Vous êtes sur la page 1sur 132

VPN

(Virtual Private Networks)

1
Sommaire
• Présentation des VPN

• Scénarios VPN

• Choix de technologies VPN

• VPN termes clés

• IPSec

• Présentation du système de cryptage de l'IOS Cisco

• Cryptage

• Technologies IPSec

• Taches de configuration IPSec

2
Présentation des VPN

Un VPN transporte du trafic privé sur un réseau public en utilisant du cryptage et des
tunnels pour obtenir:
• La confidentialité des données
• L'intégrité des données
• L'authentification des utilisateurs

• Un réseau privé virtuel (VPN) est défini comme une connectivité réseau déployée sur
une infrastructure partagée avec les mêmes politiques de sécurité que sur un réseau privé.

• Un VPN peut être entre deux systèmes d'extrémité ou entre deux ou plusieurs réseaux.

• Un VPN est construit en utilisant des tunnels et du cryptage. Un VPN peut être construit
au niveau de n'importe quelle couche du modèle OSI.

• Un VPN est une infrastructure WAN alternative aux réseaux privés qui utilisent des lignes
louées ou des réseaux d'entreprise utilisant Fame Relay ou ATM.

3
Présentation des VPN

Un VPN transporte du trafic privé sur un réseau public en utilisant du cryptage et des
tunnels pour obtenir:
• La confidentialité des données
• Intégrité des données
• L'authentification des utilisateurs

• Les VPNs fournissent trois fonctions essentielles:

- Confidentialité (cryptage) - L'émetteur peut crypter les paquets avant de les transmettre
dans le réseau.
- Par ce moyen, si la communication est interceptée les données ne pourront pas être lues.

- Intégrité des données - Le récepteur peut vérifier si les données n'ont pas été altérées lors
de leur passage dans le réseau.

- Authentification - Le récepteur peut authentifier la source du paquet, garantissant et


certifiant la source de l'information.

4
Présentation des VPN
Conventionnel VPN
Site Central Site Central

Frame
Relay Frame
Internet Relay
Internet
Réseau
Réseau
Frame Relay
Tunnel Frame Relay
VPN
Frame Frame
Relay Site distant Relay
Site distant

• Coût élevé • Faible coût


• Peu flexible • Plus flexible
• Gestion WAN • Gestion simplifiée
• Topologies complexes • Topologie tunnel

• Les principaux avantages sont:

- Les VPNs amènent des coûts plus faibles que les réseaux privés.

- Les coûts de la connectivité LAN-LAN sont réduits de 20 à 40 pourcent par rapport


à une ligne louée. .

- Les VPNs offrent plus de flexibilité et d'évolutivité que des architectures WAN classiques

5
Présentation des VPN
Conventionnel VPN
Site Central Site Central

Frame
Relay Frame
Internet Relay
Internet
Réseau
Réseau
Frame Relay
Tunnel Frame Relay
VPN
Frame Frame
Relay Site distant Relay
Site distant

• Coût élevé • Faible coût


• Peu flexible • Plus flexible
• Gestion WAN • Gestion simplifiée
• Topologies complexes • Topologie tunnel

• Les principaux avantages sont:

- Les VPNs simplifient les tâches de gestion comparé à la l'exploitation de sa propre


infrastructure de réseau.
- Les VPNs fournissent des topologies de réseaux avec tunnels qui réduisent les taches
de gestion.

- Un backbone IP n'utilise pas les circuits virtuels permanents (PVCs) avec des protocoles
orientés connexion tels ATM et Frame Relay.
6
Présentation des VPN
Réseau Virtuel Tunneling

Réseau Privé Cryptage

Cryptage Message Décryptage


Crypté

• Un réseau virtuel est crée en utilisant la capacité de faire transporter un protocole


par un autre (Tunnel) sur une connexion IP standard.

• GRE (Generic Routing Encapsulation) et L2TP (Layer 2 Tunneling Protocol) sont deux
méthodes de "tunneling" et sont toutes les deux configurables sur les routeurs Cisco.

• La troisième méthode, IPSec est également configurable sur les routeurs Cisco.

• Un réseau privé assure la Confidentialité, l'Intégrité et l'Authentification.

• Le cryptage des données et le protocole IPSec permettent aux données de traverser


Internet avec la même sécurité que sur un réseau privé.

7
Présentation des VPN
• Tunneling et Cryptage
Tunnel

Message
Infos Infos
Crypté

Cryptage Décryptage

• Un tunnel est une connexion point à point virtuelle


• Un tunnel transporte un protocole à l'intérieur d'un autre
• Le cryptage transforme les informations en texte chiffré
• Le décryptage restore les informations à partir du texte chiffré

• Bien que Internet ait offert de nouvelles opportunités aux entreprises, il a aussi crée une
grande dépendance des réseaux et un besoin de protection contre une grande variété de
menaces sur la sécurité.

• La fonction principale d'un VPN est d'offrir cette protection avec du cryptage au travers
d'un tunnel.

8
Présentation des VPN
• Tunneling et Cryptage
Tunnel

Message
Infos Infos
Crypté

Cryptage Décryptage
• Un tunnel est une connexion point à point virtuelle
• Un tunnel transporte un protocole à l'intérieur d'un autre
• Le cryptage transforme les informations en texte chiffré
• Le décryptage restore les informations à partir du texte chiffré

• Les tunnels fournissent des connexions logiques point à point au travers d'un réseau IP en
mode non-connecté.

• Ceci permet d'utiliser des fonctionnalités de sécurité améliorées.

• Les Tunnels des solutions VPN emploient le cryptage pour protéger les données pour qu'elles
ne soient pas lisibles par des entités non-autorisées et l'encapsulation multiprotocole si cela
est nécessaire.

9
Présentation des VPN
• Tunneling et Cryptage
Tunnel

Message
Infos Infos
Crypté

Cryptage Décryptage

• Un tunnel est une connexion point à point virtuelle


• Un tunnel transporte un protocole à l'intérieur d'un autre
• Le cryptage transforme les informations en texte chiffré
• Le décryptage restore les informations à partir du texte chiffré

• Le cryptage assure que le message pourra pas être lu et compris uniquement par le receveur

• Le cryptage transforme une information en un texte chiffré sans signification sous sa forme
cryptée.

• Le décryptage restore le texte chiffré en information originale destinée au receveur.

10
Scénarios VPN

Routeur à Routeur PC à Routeur/Concentrateur

Routeur à plusieurs routeurs PC à Pare-Feu

11
Scénarios VPN

Partenaire

Fournisseur

Entreprise

AAA
Opérateur DMZ
B

Opérateur
A

Agence Serveurs Web


Serveur DNS
Relais Mail SMTP

Utilisateur Mobile
ou Télétravailleur
Agence
Régionale Service
Distant
• Un réseau basé uniquement sur des connexions fixes entre des sites d'entrprises tels que
des agences locales ou régionales avec un site central n'est plus suffisant aujourd'hui pour
beaucoup d'entreprises.

• Des options de connexions avec des clients , des partenaires commerciaux dans un système
plus ouvert sont des ajouts aux connexions réseau standards.

12
Scénarios VPN

Accès Distants Clients Site Central Sites Distants Site Central

DSL DSL
Cable Cable
POP Internet Modem
POP Internet
Télétravailleur
Télétravailleur
POP
Intranet

Extranet
Business Extranet
Mobile
Intranet B to B

• Il y a deux types d'accès VPN:

- Initié par le client - Des utilisateurs distants utilisent des clients VPN pour établir un
tunnel sécurisé au travers d'un réseau d'opérateur avec une entreprise.

- Initié par le serveur d'accès Réseau - Les utilisateurs distants se connectent à un opérateur

- Le serveur d'accès distant établit un tunnel sécurisé vers le réseau privé de l'entreprise
qui doit pouvoir supporter de multiples sessions distantes initiées par un utilisateur.

13
Scénarios VPN
• VPN initié par le client
Accès Distants Clients Site Central

DSL
Cable
POP Internet
Télétravailleur

POP

Extranet
Business
Mobile

• Les VPNs site à site ont aussi deux fonctions principales:

- Les VPNs Intranet connectent des sites centraux d'entreprise, des sites distants,
des agences au travers d'une infrastructure publique.

- Les VPNs Extranets relient des clients, des fournisseurs, des partenaires commerciaux à
un intranet d'entreprise au travers d'une infrastructure publique.

14
Scénarios VPN
• VPN initié par le client

Accès Distants Clients Site Central

DSL
Cable
POP Internet
Télétravailleur

POP

Extranet
Business
Mobile

• L' accès distant est ciblé pour les utilisateurs mobiles ou les télétravailleurs.

• Les entreprises supportaient les utilisateurs distants via des réseaux d'accès par appel.
- Ce scénario nécessitait un appel payant ou un numéro vert pour accéder à l'entreprise.

• Avec l'arrivée des VPNs, les utilisateurs mobiles peuvent se connecter à leur opérateur pour
accéder à l'entreprise via Internet quelque soit l'endroit ou ceux-ci se trouvent.

• Les accès distants VPN peuvent satisfaire les besoins des utilisateurs mobiles, des clients
Extranet, des télétravailleurs, etc....

15
Scénarios VPN
• VPN initié par le client

Accès Distants Clients Site Central

DSL
Cable
POP Internet

Télétravailleur

POP

Extranet
Business
Mobile

• Les VPNs Accès distant sont une extension des réseaux d'accès distants par appel.

• Les VPNs Accès distant peuvent se terminer sur des équipements frontaux tels que
les routeurs Cisco, les pare-feu PIX ou les concentrateurs VPN.

• Les clients accès distant peuvent être des routeurs Cisco et des clients VPN Cisco.

16
Scénarios VPN
• VPN initié par le serveur d'accès

Site Central
Sites Distants

DSL
Cable
Modem
POP Internet
Télétravailleur

Intranet

Extranet
B to B
Intranet

• Un VPN site à site peut être utilisé pour connecter des sites d'entreprise. Des lignes louées
ou une connexion Frame Relay étaient nécessaires mais aujourd'hui toutes les entreprises
ont un accès Internet.

• Un VPN peut supporter des intranets de l'entrprise et des extranets des partenaires
commerciaux

• Les VPNs site à site peuvent être construits avec des routeurs Cisco, des pare-feu PIX et des
concentrateurs VPN.

17
Choix de technologies VPN
• Cryptage dans plusieurs couches

SSH Couche Application


S/MIME
Application
Couches (5-7)

SSL Couche Transport


Couche Réseau
Réseau/ IPSec
Transport
Couches (3-4)

Physique/
Liaison
Couches (1-2)
Cryptage
Cryptage
Couche
Couche
Liaison
Liaison

• Différentes méthodes pour la protection de VPN sont implémentées sur différentes


couches.

• Fournir de la protection et des services de cryptographie au niveau de la couche


application était très utilisé dans le passé et l'est toujours pour des cas très précis.

18
Choix de technologies VPN
• Cryptage dans plusieurs couches

SSH Couche Application


S/MIME
Application
Couches (5-7)

SSL Couche Transport


Couche Réseau
Réseau/ IPSec
Transport
Couches (3-4)

Physique/
Liaison
Couches (1-2)
Cryptage
Cryptage
Couche
Couche
Liaison
Liaison
• L'IETF a un protocole basé sur des standards appelé S/MIME ( Secure/Multipurpose
Internet Mail Extensions) pour des applications VPNs générées par différents composants
d'un système de communication.

- Agents de transfert de message, passerelles,...

• Cependant, la sécurité au niveau de la couche application est spécifique à l'application


et les méthodes de protection doivent être implémentées à chaque nouvelle application.

19
Choix de technologies VPN
• Cryptage dans plusieurs couches

SSH Couche Application


S/MIME
Application
Couches (5-7)

SSL Couche Transport


Couche Réseau
Réseau/ IPSec
Transport
Couches (3-4)

Physique/
Liaison
Couches (1-2)
Cryptage
Cryptage
Couche
Couche
Liaison
Liaison

• Des standards au niveau de la couche transport ont eu beaucoup de succés

• Le protocole tel SSL (Secure Socket Layer) pournit de la protection, de l'authentification


de l'intégrité aux applications basées sur TCP.

