de la
génération consiste en deux très grands nombres aléatoires.
• Les deux nombres ainsi que leur produit doivent satisfaire à des critères mathématiques
stricts pour garantir l'unicité de la paire clé publique/clé privée.
• Les algorithmes de crytage à clé publique sony utilisé typiquement pour des applications
d'authentification incluant la signature numérique et la gestion de clés.
• Les algorithmes les plus connus sont les algorithmes RSA (Rivest, Shamir, Adleman) et
El Gamal.
50
Cryptage
• Echange de clés - Algorithme Diffie-Hellman
Réalise un échange authentifié de clés
Valeur privée XA Valeur privée XB

Valeur publique YA Valeur publique YB
Routeur A Routeur B
YA= gX mod p
A YB= gX mod pB
YA
YB
XA
YB mod p = k YA
XB
mod p = k
• Un des aspects les plus importants dans la création d'un VPN est l'échange declés.
• L'algorithme Diffie-Hellman fournit un moyen à deux utilisateurs, A et B, d'établir une

clé secrète partagée que eux seuls connaissent.
• Cette clé secrète peut être établie même si le canal de communication n'est pas sécurisé.
• Cette clé sera utilisée pour crypter les données avec l'algorithme choisi par a et B.
• Les nombres partagés sont "p" un nombre premier et "g" plus petit que "p" avec quelques
restrictions.
51
Cryptage

Routeur A Routeur B
YA= gX mod p
A YB= gX mod pB
YA
YB
XA
YB mod p = k YA
XB
mod p = k
• A et B génèrent chacun un grand nombre aléatoire qui est gardé secret.
• L'algorithme Diffie-Hellman est maintenant exécuté.
• A et B exécutent leurs calculs et échangent les résultats.
• Le résultat final est un nombre K
• Un utilisateur qui connaît "p" ou "g" ne peut calculer aisément la valeur secrète partagée
à cause de la factorisation des grands nombres premiers.
52
Cryptage

Routeur A Routeur B
YA= gX mod p
A YB= gX mod pB
YA
YB
XA
YB mod p = k YA
XB
mod p = k
• Il est important de noter que A et B non pas de méthode pour s'identifier l'un avec l'autre.
• Cet échange est vulnérable à une attaque par un tiers qui s'insère dans l'échange.
• L'authentification est réalisée par l'utilisation d'une signature numérique dans les messages
Diffie-Hellman échangés.
53
Cryptage
• Echange de clés - Hachage
Local Distant
Message de
longueur variable Message reçu
Clé secrète
Payer à JC Puce partagée Payer à JC Puce Clé secrète
50 € et 22 cents 50 € et 22 cents partagée
Fonction
de Hachage Fonction
de Hachage
Payer à JC Puce
50 € et 22 cents
4ehlDx67NM0p9 4ehlDx67NM0p9 4ehlDx67NM0p9
Message + Hash
• Le hachage garantit l'intégrité du message
• A l'extrémité locale, le message et un secret partagé son transmis par un algorithme de

hachage.
• Un algorithme de hachage est une formule qui convertit un message de longueur variable
en une seule chaines de caractères de longueur fixe appelée valeur "hash".
• Un algorithme de hachage est à sens unique. Un meesage peut produire une valeur "hash"
mais la valeur "hash" ne peut pas produire le message.
54
Cryptage
Local Distant
Message de
Clé secrète
Fonction
de Hachage Fonction
de Hachage
Payer à JC Puce
50 € et 22 cents
Message + Hash
• A l'extrémité distante, il y a un processus en deux étapes.
• D'abord le message reçu et le secret partagé sont transmis à l'algorithme de hachage

qui recalcule la valeur "hash".
• Ensuite le recepteur compare le "hash" calculé avec le "hash" reçu avec le message.
• Si les deux valeurs de "hash" sont égales alors l'intégrité du message est garantie.
55
Cryptage
Local Distant
Message de
Clé secrète
Fonction
de Hachage Fonction
de Hachage
Payer à JC Puce
50 € et 22 cents
Message + Hash
• Les deux algorithmes de hachage les plus communs sont :

- HMAC-MD5 - utilise une clé secrète de 128 bits.
- A la sortie l'algorithme donne une valeur "hash" de 128 bits.
- La valeur "hash" est ajouté en fin de message et le tout est transmis vers l'autre
extrémité.
- HMAC- SHA1 - Utilise une clé secrète de 160 bits

- A la sortie l'algorithme donne une valeur "hash" de 160 bits
- La valeur "hash" est ajouté en fin de message et le tout est transmis vers l'autre
extrémité.
• HMAC-SHA1 est considéré comme étant plus robuste que HMAC-MD5

56
Technologies IPSec
• Présentation IPSec
En-tête En-Queue
En-tête IP AH Données
ESP ESP
• Le RFC 2401 décrit la trame générale de l'architecture IPSec
• Comme tous les mécanismes de sécurité, le RFC 2401 aide à la mise en oeuvre
d'une politique de sécurité.
• La politique de sécurité définit les besoins de sécurité pour différentes connexions.
• Les connexions sont des sessions IP
• La trame générale de l'architecture IPSec fournit:
- Intégrité des données

- Authentification
- Confidentialité des données
- Associations de sécurité
- Gestion des clés
57
Technologies IPSec
• IPSec - Authentication Header (AH)
En-tête En-Queue
ESP ESP
• L'Authentification Header (AH) IP est utilisé pour fournir l'intégrité, l'authentification

de l'origine des données pour des paquets IP et fournit également la détection de
l'intrusion d'un tiers dans l'échange.
• Le service de détection d'intrusion d'un tiers dans l'échange est optionnel. Si celui-ci
est négocié et validé, il faut que le récepteur teste les numéros de séquence.
• AH fournit l'authentification pour l'en-tête IP et TCP mais certains champs de l'en-tête

changent au cours du transit dans le réseau.
• AH ne peut pas fournir de protection complète de l'en-tête IP
58
Technologies IPSec
• IPSec - Authentication Header (AH)
En-tête En-Queue
ESP ESP
• AH peut être appliqué seul, en combinaison avec IP ESP ou de manière imbriquer au

travers de l'utilisation du mode tunnel.
• Les services de sécurité peuvent être fournis entre une paire de hosts, une paire de
passerelles de sécurité ou entre une passerelle de sécurité et un host.
• ESP peut être utilisé pour fournir les mêmes services plus la confidentialité (cryptage).
• La différence principale entre les services d'authentification de AH et ESP est l'extension

de la couverture.
• ESP ne protège pas les champs de l'en-tête IP à moins que cet en-tête soit encapsulé par
ESP (Mode tunnel).
59
Technologies IPSec
• IPSec - Encapsulation Security Payload (ESP)
En-tête En-Queue
ESP ESP
• L'en-tête ESP est inséré après l'en-tête IP et avant l'en-tête de protocole de couche
supérieure dans le mode transport ou avant un en-tête IP encapsulé en mode tunnel.
• ESP est utilisé pour fournir les services suivants:
- Confidentialité
- Authentification de l'origine des données
- Intégrité
- Service de détection d'intrusion d'une tierce partie dans l'échange
60
Technologies IPSec
En-tête En-Queue
ESP ESP
• L'ensemble des services fournis dépend des options sélectionnées au moment de

l'établissement des associations de sécurité et l'emplacement de l'implémentation.
• La confidentialité peut être sélectionnée indépendamment des autres services.
• Cependant l'utilisation de la confidentialité sans intégrité/authentification, soit dans

