CN instructorPPT Chapter7 finalFR

Chapitre 7: Sécuriser
la connexion site à site
Connecting Networks
Presentation_ID © 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential 1
Traduction de la version Anglaise originale effectuée par
Translated from the original English version done by
Jimmy Tremblay
Instructeur au/at Cégep de Chicoutimi
534 Rue Jacques-Cartier Est, Chicoutimi, Québec, Canada

Courriel/Email: jtremb@cegep-chicoutimi.qc.ca
Chapitre 7: Sécuriser la connexion site à site
7.1 VPNs
7.2 Site-to-Site GRE Tunnels
7.3 Introducing IPsec
7.4 Remote Access
7.5 Summary
Chapitre 7: Objectifs
Chapitre 7: Introduction
 La sécurité est une préoccupation lorsque l’on utilise un réseau
public tel que Internet pour conduire des activités d’affaires.
 Des réseaux Privés Virtuels (VPNs) sont utilisés pour assurer la
sécurité des données au travers du réseau Internet.
 Un VPN est utilisé pour créer un tunnel privé sur un réseau public.
 Les données peuvent être garanties en utilisant le chiffrage dans ce
tunnel au travers Internet et en utilisant l'authentification pour
protéger les données des tout accès non autorisé.
 Ce chapitre explique les concepts et les processus liés aux VPN,
ainsi que les avantages d'implémentations d’un VPN et les
protocoles sous-jacents nécessaires à la configuration des VPN.
7.1 Les VPN
Notions de base des VPN
Présentation des VPN
 Les entreprises utilisent des VPN pour créer une connexion sécurisée
de bout en bout par réseau privé sur des réseaux tiers, comme
Internet ou des extranets.
 Une passerelle VPN est requise pour l'implémentation de VPN. La
passerelle VPN peut être un routeur, un pare-feu ou un périphérique
Cisco ASA (Adaptive Security Appliance).
Avantages des réseaux privés virtuels
 Réductions des coûts
• Les VPN permettent aux entreprises d'utiliser un transport
Internet tiers et économique pour la connexion des bureaux et
des utilisateurs distants au site principal
 Évolutivité
• Les VPN permettent aux entreprises d'utiliser l'infrastructure
d'Internet des FAI et des périphériques, ce qui permet d'ajouter
facilement de nouveaux utilisateurs.
Avantages des réseaux privés virtuels
(suite)
 Compatibilité avec la technologie haut débit
• Les VPN permettent aux travailleurs mobiles et aux
télétravailleurs de bénéficier d'une connectivité haut débit
rapide, comme la technologie DSL et le câble, pour accéder au
réseau de leur entreprise, offrant aux travailleurs mobiles
flexibilité et efficacité.
• Les VPN sont également une solution rentable pour connecter
des bureaux distants.
 Sécurité
• Les VPN peuvent inclure des mécanismes de sécurité offrant un
niveau de sécurité très élevé grâce à l'utilisation de protocoles
de chiffrement et d'authentification avancés qui protègent les
données de tout accès non autorisé.
Types de réseau privé virtuel
Type 1: de site à site
 Les VPN site à site connectent entre eux des réseaux entiers, Par le
passé, une connexion par ligne louée ou Frame Relay était requise
pour connecter des sites, mais comme la plupart des entreprises
disposent aujourd'hui d’un accès Internet, ces connexions peuvent
être remplacées par des VPN site à site.
 Les hôtes internes n’ ont pas connaissance qu'un VPN existe.
 Est créé lorsque les périphériques situés des deux côtés de la
connexion VPN connaissent par avance la configuration VPN.
Type 1: de site à site (suite)
 Les hôtes finaux envoient et reçoivent le trafic TCP/IP normal par
l'intermédiaire d'une « passerelle » VPN.
 La passerelle VPN est responsable de l'encapsulation et du
chiffrement de la totalité du trafic sortant issu d'un site spécifique.
 La passerelle VPN envoie ensuite ce trafic sur Internet par le biais
d'un tunnel VPN jusqu'à une passerelle VPN homologue au niveau
du site cible.
 Lors de la réception, la passerelle VPN homologue élimine les en-
têtes, déchiffre le contenu et relaie le paquet vers l'hôte cible au sein
de son réseau privé.
Type 1: de site à site (suite)
Type 2: VPN d'accès à distance
 Prend en charge les besoins en matière de télétravailleurs, d'utilisateurs
mobiles, d'extranet et de trafic entre les consommateurs et les entreprises.
 Prend en charge une architecture client-serveur, dans laquelle le client
VPN (hôte distant) obtient un accès sécurisé au réseau de l'entreprise par
l'intermédiaire d'un périphérique de serveur VPN à la périphérie du
réseau.
 Utilisés pour la connexion d'hôtes individuels devant accéder en toute
sécurité au réseau de leur entreprise via Internet.
 Il se peut qu'un logiciel client VPN doive être installé sur le périphérique
final de l'utilisateur mobile, par exemple le logiciel Cisco AnyConnect
Secure Mobility Client sur chaque hôte.
 Lorsque l'hôte tente d'envoyer du trafic, le logiciel Cisco AnyConnect VPN
Client encapsule et chiffre ce trafic. Les données chiffrées sont ensuite
envoyées via Internet vers la passerelle VPN située à la périphérie du
réseau cible.
Type 2: VPN d'accès à distance (suite)
Packet Tracer 7.1.2.4 configuration de VPN

