Sécuriser la

connexion site à
site
1
 Introduction
• La sécurité est une préoccupation lorsque l’on utilise un réseau public tel
que Internet pour conduire des activités d’affaires.
• Des réseaux Privés Virtuels (VPNs) sont utilisés pour assurer la sécurité
des données au travers du réseau Internet.
• Un VPN est utilisé pour créer un tunnel privé sur un réseau public.
• Les données peuvent être garanties en utilisant le chiffrage dans ce tunnel
au travers Internet et en utilisant l'authentification pour protéger les
données de tout accès non autorisé.
Les VPN
 Présentation des VPN
• Les entreprises utilisent des VPN pour créer une connexion sécurisée de
bout en bout par réseau privé sur des réseaux tiers, comme Internet.
• Une passerelle VPN est requise pour l'implémentation de VPN. La
passerelle VPN peut être un routeur, un pare-feu ou un périphérique Cisco
ASA (Adaptive Security Appliance).
 Avantages des réseaux
privés virtuels
• Réductions des coûts 
• Les VPN permettent aux entreprises d'utiliser un transport Internet tiers et économique
pour la connexion des bureaux et des utilisateurs distants au site principal
• Évolutivité 
• Les VPN permettent aux entreprises d'utiliser l'infrastructure d'Internet des FAI et des
périphériques, ce qui permet d'ajouter facilement de nouveaux utilisateurs.
• Compatibilité avec la technologie haut débit  
• Les VPN permettent aux travailleurs mobiles et aux télétravailleurs de bénéficier d'une
connectivité haut débit rapide, comme la technologie DSL et le câble, pour accéder au
réseau de leur entreprise, offrant aux travailleurs mobiles flexibilité et efficacité.
• Les VPN sont également une solution rentable pour connecter des bureaux distants.
• Sécurité  
• Les VPN peuvent inclure des mécanismes de sécurité offrant un niveau de sécurité très
élevé grâce à l'utilisation de protocoles de chiffrement et d'authentification avancés qui
protègent les données de tout accès non autorisé.
Types de réseau privé virtuel
Type 1: de site à site

•  Les VPN site à site connectent entre eux des réseaux entiers,.
• Les hôtes internes n’ ont pas connaissance qu'un VPN existe.
• Les hôtes finaux envoient et reçoivent le trafic TCP/IP normal par
l'intermédiaire d'une « passerelle » VPN.
• La passerelle VPN est responsable de l'encapsulation et du chiffrement de la
totalité du trafic sortant issu d'un site spécifique.
Type 2: VPN d'accès à distance

• Prend en charge les besoins en matière de télétravailleurs, d'utilisateurs mobiles,

d'extranet et de trafic entre les consommateurs et les entreprises.
• Prend en charge une architecture client-serveur, dans laquelle le client VPN
(hôte distant) obtient un accès sécurisé au réseau de l'entreprise par
l'intermédiaire d'un périphérique de serveur VPN à la périphérie du réseau.
• Il se peut qu'un logiciel client VPN doive être installé sur le
périphérique final de l'utilisateur mobile, par exemple le
logiciel Cisco AnyConnect Secure Mobility Client sur
chaque hôte.
• Lorsque l'hôte tente d'envoyer du trafic, le logiciel Cisco
AnyConnect VPN Client encapsule et chiffre ce trafic. Les
données chiffrées sont ensuite envoyées via Internet vers la
passerelle VPN située à la périphérie du réseau cible

10
Tunnels GRE de site à
site
 Présentation du protocole GRE
(Generic Routing Encapsulation)
 Est un exemple de
protocole de tunneling
VPN de site à site de
base, non sécurisé, et
protocole de tunneling
développé par Cisco.
 Capable d'encapsuler
une large variété de
types de paquets de
protocoles au sein de
tunnels IP.
 Crée une liaison point à
point vers des routeurs
Cisco au niveau de
points distants sur un
interréseau IP.
Caractéristiques de GRE
 Caractéristiques de GRE
Le protocole GRE possède les caractéristiques suivantes :
 Il est défini en tant que norme IETF .
 Dans l'en-tête IP externe, la valeur 47 est utilisée dans le champ de
protocole afin d'indiquer qu'un en-tête GRE va suivre.
 L'encapsulation GRE utilise un champ de type de protocole dans l'en-
tête GRE afin de prendre en charge l'encapsulation de n'importe quel
protocole OSI de couche 3.
 La fonctionnalité GRE est sans état et ne comporte aucun mécanisme
de contrôle de flux par défaut.
 Le protocole GRE n'inclut aucun mécanisme de sécurité fort destiné à
protéger ses données utiles.
 L'en-tête GRE, avec l'en-tête IP de tunneling indiqué sur la figure, crée
un minimum de 24 octets de surcharge supplémentaire pour les
paquets qui transitent par le tunnel.
Configuration des tunnels GRE
Configuration des tunnels GRE
Vérification des tunnels GRE