• SSL est communément utilisé par les sites de e-commerce mais manque de flexibilité,
n'est pas facile à implémenter et dépend de l'application.

20
Choix de technologies VPN
• Cryptage dans plusieurs couches

SSH Couche Application


S/MIME
Application
Couches (5-7)

SSL Couche Transport


Couche Réseau
Réseau/ IPSec
Transport
Couches (3-4)

Physique/
Liaison
Couches (1-2)
Cryptage
Cryptage
Couche
Couche
Liaison
Liaison
• La protection aux niveau des couches basses du modèle à été aussi utilisée dans les systèmes
de communication, spécialement par la couche liaison.

- Cette protection au niveau de la couche liaison fournissait une protection indépendante du


du protocole sur des les liaisons non-sécurisées.
- La protection au niveau de la couche liaison coûte cher car elle doit être réalisée pour
chaque liaison.
- Elle n'exclut pas l'intrusion au moyen de stations intermédiaires ou de routeurs et de plus
est très souvent propriétaire.

21
Choix de technologies VPN

Application
Couches (5-7)

Couche Réseau

Réseau/ IPSec L2F


Transport L2TP
Couches (3-4) GRE PPTP

Physique/
Liaison
Couches (1-2)

Protocoles VPN Description Standard


L2TP Layer 2 tunneling Protocol RFC 2661
GRE Generic Routing Encapsulation RFC 1701 et 2784
IPSec Unternet Protocol Security RFC 2401

• Un ensemble de technologies de couche réseau sont disponibles pour permettre le


tunneling de protocoles au travers de réseaux pour réaliser des VPNs.

• Les trois protocoles de tunneling les lpus utilisés sont:

- L2TP ( Layer 2 Tunneling Protocol)


- GRE ( Generic Routing Encapsulation par Cisco)
- IPSec (IP Security)
22
Choix de technologies VPN
• L2TP - Layer 2 Tunneling Protocol

Application
Couches (5-7)

Couche Réseau

Réseau/ IPSec L2F


Transport L2TP
Couches (3-4) GRE PPTP

Physique/
Liaison
Couches (1-2)

• Avant le standard L2TP (Août 1999), Cisco utilisait L2F (Layer 2 Forwarding) comme
protocole de tunneling propriétaire.

- L2TP est compatible avec L2F


- L2F n'est pas compatible avec L2TP

• L2TP est une cominaison de Cisco L2F et Microsoft PPTP

- Microsoft supporte PPTP dans les anciennes versions de Windows et PPTP/L2TP dans
Windows NT/2000.

23
Choix de technologies VPN
• L2TP - Layer 2 Tunneling Protocol

Application
Couches (5-7)

Couche Réseau

Réseau/ IPSec L2F


Transport L2TP
Couches (3-4) GRE PPTP

Physique/
Liaison
Couches (1-2)

• L2TP est utilisé pour créer un VPDN (Virtual Private Dial Network) multiprotocole et
indépendant du média.

• L2TP permet aux utilisateurs d'invoquer des politiques de sécurité au travers de toute
liaison VPN ou VPDN comme une extension de leur propre réseau interne.

• L2TP ne fournit pas de cryptage et peut être supervisé par un analyseur de réseau.

24
Choix de technologies VPN
• Cisco GRE (Generic Routing Encapsulation)

Application
Couches (5-7)

Couche Réseau

Réseau/ IPSec L2F


Transport L2TP
Couches (3-4) GRE PPTP

Physique/
Liaison
Couches (1-2)

• Ce protocole transpoteur multiprotocole encapsules IP, CLNP et tout autre paquet de


protocole dans des tunnels IP.

• Avec le tunneling GRE, un routeur Cisco encapsule à chaque extrémité les paquets de
protocole avec un en-tête IP créant une liaison virtuelle point à point avec l'autre
routeur Cisco à l'autre extrémité du réseu IP.

• En connectant des réseaux d'extrémité multiprotocoles avec un backbone IP, le tunneling


IP permet l'expansion du réseau au travers du backbone IP.

• GRE ne fournit pas de cryptage et peut être supervisé par un analyseur de réseau.

25
Choix de technologies VPN
• IPSec (IP Security protocol)

Application
Couches (5-7)

Couche Réseau

Réseau/ IPSec L2F


Transport L2TP
Couches (3-4) GRE PPTP

Physique/
Liaison
Couches (1-2)

• IPSec est un bon choix pour sécuriser les VPNs d'entreprise

• IPSEc est un cadre de standards ouverts qui fournissent la confidentialité, l'intégrité et


l'authentification des données entre deux extrémités.

• IPSec fournit ces services de sécurité en utilisant IKE (Internet Key Exchange) pour gérer
la négociation de protocoles et d'algorithmes basée sur une politiqie locale et de générer
les clés d'authentification et de cryptage devant être utilisées par IPSec.

26
Choix de technologies VPN
• Choix de la meilleure technologie

Oui
Trafic
IP seul?
Utilisateur

Non

Utilisez un Oui
Tunnel Unicast seul?
GRE Non
ou
L2TP

Utilisez un
VPN
IPSec

• Sélectionnez la meilleure technologie VPN pour fournir une connectivité réseau selon
les besoins du trafic.

• Le diagramme ci-dessus montre le processus de choix d'un tunneling de couche réseau


basé sur les diférents scénarios de VPN.

27
Choix de technologies VPN
• Choix de la meilleure technologie

• IPSEc est le meilleur choix pour sécuriser des VPNs d'entreprise.

- Malheureusement IPSec supporte uniquement le trafic IP unicast.


- Si les paquets IP unicast doivent être encapsulés dans un tunnel, l'encapsulation
IPSec est suffisante et moins compliquée à configurer et à vérifier.

• Pour du tunneling multiprotocole ou IP multicast, utilisez GRE ou L2TP.

- Pour des réseaux qui utilisent Microsoft, L2TP peut être le meilleur choix.
- A cause de son lien avec PPP, L2TP peut être souhaitable pour des VPNs accès distant
avec support multiprotocole.

• GRE est le meilleur choix pour des VPNs site à site avec support multiprotocole.

- GRE est également utilisé pour des tunnels de paquets multicast tels les protocoles de
routage.
- GRE encapsule tout trafic, quelque soit la source ou la destination.

• Ni L2TP, ni GRE supportent le cryptage des données ou l'intégrité des paquets. Utilisez
IPSec en combinaison avec L2TP et/ou GRE pour obtenir le cryptage et l'intégrité IPSec.

28
VPN - Termes clés

• Tunnel

• Cryptage/Décryptage

• Cryptosystème

• Hashing

• Athentification

• Autorisation

• Gestion de clé

• Certificat

29
VPN - Termes clés

Tunnel

Message
Infos Infos
Crypté

Cryptage Décryptage

• Tunnel - Connexion virtuelle point à point utilisée dans un réseau pour transporter le
trafic d'un protocole encapsulé dans un autre protocole. Par exemple du texte crypté
transporté dans un paquet IP.

30
VPN - Termes clés

Tunnel

Message
Infos Infos
Crypté

Cryptage Décryptage

• Cryptage/Décryptage - Le cryptage est un processus qui transforme une information en un


texte chiffré qui pourra pas être lu ou utilisé par des utilisateurs non-autorisés.

Le décryptage restore le texte chiffré en information originale qui pourra être lue et utilisée
par le receveur.

31
VPN - Termes clés

Tunnel

Message
Infos Infos
Crypté

Cryptage Décryptage

• Cryptosystème - Système qui réalise le cryptage/décryptage, l'authentification


utilisateur, le hachage, et le processus d'échange de clés. Un cryptosystème peut
utiliser une des ces différentes méthodes selon la politique choisie en fonction
des différents trafics de l'utilisateur.

32
VPN - Termes clés

Tunnel

Message
Infos Infos
Crypté

Cryptage Décryptage

• Hachage - Technologie d'intégrité des données qui utilise un algorithme pour convertir
un message de longueur variable et une clé secrète en une seule chaîne de caractères
de longueur fixe. L'ensemble message/clé et hash traversent le réseau de la source vers
la destination. 0 la destination, le hash recalculé est comparé avec le hash reçu. Si les
deux valeurs sont identiques, le message n'a pas été corrompu.

33
VPN - Termes clés

• Authentification - Processus d'dentification d'un utilisateur ou d'un


processus tentant d'accéder à une ressource.

- L'authentification assure que l'individu ou le processus est bien celui


qu'il prétend être.
- L'authentification n'attribut pas de droits d'accès

• Autorisation - Processus qui donne accès à des ressources à des individus


ou à des processus authentifiés.

• Gestion de clés - Un clé est généralement une séquence binaire aléatoire


utilisée pour exécuter les opérations dans un cryptosystème.

- La gestion de clés est la supervision et le controle du processus par lequel


les clés sont générées, stockées, protégées, transférées, chargées, utilisées
et détruites.

34
VPN - Termes clés

• Service Autorité de Certificat - Partie tiers de confiance qui aide à la sécurisation


des communications entre entités de réseau ou utilisateurs en créant et en affectant
des certificats tels des certificats clés-publiques pour des besoin de cryptage.

- Une autorité de certificat se porte garant du lien entre les items de sécurité du
certificat. Optionnellement une autorité de certificat crée les clés de cryptage.

35
IPSEC
• Protocoles et éléments clés

• Authenticaton Header (AH)

• Encapsulation Payload (ESP)

• Internet Key Exchange (IKE)

• Internet Security Association Key Management Protocol ( ISAKMP)

• Security Association (SA)

• Authentication, Authorization and Accounting (AAA)

• Terminal Access Controller Access Control System Plus (TACACS+)

• Remote Authentication Dial-In User Service (RADIUS)

36
IPSEC
• Protocoles et éléments clés

En-tête En-tête Charge utile IP


IP IPSec sécurisé Internet
ou Réseau Privé
Bits 0

e IP

ée P
8 16 31

r i i le

ris ile I
Sytème

cu U t

sé e Ut
avec IPsec

sé ge
Payload

ar
Next Header RESERVED

cu
g
Length

Ch

ar
Ch
Security Parameters Index (SPI)
Se te
IP -tê
c

IP tête
En
Sequence Number

c
Se
n-
IP ête

IP te E
-t
En

-tê
Données authentifiées
En
(Variable)
En-tête En-tête
Charge utile IP Charge utile IP
IP IP

Routeur
avec IPSec

• AH (Authentication Header) - Protocole de sécurité qui fournit l'authentification, l'intégrité


des données et un service optionnel de détection d'intrusion. AH est dans la charge utile du
paquet.

37
IPSEC
• Protocoles et éléments clés
En-tête
IPv4 TCP Données
IP original
(a) Paquet IP original

Authentifié
Crypté
En-tête En-tête Queue Auth
IPv4 TCP Données
IP original ESP ESP ESP

(b) Mode Transport

Authentifié
Crypté

IPv4 Nouveau En-tête En-tête Queue Auth


TCP Données
En-tête IP ESP IP original ESP ESP

(c) Mode Tunnel

• ESP (Ancapsulation Security payload) - Protocole de sécurité qui fournit la confidentialité,


l'ntégrité des données et des services de protection, deservices optionnels d'authentifiction
de l'orogine des données et de détection d'intrusion. ESP encapsule les données à protéger.

38
IPSEC
• Protocoles et éléments clés

IPSec IPSec

Routeur A Routeur B

IKE IKE

Tunnel IKE

• IKE (Internet Key Exchange) - Protocole hybride qui implémente l'échange de clés Oakley
et l'échange de clés Skeme dans le cadre de ISAKMP. Oakley et Skeme définissent chacun
une méthode pour établir un échange de clés authentifié. Ceci inclut la construction de la
charge utile, les informations transportées dans la charge utile, l'ordre dans lequel les clés
sont traitées et comment elles sont utilisées.

