Академический Документы
Профессиональный Документы
Культура Документы
− limitez la diffusion
− appliquer les correctifs du système et des logiciels
− Déconnectez, retirez ou bloquez les machines infectées du réseau.
− nettoyez tous les systèmes infectés.
3
Sécurité des réseaux informatiques
L'architecture de sécurité « Cisco Self-Defending Networks » (SDN) s'appuie sur l'infrastructure pour identifier,
répondre et s'adapter automatiquement aux menaces pour garantir performance et continuité de fonctionnement du
réseau, intégrité des systèmes et confidentialité des données.
Cette architecture combine des services de sécurité intégrés dans l’infrastructure avec des équipements dédiés
dans une approche système, d'architecture. Les services de sécurité sont virtualisés, collaborent et deviennent
adaptatifs, pour une meilleure protection, plus de visibilité, et plus de simplicité d'exploitation.
4
Sécurité des réseaux informatiques
5
Sécurité des réseaux informatiques
La sécurisation des routeurs situés en périphérie du réseau est la première étape de la sécurisation.
La sécurité des routeurs s’envisage en réfléchissant aux aspects suivants :
Sécurité physique: installez le routeur dans un local fermé à clé dont l’accès n’est donné qu’au personnel
autorisé, protégé contre les interférences électrostatiques et magnétiques, équipé d’un système de régulation de la
température, de l’humidité et d'alimentation sans.
Dotez le routeur du maximum de mémoire possible. Une grande quantité de mémoire disponible peut être utile
pour la prise en charge d’une large gamme de services de sécurité.
Pour un résultat optimal des fonctions de sécurité de votre système d’exploitation, utilisez la version la plus stable
qui correspond aux besoins de votre réseau.
Copie de sauvegarde de la configuration et du logiciel IOS en cas de panne du routeur. À des fins de
sauvegarde, gardez une copie sécurisée de l’image du logiciel IOS et de la configuration du routeur sur un serveur
TFTP.
6
Sécurité des réseaux informatiques
Composez de longs mots de passe. Il est recommandé d’utiliser au moins huit caractères. Vous pouvez
appliquer la longueur minimale à l’aide d’une fonction disponible sur les routeurs Cisco IOS, qui est présentée
plus loin dans ce chapitre.
Changez les mots de passe aussi souvent que possible. Votre stratégie de sécurité doit définir le moment et la
fréquence du changement des mots de passe. Le changement fréquent des mots de passe offre deux
avantages. Cette méthode limite la période pendant laquelle un pirate peut casser un mot de passe, ainsi que
la période d’exposition une fois le mot de passe compromis.
Remarque : les espaces au début d’un mot de passe sont ignorés, mais les espaces après le premier caractère
sont pris en compte.
Phrases de passe
Pour créer des mots de passe forts et complexes, il est recommandé d’utiliser des phrases de passe. Une phrase
de passe est essentiellement une locution ou une expression qui sert de mot de passe plus sûr. Veillez à choisir
un groupe de mots suffisamment long pour qu’il soit difficile à deviner mais facile à retenir et tapez-le avec
précision.
Pour constituer la base de votre mot de passe fort ou de votre phrase de passe, choisissez une phrase extraite
d’un livre ou les paroles d’une chanson que vous pouvez mémoriser facilement. La figure présente quelques
exemples de phrases de passe.
Lorsque vous les entrez sur un routeur. Cette façon de faire n’est pas sûre, étant donné qu’une personne passant
derrière vous peut jeter un coup d’œil par dessus votre épaule pendant que vous regardez la configuration d’un
routeur.
Les commandes enable password ou username nom_utilisateur password mot_de_passe
afficheraient ces mots de passe pendant l’étude de la configuration courante.
Exemple :
R1(config)# username Student password cisco123
R1(config)# do show run | include username
username Student password 0 cisco123
R1(config)#
Le 0 affiché dans la configuration courante indique que le mot de passe n’est pas masqué.
Pour chiffrer les mots de passe à l’aide de la méthode de type 7, utilisez la commande de configuration globale
service password-encryption, comme illustré dans la figure. Cette commande empêche l’affichage en clair
des mots de passe.
Exemple :
R1(config)# service password-encryption
R1(config)# do show run | include username
username Student password 7 03075218050061
R1(config)#
Le 7 affiché dans la configuration courante indique que le mot de passe est masqué.
