Académique Documents
Professionnel Documents
Culture Documents
1
Sommaire
• Présentation des VPN
• Scénarios VPN
• IPSec
• Cryptage
• Technologies IPSec
2
Présentation des VPN
Un VPN transporte du trafic privé sur un réseau public en utilisant du cryptage et des
tunnels pour obtenir:
• La confidentialité des données
• L'intégrité des données
• L'authentification des utilisateurs
• Un réseau privé virtuel (VPN) est défini comme une connectivité réseau déployée sur
une infrastructure partagée avec les mêmes politiques de sécurité que sur un réseau privé.
• Un VPN peut être entre deux systèmes d'extrémité ou entre deux ou plusieurs réseaux.
• Un VPN est construit en utilisant des tunnels et du cryptage. Un VPN peut être construit
au niveau de n'importe quelle couche du modèle OSI.
• Un VPN est une infrastructure WAN alternative aux réseaux privés qui utilisent des lignes
louées ou des réseaux d'entreprise utilisant Fame Relay ou ATM.
3
Présentation des VPN
Un VPN transporte du trafic privé sur un réseau public en utilisant du cryptage et des
tunnels pour obtenir:
• La confidentialité des données
• Intégrité des données
• L'authentification des utilisateurs
- Confidentialité (cryptage) - L'émetteur peut crypter les paquets avant de les transmettre
dans le réseau.
- Par ce moyen, si la communication est interceptée les données ne pourront pas être lues.
- Intégrité des données - Le récepteur peut vérifier si les données n'ont pas été altérées lors
de leur passage dans le réseau.
4
Présentation des VPN
Conventionnel VPN
Site Central Site Central
Frame
Relay Frame
Internet Relay
Internet
Réseau
Réseau
Frame Relay
Tunnel Frame Relay
VPN
Frame Frame
Relay Site distant Relay
Site distant
- Les VPNs amènent des coûts plus faibles que les réseaux privés.
- Les VPNs offrent plus de flexibilité et d'évolutivité que des architectures WAN classiques
5
Présentation des VPN
Conventionnel VPN
Site Central Site Central
Frame
Relay Frame
Internet Relay
Internet
Réseau
Réseau
Frame Relay
Tunnel Frame Relay
VPN
Frame Frame
Relay Site distant Relay
Site distant
- Un backbone IP n'utilise pas les circuits virtuels permanents (PVCs) avec des protocoles
orientés connexion tels ATM et Frame Relay.
6
Présentation des VPN
Réseau Virtuel Tunneling
• GRE (Generic Routing Encapsulation) et L2TP (Layer 2 Tunneling Protocol) sont deux
méthodes de "tunneling" et sont toutes les deux configurables sur les routeurs Cisco.
• La troisième méthode, IPSec est également configurable sur les routeurs Cisco.
7
Présentation des VPN
• Tunneling et Cryptage
Tunnel
Message
Infos Infos
Crypté
Cryptage Décryptage
• Bien que Internet ait offert de nouvelles opportunités aux entreprises, il a aussi crée une
grande dépendance des réseaux et un besoin de protection contre une grande variété de
menaces sur la sécurité.
• La fonction principale d'un VPN est d'offrir cette protection avec du cryptage au travers
d'un tunnel.
8
Présentation des VPN
• Tunneling et Cryptage
Tunnel
Message
Infos Infos
Crypté
Cryptage Décryptage
• Un tunnel est une connexion point à point virtuelle
• Un tunnel transporte un protocole à l'intérieur d'un autre
• Le cryptage transforme les informations en texte chiffré
• Le décryptage restore les informations à partir du texte chiffré
• Les tunnels fournissent des connexions logiques point à point au travers d'un réseau IP en
mode non-connecté.
• Les Tunnels des solutions VPN emploient le cryptage pour protéger les données pour qu'elles
ne soient pas lisibles par des entités non-autorisées et l'encapsulation multiprotocole si cela
est nécessaire.
9
Présentation des VPN
• Tunneling et Cryptage
Tunnel
Message
Infos Infos
Crypté
Cryptage Décryptage
• Le cryptage assure que le message pourra pas être lu et compris uniquement par le receveur
• Le cryptage transforme une information en un texte chiffré sans signification sous sa forme
cryptée.
10
Scénarios VPN
11
Scénarios VPN
Partenaire
Fournisseur
Entreprise
AAA
Opérateur DMZ
B
Opérateur
A
Utilisateur Mobile
ou Télétravailleur
Agence
Régionale Service
Distant
• Un réseau basé uniquement sur des connexions fixes entre des sites d'entrprises tels que
des agences locales ou régionales avec un site central n'est plus suffisant aujourd'hui pour
beaucoup d'entreprises.
• Des options de connexions avec des clients , des partenaires commerciaux dans un système
plus ouvert sont des ajouts aux connexions réseau standards.
12
Scénarios VPN
DSL DSL
Cable Cable
POP Internet Modem
POP Internet
Télétravailleur
Télétravailleur
POP
Intranet
Extranet
Business Extranet
Mobile
Intranet B to B
- Initié par le client - Des utilisateurs distants utilisent des clients VPN pour établir un
tunnel sécurisé au travers d'un réseau d'opérateur avec une entreprise.
- Initié par le serveur d'accès Réseau - Les utilisateurs distants se connectent à un opérateur
- Le serveur d'accès distant établit un tunnel sécurisé vers le réseau privé de l'entreprise
qui doit pouvoir supporter de multiples sessions distantes initiées par un utilisateur.
13
Scénarios VPN
• VPN initié par le client
Accès Distants Clients Site Central
DSL
Cable
POP Internet
Télétravailleur
POP
Extranet
Business
Mobile
- Les VPNs Intranet connectent des sites centraux d'entreprise, des sites distants,
des agences au travers d'une infrastructure publique.
- Les VPNs Extranets relient des clients, des fournisseurs, des partenaires commerciaux à
un intranet d'entreprise au travers d'une infrastructure publique.
14
Scénarios VPN
• VPN initié par le client
DSL
Cable
POP Internet
Télétravailleur
POP
Extranet
Business
Mobile
• L' accès distant est ciblé pour les utilisateurs mobiles ou les télétravailleurs.
• Les entreprises supportaient les utilisateurs distants via des réseaux d'accès par appel.
- Ce scénario nécessitait un appel payant ou un numéro vert pour accéder à l'entreprise.
• Avec l'arrivée des VPNs, les utilisateurs mobiles peuvent se connecter à leur opérateur pour
accéder à l'entreprise via Internet quelque soit l'endroit ou ceux-ci se trouvent.
• Les accès distants VPN peuvent satisfaire les besoins des utilisateurs mobiles, des clients
Extranet, des télétravailleurs, etc....
15
Scénarios VPN
• VPN initié par le client
DSL
Cable
POP Internet
Télétravailleur
POP
Extranet
Business
Mobile
• Les VPNs Accès distant sont une extension des réseaux d'accès distants par appel.
