VPN Ipsec Securiday 2013 PDF

SECURINETS
Club de la Scurit Informatique lINSAT
Dans le cadre de la 3me dition

de la journe nationale de la scurit informatique
SECURIDAY 2013
Cyber War
SECURINETS
Prsente
Atelier : IPsec VPN
Formateurs:
1. soumaya KEBAILI
2. sonia MEJBRI
3. feten MKACHER
4. mohamed yessine BEN AMMAR
5. ismail KABOUBI
6.oussema NEJI
Copyright 2013 - SECURINETS - Club de la Scurit Informatique lINSAT

www.securinets.com
SECURIDAY 2013 - Cyber War

SECURINETS
Date de cration
:27/04/2013
Atelier :
Table des matires

Atelier : IPsec VPN........................................................................................................................... 1
I. Prsentation de latelier : .......................................................................................................... 1
i.
introduction gnrale : ...................................................................................................... 1
ii .
Les services offerts par IPsec : ................................................................................... 2
II . Prsentation des outils utiliss : ............................................................................................ 6

i.
GNS3 ........................................................................................................................................... 6
ii. SDM :........................................................................................................................................... 7

iii. Wireshark : ............................................................................................................................... 7
iv. FileZilla: ...................................................................................................................................... 8
III.
Topologie du rseau : ........................................................................................................ 9
IV.
Configuration des outils : .................................................................................................. 9
i. ajout de la carte de bouclage : ................................................................................................. 9

ii. configuration du SDM : ......................................................................................................... 12
iii. configuration des routeurs : ............................................................................................... 13
iv . Configuration du VPN site site: ........................................................................................ 14
V. Un scnario de test: ............................................................................................................... 16
VI.
Conclusion : ........................................................................................................................ 26

www.securinets.com
Page1

SECURINETS
I.
Atelier :
Date de cration
:27/04/2013
Prsentation de latelier :
i. introduction gnrale :
Les tunnels VPN sont utiliss pour permettre la transmission scurise de donnes, voix et
vido entre deux sites (bureaux ou succursales).
Un rseau Vpn repose sur un protocole appel "protocole de tunneling". Ce protocole permet de
faire circuler les informations de l'entreprise de faon crypte d'un bout l'autre du tunnel pour
assurer la confidentialit des donnes transmises entre les deux sites. Ainsi, les utilisateurs ont
l'impression de se connecter directement sur le rseau de leur entreprise.
Le principe de tunneling consiste construire un chemin virtuel aprs avoir identifi l'metteur et le
destinataire. Par la suite, la source chiffre les donnes et les achemine en empruntant Ce chemin
virtuel. Afin d'assurer un accs ais et peu coteux aux intranets ou aux extranets d'entreprise, les
rseaux privs virtuels d'accs simulent un rseau priv, alors qu'ils utilisent en ralit une
infrastructure d'accs partage, comme Internet.
Les donnes transmettre peuvent tre prises en charge par un protocole diffrent d'Ip. Dans Ce
cas, le protocole de tunneling encapsule les donnes en ajoutant une en-tte. Le tunneling est
l'ensemble des processus d'encapsulation, de transmission et de dsencapsulation.
Pour tre considr comme scuris, un VPN doit respecter les concepts de scurit suivants:
- Confidentialit:
Les donnes ne peuvent pas tre vues dans un format lisible.
Algorithmes typiques de chiffrement symtrique: DES, 3DES, AES, Blowfish
- Intgrit:
Les donnes ne peuvent pas tre modifies.
Algorithmes typiques de hachage: sha1, md5
- Authentification:
Les passerelles VPN s'assurent de l'identit de l'autre.
Algorithmes typiques: RSA, DH

www.securinets.com
Page1

SECURINETS
Date de cration
:27/04/2013
Atelier :
Les deux types de VPN chiffrs sont les suivants :