39
IPSEC
• Protocoles et éléments clés

A B

Accès Accès
client
Backbone
client
Opérateur
SADB SADB
A vers B A vers B
ESP/DES/SHA-1 ESP/DES/SHA-1
Keys K1,K2,... Keys K1,K2,...
lifetime=3600s lifetime=3600s

B vers A B vers A
ESP/DES/SHA-1 ESP/DES/SHA-1
keys K6,K7,... keys K6,K7,...
lifetime=3600s lifetime=3600s

• ISAKMP - (Internet Association and Key Management Protocol) - Un protocol cadre qui
définit le format des charge utiles, les mécanismes d'implémentation d'un protocole
d'échan,ge de clés et la négociation d'une SA.

• SA (Security Association) - Ensemble de principes (politiques) et de clés utilisés pour protéger


l'information. La SA ISAKMP est la politique commune et les clés utilisées par les extrémités
qui négocient dans ce protocole pour protéger leur communication.

40
IPSEC
• Protocoles et éléments clés

• AAA (Authentication, Authorization and Accounting) - Services de sécurite


réseau qui fournissent un cadre de base au travers duquel un controle est
activé sur les routeurs et les serveurs d'accès. Deux alternatives majeures
pour AAA sont TACACS+ et RADIUS.

• TACACS+ (Terminal Access Controller Access Control System Plus) - C'est une
application de sécurité qui fournit une validation cantralisée des utilisateurs
qui tentent d'obtenir un accès à un routeur ou à un serveur d'accès.

• RADIUS (Remote Dial-In User Service) - Un système client serveur distribué


qui sécurise les réseaux contre les accès non-autorisés.

41
Présentation du système de cryptage
Gestion de clés

Gestion Manuelle Echange de clés secètes Echange de clés publiques


Diffie-Hellman Autorité de Certificats

Cryptage Authentification Fonctions de hachage

Symétrique Asymétrique SHA MD5


Clé secrète: Clé publique:
MAC
DES, 3DES, RSA
AES HMAC Signature
(clé secrète) numérique
(clé publique)

• Il a de nombreuses technologies de cryptage disponibles pour fournir de la confidentialité

• DES (Data Encryption Standard) crypte les paquets avec une clé d'une longueur de 56 bits.

• A sa création dans les années 1970, DES paraissait inviolable.

• Aujourd'hui avec de super-ordinateurs, le cryptage DES peut être décodé en quelques jours.•

42
Présentation du système de cryptage
Gestion de clés

Gestion Manuelle Echange de clés secètes Echange de clés publiques


Diffie-Hellman Autorité de Certificats

Cryptage Authentification Fonctions de hachage

Symétrique Asymétrique SHA MD5


Clé secrète: Clé publique:
MAC
DES, 3DES, RSA
AES HMAC Signature
(clé secrète) numérique
(clé publique)

• 3DES utilise une clé d'une longueur de 168 bits et exécute trois opérations DES en
séquence.

• 3DES est 256 fois plus fiable que DES. AES (Advanced Encryption Standard) spécifie des
clés de longueurs 128, 192 ou 256 bits pour crypter des blocs de 128, 192 ou 256 bits
( Les 9 combinaisons de tailles de clés et de tailles de blocs sont possibles).

• Cisco prévoit que AES sera disponible sur tous les produits Cisco qui les fonctionnalités
IPSec DES/3DES tels les routeurs avec IOS, les PIX Cisco, les concentrateurs VPN Cisco
et les clients VPN Cisco.•
43
Présentation du système de cryptage
Gestion de clés

Gestion Manuelle Echange de clés secètes Echange de clés publiques


Diffie-Hellman Autorité de Certificats

Cryptage Authentification Fonctions de hachage

Symétrique Asymétrique SHA MD5


Clé secrète: Clé publique:
MAC
DES, 3DES, RSA
AES HMAC Signature
(clé secrète) numérique
(clé publique)

• Plusieurs standards ont émergé pour protéger le secret des clés et faciliter le changement
de ces clés.

• L'algorithme Diffie-Hellman implémente l'échange de clés sans échanger les clé réelles.

• C'est l'algorithme le plus connu et le plus utilsé pour établier des sessions de clés pour
crypter des données.

44
Présentation du système de cryptage
Gestion de clés

Gestion Manuelle Echange de clés secètes Echange de clés publiques


Diffie-Hellman Autorité de Certificats

Cryptage Authentification Fonctions de hachage

Symétrique Asymétrique SHA MD5


Clé secrète: Clé publique:
MAC
DES, 3DES, RSA
AES HMAC Signature
(clé secrète) numérique
(clé publique)

• Plusieurs techniques fournissent l'authentification dont MD5 (Message Digest 5) et


SHA (Secure Hash Algorithm).

45
Cryptage
• Cryptage symétrique

Clé secrète
Clé secrète
partagée
partagée

Message
Infos Infos
Crypté
Cryptage Décryptage

• Cryptage symétrique ou cryptage à clé secrète

• Utilisé pour de grands volumes de données.


• Durant l'échange, les clés peuvent changer plusieurs fois.
• Cryptage asymétrique ou cryptage à clé publique tel RSA demande beaucoup plus de
ressources CPU aussi il est utilisé uniquement pour l'échange de clés.

46
Cryptage
• Cryptage symétrique

Clé secrète
Clé secrète
partagée
partagée

Message
Infos Infos
Crypté
Cryptage Décryptage

• La caractéristique la plus importante d'un algorithme de cryptogaphie est sa robustesse


aux attaques de décryptage.

• La sécurité d'un crypto-système ou le degré de difficulté pour retrouver l'information


originale est fonction de plusieurs variables.
- Beaucoup de précautions sont prises pour protéger le secret de la clé.

• Dans la majorité des protocoles le secret de la clé utilisée pour crypter est la base de la
sécurité.

47
Cryptage
• Cryptage symétrique

Clé secrète
Clé secrète
partagée
partagée

Message
Infos Infos
Crypté
Cryptage Décryptage

• DES (Digital Encryption Standard) est un des standards de cryptage les plus utilisés.

• Les clés permettent de crypter et de décrypter.

• 3DES (Triple DES) est une alternative à DES qui préserve les investissements existants
et rend les attaques de type "force-brute" plus difficiles.

• 3DES peut utiliser une, deux ou trois clés différentes.

48
Cryptage
• Cryptage asymétrique
• La clé privée est connue uniquement par le receveur
• La clé publique est connu par le public
• La distribution de la clé publique n'est pas sécrète

Clé publique Clé privée


du receveur du receveur

Message
Infos Infos
Crypté
Cryptage Décryptage

• Cryptage asymétrique ou à clé publique

• Le même algorithme ou des algorithmes complémentaires peuvent être utilisés pour


crypter et décrypter les données.

• Deux clés sont requises : Une clé publique et une clé privée. elles sont différentes mais
elles sont liées par une relation mathématique.

• Chaque extrémité doit avoir sa paire clé publique/clé privée ainsi des clés différentes seront
utilisées pour crypter et décrypter.

49
Cryptage
• Cryptage asymétrique

Clé publique Clé privée


du receveur du receveur

Message
Infos Infos
Crypté
Cryptage Décryptage

• Les mécanismes utilisés pour générer les paires de clés sont complexes. Le résultat de la
génération consiste en deux très grands nombres aléatoires.

• Les deux nombres ainsi que leur produit doivent satisfaire à des critères mathématiques
stricts pour garantir l'unicité de la paire clé publique/clé privée.

• Les algorithmes de crytage à clé publique sony utilisé typiquement pour des applications
d'authentification incluant la signature numérique et la gestion de clés.

• Les algorithmes les plus connus sont les algorithmes RSA (Rivest, Shamir, Adleman) et
El Gamal.

50
Cryptage
• Echange de clés - Algorithme Diffie-Hellman

Réalise un échange authentifié de clés

Valeur privée XA Valeur privée XB


Valeur publique YA Valeur publique YB

Routeur A Routeur B
YA= gX mod p
A YB= gX mod pB

YA

YB
XA
YB mod p = k YA
XB
mod p = k
• Un des aspects les plus importants dans la création d'un VPN est l'échange declés.

• L'algorithme Diffie-Hellman fournit un moyen à deux utilisateurs, A et B, d'établir une


clé secrète partagée que eux seuls connaissent.

• Cette clé secrète peut être établie même si le canal de communication n'est pas sécurisé.

• Cette clé sera utilisée pour crypter les données avec l'algorithme choisi par a et B.

• Les nombres partagés sont "p" un nombre premier et "g" plus petit que "p" avec quelques
restrictions.

51
Cryptage
• Echange de clés - Algorithme Diffie-Hellman

Réalise un échange authentifié de clés

Valeur privée XA Valeur privée XB


Valeur publique YA Valeur publique YB

Routeur A Routeur B
YA= gX mod p
A YB= gX mod pB

YA

YB
XA
YB mod p = k YA
XB
mod p = k

• A et B génèrent chacun un grand nombre aléatoire qui est gardé secret.

• L'algorithme Diffie-Hellman est maintenant exécuté.

• A et B exécutent leurs calculs et échangent les résultats.

• Le résultat final est un nombre K

• Un utilisateur qui connaît "p" ou "g" ne peut calculer aisément la valeur secrète partagée
à cause de la factorisation des grands nombres premiers.

52
Cryptage
• Echange de clés - Algorithme Diffie-Hellman

Réalise un échange authentifié de clés

Valeur privée XA Valeur privée XB


Valeur publique YA Valeur publique YB

Routeur A Routeur B
YA= gX mod p
A YB= gX mod pB

YA

YB
XA
YB mod p = k YA
XB
mod p = k

• Il est important de noter que A et B non pas de méthode pour s'identifier l'un avec l'autre.

• Cet échange est vulnérable à une attaque par un tiers qui s'insère dans l'échange.

• L'authentification est réalisée par l'utilisation d'une signature numérique dans les messages
Diffie-Hellman échangés.

53
Cryptage
• Echange de clés - Hachage

Local Distant
Message de
longueur variable Message reçu
Clé secrète
Payer à JC Puce partagée Payer à JC Puce Clé secrète
50 € et 22 cents 50 € et 22 cents partagée

Fonction
de Hachage Fonction
de Hachage
Payer à JC Puce
50 € et 22 cents

4ehlDx67NM0p9 4ehlDx67NM0p9 4ehlDx67NM0p9

Message + Hash
• Le hachage garantit l'intégrité du message

• A l'extrémité locale, le message et un secret partagé son transmis par un algorithme de


hachage.

• Un algorithme de hachage est une formule qui convertit un message de longueur variable
en une seule chaines de caractères de longueur fixe appelée valeur "hash".

• Un algorithme de hachage est à sens unique. Un meesage peut produire une valeur "hash"
mais la valeur "hash" ne peut pas produire le message.
54
Cryptage
• Echange de clés - Hachage
Local Distant
Message de
longueur variable Message reçu
Clé secrète
Payer à JC Puce partagée Payer à JC Puce Clé secrète
50 € et 22 cents 50 € et 22 cents partagée

Fonction
de Hachage Fonction
de Hachage
Payer à JC Puce
50 € et 22 cents

4ehlDx67NM0p9 4ehlDx67NM0p9 4ehlDx67NM0p9

Message + Hash

• A l'extrémité distante, il y a un processus en deux étapes.

• D'abord le message reçu et le secret partagé sont transmis à l'algorithme de hachage


qui recalcule la valeur "hash".

• Ensuite le recepteur compare le "hash" calculé avec le "hash" reçu avec le message.

• Si les deux valeurs de "hash" sont égales alors l'intégrité du message est garantie.

55
Cryptage
• Echange de clés - Hachage
Local Distant
Message de
longueur variable Message reçu
Clé secrète
Payer à JC Puce partagée Payer à JC Puce Clé secrète
50 € et 22 cents 50 € et 22 cents partagée

Fonction
de Hachage Fonction
de Hachage
Payer à JC Puce
50 € et 22 cents

4ehlDx67NM0p9 4ehlDx67NM0p9 4ehlDx67NM0p9

Message + Hash

• Les deux algorithmes de hachage les plus communs sont :


- HMAC-MD5 - utilise une clé secrète de 128 bits.
- A la sortie l'algorithme donne une valeur "hash" de 128 bits.
- La valeur "hash" est ajouté en fin de message et le tout est transmis vers l'autre
extrémité.

