Configuration dIPSEC avec management manuelle de cl

En utilisant GNS3, raliser le schma :

Partie 1 : Configuration des routeurs

1.
2.
3.
4.
5.

Configurer les paramtres indiqus sur le schma (hostname, ip )

Configurer linterface loopback 0 du LAN1 en utilisant ladresse 192.168.1.1
Configurer linterface loopback 0 du LAN2 en utilisant ladresse 192.168.2.1
Configurer le routage statique (ou dynamique) entre les rseaux
Tester la connectivit entre tous les rseaux

Partie 2 : IPSec
Pour configurer IPSEC sur des routeurs CISCO on suit les tapes suivantes :

Cration dune liste de contrle daccs

Configuration de Transform Set
Configuration de crypto map avec management de cl manuelle ou automatique
(IKE)
Affectation du crypto map une interface.

Etape 1 : Cration de liste de contrle daccs

Une liste de contrle daccs est ncessaire pour dterminer les paquets qui sont
authentifis/crypts par IPSEC. Dans ce TP seul le trafic du rseau 192.168.1.0/24 ou rseau
192.168.2.0/24 passe par le tunnel IPSEC.
1. Configurer lACL adquate sur LAN1
2. Configurer lACL adquate sur LAN2
Etape 2 : Configuration de Transform set
transform set dfinie les politiques de scurit IPSEC qui seront appliques sur le trafic
spcifi par lACL (cest lassociation de scurit SA).
La configuration de transform set comporte les paramtres obligatoires suivants : protocole
(AH, ESP) et le mode de fonctionnement (tunnel, transport). Dans ce TP on utilisera le protocole
ESP et le mode tunnel .
En utilisant la commande crypto ipsec transform-set
1. Configurer le transform set TLAN1 sur LAN1
2. Configurer le transform set TLAN2 sur LAN2
Etape 3 : configuration de crypto map avec management manuelle de cl
crypto map cest la base de donnes des Associations de scurits (SAD)
Pour crer un crypto map (commande crypto map) on suit les tapes suivantes :
Crer un crypto map avec management manuelle de cl
Spcifier le trafic scuriser (ACL tape 1)
Spcifier le nud dchange (peer node)
Spcifier le transform set (etape 2)
Dfinir les cls de cryptage
1. Configurer crypto map CLAN1 sur LAN1
2. Configurer crypto map CLAN2 sur LAN2
Etape 4 : affectation de crypto map une interface
En utilisant la commande crypto map dans le mode de configuration dinterface :
1. Affecter CLAN1 linterface e0/0 du routeur LAN1
2. Affecter CLAN2 linterface e0/1 du routeur LAN2

Etape 5 : Test de la configuration

1. Dmarrer la capture de trafic entre LAN1 et PUBLIC

2. Envoyer des pings entre 192.168.1.0/24 et 192.168.2.0/24
3. Utiliser la commande show crypto ? pour afficher les configurations IPSEC

Annexe
Etape 1
Rout er ( c onf i g) # access- l i st ac c es s - l i s t - number { deny |
per mi t } pr ot oc ol s our c e- addr es s s our c e- wi l dc ar d
des t i nat i on- addr es s des t i nat i on- wi l dc ar d [ eq por t - number ]
[ l og]
Etape 2
Rout er ( c onf i g) # cr ypt o i psec t r ansf or m- set t r ans f or m- s et name
t r ans f or m1 [ t r ans f or m2 [ t r ans f or m3] ]
Rout er ( c f g- c r y pt o- t r an) # mode [ t unnel | t r anspor t ]
Etape 3
Rout er ( c onf i g) # cr ypt o map map- name s eq- num i psec- manual
Rout er ( c onf i g- c r y pt o- map) # mat ch addr ess ac c es s - l i s t - number
Rout er ( c onf i g- c r y pt o- map) # set peer { hos t name | i p- addr es s }
Rout er ( c onf i g- c r y pt o- map) # set t r ansf or m- set t r ans f or m- s et name
Conf i gur at i on d aut hent i f i c at i on ( AH)
Rout er ( c onf i g- c r y pt o- map) # set sessi on- key { i nbound |
out bound} ah SPI hex - k ey
c onf i gur at i on du c hi f f r ement ( es p)
Rout er ( c onf i g- c r y pt o- map) # set sessi on- key { i nbound |
out bound} esp SPI ci pher hex - k ey [ aut hent i cat or hex - k ey ]
Etape 4
Rout er ( c onf i g- i f ) # cr ypt o map map- name

Configuration dIPSEC avec management automatique de

cl
Partie 1 : Configuration des routeurs
1. Faire partie1 et partie2 (Etape 1 et Etape 2) du TP prcdent.

Partie 2 : Mini introduction

Le protocole IKE repose sur les protocoles : ISAKMP (pour dfinir et administrer les Sas) et
Oakley (pour la cration et lchange des cls en utilisant le protocole Diffie-Hellman).
Le but de ce TP est ltablissement dun canal scuris entre 192.168.1.0/24 et
192.168.2.0/24 en utilisant IPSEC avec management automatique des cls.
Ce TP est identique au TP prcdent sauf dans la cration de crypto map .

