Академический Документы
Профессиональный Документы
Культура Документы
Avril 2013 @
Sommaire
Prsentation des VPN Scnarios VPN Choix de technologies VPN VPN termes cls IPSec Prsentation du systme de cryptage de l'IOS Cisco Cryptage Technologies IPSec Taches de configuration IPSec
Avril 2013 @
Un VPN transporte du trafic priv sur un rseau public en utilisant du cryptage et des tunnels pour obtenir: La confidentialit des donnes L'intgrit des donnes L'authentification des utilisateurs
Un rseau priv virtuel (VPN) est dfini comme une connectivit rseau dploye sur une infrastructure partage avec les mmes politiques de scurit que sur un rseau priv. Un VPN peut tre entre deux systmes d'extrmit ou entre deux ou plusieurs rseaux. Un VPN est construit en utilisant des tunnels et du cryptage. Un VPN peut tre construit au niveau de n'importe quelle couche du modle OSI. Un VPN est une infrastructure WAN alternative aux rseaux privs qui utilisent des lignes loues ou des rseaux d'entreprise utilisant Fame Relay ou ATM.
Avril 2013 @
Un VPN transporte du trafic priv sur un rseau public en utilisant du cryptage et des tunnels pour obtenir: La confidentialit des donnes Intgrit des donnes L'authentification des utilisateurs
Les VPNs fournissent trois fonctions essentielles: - Confidentialit (cryptage) - L'metteur peut crypter les paquets avant de les transmettre dans le rseau. - Par ce moyen, si la communication est intercepte les donnes ne pourront pas tre lues. - Intgrit des donnes - Le rcepteur peut vrifier si les donnes n'ont pas t altres lors de leur passage dans le rseau. - Authentification - Le rcepteur peut authentifier la source du paquet, garantissant et certifiant la source de l'information.
Avril 2013 @
VPN
Site Central
Frame Relay Internet Rseau Frame Relay Frame Relay Site distant Cot lev Peu flexible Gestion WAN Topologies complexes Internet
Les principaux avantages sont: - Les VPNs amnent des cots plus faibles que les rseaux privs. - Les cots de la connectivit LAN-LAN sont rduits de 20 40 pourcent par rapport une ligne loue. . - Les VPNs offrent plus de flexibilit et d'volutivit que des architectures WAN classiques
Avril 2013 @ 5
VPN
Site Central
Frame Relay Internet Rseau Frame Relay Frame Relay Site distant Cot lev Peu flexible Gestion WAN Topologies complexes Internet
Les principaux avantages sont: - Les VPNs simplifient les tches de gestion compar la l'exploitation de sa propre infrastructure de rseau. - Les VPNs fournissent des topologies de rseaux avec tunnels qui rduisent les taches de gestion. - Un backbone IP n'utilise pas les circuits virtuels permanents (PVCs) avec des protocoles orients connexion tels ATM et Frame Relay.
Avril 2013 @ 6
Rseau Priv
Cryptage
Cryptage
Message Crypt
Dcryptage
Un rseau virtuel est cre en utilisant la capacit de faire transporter un protocole par un autre (Tunnel) sur une connexion IP standard. GRE (Generic Routing Encapsulation) et L2TP (Layer 2 Tunneling Protocol) sont deux mthodes de "tunneling" et sont toutes les deux configurables sur les routeurs Cisco. La troisime mthode, IPSec est galement configurable sur les routeurs Cisco. Un rseau priv assure la Confidentialit, l'Intgrit et l'Authentification. Le cryptage des donnes et le protocole IPSec permettent aux donnes de traverser Internet avec la mme scurit que sur un rseau priv.
Avril 2013 @ 7
Infos Cryptage
Infos
Un tunnel est une connexion point point virtuelle Un tunnel transporte un protocole l'intrieur d'un autre Le cryptage transforme les informations en texte chiffr Le dcryptage restore les informations partir du texte chiffr
Bien que Internet ait offert de nouvelles opportunits aux entreprises, il a aussi cre une grande dpendance des rseaux et un besoin de protection contre une grande varit de menaces sur la scurit. La fonction principale d'un VPN est d'offrir cette protection avec du cryptage au travers d'un tunnel.
Avril 2013 @ 8
Infos Cryptage
Infos
Un tunnel est une connexion point point virtuelle Un tunnel transporte un protocole l'intrieur d'un autre Le cryptage transforme les informations en texte chiffr Le dcryptage restore les informations partir du texte chiffr
Les tunnels fournissent des connexions logiques point point au travers d'un rseau IP en mode non-connect. Ceci permet d'utiliser des fonctionnalits de scurit amliores. Les Tunnels des solutions VPN emploient le cryptage pour protger les donnes pour qu'elles ne soient pas lisibles par des entits non-autorises et l'encapsulation multiprotocole si cela est ncessaire.
Avril 2013 @ 9
Infos Cryptage
Infos
Un tunnel est une connexion point point virtuelle Un tunnel transporte un protocole l'intrieur d'un autre Le cryptage transforme les informations en texte chiffr Le dcryptage restore les informations partir du texte chiffr
Le cryptage assure que le message pourra pas tre lu et compris uniquement par le receveur Le cryptage transforme une information en un texte chiffr sans signification sous sa forme crypte. Le dcryptage restore le texte chiffr en information originale destine au receveur.
Avril 2013 @ 10
Scnarios VPN
Routeur Routeur PC Routeur/Concentrateur
PC Pare-Feu
Avril 2013 @
11
Scnarios VPN
Partenaire
Fournisseur
Entreprise E n
AAA AA
Oprateur B Oprateur A
Agence
DMZ
Agence Rgionale
Un rseau bas uniquement sur des connexions fixes entre des sites d'entrprises tels que des agences locales ou rgionales avec un site central n'est plus suffisant aujourd'hui pour beaucoup d'entreprises. Des options de connexions avec des clients , des partenaires commerciaux dans un systme plus ouvert sont des ajouts aux connexions rseau standards.
Avril 2013 @ 12
Scnarios VPN
Accs Distants Clients Site Central Sites Distants DSL Cable Modem
Tltravailleur
Site Central
DSL Cable
POP
Tltravailleur
Internet
POP
Internet
POP
Intranet Extranet Business Intranet
Mobile
Extranet B to B
Il y a deux types d'accs VPN: - Initi par le client - Des utilisateurs distants utilisent des clients VPN pour tablir un tunnel scuris au travers d'un rseau d'oprateur avec une entreprise. - Initi par le serveur d'accs Rseau - Les utilisateurs distants se connectent un oprateur - Le serveur d'accs distant tablit un tunnel scuris vers le rseau priv de l'entreprise qui doit pouvoir supporter de multiples sessions distantes inities par un utilisateur.
Avril 2013 @
13
Scnarios VPN
VPN initi par le client
Accs Distants Clients Site Central
DSL Cable
POP
Tltravailleur
Internet
POP
Mobile
Extranet Business
Les VPNs site site ont aussi deux fonctions principales: - Les VPNs Intranet connectent des sites centraux d'entreprise, des sites distants, des agences au travers d'une infrastructure publique. - Les VPNs Extranets relient des clients, des fournisseurs, des partenaires commerciaux un intranet d'entreprise au travers d'une infrastructure publique.
Avril 2013 @
14
Scnarios VPN
VPN initi par le client
Accs Distants Clients Site Central
DSL Cable
POP
Tltravailleur
Internet
POP
Mobile
Extranet Business
L' accs distant est cibl pour les utilisateurs mobiles ou les tltravailleurs. Les entreprises supportaient les utilisateurs distants via des rseaux d'accs par appel. - Ce scnario ncessitait un appel payant ou un numro vert pour accder l'entreprise. Avec l'arrive des VPNs, les utilisateurs mobiles peuvent se connecter leur oprateur pour accder l'entreprise via Internet quelque soit l'endroit ou ceux-ci se trouvent. Les accs distants VPN peuvent satisfaire les besoins des utilisateurs mobiles, des clients Extranet, des tltravailleurs, etc....
Avril 2013 @
15
Scnarios VPN
VPN initi par le client
Site Central
DSL Cable
POP
Tltravailleur
Internet
POP
Mobile
Extranet Business
Les VPNs Accs distant sont une extension des rseaux d'accs distants par appel. Les VPNs Accs distant peuvent se terminer sur des quipements frontaux tels que les routeurs Cisco, les pare-feu PIX ou les concentrateurs VPN. Les clients accs distant peuvent tre des routeurs Cisco et des clients VPN Cisco.