ESP ou séparément dans AH peut rendre certains trafics vulnérables à des attaques actives.
61
Technologies IPSec
En-tête En-Queue
ESP ESP
• L'authentification de l'origine des données et l'intégrité sont des services joints et

sont offerts en option conjointement avec la confidentialité optionnelle.
• Le service de détection d'intrusion d'une tierce partie peut être sélectionné que si
l'authentification de l'origine des données est sélectionnée et reste entièrement
à la discrétion du receveur.
• Le service de détection d'intrusion d'une tierce partie sera effectivement actif

uniquement si le receveur teste les numéros de séquence.
• La confidentialité de trafic nécessite la sélection du mode tunnel.
• Bien que la confidentialité et l'authentification soient optionnelles au moins une des

deux doit être sélectionnée.
62
Technologies IPSec
• Mode Tunnel contre Mode Transport
PC
Mode Tunnel
Mode Transport
• En mode Transport les hosts d'extrémité réalisent l'encapsulation IPSec de leurs propres
données ( host à host) par conséquent IPSec doit être implémenté sur chacun des hosts.
- L'application des points d'extrémité doit être aussi une extrémité IPSec.
• En mode Tunnel les passerelles IPSec fournissent les services IPSec aux autres hosts dans
des tunnels point à point. Les hosts d'extrémité n'ont pas besoin d'avoir IPSec.
63
Technologies IPSec
PC
Mode Tunnel
Mode Transport
• ESP et AH peuvent être appliqués aux paquets IP de deux façons différentes:
• Le mode Transport fournit la sécurité aux couches de protocoles supérieures.
- Le mode Transport protège la charge utile du paquet mais garde l'adresse IP originale
en clair.
- L'adresse IP originale est utilisée pour router les paquets sur Internet.
- Le mode Transport ESP est utilisé entre hosts.
64
Technologies IPSec
PC
Mode Tunnel
Mode Transport
• ESP et AH peuvent être appliqués aux paquets IP de deux façons différentes:
• Le mode Tunnel fournit la sécurité pour tout le paquet IP.
- Le paquet IP original est crypté

- Le paquet crypté est encapsulé dans un autre paquet IP.
- L'adresse IP "outside" est utilisée pour router les paquets sur Internet .
65
Technologies IPSec
A B
Accès Accès
client
Backbone
client
Opérateur
SADB SADB
A vers B A vers B
B vers A B vers A
• Les SAs ou Secutity Associations sont un concept de base très important dans IPSec
• Elles représentent un contrat entre deux extrémités et décrivent comment ces deux
extrémités vont utiliser les srvices ede sécurité IPSec pour protéger le trafic.
• Les SAs contiennent tous les paramètres de sécurité nécessaires pour sécuriser le
transport des paquets entre les deux extrémités et définissent la politique de sécurité
utilisée dans IPSec.
66
Technologies IPSec
A B
Accès Accès
client
Backbone
client
Opérateur
SADB SADB
A vers B A vers B
Keys K1,K2,K3,K4 Keys K1,K2,K3,K4
B vers A B vers A
• Les routeurs ont besoin de deux SAs pour protéger le trafic entre les hosts A et B.
• L'établisseemnt des SAs est un prérequis dans IPSec pour la protection du trafic.
• Quand les SAs appropriées sont établies, IPSec se réfère à celles-ci pour obtenir tous
les paramètres nécessaires à la protection du trafic
• Une SA doit mettre en vigueur la politique de protection en ces termes: Pour le trafic
entre A et B, utilisez ESP 3DES avec les clés K1,K2 et K3 pour le cryptage de la charge
utile, SHA-1 avec la clé K4 pour l'authentification.•
67
Technologies IPSec
A B
Accès Accès
client
Backbone
client
Opérateur
SADB SADB
A vers B A vers B
B vers A B vers A
• Les SAs contiennent des spécifications unidirectionnelles.
• les SAs sont sépécifiques au protocole d'encapsulation (AH,ESP).
• Pour un flux de trafic donné, il y a une SA pour chaque protocole (AH, ESP) et pour
chaque sens du trafic.
• Les équipements VPN stockent leurs SAs dans une base de données local appelée
la SA Database (SADB).
68
Technologies IPSec
A B
Accès Accès
client
Backbone
client
Opérateur
SADB SADB
A vers B A vers B
B vers A B vers A
• Une SA contient les pramètres de sécurité suivants:
- L'algorithme Authentification/Cryptage, longueurs de clés et durées de vie des clés

utilisées pour protéger les paquets.
- Les clés de sessions pour l'authentification et le cryptage.
- L'encapsulation IPSec (AH ou ESP) en mode tunnel ou transport.
- Une spécification du trafic réseau auquel s'applique la SA.

69
Technologies IPSec
• Les cinq étapes d'IPSec
Host A Host B
Routeur A Routeur B
1. Le Host A transmet des informations vers le Host B

2. Les routeurs A et B négocient une session IKE Phase 1
IKE SA IKE Phase 1 IKE SA
3. Les routeurs négocient une session IKE Phase 2
4. Les information sont échangées via le Tunnel IPSec
5. Le tunnel IPSec est libéré.
• Le but d'IPSec est de protéger des données avec les moyens de sécurité appropriés
• Le processus IPSec peut être découpé en cinq étapes
70
Technologies IPSec
Host A Host B
Routeur A Routeur B


• Etape 1
- Des informations à transmettre initient le processus IPSec
- Le trafic est dit "interressant" quand l'équipement VPN reconnaît que les données doivent
être protégées.
• Etape 2
- IKE Phase 1 authentifie les extrémités IPSec et négocie les SAs IKE.
- Ceci crée un canal sécurisé pour négocier les SAs IPSec en Phase 2.
71
Technologies IPSec
Host A Host B