Cisco recommande l’utilisation du chiffrement de type 5 au lieu du type 7, dans la mesure du possible. Le
chiffrement MD5 est une méthode de chiffrement forte. Elle doit être utilisée autant que possible. Cette méthode
est définie par le mot clé password avec secret.
Les noms d’utilisateur de la base de données locale doivent également être configurés à l’aide de la commande de
configuration globale username nom_utilisateur secret mot_de_passe.
Exemple :
R1(config)# username Student secret cisco
R1(config)# do show run | include username
username Student secret 5 $1$z245$lVSTJzuYgdQDJiacwP2Tv/
R1(config)#
Les versions 12.3(1) et ultérieures du logiciel Cisco IOS autorisent les administrateurs à définir la longueur
minimale en caractères de tous les mots de passe du routeur à l’aide de la commande de configuration globale
security passwords min-length 10. Cette commande améliore la sécurité d’accès au routeur en
permettant de spécifier une longueur minimale de mot de passe. Cela permet d’éliminer les mots de passe
courants qui prédominent sur la plupart des routeurs, comme « lab » et « cisco ».
7
Sécurité des réseaux informatiques
Cisco SDM prend en charge la plupart des versions du logiciel Cisco IOS. Il est préinstallé par défaut sur tous les
nouveaux routeurs Cisco à services intégrés.
Si Cisco SDM est préinstallé sur le routeur, Cisco vous recommande de l’utiliser pour effectuer la configuration
initiale.
Fonctionnalités de Cisco SDM
Une fois Cisco SDM lancé et la session ouverte, la première page qui s’affiche est la page de présentation. En
particulier, elle présente des informations de base sur le matériel, le logiciel et la configuration du routeur.
Principalement elle est constituée de deux zones:
Zone information routeur (about your router)
Zone configuration (configuration overview)
8
Sécurité des réseaux informatiques
9
Sécurité des réseaux informatiques
L’accès par une ligne de terminal SSH permet aux administrateurs de configurer des routeurs et d’effectuer les
tâches suivantes de manière sécurisée :
Connexion à un routeur doté de plusieurs lignes de terminal reliées à des consoles ou aux ports série d’autres
routeurs, commutateurs et périphériques.
Connexion simplifiée à un routeur depuis n’importe quel endroit par une liaison spécifique au serveur de
terminaux.
Raccordement de modems aux routeurs utilisés pour des communications sortantes sécurisées.
Authentification exigée sur chaque ligne par un nom d’utilisateur et un mot de passe définis localement ou par
un serveur de sécurité comme les serveurs TACACS+ ou RADIUS.
10
Sécurité des réseaux informatiques
11
Sécurité des réseaux informatiques
R1> enable 5
Password: <cisco5>
R1# show privilege
Current privilege level is 5
R1# ping 10.10.10.1
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 10.10.10.1, timeout is 2 seconds:
! ! ! ! !
Success rate is 100 percent (5/5), round-trip min/avg/max = 1/2/4 ms
R1# reload
...
% Unknown command or computer name, or unable to find computer address
R1#
R1# enable 10
Password: <ciscol0>
R1# show privilege
Current privilege level is 10
R1# ping 10.10.10.1
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 10.10.10.1, timeout is 2 seconds:
! ! ! ! !
Success rate is 100 percent (5/5), round-trip min/avg/max = 1/2/4 ms
R1# reload
System configuration has been modified. Save? [yes/no]: ^C
R1# show running-config
^
% Invalid input detected at '^' marker.
R1#
Rl# enable 15
Password: <ciscol23>
Rl# show running-config
Building configuration...
Current configuration : 1145 bytes
!
version 12.4
...
12
Sécurité des réseaux informatiques
Avant toute chose, il est indispensable d'activer AAA avec la commande aaa new-model puis de se déconnecter du
mode privilégié avant de configurer l'équipement suivant l'exemple suivant.
R1>enable view
Password:
R1#
*Mar 1 02:42:51.331: %PARSER-6-VIEW_SWITCH: successfully set to view 'root'.
La première commande suivie du mot de passe enable permet d'entrer dans la vue root à partir de laquelle on peut
paramétrer les autres vues.
R1(config)#parser view ADMIN-RESEAU
R1(config-view)#
La vue portant le nom ADMIN-RESEAU est créée à partir de la vue root.