Avril 2013 @ 16
Scnarios VPN
VPN initi par le serveur d'accs
Site Central Sites Distants DSL Cable Modem
POP
Tltravailleur
Internet
Intranet
Intranet
Extranet B to B
Un VPN site site peut tre utilis pour connecter des sites d'entreprise. Des lignes loues ou une connexion Frame Relay taient ncessaires mais aujourd'hui toutes les entreprises ont un accs Internet. Un VPN peut supporter des intranets de l'entreprise et des extranets des partenaires commerciaux Les VPNs site site peuvent tre construits avec des routeurs Cisco, des pare-feu PIX et des concentrateurs VPN.
Avril 2013 @
17
Couche Application
Diffrentes mthodes pour la protection de VPN sont implmentes sur diffrentes couches. Fournir de la protection et des services de cryptographie au niveau de la couche application tait trs utilis dans le pass et l'est toujours pour des cas trs prcis.
Avril 2013 @
18
Couche Application
L'IETF a un protocole bas sur des standards appel S/MIME ( Secure/Multipurpose Internet Mail Extensions) pour des applications VPNs gnres par diffrents composants d'un systme de communication. - Agents de transfert de message, passerelles,... Cependant, la scurit au niveau de la couche application est spcifique l'application et les mthodes de protection doivent tre implmentes chaque nouvelle application.
Avril 2013
19
Couche Application
Des standards au niveau de la couche transport ont eu beaucoup de succs Le protocole tel SSL (Secure Socket Layer) fournit de la protection, de l'authentification de l'intgrit aux applications bases sur TCP. SSL est communment utilis par les sites de e-commerce mais manque de flexibilit, n'est pas facile implmenter et dpend de l'application.
20
Avril 2013 @
Couche Application
La protection aux niveaux des couches basses du modle t aussi utilise dans les systmes de communication, spcialement par la couche liaison. - Cette protection au niveau de la couche liaison fournissait une protection indpendante du protocole sur des les liaisons non-scurises. - La protection au niveau de la couche liaison cote cher car elle doit tre ralise pour chaque liaison. - Elle n'exclut pas l'intrusion au moyen de stations intermdiaires ou de routeurs et de plus est trs souvent propritaire.
Avril 2013 @ 21
Description Layer 2 tunneling Protocol Generic Routing Encapsulation Unternet Protocol Security
Un ensemble de technologies de couche rseau sont disponibles pour permettre le tunneling de protocoles au travers de rseaux pour raliser des VPNs. Les trois protocoles de tunneling les plus utiliss sont: - L2TP ( Layer 2 Tunneling Protocol) - GRE ( Generic Routing Encapsulation par Cisco) - IPSec (IP Security)
Avril 2013 @ 22
Avant le standard L2TP (Aot 1999), Cisco utilisait L2F (Layer 2 Forwarding) comme protocole de tunneling propritaire. - L2TP est compatible avec L2F - L2F n'est pas compatible avec L2TP L2TP est une combinaison de Cisco L2F et Microsoft PPTP - Microsoft supporte PPTP dans les anciennes versions de Windows et PPTP/L2TP dans Windows NT/2000.
Avril 2013 @
23
L2TP est utilis pour crer un VPDN (Virtual Private Dial Network) multiprotocole et indpendant du mdia. L2TP permet aux utilisateurs d'invoquer des politiques de scurit au travers de toute liaison VPN ou VPDN comme une extension de leur propre rseau interne. L2TP ne fournit pas de cryptage et peut tre supervis par un analyseur de rseau.
Avril 2013 @
24
Application Couches (5-7) Couche Rseau Rseau/ Transport Couches (3-4) Physique/ Liaison Couches (1-2) IPSec GRE L2F L2TP PPTP
Ce protocole transporteur multiprotocole encapsule IP, IPv6 et tout autre paquet de protocole dans des tunnels IP. Avec le tunneling GRE, un routeur Cisco encapsule chaque extrmit les paquets de protocole avec un en-tte IP crant une liaison virtuelle point point avec l'autre routeur Cisco l'autre extrmit du rseau IP. En connectant des rseaux d'extrmit multiprotocoles avec un backbone IP, le tunneling IP permet l'expansion du rseau au travers du backbone IP. GRE ne fournit pas de cryptage et peut tre supervis par un analyseur de rseau.
Avril 2013 @
25
Application Couches (5-7) Couche Rseau Rseau/ Transport Couches (3-4) Physique/ Liaison Couches (1-2) IPSec GRE L2F L2TP PPTP
IPSec est un bon choix pour scuriser les VPNs d'entreprise IPSEc est un cadre de standards ouverts qui fournissent la confidentialit, l'intgrit et l'authentification des donnes entre deux extrmits. IPSec fournit ces services de scurit en utilisant IKE (Internet Key Exchange) pour grer la ngociation de protocoles et d'algorithmes base sur une politique locale et de gnrer les cls d'authentification et de cryptage devant tre utilises par IPSec.
Avril 2013 @
26
Trafic Utilisateur
IP seul?
Unicast seul?
Slectionnez la meilleure technologie VPN pour fournir une connectivit rseau selon les besoins du trafic. Le diagramme ci-dessus montre le processus de choix d'un tunneling de couche rseau bas sur les diffrents scnarios de VPN.
Avril 2013 @
27
IPSEc est le meilleur choix pour scuriser des VPNs d'entreprise. - Malheureusement IPSec supporte uniquement le trafic IP unicast. - Si les paquets IP unicast doivent tre encapsuls dans un tunnel, l'encapsulation IPSec est suffisante et moins complique configurer et vrifier. Pour du tunneling multiprotocole ou IP multicast, utilisez GRE ou L2TP. - Pour des rseaux qui utilisent Microsoft, L2TP peut tre le meilleur choix. - A cause de son lien avec PPP, L2TP peut tre souhaitable pour des VPNs accs distant avec support multiprotocole. GRE est le meilleur choix pour des VPNs site site avec support multiprotocole. - GRE est galement utilis pour des tunnels de paquets multicast tels les protocoles de routage. - GRE encapsule tout trafic, quelque soit la source ou la destination. Ni L2TP, ni GRE supportent le cryptage des donnes ou l'intgrit des paquets. Utilisez IPSec en combinaison avec L2TP et/ou GRE pour obtenir le cryptage et l'intgrit IPSec.
Avril 2013 @
28
Avril 2013 @
29
Infos Cryptage
Infos
Tunnel - Connexion virtuelle point point utilise dans un rseau pour transporter le trafic d'un protocole encapsul dans un autre protocole. Par exemple du texte crypt transport dans un paquet IP.
Avril 2013 @
30
Infos Cryptage
Infos
Cryptage/Dcryptage - Le cryptage est un processus qui transforme une information en un texte chiffr qui pourra pas tre lu ou utilis par des utilisateurs non-autoriss. Le dcryptage restore le texte chiffr en information originale qui pourra tre lue et utilise par le rcepteur.
Avril 2013 @
31
Infos Cryptage
Infos
Crypto systme - Systme qui ralise le cryptage/dcryptage, l'authentification utilisateur, le hachage, et le processus d'change de cls. Un crypto systme peut utiliser une des ces diffrentes mthodes selon la politique choisie en fonction des diffrents trafics de l'utilisateur.
Avril 2013 @
32
Infos Cryptage
Infos
Hachage - Technologie d'intgrit des donnes qui utilise un algorithme pour convertir un message de longueur variable et une cl secrte en une seule chane de caractres de longueur fixe. L'ensemble message/cl et hash traversent le rseau de la source vers la destination. 0u la destination, le hash recalcul est compar avec le hash reu. Si les deux valeurs sont identiques, le message n'a pas t corrompu.
Avril 2013 @
33
Avril 2013 @
34
Service Autorit de Certificat - Partie tiers de confiance qui aide la scurisation des communications entre entits de rseau ou utilisateurs en crant et en affectant des certificats tels des certificats cls-publiques pour des besoin de cryptage. - Une autorit de certificat se porte garant du lien entre les termes de scurit du certificat. Optionnellement une autorit de certificat cre les cls de cryptage.