• Etape 3
- La phase 2 IKE négocie les paramètres des SAs IPSec et crée une correspondance entre
les SAs IPSec des extrémités.
- Ces paramètres de sécurité sont échangés pour protéger les messages échangés entre
les extrémités.
• Etape 4
- Le transfert de données est effectué entre les extrémités IPSec sur la base des paramètres
IPSEc et des clés stockées dans la base de données SA.
• Etape 5
- La libération du tunnel IPSec survient sur effacement au travers des SAs ou sur time out.
72
Technologies IPSec
- Comment IPSec utilise IKE
1. Un paquet est transmis du 4. Un paquet est transmis du
Routeur A vers le Routeur B. Routeur A vers le Routeur B
Pas de SA IPSec protégé par IPSec
IPSec IPSec
Routeur A Routeur B
IKE IKE
Tunnel IKE
2. IKE du Routeur A commence 3. La négociation est terminée. Le Routeur A
à négocier avec IKE du Routeur B. et le Routeur B ont un ensemble de SAs
en place.
• IKE (Internet Key Exchange) améliore IPSec en fournissant des fonctions additionnelles,
flexibilité et facilite la configuration d'IPSec.
• IKE est un protocole hybride qui implémente les échanges de clés Oakley et Skeme dans
le cadre ISAKMP (Internet Security Association and Key management)
• IKE fournit l'authentification pour les extrémités IPSec, négocie les clés IPSec et les
Associations de Sécurité IPSec
73
Technologies IPSec
IPSec IPSec
Routeur A Routeur B
IKE IKE
Tunnel IKE
en place.
• Le tunnel IKE protège les négociations de SA.
• Le Mode de configuration IKE autorise une paserelle à télécharger une adresse IP vers le
client . ceci faisant partie de la négociation IKE.
• L'adresse IP fournie par la passerelle au client IKE est utilisée comme une IP "interne"
encapsulée dans IPSec.
• Cette adresse IP connue peut être controlée par la politique (policy) IPSec.
74
Technologies IPSec
IPSec IPSec
Routeur A Routeur B
IKE IKE
Tunnel IKE
en place.
• Le Mode de configuration IKE est implémenté dans les images IOS Cisco IOSec.
• En utilisant le Mode de configuration IKE, un serveur d'accès Cisco peut être configuré pou
télécharger une adresse IP vers un client comme faisant partie de la transaction IKE.
• IKE négocie automatiquement les SAs IPSec et active les communications sécurisées par
IPSec sans une pré-configuration manuelle fastidieuse.
75
Technologies IPSec
IPSec IPSec
Routeur A Routeur B
IKE IKE
Tunnel IKE
en place.
• IKE a les avantages suivants:
- Elimine la configuration manuelle des paramètres de sécurité IPSec dans des crypto
maps à chaque extrémité.
- Permet de spécifier une durée de vie pour les SAs.
- Permet le changement de clés pendant les sessions IPSec.
- Autorise IPSec à fournir les services de détecton d'intrusion d'un tiers.
- Permet le support d'Autotrité de Certification pour une implémentation IPSec évolutive.
- Permet l'authentification dynamique des extrémités.
76
Technologies IPSec
• Les différentes technologies implémentées pour l'usage d'IKE sont:
- DES (Data Encryption Standard) utilisé pour crypter les données. IKE implémente
le standard DES-CBC 56 bits avec Explivit IV (Initialization Vector).
- 3DES. Cryptage 168 bits
- CBC (Cipher Bloc Chaining) requiert l'utilisation d'un vecteur d'initialisation (IV).
Le vecteur d'initialisation est donné dans le paquet IPSec.
- Diffie-Hellman est un protocol de cryptage à clé publique qui permet à deux parties
d'établir un secret partagé sur un canal de communication non-sécurisé. Diffie-Hellman
est utilisé dans IKE pour établir les sessions de clés. Les groupes Diffie-Hellman 768-bits
et 1024-bits sont supportés.
- MD5 (Message Digest 5), variante HMAC, est un algorithme de hachage utilisé pour
authentifier les données. HMAC est une variante qui donne un niveau supplémentaire de
hachage.
- SHA (Secure Hash Algorithm), variante HMAC, est un algorithme de hachage utilisé pour
authentifier les données. HMAC est une variante qui donne un niveau supplémentaire de
hachage.
- Signatures RSA et cryptage RSA -- RSA est un protocole de cryptage à clé publique
développé par Ron Rivest, Adi Shamir et Leonard Adleman.
Les signatures RSA fournissent la non-répudiation tandis RSA est utilisé pour le cryptage.
77
Technologies IPSec
IPSec IPSec
Routeur A Routeur B
IKE IKE
Tunnel IKE
en place.
• Le protocole IKE utilise les certificats X.509v3 quand l'authentification requiert des
clés publiques.
• Ce support de certificat permet l'évolution du réseau en fournissant l'équivalent d'une

carte d'identification numérique à chaque équipement.
• Quand deux équipements veulent communiquer, ils échangent leurs certificats pour
prouver leur identité.
• Ceci élimine le besoin d'échanger manuellement des clés publiques avec chaque
extrémité ou de spécifier manuellement une clé partagée à chaque extrémié.
78
Technologies IPSec
IOS Non access-list 1XX permit

Transmettre
Le trafic est choisi Cryptage?
sur interface
avec les listes d'accès
Oui
IPSec crypto ipsec

Un par IPSec SA Oui Cryptage du transform-set
SA IPSec? paquet et
(entre extrémités) transmission
crypto map name
Non Clés
ISAKMP/Oakley Oui Négocie les SAs crypto isakmp policy

Un par ISAKMP SA SA IKE? IPSec avec SA crypto isakmp identity
(entre extrémités) ISAKMP crypto key generate
Non crypto key public-chain
Non Négocie les SAs
Authentification ISAKMP avec
avec CA?
l'extrémité
Oui
CA Authentification crypto ca identity
Un par paire de clés Récupère la clé publique du CA crypto ca authenticate
privée/publique Récupère le certificat pour sa propre crypto ca enroll
clé publique. crypto ca crl request
• IPSec dans l'IOS Cisco traite les paquets comme le montre la figure ci-dessus
• Le processus présume que les clés privées et publiques ont déjà été créees et qu'il
existe au moins une liste de controle d'accès.
79
Technologies IPSec
• Les listes d'accès appliquées à une interface et les crypto map sont utlisées
par l'IOS Cisco pour sélectionner le trafic qui doit être protégé (crypté).
• L'IOS Cisco vérifie si les associations de sécurité IPSec (SA) ont été établies.
• Si les SAs ont déjà été établies par configuration manuelle avec les commandes
crypto ipsec transform-set et crypto map ou par IKE, le paquet est crypté sur la
base de la "policy" spécifiée dans la crypto map et transmis sur l'interface.
• Si les SAs ne sont pas établies, l'IOS Cisco vérifie si une SA ISAKMP a été
configurée et activée.
• Si la SA ISAKMP a été activée, cette SA ISAKMP dirige la négociation de la SA

IPSec avec la "polict" ISAKMp configurée par la commande crypto isakmp policy.
• Le paquet est crypté par IPSec et transmis sur l'interface.
80
Technologies IPSec
• Si la SA ISAKMP n'a pas été activée, l'IOS Cisco vérifie si l'autorité de

certification a été configurée pour établir une ISAKMP policy.
• Si l'authentification de la CA (Certification Authority) a été configurée avec

les différentes commandes crypto ca, le routeur utilise les clés publique/privée
configurées précédemment, récupère le certificat public de la CA, un certificat
pour sa propre clé publique, utilise la lé pour négocier une SA ISAKMP qui à son
tour est utilisée pou négovier une SA IPSEC. Le paquet est crypté puis transmis.
81
Taches de configuration IPSec
Tache 1 - Préparer IPSec Tache 3 - Configurer IPSec

• Déterminer la IKE policy (IKE Phase 1) • Configurer les suites "transform-set"
• Déterminer la IPSec policy (IKE Phase 2) • Configurer les paramètres globaux IPSec
• Vérifier la configuration courante • Créer les crypto ACLs
• S'assurer que le réseau fonctionne sans • Créer les crypto ACLs utilisants les listes
cryptage d'accès étendues
• S'assurer que les listes de controle d'accès • Créer les crypto maps.
sont compatibles avec IPSec. • Configurer les IPSec crypto maps
Tache 2 - Configurer IKE Tache 4 - Tester et Vérifier IPSec