R1(config-view)# secret 0 cisco
R1(config-view)# commands configure include all interface
R1(config-view)# commands exec include traceroute
R1(config-view)# commands exec include ping
R1(config-view)# commands exec include configure terminal
R1(config-view)# commands exec include configure
R1(config-view)# commands exec include all show ip
À cette vue sont ajoutées les commandes jugées nécessaires pour ce rôle d'administration. Le mot de passe secret de
cette vue sera naturellement chiffré par le système.
13
Sécurité des réseaux informatiques
En entrant le point d'interrogation seul on observe toutes les commandes disponibles dans le mode Exec.
R1#?
Exec commands:
configure Enter configuration mode
enable Turn on privileged commands
exit Exit from the EXEC
ping Send echo messages
show Show running System information
traceroute Trace route to destination
R1#show ?
ip IP information
On peut aussi examiner les options disponibles après la commande show.
Dans le cas présent, seules les commandes commençant par show ip sont disponibles.
R1(config)#?
Configure commands:
do To run exec commands in config mode
exit Exit from configure mode
interface Select an interface to configure
En mode de configuration global, comme prévu, seul le mode de configuration des interfaces est proposé.
Affectation des niveaux de privilège et de vue avec SDM
mémoire flash avec l'image IOS sécurisé. Cet ensemble image Cisco IOS et le fichier d’exécution de la configuration du
routeur est appelé le bootset.
Deux commandes de configuration globale sont disponibles pour configurer les fonctionnalités Cisco IOS Resilient
Configuration :
secure boot-image et secure boot-config.
IX- Syslog
Journalisation de l'activité d'un routeur
Les journaux vous permettent de vérifier le fonctionnement d’un routeur et de déterminer s’il a été compromis ou
non. Dans certains cas, un journal peut indiquer les types de sondages ou d’attaques tentés contre le routeur ou le
réseau protégé.
La configuration des journaux (Syslog) sur le routeur est une opération à effectuer avec précaution. Envoyez les
journaux du routeur à un hôte de journalisation désigné. L’hôte de journalisation doit être connecté à un réseau de
confiance ou à un réseau protégé, ou encore à une interface de routeur isolée et spécialisée. Les routeurs
prennent en charge différents niveaux de journalisation. La plage de 8 niveaux va de 0 (urgences indiquant que le
système est instable) à 7 (messages de débogage reprenant toutes les données de routage).
Utilisation de Syslog pour la sécurité du réseau
Mettre en œuvre une fonction de journalisation du routeur est une partie importante de toute politique de sécurité du
réseau.
Exemple de message de journalisation :
capacités de stockage de journal à long terme et d'un emplacement central pour tous les
messages de routeur.
Configuration de la journalisation syslog
X- Authentification de routage
Pour sécuriser l’échange d’informations de routage, les routeurs d’une zone spécifique peuvent être configurés pour
s’authentifier mutuellement.
Chaque interface peut présenter une clé d’authentification à l’usage des routeurs qui envoient des informations aux
autres routeurs du segment. La clé d’authentification, ou mot de passe, est un secret partagé entre les routeurs. Elle
permet de générer les données d’authentification dans l’en-tête de paquet d’information. Le mot de passe peut
comporter jusqu’à huit caractères.
Authentification OSPF
Authentification en texte clair :
16
Sécurité des réseaux informatiques
Si vous configurez une authentification simple, le mot de passe est envoyé sous forme de texte en clair. Cela veut
dire qu’il peut être facilement décodé si un analyseur de paquets capture un paquet OSPF.
Router(config-if)# ip ospf authentication-key mot-de-passe
Une fois le mot de passe configuré, l’authentification doit être activée:
Router(config-router)# area numéro-de-zone authentication
Authentification cryptée :
Il est recommandé de crypter les informations d’authentification. Pour envoyer des informations d’authentification
cryptées et pour renforcer la sécurité, le mot-clé MD5 (Message Digest 5) est utilisé. Le mot-clé MD5 spécifie le
type d’algorithme de hachage (MD) à utiliser, et le champ de type de cryptage correspond au type de cryptage, où
0 signifie aucun et où 7 signifie propriétaire.
Router(config-if)#ip ospf message-digest-key identificateur-de-clé
md5 type-d-encryption clé
identificateur-de-clé: identifiant dont la valeur est comprise entre 1 et 255.
clé : mot de passe alphanumérique qui comporte jusqu’à seize caractères.