- HMAC- SHA1 - Utilise une clé secrète de 160 bits


- A la sortie l'algorithme donne une valeur "hash" de 160 bits
- La valeur "hash" est ajouté en fin de message et le tout est transmis vers l'autre
extrémité.

• HMAC-SHA1 est considéré comme étant plus robuste que HMAC-MD5


56
Technologies IPSec
• Présentation IPSec

En-tête En-Queue
En-tête IP AH Données
ESP ESP

• Le RFC 2401 décrit la trame générale de l'architecture IPSec

• Comme tous les mécanismes de sécurité, le RFC 2401 aide à la mise en oeuvre
d'une politique de sécurité.

• La politique de sécurité définit les besoins de sécurité pour différentes connexions.

• Les connexions sont des sessions IP

• La trame générale de l'architecture IPSec fournit:

- Intégrité des données


- Authentification
- Confidentialité des données
- Associations de sécurité
- Gestion des clés

57
Technologies IPSec
• IPSec - Authentication Header (AH)

En-tête En-Queue
En-tête IP AH Données
ESP ESP

• L'Authentification Header (AH) IP est utilisé pour fournir l'intégrité, l'authentification


de l'origine des données pour des paquets IP et fournit également la détection de
l'intrusion d'un tiers dans l'échange.

• Le service de détection d'intrusion d'un tiers dans l'échange est optionnel. Si celui-ci
est négocié et validé, il faut que le récepteur teste les numéros de séquence.

• AH fournit l'authentification pour l'en-tête IP et TCP mais certains champs de l'en-tête


changent au cours du transit dans le réseau.

• AH ne peut pas fournir de protection complète de l'en-tête IP

58
Technologies IPSec
• IPSec - Authentication Header (AH)

En-tête En-Queue
En-tête IP AH Données
ESP ESP

• AH peut être appliqué seul, en combinaison avec IP ESP ou de manière imbriquer au


travers de l'utilisation du mode tunnel.

• Les services de sécurité peuvent être fournis entre une paire de hosts, une paire de
passerelles de sécurité ou entre une passerelle de sécurité et un host.

• ESP peut être utilisé pour fournir les mêmes services plus la confidentialité (cryptage).

• La différence principale entre les services d'authentification de AH et ESP est l'extension


de la couverture.

• ESP ne protège pas les champs de l'en-tête IP à moins que cet en-tête soit encapsulé par
ESP (Mode tunnel).

59
Technologies IPSec
• IPSec - Encapsulation Security Payload (ESP)

En-tête En-Queue
En-tête IP AH Données
ESP ESP

• L'en-tête ESP est inséré après l'en-tête IP et avant l'en-tête de protocole de couche
supérieure dans le mode transport ou avant un en-tête IP encapsulé en mode tunnel.

• ESP est utilisé pour fournir les services suivants:

- Confidentialité
- Authentification de l'origine des données
- Intégrité
- Service de détection d'intrusion d'une tierce partie dans l'échange

60
Technologies IPSec
• IPSec - Encapsulation Security Payload (ESP)

En-tête En-Queue
En-tête IP AH Données
ESP ESP

• L'ensemble des services fournis dépend des options sélectionnées au moment de


l'établissement des associations de sécurité et l'emplacement de l'implémentation.

• La confidentialité peut être sélectionnée indépendamment des autres services.

• Cependant l'utilisation de la confidentialité sans intégrité/authentification, soit dans


ESP ou séparément dans AH peut rendre certains trafics vulnérables à des attaques actives.

61
Technologies IPSec
• IPSec - Encapsulation Security Payload (ESP)

En-tête En-Queue
En-tête IP AH Données
ESP ESP

• L'authentification de l'origine des données et l'intégrité sont des services joints et


sont offerts en option conjointement avec la confidentialité optionnelle.

• Le service de détection d'intrusion d'une tierce partie peut être sélectionné que si
l'authentification de l'origine des données est sélectionnée et reste entièrement
à la discrétion du receveur.

• Le service de détection d'intrusion d'une tierce partie sera effectivement actif


uniquement si le receveur teste les numéros de séquence.

• La confidentialité de trafic nécessite la sélection du mode tunnel.

• Bien que la confidentialité et l'authentification soient optionnelles au moins une des


deux doit être sélectionnée.

62
Technologies IPSec
• Mode Tunnel contre Mode Transport

PC

Mode Tunnel

Mode Transport

• En mode Transport les hosts d'extrémité réalisent l'encapsulation IPSec de leurs propres
données ( host à host) par conséquent IPSec doit être implémenté sur chacun des hosts.

- L'application des points d'extrémité doit être aussi une extrémité IPSec.

• En mode Tunnel les passerelles IPSec fournissent les services IPSec aux autres hosts dans
des tunnels point à point. Les hosts d'extrémité n'ont pas besoin d'avoir IPSec.

63
Technologies IPSec
• Mode Tunnel contre Mode Transport

PC

Mode Tunnel

Mode Transport

• ESP et AH peuvent être appliqués aux paquets IP de deux façons différentes:

• Le mode Transport fournit la sécurité aux couches de protocoles supérieures.

- Le mode Transport protège la charge utile du paquet mais garde l'adresse IP originale
en clair.
- L'adresse IP originale est utilisée pour router les paquets sur Internet.
- Le mode Transport ESP est utilisé entre hosts.

64
Technologies IPSec
• Mode Tunnel contre Mode Transport

PC

Mode Tunnel

Mode Transport

• ESP et AH peuvent être appliqués aux paquets IP de deux façons différentes:

• Le mode Tunnel fournit la sécurité pour tout le paquet IP.

- Le paquet IP original est crypté


- Le paquet crypté est encapsulé dans un autre paquet IP.
- L'adresse IP "outside" est utilisée pour router les paquets sur Internet .

65
Technologies IPSec
• Security Association (SA)

A B

Accès Accès
client
Backbone
client
Opérateur
SADB SADB
A vers B A vers B
ESP/DES/SHA-1 ESP/DES/SHA-1
Keys K1,K2,... Keys K1,K2,...
lifetime=3600s lifetime=3600s

B vers A B vers A
ESP/DES/SHA-1 ESP/DES/SHA-1
keys K6,K7,... keys K6,K7,...
lifetime=3600s lifetime=3600s

• Les SAs ou Secutity Associations sont un concept de base très important dans IPSec

• Elles représentent un contrat entre deux extrémités et décrivent comment ces deux
extrémités vont utiliser les srvices ede sécurité IPSec pour protéger le trafic.

• Les SAs contiennent tous les paramètres de sécurité nécessaires pour sécuriser le
transport des paquets entre les deux extrémités et définissent la politique de sécurité
utilisée dans IPSec.

66
Technologies IPSec
• Security Association (SA)

A B

Accès Accès
client
Backbone
client
Opérateur
SADB SADB
A vers B A vers B
ESP/DES/SHA-1 ESP/DES/SHA-1
Keys K1,K2,K3,K4 Keys K1,K2,K3,K4
lifetime=3600s lifetime=3600s

B vers A B vers A
ESP/DES/SHA-1 ESP/DES/SHA-1
keys K6,K7,... keys K6,K7,...
lifetime=3600s lifetime=3600s

• Les routeurs ont besoin de deux SAs pour protéger le trafic entre les hosts A et B.

• L'établisseemnt des SAs est un prérequis dans IPSec pour la protection du trafic.

• Quand les SAs appropriées sont établies, IPSec se réfère à celles-ci pour obtenir tous
les paramètres nécessaires à la protection du trafic

• Une SA doit mettre en vigueur la politique de protection en ces termes: Pour le trafic
entre A et B, utilisez ESP 3DES avec les clés K1,K2 et K3 pour le cryptage de la charge
utile, SHA-1 avec la clé K4 pour l'authentification.•
67
Technologies IPSec
• Security Association (SA)

A B

Accès Accès
client
Backbone
client
Opérateur
SADB SADB
A vers B A vers B
ESP/DES/SHA-1 ESP/DES/SHA-1
Keys K1,K2,... Keys K1,K2,...
lifetime=3600s lifetime=3600s

B vers A B vers A
ESP/DES/SHA-1 ESP/DES/SHA-1
keys K6,K7,... keys K6,K7,...
lifetime=3600s lifetime=3600s

• Les SAs contiennent des spécifications unidirectionnelles.

• les SAs sont sépécifiques au protocole d'encapsulation (AH,ESP).

• Pour un flux de trafic donné, il y a une SA pour chaque protocole (AH, ESP) et pour
chaque sens du trafic.

• Les équipements VPN stockent leurs SAs dans une base de données local appelée
la SA Database (SADB).
68
Technologies IPSec
• Security Association (SA)

A B

Accès Accès
client
Backbone
client
Opérateur
SADB SADB
A vers B A vers B
ESP/DES/SHA-1 ESP/DES/SHA-1
Keys K1,K2,... Keys K1,K2,...
lifetime=3600s lifetime=3600s

B vers A B vers A
ESP/DES/SHA-1 ESP/DES/SHA-1
keys K6,K7,... keys K6,K7,...
lifetime=3600s lifetime=3600s

• Une SA contient les pramètres de sécurité suivants:

- L'algorithme Authentification/Cryptage, longueurs de clés et durées de vie des clés


utilisées pour protéger les paquets.

- Les clés de sessions pour l'authentification et le cryptage.

- L'encapsulation IPSec (AH ou ESP) en mode tunnel ou transport.

- Une spécification du trafic réseau auquel s'applique la SA.


69
Technologies IPSec
• Les cinq étapes d'IPSec
Host A Host B

Routeur A Routeur B

1. Le Host A transmet des informations vers le Host B


2. Les routeurs A et B négocient une session IKE Phase 1

IKE SA IKE Phase 1 IKE SA

3. Les routeurs négocient une session IKE Phase 2

IKE SA IKE Phase 2 IKE SA

4. Les information sont échangées via le Tunnel IPSec

5. Le tunnel IPSec est libéré.

• Le but d'IPSec est de protéger des données avec les moyens de sécurité appropriés

• Le processus IPSec peut être découpé en cinq étapes

70
Technologies IPSec
• Les cinq étapes d'IPSec
Host A Host B

Routeur A Routeur B

1. Le Host A transmet des informations vers le Host B


2. Les routeurs A et B négocient une session IKE Phase 1

IKE SA IKE Phase 1 IKE SA

3. Les routeurs négocient une session IKE Phase 2

IKE SA IKE Phase 2 IKE SA

4. Les information sont échangées via le Tunnel IPSec

5. Le tunnel IPSec est libéré.


• Etape 1
- Des informations à transmettre initient le processus IPSec
- Le trafic est dit "interressant" quand l'équipement VPN reconnaît que les données doivent
être protégées.

• Etape 2
- IKE Phase 1 authentifie les extrémités IPSec et négocie les SAs IKE.
- Ceci crée un canal sécurisé pour négocier les SAs IPSec en Phase 2.
71
Technologies IPSec
• Les cinq étapes d'IPSec
Host A Host B

1. Le Host A transmet des informations vers le Host B


2. Les routeurs A et B négocient une session IKE Phase 1

IKE SA IKE Phase 1 IKE SA

3. Les routeurs négocient une session IKE Phase 2

IKE SA IKE Phase 2 IKE SA

4. Les information sont échangées via le Tunnel IPSec

5. Le tunnel IPSec est libéré.

• Etape 3
- La phase 2 IKE négocie les paramètres des SAs IPSec et crée une correspondance entre
les SAs IPSec des extrémités.
- Ces paramètres de sécurité sont échangés pour protéger les messages échangés entre
les extrémités.
• Etape 4
- Le transfert de données est effectué entre les extrémités IPSec sur la base des paramètres
IPSEc et des clés stockées dans la base de données SA.
• Etape 5
- La libération du tunnel IPSec survient sur effacement au travers des SAs ou sur time out.