VPN IPsec de site site : Cette alternative aux rseaux tendus relais de trames ou ligne alloue
permet aux entreprises d'tendre les ressources rseau aux succursales, aux travailleurs domicile et
aux sites de leurs partenaires.
VPN d'accs distant : Ce type de VPN tend presque n'importe quelle application vocale, vido ou
de donnes au bureau distant, grce une mulation du bureau principal.
Les protocoles de tunnelisation:
L2F : dvelopp par Cisco, il est dsormais quasi-obsolte.
PPTP : dvelopp par Microsoft.
L2TP : est l'aboutissement des travaux de l'IETF (RFC 3931) pour faire converger les fonctionnalits
de PPTP et L2F. Il s'agit d'un protocole de niveau 2 s'appuyant sur PPP.
Editer le fichier services sur C:\Windows\System32\drivers\etc pour voir les ports TCP/UDP
de chaque protocole
ii.
Les services offerts par IPsec :
Le protocole " IPsec" est l'une des mthodes permettant de crer des VPN (rseaux privs virtuels),
c'est--dire de relier entre eux des systmes informatiques de manire sre en s'appuyant sur un
rseau existant, lui-mme considr comme non scuris. Le terme sr a ici une signification assez
vague, mais peut en particulier couvrir les notions d'intgrit et de confidentialit. L'intrt majeur
de cette solution par rapport d'autres techniques (par exemple les tunnels SSH) est qu'il s'agit
d'une mthode standard (facultative en IPv4, mais obligatoire en IPv6), mise au point dans ce but
prcis, dcrite par diffrentes RFCs, et donc interoprable. Quelques avantages supplmentaires sont
l'conomie de bande passante, d'une part parce que la compression des en-ttes des donnes
transmises est prvue par ce standard, et d'autre part parce que celui-ci ne fait pas appel de trop
lourdes techniques d'encapsulation, comme par exemple les tunnels PPP sur lien SSH. Il permet
galement de protger des protocoles de bas niveau comme ICMP et IGMP, RIP, etc ...
www.securinets.com
Page2

SECURINETS
Atelier :
Date de cration
:27/04/2013
IPsec prsente en outre l'intrt d'tre une solution volutive, puisque les algorithmes de
chiffrement et d'authentification proprement parler sont spcifis sparment du protocole luimme. Elle a cependant l'inconvnient inhrent sa flexibilit : sa grande complexit rend son
implmentation dlicate. Les diffrents services offerts par le protocole IPsec sont ici dtaills. Les
manires de les combiner entre eux que les implmentations sont tenues de supporter sont ensuite
prsentes. Les moyens de gestion des clefs de chiffrement et signature sont tudis et les
problmes d'interoprabilit associs sont voqus. Enfin, un aperu rapide de quelques
implmentations IPsec, en s'intressant essentiellement leur conformit aux spcifications est
donn.
AH (authentication header) :
AH est le premier et le plus simple des protocoles de protection des donnes qui font partie de la
spcification IPsec. Il est dtaill dans la Rfc 2402. Il a pour vocation de garantir :
L'authentification : les datagrammes IP reus ont effectivement t mis par l'hte dont
l'adresse IP est indique comme adresse source dans les en-ttes.
L'unicit (optionnelle, la discrtion du rcepteur) : un datagramme ayant t mis
lgitimement et enregistr par un attaquant ne peut tre rutilis par ce dernier, les
attaques par rejeu sont ainsi vites.
L'intgrit : les champs suivants du datagramme IP n'ont pas t modifis depuis leur
mission : les donnes (en mode tunnel, ceci comprend la totalit des champs, y compris les
en-ttes, du datagramme IP encapsul dans le datagramme protg par AH), version (4 en
IPv4, 6 en IPv6), longueur de l'en-tte (en IPv4), longueur totale du datagramme (en IPv4),
longueur des donnes (en IPv6), identification, protocole ou en-tte suivant (ce champ vaut
51 pour indiquer qu'il s'agit du protocole AH), adresse IP de l'metteur, adresse IP du
destinataire (sans source routing).
En outre, au cas o du source routing serait prsent, le champ adresse IP du destinataire a la valeur
que l'metteur a prvu qu'il aurait lors de sa rception par le destinataire. Cependant, la valeur que
prendront les champs type de service (IPv4), indicateurs (IPv4), index de fragment (IPv4), TTL (IPv4),
somme de contrle d'en-tte (IPv4), classe (IPv6), flow label (IPv6), et hop limit (IPv6) lors de leur
rception n'tant pas prdictible au moment de l'mission, leur intgrit n'est pas garantie par AH.
L'intgrit de celles des options IP qui ne sont pas modifiables pendant le transport est assure, celle
des
autres
options
ne
l'est
pas.
Attention, AH n'assure pas la confidentialit : les donnes sont signes mais pas chiffres.
Enfin, AH ne spcifie pas d'algorithme de signature particulier, ceux-ci sont dcrits sparment,
cependant, une implmentation conforme la Rfc 2402 est tenue de supporter les algorithmes
MD5 et SHA-1.
ESP (encapsulating security payload)
ESP est le second protocole de protection des donnes qui fait partie de la spcification IPsec. Il est
dtaill dans la Rfc 2406. Contrairement AH, ESP ne protge pas les en-ttes des datagrammes IP
www.securinets.com
Page3