Vérification de
l’activation de
l’interface du
tunnel
Présentation d’IPsec
Les VPN IPsec
 Les informations
issues d'un réseau
privé sont
transportées en toute
sécurité sur un
réseau public.
 Pour rester privé, le
trafic est chiffré pour
que les données
restent
confidentielles.
 Les fonctions IPsec
 Définit comment un VPN peut être configuré de manière sécurisée à l'aide du
protocole Internet (IP).
 Fonctionne au niveau de la couche réseau, en protégeant et en authentifiant
les paquets IP entre les équipements IPsec participants (homologues).
 Sécurise un chemin entre une paire de passerelles, une paire d’hôtes ou une
passerelle et un hôte.
  Les implémentations du protocole IPsec possèdent un en-tête de couche 3 en
texte clair, et ce, afin d'éviter tout problème de routage. 
 Fonctionne sur l'ensemble des protocoles de couche 2, tels qu'Ethernet, ATM
ou Frame Relay.
 Services de sécurité IPsec
 Confidentialité (chiffrement) – chiffre les données avant de les
transmettre à travers le réseau
 Intégrité des données  – il vérifie que ces données n'ont pas été
modifiées durant leur transfert, Si une quelconque altération est
détectée, le paquet est supprimé.
 Authentification – vérifie l'identité de la source des données
envoyées, garantit que la connexion est réalisée avec le partenaire
de communication souhaité, IPsec utilise le mécanisme IKE (Internet
Key Exchange) pour authentifier les utilisateurs et les périphériques
qui peuvent effectuer des communications indépendantes.

CIA: Confidentialité, Intégrité et Authentification

Confidentialité avec chiffrement
 Pour que la communication chiffrée fonctionne, l'expéditeur et le
destinataire doivent connaître les règles utilisées pour le codage du
message d'origine.
 Ces règles se basent sur des algorithmes et des clés associées.
 Le déchiffrement est extrêmement difficile, voire impossible, sans la
bonne clé.
 Algorithmes de chiffrement
 Plus la longueur de clé augmente, plus il devient difficile de
décoder le chiffrement. Toutefois, une clé plus longue nécessite
plus de ressources processeur lors du chiffrement et du
déchiffrement des données.
 Les deux principaux types de cryptage sont :
 Chiffrement symétrique
 Chiffrement asymétrique
 Chiffrement symétrique
 Nécessitent une clé secrète partagée pour le chiffrement et le
déchiffrement.
 Généralement utilisés pour chiffrer le contenu du message.
 Exemples : DES, 3DES et AES (256-bit recommendé pour le
chiffrement IPsec).
 Chiffrement asymétrique
 Utilise des clés différentes pour le chiffrement et le déchiffrement.
 L'une des clés chiffre le message, tandis que la seconde le déchiffre.
 Le chiffrement à clé publique est une variante du chiffrement
asymétrique qui utilise la combinaison d'une clé privée et d'une clé
publique.
 utilisés dans le cas des certificats numériques et de la gestion de clés
 Exemple: RSA
Échange de clés Diffie-Hellman
 L'algorithme DH (Diffie-Hellman) n'est pas un mécanisme de
chiffrement et n'est généralement pas utilisé pour le chiffrement de
données.
 DH est une méthode d'échange sécurisé des clés utilisées pour chiffrer
des données.
 Le système DH fait aujourd'hui partie de la norme IPsec.
 Les algorithmes de chiffrement tels que DES, 3DES et AES, ainsi que
les algorithmes de hachage MD5 et SHA-1 nécessitent une clé secrète
partagée symétrique pour la réalisation des tâches de chiffrement et de
déchiffrement.
 L'algorithme DH spécifie une méthode d'échange de clé publique qui
permet à deux homologues d'établir une clé secrète partagée qu'ils
sont les seuls à connaître, bien qu'ils communiquent sur un canal non
sécurisé.
 Intégrité avec les algorithmes
de hachage
 L'expéditeur d'origine génère un hachage du message et l'envoie
avec le message lui-même.
  Le destinataire analyse le message ainsi que le hachage, génère
un autre hachage à partir du message reçu, puis compare les deux
hachages.
 S'ils sont identiques, le destinataire peut être raisonnablement sûr
de l'intégrité du message d'origine.
Je voudrais encaisser ce chèque
Un code d'authentification des messages basé sur le hachage (HMAC) est un
mécanisme d'authentification des messages utilisant des fonctions de hachage.
 Un HMAC possède deux paramètres :  une entrée de message et une clé
secrète connue uniquement de l'initiateur du message et des destinataires de
celui-ci.
 L'expéditeur du message utilise une fonction HMAC pour générer une valeur
(le code d'authentification du message) qui est formée en associant la clé
secrète et l'entrée de message.
  Le code d'authentification du message est envoyé avec le message.
 Le destinataire calcule le code d'authentification du message reçu en utilisant
la même clé et la même fonction HMAC que celles utilisées par l'expéditeur.
 Le destinataire compare ensuite le résultat à celui calculé à l'aide du code
d'authentification du message reçu.
 Si les deux valeurs correspondent, le message a été reçu correctement et le
destinataire est certain que l’expéditeur est un membre de la communauté
d’utilisateurs autorisés à partager la clé.
Il existe deux algorithmes HMAC :
 MD5 – utilise une clé secrète partagée de 128 bits. Le message de
longueur variable et la clé secrète partagée de 128 bits sont
combinés et soumis à l'algorithme de hachage HMAC-MD5. La sortie
est un hachage de 128 bits. Le hachage est ajouté au message
original et transféré à l’extrémité distante.
 SHA –  l'algorithme SHA-1 utilise une clé secrète de 160 bits. Le
message de longueur variable et la clé secrète partagée de 160 bits
sont combinés et soumis à l'algorithme de hachage HMAC-SHA1. La
sortie est un hachage de 160 bits. Le hachage est ajouté au
message original et transféré à l’extrémité distante.
 Authentification IPsec
 Les VPN IPsec prennent en charge l'authentification.
  Le périphérique situé à l'autre extrémité du tunnel VPN doit être
authentifié avant que le chemin de communication ne puisse être
considéré comme étant sécurisé.
There are two peer authentication methods, PSK and RSA signatures:
 PSK 
 Une clé secrète devant être partagée entre les deux parties par le
biais d'un canal sécurisé avant son utilisation.
 Utilisent des algorithmes cryptographiques à clé .
 Une clé PSK est entrée manuellement dans tous les homologues
et sert à les authentifier.
 Signatures RSA  
 Des certificats numériques sont échangés pour l'authentification
des homologues.
 Le périphérique local calcule un hachage et le chiffre avec sa clé
privée.
 Le hachage chiffré, ou signature numérique, est attaché au
message et transmis à l'extrémité distante.
 À l’extrémité distante, le hachage chiffré est déchiffré à l’aide de la
clé publique du périphérique local.
 Si le hachage déchiffré correspond au hachage recalculé, la
signature est authentique.
 Cadre du protocole IPsec
En-tête d'authentification (AH) 
 Protocole approprié à utiliser lorsque la confidentialité n'est pas
requise ou autorisée.
 Permet l'authentification et l'intégrité des données des paquets IP qui
sont transmis entre deux systèmes.