72
Technologies IPSec
• Les cinq étapes d'IPSec
- Comment IPSec utilise IKE
1. Un paquet est transmis du 4. Un paquet est transmis du
Routeur A vers le Routeur B. Routeur A vers le Routeur B
Pas de SA IPSec protégé par IPSec

IPSec IPSec

Routeur A Routeur B

IKE IKE
Tunnel IKE
2. IKE du Routeur A commence 3. La négociation est terminée. Le Routeur A
à négocier avec IKE du Routeur B. et le Routeur B ont un ensemble de SAs
en place.
• IKE (Internet Key Exchange) améliore IPSec en fournissant des fonctions additionnelles,
flexibilité et facilite la configuration d'IPSec.

• IKE est un protocole hybride qui implémente les échanges de clés Oakley et Skeme dans
le cadre ISAKMP (Internet Security Association and Key management)

• IKE fournit l'authentification pour les extrémités IPSec, négocie les clés IPSec et les
Associations de Sécurité IPSec

73
Technologies IPSec
• Les cinq étapes d'IPSec
- Comment IPSec utilise IKE
1. Un paquet est transmis du 4. Un paquet est transmis du
Routeur A vers le Routeur B. Routeur A vers le Routeur B
Pas de SA IPSec protégé par IPSec

IPSec IPSec

Routeur A Routeur B

IKE IKE
Tunnel IKE
2. IKE du Routeur A commence 3. La négociation est terminée. Le Routeur A
à négocier avec IKE du Routeur B. et le Routeur B ont un ensemble de SAs
en place.
• Le tunnel IKE protège les négociations de SA.

• Le Mode de configuration IKE autorise une paserelle à télécharger une adresse IP vers le
client . ceci faisant partie de la négociation IKE.

• L'adresse IP fournie par la passerelle au client IKE est utilisée comme une IP "interne"
encapsulée dans IPSec.

• Cette adresse IP connue peut être controlée par la politique (policy) IPSec.
74
Technologies IPSec
• Les cinq étapes d'IPSec
- Comment IPSec utilise IKE
1. Un paquet est transmis du 4. Un paquet est transmis du
Routeur A vers le Routeur B. Routeur A vers le Routeur B
Pas de SA IPSec protégé par IPSec

IPSec IPSec

Routeur A Routeur B

IKE IKE
Tunnel IKE
2. IKE du Routeur A commence 3. La négociation est terminée. Le Routeur A
à négocier avec IKE du Routeur B. et le Routeur B ont un ensemble de SAs
en place.

• Le Mode de configuration IKE est implémenté dans les images IOS Cisco IOSec.

• En utilisant le Mode de configuration IKE, un serveur d'accès Cisco peut être configuré pou
télécharger une adresse IP vers un client comme faisant partie de la transaction IKE.

• IKE négocie automatiquement les SAs IPSec et active les communications sécurisées par
IPSec sans une pré-configuration manuelle fastidieuse.

75
Technologies IPSec
• Les cinq étapes d'IPSec
- Comment IPSec utilise IKE
1. Un paquet est transmis du 4. Un paquet est transmis du
Routeur A vers le Routeur B. Routeur A vers le Routeur B
Pas de SA IPSec protégé par IPSec

IPSec IPSec

Routeur A Routeur B

IKE IKE
Tunnel IKE
2. IKE du Routeur A commence 3. La négociation est terminée. Le Routeur A
à négocier avec IKE du Routeur B. et le Routeur B ont un ensemble de SAs
en place.
• IKE a les avantages suivants:

- Elimine la configuration manuelle des paramètres de sécurité IPSec dans des crypto
maps à chaque extrémité.
- Permet de spécifier une durée de vie pour les SAs.
- Permet le changement de clés pendant les sessions IPSec.
- Autorise IPSec à fournir les services de détecton d'intrusion d'un tiers.
- Permet le support d'Autotrité de Certification pour une implémentation IPSec évolutive.
- Permet l'authentification dynamique des extrémités.
76
Technologies IPSec
• Les cinq étapes d'IPSec
- Comment IPSec utilise IKE
• Les différentes technologies implémentées pour l'usage d'IKE sont:

- DES (Data Encryption Standard) utilisé pour crypter les données. IKE implémente
le standard DES-CBC 56 bits avec Explivit IV (Initialization Vector).

- 3DES. Cryptage 168 bits

- CBC (Cipher Bloc Chaining) requiert l'utilisation d'un vecteur d'initialisation (IV).
Le vecteur d'initialisation est donné dans le paquet IPSec.

- Diffie-Hellman est un protocol de cryptage à clé publique qui permet à deux parties
d'établir un secret partagé sur un canal de communication non-sécurisé. Diffie-Hellman
est utilisé dans IKE pour établir les sessions de clés. Les groupes Diffie-Hellman 768-bits
et 1024-bits sont supportés.

- MD5 (Message Digest 5), variante HMAC, est un algorithme de hachage utilisé pour
authentifier les données. HMAC est une variante qui donne un niveau supplémentaire de
hachage.

- SHA (Secure Hash Algorithm), variante HMAC, est un algorithme de hachage utilisé pour
authentifier les données. HMAC est une variante qui donne un niveau supplémentaire de
hachage.

- Signatures RSA et cryptage RSA -- RSA est un protocole de cryptage à clé publique
développé par Ron Rivest, Adi Shamir et Leonard Adleman.
Les signatures RSA fournissent la non-répudiation tandis RSA est utilisé pour le cryptage.

77
Technologies IPSec
• Les cinq étapes d'IPSec
- Comment IPSec utilise IKE
1. Un paquet est transmis du 4. Un paquet est transmis du
Routeur A vers le Routeur B. Routeur A vers le Routeur B
Pas de SA IPSec protégé par IPSec

IPSec IPSec

Routeur A Routeur B

IKE IKE
Tunnel IKE
2. IKE du Routeur A commence 3. La négociation est terminée. Le Routeur A
à négocier avec IKE du Routeur B. et le Routeur B ont un ensemble de SAs
en place.
• Le protocole IKE utilise les certificats X.509v3 quand l'authentification requiert des
clés publiques.

• Ce support de certificat permet l'évolution du réseau en fournissant l'équivalent d'une


carte d'identification numérique à chaque équipement.

• Quand deux équipements veulent communiquer, ils échangent leurs certificats pour
prouver leur identité.

• Ceci élimine le besoin d'échanger manuellement des clés publiques avec chaque
extrémité ou de spécifier manuellement une clé partagée à chaque extrémié.
78
Technologies IPSec
• Les cinq étapes d'IPSec
- Comment IPSec utilise IKE

IOS Non access-list 1XX permit


Transmettre
Le trafic est choisi Cryptage?
sur interface
avec les listes d'accès
Oui

IPSec crypto ipsec


Un par IPSec SA Oui Cryptage du transform-set
SA IPSec? paquet et
(entre extrémités) transmission
crypto map name

Non Clés

ISAKMP/Oakley Oui Négocie les SAs crypto isakmp policy


Un par ISAKMP SA SA IKE? IPSec avec SA crypto isakmp identity
(entre extrémités) ISAKMP crypto key generate
Non crypto key public-chain
Non Négocie les SAs
Authentification ISAKMP avec
avec CA?
l'extrémité

Oui
CA Authentification crypto ca identity
Un par paire de clés Récupère la clé publique du CA crypto ca authenticate
privée/publique Récupère le certificat pour sa propre crypto ca enroll
clé publique. crypto ca crl request
• IPSec dans l'IOS Cisco traite les paquets comme le montre la figure ci-dessus

• Le processus présume que les clés privées et publiques ont déjà été créees et qu'il
existe au moins une liste de controle d'accès.
79
Technologies IPSec
• Les cinq étapes d'IPSec
- Comment IPSec utilise IKE

• Les listes d'accès appliquées à une interface et les crypto map sont utlisées
par l'IOS Cisco pour sélectionner le trafic qui doit être protégé (crypté).

• L'IOS Cisco vérifie si les associations de sécurité IPSec (SA) ont été établies.

• Si les SAs ont déjà été établies par configuration manuelle avec les commandes
crypto ipsec transform-set et crypto map ou par IKE, le paquet est crypté sur la
base de la "policy" spécifiée dans la crypto map et transmis sur l'interface.

• Si les SAs ne sont pas établies, l'IOS Cisco vérifie si une SA ISAKMP a été
configurée et activée.

• Si la SA ISAKMP a été activée, cette SA ISAKMP dirige la négociation de la SA


IPSec avec la "polict" ISAKMp configurée par la commande crypto isakmp policy.

• Le paquet est crypté par IPSec et transmis sur l'interface.

80
Technologies IPSec
• Les cinq étapes d'IPSec
- Comment IPSec utilise IKE

• Si la SA ISAKMP n'a pas été activée, l'IOS Cisco vérifie si l'autorité de


certification a été configurée pour établir une ISAKMP policy.

• Si l'authentification de la CA (Certification Authority) a été configurée avec


les différentes commandes crypto ca, le routeur utilise les clés publique/privée
configurées précédemment, récupère le certificat public de la CA, un certificat
pour sa propre clé publique, utilise la lé pour négocier une SA ISAKMP qui à son
tour est utilisée pou négovier une SA IPSEC. Le paquet est crypté puis transmis.

81
Taches de configuration IPSec

Tache 1 - Préparer IPSec Tache 3 - Configurer IPSec


• Déterminer la IKE policy (IKE Phase 1) • Configurer les suites "transform-set"
• Déterminer la IPSec policy (IKE Phase 2) • Configurer les paramètres globaux IPSec
• Vérifier la configuration courante • Créer les crypto ACLs
• S'assurer que le réseau fonctionne sans • Créer les crypto ACLs utilisants les listes
cryptage d'accès étendues
• S'assurer que les listes de controle d'accès • Créer les crypto maps.
sont compatibles avec IPSec. • Configurer les IPSec crypto maps

Tache 2 - Configurer IKE Tache 4 - Tester et Vérifier IPSec


• Valider ou Dévalider IKE
• Créer les IKE policies
• configurer les "pre-shared" clés
• Configurer l'identité ISAKMP
• Vérifier la configuration IKE

• L'utilisation de clés IKE "pre-shared" pour l'authentification de sessions IPSec est


relativement aisée mais n'est pas très évolutive pour un grand nombre de clients IPSec.

• Le processus de configuration de clés IKE "pe-shared" dans l'IOS Cisco consiste en quatre
taches principales.

82
Taches de configuration IPSec
• Tache 1 - Préparation IKE et IPSec

Tache 1 - Préparer IPSec


• Déterminer la IKE policy (IKE Phase 1)
• Déterminer la IPSec policy (IKE Phase 2)
• Vérifier la configuration courante
- show running-configuration
- show crypto isakmp policy
- show crypto map

• S'assurer que le réseau fonctionne sans


cryptage. (ping)
• S'assurer que les listes de controle d'accès
sont compatibles avec IPSec.
- show access-lists
Tache 2 - Configurer IKE
Tache 3 - Configurer IPSec
Tache 4 - Tester et Vérifier IPSec

• La configuration du cryptage IPSec peut être compliquée

• Créer un plan d'action avant de configurer correctement le cryptage IPSec est obligatoire la
première fois afin de minimiser les erreurs de configuration.

• Commencez par définir une politique de sécurité IPSec basée sur la politique générale de
sécurité de l'entreprise.

83
Taches de configuration IPSec
• Tache 1 - Préparation IKE et IPSec
- Déterminer la "IKE Policy " (IKE Phase 1)

Déterminer les détails suivants de la IKE policy Phase 1:


• Méthode de distribution des clés
• Méthode d'authentification
• Adresses IP et noms de hosts des extrémités IPSec
• IKE policy Phase 1 pour toutes les extrémités
- Algorithme de Cryptage
- Algorithme de Hachage
- Durée de vie des SAs IKE

But: Minimiser les incohérences de configuration.

• Configurer IKE est compliqué

• Déterminer d'abord les détails de la policy IKE pour valider la méthode d'authentification
choisie et la configurer.

• Un plan d'action détaillé évite les configurations non-apprpriées.