SECURINETS
Atelier :
Date de cration
:27/04/2013
utiliss pour transmettre la communication. Seules les donnes sont protges. En mode transport, il
assure :
La confidentialit des donnes (optionnelle) : la partie donne des datagrammes IP transmis
est chiffre.
L'authentification (optionnelle, mais obligatoire en l'absence de confidentialit) : la partie
donnes des datagrammes IP reus ne peut avoir t mise que par l'hte avec lequel a lieu
l'change IPsec, qui ne peut s'authentifier avec succs que s'il connat la clef associe la
communication ESP. Il est galement important de savoir que l'absence d'authentification nuit
la confidentialit, en la rendant plus vulnrable certaines attaques actives.
L'unicit (optionnelle, la discrtion du rcepteur).
L'integrit : les donnes n'ont pas t modifies depuis leur mission.
En mode tunnel, ces garanties s'appliquent aux donnes du datagramme dans lequel est encapsul le
trafic utile, donc la totalit (en-ttes et options inclus) du datagramme encapsul. Dans ce mode,
deux avantages supplmentaires apparaissent:
Une confidentialit, limite, des flux de donnes (en mode tunnel uniquement, lorsque la
confidentialit est assure) : un attaquant capable d'observer les donnes transitant par un lien
n'est pas mme de dterminer quel volume de donnes est transfr entre deux htes
particuliers. Par exemple, si la communication entre deux sous-rseaux est chiffre l'aide d'un
tunnel ESP, le volume total de donnes changes entre ces deux sous-rseaux est calculable
par cet attaquant, mais pas la rpartition de ce volume entre les diffrents systmes de ces
sous-rseaux.
La confidentialit des donnes, si elle est demande, s'tend l'ensemble des champs, y
compris les en-ttes, du datagramme IP encapsul dans le datagramme protg par ESP).
Enfin, ESP ne spcifie pas d'algorithme de signature ou de chiffrement particulier, ceux-ci sont dcrits
sparment, cependant, une implmentation conforme la Rfc 2406 est tenue de supporter
l'algorithme de chiffrement DES en mode CBC, et les signatures l'aide des fonctions de hachage
MD5 et SHA-1.
Implantation d'IPsec dans le datagramme IP
La figure 1 montre comment les donnes ncessaires au bon fonctionnement des formats AH et ESP
sont places dans le datagramme IPv4. Il s'agit bien d'un ajout dans le datagramme IP, et non de
nouveaux datagrammes, ce qui permet un nombre thoriquement illimit ou presque
d'encapsulations IPsec : un datagramme donn peut par exemple tre protg l'aide de trois
applications successives de AH et de deux encapsulations de ESP.
La gestion des clefs pour Ipsec : Isakmp et Ike
Les protocoles scuriss prsents dans les paragraphes prcdents ont recours des algorithmes
cryptographiques et ont donc besoin de clefs. Un des problmes fondamentaux d'utilisation de la
www.securinets.com
Page4

Atelier :
SECURINETS
Date de cration
:27/04/2013
cryptographie est la gestion de ces clefs. Le terme "gestion" recouvre la gnration, la distribution, le
stockage
et
la
suppression
des
clefs.
IKE (Internet Key Exchange) est un systme dvelopp spcifiquement pour Ipsec qui vise fournir
des mcanismes d'authentification et d'change de clef adapts l'ensemble des situations qui
peuvent se prsenter sur l'Internet. Il est compos de plusieurs lments : le cadre gnrique Isakmp
et une partie des protocoles Oakley et Skeme. Lorsqu'il est utilis pour Ipsec, IKE est de plus
complt par un "domaine d'interprtation" pour Ipsec.
Isakmp (Internet Security Association and Key Management Protocol)

Isakmp a pour rle la ngociation, l'tablissement, la modification et la suppression des associations
de scurit et de leurs attributs. Il pose les bases permettant de construire divers protocoles de
gestion des clefs (et plus gnralement des associations de scurit). Il comporte trois aspects
principaux :
Il dfinit une faon de procder, en deux tapes appeles phase 1 et phase 2 : dans la
premire, un certain nombre de paramtres de scurit propres Isakmp sont mis en place,
afin d'tablir entre les deux tiers un canal protg ; dans un second temps, Ce canal est utilis
pour ngocier les associations de scurit pour les mcanismes de scurit que l'on souhaite
utiliser (AH et Esp par exemple).
Il dfinit des formats de messages, par l'intermdiaire de blocs ayant chacun un rle prcis et
permettant de former des messages clairs.
Il prsente un certain nombre d'changes types, composs de tels messages, qui permettant
des ngociations prsentant des proprits diffrentes : protection ou non de l'identit, perfect
forward secrecy...
Isakmp est dcrit dans la Rfc 2408.
Ike (Internet Key Exchange)