• Valider ou Dévalider IKE
• Créer les IKE policies
• configurer les "pre-shared" clés
• Configurer l'identité ISAKMP
• Vérifier la configuration IKE
• L'utilisation de clés IKE "pre-shared" pour l'authentification de sessions IPSec est

relativement aisée mais n'est pas très évolutive pour un grand nombre de clients IPSec.
• Le processus de configuration de clés IKE "pe-shared" dans l'IOS Cisco consiste en quatre
taches principales.
82
• Tache 1 - Préparation IKE et IPSec
Tache 1 - Préparer IPSec

• Déterminer la IKE policy (IKE Phase 1)
• Déterminer la IPSec policy (IKE Phase 2)
• Vérifier la configuration courante
- show running-configuration
- show crypto isakmp policy
- show crypto map
• S'assurer que le réseau fonctionne sans

cryptage. (ping)
• S'assurer que les listes de controle d'accès
sont compatibles avec IPSec.
- show access-lists
Tache 2 - Configurer IKE
Tache 3 - Configurer IPSec
Tache 4 - Tester et Vérifier IPSec
• La configuration du cryptage IPSec peut être compliquée
• Créer un plan d'action avant de configurer correctement le cryptage IPSec est obligatoire la
première fois afin de minimiser les erreurs de configuration.
• Commencez par définir une politique de sécurité IPSec basée sur la politique générale de
sécurité de l'entreprise.
83
- Déterminer la "IKE Policy " (IKE Phase 1)
Déterminer les détails suivants de la IKE policy Phase 1:

• Méthode de distribution des clés
• Méthode d'authentification
• Adresses IP et noms de hosts des extrémités IPSec
• IKE policy Phase 1 pour toutes les extrémités
- Algorithme de Cryptage
- Algorithme de Hachage
- Durée de vie des SAs IKE
But: Minimiser les incohérences de configuration.
• Configurer IKE est compliqué
• Déterminer d'abord les détails de la policy IKE pour valider la méthode d'authentification
choisie et la configurer.
• Un plan d'action détaillé évite les configurations non-apprpriées.
84
- Paramètres "IKE Policy " (IKE Phase 1)
Paramètre Fiable Très fiable

Algorithme de cryptage DES 3-DES
Algorithme de hachage MD5 SHA-1
Méthode d'authentification Pre-Share Cryptage RSA
Signature RSA
Echange de clés Diffie-Hellman Groupe 1 Diffie-Hellman Groupe 2
Durée de vie SA IKE 86400 seconds Moins de 86400 secondes
• Une IKE "policy" définit une combinaison de paramètres de sécurité utilisés pendant
la négociation IKE.
• Un groupe de "policies" crée une ensemble de "policies" qui permet aux extrémités
IPSec d'établir des sessions IKE et d'établir des SAs avec une configuration minimale.
• Le tableau ci-dessus montre un exemple possible de combinaisons de paramètres IKE

pour une policy.
• Les négociations IKE dovent être protégées aussi la négociation IKE commence par
l'agrément par chaque extrémité d'une politique (policy) IKE commune
• Cette politique indique quels sont les paramètres IKE qui vont servir à protéger les
échanges IKE suivants.
85
Paramètre Valeur Mot-clé Valeur par défaut

Algorithme de DES des 768-bit Diffie-Hellman
cryptage 3-DES 3des
Algorithme de SHA-1, variante HMAC sha 86400 secondes ou
hachage MD5, variante HMAC md5 un jour
Méthode Pre-shared clés pre-share 768-bit Diffie-Hellman

d'authentification Cryptage RSA rsa-encr
Signatures RSA rsa-sig
Echange de clés 768-bit Diffie-Hellman 1 768-bit Diffie-Hellman
Identificateur de ou
groupe Diffie-Hellman 1024-bit Diffie-Hellman 2
ISAKMP - Durée de vie Toutes valeurs possibles - 86400 secondes ou
des SAs établies un jour.
• Définir les paramètres de la IKE policy
86
Paramètre Fiable Très fiable
Algorithme de cryptage DES 3-DES
Algorithme de hachage MD5 SHA-1
Méthode d'authentification Pre-Share Cryptage RSA
Signature RSA
Echange de clés Diffie-Hellman Groupe 1 Diffie-Hellman Groupe 2
Durée de vie SA IKE 86400 seconds Moins de 86400 secondes
• Paramètres de la IKE policy
- Sélectionner une valeur pour chaque paramètre ISAKMP. Il a cinq paramètres à

définir dans chaque IKE policy tel que le décrit le tableau ci-dessus.
87
- Déterminer IPSec (IKE Phase 2)
Déterminer les détails suivants de la IKE policy phase 2:

• Algorithmes et paramètres IPSec pour une sécurité et des performances
optimales.
• Transformations et si nécessaire Transform set
• Détails sur l'extrémité IPSec
• Adresse IP et applications à protéger
• SAs Manuelles ou initiées par IKE
But: Minimiser les incohérences de configuration.
• Une IPSec policy définit une combinaison de paramètres IPSec utilisés pendant la
négociation IPSec.
• La planification de IPSEc IKE phase 2 est une autre étape importante avant de
configure IPSec sur un routeur.
88
- IPSec Transforms supportés par l'IOS Cisco
Le logiciel IOS Cisco supporte les transformations IPSec suivantes:
CentralA(config)#crypto ipsec transform-set transform set-name
ah-md5 hmac AH - HMAC MD5 transform

ah-sha hmac AH - HMAC SHA transform
esp-3des ESP transform using 3DES(EDE) cipher (168 bits)
esp-des ESP transform using DES cipher (56 bits)
esp-md5 hmac ESP transform using HMAC - MD5 auth
esp-sha hmac ESP transform using HMAC - SHA auth
esp-null ESP transform w/o cipher
89
CentralA(config)#crypto ipsec transform -set transform set-name

• AH (Authentication Header)
- AH est rarement utilisé car l'authentification est maintenant disponible avec les transforms
esp-md5-hmac et esp-sha-hmac .
- AH n'est pas compatible avec NAT ou PAT
90