7.2 Tunnels GRE de site
à site
Notions de base de l'encapsulation GRE (Generic Routing Encapsulation)
Présentation du protocole GRE

 Est un exemple de
protocole de tunneling
VPN de site à site de
base, non sécurisé, et
protocole de tunneling
développé par Cisco.
 Capable d'encapsuler
une large variété de
types de paquets de
protocoles au sein de
tunnels IP.
 Crée une liaison point à
point vers des routeurs
Cisco au niveau de
points distants sur un
interréseau IP.
Notions de base de l'encapsulation GRE
Caractéristiques de GRE
Notions de base de l'encapsulation GRE
Caractéristiques de GRE
Le protocole GRE possède les caractéristiques suivantes :
 Il est défini en tant que norme IETF .
 Dans l'en-tête IP externe, la valeur 47 est utilisée dans le champ de
protocole afin d'indiquer qu'un en-tête GRE va suivre.
 L'encapsulation GRE utilise un champ de type de protocole dans l'en-
tête GRE afin de prendre en charge l'encapsulation de n'importe quel
protocole OSI de couche 3.
 La fonctionnalité GRE est sans état et ne comporte aucun mécanisme
de contrôle de flux par défaut.
 Le protocole GRE n'inclut aucun mécanisme de sécurité fort destiné à
protéger ses données utiles.
 L'en-tête GRE, avec l'en-tête IP de tunneling indiqué sur la figure, crée
un minimum de 24 octets de surcharge supplémentaire pour les
paquets qui transitent par le tunnel.
Configuration des tunnels GRE
Configuration de tunnel GRE
Configuration de tunnel GRE
Vérification de tunnel GRE
Vérification
de
l’activation
de l’interface
du tunnel
Packet Tracer 7.2.2.3 Configuration GRE 7.2.2.4 dépannage GRE