IKE utilise Isakmp pour construire un protocole pratique. Il comprend quatre modes :
Le mode principal (Main mode)

Le mode agressif (Aggressive Mode)
Le mode rapide (Quick Mode)
Le mode nouveau groupe (New Groupe Mode)
Main Mode et Aggressive Mode sont utiliss durant la phase 1, Quick Mode est un change de phase
2. New Group Mode est un peu part : Ce n'est ni un change de phase 1, ni un change de phase 2,
mais il ne peut avoir lieu qu'une fois qu'une SA Isakmp est tablie ; il sert se mettre d'accord sur un
nouveau groupe pour de futurs changes Diffie-Hellman.

www.securinets.com
Page5

SECURINETS
Atelier :
Date de cration
:27/04/2013
II. Prsentation des outils utiliss :

Dans latelier qui suit on va voir comment configurer un tunnel VPN site site et utiliser le logiciel
SDM pour visualiser son tat via une interface graphique. Pour cela nous avons besoin des logiciels
suivants :
i.
GNS3
Le logiciel GNS3 est en fait une interface graphique pour loutil sous-jacent Dynamips qui permet
lmulation de machines virtuelles Cisco. Il est ncessaire dinsister sur le terme mulation, dans la
mesure o ces machines sappuient sur les vritables IOS fournis par Cisco et leur confrent donc
lintgralit des fonctionnalits originales.
Ce logiciel peut donc tre oppos PacketTracer, qui est un simulateur fourni par Cisco dans le cadre
de son programme acadmique, et qui est donc limit aux seules fonctionnalits implmentes par
les dveloppeurs du logiciel. Les performances des machines ainsi cres ne sont bien entendu pas
quivalentes celles des machines physiques relles, mais elles restent amplement suffisantes pour
mettre en uvre des configurations relativement basiques et apprhender les concepts de base des
quipements Cisco. A lheure actuelle, seules certaines plateformes de routeurs sont mules ainsi
que les plateformes PIX et ASA qui sont les Firewalls de la gamme Cisco. De simples commutateurs
Ethernet sont muls, et permettent notamment linterconnexion du Lab virtuel ainsi cre avec un
rseau physique

www.securinets.com
Page6

SECURINETS
Atelier :
Date de cration
:27/04/2013
Cette solution pourra donc tre choisie pour la mise en place de labos virtuels, notamment dans le
cadre de la prparation des premires certifications Cisco telles que le CCNA, mais ncessitera une
machine avec de bonnes ressources pour muler plusieurs quipements en simultan .Pour tout
autre renseignement sur le produit ou son tlchargement, vous pouvez vous rendre directement sur
la page www.gns3.net. Concernant les IOS, il vous faudra un compte CCO pour tlcharger les IOS
souhaits depuis le site de Cisco.
ii. SDM :
Le Security Device Manager Cisco (SDM) est un dispositif intuitif, bas sur les Outils web de gestion
intgre dans les routeurs d'accs Cisco IOS. Cisco SDM simplifie l'utilisation des routeur s et la
configuration de la scurit grce des assistants intelligents, permettant aux clients dployer
configurer et surveiller un routeur d'accs Cisco ,rapidement et facilement, ncessitant pas des
connaissances du logiciel d'interface de ligne de commande Cisco IOS (CLI).
Cisco SDM permet aux utilisateurs de configurer facilement Cisco IOS fonctions de scurit logicielles
sur Cisco et accder des routeurs sur une base par appareil de l'appareil, tout en permettant une
gestion proactive par la surveillance des performances. Pour le dploiement d'un nouveau routeur
ou l'installation de Cisco SDM sur un routeur existant, les utilisateurs peuvent dsormais configurer
et surveiller distance Cisco 830, 1700, 2600XM, 3600 et 3700 routeurs de la gamme sans utiliser le
logiciel Cisco IOS de l'interface de ligne de commande(CLI).
Le logiciel Cisco IOS CLI est un moyen efficace de configuration du routeur, mais ncessite une grand
niveau de comptence et d'expertise.
iii. Wireshark :
WireShark (anciennement Ethereal) est un outil d'analyse des trames rseau. L'application a t
renomme car le dveloppeur principal a chang de socit : le nom Ethereal appartient sa socit
prcdente, il n'a donc pu continuer le projet sous le mme nom...