• Les VPNs Accès distant peuvent se terminer sur des équipements frontaux tels que
les routeurs Cisco, les pare-feu PIX ou les concentrateurs VPN.
• Les clients accès distant peuvent être des routeurs Cisco et des clients VPN Cisco.
16
Scénarios VPN
• VPN initié par le serveur d'accès
Site Central
Sites Distants
DSL
Cable
Modem
POP Internet
Télétravailleur
Intranet
Extranet
B to B
Intranet
• Un VPN site à site peut être utilisé pour connecter des sites d'entreprise. Des lignes louées
ou une connexion Frame Relay étaient nécessaires mais aujourd'hui toutes les entreprises
ont un accès Internet.
• Un VPN peut supporter des intranets de l'entrprise et des extranets des partenaires
commerciaux
• Les VPNs site à site peuvent être construits avec des routeurs Cisco, des pare-feu PIX et des
concentrateurs VPN.
17
Choix de technologies VPN
• Cryptage dans plusieurs couches
Physique/
Liaison
Couches (1-2)
Cryptage
Cryptage
Couche
Couche
Liaison
Liaison
18
Choix de technologies VPN
• Cryptage dans plusieurs couches
Physique/
Liaison
Couches (1-2)
Cryptage
Cryptage
Couche
Couche
Liaison
Liaison
• L'IETF a un protocole basé sur des standards appelé S/MIME ( Secure/Multipurpose
Internet Mail Extensions) pour des applications VPNs générées par différents composants
d'un système de communication.
19
Choix de technologies VPN
• Cryptage dans plusieurs couches
Physique/
Liaison
Couches (1-2)
Cryptage
Cryptage
Couche
Couche
Liaison
Liaison
• SSL est communément utilisé par les sites de e-commerce mais manque de flexibilité,
n'est pas facile à implémenter et dépend de l'application.
20
Choix de technologies VPN
• Cryptage dans plusieurs couches
Physique/
Liaison
Couches (1-2)
Cryptage
Cryptage
Couche
Couche
Liaison
Liaison
• La protection aux niveau des couches basses du modèle à été aussi utilisée dans les systèmes
de communication, spécialement par la couche liaison.
21
Choix de technologies VPN
Application
Couches (5-7)
Couche Réseau
Physique/
Liaison
Couches (1-2)
Application
Couches (5-7)
Couche Réseau
Physique/
Liaison
Couches (1-2)
• Avant le standard L2TP (Août 1999), Cisco utilisait L2F (Layer 2 Forwarding) comme
protocole de tunneling propriétaire.
- Microsoft supporte PPTP dans les anciennes versions de Windows et PPTP/L2TP dans
Windows NT/2000.
23
Choix de technologies VPN
• L2TP - Layer 2 Tunneling Protocol
Application
Couches (5-7)
Couche Réseau
Physique/
Liaison
Couches (1-2)
• L2TP est utilisé pour créer un VPDN (Virtual Private Dial Network) multiprotocole et
indépendant du média.
• L2TP permet aux utilisateurs d'invoquer des politiques de sécurité au travers de toute
liaison VPN ou VPDN comme une extension de leur propre réseau interne.
• L2TP ne fournit pas de cryptage et peut être supervisé par un analyseur de réseau.
24
Choix de technologies VPN
• Cisco GRE (Generic Routing Encapsulation)
Application
Couches (5-7)
Couche Réseau
Physique/
Liaison
Couches (1-2)
• Avec le tunneling GRE, un routeur Cisco encapsule à chaque extrémité les paquets de
protocole avec un en-tête IP créant une liaison virtuelle point à point avec l'autre
routeur Cisco à l'autre extrémité du réseu IP.
• GRE ne fournit pas de cryptage et peut être supervisé par un analyseur de réseau.
25
Choix de technologies VPN
• IPSec (IP Security protocol)
Application
Couches (5-7)
Couche Réseau
Physique/
Liaison
Couches (1-2)
• IPSec fournit ces services de sécurité en utilisant IKE (Internet Key Exchange) pour gérer
la négociation de protocoles et d'algorithmes basée sur une politiqie locale et de générer
les clés d'authentification et de cryptage devant être utilisées par IPSec.
26
Choix de technologies VPN
• Choix de la meilleure technologie
Oui
Trafic
IP seul?
Utilisateur
Non
Utilisez un Oui
Tunnel Unicast seul?
GRE Non
ou
L2TP
Utilisez un
VPN
IPSec
• Sélectionnez la meilleure technologie VPN pour fournir une connectivité réseau selon
les besoins du trafic.
27
Choix de technologies VPN
• Choix de la meilleure technologie
- Pour des réseaux qui utilisent Microsoft, L2TP peut être le meilleur choix.
- A cause de son lien avec PPP, L2TP peut être souhaitable pour des VPNs accès distant
avec support multiprotocole.
• GRE est le meilleur choix pour des VPNs site à site avec support multiprotocole.
- GRE est également utilisé pour des tunnels de paquets multicast tels les protocoles de
routage.
- GRE encapsule tout trafic, quelque soit la source ou la destination.
• Ni L2TP, ni GRE supportent le cryptage des données ou l'intégrité des paquets. Utilisez
IPSec en combinaison avec L2TP et/ou GRE pour obtenir le cryptage et l'intégrité IPSec.
28
VPN - Termes clés
• Tunnel
• Cryptage/Décryptage
• Cryptosystème
• Hashing
• Athentification
• Autorisation
• Gestion de clé
• Certificat
29
VPN - Termes clés
Tunnel
Message
Infos Infos
Crypté
Cryptage Décryptage
• Tunnel - Connexion virtuelle point à point utilisée dans un réseau pour transporter le
trafic d'un protocole encapsulé dans un autre protocole. Par exemple du texte crypté
transporté dans un paquet IP.
30
VPN - Termes clés
Tunnel
Message
Infos Infos
Crypté
Cryptage Décryptage
Le décryptage restore le texte chiffré en information originale qui pourra être lue et utilisée
par le receveur.
31
VPN - Termes clés
Tunnel
Message
Infos Infos
Crypté
Cryptage Décryptage
32
VPN - Termes clés
Tunnel
Message
Infos Infos
Crypté
Cryptage Décryptage
• Hachage - Technologie d'intégrité des données qui utilise un algorithme pour convertir
un message de longueur variable et une clé secrète en une seule chaîne de caractères
de longueur fixe. L'ensemble message/clé et hash traversent le réseau de la source vers
la destination. 0 la destination, le hash recalculé est comparé avec le hash reçu. Si les
deux valeurs sont identiques, le message n'a pas été corrompu.
33
VPN - Termes clés
34
VPN - Termes clés
- Une autorité de certificat se porte garant du lien entre les items de sécurité du
certificat. Optionnellement une autorité de certificat crée les clés de cryptage.