7.3 Présentation d’IPsec
Sécurité de protocole Internet
Les VPN IPsec
 Les informations
issues d'un réseau
privé sont
transportées en toute
sécurité sur un
réseau public.
 Cela permet
d'obtenir un réseau
virtuel au lieu
d'utiliser une
connexion dédiée de
couche 2.
 Pour rester privé, le
trafic est chiffré pour
que les données
restent
confidentielles.
IPsec Functions
 Définit comment un VPN peut être configuré de manière sécurisée à l'aide du
protocole Internet (IP).
 IPsec est un cadre de standards ouverts qui compose en touts lettres les règles
pour des communications sécurisées.
 N'est lié à aucun algorithme de chiffrement, d'authentification et de sécurité
spécifique, ni à aucune technologie d'utilisation de clés.
 Le protocole IPsec se base sur des algorithmes existants pour mettre en œuvre
des communications sécurisées..
 Fonctionne au niveau de la couche réseau, en protégeant et en authentifiant
les paquets IP entre les équipements IPsec participants (homologues).
 Sécurise un chemin entre une paire de passerelles, une paire d’hôtes ou une
passerelle et un hôte.
 Les implémentations du protocole IPsec possèdent un en-tête de couche 3 en
texte clair, et ce, afin d'éviter tout problème de routage.
 Fonctionne sur l'ensemble des protocoles de couche 2, tels qu'Ethernet, ATM
ou Frame Relay.
Les caractéristiques du protocole IPsec
Les caractéristiques du protocole IPsec peuvent se résumer comme suit :
 Le protocole IPsec est un cadre de normes ouvertes qui est
indépendant de l'algorithme.
 Le protocole IPsec permet la confidentialité, l'intégrité et
l'authentification de la source des données.
 IPsec agit comme la couche réseau, qui protège et authentifie les
paquets IP.
Services de sécurité IPsec
 Confidentialité (chiffrement) – chiffre les données avant de les
transmettre à travers le réseau
 Intégrité des données – il vérifie que ces données n'ont pas été
modifiées durant leur transfert, Si une quelconque altération est
détectée, le paquet est supprimé.
 Authentification – vérifie l'identité de la source des données
envoyées, garantit que la connexion est réalisée avec le partenaire
de communication souhaité, IPsec utilise le mécanisme IKE (Internet
Key Exchange) pour authentifier les utilisateurs et les périphériques
qui peuvent effectuer des communications indépendantes.
 Protection anti-reprise – détecte et rejete des paquets rediffusés,
ce qui contribue à empêcher l'usurpation
CIA: Confidentialité, Intégrité et Authentification
Cadre IPsec
Confidentialité avec chiffrement
 Pour que la communication chiffrée fonctionne, l'expéditeur et le
destinataire doivent connaître les règles utilisées pour le codage du
message d'origine.
 Ces règles se basent sur des algorithmes et des clés associées.
 Le déchiffrement est extrêmement difficile, voire impossible, sans la
bonne clé.
Cadre IPsec
Algorithmes de chiffrement
 Plus la longueur de clé augmente, plus il devient difficile de
décoder le chiffrement. Toutefois, une clé plus longue nécessite
plus de ressources processeur lors du chiffrement et du
déchiffrement des données.
 Les deux principaux types de cryptage sont :
 Chiffrement symétrique
 Chiffrement asymétrique
Cadre IPsec
Chiffrement symétrique
 Nécessitent une clé secrète partagée pour le chiffrement et le
déchiffrement.
 Chacun des deux périphériques réseau doit connaître la clé afin de
pouvoir décoder les informations.
 chaque périphérique chiffre les informations avant de les envoyer à
l'autre périphérique sur le réseau.
 Généralement utilisés pour chiffrer le contenu du message.
 Exemples : DES, 3DES et AES(n’ est plus considéré comme sécurisé)
et AES (256-bit recommendé pour le chiffrement IPsec).
Cadre IPsec
Chiffrement asymétrique
 Utilise des clés différentes pour le chiffrement et le déchiffrement.
 Même si un pirate informatique connaît une clé, cela n’est pas
suffisant pour en déduire la deuxième et ainsi décoder les
informations.
 L'une des clés chiffre le message, tandis que la seconde le déchiffre.
 Le chiffrement à clé publique est une variante du chiffrement
asymétrique qui utilise la combinaison d'une clé privée et d'une clé
publique.
 utilisés dans le cas des certificats numériques et de la gestion de clés
 Exemple: RSA
Cadre IPsec
Échange de clés Diffie-Hellman
 L'algorithme DH (Diffie-Hellman) n'est pas un mécanisme de
chiffrement et n'est généralement pas utilisé pour le chiffrement de
données.
 DH est une méthode d'échange sécurisé des clés utilisées pour chiffrer