www.securinets.com
Page7

SECURINETS
Atelier :
Date de cration
:27/04/2013
Wireshark est un analyseur multi plateformes de protocoles rseaux ou packet sniffer classique.
Son utilit principale est d'examiner les donnes qui transitent sur un rseau ou de chercher des
donnes ou un fichier sur un disque. L'outil est utilisable sur plusieurs plateformes : Windows (*.exe),
Linux (.deb), OS X (*.dmg).
Wireshark examine les donnes d'un rseau en direct et peut galement faire une capture des
diffrentes communications pour pouvoir y travailler dessus un autre moment. Wireshark propose
notamment de voir les "dissector tables" directement depuis la fentre principale. L'application peut
exporter des objets au format SMB ou encore afficher le code BPF compil pour les filtres de
captures. Enfin, Wiresharksupporte une multitude de protocoles comme ADwin, Appache Etch, JSON,
ReLOAD ou encore Wi-Fi P2P (Wi-Fi Direct).
iv. FileZilla:
FileZilla propose un client FTP libre et simple d'utilisation qui permettra aux dbutants comme aux
utilisateurs confirms de se connecter distance sur un serveur afin d'y tlcharger des fichiers.
Cette application particulirement riche en fonctionnalits supporte le glisser-dposer, les protocoles
SSL et SSH et permet de reprendre les mises jour et tlchargements interrompus y compris pour
les fichiers de taille consquente (suprieurs 4 Go).
Grce au gestionnaire de sites intgr, vous pouvez accder plus rapidement aux adresses auxquelles
vous vous connectez de faon rgulire. Dans la nouvelle mouture de FileZilla on retrouve de
nouvelles fonctionnalits, notamment l'affichage de la quantit de donnes transfres et le temps
de transfert dans la fentre de log. FileZilla dispose galement d'un accs plus rapide la fonction de
limitation de vitesse des transferts et ajoute le support du bouton retour arrire sur les souris qui en
disposent. Enfin FileZillapropose un rafrachissement de l'interface avec des icnes mises au got du
jour.

www.securinets.com
Page8

SECURINETS
Atelier :
III.
Topologie du rseau :
IV.
Configuration des outils :
Date de cration
:27/04/2013
i. ajout de la carte de bouclage :

Lors de la cration dun lab sous GNS3, il peut tre intressant dinterconnecter la machine hte du
logiciel GNS3 avec la topologie virtuellement cre. Pour ce faire, il est ncessaire de crer une
interface virtuelle et de lintgrer la topologie.
Linterface virtuelle nest en fait quune simple Loopback. Voici la procdure pour limplmenter :

www.securinets.com
Page9

SECURINETS
Atelier :
Date de cration
:27/04/2013
Ajout de Matriel :
Cocher Installer le matriel que je slectionne manuellement dans la liste
Slectionner Carte rseau

www.securinets.com
Page10

SECURINETS
Atelier :
Date de cration
:27/04/2013
Choisir le fabricant Microsoft puis la carte rseau intitule Carte de bouclage Microsoft
Terminer linstallation :
Cette procdure a pour effet de crer une interface rseaux dans le menu Connexions rseaux.
Afin de linterconnecter avec la topologie rseau
En faisant un clic droit sur ce nuage, puis en slectionnant Configurer, il va tre possible de
slectionner linterface rseau utiliser dans longlet NIO Ethernet (en loccurrence notre interface
Loopback cre). La fin de la configuration reste la mme que celle dune configuration relle. Il suffit
de configurer une adresse IP sur linterface Loopback, et den mettre une autre dans le mme sousrseau pour le routeur virtuel quon cherche joindre depuis son PC.

www.securinets.com
Page11

SECURINETS
Atelier :
Date de cration
:27/04/2013
ii. configuration du SDM :

tape 1 : Activer le HTTP et HTTPS serveurs sur votre routeur en entrant les commandes suivantes
en mode de configuration globale:
site1# configure terminal

Entrez les commandes de configuration, une par ligne. Terminez avec CNTL / Z.
site1 (config)# ip http server
site1(config)# ip http secure-server
site1(config)# ip http authentication local
site1 (config)# ip http timeout-policy idle 600 life 86400 requests 10000
tape 2 : Crer un compte utilisateur dfini avec un niveau de privilge 15 (activer privilges). Entrez
la commande suivante en mode de configuration globale, en remplacement de nom d'utilisateur et mot
de passe avec les chanes que vous souhaitez utiliser:
site1(config)# username username privilege 15 secret 0 password

Par exemple, si vous avez choisi le nom d'utilisateur admin et le mot de passe cisco!123, vous devez
entrer ce qui suit:
site1(config)# username admin privilege 15 secret 0 cisco!123