35
IPSEC
• Protocoles et éléments clés
36
IPSEC
• Protocoles et éléments clés
e IP
ée P
8 16 31
r i i le
ris ile I
Sytème
cu U t
sé
sé e Ut
avec IPsec
sé ge
Payload
ar
Next Header RESERVED
cu
g
Length
Ch
ar
Ch
Security Parameters Index (SPI)
Se te
IP -tê
c
IP tête
En
Sequence Number
c
Se
n-
IP ête
IP te E
-t
En
-tê
Données authentifiées
En
(Variable)
En-tête En-tête
Charge utile IP Charge utile IP
IP IP
Routeur
avec IPSec
37
IPSEC
• Protocoles et éléments clés
En-tête
IPv4 TCP Données
IP original
(a) Paquet IP original
Authentifié
Crypté
En-tête En-tête Queue Auth
IPv4 TCP Données
IP original ESP ESP ESP
Authentifié
Crypté
38
IPSEC
• Protocoles et éléments clés
IPSec IPSec
Routeur A Routeur B
IKE IKE
Tunnel IKE
• IKE (Internet Key Exchange) - Protocole hybride qui implémente l'échange de clés Oakley
et l'échange de clés Skeme dans le cadre de ISAKMP. Oakley et Skeme définissent chacun
une méthode pour établir un échange de clés authentifié. Ceci inclut la construction de la
charge utile, les informations transportées dans la charge utile, l'ordre dans lequel les clés
sont traitées et comment elles sont utilisées.
39
IPSEC
• Protocoles et éléments clés
A B
Accès Accès
client
Backbone
client
Opérateur
SADB SADB
A vers B A vers B
ESP/DES/SHA-1 ESP/DES/SHA-1
Keys K1,K2,... Keys K1,K2,...
lifetime=3600s lifetime=3600s
B vers A B vers A
ESP/DES/SHA-1 ESP/DES/SHA-1
keys K6,K7,... keys K6,K7,...
lifetime=3600s lifetime=3600s
• ISAKMP - (Internet Association and Key Management Protocol) - Un protocol cadre qui
définit le format des charge utiles, les mécanismes d'implémentation d'un protocole
d'échan,ge de clés et la négociation d'une SA.
40
IPSEC
• Protocoles et éléments clés
• TACACS+ (Terminal Access Controller Access Control System Plus) - C'est une
application de sécurité qui fournit une validation cantralisée des utilisateurs
qui tentent d'obtenir un accès à un routeur ou à un serveur d'accès.
41
Présentation du système de cryptage
Gestion de clés
• DES (Data Encryption Standard) crypte les paquets avec une clé d'une longueur de 56 bits.
• Aujourd'hui avec de super-ordinateurs, le cryptage DES peut être décodé en quelques jours.•
42
Présentation du système de cryptage
Gestion de clés
• 3DES utilise une clé d'une longueur de 168 bits et exécute trois opérations DES en
séquence.
• 3DES est 256 fois plus fiable que DES. AES (Advanced Encryption Standard) spécifie des
clés de longueurs 128, 192 ou 256 bits pour crypter des blocs de 128, 192 ou 256 bits
( Les 9 combinaisons de tailles de clés et de tailles de blocs sont possibles).
• Cisco prévoit que AES sera disponible sur tous les produits Cisco qui les fonctionnalités
IPSec DES/3DES tels les routeurs avec IOS, les PIX Cisco, les concentrateurs VPN Cisco
et les clients VPN Cisco.•
43
Présentation du système de cryptage
Gestion de clés
• Plusieurs standards ont émergé pour protéger le secret des clés et faciliter le changement
de ces clés.
• L'algorithme Diffie-Hellman implémente l'échange de clés sans échanger les clé réelles.
• C'est l'algorithme le plus connu et le plus utilsé pour établier des sessions de clés pour
crypter des données.
44
Présentation du système de cryptage
Gestion de clés
45
Cryptage
• Cryptage symétrique
Clé secrète
Clé secrète
partagée
partagée
Message
Infos Infos
Crypté
Cryptage Décryptage
46
Cryptage
• Cryptage symétrique
Clé secrète
Clé secrète
partagée
partagée
Message
Infos Infos
Crypté
Cryptage Décryptage
• Dans la majorité des protocoles le secret de la clé utilisée pour crypter est la base de la
sécurité.
47
Cryptage
• Cryptage symétrique
Clé secrète
Clé secrète
partagée
partagée
Message
Infos Infos
Crypté
Cryptage Décryptage
• DES (Digital Encryption Standard) est un des standards de cryptage les plus utilisés.
• 3DES (Triple DES) est une alternative à DES qui préserve les investissements existants
et rend les attaques de type "force-brute" plus difficiles.
48
Cryptage
• Cryptage asymétrique
• La clé privée est connue uniquement par le receveur
• La clé publique est connu par le public
• La distribution de la clé publique n'est pas sécrète
Message
Infos Infos
Crypté
Cryptage Décryptage
• Deux clés sont requises : Une clé publique et une clé privée. elles sont différentes mais
elles sont liées par une relation mathématique.
• Chaque extrémité doit avoir sa paire clé publique/clé privée ainsi des clés différentes seront
utilisées pour crypter et décrypter.
49
Cryptage
• Cryptage asymétrique
Message
Infos Infos
Crypté
Cryptage Décryptage
• Les mécanismes utilisés pour générer les paires de clés sont complexes. Le résultat de la
génération consiste en deux très grands nombres aléatoires.
• Les deux nombres ainsi que leur produit doivent satisfaire à des critères mathématiques
stricts pour garantir l'unicité de la paire clé publique/clé privée.
• Les algorithmes de crytage à clé publique sony utilisé typiquement pour des applications
d'authentification incluant la signature numérique et la gestion de clés.
• Les algorithmes les plus connus sont les algorithmes RSA (Rivest, Shamir, Adleman) et
El Gamal.
50
Cryptage
• Echange de clés - Algorithme Diffie-Hellman
Routeur A Routeur B
YA= gX mod p
A YB= gX mod pB
YA
YB
XA
YB mod p = k YA
XB
mod p = k
• Un des aspects les plus importants dans la création d'un VPN est l'échange declés.
• Cette clé secrète peut être établie même si le canal de communication n'est pas sécurisé.
• Cette clé sera utilisée pour crypter les données avec l'algorithme choisi par a et B.
• Les nombres partagés sont "p" un nombre premier et "g" plus petit que "p" avec quelques
restrictions.
51
Cryptage
• Echange de clés - Algorithme Diffie-Hellman
Routeur A Routeur B
YA= gX mod p
A YB= gX mod pB
YA
YB
XA
YB mod p = k YA
XB
mod p = k
• Un utilisateur qui connaît "p" ou "g" ne peut calculer aisément la valeur secrète partagée
à cause de la factorisation des grands nombres premiers.