Avril 2013 @
35
IPSEC
Protocoles et lments cls
Authentification Header (AH) Encapsulation Payload (ESP) Internet Key Exchange (IKE) Internet Security Association Key Management Protocol ( ISAKMP) Security Association (SA) Authentication, Authorization and Accounting (AAA) Terminal Access Controller Access Control System Plus (TACACS+) Remote Authentication Dial-In User Service (RADIUS)
Avril 2013 @
36
IPSEC
Protocoles et lments cls
En-tte IP En-tte IPSec Charge utile IP scuris
16 RESERVED
31
AH (Authentication Header) - Protocole de scurit qui fournit l'authentification, l'intgrit des donnes et un service optionnel de dtection d'intrusion. AH est dans la charge utile du paquet.
Avril 2013 @
37
IPSEC
Protocoles et lments cls
IPv4
En-tte IP original TCP Donnes
IPv4
TCP
Donnes
Queue ESP
Auth ESP
IPv4
Nouveau En-tte IP
TCP
Donnes
Queue ESP
Auth ESP
ESP (Encapsulation Security payload) - Protocole de scurit qui fournit la confidentialit, l'ntgrit des donnes et des services de protection, des services optionnels d'authentification de l'origine des donnes et de la dtection d'intrusion. ESP encapsule les donnes protger.
Avril 2013 @
38
IPSEC
Protocoles et lments cls
IPSec Routeur A IPSec Routeur B
IKE
IKE (Internet Key Exchange) - Protocole hybride qui implmente l'change de cls Oakley et l'change de cls Skeme dans le cadre de ISAKMP. Oakley et Skeme dfinissent chacun une mthode pour tablir un change de cls authentifi. Ceci inclut la construction de la charge utile, les informations transportes dans la charge utile, l'ordre dans lequel les cls sont traites et comment elles sont utilises.
Avril 2013 @
39
IPSEC
Protocoles et lments cls
Accs client SADB A vers B ESP/DES/SHA-1 Keys K1,K2,... lifetime=3600s B vers A ESP/DES/SHA-1 keys K6,K7,... lifetime=3600s
Backbone Oprateur
Accs client SADB A vers B ESP/DES/SHA-1 Keys K1,K2,... lifetime=3600s B vers A ESP/DES/SHA-1 keys K6,K7,... lifetime=3600s
ISAKMP - (Internet Association and Key Management Protocol) - Un protocol cadre qui dfinit le format des charge utiles, les mcanismes d'implmentation d'un protocole d'change de cls et la ngociation d'une SA. SA (Security Association) - Ensemble de principes (politiques) et de cls utiliss pour protger l'information. La SA ISAKMP est la politique commune et les cls utilises par les extrmits qui ngocient dans ce protocole pour protger leur communication.
Avril 2013 @
40
IPSEC
Protocoles et lments cls
AAA (Authentication, Authorization and Accounting) - Services de scurite rseau qui fournissent un cadre de base au travers duquel un controle est activ sur les routeurs et les serveurs d'accs. Deux alternatives majeures pour AAA sont TACACS+ et RADIUS. TACACS+ (Terminal Access Controller Access Control System Plus) - C'est une application de scurit qui fournit une validation cantralise des utilisateurs qui tentent d'obtenir un accs un routeur ou un serveur d'accs. RADIUS (Remote Dial-In User Service) - Un systme client serveur distribu qui scurise les rseaux contre les accs non-autoriss.
Avril 2013 @
41
Gestion Manuelle
Cryptage
MAC HMAC
(cl secrte) Signature numrique (cl publique)
SHA
MD5
Il y a de nombreuses technologies de cryptage disponibles pour fournir de la confidentialit DES (Data Encryption Standard) crypte les paquets avec une cl d'une longueur de 56 bits. A sa cration dans les annes 1970, DES paraissait inviolable. Aujourd'hui avec de super-ordinateurs, le cryptage DES peut tre dcod en quelques jours.
Avril 2013 @
42
Gestion Manuelle
Cryptage
MAC HMAC
(cl secrte) Signature numrique (cl publique)
SHA
MD5
3DES utilise une cl d'une longueur de 168 bits et excute trois oprations DES en squence. 3DES est 256 fois plus fiable que DES. AES (Advanced Encryption Standard) spcifie des cls de longueurs 128, 192 ou 256 bits pour crypter des blocs de 128, 192 ou 256 bits ( Les 9 combinaisons de tailles de cls et de tailles de blocs sont possibles). Cisco prvoit que AES sera disponible sur tous les produits Cisco qui les fonctionnalits IPSec DES/3DES tels les routeurs avec IOS, les PIX Cisco, les concentrateurs VPN Cisco et les clients VPN Cisco.
Avril 2013 @ 43
Gestion Manuelle
Cryptage
MAC HMAC
(cl secrte) Signature numrique (cl publique)
SHA
MD5
Plusieurs standards ont merg pour protger le secret des cls et faciliter le changement de ces cls. L'algorithme Diffie-Hellman implmente l'change de cls sans changer les cls relles. C'est l'algorithme le plus connu et le plus utilis pour tablir des sessions de cls pour crypter des donnes.
Avril 2013 @
44
Gestion Manuelle
Cryptage
MAC HMAC
(cl secrte) Signature numrique (cl publique)
SHA
MD5
Plusieurs techniques fournissent l'authentification dont MD5 (Message Digest 5) et SHA (Secure Hash Algorithm).
Avril 2013 @
45
Cryptage
Cryptage symtrique
Cl secrte partage
Cl secrte partage
Infos Cryptage
Infos
Cryptage symtrique ou cryptage cl secrte Utilis pour de grands volumes de donnes. Durant l'change, les cls peuvent changer plusieurs fois. Cryptage asymtrique ou cryptage cl publique tel RSA demande beaucoup plus de ressources CPU aussi il est utilis uniquement pour l'change de cls.
Avril 2013 @
46
Cryptage
Cryptage symtrique
Cl secrte partage
Cl secrte partage
Infos Cryptage
Infos
La caractristique la plus importante d'un algorithme de cryptogaphie est sa robustesse aux attaques de dcryptage. La scurit d'un crypto-systme ou le degr de difficult pour retrouver l'information originale est fonction de plusieurs variables. - Beaucoup de prcautions sont prises pour protger le secret de la cl. Dans la majorit des protocoles le secret de la cl utilise pour crypter est la base de la scurit.
Avril 2013 @
47
Cryptage
Cryptage symtrique
Cl secrte partage
Cl secrte partage
Infos Cryptage
Infos
DES (Digital Encryption Standard) est un des standards de cryptage les plus utiliss. Les cls permettent de crypter et de dcrypter. 3DES (Triple DES) est une alternative DES qui prserve les investissements existants et rend les attaques de type "force-brute" plus difficiles. 3DES peut utiliser une, deux ou trois cls diffrentes.
Avril 2013 @
48
Cryptage
Cryptage asymtrique
La cl prive est connue uniquement par le receveur La cl publique est connue par le public La distribution de la cl publique n'est pas scrte
Cl publique du receveur
Cl prive du receveur
Infos Cryptage
Infos
Cryptage asymtrique ou cl publique Le mme algorithme ou des algorithmes complmentaires peuvent tre utiliss pour crypter et dcrypter les donnes. Deux cls sont requises : Une cl publique et une cl prive. Elles sont diffrentes mais elles sont lies par une relation mathmatique. Chaque extrmit doit avoir sa paire cl publique/cl prive ainsi des cls diffrentes seront utilises pour crypter et dcrypter.
Avril 2013 @ 49
Cryptage
Cryptage asymtrique
Cl publique du receveur Cl prive du receveur
Infos Cryptage
Infos
Les mcanismes utiliss pour gnrer les paires de cls sont complexes. Le rsultat de la gnration consiste en deux trs grands nombres alatoires. Les deux nombres ainsi que leur produit doivent satisfaire des critres mathmatiques stricts pour garantir l'unicit de la paire cl publique/cl prive. Les algorithmes de cryptage cl publique sont utiliss typiquement pour des applications d'authentification incluant la signature numrique et la gestion de cls. Les algorithmes les plus connus sont les algorithmes RSA (Rivest, Shamir, Adleman) et El Gamal.
Avril 2013 @
50
Cryptage
Echange de cls - Algorithme Diffie-Hellman
YA= gX A mod p
YB
XA
mod p = k
YA
XB
mod p = k
Un des aspects les plus importants dans la cration d'un VPN est l'change de cls. L'algorithme Diffie-Hellman fournit un moyen deux utilisateurs, A et B, d'tablir une cl secrte partage que eux seuls connaissent. Cette cl secrte peut tre tablie mme si le canal de communication n'est pas scuris. Cette cl sera utilise pour crypter les donnes avec l'algorithme choisi par A et B. Les nombres partags sont "p" un nombre premier et "g" plus petit que "p" avec quelques restrictions.