Les routeurs voisins doivent utiliser le même identifiant de clé et la même valeur de clé.
La commande suivante est configurée en mode de configuration de routeur:
Router(config-router)#area id-de-zone authentication message-digest
R1(config)#interface s0/0/0
R1(config-if)#ip ospf message-digest-key 1 md5 cisco
R1(config-if)#ip ospf authentication message-digest
R1(config)#router ospf 10
R1(config-router)#area 0 authentication message-digest
Authentification RIPv2
Pour l'authentification RIP v2 comme OSPF, il y a deux options : texte clair ou cryptée.
Configurez les paramètres d'authentification
Le nom de la chaîne principale, " RIP_KEY ", est défini par l'utilisateur et peut être ce que vous voulez. Il n'a pas
besoin d'être la même sur les deux routeurs.
Le numéro d'identification de la clé d'authentification, " key 1 ", n'a pas besoin d'être identique, sauf si vous utilisez
l'authentification MD5.
La chaîne de clé, " key - string RGjtl5ANYa ", est le mot de passe réel. Il doit correspondre sur les deux côtés.
Les seules choses qui reste à faire est de permettre l'authentification sur les interfaces série 0 / 0 et de spécifier la
méthode d'authentification que vous allez utiliser. Authentification en texte clair est la valeur par défaut.
Configurer l'authentification en texte clair
17
Sécurité des réseaux informatiques
Le mot de passe est clairement visible dans les mises à jour RIP reçues. Non seulement il est visible pour nous,
mais il serait visible à des oreilles indiscrètes sur le réseau. Ainsi l’authentification en texte clair n’a pas d’effet.
18
Sécurité des réseaux informatiques
19
Sécurité des réseaux informatiques
Remarque:
Vous trouverez une instruction implicite de critères « deny all traffic » à la fin de chaque liste de contrôle d’accès.
On l’appelle parfois instruction implicite « deny any ». Par conséquent, si un paquet ne correspond pas aux entrées
de la liste de contrôle d’accès, il est automatiquement bloqué. L’instruction implicite « deny all traffic » correspond
au comportement par défaut des listes de contrôle d’accès ; vous ne pouvez pas la modifier.
3. Numérotation et attribution d'un nom aux listes de contrôle d'accès
Vous affectez un numéro en fonction du type de filtrage :
(1 à 99) et (1300 à 1999) : liste de contrôle d’accès IP standard
(100 à 199) et (2000 à 2699) : liste de contrôle d’accès IP étendue
20
Sécurité des réseaux informatiques
NB (pas d’édition) : On ne peut pas modifier ou supprimer des entrées dans la liste de contrôle d’accès (pour arriver
à modifier une ACE, on la supprime entièrement puis on la recrée).
Vous affectez un nom en indiquant celui de la liste de contrôle d’accès :
Les noms peuvent comporter des caractères alphanumériques.
Il est recommandé d’écrire le nom en MAJUSCULES.
Les noms ne peuvent pas contenir d’espaces ou de marques de ponctuation ; ils doivent commencer par une
lettre.
NB (possibilité d’édition) : modifier ou supprimer des entrées dans la liste de contrôle d’accès.
4. Traitement des instructions d'une ACL
Quand un paquet arrive à un routeur filtre :
− Le paquet est comparé aux instructions de la liste de contrôle d’accès selon leur ordre d’entrée.
− Tant qu’une concordance n’a pas été détectée, le routeur traite les instructions de l'ACL.
− S’il ne trouve aucune concordance le paquet est supprimé.
C’est pourquoi il est recommandé que:
− les ACE soient bien formulées
− les ACE soient minutieusement ordonnées dans l’ACL en fonction des besoins en filtrage
− Une ACL doit comporter au moins une ACE d’autorisation, sans quoi tout le trafic est bloqué.
Dans cet exemple, les deux listes de contrôle d’accès (101 et 102) ont le même effet. Le réseau 192.168.30.0 est
autorisé à accéder au réseau 192.168.10.0
- access-list 101 permit ip 192.168.30.0 0.0.0.255 192.168.10.0 0.0.0.255
- access-list 102 permit ip 192.168.30.0 0.0.0.255 192.168.10.0 0.0.0.255
access-list 102 deny ip any any
21
Sécurité des réseaux informatiques
22
Sécurité des réseaux informatiques
Exemple:
R1(config)# access-list 21 permit 192.168.10.0 0.0.0.255
R1(config)# access-list 21 permit 192.168.11.0 0.0.0.255
R1(config)# access-list 21 deny any
R1(config)# line vty 0 4
R1(config-line)# login
R1(config-line)# password secret
R1(config-line)# access-class 21 in
Remarques : Seules des listes de contrôle d’accès numérotées peuvent être appliquées aux lignes VTY.