Transform Description
esp-des Transform ESP utilisant DES 56 bits
esp-3des Transform ESP utilisant 3DES 168 bits
esp-md5-hmac Transform ESP avec l'authentification MD5 HMAC utilisée avec une
transform esp-des ou esp-3des pour fournir l'intégrité des paquets ESP
esp-shs-hmac Transform ESP avec l'authentification SHA HMAC utilisée avec une
transform esp-des ou esp-3des pour fournir l'intégrité des paquets ESP
esp-null Transform ESP sans cryptage. Peut être utilisée en combinaison avec
esp-md5-hmac ou esp-sha-hmac si on veut l'authentification sans cryptage.
Attention: Ne jamais utiliser esp-null dans un environnement de production car les

flux de données ne seront pas protégés.
91

Type de Transform Combinaisons autorisées

Transform AH • ah-md5-hmac-AH avec MD5 (variante HMAC) algorithme d'authentification
En choisir une • ah-SHA-hmac-AH avec SHA (variante HMAC) algorithme d'authentification
Transform ESP • esp-des-ESP avec DES-56bits algorithme de cryptage
Transform • esp-3des-ESP avec DES-168bits algorithme de cryptage
• esp-null-null algorithme de cryptage
ESP Authentification • esp-md5-hmac-ESP avec MD5 (variante HMAC) algorithme d'authentification
Transform • esp-sha-hmac-ESP avec SHA (variante HMAC) algorithme d'authentification
En choisir une
Compression IP • compression comp-lzs-ip avec l'algorithme LZS.
Transform
• L'IOS Cisco empêche l'entrée de combinaisons invalides ou non-autorisées.
92
- Exemple IPSec Policy
Host A Host B
Routeur A Routeur B
Internet
10.0.1.3 10.0.2.3
E0/1 172.30.1.2 E0/1 172.30.2.2
Policy Host A Host B

Transform set ESP-DES, Tunnel ESP-DES, Tunnel
Peer hostname RouteurB RouteurA
Peer IP address 172.30.2.2 172.30.1.2
Hosts à crypter 10.0.1.3 10.0.2.3
Type de trafic à crypter TCP TCP
Etablissement des SAs ipsec-isakmp ipsec-isakmp
• La figure ci-dessus montre un exemple des details de la politique de cryptage IPSec qui
sera utilisée dans les exmples dee ce document.
93
- Identifier les extrémités IPSec
Routeur Cisco
Utilisateur distant Cisco

avec le client VPN Cisco PIX Pare-feu
Autres constructeurs
voisins IPSec
Serveur CA
Concentrateur
VPN Cisco
• Un point important pour déterminer la politique IPSec est l'identification l'extrémité IPSec
avec laquelle le routeur Cisco va communiquer.
• L'extrémité doit supporter IPSec tel qu'il est spécifié dans les RFCs supportés par l'IOS Cisco.
94
- Etape 3 : Vérifier la configuration courante
Host A Host B
Routeur A Routeur B
Internet
E0/1 172.30.1.2 E0/1 172.30.2.2
Routeur# show running-config
• Affiche la configuration courante pour voir les policies IPSec existantes
Routeur# show crypto isakmp policy
• Affiche les policies IKE phase 1 par défaut et configurées
Routeur# show crypto map

• Affiche les crypto maps configurées
Routeur# show crypto ipsec transform-set

• Affiche les "transforms set"configurés
95
• Commande : show crypto isakmp policy
RouterA#show crypto isakmp policy

Default protection suite
encryption algorithm: DES - Data Encryption Standard (56 bit keys)
hash algorithm: Secure Hash Standard
authentication method: Rivest-Shamir-Adleman Signature
Diffie-Hellman Group: #1 (768 bit)
lifetime: 86400 seconds, no volume limit
• Utilisez la commande show crypto isakmp policy pour examiner les

policies IKE
96
• Commande : show crypto map
RouterA#show crypto map

Crypto Map "mymap" 10 ipsec-isakmp
Peer = 172.30.2.2
Extended IP access list 102
access-list 102 permit ip host 172.30.1.2 host 172.30.2.2
Current peer: 172.30.2.2
Security association lifetime: 4608000 kilobytes/3600 seconds
PFS (Y/N): N
Transform sets={ mine, }
• La commande show crypto map est très utile pour examiner les crypto maps
déjà configurées.
97
• Commande : show crypto map
RouterA#show crypto ipsec transform-set mine

Transform set mine: { esp-des }
will negotiate = { Tunnel, },
• Utilisez la commande show crypto ipsec transform-set mine pour examiner les
transform sets déjà configurés.
• Utilisez les transform sets déjà configurés pour gagner une configuration
plus rapide.
98
- Etape 4 : Vérifier le fonctionnement du réseau
RouteurA#ping 172.30.1.2
Cisco Routeur B
172.30.2.2
Utilisateur distant Cisco

avec le client VPN Cisco PIX Pare-feu
Cisco Routeur B
172.30.1.2
Autres constructeurs
voisins IPSec
Serveur CA
Concentrateur
VPN Cisco
99
- Etape 5: Assurez-vous que les ACLs sont compatibles
avec IPSec
IKE
AH
Site 1 ESP Site 2
Routeur A Routeur B
Internet
E0/1 172.30.1.2 E0/1 172.30.2.2
RouterA#show access-lists
access-list 102 permit ah host 172.30.2.2 host 172.30.1.2
access-list 102 permit esp host 172.30.2.2 host 172.30.1.2
access-list 102 permit udp host 172.30.2.2 host 172.30.1.2 eq isakmp
• Assurez-vous que les protocoles 50, 51 et UDP port 500 ne sont pas bloqués sur
les interfaces utilisées par IPSec.
100
• Tache 2 - Configurer IKE

• Etape 1 - Valider ou dévalider IKE
- crypto isakmp enable
• Etape 2 - Créer les IKE policies
- crypto isakmp policy
• Etape 3 - Configurer ISAKMP
- crypto isakmp identity
• Etape 4 - Configurer les Pre-shared clés
- crypto isakmp key
• Etape 5 - Vérifier la configuration IKE
- show crypto isakmp policy
101
- Etape 1: Valider IKE
Host A Host B
Routeur A Routeur B
Internet
10.0.1.3 10.0.2.3
172.30.1.2 172.30.2.2
RouteurA(config)# [no] crypto isakmp enable
RouteurA(config)#crypto isakmp enable
• Cette commande valide ou dévalide globalement IKE sur un routeur

• IKE est validé par défaut
• IKE est validé globalement pour toutes les interfaces du routeur
• Une liste ce controle d'accès peut être utilisée pour bloquer IKE sur une interface
particulière.
102
- Etape 2: Créer les "IKE Policies"
Host A Host B
Routeur A Routeur B
Internet
10.0.1.3 10.0.2.3
172.30.1.2 172.30.2.2
RouteurA(config)#crypto isakmp policy priority
• Définit une policy IKE qui est un ensemble de paramètres utilisés lors de la négociation
IKE.
• Enchaine sur le mode de commande isakmp
RouteurA(config)#crypto isakmp policy 110
• L'étape majeure suivante dans la configuration die ISAKMP est de définir une suite de
policies ISAKMP.
• Le but de cette définition est d'établir une liaison ISAKMP entre deux extrémités IPSec.
103
- Etape 2: Créer les "IKE Policies" avec la commande
crypto isakmp
Host A Host B
Routeur A Routeur B
Internet
10.0.1.3 10.0.2.3
172.30.1.2 172.30.2.2
Policy 110
DES
MD5
Pre-Share
86400
RouteurA(config)#crypto isakmp policy priority
• Définit les paramètres dans la policy 110
RouteurA(config)#crypto isakmp policy 110