52
Cryptage
• Echange de clés - Algorithme Diffie-Hellman
Routeur A Routeur B
YA= gX mod p
A YB= gX mod pB
YA
YB
XA
YB mod p = k YA
XB
mod p = k
• Il est important de noter que A et B non pas de méthode pour s'identifier l'un avec l'autre.
• Cet échange est vulnérable à une attaque par un tiers qui s'insère dans l'échange.
• L'authentification est réalisée par l'utilisation d'une signature numérique dans les messages
Diffie-Hellman échangés.
53
Cryptage
• Echange de clés - Hachage
Local Distant
Message de
longueur variable Message reçu
Clé secrète
Payer à JC Puce partagée Payer à JC Puce Clé secrète
50 € et 22 cents 50 € et 22 cents partagée
Fonction
de Hachage Fonction
de Hachage
Payer à JC Puce
50 € et 22 cents
Message + Hash
• Le hachage garantit l'intégrité du message
• Un algorithme de hachage est une formule qui convertit un message de longueur variable
en une seule chaines de caractères de longueur fixe appelée valeur "hash".
• Un algorithme de hachage est à sens unique. Un meesage peut produire une valeur "hash"
mais la valeur "hash" ne peut pas produire le message.
54
Cryptage
• Echange de clés - Hachage
Local Distant
Message de
longueur variable Message reçu
Clé secrète
Payer à JC Puce partagée Payer à JC Puce Clé secrète
50 € et 22 cents 50 € et 22 cents partagée
Fonction
de Hachage Fonction
de Hachage
Payer à JC Puce
50 € et 22 cents
Message + Hash
• Ensuite le recepteur compare le "hash" calculé avec le "hash" reçu avec le message.
• Si les deux valeurs de "hash" sont égales alors l'intégrité du message est garantie.
55
Cryptage
• Echange de clés - Hachage
Local Distant
Message de
longueur variable Message reçu
Clé secrète
Payer à JC Puce partagée Payer à JC Puce Clé secrète
50 € et 22 cents 50 € et 22 cents partagée
Fonction
de Hachage Fonction
de Hachage
Payer à JC Puce
50 € et 22 cents
Message + Hash
En-tête En-Queue
En-tête IP AH Données
ESP ESP
• Comme tous les mécanismes de sécurité, le RFC 2401 aide à la mise en oeuvre
d'une politique de sécurité.
57
Technologies IPSec
• IPSec - Authentication Header (AH)
En-tête En-Queue
En-tête IP AH Données
ESP ESP
• Le service de détection d'intrusion d'un tiers dans l'échange est optionnel. Si celui-ci
est négocié et validé, il faut que le récepteur teste les numéros de séquence.
58
Technologies IPSec
• IPSec - Authentication Header (AH)
En-tête En-Queue
En-tête IP AH Données
ESP ESP
• Les services de sécurité peuvent être fournis entre une paire de hosts, une paire de
passerelles de sécurité ou entre une passerelle de sécurité et un host.
• ESP peut être utilisé pour fournir les mêmes services plus la confidentialité (cryptage).
• ESP ne protège pas les champs de l'en-tête IP à moins que cet en-tête soit encapsulé par
ESP (Mode tunnel).
59
Technologies IPSec
• IPSec - Encapsulation Security Payload (ESP)
En-tête En-Queue
En-tête IP AH Données
ESP ESP
• L'en-tête ESP est inséré après l'en-tête IP et avant l'en-tête de protocole de couche
supérieure dans le mode transport ou avant un en-tête IP encapsulé en mode tunnel.
- Confidentialité
- Authentification de l'origine des données
- Intégrité
- Service de détection d'intrusion d'une tierce partie dans l'échange
60
Technologies IPSec
• IPSec - Encapsulation Security Payload (ESP)
En-tête En-Queue
En-tête IP AH Données
ESP ESP
61
Technologies IPSec
• IPSec - Encapsulation Security Payload (ESP)
En-tête En-Queue
En-tête IP AH Données
ESP ESP
• Le service de détection d'intrusion d'une tierce partie peut être sélectionné que si
l'authentification de l'origine des données est sélectionnée et reste entièrement
à la discrétion du receveur.
62
Technologies IPSec
• Mode Tunnel contre Mode Transport
PC
Mode Tunnel
Mode Transport
• En mode Transport les hosts d'extrémité réalisent l'encapsulation IPSec de leurs propres
données ( host à host) par conséquent IPSec doit être implémenté sur chacun des hosts.
- L'application des points d'extrémité doit être aussi une extrémité IPSec.
• En mode Tunnel les passerelles IPSec fournissent les services IPSec aux autres hosts dans
des tunnels point à point. Les hosts d'extrémité n'ont pas besoin d'avoir IPSec.
63
Technologies IPSec
• Mode Tunnel contre Mode Transport
PC
Mode Tunnel
Mode Transport
- Le mode Transport protège la charge utile du paquet mais garde l'adresse IP originale
en clair.
- L'adresse IP originale est utilisée pour router les paquets sur Internet.
- Le mode Transport ESP est utilisé entre hosts.
64
Technologies IPSec
• Mode Tunnel contre Mode Transport
PC
Mode Tunnel
Mode Transport
65
Technologies IPSec
• Security Association (SA)
A B
Accès Accès
client
Backbone
client
Opérateur
SADB SADB
A vers B A vers B
ESP/DES/SHA-1 ESP/DES/SHA-1
Keys K1,K2,... Keys K1,K2,...
lifetime=3600s lifetime=3600s
B vers A B vers A
ESP/DES/SHA-1 ESP/DES/SHA-1
keys K6,K7,... keys K6,K7,...
lifetime=3600s lifetime=3600s
• Les SAs ou Secutity Associations sont un concept de base très important dans IPSec
• Elles représentent un contrat entre deux extrémités et décrivent comment ces deux
extrémités vont utiliser les srvices ede sécurité IPSec pour protéger le trafic.
• Les SAs contiennent tous les paramètres de sécurité nécessaires pour sécuriser le
transport des paquets entre les deux extrémités et définissent la politique de sécurité
utilisée dans IPSec.
66
Technologies IPSec
• Security Association (SA)
A B
Accès Accès
client
Backbone
client
Opérateur
SADB SADB
A vers B A vers B
ESP/DES/SHA-1 ESP/DES/SHA-1
Keys K1,K2,K3,K4 Keys K1,K2,K3,K4
lifetime=3600s lifetime=3600s
B vers A B vers A
ESP/DES/SHA-1 ESP/DES/SHA-1
keys K6,K7,... keys K6,K7,...
lifetime=3600s lifetime=3600s
• Les routeurs ont besoin de deux SAs pour protéger le trafic entre les hosts A et B.
• L'établisseemnt des SAs est un prérequis dans IPSec pour la protection du trafic.