Vous utiliserez ce nom d'utilisateur et mot de passe pour vous connecter Cisco SDM.
tape 3 : Configurez SSH et Telnet pour la connexion locale et le niveau de privilge 15. Utilisez les
commandes suivantes:
site1(config)# line vty 0 4

site1 (config-line)# privilege level 15
www.securinets.com
Page12

SECURINETS
Atelier :
Date de cration
:27/04/2013
site1 (config-line)# login local

site1(config-line)# transport input telnet ssh
site1(config-line)# exit
tape 4 : Attribuer une adresse IP au port Fast Ethernet. elle sera utilise pour accder ce routeur
site1(config)#interface fastethernet 0/0

site1(config-if)#ip address 192.168.111.1 255.255.255.0
site1 (config-if)#no shutdown
iii. configuration des routeurs :

Le routeur ISP :
ISP#configure terminal
ISP(config)#interface f1/0
ISP(config-if)# ip address 10.10.10.2 255.255.255.0
ISP(config-if)# no shutdown
ISP(config-if)# exit
ISP(config)#interface f1/1
ISP(config-if)# ip address 172.16.1.1 255.255.255.0
ISP(config-if)# no shutdown
ISP(config-if)# exit
ISP(config)# ip route 172.16.2.0 255.255.255.0 f1/1 172.16.1.2
ISP(config)# ip route 192.168.2.0 255.255.255.0 f1/0 10.10.10.1
ISP(config)#end
Le routeur Site1 :
Site1#configure terminal
Site1 (config)#interface f1/1
Site1 (config-if)# ip address 10.10.10.1 255.255.255.0
Site1 (config-if)# no shutdown
Site1 (config-if)# exit
Site1 (config)#interface loopback 0
Site1 (config)#interface fastethernet1/0
Site1 (config)#ip route 0.0.0.0 0.0.0.0 f1/1 10.10.10.2
Site1 (config)#end
Le routeur Site2 :
Site2 (config)#interface f1/0
www.securinets.com
Page13

SECURINETS
Atelier :
Date de cration
:27/04/2013
Site2 (config-if)# no shutdown

Site2 (config)#interface loopback 0
Site2(config-if)# ip address 172.16.2.1 255.255.255.0
Site2 (config)#ip route 0.0.0.0 0.0.0.0 serial 0/0 172.16.1.1
Site2 (config)#end
iv.
Configuration du VPN site site:
3DES Est un procd de cryptage utilis pour la phase 1.

Sha Est l'algorithme de hachage
Pre-share - Utilisation dune Cl pr-partage comme mthode d'authentification
Groupe 2 Lalgorithme dchange de clef Diffie-Hellman est utiliser
86400 Est la dure de vie de la cl de session. Elle est exprime en kilo-octets (aprs
x quantit de trafic, modifier la cl) ou en secondes. La valeur dfinie est la valeur par dfaut.
Pour configurer le protocole IPSec on a besoin de configurer les lments suivants dans l'ordre:
- Crer une ACL tendue
- Crer lIPSec Transform
- Crer la Crypto Map
- Appliquer crypto map l'interface publique
Ajouter les lignes suivantes pour chaque routeur :
Sur le routeur Site1 :
1re tape : configurer le transform-set
Site1(config)# crypto ipsec transform-set TSTEST esp-3des esp-sha-hmac
Site1(cfg-crypto-trans)#exit
2me tape : crer votre crypto-map
Site1(config)#crypto map TST_CMAP 1 ipsec-isakmp
Site1(config-crypto-map)# description VPN to Site_02 172.16.2.0
Site1(config-crypto-map)#set peer 172.16.1.2
Site1(config-crypto-map)# set transform-set TSTEST
Site1(config-crypto-map)#match address VPN_TO_SITE_02
Site1(config-crypto-map)#exit
3me tape : crer votre policy-map
Site1(config)#crypto isakmp policy 1
Site1(config-isakmp)# encryption 3des
Site1(config-isakmp)#authentication pre-share
Site1(config-isakmp)#group 2
Site1(config-isakmp)#exit

www.securinets.com
Page14

SECURINETS
Atelier :
Date de cration
:27/04/2013
4me tape : crer votre pre-share key