des données.
 Les algorithmes DH permettent à deux parties d'établir une clé secrète
partagée utilisée par des algorithmes de chiffrement et de hachage.
 Le système DH fait aujourd'hui partie de la norme IPsec.
 Les algorithmes de chiffrement tels que DES, 3DES et AES, ainsi que
les algorithmes de hachage MD5 et SHA-1 nécessitent une clé secrète
partagée symétrique pour la réalisation des tâches de chiffrement et de
déchiffrement.
 L'algorithme DH spécifie une méthode d'échange de clé publique qui
permet à deux homologues d'établir une clé secrète partagée qu'ils
sont les seuls à connaître, bien qu'ils communiquent sur un canal non
sécurisé.
Cadre IPsec
Échange de clefs Diffie-Hellman
Cadre IPsec
Intégrité avec les algorithmes de hachage
 L'expéditeur d'origine génère un hachage du message et l'envoie
avec le message lui-même.
 Le destinataire analyse le message ainsi que le hachage, génère
un autre hachage à partir du message reçu, puis compare les deux
hachages.
 S'ils sont identiques, le destinataire peut être raisonnablement sûr
de l'intégrité du message d'origine.
Cadre IPsec
Intégrité avec les algorithmes de hachage(suite)
Je voudrais encaisser ce chèque
Cadre IPsec
Un code d'authentification des messages basé sur le hachage (HMAC) est un
mécanisme d'authentification des messages utilisant des fonctions de hachage.
 Un HMAC possède deux paramètres : une entrée de message et une clé
secrète connue uniquement de l'initiateur du message et des destinataires de
celui-ci.
 L'expéditeur du message utilise une fonction HMAC pour générer une valeur
(le code d'authentification du message) qui est formée en associant la clé
secrète et l'entrée de message.
 Le code d'authentification du message est envoyé avec le message.
 Le destinataire calcule le code d'authentification du message reçu en utilisant
la même clé et la même fonction HMAC que celles utilisées par l'expéditeur.
 Le destinataire compare ensuite le résultat à celui calculé à l'aide du code
d'authentification du message reçu.
 Si les deux valeurs correspondent, le message a été reçu correctement et le
destinataire est certain que l’expéditeur est un membre de la communauté
d’utilisateurs autorisés à partager la clé.
Cadre IPsec
Il existe deux algorithmes HMAC :
 MD5 – utilise une clé secrète partagée de 128 bits. Le message de
longueur variable et la clé secrète partagée de 128 bits sont
combinés et soumis à l'algorithme de hachage HMAC-MD5. La sortie
est un hachage de 128 bits. Le hachage est ajouté au message
original et transféré à l’extrémité distante.
 SHA – l'algorithme SHA-1 utilise une clé secrète de 160 bits. Le
message de longueur variable et la clé secrète partagée de 160 bits
sont combinés et soumis à l'algorithme de hachage HMAC-SHA1. La
sortie est un hachage de 160 bits. Le hachage est ajouté au
message original et transféré à l’extrémité distante.
Cadre IPsec
Authentification IPsec
 Les VPN IPsec prennent en charge l'authentification.
 Le périphérique situé à l'autre extrémité du tunnel VPN doit être
authentifié avant que le chemin de communication ne puisse être
considéré comme étant sécurisé.
Cadre IPsec
Authentification Ipsec (suite)
There are two peer authentication methods, PSK and RSA signatures:
 PSK
 Une clé secrète devant être partagée entre les deux parties par le
biais d'un canal sécurisé avant son utilisation.
 Utilisent des algorithmes cryptographiques à clé .
 Une clé PSK est entrée manuellement dans tous les homologues
et sert à les authentifier.
Cadre IPsec
Authentification Ipsec (suite)
 Signatures RSA
 Des certificats numériques sont échangés pour l'authentification
des homologues.
 Le périphérique local calcule un hachage et le chiffre avec sa clé
privée.
 Le hachage chiffré, ou signature numérique, est attaché au
message et transmis à l'extrémité distante.
 À l’extrémité distante, le hachage chiffré est déchiffré à l’aide de la
clé publique du périphérique local.
 Si le hachage déchiffré correspond au hachage recalculé, la
signature est authentique.
Cadre IPsec
Cadre du protocole IPsec
En-tête d'authentification (AH)
 Protocole approprié à utiliser lorsque la confidentialité n'est pas
requise ou autorisée.
 Permet l'authentification et l'intégrité des données des paquets IP qui
sont transmis entre deux systèmes.
 Ne permet pas la confidentialité des données (chiffrement) des
paquets.
Technologie ESP (Encapsulating Security Payload)