RouteurA(config-isakmp)#authentication pre-share
RouteurA(config-isakmp)#encryption des
RouteurA(config-isakmp)#group1
RouteurA(config-isakmp)#hash md5
RouteurA(config-isakmp)#lifetime 86400
• La commande isakmp policy invoque le mode de configuration ISAKMP (config-isakmp)

dans lequel les paramètres ISAKMP sont configurés.
104
- Etape 2: Créer les "IKE Policies" avec la commande
crypto isakmp
Mot-clé Valeurs acceptées Valeurs par défaut Description

des DES-CBC 56 bits des Algorithme de cryptage
sha SHA-1(variante HMAC) sha Intégrité du message
md5 MD5 (variante HMAC)
rsa-sig Signatures RSA rsa-sig Méthode d'authentification
rsa-encr Cryptage RSA d'une extrémité
pre-share Lcés "pre-shared"
1 Diffie-Hellman 768 bits 1 Paramètres d'échange de
2 Diffie-Hellman 1024 bits clés.
- Toutes valeurs possibles 86400 secondes

en secondes (un jour)
• Si un de ces paramètres n'est pas spécifié pour la policy, la valeur par défaut sera utilisée
pour ce paramètre.
105
- Etape 2: "IKE Policy négotiation"
Host A Host B
Routeur A Routeur B
Internet
10.0.1.3 10.0.2.3
172.30.1.2 172.30.2.2
• crypto isakmp policy 100 • crypto isakmp policy 100

- hash md5 - hash md5
- authentication pre-share - authentication pre-share
- hash sha - hash sha
- authentication rsa-sig - authentication rsa-sig
- authentication pre-share - authentication pre-share
Les deux premières policies peuvent être négociées avec succès par la troisième
• Une correspondance est trouvée quand les deux policies des deux extrémités contiennent
les mêmes paramères pour le cryptage, l'authentification, le hachage et diffie-Hellman et
quand la policy de l'extrémité distante spécifie une durée de vie égale ou inférieure à la
policy locale.
106
- Etape 3: Configurer ISAKMP Identity
Host A Host B
Routeur A Routeur B
Internet
10.0.1.3 10.0.2.3
172.30.1.2 172.30.2.2
routeur(config)#crypto isakmp identity {address | hostname}
address Fixe l'identité ISAKMP avec l'adresse IP de l'interface qui est utilisée pour
communiquer avec l'extrémité distante durant la négociation ISAKMP.
Cette méthode est utilisée quand il y a une seule interface utilisée et que
l'adresse IP est connue.
hostname Fixe l'identité ISAKMP avec le nom de host concaténé avec le nom de domaine.
Cette méthode doit être utilisée s'il y a plusieurs interfaces utilisées pour la
négociation ISAKMP ou si l'adresse IP de l'interface n'est pas connue.
( adresse affectée dynamiquement)
• Les extrémités IPSec s'authentifient mutuellement pendant la négociation ISAKMP en

utilisant les clés "pre-shared" et l'identité ISAKMP.
• L'identité ISAKMP peut être l'adresse IP de l'interface du routeur ou le nom de host.
• L'IOS Cisco utilise l'identité par adresse IP par défaut.

107
- Etape 4: Configurer les "pre-shared keys"
Host A Host B
Routeur A Routeur B
Internet
10.0.1.3 10.0.2.3
172.30.1.2
Pre-shared clé 172.30.2.2
Cisco1234
routeur(config)#crypto isakmp key keystring address peer-address
routeur(config)#crypto isakmp key keystring hostname hostname
routeur(config)#crypto isakmp key Cisco1234 address 171.30.2.2
• Configurez une clé d'authentification "pre-shared" avec la commande crypto isakmp key
en mode de configuration global.
• Cette clé doit être configurée chaque fois que des clés "pre-shared" sont spécifiées dans
policy ISAKMP.
108
- Etape 4: Configurer les "pre-shared keys"
Host A Host B
Routeur A Routeur B
Internet
10.0.1.3 10.0.2.3
172.30.1.2
Pre-shared clé 172.30.2.2
Cisco1234
RouterA(config)#crypto isakmp key cisco1234 address 172.30.2.1

RouterA(config)#crypto isakmp policy 110
RouterA(config-isakmp)#hash md5
RouterA(config-isakmp)#authentication pre-share
RouterB(config)#crypto isakmp key cisco1234 address 172.30.1.1

RouterB(config)#crypto isakmp policy 110
RouterB(config-isakmp)#hash md5
RouterB(config-isakmp)#authentication pre-share
109
- Etape 5: Vérifier la configuration IKE
Host A Host B
Routeur A Routeur B
Internet
10.0.1.3 10.0.2.3
172.30.1.2 172.30.2.2
RouterA#show crypto isakmp policy

Protection suite of priority 110
encryption algorithm: DES - Data Encryption Standard (56 bit keys).
hash algorithm: Message Digest 5
authentication method: Pre-Shared Key
Diffie-Hellman group: #1 (768 bit)
Diffie-Hellman group: #1 (768 bit)
110
• Tache 3 - Configurer IPSec

• Etape 1 - Configurer les "transform suites"
- crypto ipsec transform-set
• Etape 2 - Configurer les durées de vie globales des IPSec SAs
- crypto ipsec security-association lifetime
• Etape 3 - Créer les crypto ACLs utilisant les listes d'accès
étendues
- crypto map
• Etape 4 - Configurer les crypto maps IPSec
• Etape 5 - Appliquer les crypto maps aux interfaces
- crypto map map-name
111
Etape 1: Configurer les "transforms set"
Host A Host B
Routeur A Routeur B
Internet
10.0.1.3 10.0.2.3
172.30.1.2 172.30.2.2
Mine
esp-des
Tunnel
Routeur(config)#crypto ipsec transform-set transform-set-name transform1

[transform2 [transform2 [transform3]]
Routeur(cfg-crypto-trans)#
RouteurA(config)#crypto ipsec transform-set mine des
• Un "transform set" est une combinaison de transforms individuels IPSec qui promulgue
une politique de sécurité pour le trafic.
• Durant la négociation ISAKMP IPSec SA qui se produit dans IKE phase 2 en mode rapide,
les extrémités agréent l'utilisation d'un "transform set" pour protéger un flux de trafic
particulier.
112
Etape 1: "transform set negotiation"
Host A Host B
Routeur A Routeur B
Internet
10.0.1.3 10.0.2.3
172.30.1.2 172.30.2.2
transform-set 10 transform-set 40
esp-3des esp-3des
tunnel tunnel
esp-3des, esp-md5-hmac esp-3des, ah-sha-hmac
tunnel tunnel
esp-3des, esp-sha-hmac esp-3des, esp-sha-hmac
tunnel OK tunnel
• Les "transform sets" sont négociés durant IKE phase 2 en mode quick en utilisant des
transform sets dejà configurés.
• Plusieurs transform sets peuvent être configurés avant de spécifier un plusieurs

transform sets dans une crypto map.
• Configurez les "transforms" du plus sécurisé au moins sécurisé comme l"indique la

policy.
• Le transform set défini dans la crypto map est utilisé dans la négociation IPSec SA pour
protéger le flux spécifié dans l'ACL de la crypto map.
113
Etape 2: Configurer les durées de vies globales des SA IPSec
Host A Host B
Routeur A Routeur B
Internet
10.0.1.3 10.0.2.3
172.30.1.2 172.30.2.2
Routeur(config)#crypto ipsec security-association lifetime