Site1(config)# crypto isakmp key cisco!123 address 172.16.1.2
5me tape : Classifier votre trafic et activer la cypto-map sur lnterface serial 0/0
Site1(config)#ip access-list extended VPN_TO_SITE_02
Site1(config-ext-nacl)# remark Rule For VPN Access
Site1(config-ext-nacl)#permit ip 192.168.2.0 0.0.0.255 172.16.2.0 0.0.0.255
Site1(config-ext-nacl)#exit
Site1(config)#interface serial 0/0
Site1(config-if)# crypto map TST_CMAP <- Activation de la crypto-map
Site1(config-if)#end
Sur le routeur Site2 :
1re tape : configurer le transform-set
Site2(config)# crypto ipsec transform-set TSTEST esp-3des esp-sha-hmac
Site2(cfg-crypto-trans)#exit
2me tape : crer votre crypto-map
Site2(config)#crypto map TST_CMAP 1 ipsec-isakmp
Site2(config-crypto-map)# description VPN to Site_01 192.168.2.0
Site2(config-crypto-map)#set peer 10.10.10.1
Site2(config-crypto-map)# set transform-set TSTEST
Site2(config-crypto-map)#match address VPN_TO_SITE_01
Site2(config-crypto-map)#exit
3me tape : crer votre policy-map
Site2(config)#crypto isakmp policy 1
Site2(config-isakmp)# encryption 3des
Site2(config-isakmp)#authentication pre-share
Site2(config-isakmp)#group 2
Site2(config-isakmp)#exit
4me tape : crer votre pre-share key
Site2(config)# crypto isakmp key cisco!123 address 10.10.10.1
5me tape : Classifier votre trafic et activer la cypto-map sur lnterface serial 0/0
Site2(config)#ip access-list extended VPN_TO_SITE_01
Site2(config-ext-nacl)# remark Rule For VPN Access
Site2(config-ext-nacl)#permit ip 172.16.2.0 0.0.0.255 192.168.2.0 0.0.0.255
Site2(config-ext-nacl)#exit
Site2(config)#interface serial 0/0
Site2(config-if)# crypto map TST_CMAP <- Activation de la crypto-map
Site2(config-if)#end

www.securinets.com
Page15

SECURINETS
Atelier :
Date de cration
:27/04/2013
V. Un scnario de test:
i. Utilisation du SDM. :
Dans cette partie on va utiliser le SDM pour accder au routeur Site1 et visualiser ltat de notre
VPN.
Pour cela :
Ajouter une carte de bouclage Microsoft dans votre pc et donner la une adresse ip du mme sousrseau que linterface Fastethernet 1/0 du routeur Site1. Si non vous pouvez utiliser les cartes
VMware avec une machine virtuelle au lieu de votre pc.
Affecter cette carte au nuage GNS3 (le pc SDM sur la maquette).
Tester la connectivit entre la machine SDM et votre routeur. Vrifier vos firewalls si le test choue.
Lancer le SDM et attribuer ladresse ip du routeur (192.168.111.1):

www.securinets.com
Page16

SECURINETS
Atelier :
Date de cration
:27/04/2013
choisir le nom d'utilisateur admin et le mot de passe cisco!123 :
Authentification au SDM :

www.securinets.com
Page17

SECURINETS
Atelier :
Date de cration
:27/04/2013
Ltat de notre VPN , IPsec est UP :
Le statut de notre VPN :

www.securinets.com
Page18

SECURINETS
Atelier :
Date de cration
:27/04/2013
ii. test de ping :
Aprs configuration, on peut tester denvoy des donnes entre les deux pc qui se trouvent
dans 2 sites distant, on peut voir que le ping et les donnes passent
Aprs l'installation du logiciel filezilla, on tablit la connexion cot serveur :
on peut ajouter dsormais un utilisateur :

www.securinets.com
Page19

SECURINETS
Atelier :
Date de cration
:27/04/2013
attribution d'un login au nouvel utilisateur "souu" :
Aprs avoir ajout un utilisateur, il faut indiquer la liste des rpertoires et des fichiers
partager :

www.securinets.com
Page20

SECURINETS
Atelier :
Date de cration
:27/04/2013
Ajout d'un nouvel utilisateur :

www.securinets.com
Page21

SECURINETS
Atelier :
Date de cration
:27/04/2013
Configuration de l'adresse ip de la machine du serveur comme suit :
Configuration de l'adresse ip de la machine cliente comme suit :

www.securinets.com
Page22

SECURINETS
Atelier :
Date de cration
:27/04/2013
il faut tester la connexion entre les deux machines, en utilisant la commande ping :
Accs cote serveur : il faut taper dans le navigateur l'adresse indique ci-dessous pour
pouvoir accder au serveur :

www.securinets.com
Page23

SECURINETS
Atelier :
Date de cration
:27/04/2013
Authentification requise : login + mot de passe de l'utilisateur
choisir un fichier enregistrer :

www.securinets.com
Page24

SECURINETS
Atelier :
Date de cration
:27/04/2013
iii . Sniffing Wireshark :
Pour conclure on effectue sniffing pour voir ce qui se passe sur votre architecture grce
lintgration du logiciel wireshark dans GNS3, pour cela rien de plus simple, faire un clicdroit sur le lien que vous voulez analyser et cliquer sur Start capturing :
Vous devez ensuite choisir dans la liste propose linterface que vous souhaitez analyser.
Une fois choisie, dans la partie Capture de GNS3 apparat votre premire capture, fates
un clic-droit dessus pour lancer wireshark, vous pourrez ainsi analyser le trafic sur cette
interface :