84
Taches de configuration IPSec
• Tache 1 - Préparation IKE et IPSec
- Paramètres "IKE Policy " (IKE Phase 1)

Paramètre Fiable Très fiable


Algorithme de cryptage DES 3-DES
Algorithme de hachage MD5 SHA-1
Méthode d'authentification Pre-Share Cryptage RSA
Signature RSA
Echange de clés Diffie-Hellman Groupe 1 Diffie-Hellman Groupe 2
Durée de vie SA IKE 86400 seconds Moins de 86400 secondes

• Une IKE "policy" définit une combinaison de paramètres de sécurité utilisés pendant
la négociation IKE.

• Un groupe de "policies" crée une ensemble de "policies" qui permet aux extrémités
IPSec d'établir des sessions IKE et d'établir des SAs avec une configuration minimale.

• Le tableau ci-dessus montre un exemple possible de combinaisons de paramètres IKE


pour une policy.

• Les négociations IKE dovent être protégées aussi la négociation IKE commence par
l'agrément par chaque extrémité d'une politique (policy) IKE commune

• Cette politique indique quels sont les paramètres IKE qui vont servir à protéger les
échanges IKE suivants.
85
Taches de configuration IPSec
• Tache 1 - Préparation IKE et IPSec
- Paramètres "IKE Policy " (IKE Phase 1)

Paramètre Valeur Mot-clé Valeur par défaut


Algorithme de DES des 768-bit Diffie-Hellman
cryptage 3-DES 3des
Algorithme de SHA-1, variante HMAC sha 86400 secondes ou
hachage MD5, variante HMAC md5 un jour

Méthode Pre-shared clés pre-share 768-bit Diffie-Hellman


d'authentification Cryptage RSA rsa-encr
Signatures RSA rsa-sig
Echange de clés 768-bit Diffie-Hellman 1 768-bit Diffie-Hellman
Identificateur de ou
groupe Diffie-Hellman 1024-bit Diffie-Hellman 2
ISAKMP - Durée de vie Toutes valeurs possibles - 86400 secondes ou
des SAs établies un jour.

• Définir les paramètres de la IKE policy

86
Taches de configuration IPSec
• Tache 1 - Préparation IKE et IPSec
- Paramètres "IKE Policy " (IKE Phase 1)
Paramètre Fiable Très fiable
Algorithme de cryptage DES 3-DES
Algorithme de hachage MD5 SHA-1
Méthode d'authentification Pre-Share Cryptage RSA
Signature RSA
Echange de clés Diffie-Hellman Groupe 1 Diffie-Hellman Groupe 2
Durée de vie SA IKE 86400 seconds Moins de 86400 secondes

• Paramètres de la IKE policy

- Sélectionner une valeur pour chaque paramètre ISAKMP. Il a cinq paramètres à


définir dans chaque IKE policy tel que le décrit le tableau ci-dessus.

87
Taches de configuration IPSec
• Tache 1 - Préparation IKE et IPSec
- Déterminer IPSec (IKE Phase 2)

Déterminer les détails suivants de la IKE policy phase 2:


• Algorithmes et paramètres IPSec pour une sécurité et des performances
optimales.
• Transformations et si nécessaire Transform set
• Détails sur l'extrémité IPSec
• Adresse IP et applications à protéger
• SAs Manuelles ou initiées par IKE

But: Minimiser les incohérences de configuration.

• Une IPSec policy définit une combinaison de paramètres IPSec utilisés pendant la
négociation IPSec.

• La planification de IPSEc IKE phase 2 est une autre étape importante avant de
configure IPSec sur un routeur.

88
Taches de configuration IPSec
• Tache 1 - Préparation IKE et IPSec
- IPSec Transforms supportés par l'IOS Cisco

Le logiciel IOS Cisco supporte les transformations IPSec suivantes:

CentralA(config)#crypto ipsec transform-set transform set-name

ah-md5 hmac AH - HMAC MD5 transform


ah-sha hmac AH - HMAC SHA transform
esp-3des ESP transform using 3DES(EDE) cipher (168 bits)
esp-des ESP transform using DES cipher (56 bits)
esp-md5 hmac ESP transform using HMAC - MD5 auth
esp-sha hmac ESP transform using HMAC - SHA auth
esp-null ESP transform w/o cipher

89
Taches de configuration IPSec
• Tache 1 - Préparation IKE et IPSec
- IPSec Transforms supportés par l'IOS Cisco

CentralA(config)#crypto ipsec transform -set transform set-name

ah-md5 hmac AH - HMAC MD5 transform


ah-sha hmac AH - HMAC SHA transform
esp-3des ESP transform using 3DES(EDE) cipher (168 bits)
esp-des ESP transform using DES cipher (56 bits)
esp-md5 hmac ESP transform using HMAC - MD5 auth
esp-sha hmac ESP transform using HMAC - SHA auth
esp-null ESP transform w/o cipher

• AH (Authentication Header)

- AH est rarement utilisé car l'authentification est maintenant disponible avec les transforms
esp-md5-hmac et esp-sha-hmac .

- AH n'est pas compatible avec NAT ou PAT

90
Taches de configuration IPSec
• Tache 1 - Préparation IKE et IPSec
- IPSec Transforms supportés par l'IOS Cisco
CentralA(config)#crypto ipsec transform -set transform set-name

ah-md5 hmac AH - HMAC MD5 transform


ah-sha hmac AH - HMAC SHA transform
esp-3des ESP transform using 3DES(EDE) cipher (168 bits)
esp-des ESP transform using DES cipher (56 bits)
esp-md5 hmac ESP transform using HMAC - MD5 auth
esp-sha hmac ESP transform using HMAC - SHA auth
esp-null ESP transform w/o cipher

Transform Description
esp-des Transform ESP utilisant DES 56 bits
esp-3des Transform ESP utilisant 3DES 168 bits
esp-md5-hmac Transform ESP avec l'authentification MD5 HMAC utilisée avec une
transform esp-des ou esp-3des pour fournir l'intégrité des paquets ESP
esp-shs-hmac Transform ESP avec l'authentification SHA HMAC utilisée avec une
transform esp-des ou esp-3des pour fournir l'intégrité des paquets ESP
esp-null Transform ESP sans cryptage. Peut être utilisée en combinaison avec
esp-md5-hmac ou esp-sha-hmac si on veut l'authentification sans cryptage.

Attention: Ne jamais utiliser esp-null dans un environnement de production car les


flux de données ne seront pas protégés.

91
Taches de configuration IPSec
• Tache 1 - Préparation IKE et IPSec
- IPSec Transforms supportés par l'IOS Cisco
CentralA(config)#crypto ipsec transform -set transform set-name

ah-md5 hmac AH - HMAC MD5 transform


ah-sha hmac AH - HMAC SHA transform
esp-3des ESP transform using 3DES(EDE) cipher (168 bits)
esp-des ESP transform using DES cipher (56 bits)
esp-md5 hmac ESP transform using HMAC - MD5 auth
esp-sha hmac ESP transform using HMAC - SHA auth
esp-null ESP transform w/o cipher

Type de Transform Combinaisons autorisées


Transform AH • ah-md5-hmac-AH avec MD5 (variante HMAC) algorithme d'authentification
En choisir une • ah-SHA-hmac-AH avec SHA (variante HMAC) algorithme d'authentification
Transform ESP • esp-des-ESP avec DES-56bits algorithme de cryptage
Transform • esp-3des-ESP avec DES-168bits algorithme de cryptage
• esp-null-null algorithme de cryptage
ESP Authentification • esp-md5-hmac-ESP avec MD5 (variante HMAC) algorithme d'authentification
Transform • esp-sha-hmac-ESP avec SHA (variante HMAC) algorithme d'authentification
En choisir une
Compression IP • compression comp-lzs-ip avec l'algorithme LZS.
Transform

• L'IOS Cisco empêche l'entrée de combinaisons invalides ou non-autorisées.

92
Taches de configuration IPSec
• Tache 1 - Préparation IKE et IPSec
- Exemple IPSec Policy
Host A Host B

Routeur A Routeur B

Internet
10.0.1.3 10.0.2.3
E0/1 172.30.1.2 E0/1 172.30.2.2

Policy Host A Host B


Transform set ESP-DES, Tunnel ESP-DES, Tunnel
Peer hostname RouteurB RouteurA
Peer IP address 172.30.2.2 172.30.1.2
Hosts à crypter 10.0.1.3 10.0.2.3
Type de trafic à crypter TCP TCP
Etablissement des SAs ipsec-isakmp ipsec-isakmp

• La figure ci-dessus montre un exemple des details de la politique de cryptage IPSec qui
sera utilisée dans les exmples dee ce document.

93
Taches de configuration IPSec
• Tache 1 - Préparation IKE et IPSec
- Identifier les extrémités IPSec

Routeur Cisco

Utilisateur distant Cisco


avec le client VPN Cisco PIX Pare-feu

Autres constructeurs
voisins IPSec

Serveur CA
Concentrateur
VPN Cisco

• Un point important pour déterminer la politique IPSec est l'identification l'extrémité IPSec
avec laquelle le routeur Cisco va communiquer.

• L'extrémité doit supporter IPSec tel qu'il est spécifié dans les RFCs supportés par l'IOS Cisco.

94
Taches de configuration IPSec
• Tache 1 - Préparation IKE et IPSec
- Etape 3 : Vérifier la configuration courante
Host A Host B

Routeur A Routeur B

Internet

E0/1 172.30.1.2 E0/1 172.30.2.2

Routeur# show running-config

• Affiche la configuration courante pour voir les policies IPSec existantes

Routeur# show crypto isakmp policy

• Affiche les policies IKE phase 1 par défaut et configurées

Routeur# show crypto map


• Affiche les crypto maps configurées

Routeur# show crypto ipsec transform-set


• Affiche les "transforms set"configurés

95
Taches de configuration IPSec
• Tache 1 - Préparation IKE et IPSec
- Etape 3 : Vérifier la configuration courante

• Commande : show crypto isakmp policy

RouterA#show crypto isakmp policy


Default protection suite
encryption algorithm: DES - Data Encryption Standard (56 bit keys)
hash algorithm: Secure Hash Standard
authentication method: Rivest-Shamir-Adleman Signature
Diffie-Hellman Group: #1 (768 bit)
lifetime: 86400 seconds, no volume limit

• Utilisez la commande show crypto isakmp policy pour examiner les


policies IKE

96
Taches de configuration IPSec
• Tache 1 - Préparation IKE et IPSec
- Etape 3 : Vérifier la configuration courante

• Commande : show crypto map

RouterA#show crypto map


Crypto Map "mymap" 10 ipsec-isakmp
Peer = 172.30.2.2
Extended IP access list 102
access-list 102 permit ip host 172.30.1.2 host 172.30.2.2
Current peer: 172.30.2.2
Security association lifetime: 4608000 kilobytes/3600 seconds
PFS (Y/N): N
Transform sets={ mine, }

• La commande show crypto map est très utile pour examiner les crypto maps
déjà configurées.

97
Taches de configuration IPSec
• Tache 1 - Préparation IKE et IPSec
- Etape 3 : Vérifier la configuration courante

• Commande : show crypto map

RouterA#show crypto ipsec transform-set mine


Transform set mine: { esp-des }
will negotiate = { Tunnel, },

• Utilisez la commande show crypto ipsec transform-set mine pour examiner les
transform sets déjà configurés.

• Utilisez les transform sets déjà configurés pour gagner une configuration
plus rapide.

98
Taches de configuration IPSec
• Tache 1 - Préparation IKE et IPSec
- Etape 4 : Vérifier le fonctionnement du réseau

RouteurA#ping 172.30.1.2
Cisco Routeur B
172.30.2.2

Utilisateur distant Cisco


avec le client VPN Cisco PIX Pare-feu

Cisco Routeur B
172.30.1.2
Autres constructeurs
voisins IPSec

Serveur CA
Concentrateur
VPN Cisco

99
Taches de configuration IPSec
• Tache 1 - Préparation IKE et IPSec
- Etape 5: Assurez-vous que les ACLs sont compatibles
avec IPSec

IKE
AH
Site 1 ESP Site 2

Routeur A Routeur B

Internet

E0/1 172.30.1.2 E0/1 172.30.2.2

RouterA#show access-lists
access-list 102 permit ah host 172.30.2.2 host 172.30.1.2
access-list 102 permit esp host 172.30.2.2 host 172.30.1.2
access-list 102 permit udp host 172.30.2.2 host 172.30.1.2 eq isakmp

• Assurez-vous que les protocoles 50, 51 et UDP port 500 ne sont pas bloqués sur
les interfaces utilisées par IPSec.