• Quand les SAs appropriées sont établies, IPSec se réfère à celles-ci pour obtenir tous
les paramètres nécessaires à la protection du trafic
• Une SA doit mettre en vigueur la politique de protection en ces termes: Pour le trafic
entre A et B, utilisez ESP 3DES avec les clés K1,K2 et K3 pour le cryptage de la charge
utile, SHA-1 avec la clé K4 pour l'authentification.•
67
Technologies IPSec
• Security Association (SA)
A B
Accès Accès
client
Backbone
client
Opérateur
SADB SADB
A vers B A vers B
ESP/DES/SHA-1 ESP/DES/SHA-1
Keys K1,K2,... Keys K1,K2,...
lifetime=3600s lifetime=3600s
B vers A B vers A
ESP/DES/SHA-1 ESP/DES/SHA-1
keys K6,K7,... keys K6,K7,...
lifetime=3600s lifetime=3600s
• Pour un flux de trafic donné, il y a une SA pour chaque protocole (AH, ESP) et pour
chaque sens du trafic.
• Les équipements VPN stockent leurs SAs dans une base de données local appelée
la SA Database (SADB).
68
Technologies IPSec
• Security Association (SA)
A B
Accès Accès
client
Backbone
client
Opérateur
SADB SADB
A vers B A vers B
ESP/DES/SHA-1 ESP/DES/SHA-1
Keys K1,K2,... Keys K1,K2,...
lifetime=3600s lifetime=3600s
B vers A B vers A
ESP/DES/SHA-1 ESP/DES/SHA-1
keys K6,K7,... keys K6,K7,...
lifetime=3600s lifetime=3600s
Routeur A Routeur B
• Le but d'IPSec est de protéger des données avec les moyens de sécurité appropriés
70
Technologies IPSec
• Les cinq étapes d'IPSec
Host A Host B
Routeur A Routeur B
• Etape 2
- IKE Phase 1 authentifie les extrémités IPSec et négocie les SAs IKE.
- Ceci crée un canal sécurisé pour négocier les SAs IPSec en Phase 2.
71
Technologies IPSec
• Les cinq étapes d'IPSec
Host A Host B
• Etape 3
- La phase 2 IKE négocie les paramètres des SAs IPSec et crée une correspondance entre
les SAs IPSec des extrémités.
- Ces paramètres de sécurité sont échangés pour protéger les messages échangés entre
les extrémités.
• Etape 4
- Le transfert de données est effectué entre les extrémités IPSec sur la base des paramètres
IPSEc et des clés stockées dans la base de données SA.
• Etape 5
- La libération du tunnel IPSec survient sur effacement au travers des SAs ou sur time out.
72
Technologies IPSec
• Les cinq étapes d'IPSec
- Comment IPSec utilise IKE
1. Un paquet est transmis du 4. Un paquet est transmis du
Routeur A vers le Routeur B. Routeur A vers le Routeur B
Pas de SA IPSec protégé par IPSec
IPSec IPSec
Routeur A Routeur B
IKE IKE
Tunnel IKE
2. IKE du Routeur A commence 3. La négociation est terminée. Le Routeur A
à négocier avec IKE du Routeur B. et le Routeur B ont un ensemble de SAs
en place.
• IKE (Internet Key Exchange) améliore IPSec en fournissant des fonctions additionnelles,
flexibilité et facilite la configuration d'IPSec.
• IKE est un protocole hybride qui implémente les échanges de clés Oakley et Skeme dans
le cadre ISAKMP (Internet Security Association and Key management)
• IKE fournit l'authentification pour les extrémités IPSec, négocie les clés IPSec et les
Associations de Sécurité IPSec
73
Technologies IPSec
• Les cinq étapes d'IPSec
- Comment IPSec utilise IKE
1. Un paquet est transmis du 4. Un paquet est transmis du
Routeur A vers le Routeur B. Routeur A vers le Routeur B
Pas de SA IPSec protégé par IPSec
IPSec IPSec
Routeur A Routeur B
IKE IKE
Tunnel IKE
2. IKE du Routeur A commence 3. La négociation est terminée. Le Routeur A
à négocier avec IKE du Routeur B. et le Routeur B ont un ensemble de SAs
en place.
• Le tunnel IKE protège les négociations de SA.
• Le Mode de configuration IKE autorise une paserelle à télécharger une adresse IP vers le
client . ceci faisant partie de la négociation IKE.
• L'adresse IP fournie par la passerelle au client IKE est utilisée comme une IP "interne"
encapsulée dans IPSec.
• Cette adresse IP connue peut être controlée par la politique (policy) IPSec.
74
Technologies IPSec
• Les cinq étapes d'IPSec
- Comment IPSec utilise IKE
1. Un paquet est transmis du 4. Un paquet est transmis du
Routeur A vers le Routeur B. Routeur A vers le Routeur B
Pas de SA IPSec protégé par IPSec
IPSec IPSec
Routeur A Routeur B
IKE IKE
Tunnel IKE
2. IKE du Routeur A commence 3. La négociation est terminée. Le Routeur A
à négocier avec IKE du Routeur B. et le Routeur B ont un ensemble de SAs
en place.
• Le Mode de configuration IKE est implémenté dans les images IOS Cisco IOSec.
• En utilisant le Mode de configuration IKE, un serveur d'accès Cisco peut être configuré pou
télécharger une adresse IP vers un client comme faisant partie de la transaction IKE.
• IKE négocie automatiquement les SAs IPSec et active les communications sécurisées par
IPSec sans une pré-configuration manuelle fastidieuse.
75
Technologies IPSec
• Les cinq étapes d'IPSec
- Comment IPSec utilise IKE
1. Un paquet est transmis du 4. Un paquet est transmis du
Routeur A vers le Routeur B. Routeur A vers le Routeur B
Pas de SA IPSec protégé par IPSec
IPSec IPSec
Routeur A Routeur B
IKE IKE
Tunnel IKE
2. IKE du Routeur A commence 3. La négociation est terminée. Le Routeur A
à négocier avec IKE du Routeur B. et le Routeur B ont un ensemble de SAs
en place.
• IKE a les avantages suivants:
- Elimine la configuration manuelle des paramètres de sécurité IPSec dans des crypto
maps à chaque extrémité.
- Permet de spécifier une durée de vie pour les SAs.
- Permet le changement de clés pendant les sessions IPSec.
- Autorise IPSec à fournir les services de détecton d'intrusion d'un tiers.
- Permet le support d'Autotrité de Certification pour une implémentation IPSec évolutive.
- Permet l'authentification dynamique des extrémités.
76
Technologies IPSec
• Les cinq étapes d'IPSec
- Comment IPSec utilise IKE
• Les différentes technologies implémentées pour l'usage d'IKE sont:
- DES (Data Encryption Standard) utilisé pour crypter les données. IKE implémente
le standard DES-CBC 56 bits avec Explivit IV (Initialization Vector).
- CBC (Cipher Bloc Chaining) requiert l'utilisation d'un vecteur d'initialisation (IV).