www.securinets.com
Page25

SECURINETS
VI.
Atelier :
Date de cration
:27/04/2013
les donnes passent tarvers le tunnel VPN ipsec prcedemmant cre et elles sont cryptes :
Conclusion :
Que ce soit une IPSec ou VPNSSL, le bon choix dpend en dfinitive des besoins d'accs
distant de votre entreprise : VPN IPSec est conu pour le site site VPN ou d'accs distance partir
d'un petit nombre fini de contrles actifs de l'entreprise .Si ce sont les besoins primaires de votre
entreprise, IPSec effectue ces fonctions tout fait bien.

www.securinets.com
Page26

VPN Ipsec Securiday 2013 PDF

Загружено:

Сведения о документе

Оригинальное название

Авторское право

Доступные форматы

Поделиться этим документом

Поделиться или встроить документ

Параметры публикации

Этот документ был вам полезен?

Это неприемлемый материал?

Авторское право:

Доступные форматы

VPN Ipsec Securiday 2013 PDF

Загружено:

Авторское право:

Доступные форматы

SECURINETS

Club de la Scurit Informatique lINSAT

Dans le cadre de la 3me dition

Copyright 2013 - SECURINETS - Club de la Scurit Informatique lINSAT

SECURIDAY 2013 - Cyber War

Table des matires

introduction gnrale : ...................................................................................................... 1

Les services offerts par IPsec : ................................................................................... 2

II . Prsentation des outils utiliss : ............................................................................................ 6

ii. SDM :........................................................................................................................................... 7

Topologie du rseau : ........................................................................................................ 9

Configuration des outils : .................................................................................................. 9

i. ajout de la carte de bouclage : ................................................................................................. 9

Copyright 2013 - SECURINETS - Club de la Scurit Informatique lINSAT

SECURIDAY 2013 - Cyber War

Copyright 2013 - SECURINETS - Club de la Scurit Informatique lINSAT

SECURIDAY 2013 - Cyber War

Les deux types de VPN chiffrs sont les suivants :

Les services offerts par IPsec :

SECURIDAY 2013 - Cyber War

SECURIDAY 2013 - Cyber War

SECURIDAY 2013 - Cyber War

Isakmp (Internet Security Association and Key Management Protocol)

Ike (Internet Key Exchange)

Le mode principal (Main mode)

Copyright 2013 - SECURINETS - Club de la Scurit Informatique lINSAT

SECURIDAY 2013 - Cyber War

II. Prsentation des outils utiliss :

Copyright 2013 - SECURINETS - Club de la Scurit Informatique lINSAT

SECURIDAY 2013 - Cyber War

Copyright 2013 - SECURINETS - Club de la Scurit Informatique lINSAT

SECURIDAY 2013 - Cyber War

Copyright 2013 - SECURINETS - Club de la Scurit Informatique lINSAT

SECURIDAY 2013 - Cyber War

Configuration des outils :

i. ajout de la carte de bouclage :

Copyright 2013 - SECURINETS - Club de la Scurit Informatique lINSAT

SECURIDAY 2013 - Cyber War

Cocher Installer le matriel que je slectionne manuellement dans la liste

Slectionner Carte rseau

Copyright 2013 - SECURINETS - Club de la Scurit Informatique lINSAT

SECURIDAY 2013 - Cyber War

Copyright 2013 - SECURINETS - Club de la Scurit Informatique lINSAT

SECURIDAY 2013 - Cyber War

ii. configuration du SDM :

site1# configure terminal

site1(config)# username username privilege 15 secret 0 password

site1(config)# username admin privilege 15 secret 0 cisco!123

site1(config)# line vty 0 4

SECURIDAY 2013 - Cyber War

site1 (config-line)# login local

site1(config)#interface fastethernet 0/0

iii. configuration des routeurs :

SECURIDAY 2013 - Cyber War

Site2 (config-if)# no shutdown

Configuration du VPN site site:

3DES Est un procd de cryptage utilis pour la phase 1.

Copyright 2013 - SECURINETS - Club de la Scurit Informatique lINSAT

SECURIDAY 2013 - Cyber War

4me tape : crer votre pre-share key

Copyright 2013 - SECURINETS - Club de la Scurit Informatique lINSAT

SECURIDAY 2013 - Cyber War

Lancer le SDM et attribuer ladresse ip du routeur (192.168.111.1):