Partie 3 : Internet Key Exchange IKE

La configuration de crypto map en utilisant IKE suit les tapes suivantes :
Cration de crypto map en utilisant IKE ;
Spcifier le trafic scuriser (liste daccs) ;
Spcifier le nud dchange (peer node) ;
Spcifier le transform set ;
Configurer IKE ;
1. Crer les crypto map adquates ;
2. Spcifier le trafic scuriser ;
3. Spcifier le nud dchange ;
4. Spcifier le transform-set .

Partie 4 : Configuration de IKE

Comme dj dit, lIKE est bas sur ISAKMP et Oakley (Diffie-Hellman). Alors pour
configurer IKE nous avons besoin dune mthode pour spcifier les paramtres dISAKMP et
dOakley (voir annexe). Pour les routeurs CISCO, on suit les tapes suivantes :
Activation dIKE ;
Cration de la politique IKE ;
Dfinition de cl .

Etape 1 : Activation dIKE

1. Activer IKE sur LAN1 ;

2. Activer IKE sur LAN2 .

Etape 2 : Cration de politique IKE

Dans la cration de politique IKE pour la ngociation des Associations de Scurits dchange de
cl, on doit dfinir un nombre de paramtres dans les extrmits du tunnel IPSEC, ces
paramtres sont :
Dfinir la priorit de politique IKE ;
Spcifier lalgorithme de cryptage (DES, AES ) ;
Spcifier lalgorithme de hashage (md5, sha) ;
Spcifier la mthode dauthentification (dans notre TP on utilisera pre-shared) ;
Spcifier le numro de groupe de lalgorithme Diffie-Hellman* ;
Spcifier la dure de vie de lassociation de scurit ;
1. Crer et configurer la politique IKE sur LAN1 ;
2. Crer et configurer la politique IKE sur LAN2 .

Etape 3 : Dfinition des cls

Suite au choix de la mthode pre-shared key qui sert authentifier les extrmits du tunnel
IPSEC, nous devons maintenant spcifier la cl partage. Cette cl doit tre identique sur les
deux extrmits du tunnel IPSEC (cest le mme principe pour les cls partages WEP,
WPA1/2). Pour configurer ce paramtre, on doit se dplacer dans le mode de configuration
globale.
1. Configurer la cl partage sur LAN1 ;
2. Configurer la cl partage sur LAN2 .

Partie

4 :

Affectation

de

crypto

map

et

Test

de

configuration
1. Affecter les crypto map aux interfaces appropries ;
2. Tester la connectivit entre LAN1 et LAN (ping 192.168.2.1 source 192.168.1.1);
3. Sil y a des problmes, activez le dbogage IPSEC et ISAKMP puis dtecter ces
problmes.

Annexe
Partie 3

Rout er ( c onf i g) # cr ypt o map map- name s eq- num i psec- i sakmp
Rout er ( c onf i g- c r y pt o- map) # mat ch addr ess ac c es s - l i s t - number
Rout er ( c onf i g- c r y pt o- map) # set peer { hos t name | i p- addr es s }
Rout er ( c onf i g- c r y pt o- map) # set t r ansf or m- set t r ans f or m- s et name

Partie 4
Etape 1:
Rout er ( c onf i g) # cr ypt o i sakmp enabl e
Etape 2 :
Rout er ( c onf i g) # cr ypt o i sakmp pol i cy pr i or i t y
Rout er ( c onf i g- i s ak mp) # encr ypt i on al gor i t hm
Rout er ( c onf i g- i s ak mp) # hash { sha | md5}
Rout er ( c onf i g- i s ak mp) # aut hent i cat i on { r sa- si g | r sa- encr |
pr e- shar e}
Rout er ( c onf i g- i s ak mp) # gr oup [ gr oup i dent i f i er ]
Rout er ( c onf i g- i s ak mp) # l i f et i me s ec onds
Etape 3 :
Rout er ( c onf i g) # cr ypt o i sakmp key k ey s t r i ng addr ess peer - addr es s

( * ) Dans l es r out eur s c i s c o, on a 3 gr oupes , gr oupe 1, 2 et 5.

Ces gr oupes df i ni ent l a t ai l l e de l a c l ( publ i que ou pr i v e) ,
gr oupe 1 : 768bi t s , gr oupe 2 : 1024bi t s , gr oupe 5 : 1536bi t s .

Pour pl us d i nf or mat i ons, voi ci une i l l ust r at i on

de l al gor i t hme Di f f i e- Hel l man :

1. Al i c e et Bob met t ent d ac c or d s ur l ut i l i s at i on d un nombr e

pr emi er p = 23 et une bas e g = 5.
2. Al i c e c hoi s i e un ent i er s ec r et a = 6, pui s env oi e Bob A =
g^ a mod p
A = 56 mod 23
A = 15, 625 mod 23
A = 8
3. Bob c hoi s i e un ent i er s ec r et b = 15, pui s env oi e Al i c e B =
g^ b mod p
B = 515 mod 23
B = 30, 517, 578, 125 mod 23
B = 19
4. Al i c e c al c ul e s = B^ a mod p
s = 196 mod 23
s = 47, 045, 881 mod 23
s = 2
5.

Bob c al c ul e s = A^ b mod p

s = 815 mod 23
s = 35, 184, 372, 088, 832 mod 23
s = 2
6.

Al i c e et Bob par t agent l e mme s ec r et s =2.