Le vecteur d'initialisation est donné dans le paquet IPSec.
- Diffie-Hellman est un protocol de cryptage à clé publique qui permet à deux parties
d'établir un secret partagé sur un canal de communication non-sécurisé. Diffie-Hellman
est utilisé dans IKE pour établir les sessions de clés. Les groupes Diffie-Hellman 768-bits
et 1024-bits sont supportés.
- MD5 (Message Digest 5), variante HMAC, est un algorithme de hachage utilisé pour
authentifier les données. HMAC est une variante qui donne un niveau supplémentaire de
hachage.
- SHA (Secure Hash Algorithm), variante HMAC, est un algorithme de hachage utilisé pour
authentifier les données. HMAC est une variante qui donne un niveau supplémentaire de
hachage.
- Signatures RSA et cryptage RSA -- RSA est un protocole de cryptage à clé publique
développé par Ron Rivest, Adi Shamir et Leonard Adleman.
Les signatures RSA fournissent la non-répudiation tandis RSA est utilisé pour le cryptage.
77
Technologies IPSec
• Les cinq étapes d'IPSec
- Comment IPSec utilise IKE
1. Un paquet est transmis du 4. Un paquet est transmis du
Routeur A vers le Routeur B. Routeur A vers le Routeur B
Pas de SA IPSec protégé par IPSec
IPSec IPSec
Routeur A Routeur B
IKE IKE
Tunnel IKE
2. IKE du Routeur A commence 3. La négociation est terminée. Le Routeur A
à négocier avec IKE du Routeur B. et le Routeur B ont un ensemble de SAs
en place.
• Le protocole IKE utilise les certificats X.509v3 quand l'authentification requiert des
clés publiques.
• Quand deux équipements veulent communiquer, ils échangent leurs certificats pour
prouver leur identité.
• Ceci élimine le besoin d'échanger manuellement des clés publiques avec chaque
extrémité ou de spécifier manuellement une clé partagée à chaque extrémié.
78
Technologies IPSec
• Les cinq étapes d'IPSec
- Comment IPSec utilise IKE
Non Clés
Oui
CA Authentification crypto ca identity
Un par paire de clés Récupère la clé publique du CA crypto ca authenticate
privée/publique Récupère le certificat pour sa propre crypto ca enroll
clé publique. crypto ca crl request
• IPSec dans l'IOS Cisco traite les paquets comme le montre la figure ci-dessus
• Le processus présume que les clés privées et publiques ont déjà été créees et qu'il
existe au moins une liste de controle d'accès.
79
Technologies IPSec
• Les cinq étapes d'IPSec
- Comment IPSec utilise IKE
• Les listes d'accès appliquées à une interface et les crypto map sont utlisées
par l'IOS Cisco pour sélectionner le trafic qui doit être protégé (crypté).
• L'IOS Cisco vérifie si les associations de sécurité IPSec (SA) ont été établies.
• Si les SAs ont déjà été établies par configuration manuelle avec les commandes
crypto ipsec transform-set et crypto map ou par IKE, le paquet est crypté sur la
base de la "policy" spécifiée dans la crypto map et transmis sur l'interface.
• Si les SAs ne sont pas établies, l'IOS Cisco vérifie si une SA ISAKMP a été
configurée et activée.
80
Technologies IPSec
• Les cinq étapes d'IPSec
- Comment IPSec utilise IKE
81
Taches de configuration IPSec
• Le processus de configuration de clés IKE "pe-shared" dans l'IOS Cisco consiste en quatre
taches principales.
82
Taches de configuration IPSec
• Tache 1 - Préparation IKE et IPSec
• Créer un plan d'action avant de configurer correctement le cryptage IPSec est obligatoire la
première fois afin de minimiser les erreurs de configuration.
• Commencez par définir une politique de sécurité IPSec basée sur la politique générale de
sécurité de l'entreprise.
83
Taches de configuration IPSec
• Tache 1 - Préparation IKE et IPSec
- Déterminer la "IKE Policy " (IKE Phase 1)
• Déterminer d'abord les détails de la policy IKE pour valider la méthode d'authentification
choisie et la configurer.
84
Taches de configuration IPSec
• Tache 1 - Préparation IKE et IPSec
- Paramètres "IKE Policy " (IKE Phase 1)
• Une IKE "policy" définit une combinaison de paramètres de sécurité utilisés pendant
la négociation IKE.
• Un groupe de "policies" crée une ensemble de "policies" qui permet aux extrémités
IPSec d'établir des sessions IKE et d'établir des SAs avec une configuration minimale.
• Les négociations IKE dovent être protégées aussi la négociation IKE commence par
l'agrément par chaque extrémité d'une politique (policy) IKE commune
• Cette politique indique quels sont les paramètres IKE qui vont servir à protéger les
échanges IKE suivants.
85
Taches de configuration IPSec
• Tache 1 - Préparation IKE et IPSec
- Paramètres "IKE Policy " (IKE Phase 1)
86
Taches de configuration IPSec
• Tache 1 - Préparation IKE et IPSec
- Paramètres "IKE Policy " (IKE Phase 1)
Paramètre Fiable Très fiable
Algorithme de cryptage DES 3-DES
Algorithme de hachage MD5 SHA-1
Méthode d'authentification Pre-Share Cryptage RSA
Signature RSA
Echange de clés Diffie-Hellman Groupe 1 Diffie-Hellman Groupe 2
Durée de vie SA IKE 86400 seconds Moins de 86400 secondes
87
Taches de configuration IPSec
• Tache 1 - Préparation IKE et IPSec
- Déterminer IPSec (IKE Phase 2)
• Une IPSec policy définit une combinaison de paramètres IPSec utilisés pendant la
négociation IPSec.
• La planification de IPSEc IKE phase 2 est une autre étape importante avant de
configure IPSec sur un routeur.
88
Taches de configuration IPSec
• Tache 1 - Préparation IKE et IPSec
- IPSec Transforms supportés par l'IOS Cisco
89
Taches de configuration IPSec
• Tache 1 - Préparation IKE et IPSec
- IPSec Transforms supportés par l'IOS Cisco
• AH (Authentication Header)
- AH est rarement utilisé car l'authentification est maintenant disponible avec les transforms
esp-md5-hmac et esp-sha-hmac .
90
Taches de configuration IPSec
• Tache 1 - Préparation IKE et IPSec
- IPSec Transforms supportés par l'IOS Cisco
CentralA(config)#crypto ipsec transform -set transform set-name
Transform Description
esp-des Transform ESP utilisant DES 56 bits
esp-3des Transform ESP utilisant 3DES 168 bits
esp-md5-hmac Transform ESP avec l'authentification MD5 HMAC utilisée avec une
transform esp-des ou esp-3des pour fournir l'intégrité des paquets ESP
esp-shs-hmac Transform ESP avec l'authentification SHA HMAC utilisée avec une
transform esp-des ou esp-3des pour fournir l'intégrité des paquets ESP
esp-null Transform ESP sans cryptage. Peut être utilisée en combinaison avec
esp-md5-hmac ou esp-sha-hmac si on veut l'authentification sans cryptage.