Technologie ESP (Encapsulating Security Payload) 

 Protocole de sécurité permettant la confidentialité et l'authentification
grâce au chiffrement du paquet IP.
 ESP authentifie le paquet IP interne et l’en-tête ESP.
Le cadre IPsec comporte quatre éléments constitutifs de base qui doivent
être sélectionnés :
 Cadre du protocole IPsec  – Les choix possibles sont des combinaisons
des technologies ESP et AH. De manière réaliste, les options ESP ou
ESP+AH sont presque toujours sélectionnées, car la méthode AH elle-
même ne permet pas le chiffrement.
 Confidentialité (en cas d'implémentation du protocole IPsec avec la
technologie ESP)  – DES, 3DES ou AES. L'algorithme AES est fortement
recommandé, avec AES-GCM pour une sécurité maximale.
 Intégrité – Garantit que le contenu n'a pas été modifié lors du transit par le
biais de l'utilisation d'algorithmes de hachage (MD5 et SHA).
 Authentification  – représente la manière selon laquelle les périphériques
sont authentifiés à chaque extrémité du tunnel VPN (PSK ou RSA).
 Groupe d'algorithmes DH  – Représente la manière selon laquelle une clé
secrète partagée est établie entre des homologues, DH24 est celui qui offre
le plus de sécurité.
Accès à distance
Types de VPN d'accès à distance
 Il existe deux méthodes principales permettant de déployer des
VPN d'accès à distance :
 Protocole SSL (Secure Sockets Layer)
 IPsec (IP Security)
 Le type de méthode VPN implémentée se base sur les conditions
d'accès des utilisateurs ainsi que sur les processus informatiques
de l'entreprise.
 Les technologies IPsec et VPN SSL offrent un accès à quasiment
n'importe quelle application ou ressource réseau.
 VPN SSL de Cisco
 La technologie VPN SSL de Cisco IOS permet un accès à distance
à l'aide d'un navigateur Web ainsi que du chiffrement SSL natif de
ce navigateur.
 Elle peut également offrir un accès à distance à l'aide du logiciel
Cisco AnyConnect Secure Mobility Client.
IPsec Remote Access
 La solution Cisco Easy VPN se compose de trois éléments :
 Serveur Cisco Easy VPN   routeur Cisco IOS ou pare-feu Cisco
ASA jouant le rôle de périphérique de tête de réseau VPN dans
des VPN de site à site ou d'accès à distance.
 Cisco Easy VPN distant – routeur Cisco IOS ou pare-feu Cisco
ASA jouant le rôle de client VPN distant.
 Client VPN Cisco – application prise en charge sur un PC utilisé
pour accéder à un serveur VPN Cisco.
 La solution Cisco Easy VPN offre flexibilité, évolutivité et simplicité
d'utilisation à la fois pour les VPN IPsec de site à site et d'accès à
distance.
Serveur Cisco Easy VPN et accès à
distance
Comparaison entre IPsec et SSL