100
Taches de configuration IPSec
• Tache 2 - Configurer IKE

Tache 1 - Préparer IPSec


Tache 2 - Configurer IKE
• Etape 1 - Valider ou dévalider IKE
- crypto isakmp enable
• Etape 2 - Créer les IKE policies
- crypto isakmp policy
• Etape 3 - Configurer ISAKMP
- crypto isakmp identity
• Etape 4 - Configurer les Pre-shared clés
- crypto isakmp key
• Etape 5 - Vérifier la configuration IKE
- show crypto isakmp policy
Tache 3 - Configurer IPSec
Tache 4 - Tester et Vérifier IPSec

101
Taches de configuration IPSec
• Tache 2 - Configurer IKE
- Etape 1: Valider IKE

Host A Host B
Routeur A Routeur B

Internet
10.0.1.3 10.0.2.3
172.30.1.2 172.30.2.2

RouteurA(config)# [no] crypto isakmp enable

RouteurA(config)#crypto isakmp enable

• Cette commande valide ou dévalide globalement IKE sur un routeur


• IKE est validé par défaut
• IKE est validé globalement pour toutes les interfaces du routeur
• Une liste ce controle d'accès peut être utilisée pour bloquer IKE sur une interface
particulière.

102
Taches de configuration IPSec
• Tache 2 - Configurer IKE
- Etape 2: Créer les "IKE Policies"
Host A Host B
Routeur A Routeur B

Internet
10.0.1.3 10.0.2.3
172.30.1.2 172.30.2.2

RouteurA(config)#crypto isakmp policy priority

• Définit une policy IKE qui est un ensemble de paramètres utilisés lors de la négociation
IKE.
• Enchaine sur le mode de commande isakmp

RouteurA(config)#crypto isakmp policy 110

• L'étape majeure suivante dans la configuration die ISAKMP est de définir une suite de
policies ISAKMP.

• Le but de cette définition est d'établir une liaison ISAKMP entre deux extrémités IPSec.

103
Taches de configuration IPSec
• Tache 2 - Configurer IKE
- Etape 2: Créer les "IKE Policies" avec la commande
crypto isakmp
Host A Host B
Routeur A Routeur B

Internet
10.0.1.3 10.0.2.3
172.30.1.2 172.30.2.2
Policy 110
DES
MD5
Pre-Share
86400

RouteurA(config)#crypto isakmp policy priority

• Définit les paramètres dans la policy 110

RouteurA(config)#crypto isakmp policy 110


RouteurA(config-isakmp)#authentication pre-share
RouteurA(config-isakmp)#encryption des
RouteurA(config-isakmp)#group1
RouteurA(config-isakmp)#hash md5
RouteurA(config-isakmp)#lifetime 86400

• La commande isakmp policy invoque le mode de configuration ISAKMP (config-isakmp)


dans lequel les paramètres ISAKMP sont configurés.

104
Taches de configuration IPSec
• Tache 2 - Configurer IKE
- Etape 2: Créer les "IKE Policies" avec la commande
crypto isakmp

Mot-clé Valeurs acceptées Valeurs par défaut Description


des DES-CBC 56 bits des Algorithme de cryptage
sha SHA-1(variante HMAC) sha Intégrité du message
md5 MD5 (variante HMAC)
rsa-sig Signatures RSA rsa-sig Méthode d'authentification
rsa-encr Cryptage RSA d'une extrémité
pre-share Lcés "pre-shared"
1 Diffie-Hellman 768 bits 1 Paramètres d'échange de
2 Diffie-Hellman 1024 bits clés.

- Toutes valeurs possibles 86400 secondes


en secondes (un jour)

• Si un de ces paramètres n'est pas spécifié pour la policy, la valeur par défaut sera utilisée
pour ce paramètre.

105
Taches de configuration IPSec
• Tache 2 - Configurer IKE
- Etape 2: "IKE Policy négotiation"
Host A Host B
Routeur A Routeur B

Internet
10.0.1.3 10.0.2.3
172.30.1.2 172.30.2.2

• crypto isakmp policy 100 • crypto isakmp policy 100


- hash md5 - hash md5
- authentication pre-share - authentication pre-share
• crypto isakmp policy 200 • crypto isakmp policy 200
- hash sha - hash sha
- authentication rsa-sig - authentication rsa-sig
• crypto isakmp policy 300 • crypto isakmp policy 300
- authentication pre-share - authentication pre-share

Les deux premières policies peuvent être négociées avec succès par la troisième

• Une correspondance est trouvée quand les deux policies des deux extrémités contiennent
les mêmes paramères pour le cryptage, l'authentification, le hachage et diffie-Hellman et
quand la policy de l'extrémité distante spécifie une durée de vie égale ou inférieure à la
policy locale.

106
Taches de configuration IPSec
• Tache 2 - Configurer IKE
- Etape 3: Configurer ISAKMP Identity
Host A Host B
Routeur A Routeur B

Internet
10.0.1.3 10.0.2.3
172.30.1.2 172.30.2.2

routeur(config)#crypto isakmp identity {address | hostname}

address Fixe l'identité ISAKMP avec l'adresse IP de l'interface qui est utilisée pour
communiquer avec l'extrémité distante durant la négociation ISAKMP.
Cette méthode est utilisée quand il y a une seule interface utilisée et que
l'adresse IP est connue.
hostname Fixe l'identité ISAKMP avec le nom de host concaténé avec le nom de domaine.
Cette méthode doit être utilisée s'il y a plusieurs interfaces utilisées pour la
négociation ISAKMP ou si l'adresse IP de l'interface n'est pas connue.
( adresse affectée dynamiquement)

• Les extrémités IPSec s'authentifient mutuellement pendant la négociation ISAKMP en


utilisant les clés "pre-shared" et l'identité ISAKMP.

• L'identité ISAKMP peut être l'adresse IP de l'interface du routeur ou le nom de host.

• L'IOS Cisco utilise l'identité par adresse IP par défaut.


107
Taches de configuration IPSec
• Tache 2 - Configurer IKE
- Etape 4: Configurer les "pre-shared keys"
Host A Host B
Routeur A Routeur B

Internet
10.0.1.3 10.0.2.3
172.30.1.2
Pre-shared clé 172.30.2.2
Cisco1234

routeur(config)#crypto isakmp key keystring address peer-address

routeur(config)#crypto isakmp key keystring hostname hostname

routeur(config)#crypto isakmp key Cisco1234 address 171.30.2.2

• Configurez une clé d'authentification "pre-shared" avec la commande crypto isakmp key
en mode de configuration global.

• Cette clé doit être configurée chaque fois que des clés "pre-shared" sont spécifiées dans
policy ISAKMP.

108
Taches de configuration IPSec
• Tache 2 - Configurer IKE
- Etape 4: Configurer les "pre-shared keys"
Host A Host B
Routeur A Routeur B

Internet
10.0.1.3 10.0.2.3
172.30.1.2
Pre-shared clé 172.30.2.2
Cisco1234

RouterA(config)#crypto isakmp key cisco1234 address 172.30.2.1


RouterA(config)#crypto isakmp policy 110
RouterA(config-isakmp)#hash md5
RouterA(config-isakmp)#authentication pre-share

RouterB(config)#crypto isakmp key cisco1234 address 172.30.1.1


RouterB(config)#crypto isakmp policy 110
RouterB(config-isakmp)#hash md5
RouterB(config-isakmp)#authentication pre-share

109
Taches de configuration IPSec
• Tache 2 - Configurer IKE
- Etape 5: Vérifier la configuration IKE
Host A Host B
Routeur A Routeur B

Internet
10.0.1.3 10.0.2.3
172.30.1.2 172.30.2.2

RouterA#show crypto isakmp policy


Protection suite of priority 110
encryption algorithm: DES - Data Encryption Standard (56 bit keys).
hash algorithm: Message Digest 5
authentication method: Pre-Shared Key
Diffie-Hellman group: #1 (768 bit)
lifetime: 86400 seconds, no volume limit
Default protection suite
encryption algorithm: DES - Data Encryption Standard (56 bit keys).
hash algorithm: Secure Hash Standard
authentication method: Rivest-Shamir-Adleman Signature
Diffie-Hellman group: #1 (768 bit)
lifetime: 86400 seconds, no volume limit

110
Taches de configuration IPSec
• Tache 3 - Configurer IPSec

Tache 1 - Préparer IPSec


Tache 2 - Configurer IKE
Tache 3 - Configurer IPSec
• Etape 1 - Configurer les "transform suites"
- crypto ipsec transform-set
• Etape 2 - Configurer les durées de vie globales des IPSec SAs
- crypto ipsec security-association lifetime
• Etape 3 - Créer les crypto ACLs utilisant les listes d'accès
étendues
- crypto map
• Etape 4 - Configurer les crypto maps IPSec
• Etape 5 - Appliquer les crypto maps aux interfaces
- crypto map map-name
Tache 4 - Tester et Vérifier IPSec

111
Taches de configuration IPSec
• Tache 3 - Configurer IPSec
Etape 1: Configurer les "transforms set"
Host A Host B
Routeur A Routeur B

Internet
10.0.1.3 10.0.2.3
172.30.1.2 172.30.2.2
Mine
esp-des
Tunnel

Routeur(config)#crypto ipsec transform-set transform-set-name transform1


[transform2 [transform2 [transform3]]
Routeur(cfg-crypto-trans)#

RouteurA(config)#crypto ipsec transform-set mine des

• Un "transform set" est une combinaison de transforms individuels IPSec qui promulgue
une politique de sécurité pour le trafic.

• Durant la négociation ISAKMP IPSec SA qui se produit dans IKE phase 2 en mode rapide,
les extrémités agréent l'utilisation d'un "transform set" pour protéger un flux de trafic
particulier.

112
Taches de configuration IPSec
• Tache 3 - Configurer IPSec
Etape 1: "transform set negotiation"
Host A Host B
Routeur A Routeur B

Internet
10.0.1.3 10.0.2.3
172.30.1.2 172.30.2.2
transform-set 10 transform-set 40
esp-3des esp-3des
tunnel tunnel

transform-set 20 transform-set 50
esp-3des, esp-md5-hmac esp-3des, ah-sha-hmac
tunnel tunnel
transform-set 30 transform-set 60
esp-3des, esp-sha-hmac esp-3des, esp-sha-hmac
tunnel OK tunnel

• Les "transform sets" sont négociés durant IKE phase 2 en mode quick en utilisant des
transform sets dejà configurés.

• Plusieurs transform sets peuvent être configurés avant de spécifier un plusieurs


transform sets dans une crypto map.

• Configurez les "transforms" du plus sécurisé au moins sécurisé comme l"indique la


policy.
• Le transform set défini dans la crypto map est utilisé dans la négociation IPSec SA pour
protéger le flux spécifié dans l'ACL de la crypto map.
113
Taches de configuration IPSec
• Tache 3 - Configurer IPSec
Etape 2: Configurer les durées de vies globales des SA IPSec
Host A Host B
Routeur A Routeur B

Internet
10.0.1.3 10.0.2.3
172.30.1.2 172.30.2.2

Routeur(config)#crypto ipsec security-association lifetime


{ seconds seconds|kilobytes kilobytes}

RouteurA(config)# crypto ipsec security-association lifetime 86400

• Les durées de vie des SAs IPSec sont négociées dans IKE phase2

• Les durées de vie des SAs IPSec dans les crypto map outrepassent les durées de vie
globales des SAs IPSec.