91
Taches de configuration IPSec
• Tache 1 - Préparation IKE et IPSec
- IPSec Transforms supportés par l'IOS Cisco
CentralA(config)#crypto ipsec transform -set transform set-name
92
Taches de configuration IPSec
• Tache 1 - Préparation IKE et IPSec
- Exemple IPSec Policy
Host A Host B
Routeur A Routeur B
Internet
10.0.1.3 10.0.2.3
E0/1 172.30.1.2 E0/1 172.30.2.2
• La figure ci-dessus montre un exemple des details de la politique de cryptage IPSec qui
sera utilisée dans les exmples dee ce document.
93
Taches de configuration IPSec
• Tache 1 - Préparation IKE et IPSec
- Identifier les extrémités IPSec
Routeur Cisco
Autres constructeurs
voisins IPSec
Serveur CA
Concentrateur
VPN Cisco
• Un point important pour déterminer la politique IPSec est l'identification l'extrémité IPSec
avec laquelle le routeur Cisco va communiquer.
• L'extrémité doit supporter IPSec tel qu'il est spécifié dans les RFCs supportés par l'IOS Cisco.
94
Taches de configuration IPSec
• Tache 1 - Préparation IKE et IPSec
- Etape 3 : Vérifier la configuration courante
Host A Host B
Routeur A Routeur B
Internet
95
Taches de configuration IPSec
• Tache 1 - Préparation IKE et IPSec
- Etape 3 : Vérifier la configuration courante
96
Taches de configuration IPSec
• Tache 1 - Préparation IKE et IPSec
- Etape 3 : Vérifier la configuration courante
• La commande show crypto map est très utile pour examiner les crypto maps
déjà configurées.
97
Taches de configuration IPSec
• Tache 1 - Préparation IKE et IPSec
- Etape 3 : Vérifier la configuration courante
• Utilisez la commande show crypto ipsec transform-set mine pour examiner les
transform sets déjà configurés.
• Utilisez les transform sets déjà configurés pour gagner une configuration
plus rapide.
98
Taches de configuration IPSec
• Tache 1 - Préparation IKE et IPSec
- Etape 4 : Vérifier le fonctionnement du réseau
RouteurA#ping 172.30.1.2
Cisco Routeur B
172.30.2.2
Cisco Routeur B
172.30.1.2
Autres constructeurs
voisins IPSec
Serveur CA
Concentrateur
VPN Cisco
99
Taches de configuration IPSec
• Tache 1 - Préparation IKE et IPSec
- Etape 5: Assurez-vous que les ACLs sont compatibles
avec IPSec
IKE
AH
Site 1 ESP Site 2
Routeur A Routeur B
Internet
RouterA#show access-lists
access-list 102 permit ah host 172.30.2.2 host 172.30.1.2
access-list 102 permit esp host 172.30.2.2 host 172.30.1.2
access-list 102 permit udp host 172.30.2.2 host 172.30.1.2 eq isakmp
• Assurez-vous que les protocoles 50, 51 et UDP port 500 ne sont pas bloqués sur
les interfaces utilisées par IPSec.
100
Taches de configuration IPSec
• Tache 2 - Configurer IKE
101
Taches de configuration IPSec
• Tache 2 - Configurer IKE
- Etape 1: Valider IKE
Host A Host B
Routeur A Routeur B
Internet
10.0.1.3 10.0.2.3
172.30.1.2 172.30.2.2
102
Taches de configuration IPSec
• Tache 2 - Configurer IKE
- Etape 2: Créer les "IKE Policies"
Host A Host B
Routeur A Routeur B
Internet
10.0.1.3 10.0.2.3
172.30.1.2 172.30.2.2
• Définit une policy IKE qui est un ensemble de paramètres utilisés lors de la négociation
IKE.
• Enchaine sur le mode de commande isakmp
• L'étape majeure suivante dans la configuration die ISAKMP est de définir une suite de
policies ISAKMP.
• Le but de cette définition est d'établir une liaison ISAKMP entre deux extrémités IPSec.
103
Taches de configuration IPSec
• Tache 2 - Configurer IKE
- Etape 2: Créer les "IKE Policies" avec la commande
crypto isakmp
Host A Host B
Routeur A Routeur B
Internet
10.0.1.3 10.0.2.3
172.30.1.2 172.30.2.2
Policy 110
DES
MD5
Pre-Share
86400
104
Taches de configuration IPSec
• Tache 2 - Configurer IKE
- Etape 2: Créer les "IKE Policies" avec la commande
crypto isakmp
• Si un de ces paramètres n'est pas spécifié pour la policy, la valeur par défaut sera utilisée
pour ce paramètre.
105
Taches de configuration IPSec
• Tache 2 - Configurer IKE
- Etape 2: "IKE Policy négotiation"
Host A Host B
Routeur A Routeur B
Internet
10.0.1.3 10.0.2.3
172.30.1.2 172.30.2.2
Les deux premières policies peuvent être négociées avec succès par la troisième
• Une correspondance est trouvée quand les deux policies des deux extrémités contiennent
les mêmes paramères pour le cryptage, l'authentification, le hachage et diffie-Hellman et
quand la policy de l'extrémité distante spécifie une durée de vie égale ou inférieure à la
policy locale.
106
Taches de configuration IPSec
• Tache 2 - Configurer IKE
- Etape 3: Configurer ISAKMP Identity
Host A Host B
Routeur A Routeur B
Internet
10.0.1.3 10.0.2.3
172.30.1.2 172.30.2.2
address Fixe l'identité ISAKMP avec l'adresse IP de l'interface qui est utilisée pour
communiquer avec l'extrémité distante durant la négociation ISAKMP.
Cette méthode est utilisée quand il y a une seule interface utilisée et que
l'adresse IP est connue.
hostname Fixe l'identité ISAKMP avec le nom de host concaténé avec le nom de domaine.
Cette méthode doit être utilisée s'il y a plusieurs interfaces utilisées pour la
négociation ISAKMP ou si l'adresse IP de l'interface n'est pas connue.
( adresse affectée dynamiquement)
Internet
10.0.1.3 10.0.2.3
172.30.1.2
Pre-shared clé 172.30.2.2
Cisco1234
• Configurez une clé d'authentification "pre-shared" avec la commande crypto isakmp key
en mode de configuration global.
• Cette clé doit être configurée chaque fois que des clés "pre-shared" sont spécifiées dans
policy ISAKMP.