Avril 2013 @ 51
Cryptage
Echange de cls - Algorithme Diffie-Hellman
YA= gX A mod p
YB
XA
mod p = k
YA
XB
mod p = k
A et B gnrent chacun un grand nombre alatoire qui est gard secret. L'algorithme Diffie-Hellman est maintenant excut. A et B excutent leurs calculs et changent les rsultats. Le rsultat final est un nombre K Un utilisateur qui connat "p" ou "g" ne peut calculer aisment la valeur secrte partage cause de la factorisation des grands nombres premiers.
Avril 2013 @
52
Cryptage
Echange de cls - Algorithme Diffie-Hellman
YA= gX A mod p
YB
XA
mod p = k
YA
XB
mod p = k
Il est important de noter que A et B non pas de mthode pour s'identifier l'un avec l'autre. Cet change est vulnrable une attaque par un tiers qui s'insre dans l'change. L'authentification est ralise par l'utilisation d'une signature numrique dans les messages Diffie-Hellman changs.
Avril 2013 @
53
Cryptage
Echange de cls - Hachage
Local
Message de longueur variable Payer JC Puce 50 et 22 cents
Distant
Cl secrte partage Message reu Payer JC Puce 50 et 22 cents Cl secrte partage
Fonction de Hachage
4ehlDx67NM0p9
Le hachage garantit l'intgrit du message A l'extrmit locale, le message et un secret partag son transmis par un algorithme de hachage. Un algorithme de hachage est une formule qui convertit un message de longueur variable en une seule chaines de caractres de longueur fixe appele valeur "hash". Un algorithme de hachage est sens unique. Un meesage peut produire une valeur "hash" mais la valeur "hash" ne peut pas produire le message.
Avril 2013 @ 54
Cryptage
Echange de cls - Hachage
Local
Message de longueur variable Payer JC Puce 50 et 22 cents
Distant
Cl secrte partage Message reu Payer JC Puce 50 et 22 cents Cl secrte partage
Fonction de Hachage
4ehlDx67NM0p9
A l'extrmit distante, il y a un processus en deux tapes. D'abord le message reu et le secret partag sont transmis l'algorithme de hachage qui recalcule la valeur "hash". Ensuite le recepteur compare le "hash" calcul avec le "hash" reu avec le message. Si les deux valeurs de "hash" sont gales alors l'intgrit du message est garantie.
55
Avril 2013 @
Cryptage
Echange de cls - Hachage
Local
Message de longueur variable Payer JC Puce 50 et 22 cents
Distant
Cl secrte partage Message reu Payer JC Puce 50 et 22 cents Cl secrte partage
Fonction de Hachage
4ehlDx67NM0p9
Les deux algorithmes de hachage les plus communs sont : - HMAC-MD5 - utilise une cl secrte de 128 bits. - A la sortie l'algorithme donne une valeur "hash" de 128 bits. - La valeur "hash" est ajout en fin de message et le tout est transmis vers l'autre extrmit. - HMAC- SHA1 - Utilise une cl secrte de 160 bits - A la sortie l'algorithme donne une valeur "hash" de 160 bits - La valeur "hash" est ajout en fin de message et le tout est transmis vers l'autre extrmit. HMAC-SHA1 est considr comme tant plus robuste que HMAC-MD5
Avril 2013 @ 56
Technologies IPSec
Prsentation IPSec
En-tte IP
AH
En-tte ESP
Donnes
En-Queue ESP
Le RFC 2401 dcrit la trame gnrale de l'architecture IPSec Comme tous les mcanismes de scurit, le RFC 2401 aide la mise en oeuvre d'une politique de scurit. La politique de scurit dfinit les besoins de scurit pour diffrentes connexions. Les connexions sont des sessions IP La trame gnrale de l'architecture IPSec fournit: Intgrit des donnes Authentification Confidentialit des donnes Associations de scurit Gestion des cls
Avril 2013 @
57
Technologies IPSec
IPSec - Authentication Header (AH)
En-tte IP
AH
En-tte ESP
Donnes
En-Queue ESP
L'Authentification Header (AH) IP est utilis pour fournir l'intgrit, l'authentification de l'origine des donnes pour des paquets IP et fournit galement la dtection de l'intrusion d'un tiers dans l'change. Le service de dtection d'intrusion d'un tiers dans l'change est optionnel. Si celui-ci est ngoci et valid, il faut que le rcepteur teste les numros de squence. AH fournit l'authentification pour l'en-tte IP et TCP mais certains champs de l'en-tte changent au cours du transit dans le rseau. AH ne peut pas fournir de protection complte de l'en-tte IP
Avril 2013 @
58
Technologies IPSec
IPSec - Authentication Header (AH)
En-tte IP
AH
En-tte ESP
Donnes
En-Queue ESP
AH peut tre appliqu seul, en combinaison avec IP ESP ou de manire imbriquer au travers de l'utilisation du mode tunnel. Les services de scurit peuvent tre fournis entre une paire de hosts, une paire de passerelles de scurit ou entre une passerelle de scurit et un host. ESP peut tre utilise pour fournir les mmes services plus la confidentialit (cryptage). La diffrence principale entre les services d'authentification de AH et ESP est l'extension de la couverture. ESP ne protge pas les champs de l'en-tte IP moins que cet en-tte soit encapsul par ESP (Mode tunnel).
Avril 2013 @
59
Technologies IPSec
IPSec - Encapsulation Security Payload (ESP)
En-tte IP
AH
En-tte ESP
Donnes
En-Queue ESP
L'en-tte ESP est insr aprs l'en-tte IP et avant l'en-tte de protocole de couche suprieure dans le mode transport ou avant un en-tte IP encapsul en mode tunnel. ESP est utilis pour fournir les services suivants: Confidentialit Authentification de l'origine des donnes Intgrit Service de dtection d'intrusion d'une tierce partie dans l'change
Avril 2013 @
60
Technologies IPSec
IPSec - Encapsulation Security Payload (ESP)
En-tte IP
AH
En-tte ESP
Donnes
En-Queue ESP
L'ensemble des services fournis dpend des options slectionnes au moment de l'tablissement des associations de scurit et l'emplacement de l'implmentation. La confidentialit peut tre slectionne indpendamment des autres services. Cependant l'utilisation de la confidentialit sans intgrit/authentification, soit dans ESP ou sparment dans AH peut rendre certains trafics vulnrables des attaques actives.
Avril 2013 @
61
Technologies IPSec
IPSec - Encapsulation Security Payload (ESP)
En-tte IP
AH
En-tte ESP
Donnes
En-Queue ESP
L'authentification de l'origine des donnes et l'intgrit sont des services joints et sont offerts en option conjointement avec la confidentialit optionnelle. Le service de dtection d'intrusion d'une tierce partie peut tre slectionn que si l'authentification de l'origine des donnes est slectionne et reste entirement la discrtion du receveur. Le service de dtection d'intrusion d'une tierce partie sera effectivement actif uniquement si le receveur teste les numros de squence. La confidentialit de trafic ncessite la slection du mode tunnel. Bien que la confidentialit et l'authentification soient optionnelles au moins une des deux doit tre slectionne.
Avril 2013 @
62
Technologies IPSec
Mode Tunnel contre Mode Transport
PC
Mode Tunnel
Mode Transport
En mode Transport les hosts d'extrmit ralisent l'encapsulation IPSec de leurs propres donnes ( host host) par consquent IPSec doit tre implment sur chacun des hosts. - L'application des points d'extrmit doit tre aussi une extrmit IPSec. En mode Tunnel les passerelles IPSec fournissent les services IPSec aux autres hosts dans des tunnels point point. Les hosts d'extrmit n'ont pas besoin d'avoir IPSec.
Avril 2013 @
63
Technologies IPSec
Mode Tunnel contre Mode Transport
PC
Mode Tunnel
Mode Transport
ESP et AH peuvent tre appliqus aux paquets IP de deux faons diffrentes: Le mode Transport fournit la scurit aux couches de protocoles suprieures. - Le mode Transport protge la charge utile du paquet mais garde l'adresse IP originale en clair. - L'adresse IP originale est utilise pour router les paquets sur Internet. - Le mode Transport ESP est utilis entre hosts.
Avril 2013 @
64
Technologies IPSec
Mode Tunnel contre Mode Transport
PC
Mode Tunnel
Mode Transport
ESP et AH peuvent tre appliqus aux paquets IP de deux faons diffrentes: Le mode Tunnel fournit la scurit pour tout le paquet IP. - Le paquet IP original est crypt - Le paquet crypt est encapsul dans un autre paquet IP. - L'adresse IP "outside" est utilise pour router les paquets sur Internet .