114
Taches de configuration IPSec
• Tache 3 - Configurer IPSec
Etape 2: But des "Crypto ACLs"
Host A
Routeur A

Internet
10.0.1.3
172.30.1.2
Trafic
Cryptage
sortant
Non IPsec

Autorise IPSec crypté Trafic


entrant
Non IPSec

Elimine IPSec
non-crypté

• Les listes d'accès en sortie indiquent quel flux de données doit être protégé par IPSec

• Les listes d'accès en entrée filtrent et élimine le trafic qui aurait du être protégé par
IPSec.

115
Taches de configuration IPSec
• Tache 3 - Configurer IPSec
Etape 3: Créer "Crypto ACLs" avec les listes d'accès
étendues
Host A Host B
Routeur A Routeur B

Internet
10.0.1.3 10.0.2.3
172.30.1.2 172.30.2.2

10.0.2.0
10.0.1.0 Cryptage

Routeur(config)#access-list access-list-number [dynamic dynamic-name


[timeou-minutes]] {deny | permit} protocol source source-wildcard
destination destination-wildcard [precedence precedence] [tos tos] [log]

RouteurA(config)#access-list 110 permit tcp 10.0.1.0 0.0.0.255


10.0.2.0 0.0.0.255

• Les crypto ACLs identifie quel trafic doit protégé (crypté)

116
Taches de configuration IPSec
• Tache 3 - Configurer IPSec
Etape 3: Configurer "Crypto ACLs" avec des extrémités
symétriques

Host A Host B
Routeur A Routeur B

Internet
10.0.1.3 10.0.2.3
172.30.1.2 172.30.2.2

RouteurA(config)#access-list 101 permit tcp


10.0.1.0 0.0.0.255 10.0.2.0 0.0.0.255

RouteurB(config)#access-list 101 permit tcp


10.0.2.0 0.0.0.255 10.0.1.0 0.0.0.255

117
Taches de configuration IPSec
• Tache 3 - Configurer IPSec
Etape 3: But des "Crypto maps"

Les crypto maps relient les différentes parties configurées pour IPSec dont:

• Le trafic devant être protégé par IPSec et un ensemble de SAs

• L'adresse locale à utiliser pour le trafic IPSEc

• L'adesse de destination du trafic protégé par IPSec

• Le type IPSec à appliquer à ce trafic

• La méthode d'établissement des SAs, soit manuellement soit avec RSA

• D'autres paramètres nécessaires pour définir une SA IPSec

118
Taches de configuration IPSec
• Tache 3 - Configurer IPSec
Etape 3: Paramètres des "Crypto maps"
Host A Host B
Routeur A Routeur B

Internet
10.0.1.3 10.0.2.3
172.30.1.2 172.30.2.2

Trafic crypté
Interface ou
sous-interface
de routeur

Les crypto maps définissent:


• La liste d'accès à utiliser
• Les extrémités distantes du VPN
• Les transforms sets utilisés
• La méthode de gestion des clés
• La durée de vie des associations de sécurité

119
Taches de configuration IPSec
• Tache 3 - Configurer IPSec
Etape 4: Configurer les "Crypto maps" IPSec

Host A Host B
Routeur A Routeur B

Internet
10.0.1.3 10.0.2.3
172.30.1.2 172.30.2.2

Routeur(config)#crypto map map-name seq-num ipsec-manual

Routeur(config)#crypto map map-name seq-num ipsec-isakmp [dynamic


dynamic-map-name]

RouteurA(config)#crypto map mymap 110 ipsec-isakmp

• Un numéro de séquence différent par extrémité


• De multiples extrémités peuvent être spécifiées dans un seule crypto map
pour redondance
• Une crypto map par interface

120
Taches de configuration IPSec
• Tache 3 - Configurer IPSec
Etape 4: Exemple de ommandes crypto map
Host A Host B
Routeur B
Routeur A 172.30.2.2

Internet
10.0.1.3 10.0.2.3
172.30.1.2
172.30.3.2
Routeur C

RouteurA(config)#map mymap 110 ipsec-isakmp


RouteurA(config-crypto-map)#match address 110
RouteurA(config-crypto-map)#set peer 172.30.2.2
RouteurA(config-crypto-map)#set peer 172.30.3.2
RouteurA(config-crypto-map)#set pfs group1
RouteurA(config-crypto-map)#set transform-set mine
RouteurA(config-crypto-map)#set security association lifetime 86400

121
Taches de configuration IPSec
• Tache 3 - Configurer IPSec
Etape 5: Appliquer les "Crypto maps" aux interfaces
Host A Host B
Routeur A Routeur B

Internet
10.0.1.3 10.0.2.3
172.30.1.2 172.30.2.2

mymap

Routeur(config-if)#crypto map map-name

RouteurA(config)#interface ethernet0/1
RouteurA(config-if)#crypto map mymap

122
Taches de configuration IPSec
• Tache 3 - Configurer IPSec
Etape 5: Exemples de configuration IPSec
Host A Host B
Routeur A Routeur B

Internet
10.0.1.3 10.0.2.3
172.30.1.2 172.30.2.2

RouteurA#show running-config RouteurB#show running-config


crypto ipsec transform-set mine crypto ipsec transform-set mine
esp-des esp-des
! !
crypto map mymap 10 ipsec-isakmp crypto map mymap 10 ipsec-isakmp
set peer 172.30.2.2 set peer 172.30.1.2
set transform-set mine set transform-set mine
match address 110 match address 110
! !
interface Ethernet0/1 interface Ethernet0/1
ip address 172.30.1.2 255.255.255.0 ip address 172.30.2.2 255.255.255.0
no ip directed broadcast no ip directed broadcast
crypto map mymap crypto map mymap
! !
access-list 110 permit tcp 10.0.1.0 access-list 110 permit tcp 10.0.2.0
0.0.0.255 10.0.2.0 0.0.0.255 0.0.0.255 10.0.1.0 0.0.0.255

123
Taches de configuration IPSec
• Tache 4 - Tester et vérifier IPSec
Tache 1 - Préparation pour IKE et IPSec
Tache 2 - Configurer IKE
Tache 3 - Configurer IPSec
Tache 4 - Tester et Vérifier IPSec
• Affiche les policies IKE configurées
- show crypto isakmp policy ( show isakmp policy sur un PIX)

• Affiche les transform sets configurés


- show crypto ipsec transform-set

• Affiche les associations de sécurité


- show crypto isakmp sa (show isakmp sa sur un PIX)

• Affiche l'état courant des SAs IPSec


- show crypto ipsec sa

• Affiche les crypto maps configurés


- show crypto map

• Valide debug pour les évènements IPSec


- debug crypto ipsec

• Valide debug pour les évènements ISAKMP


- debug crypto isakmp

124
Taches de configuration IPSec
• Tache 4 - Tester et vérifier IPSec
- Commande show crypto isakmp policy
Host A Host B
Routeur A Routeur B

Internet
10.0.1.3 10.0.2.3
172.30.1.2 172.30.2.2

RouteurA#show crypto isakmp policy


Protection suite of priority 110
encryption algorithm: DES - Data Encryption Standard (56 bit keys).
hash algorithm: Message Digest 5
authentication method: pre-share
Diffie-Hellmen-group: #1 (768bit)
Lifetime: 86400 seconds, no volume limit
Default protection suite
encryption algorithm: DES - Data Encryption Standard (56 bit keys).
hash algorithm: Secure Hash Standard
authentication method: Rivest-Shamir-Adleman Signature
Diffie-Hellmen-group: #1 (768bit)
Lifetime: 86400 seconds, no volume limit

125
Taches de configuration IPSec
• Tache 4 - Tester et vérifier IPSec
- Commande show crypto ipsec transform-set
Host A Host B
Routeur A Routeur B

Internet
10.0.1.3 10.0.2.3
172.30.1.2 172.30.2.2

RouteurA#show crypto ipsec transform-set


Transform set mine: { esp-des} will negotiate = {Tunnel, },

• Affiche les transforms sets courants et définis

RouteurA#show crypto isakmp sa


dest src state conn-id slot
172.30.2.2 172.30.1.2 QM_IDLE 47 5

• Affiche les associations de sécurité ISAKMP

126
Taches de configuration IPSec
• Tache 4 - Tester et vérifier IPSec
- Commande show crypto ipsec sa
Host A Host B
Routeur A Routeur B

Internet
10.0.1.3 10.0.2.3
172.30.1.2 172.30.2.2

RouteurA#show crypto ipsec sa


interface: Ethernet0/1
Crypto map tag: mymap, local addr. 172.30.1.2
local ident (addr/mask/prot/port): (172.30.1.2/255.255.255.255/0/0)
remote ident (addr/mask/prot/port): (172.30.2.2/255.255.255.255/0/0)
Current peer: 172.30.2.2
PERMIT, flags={origin_is_acl}
#pkts encaps: 21, #pkts encrypt: 21, #pkts digest 0
#send errors 0 #rec errors 0
Local crypto endpt: 172.30.1.2, remote crypto endpt: 172.30.2.2

127
Taches de configuration IPSec
• Tache 4 - Tester et vérifier IPSec
- Commande show crypto map
Host A Host B
Routeur A Routeur B

Internet
10.0.1.3 10.0.2.3
172.30.1.2 172.30.2.2

RouteurA#show crypto map


Crypto Map "mymap" 10 ipsec-isakmp
Peer - 172.30.2.2
Extended IP access list 202
Acces-list 102 permit ip host 172.30.1.2 host 172.30.2.2
Current peer: 172.30.2.2
Security association lifetime: 4608000 kilobytes/3600 seconds
PFS (Y/N) : N
Transform sets={ mine, }

128
Taches de configuration IPSec
• Tache 4 - Tester et vérifier IPSec
- Commandes clear

Routeur# clear crypto sa


Routeur# clear crypto sa peer <IP address | peer name>
Routeur# clear crypto sa map <map name>
Routeur# clear crypto sa entry <destination address protocol spi>

• Efface les associations de sécurité IPSec dans la base de données du routeur

PIX# clear [crypto] ipsec sa


PIX# clear [crypto] ipsec sa peer <IP address | peer name>
PIX# clear [crypto] ipsec sa map <map name>
PIX# clear [crypto] ipsec sa entry <destination address protocol spi>

• Efface les associations de sécurité IPSec ou IKE sur un PIX

129
Taches de configuration IPSec
• Tache 4 - Tester et vérifier IPSec
- Commandes debug crypto

Routeur#debug crypto ipsec

• Affiche les messages debug pour tous les évènements IPSec

Routeur#debug crypto isakmp

• Affiche les messages debug pour tous les évènements ISAKMP

130
Taches de configuration IPSec
• Tache 4 - Tester et vérifier IPSec
- Commandes debug crypto

RouteurA#debug crypto ipsec


Crypto IPSEC debugging is on
RouteurA#debug crypto isakmp
Crypto ISAKMp debugging is on
RouteurA#
*Feb 20 08:08:06.556 PST: IPSEC(sa-request): ,
(key eng. msg.) src= 172.30.1.2, dest= 172.30.2.2,
src_proxy= 10.0.1.0/255.255.255.0/0/0 (type=4),
dest_proxy= 10.0.2.0/255.255.255.0/0/0 (type=4),
protocol= ESP, transform= esp-des esp-md5-hmac ,
lifedur= 3600s and 4608000kb,
spi= 0x0(0), conn-id= 0, keysize=0, flags=0x4004
! Le trafic interessant entre Site1 et Site2 active ISAKMP
Main Mode.
*Feb 20 08:08:06.556 PST: ISAKMP (4): beginning Main Mode exchange

131
Taches de configuration IPSec
• Tache 4 - Tester et vérifier IPSec
- Messages d'erreur du système de cryptage pour ISAKMP

%CRYPTO-6-IKMP_SA_NOT_AUTH: Cannot accept Quick Mode exchange from


%151 is SA is not authenticated!

• Message d'erreur indiquant que la SA ISAKMP avec l'extrémité distante


n'a pas été authentifiée.

%CRYPTO-6-IKMP_SA_NOT_OFFERED: Remote peer %151 responded with


attribute [chars] not offered or changed

• Message d'erreur indiquant une erreur de protection des négociations entre


les extrémités ISAKMP.

132