108
Taches de configuration IPSec
• Tache 2 - Configurer IKE
- Etape 4: Configurer les "pre-shared keys"
Host A Host B
Routeur A Routeur B
Internet
10.0.1.3 10.0.2.3
172.30.1.2
Pre-shared clé 172.30.2.2
Cisco1234
109
Taches de configuration IPSec
• Tache 2 - Configurer IKE
- Etape 5: Vérifier la configuration IKE
Host A Host B
Routeur A Routeur B
Internet
10.0.1.3 10.0.2.3
172.30.1.2 172.30.2.2
110
Taches de configuration IPSec
• Tache 3 - Configurer IPSec
111
Taches de configuration IPSec
• Tache 3 - Configurer IPSec
Etape 1: Configurer les "transforms set"
Host A Host B
Routeur A Routeur B
Internet
10.0.1.3 10.0.2.3
172.30.1.2 172.30.2.2
Mine
esp-des
Tunnel
• Un "transform set" est une combinaison de transforms individuels IPSec qui promulgue
une politique de sécurité pour le trafic.
• Durant la négociation ISAKMP IPSec SA qui se produit dans IKE phase 2 en mode rapide,
les extrémités agréent l'utilisation d'un "transform set" pour protéger un flux de trafic
particulier.
112
Taches de configuration IPSec
• Tache 3 - Configurer IPSec
Etape 1: "transform set negotiation"
Host A Host B
Routeur A Routeur B
Internet
10.0.1.3 10.0.2.3
172.30.1.2 172.30.2.2
transform-set 10 transform-set 40
esp-3des esp-3des
tunnel tunnel
transform-set 20 transform-set 50
esp-3des, esp-md5-hmac esp-3des, ah-sha-hmac
tunnel tunnel
transform-set 30 transform-set 60
esp-3des, esp-sha-hmac esp-3des, esp-sha-hmac
tunnel OK tunnel
• Les "transform sets" sont négociés durant IKE phase 2 en mode quick en utilisant des
transform sets dejà configurés.
Internet
10.0.1.3 10.0.2.3
172.30.1.2 172.30.2.2
• Les durées de vie des SAs IPSec sont négociées dans IKE phase2
• Les durées de vie des SAs IPSec dans les crypto map outrepassent les durées de vie
globales des SAs IPSec.
114
Taches de configuration IPSec
• Tache 3 - Configurer IPSec
Etape 2: But des "Crypto ACLs"
Host A
Routeur A
Internet
10.0.1.3
172.30.1.2
Trafic
Cryptage
sortant
Non IPsec
Elimine IPSec
non-crypté
• Les listes d'accès en sortie indiquent quel flux de données doit être protégé par IPSec
• Les listes d'accès en entrée filtrent et élimine le trafic qui aurait du être protégé par
IPSec.
115
Taches de configuration IPSec
• Tache 3 - Configurer IPSec
Etape 3: Créer "Crypto ACLs" avec les listes d'accès
étendues
Host A Host B
Routeur A Routeur B
Internet
10.0.1.3 10.0.2.3
172.30.1.2 172.30.2.2
10.0.2.0
10.0.1.0 Cryptage
116
Taches de configuration IPSec
• Tache 3 - Configurer IPSec
Etape 3: Configurer "Crypto ACLs" avec des extrémités
symétriques
Host A Host B
Routeur A Routeur B
Internet
10.0.1.3 10.0.2.3
172.30.1.2 172.30.2.2
117
Taches de configuration IPSec
• Tache 3 - Configurer IPSec
Etape 3: But des "Crypto maps"
Les crypto maps relient les différentes parties configurées pour IPSec dont:
118
Taches de configuration IPSec
• Tache 3 - Configurer IPSec
Etape 3: Paramètres des "Crypto maps"
Host A Host B
Routeur A Routeur B
Internet
10.0.1.3 10.0.2.3
172.30.1.2 172.30.2.2
Trafic crypté
Interface ou
sous-interface
de routeur
119
Taches de configuration IPSec
• Tache 3 - Configurer IPSec
Etape 4: Configurer les "Crypto maps" IPSec
Host A Host B
Routeur A Routeur B
Internet
10.0.1.3 10.0.2.3
172.30.1.2 172.30.2.2
120
Taches de configuration IPSec
• Tache 3 - Configurer IPSec
Etape 4: Exemple de ommandes crypto map
Host A Host B
Routeur B
Routeur A 172.30.2.2
Internet
10.0.1.3 10.0.2.3
172.30.1.2
172.30.3.2
Routeur C
121
Taches de configuration IPSec
• Tache 3 - Configurer IPSec
Etape 5: Appliquer les "Crypto maps" aux interfaces
Host A Host B
Routeur A Routeur B
Internet
10.0.1.3 10.0.2.3
172.30.1.2 172.30.2.2
mymap
RouteurA(config)#interface ethernet0/1
RouteurA(config-if)#crypto map mymap
122
Taches de configuration IPSec
• Tache 3 - Configurer IPSec
Etape 5: Exemples de configuration IPSec
Host A Host B
Routeur A Routeur B
Internet
10.0.1.3 10.0.2.3
172.30.1.2 172.30.2.2
123
Taches de configuration IPSec
• Tache 4 - Tester et vérifier IPSec
Tache 1 - Préparation pour IKE et IPSec
Tache 2 - Configurer IKE
Tache 3 - Configurer IPSec
Tache 4 - Tester et Vérifier IPSec
• Affiche les policies IKE configurées
- show crypto isakmp policy ( show isakmp policy sur un PIX)
124
Taches de configuration IPSec
• Tache 4 - Tester et vérifier IPSec
- Commande show crypto isakmp policy
Host A Host B
Routeur A Routeur B
Internet
10.0.1.3 10.0.2.3
172.30.1.2 172.30.2.2
125
Taches de configuration IPSec
• Tache 4 - Tester et vérifier IPSec
- Commande show crypto ipsec transform-set
Host A Host B
Routeur A Routeur B
Internet
10.0.1.3 10.0.2.3
172.30.1.2 172.30.2.2
126
Taches de configuration IPSec
• Tache 4 - Tester et vérifier IPSec
- Commande show crypto ipsec sa
Host A Host B
Routeur A Routeur B
Internet
10.0.1.3 10.0.2.3
172.30.1.2 172.30.2.2
127
Taches de configuration IPSec
• Tache 4 - Tester et vérifier IPSec
- Commande show crypto map
Host A Host B
Routeur A Routeur B
Internet
10.0.1.3 10.0.2.3
172.30.1.2 172.30.2.2
128
Taches de configuration IPSec
• Tache 4 - Tester et vérifier IPSec
- Commandes clear
129
Taches de configuration IPSec
• Tache 4 - Tester et vérifier IPSec
- Commandes debug crypto
130
Taches de configuration IPSec
• Tache 4 - Tester et vérifier IPSec
- Commandes debug crypto
131
Taches de configuration IPSec
• Tache 4 - Tester et vérifier IPSec
- Messages d'erreur du système de cryptage pour ISAKMP
132