Avril 2013 @
65
Technologies IPSec
Security Association (SA)
Accs client SADB A vers B ESP/DES/SHA-1 Keys K1,K2,... lifetime=3600s B vers A ESP/DES/SHA-1 keys K6,K7,... lifetime=3600s
Backbone Oprateur
Accs client SADB A vers B ESP/DES/SHA-1 Keys K1,K2,... lifetime=3600s B vers A ESP/DES/SHA-1 keys K6,K7,... lifetime=3600s
Les SAs ou Secutity Associations sont un concept de base trs important dans IPSec Elles reprsentent un contrat entre deux extrmits et dcrivent comment ces deux extrmits vont utiliser les srvices ede scurit IPSec pour protger le trafic. Les SAs contiennent tous les paramtres de scurit ncessaires pour scuriser le transport des paquets entre les deux extrmits et dfinissent la politique de scurit utilise dans IPSec.
Avril 2013 @ 66
Technologies IPSec
Security Association (SA)
Accs client SADB A vers B ESP/DES/SHA-1 Keys K1,K2,K3,K4 lifetime=3600s B vers A ESP/DES/SHA-1 keys K6,K7,... lifetime=3600s
Backbone Oprateur
Accs client SADB A vers B ESP/DES/SHA-1 Keys K1,K2,K3,K4 lifetime=3600s B vers A ESP/DES/SHA-1 keys K6,K7,... lifetime=3600s
Les routeurs ont besoin de deux SAs pour protger le trafic entre les hosts A et B. L'tablissement des SAs est un prrequis dans IPSec pour la protection du trafic. Quand les SAs appropries sont tablies, IPSec se rfre celles-ci pour obtenir tous les paramtres ncessaires la protection du trafic Une SA doit mettre en vigueur la politique de protection en ces termes: Pour le trafic entre A et B, utilisez ESP 3DES avec les cls K1,K2 et K3 pour le cryptage de la charge utile, SHA-1 avec la cl K4 pour l'authentification.
Avril 2013 @ 67
Technologies IPSec
Security Association (SA)
Accs client SADB A vers B ESP/DES/SHA-1 Keys K1,K2,... lifetime=3600s B vers A ESP/DES/SHA-1 keys K6,K7,... lifetime=3600s
Backbone Oprateur
Accs client SADB A vers B ESP/DES/SHA-1 Keys K1,K2,... lifetime=3600s B vers A ESP/DES/SHA-1 keys K6,K7,... lifetime=3600s
Les SAs contiennent des spcifications unidirectionnelles. les SAs sont spcifiques au protocole d'encapsulation (AH,ESP). Pour un flux de trafic donn, il y a une SA pour chaque protocole (AH, ESP) et pour chaque sens du trafic. Les quipements VPN stockent leurs SAs dans une base de donnes local appele la SA Database (SADB).
Avril 2013 @ 68
Technologies IPSec
Security Association (SA)
Accs client SADB A vers B ESP/DES/SHA-1 Keys K1,K2,... lifetime=3600s B vers A ESP/DES/SHA-1 keys K6,K7,... lifetime=3600s
Backbone Oprateur
Accs client SADB A vers B ESP/DES/SHA-1 Keys K1,K2,... lifetime=3600s B vers A ESP/DES/SHA-1 keys K6,K7,... lifetime=3600s
Une SA contient les pramtres de scurit suivants: - L'algorithme Authentification/Cryptage, longueurs de cls et dures de vie des cls utilises pour protger les paquets. - Les cls de sessions pour l'authentification et le cryptage. - L'encapsulation IPSec (AH ou ESP) en mode tunnel ou transport. - Une spcification du trafic rseau auquel s'applique la SA.
Avril 2013 @ 69
Technologies IPSec
Les cinq tapes d'IPSec
Host A
Routeur A Routeur B
Host B
1. Le Host A transmet des informations vers le Host B 2. Les routeurs A et B ngocient une session IKE Phase 1
IKE SA
IKE Phase 1
IKE SA
IKE Phase 2
IKE SA
Le but d'IPSec est de protger des donnes avec les moyens de scurit appropris Le processus IPSec peut tre dcoup en cinq tapes
Avril 2013 @ 70
Technologies IPSec
Les cinq tapes d'IPSec
Host A
Routeur A Routeur B
Host B
1. Le Host A transmet des informations vers le Host B 2. Les routeurs A et B ngocient une session IKE Phase 1
IKE SA
IKE Phase 1
IKE SA
IKE Phase 2
IKE SA
Etape 1 - Des informations transmettre initient le processus IPSec - Le trafic est dit "intressant" quand l'quipement VPN reconnat que les donnes doivent tre protges. Etape 2 - IKE Phase 1 authentifie les extrmits IPSec et ngocie les SAs IKE. - Ceci cre un canal scuris pour ngocier les SAs IPSec en Phase 2.
Avril 2013 @ 71
Technologies IPSec
Les cinq tapes d'IPSec
Host A Host B
1. Le Host A transmet des informations vers le Host B 2. Les routeurs A et B ngocient une session IKE Phase 1
IKE SA
IKE Phase 1
IKE SA
IKE Phase 2
IKE SA
Etape 3 - La phase 2 IKE ngocie les paramtres des SAs IPSec et cre une correspondance entre les SAs IPSec des extrmits. - Ces paramtres de scurit sont changs pour protger les messages changs entre les extrmits. Etape 4 - Le transfert de donnes est effectu entre les extrmits IPSec sur la base des paramtres IPSEc et des cls stockes dans la base de donnes SA. Etape 5 - La libration du tunnel IPSec survient sur effacement au travers des SAs ou sur time out.
Avril 2013 @ 72
Technologies IPSec
Les cinq tapes d'IPSec - Comment IPSec utilise IKE
1. Un paquet est transmis du Routeur A vers le Routeur B. Pas de SA IPSec 4. Un paquet est transmis du Routeur A vers le Routeur B protg par IPSec
IPSec Routeur A
IPSec Routeur B
IKE
3. La ngociation est termine. Le Routeur A et le Routeur B ont un ensemble de SAs en place.
IKE (Internet Key Exchange) amliore IPSec en fournissant des fonctions additionnelles, flexibilit et facilite la configuration d'IPSec. IKE est un protocole hybride qui implmente les changes de cls Oakley et Skeme dans le cadre ISAKMP (Internet Security Association and Key management) IKE fournit l'authentification pour les extrmits IPSec, ngocie les cls IPSec et les Associations de Scurit IPSec
Avril 2013 @ 73
Technologies IPSec
Les cinq tapes d'IPSec - Comment IPSec utilise IKE
1. Un paquet est transmis du Routeur A vers le Routeur B. Pas de SA IPSec 4. Un paquet est transmis du Routeur A vers le Routeur B protg par IPSec
IPSec Routeur A
IPSec Routeur B
IKE
3. La ngociation est termine. Le Routeur A et le Routeur B ont un ensemble de SAs en place.
Le tunnel IKE protge les ngociations de SA. Le Mode de configuration IKE autorise une passerelle tlcharger une adresse IP vers le client . Ceci faisant partie de la ngociation IKE. L'adresse IP fournie par la passerelle au client IKE est utilise comme une IP "interne" encapsule dans IPSec. Cette adresse IP connue peut tre contrle par la politique (policy) IPSec.
Avril 2013 @ 74
Technologies IPSec
Les cinq tapes d'IPSec - Comment IPSec utilise IKE
1. Un paquet est transmis du Routeur A vers le Routeur B. Pas de SA IPSec 4. Un paquet est transmis du Routeur A vers le Routeur B protg par IPSec
IPSec Routeur A
IPSec Routeur B
IKE
3. La ngociation est termine. Le Routeur A et le Routeur B ont un ensemble de SAs en place.
Le Mode de configuration IKE est implment dans les images IOS Cisco IOSec. En utilisant le Mode de configuration IKE, un serveur d'accs Cisco peut tre configur pou tlcharger une adresse IP vers un client comme faisant partie de la transaction IKE. IKE ngocie automatiquement les SAs IPSec et active les communications scurises par IPSec sans une pr-configuration manuelle fastidieuse.