Vous devez définir les mêmes restrictions sur toutes les lignes VTY car un utilisateur peut tenter de
se connecter à n’importe laquelle.
5. Édition des listes de contrôle d’accès numérotées
Lors de la configuration d’une ACL, les instructions sont ajoutées dans leur ordre de saisie à la fin de la liste de
contrôle d’accès. Cependant, il n’existe aucune fonction d’édition intégrée vous permettant de modifier une ACL.
Vous ne pouvez pas sélectionner les lignes à insérer ou supprimer.
Il est fortement recommandé de créer une ACL dans un éditeur de texte, tel que le Bloc-notes. Ainsi, vous pourrez
créer ou modifier une liste de contrôle d’accès, puis la coller dans la configuration du routeur.
Supposons, par exemple, que l’adresse IP hôte a été entrée de manière incorrecte dans une ACL. L’hôte
192.168.10.100 a été entré alors que c’est l’hôte 192.168.10.11 qui aurait dû l’être. Voici les étapes à suivre pour
modifier et corriger cette ACL:
Étape 1. Affichez la ACL à l’aide de la commande show running-config, utilisez le mot clé include pour afficher
uniquement les instructions de la ACL.
Étape 2. Copiez depuis la CLI puis collez dans le Bloc-notes. Modifiez la liste comme nécessaire.
Étape 3. En mode de configuration globale, désactivez la liste de contrôle d’accès à l’aide de la commande
no access-list. Sinon, les nouvelles instructions sont ajoutées à la suite de la liste de contrôle
d’accès existante. Collez la nouvelle liste de contrôle d’accès dans la configuration du routeur.
les suivants : lt (inférieur à), gt (supérieur à), eq (égal), neq (non égal) et range (plage
inclusive)
port (Facultatif) Numéro décimal ou nom d’un port TCP ou UDP.
established (Facultatif) Pour le protocole TCP uniquement : indique une connexion établie.
Les autres paramètres ont la même signification qu'une ACL standard
Exemple:
Créer une ACL 103 qui autorise le trafic en
provenance de toute adresse sur le réseau
192.168.10.0 à accéder à n’importe quelle
destination, à condition que le trafic soit
transféré vers les ports 80 (HTTP) et 443
(HTTPS).
24
Sécurité des réseaux informatiques
Spécifications :
Empêcher le trafic du réseau 192.168.1.0 d'accéder au réseau 192.168.4.0.
Autoriser 192.168.1.0 à atteindre les autres réseaux.
Mauvais emplacement :
Répond à certaines spécifications.
192.168.2.0/24
Empêche le trafic du réseau 192.168.1.0
d'accéder aux réseaux 192.168.2.0 et
192.168.3.0 Fa0/0 Fa0/0
ENT SOR
192.168.1.0/24 192.168.4.0/24
192.168.3.0/24 bon emplacement :
Répond à toutes les
ACL spécifications.
access-list 9 deny 192.168.1.0 0.0.0.255
access-list 9 permit any
En revanche, les ACL étendues prenant aussi en compte les adresses destination, peuvent être utilisées au contraire sur
les routeurs les plus proches des équipements sources concernés, ceci afin d’éviter du trafic superflu sur le réseau.
Spécifications :
Utiliser l'ACL étendue pour empêcher le trafic du réseau 192.168.1.0 d'accéder au réseau 192.168.4.0.
Autoriser 192.168.1.0 à atteindre les autres réseaux.
Bon emplacement :
L’ACL étendue est positionnée au plus
192.168.2.0/24
près de la source, ce qui empêche le
trafic du réseau 192.168.1.0 d'atteindre
192.168.4.0, mais l'autorise à atteindre Fa0/0 Fa0/0
les autres réseaux. ENT SOR
192.168.1.0/24 192.168.4.0/24
192.168.3.0/24
ACL
access-list 109 deny 192.168.1.0 0.0.0.255 192.168.4.0 0.0.0.255
access-list 109 permit ip any any
V- ACL nommées
1. Création des ACL nommées
Si vous attribuez un nom à une liste de contrôle d’accès, il vous sera plus facile d’en comprendre la fonction. Par
exemple, vous pouvez utiliser NO_FTP pour appeler une liste de contrôle d’accès refusant le trafic FTP. Lorsque
vous identifiez une liste de contrôle d’accès par un nom plutôt qu’un numéro, le mode de configuration et la syntaxe
de commande sont légèrement différents.