{ seconds seconds|kilobytes kilobytes}
RouteurA(config)# crypto ipsec security-association lifetime 86400
• Les durées de vie des SAs IPSec sont négociées dans IKE phase2
• Les durées de vie des SAs IPSec dans les crypto map outrepassent les durées de vie
globales des SAs IPSec.
114
Etape 2: But des "Crypto ACLs"
Host A
Routeur A
Internet
10.0.1.3
172.30.1.2
Trafic
Cryptage
sortant
Non IPsec
Autorise IPSec crypté Trafic

entrant
Non IPSec
Elimine IPSec
non-crypté
• Les listes d'accès en sortie indiquent quel flux de données doit être protégé par IPSec
• Les listes d'accès en entrée filtrent et élimine le trafic qui aurait du être protégé par
IPSec.
115
Etape 3: Créer "Crypto ACLs" avec les listes d'accès
étendues
Host A Host B
Routeur A Routeur B
Internet
10.0.1.3 10.0.2.3
172.30.1.2 172.30.2.2
10.0.2.0
10.0.1.0 Cryptage
Routeur(config)#access-list access-list-number [dynamic dynamic-name

[timeou-minutes]] {deny | permit} protocol source source-wildcard
destination destination-wildcard [precedence precedence] [tos tos] [log]
RouteurA(config)#access-list 110 permit tcp 10.0.1.0 0.0.0.255

10.0.2.0 0.0.0.255
• Les crypto ACLs identifie quel trafic doit protégé (crypté)
116
Etape 3: Configurer "Crypto ACLs" avec des extrémités
symétriques
Host A Host B
Routeur A Routeur B
Internet
10.0.1.3 10.0.2.3
172.30.1.2 172.30.2.2
RouteurA(config)#access-list 101 permit tcp

10.0.1.0 0.0.0.255 10.0.2.0 0.0.0.255
RouteurB(config)#access-list 101 permit tcp

10.0.2.0 0.0.0.255 10.0.1.0 0.0.0.255
117
Etape 3: But des "Crypto maps"
Les crypto maps relient les différentes parties configurées pour IPSec dont:
• Le trafic devant être protégé par IPSec et un ensemble de SAs
• L'adresse locale à utiliser pour le trafic IPSEc
• L'adesse de destination du trafic protégé par IPSec
• Le type IPSec à appliquer à ce trafic
• La méthode d'établissement des SAs, soit manuellement soit avec RSA
• D'autres paramètres nécessaires pour définir une SA IPSec
118
Etape 3: Paramètres des "Crypto maps"
Host A Host B
Routeur A Routeur B
Internet
10.0.1.3 10.0.2.3
172.30.1.2 172.30.2.2
Trafic crypté
Interface ou
sous-interface
de routeur
Les crypto maps définissent:

• La liste d'accès à utiliser
• Les extrémités distantes du VPN
• Les transforms sets utilisés
• La méthode de gestion des clés
• La durée de vie des associations de sécurité
119
Etape 4: Configurer les "Crypto maps" IPSec
Host A Host B
Routeur A Routeur B
Internet
10.0.1.3 10.0.2.3
172.30.1.2 172.30.2.2
Routeur(config)#crypto map map-name seq-num ipsec-manual
Routeur(config)#crypto map map-name seq-num ipsec-isakmp [dynamic

dynamic-map-name]
RouteurA(config)#crypto map mymap 110 ipsec-isakmp
• Un numéro de séquence différent par extrémité

• De multiples extrémités peuvent être spécifiées dans un seule crypto map
pour redondance
• Une crypto map par interface
120
Etape 4: Exemple de ommandes crypto map
Host A Host B
Routeur B
Routeur A 172.30.2.2
Internet
10.0.1.3 10.0.2.3
172.30.1.2
172.30.3.2
Routeur C
RouteurA(config)#map mymap 110 ipsec-isakmp

RouteurA(config-crypto-map)#match address 110
RouteurA(config-crypto-map)#set peer 172.30.2.2
RouteurA(config-crypto-map)#set peer 172.30.3.2
RouteurA(config-crypto-map)#set pfs group1
RouteurA(config-crypto-map)#set transform-set mine
RouteurA(config-crypto-map)#set security association lifetime 86400
121
Etape 5: Appliquer les "Crypto maps" aux interfaces
Host A Host B
Routeur A Routeur B
Internet
10.0.1.3 10.0.2.3
172.30.1.2 172.30.2.2
mymap
Routeur(config-if)#crypto map map-name
RouteurA(config)#interface ethernet0/1
RouteurA(config-if)#crypto map mymap
122
Etape 5: Exemples de configuration IPSec
Host A Host B
Routeur A Routeur B
Internet
10.0.1.3 10.0.2.3
172.30.1.2 172.30.2.2
RouteurA#show running-config RouteurB#show running-config

crypto ipsec transform-set mine crypto ipsec transform-set mine
esp-des esp-des
! !
crypto map mymap 10 ipsec-isakmp crypto map mymap 10 ipsec-isakmp
set peer 172.30.2.2 set peer 172.30.1.2
set transform-set mine set transform-set mine
match address 110 match address 110
! !
interface Ethernet0/1 interface Ethernet0/1
ip address 172.30.1.2 255.255.255.0 ip address 172.30.2.2 255.255.255.0
no ip directed broadcast no ip directed broadcast
crypto map mymap crypto map mymap
! !
access-list 110 permit tcp 10.0.1.0 access-list 110 permit tcp 10.0.2.0
0.0.0.255 10.0.2.0 0.0.0.255 0.0.0.255 10.0.1.0 0.0.0.255
123
• Tache 4 - Tester et vérifier IPSec
Tache 1 - Préparation pour IKE et IPSec
• Affiche les policies IKE configurées
- show crypto isakmp policy ( show isakmp policy sur un PIX)
• Affiche les transform sets configurés

- show crypto ipsec transform-set
• Affiche les associations de sécurité

- show crypto isakmp sa (show isakmp sa sur un PIX)
• Affiche l'état courant des SAs IPSec

- show crypto ipsec sa
• Affiche les crypto maps configurés

- show crypto map
• Valide debug pour les évènements IPSec

- debug crypto ipsec
• Valide debug pour les évènements ISAKMP

- debug crypto isakmp
124
- Commande show crypto isakmp policy
Host A Host B
Routeur A Routeur B
Internet
10.0.1.3 10.0.2.3
172.30.1.2 172.30.2.2
RouteurA#show crypto isakmp policy

Protection suite of priority 110
hash algorithm: Message Digest 5
authentication method: pre-share
Diffie-Hellmen-group: #1 (768bit)
Lifetime: 86400 seconds, no volume limit
Diffie-Hellmen-group: #1 (768bit)
Lifetime: 86400 seconds, no volume limit
125
- Commande show crypto ipsec transform-set
Host A Host B
Routeur A Routeur B
Internet
10.0.1.3 10.0.2.3
172.30.1.2 172.30.2.2
RouteurA#show crypto ipsec transform-set