Avril 2013 @ 75
Technologies IPSec
Les cinq tapes d'IPSec - Comment IPSec utilise IKE
1. Un paquet est transmis du Routeur A vers le Routeur B. Pas de SA IPSec 4. Un paquet est transmis du Routeur A vers le Routeur B protg par IPSec
IPSec Routeur A
IPSec Routeur B
IKE
3. La ngociation est termine. Le Routeur A et le Routeur B ont un ensemble de SAs en place.
IKE a les avantages suivants: - Elimine la configuration manuelle des paramtres de scurit IPSec dans des crypto maps chaque extrmit. - Permet de spcifier une dure de vie pour les SAs. - Permet le changement de cls pendant les sessions IPSec. - Autorise IPSec fournir les services de dtection d'intrusion d'un tiers. - Permet le support d'Autorit de Certification pour une implmentation IPSec volutive. - Permet l'authentification dynamique des extrmits.
Avril 2013 @ 76
Technologies IPSec
Les cinq tapes d'IPSec - Comment IPSec utilise IKE
Les diffrentes technologies implmentes pour l'usage d'IKE sont: - DES (Data Encryption Standard) utilis pour crypter les donnes. IKE implmente le standard DES-CBC 56 bits avec Explivit IV (Initialization Vector). - 3DES. Cryptage 168 bits - CBC (Cipher Bloc Chaining) requiert l'utilisation d'un vecteur d'initialisation (IV). Le vecteur d'initialisation est donn dans le paquet IPSec. - Diffie-Hellman est un protocole de cryptage cl publique qui permet deux parties d'tablir un secret partag sur un canal de communication non-scuris. Diffie-Hellman est utilis dans IKE pour tablir les sessions de cls. Les groupes Diffie-Hellman 768-bits et 1024-bits sont supports. - MD5 (Message Digest 5), variante HMAC, est un algorithme de hachage utilis pour authentifier les donnes. HMAC est une variante qui donne un niveau supplmentaire de hachage. - SHA (Secure Hash Algorithm), variante HMAC, est un algorithme de hachage utilis pour authentifier les donnes. HMAC est une variante qui donne un niveau supplmentaire de hachage. - Signatures RSA et cryptage RSA -- RSA est un protocole de cryptage cl publique dvelopp par Ron Rivest, Adi Shamir et Leonard Adleman. Les signatures RSA fournissent la non rpudiation tendis RSA est utilis pour le cryptage.
Avril 2013 @ 77
Technologies IPSec
Les cinq tapes d'IPSec - Comment IPSec utilise IKE
1. Un paquet est transmis du Routeur A vers le Routeur B. Pas de SA IPSec 4. Un paquet est transmis du Routeur A vers le Routeur B protg par IPSec
IPSec Routeur A
IPSec Routeur B
IKE
3. La ngociation est termine. Le Routeur A et le Routeur B ont un ensemble de SAs en place.
Le protocole IKE utilise les certificats X.509v3 quand l'authentification requiert des cls publiques. Ce support de certificat permet l'volution du rseau en fournissant l'quivalent d'une carte d'identification numrique chaque quipement. Quand deux quipements veulent communiquer, ils changent leurs certificats pour prouver leur identit. Ceci limine le besoin d'changer manuellement des cls publiques avec chaque extrmit ou de spcifier manuellement une cl partage chaque extrmit.
Avril 2013 @ 78
Technologies IPSec
Les cinq tapes d'IPSec - Comment IPSec utilise IKE
IOS
Le trafic est choisi avec les listes d'accs Cryptage?
Oui Non
IPSec
Un par IPSec SA (entre extrmits)
Oui
SA IPSec?
Non
Cls
Oui Ngocie les SAs IPSec avec SA ISAKMP
ISAKMP/Oakley
Un par ISAKMP SA (entre extrmits) SA IKE?
Non
Non
Authentification avec CA?
ca ca ca ca
IPSec dans l'IOS Cisco traite les paquets comme le montre la figure ci-dessus Le processus prsume que les cls prives et publiques ont dj t crees et qu'il existe au moins une liste de controle d'accs.
Avril 2013 @ 79
Technologies IPSec
Les cinq tapes d'IPSec - Comment IPSec utilise IKE
Les listes d'accs appliques une interface et les crypto map sont utilises par l'IOS Cisco pour slectionner le trafic qui doit tre protg (crypt). L'IOS Cisco vrifie si les associations de scurit IPSec (SA) ont t tablies. Si les SAs ont dj t tablies par configuration manuelle avec les commandes crypto ipsec transform-set et crypto map ou par IKE, le paquet est crypt sur la base de la "policy" spcifie dans la crypto map et transmis sur l'interface. Si les SAs ne sont pas tablies, l'IOS Cisco vrifie si une SA ISAKMP a t configure et active. Si la SA ISAKMP a t active, cette SA ISAKMP dirige la ngociation de la SA IPSec avec la "polict" ISAKMp configure par la commande crypto isakmp policy. Le paquet est crypt par IPSec et transmis sur l'interface.
Avril 2013 @
80
Technologies IPSec
Les cinq tapes d'IPSec - Comment IPSec utilise IKE
Si la SA ISAKMP n'a pas t active, l'IOS Cisco vrifie si l'autorit de certification a t configure pour tablir une ISAKMP policy. Si l'authentification de la CA (Certification Authority) a t configure avec les diffrentes commandes crypto ca, le routeur utilise les cls publique/prive configures prcdemment, rcupre le certificat public de la CA, un certificat pour sa propre cl publique, utilise la l pour ngocier une SA ISAKMP qui son tour est utilise pour ngocier une SA IPSEC. Le paquet est crypt puis transmis.
Avril 2013 @
81
Tache 1 - Prparer IPSec Dterminer la IKE policy (IKE Phase 1) Dterminer la IPSec policy (IKE Phase 2) Vrifier la configuration courante S'assurer que le rseau fonctionne sans cryptage S'assurer que les listes de controle d'accs sont compatibles avec IPSec. Tache 2 - Configurer IKE Valider ou Dvalider IKE Crer les IKE policies configurer les "pre-shared" cls Configurer l'identit ISAKMP Vrifier la configuration IKE
Tache 3 - Configurer IPSec Configurer les suites "transform-set" Configurer les paramtres globaux IPSec Crer les crypto ACLs Crer les crypto ACLs utilisants les listes d'accs tendues Crer les crypto maps. Configurer les IPSec crypto maps Tache 4 - Tester et Vrifier IPSec
L'utilisation de cls IKE "pre-shared" pour l'authentification de sessions IPSec est relativement aise mais n'est pas trs volutive pour un grand nombre de clients IPSec. Le processus de configuration de cls IKE "pe-shared" dans l'IOS Cisco consiste en quatre taches principales.
Avril 2013 @
82
Configurer IKE est compliqu Dterminer d'abord les dtails de la policy IKE pour valider la mthode d'authentification choisie et la configurer. Un plan d'action dtaill vite les configurations non-apprpries.
Avril 2013 @
84
Une IKE "policy" dfinit une combinaison de paramtres de scurit utiliss pendant la ngociation IKE. Un groupe de "policies" cre un ensemble de "policies" qui permet aux extrmits IPSec d'tablir des sessions IKE et d'tablir des SAs avec une configuration minimale. Le tableau ci-dessus montre un exemple possible de combinaisons de paramtres IKE pour une policy. Les ngociations IKE doivent tre protges aussi la ngociation IKE commence par l'agrment par chaque extrmit d'une politique (policy) IKE commune Cette politique indique quels sont les paramtres IKE qui vont servir protger les changes IKE suivants.
Avril 2013 @ 85
Valeur DES 3-DES SHA-1, variante HMAC MD5, variante HMAC Pre-shared cls Cryptage RSA Signatures RSA 768-bit Diffie-Hellman ou 1024-bit Diffie-Hellman Toutes valeurs possibles
Valeur par dfaut 768-bit Diffie-Hellman 86400 secondes ou un jour 768-bit Diffie-Hellman
Echange de cls Identificateur de groupe Diffie-Hellman ISAKMP - Dure de vie des SAs tablies
768-bit Diffie-Hellman
Avril 2013 @
86
Paramtres de la IKE policy - Slectionner une valeur pour chaque paramtre ISAKMP. Il a cinq paramtres dfinir dans chaque IKE policy tel que le dcrit le tableau ci-dessus.
Avril 2013 @
87
Une IPSec policy dfinit une combinaison de paramtres IPSec utiliss pendant la ngociation IPSec. La planification de IPSEc IKE phase 2 est une autre tape importante avant de configure IPSec sur un routeur.