- En mode de configuration globale, utilisez la commande:
Routeur(config)#ip access-list [standard | extendend] name
- En mode de configuration de la liste de contrôle d’accès nommée, utilisez les instructions permit ou deny pour
spécifier une ou plusieurs conditions afin de déterminer si un paquet est transféré ou abandonné.
Routeur(config-std-nacl)# permit| deny source
Remarque : Les noms des listes de contrôle d’accès sont alphanumériques, ils doivent être uniques et ne peuvent
pas commencer par un numéro.
Verification des ACLs :
Pour afficher les ACL utilisez la commande : show access-lists
25
Sécurité des réseaux informatiques
26
Sécurité des réseaux informatiques
R3(config)# username Student password 0 Crée un nom de connexion et un mot de passe pour une
cisco authentification.
R3(config)# access-list 101 permit any host Autorise l’utilisateur à établir une connexion Telnet sur le
10.2.2.2 eq telnet routeur.
R3(config)# access-list 101 dynamic testlist L’entrée de la liste de contrôle d’accès dynamique est
timeout 15 permit ip ignorée tant que la fonction de verrou n’a pas été
192.168.10.0 0.0.0.255 déclenchée.
192.168.30.0 0.0.0.255 La fenêtre sera ouverte pendant 15 minutes avant de se
refermer automatiquement qu’elle soit utilisée ou non.
R3(config)# interface serial 0/0/1 Applique la liste de contrôle d’accès 101 à l’interface
R3(config-if)# ip access-group 101 in S0/0/1.
R3(config)# line vty 0 4 Après l’authentification de l’utilisateur à l’aide de Telnet, la
R3(config-line)# login local commande autocommand s’exécute et la session Telnet
R3(config-line)# autocommand access-enable est arrêtée. L’utilisateur peut dorénavant accéder au
host timeout 5 réseau 192.168.30.0. Si la fenêtre est inactive pendant 5
minutes, elle est fermée.
Objectif
Configurer R2 de sorte qu’il n’autorise les paquets provenant d’Internet à l’unique condition qu’ils correspondent à une
« conversation » initiée depuis le LAN interne.
Méthode générale
1. Configurer une ACL définissant le trafic autorisé à sortir (LAN vers Internet) en spécifiant l’ACL dynamique à peupler.
2. Appliquer cette ACL sur une interface.
3. Créer un ACL correspondant au trafic autoriser à entrer où l’on fait évaluer l’ACL dynamique.
4. Appliquer cette ACL en sens inverse de l’ACL pour le trafic sortant.
Configuration
Commençons par créer l’ACL autorisant le trafic sortant:
R2(config)#ip access-list extended ACL-L2W
R2(config-ext-nacl)#permit ip 192.168.0.0 0.0.0.255 any reflect ACL-REFLECTED
ACL-L2W (Lan to Wan) sera l’ACL que l’on appliquera sur l’interface côté LAN de R2 en « input ». On y autorise le traffic
ip (n’importe quel protocole) provenant de 192.168.0.0/24 vers n’importe quelle direction.
L’instruction reflect indique au routeur qu’il devra créer une règle réflexive (correspondant au trajet inverse) dans
l’access-list dynamique ACL-REFLECTED.
Créons maintenant l’ACL qui filtrera le trafic entrant et que l’on appliquera de nouveau sur l’interface LAN de R2 mais
cette fois en « output ».
R2(config)#ip access-list extended ACL-W2L
R2(config-ext-nacl)#evaluate ACL-REFLECTED
ACL-W2L (Wan to Lan) ne contient ici qu’une seule instruction, evaluate ACL-REFLECTED, qui indique au routeur qu’il
doit utiliser les règles contenues dans l’ACL ACL-REFLECTED.
Il reste maintenant à appliquer ces deux ACL sur l’interface LAN (Fa0/0 dans le cas présent) de R2.