Transform set mine: { esp-des} will negotiate = {Tunnel, },
• Affiche les transforms sets courants et définis
RouteurA#show crypto isakmp sa

dest src state conn-id slot
172.30.2.2 172.30.1.2 QM_IDLE 47 5
• Affiche les associations de sécurité ISAKMP
126
- Commande show crypto ipsec sa
Host A Host B
Routeur A Routeur B
Internet
10.0.1.3 10.0.2.3
172.30.1.2 172.30.2.2
RouteurA#show crypto ipsec sa

interface: Ethernet0/1
Crypto map tag: mymap, local addr. 172.30.1.2
local ident (addr/mask/prot/port): (172.30.1.2/255.255.255.255/0/0)
remote ident (addr/mask/prot/port): (172.30.2.2/255.255.255.255/0/0)
PERMIT, flags={origin_is_acl}
#pkts encaps: 21, #pkts encrypt: 21, #pkts digest 0
#send errors 0 #rec errors 0
Local crypto endpt: 172.30.1.2, remote crypto endpt: 172.30.2.2
127
- Commande show crypto map
Host A Host B
Routeur A Routeur B
Internet
10.0.1.3 10.0.2.3
172.30.1.2 172.30.2.2
RouteurA#show crypto map

Crypto Map "mymap" 10 ipsec-isakmp
Peer - 172.30.2.2
Extended IP access list 202
Acces-list 102 permit ip host 172.30.1.2 host 172.30.2.2
Security association lifetime: 4608000 kilobytes/3600 seconds
PFS (Y/N) : N
Transform sets={ mine, }
128
- Commandes clear
Routeur# clear crypto sa

Routeur# clear crypto sa peer <IP address | peer name>
Routeur# clear crypto sa map <map name>
Routeur# clear crypto sa entry <destination address protocol spi>
• Efface les associations de sécurité IPSec dans la base de données du routeur
PIX# clear [crypto] ipsec sa

PIX# clear [crypto] ipsec sa peer <IP address | peer name>
PIX# clear [crypto] ipsec sa map <map name>
PIX# clear [crypto] ipsec sa entry <destination address protocol spi>
• Efface les associations de sécurité IPSec ou IKE sur un PIX
129
- Commandes debug crypto
Routeur#debug crypto ipsec
• Affiche les messages debug pour tous les évènements IPSec
Routeur#debug crypto isakmp
• Affiche les messages debug pour tous les évènements ISAKMP
130
- Commandes debug crypto
RouteurA#debug crypto ipsec

Crypto IPSEC debugging is on
RouteurA#debug crypto isakmp
Crypto ISAKMp debugging is on
RouteurA#
*Feb 20 08:08:06.556 PST: IPSEC(sa-request): ,
(key eng. msg.) src= 172.30.1.2, dest= 172.30.2.2,
src_proxy= 10.0.1.0/255.255.255.0/0/0 (type=4),
dest_proxy= 10.0.2.0/255.255.255.0/0/0 (type=4),
protocol= ESP, transform= esp-des esp-md5-hmac ,
lifedur= 3600s and 4608000kb,
spi= 0x0(0), conn-id= 0, keysize=0, flags=0x4004
! Le trafic interessant entre Site1 et Site2 active ISAKMP
Main Mode.
*Feb 20 08:08:06.556 PST: ISAKMP (4): beginning Main Mode exchange
131
- Messages d'erreur du système de cryptage pour ISAKMP
%CRYPTO-6-IKMP_SA_NOT_AUTH: Cannot accept Quick Mode exchange from

%151 is SA is not authenticated!
• Message d'erreur indiquant que la SA ISAKMP avec l'extrémité distante

n'a pas été authentifiée.
%CRYPTO-6-IKMP_SA_NOT_OFFERED: Remote peer %151 responded with

attribute [chars] not offered or changed
• Message d'erreur indiquant une erreur de protection des négociations entre

les extrémités ISAKMP.
132

OK FR CCNP - Securite - VPN

Transféré par

Informations du document

Titre original

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

OK FR CCNP - Securite - VPN

Transféré par

Droits d'auteur :

Formats disponibles

VPN

(Virtual Private Networks)

• Choix de technologies VPN

• VPN termes clés

• Présentation du système de cryptage de l'IOS Cisco

• Taches de configuration IPSec

• Les VPNs fournissent trois fonctions essentielles:

- Authentification - Le récepteur peut authentifier la source du paquet, garantissant et

• Coût élevé • Faible coût

• Les principaux avantages sont:

- Les coûts de la connectivité LAN-LAN sont réduits de 20 à 40 pourcent par rapport

• Coût élevé • Faible coût

• Les principaux avantages sont:

- Les VPNs simplifient les tâches de gestion comparé à la l'exploitation de sa propre

Réseau Privé Cryptage

Cryptage Message Décryptage

• Un réseau virtuel est crée en utilisant la capacité de faire transporter un protocole

• Un réseau privé assure la Confidentialité, l'Intégrité et l'Authentification.

• Le cryptage des données et le protocole IPSec permettent aux données de traverser

• Un tunnel est une connexion point à point virtuelle

• Ceci permet d'utiliser des fonctionnalités de sécurité améliorées.

• Un tunnel est une connexion point à point virtuelle

• Le décryptage restore le texte chiffré en information originale destinée au receveur.

Routeur à Routeur PC à Routeur/Concentrateur

Routeur à plusieurs routeurs PC à Pare-Feu

Agence Serveurs Web

Accès Distants Clients Site Central Sites Distants Site Central

• Il y a deux types d'accès VPN:

• Les VPNs site à site ont aussi deux fonctions principales:

Accès Distants Clients Site Central

Accès Distants Clients Site Central

SSH Couche Application

SSL Couche Transport

• Différentes méthodes pour la protection de VPN sont implémentées sur différentes

• Fournir de la protection et des services de cryptographie au niveau de la couche

SSH Couche Application

SSL Couche Transport

- Agents de transfert de message, passerelles,...

• Cependant, la sécurité au niveau de la couche application est spécifique à l'application

SSH Couche Application

SSL Couche Transport

• Des standards au niveau de la couche transport ont eu beaucoup de succés

• Le protocole tel SSL (Secure Socket Layer) pournit de la protection, de l'authentification

SSH Couche Application

SSL Couche Transport

- Cette protection au niveau de la couche liaison fournissait une protection indépendante du

Réseau/ IPSec L2F

Protocoles VPN Description Standard

• Un ensemble de technologies de couche réseau sont disponibles pour permettre le

• Les trois protocoles de tunneling les lpus utilisés sont:

- L2TP ( Layer 2 Tunneling Protocol)

Réseau/ IPSec L2F

- L2TP est compatible avec L2F

• L2TP est une cominaison de Cisco L2F et Microsoft PPTP

Réseau/ IPSec L2F

Réseau/ IPSec L2F

• Ce protocole transpoteur multiprotocole encapsules IP, CLNP et tout autre paquet de

• En connectant des réseaux d'extrémité multiprotocoles avec un backbone IP, le tunneling

Réseau/ IPSec L2F

• IPSec est un bon choix pour sécuriser les VPNs d'entreprise

• IPSEc est un cadre de standards ouverts qui fournissent la confidentialité, l'intégrité et

• Le diagramme ci-dessus montre le processus de choix d'un tunneling de couche réseau

• IPSEc est le meilleur choix pour sécuriser des VPNs d'entreprise.