 Protocole de sécurité permettant la confidentialité et l'authentification
grâce au chiffrement du paquet IP.
 ESP authentifie le paquet IP interne et l’en-tête ESP.
 Le cryptage et l'authentification sont facultatives dans ESP, au
minimum, l'un d'eux doit être sélectionné.
Cadre IPsec
Cadre du protocole IPsec
(suite)
Cadre IPsec
Cadre du protocole Ipsec (suite)
Le cadre IPsec comporte quatre éléments constitutifs de base qui doivent
être sélectionnés :
 Cadre du protocole IPsec – Les choix possibles sont des combinaisons
des technologies ESP et AH. De manière réaliste, les options ESP ou
ESP+AH sont presque toujours sélectionnées, car la méthode AH elle-
même ne permet pas le chiffrement.
 Confidentialité (en cas d'implémentation du protocole IPsec avec la
technologie ESP) – DES, 3DES ou AES. L'algorithme AES est fortement
recommandé, avec AES-GCM pour une sécurité maximale.
 Intégrité – Garantit que le contenu n'a pas été modifié lors du transit par le
biais de l'utilisation d'algorithmes de hachage (MD5 et SHA).
 Authentification – représente la manière selon laquelle les périphériques
sont authentifiés à chaque extrémité du tunnel VPN (PSK ou RSA).
 Groupe d'algorithmes DH – Représente la manière selon laquelle une clé
secrète partagée est établie entre des homologues, DH24 est celui qui offre
le plus de sécurité.
Cadre IPsec
Cadre du protocole Ipsec (suite)
7.4 Accès à distance
Solutions VPN d'accès à distance
Types de VPN d'accès à distance
 Il existe deux méthodes principales permettant de déployer des
VPN d'accès à distance :
 Protocole SSL (Secure Sockets Layer)
 IPsec (IP Security)
 Le type de méthode VPN implémentée se base sur les conditions
d'accès des utilisateurs ainsi que sur les processus informatiques
de l'entreprise.
 Les technologies IPsec et VPN SSL offrent un accès à quasiment
n'importe quelle application ou ressource réseau.
VPN SSL de Cisco
 La technologie VPN SSL de Cisco IOS permet un accès à distance
à l'aide d'un navigateur Web ainsi que du chiffrement SSL natif de
ce navigateur.
 Elle peut également offrir un accès à distance à l'aide du logiciel
Cisco AnyConnect Secure Mobility Client.
Solutions VPN SSL de Cisco
Client Cisco AnyConnect Secure Mobility avec SSL
 Les VPN SSL basés sur le client offrent aux utilisateurs authentifiés
un accès réseau complet de type LAN aux ressources de
l'entreprise.
 Les périphériques distants nécessitent l'installation d'une
application cliente, comme le client VPN de Cisco ou le nouveau
client AnyConnect, sur le périphérique d'utilisateur final
VPN SSL sans client Cisco Secure Mobility