R2(config)#interface fa0/0
R2(config-if)#ip access-group ACL-L2W in
R2(config-if)#ip access-group ACL-W2L out
Vérification
Commençons par vérifier si R1 arrive bien à communiquer avec R3, cela devrait fonctionner puisqu’il génèrerait des
paquets provenant de 192.168.0.10 à destination de 80.0.0.1, ce qui correspond à la clause « permit » de ACL-L2W.
R1#ping 80.0.0.1
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 80.0.0.1, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 28/38/52 ms
R2#show access-lists
Standard IP access list 1
10 permit 192.168.0.0, wildcard bits 0.0.0.255 (5 matches)
Extended IP access list ACL-L2W
10 permit ip 192.168.0.0 0.0.0.255 any reflect ACL-REFLECTED (5 matches)
Reflexive IP access list ACL-REFLECTED
permit icmp host 80.0.0.1 host 192.168.0.10 (5 matches) (time left 286)
Extended IP access list ACL-W2L
10 evaluate ACL-REFLECTED
L’access-list 1 est utilisée ici pour le NAT, elle est utile pour la vérification. Ce qui nous intéresse ici, c’est l’ACL-L2W …
« 5 matches » … les 5 paquets icmp générés par le ping sont bien passés et ont été traités correctement par l’ACL.
Mieux encore … l’ACL-REFLECTED contient une règle qui correspond au traffic correspondant à la réponse de R3 au
ping de R1: des paquets ICMP en provenance de 80.0.0.1 à destination de 192.168.0.10.
Quelques remarques
• Le NAT est assez gênant dans le sens où il impose de travailler en in et out du même côté de R2. Si les ACLs étaient
appliquées du côté WAN de R2, il aurait fallu remplacer la règle « permit ip 192.168.0.0 0.0.0.255 …. » par « permit
ip host 80.0.0.2 any … »
• Point important … l’utilisation d’access-list réflexive ne peut se faire que dans des access-list étendues.
• Il est tout à fait possible de mélanger des règles statiques avec une ou plusieurs instructions « evaluate », il faut juste
garder en tête qu’une ACL s’exécute séquentiellement, règle après règle, par ordre de séquence. Les règles
contenues dans l’ACL évaluées seront donc exécutées comme si elles étaient définies à cet endroit dans l’ACL.
• En l’absence de NAT, il vaut clairement mieux appliquer l’ACL autorisant le trafic sortant côté interne en input, et
l’ACL filtrant le trafic entrant côté extérieur en input également.
3. Liste de contrôle d’accès basée sur le temps
28
Sécurité des réseaux informatiques
R1(config)# access-list 101 permit tcp Appliquez la plage horaire à la liste de contrôle
192.168.10.0 0.0.0.255 any eq telnet time-range d’accès.
EVERYOTHERDAY
29
Sécurité des réseaux informatiques
Corrigé :
Exercice 1
1. de 192.168.10.0 à 192.168.10.255
2. de 172.16.0.0 à 172.16.255.255
3. de 10.0.0.0 à 10.255.255.255
4. toutes les machines impaires du réseau 192.168.50.0/24
5. Tous les sous-réseaux pairs sur le réseau principal 192.168.0.0
192.168.0.0 à 192.168.0.255 et 192.168.2.0 à 192.168.2.255
et 192.168.4.0 à 192.168.4.255 … et 192.168.254.0 à 192.168.254.255
6. 192.168.10.32 à 192.168.10.63 et 192.168.10.96 à 192.168.10.127
7. 10.250.20.112 0.0.0.31
8. 192.168.16.32 0.0.0.127
9. 172.250.16.32 0.0.0.31
10. 192.168.10.128 0.0.0.95
Exercice 2
Instructions ACL Adresse du paquet IP Autorisé Refusé
access-list 16 permit 192.168.122.128 0.0.0.63 192.168.122.195 :
access-list 26 permit 192.168.223.64 0.0.0.31 192.168.223.27 :
access-list 36 permit 192.168.223.32 0.0.0.31 192.168.223.60 ;
access-list 46 permit 192.168.155.0 0.0.0.255 192.168.155.245 ;
access-list 56 permit 10.93.76.8 0.0.0.3 10.93.76.10 ;
access-list 66 permit 192.168.155.0 0.0.0.255 192.168.156.245 :
access-list 76 permit 172.16.0.0 0.0.255.255 172.17.0.5 :
Exercice 3
1. son numéro est compris entre 1 et 99 ; par ailleurs, seule l’adresse IP source est mentionnée
2. Elle oblige le réseau de droite à n’accepter que les paquets qui viennent du réseau de gauche et inversement
3. non
4. non
5. il suffit d’interdire tout le trafic entrant sur la liaison série : access-list 100 deny ip any any
6. dans le sens entrant : interface serial0/0/0
ip access-group 100 in
7. le routeur n’aura pas à traiter le trafic venant de l’extérieur avant de l’interdire
Exercice 4
1. cette ACL est fausse, elle interdit en fait tout le trafic sortant de E0 (c'est-à-dire vers le réseau 172.16.3.0/24. L’idée
de l’administrateur était de n’interdire que le trafic qui vient du serveur 172.16.4.13
2. il faut ajouter : access-list 1 permit ip any any
Exercice 5
1. elle empêche les machines du réseau de droite d’utiliser ftp sur le réseau de gauche. Il faut remarquer que cette ACL
aurait pu avantageusement être placée en entrée de l’interface E1.