Avril 2013 @
88
CentralA(config)#crypto ipsec transform-set transform set-name ah-md5 hmac AH - HMAC MD5 transform ah-sha hmac AH - HMAC SHA transform esp-3des ESP transform using 3DES(EDE) cipher (168 bits) esp-des ESP transform using DES cipher (56 bits) esp-md5 hmac ESP transform using HMAC - MD5 auth esp-sha hmac ESP transform using HMAC - SHA auth esp-null ESP transform w/o cipher
Avril 2013 @
89
CentralA(config)#crypto ipsec transform -set transform set-name ah-md5 hmac AH - HMAC MD5 transform ah-sha hmac AH - HMAC SHA transform esp-3des ESP transform using 3DES(EDE) cipher (168 bits) esp-des ESP transform using DES cipher (56 bits) esp-md5 hmac ESP transform using HMAC - MD5 auth esp-sha hmac ESP transform using HMAC - SHA auth esp-null ESP transform w/o cipher
AH (Authentication Header) - AH est rarement utilis car l'authentification est maintenant disponible avec les transforms esp-md5-hmac et esp-sha-hmac . - AH n'est pas compatible avec NAT ou PAT
Avril 2013 @
90
Description Transform ESP utilisant DES 56 bits Transform ESP utilisant 3DES 168 bits Transform ESP avec l'authentification MD5 HMAC utilise avec une transform esp-des ou esp-3des pour fournir l'intgrit des paquets ESP Transform ESP avec l'authentification SHA HMAC utilise avec une transform esp-des ou esp-3des pour fournir l'intgrit des paquets ESP Transform ESP sans cryptage. Peut tre utilise en combinaison avec esp-md5-hmac ou esp-sha-hmac si on veut l'authentification sans cryptage.
Attention: Ne jamais utiliser esp-null dans un environnement de production car les flux de donnes ne seront pas protgs.
Avril 2013 @ 91
Host B Routeur B
La figure ci-dessus montre un exemple des dtails de la politique de cryptage IPSec qui sera utilise dans les exemples de ce document.
Avril 2013 @
93
Serveur CA
Un point important pour dterminer la politique IPSec est l'identification l'extrmit IPSec avec laquelle le routeur Cisco va communiquer. L'extrmit doit supporter IPSec tel qu'il est spcifi dans les RFCs supports par l'IOS Cisco.
Avril 2013 @
94
Host B Routeur B
Routeur# show running-config Affiche la configuration courante pour voir les policies IPSec existantes Routeur# show crypto isakmp policy Affiche les policies IKE phase 1 par dfaut et configures Routeur# show crypto map Affiche les crypto maps configures Routeur# show crypto ipsec transform-set Affiche les "transforms set"configurs
Avril 2013 @ 95
Utilisez la commande show crypto isakmp policy pour examiner les policies IKE
Avril 2013 @
96
RouterA#show crypto map Crypto Map "mymap" 10 ipsec-isakmp Peer = 172.30.2.2 Extended IP access list 102 access-list 102 permit ip host 172.30.1.2 host 172.30.2.2 Current peer: 172.30.2.2 Security association lifetime: 4608000 kilobytes/3600 seconds PFS (Y/N): N Transform sets={ mine, }
La commande show crypto map est trs utile pour examiner les crypto maps dj configures.
Avril 2013 @
97
RouterA#show crypto ipsec transform-set mine Transform set mine: { esp-des } will negotiate = { Tunnel, },
Utilisez la commande show crypto ipsec transform-set mine pour examiner les transform sets dj configurs. Utilisez les transform sets dj configurs pour gagner une configuration plus rapide.
Avril 2013 @
98
Serveur CA
Avril 2013 @
99
Site 1
Site 2 Routeur B
RouterA#show access-lists access-list 102 permit ah host 172.30.2.2 host 172.30.1.2 access-list 102 permit esp host 172.30.2.2 host 172.30.1.2 access-list 102 permit udp host 172.30.2.2 host 172.30.1.2 eq isakmp
Assurez-vous que les protocoles 50, 51 et UDP port 500 ne sont pas bloqus sur les interfaces utilises par IPSec.
Avril 2013 @
100
Tache 1 - Prparer IPSec Tache 2 - Configurer IKE Etape 1 - Valider ou dvalider IKE - crypto isakmp enable Etape 2 - Crer les IKE policies - crypto isakmp policy Etape 3 - Configurer ISAKMP - crypto isakmp identity Etape 4 - Configurer les Pre-shared cls - crypto isakmp key Etape 5 - Vrifier la configuration IKE - show crypto isakmp policy Tache 3 - Configurer IPSec Tache 4 - Tester et Vrifier IPSec
Avril 2013 @
101
Host B Routeur B
Cette commande valide ou dvalide globalement IKE sur un routeur IKE est valid par dfaut IKE est valid globalement pour toutes les interfaces du routeur Une liste ce controle d'accs peut tre utilise pour bloquer IKE sur une interface particulire.
Avril 2013 @
102
Host B Routeur B
RouteurA(config)#crypto isakmp policy 110 L'tape majeure suivante dans la configuration die ISAKMP est de dfinir une suite de policies ISAKMP. Le but de cette dfinition est d'tablir une liaison ISAKMP entre deux extrmits IPSec.
Avril 2013 @
103
Host B
Routeur B
La commande isakmp policy invoque le mode de configuration ISAKMP (config-isakmp) dans lequel les paramtres ISAKMP sont configurs.
Avril 2013 @ 104
Si un de ces paramtres n'est pas spcifi pour la policy, la valeur par dfaut sera utilise pour ce paramtre.
Avril 2013 @
105
Host B Routeur B
crypto isakmp policy 100 - hash md5 - authentication pre-share crypto isakmp policy 200 - hash sha - authentication rsa-sig crypto isakmp policy 300 - authentication pre-share
Les deux premires policies peuvent tre ngocies avec succs par la troisime Une correspondance est trouve quand les deux policies des deux extrmits contiennent les mmes paramtres pour le cryptage, l'authentification, le hachage et diffie-Hellman et quand la policy de l'extrmit distante spcifie une dure de vie gale ou infrieure la policy locale.
Avril 2013 @ 106
Host B Routeur B
hostname
Les extrmits IPSec s'authentifient mutuellement pendant la ngociation ISAKMP en utilisant les cls "pre-shared" et l'identit ISAKMP. L'identit ISAKMP peut tre l'adresse IP de l'interface du routeur ou le nom de host. L'IOS Cisco utilise l'identit par adresse IP par dfaut.
Avril 2013 @ 107
Host B Routeur B
routeur(config)#crypto isakmp key keystring hostname hostname routeur(config)#crypto isakmp key Cisco1234 address 171.30.2.2 Configurez une cl d'authentification "pre-shared" avec la commande crypto isakmp key en mode de configuration global. Cette cl doit tre configure chaque fois que des cls "pre-shared" sont spcifies dans policy ISAKMP.
Avril 2013 @ 108
Host B Routeur B
RouterA(config)#crypto isakmp key cisco1234 address 172.30.2.1 RouterA(config)#crypto isakmp policy 110 RouterA(config-isakmp)#hash md5 RouterA(config-isakmp)#authentication pre-share
RouterB(config)#crypto isakmp key cisco1234 address 172.30.1.1 RouterB(config)#crypto isakmp policy 110 RouterB(config-isakmp)#hash md5 RouterB(config-isakmp)#authentication pre-share
Avril 2013 @
109
Host B Routeur B
RouterA#show crypto isakmp policy Protection suite of priority 110 encryption algorithm: DES - Data Encryption Standard (56 bit keys). hash algorithm: Message Digest 5 authentication method: Pre-Shared Key Diffie-Hellman group: #1 (768 bit) lifetime: 86400 seconds, no volume limit Default protection suite encryption algorithm: DES - Data Encryption Standard (56 bit keys). hash algorithm: Secure Hash Standard authentication method: Rivest-Shamir-Adleman Signature Diffie-Hellman group: #1 (768 bit) lifetime: 86400 seconds, no volume limit
Avril 2013 @ 110
Tache 1 - Prparer IPSec Tache 2 - Configurer IKE Tache 3 - Configurer IPSec Etape 1 - Configurer les "transform suites" - crypto ipsec transform-set Etape 2 - Configurer les dures de vie globales des IPSec SAs - crypto ipsec security-association lifetime Etape 3 - Crer les crypto ACLs utilisant les listes d'accs tendues - crypto map Etape 4 - Configurer les crypto maps IPSec Etape 5 - Appliquer les crypto maps aux interfaces - crypto map map-name Tache 4 - Tester et Vrifier IPSec
Avril 2013 @
111
Host B Routeur B
Un "transform set" est une combinaison de transforms individuels IPSec qui promulgue une politique de scurit pour le trafic. Durant la ngociation ISAKMP IPSec SA qui se produit dans IKE phase 2 en mode rapide, les extrmits agrent l'utilisation d'un "transform set" pour protger un flux de trafic particulier.