 Permet aux entreprises d'offrir un accès à leurs ressources, même
si elles ne gèrent pas le périphérique distant.
 Le Cisco ASA est utilisé en tant que périphérique proxy pour les
ressources réseau
 Il fournit une interface de portail Web afin de permettre aux
périphériques distants de parcourir le réseau en utilisant des
fonctionnalités de transfert de port.
VPN d'accès à distance IPsec
IPsec Remote Access
IPsec Remote Access (suite)
 La solution Cisco Easy VPN se compose de trois éléments :

 Serveur Cisco Easy VPN routeur Cisco IOS ou pare-feu Cisco
ASA jouant le rôle de périphérique de tête de réseau VPN dans
des VPN de site à site ou d'accès à distance.
 Cisco Easy VPN distant – routeur Cisco IOS ou pare-feu Cisco
ASA jouant le rôle de client VPN distant.
 Client VPN Cisco – application prise en charge sur un PC utilisé
pour accéder à un serveur VPN Cisco.
 La solution Cisco Easy VPN offre flexibilité, évolutivité et simplicité
d'utilisation à la fois pour les VPN IPsec de site à site et d'accès à
distance.
Serveur Cisco Easy VPN et accès à distance
Comparaison entre IPsec et SSL
Packet tracer
7.3.2.8
configuration
de GRE sur
Ipsec
7.5.1.2
Intégration
Chapter 7: Summary
 VPNs are used to create a secure end-to-end private network
connection over a third-party network, such as the Internet.
 A site-to-site VPN uses a VPN gateway device at the edge of both
sites. The end hosts are unaware of the VPN and have no additional
supporting software.
 A remote access VPN requires software to be installed on the
individual host device that accesses the network from a remote
location.
• The two types of remote access VPNs are SSL and IPsec.
• SSL technology can provide remote access using a client’s web
browser and the browser’s native SSL encryption.
• Using Cisco AnyConnect software on the client, users can have
LAN-like, full network access using SSL.
Chapter 7: Summary (cont.)
 GRE is a basic, non-secure site-to-site VPN tunneling protocol that
can encapsulate a wide variety of protocol packet types inside IP
tunnels, thus allowing an organization to deliver other protocols
through an IP-based WAN.
• Today, it is primarily used to deliver IP multicast traffic or IPv6
traffic over an IPv4 unicast-only connection.
 IPsec, an IETF standard, is a secure tunnel operating at Layer 3 of
the OSI model that can protect and authenticate IP packets between
IPsec peers.
• It can provide confidentiality by using encryption, data integrity,
authentication, and anti-replay protection.
• Data integrity is provided by using a hash algorithm, such as
MD5 or SHA.
• Authentication is provided by the PSK or RSA peer
authentication method.
Chapter 7: Summary (cont.)
 The level of confidentiality provided by encryption depends on the
algorithm used and the key length.
 Encryption can be symmetrical or asymmetrical.
 DH is a method used to securely exchange the keys to encrypt data.

CN instructorPPT Chapter7 finalFR

Transféré par

Informations du document

Titre original

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

CN instructorPPT Chapter7 finalFR

Transféré par

Droits d'auteur :

Formats disponibles

Chapitre 7: Sécuriser

la connexion site à site

534 Rue Jacques-Cartier Est, Chicoutimi, Québec, Canada

Packet Tracer 7.1.2.4 configuration de VPN

Présentation du protocole GRE

Packet Tracer 7.2.2.3 Configuration GRE 7.2.2.4 dépannage GRE

CIA: Confidentialité, Intégrité et Authentification

Je voudrais encaisser ce chèque

Technologie ESP (Encapsulating Security Payload)

VPN SSL sans client Cisco Secure Mobility

 La solution Cisco Easy VPN se compose de trois éléments :

Vous aimerez peut-être aussi