Avril 2013 @
112
Host B Routeur B
OK
Les "transform sets" sont ngocis durant IKE phase 2 en mode quick en utilisant des transform sets dej configurs. Plusieurs transform sets peuvent tre configurs avant de spcifier un plusieurs transform sets dans une crypto map. Configurez les "transforms" du plus scuris au moins scuris comme l"indique la policy. Le transform set dfini dans la crypto map est utilis dans la ngociation IPSec SA pour protger le flux spcifi dans l'ACL de la crypto map.
Avril 2013 @ 113
Host B Routeur B
Routeur(config)#crypto ipsec security-association lifetime { seconds seconds|kilobytes kilobytes} RouteurA(config)# crypto ipsec security-association lifetime 86400
Les dures de vie des SAs IPSec sont ngocies dans IKE phase2 Les dures de vie des SAs IPSec dans les crypto map outrepassent les dures de vie globales des SAs IPSec.
Avril 2013 @
114
Trafic sortant
Les listes d'accs en sortie indiquent quel flux de donnes doit tre protg par IPSec Les listes d'accs en entre filtrent et limine le trafic qui aurait du tre protg par IPSec.
Avril 2013 @
115
Host B Routeur B
Routeur(config)#access-list access-list-number [dynamic dynamic-name [timeou-minutes]] {deny | permit} protocol source source-wildcard destination destination-wildcard [precedence precedence] [tos tos] [log]
RouteurA(config)#access-list 110 permit tcp 10.0.1.0 0.0.0.255 10.0.2.0 0.0.0.255 Les crypto ACLs identifie quel trafic doit protg (crypt)
Avril 2013 @
116
Host B Routeur B
Avril 2013 @
117
Les crypto maps relient les diffrentes parties configures pour IPSec dont: Le trafic devant tre protg par IPSec et un ensemble de SAs L'adresse locale utiliser pour le trafic IPSEc L'adesse de destination du trafic protg par IPSec Le type IPSec appliquer ce trafic La mthode d'tablissement des SAs, soit manuellement soit avec RSA D'autres paramtres ncessaires pour dfinir une SA IPSec
Avril 2013 @
118
Host B Routeur B
Les crypto maps dfinissent: La liste d'accs utiliser Les extrmits distantes du VPN Les transforms sets utiliss La mthode de gestion des cls La dure de vie des associations de scurit
Avril 2013 @
119
Host B Routeur B
Routeur(config)#crypto map map-name seq-num ipsec-manual Routeur(config)#crypto map map-name seq-num ipsec-isakmp [dynamic dynamic-map-name] RouteurA(config)#crypto map mymap 110 ipsec-isakmp
Un numro de squence diffrent par extrmit De multiples extrmits peuvent tre spcifies dans un seule crypto map pour redondance Une crypto map par interface
120
Avril 2013 @
Routeur B
172.30.2.2
Host B
Routeur C RouteurA(config)#map mymap 110 ipsec-isakmp RouteurA(config-crypto-map)#match address 110 RouteurA(config-crypto-map)#set peer 172.30.2.2 RouteurA(config-crypto-map)#set peer 172.30.3.2 RouteurA(config-crypto-map)#set pfs group1 RouteurA(config-crypto-map)#set transform-set mine RouteurA(config-crypto-map)#set security association lifetime 86400
Avril 2013 @
121
Host B Routeur B
mymap
Avril 2013 @
122
Host B Routeur B
RouteurA#show running-config crypto ipsec transform-set mine esp-des ! crypto map mymap 10 ipsec-isakmp set peer 172.30.2.2 set transform-set mine match address 110 ! interface Ethernet0/1 ip address 172.30.1.2 255.255.255.0 no ip directed broadcast crypto map mymap ! access-list 110 permit tcp 10.0.1.0 0.0.0.255 10.0.2.0 0.0.0.255
RouteurB#show running-config crypto ipsec transform-set mine esp-des ! crypto map mymap 10 ipsec-isakmp set peer 172.30.1.2 set transform-set mine match address 110 ! interface Ethernet0/1 ip address 172.30.2.2 255.255.255.0 no ip directed broadcast crypto map mymap ! access-list 110 permit tcp 10.0.2.0 0.0.0.255 10.0.1.0 0.0.0.255
Avril 2013 @ 123
Avril 2013 @
124
Host B Routeur B
RouteurA#show crypto isakmp policy Protection suite of priority 110 encryption algorithm: DES - Data Encryption Standard (56 bit keys). hash algorithm: Message Digest 5 authentication method: pre-share Diffie-Hellmen-group: #1 (768bit) Lifetime: 86400 seconds, no volume limit Default protection suite encryption algorithm: DES - Data Encryption Standard (56 bit keys). hash algorithm: Secure Hash Standard authentication method: Rivest-Shamir-Adleman Signature Diffie-Hellmen-group: #1 (768bit) Lifetime: 86400 seconds, no volume limit
Avril 2013 @
125
Host B Routeur B
RouteurA#show crypto ipsec transform-set Transform set mine: { esp-des} will negotiate = {Tunnel, }, Affiche les transforms sets courants et dfinis RouteurA#show crypto isakmp sa dest src state 172.30.2.2 172.30.1.2 QM_IDLE
conn-id 47
slot 5
Avril 2013 @
126
Host B Routeur B
RouteurA#show crypto ipsec sa interface: Ethernet0/1 Crypto map tag: mymap, local addr. 172.30.1.2 local ident (addr/mask/prot/port): (172.30.1.2/255.255.255.255/0/0) remote ident (addr/mask/prot/port): (172.30.2.2/255.255.255.255/0/0) Current peer: 172.30.2.2 PERMIT, flags={origin_is_acl} #pkts encaps: 21, #pkts encrypt: 21, #pkts digest 0 #send errors 0 #rec errors 0 Local crypto endpt: 172.30.1.2, remote crypto endpt: 172.30.2.2
Avril 2013 @
127
Host B Routeur B
RouteurA#show crypto map Crypto Map "mymap" 10 ipsec-isakmp Peer - 172.30.2.2 Extended IP access list 202 Acces-list 102 permit ip host 172.30.1.2 host 172.30.2.2 Current peer: 172.30.2.2 Security association lifetime: 4608000 kilobytes/3600 seconds PFS (Y/N) : N Transform sets={ mine, }
Avril 2013 @
128
sa sa peer <IP address | peer name> sa map <map name> sa entry <destination address protocol spi>
Avril 2013 @
129
Routeur#debug crypto ipsec Affiche les messages debug pour tous les vnements IPSec
Routeur#debug crypto isakmp Affiche les messages debug pour tous les vnements ISAKMP
Avril 2013 @
130
RouteurA#debug crypto ipsec Crypto IPSEC debugging is on RouteurA#debug crypto isakmp Crypto ISAKMp debugging is on RouteurA# *Feb 20 08:08:06.556 PST: IPSEC(sa-request): , (key eng. msg.) src= 172.30.1.2, dest= 172.30.2.2, src_proxy= 10.0.1.0/255.255.255.0/0/0 (type=4), dest_proxy= 10.0.2.0/255.255.255.0/0/0 (type=4), protocol= ESP, transform= esp-des esp-md5-hmac , lifedur= 3600s and 4608000kb, spi= 0x0(0), conn-id= 0, keysize=0, flags=0x4004 ! Le trafic interessant entre Site1 et Site2 active ISAKMP Main Mode. *Feb 20 08:08:06.556 PST: ISAKMP (4): beginning Main Mode exchange
Avril 2013 @
131
%CRYPTO-6-IKMP_SA_NOT_AUTH: Cannot accept Quick Mode exchange from %151 is SA is not authenticated! Message d'erreur indiquant que la SA ISAKMP avec l'extrmit distante n'a pas t authentifie.
%CRYPTO-6-IKMP_SA_NOT_OFFERED: Remote peer %151 responded with attribute [chars] not offered or changed Message d'erreur indiquant une erreur de protection des ngociations entre les extrmits ISAKMP.
Avril 2013 @
132