2. il faut filtrer les deux ports car l’application ftp les utilise tous les deux (21 : contrôle ; 20 : données)
3. access-list 101 deny tcp 172.16.4.0 0.0.0.255 172.16.3.0 0.0.0.255 range 20 21
4. impossible, car les ACLs standards ne permettent pas de spécifier un numéro de port
Exercice 6
1. access-list 100 deny tcp host 172.16.3.12 eq 80 172.16.4.0 0.0.0.255
access-list 100 permit ip any any
2. interface ethernet0
ip access-group 100 in
3. il faut que le routeur filtre le port 80, mais attention, dans cette situation, le port 80 source en provenance du serveur
4. la meilleure manière est de filtrer les requêtes et pas les réponses.
Exercice 7
1. elle interdit tout car : si le paquet n’est pas à destination du port 21, il est refusé par la première ligne, si le paquet est
à destination du port 80, il est refusé par la deuxième ligne
2. On devine que l’administrateur voulait interdire tout, sauf les ports 80 et 21. Il aurait dû écrire :
Router(config)#access-list 101 permit tcp 192.168.10.0 0.0.0.255 any eq 80
Router(config)#access-list 101 permit tcp 192.168.10.0 0.0.0.255 any eq 21
Router(config)#access-list 101 deny ip any any
Router(config)#interface ethernet 0
Router(config-if)#access-group 101 in
Exercice 8
1. elle permet de tenir compte des informations de connexion du protocole TCP, et pour ICMP et UDP, elles permettent
de « pister » les connexions en observant la cohérence des identifiants de connexion (les couples @IP, n° de port)
2. oui, mais seulement evec TCP en utilisant l’option « established »
3. non
4. la vérification de UDP et ICMP, avec en plus une notion très importants : le temps. En effet, une ACL réflexive
laissera passer le trafic motivé par une session en cours, mais seulement pendant un certain temps (programmable)
31
Sécurité des réseaux informatiques
32
Sécurité des réseaux informatiques
Configuration sur un serveur AAA Cisco Secure ACS des paramètres du client AAA
Configuration d’un compte utilisateur sur un serveur AAA Cisco Secure ACS
33
Sécurité des réseaux informatiques
RADIUS
Créé par Livingston Enterprises,
RADIUS est normalisé par les RFC
2138 et 2139 de l’IETF.
Il utilise le protocole UDP et gère les
deux premières fonctions AA
(Authentication, Authorization)
conjointement et la troisième
(Accounting) séparément.
34
Sécurité des réseaux informatiques
35
Sécurité des réseaux informatiques
36
Sécurité des réseaux informatiques
Cisco IOS
Firewall Router with
Firewall
37
Sécurité des réseaux informatiques
ZPF permet de filtrer les communications en se basant sur des zones, en effet lors de l’implémentation de ZPF vous allez
segmenter votre réseau en plusieurs zones. Puis, vous allez définir la politique à appliquer entre chaque zones c’est-à-
dire spécifier le trafic autorisé ou interdit entre les zones.
38
Sécurité des réseaux informatiques
Les principales motivations pour les professionnels de la sécurité de réseau de migrer vers le modèle ZPF sont :
L'approche structurée : utile pour la documentation et la communication.
La facilité d'utilisation : rend implémentations de sécurité réseau plus accessible à une plus grande communauté de
professionnels de la sécurité.
Alors que de nombreuses commandes ZPF semblent similaires aux commandes du CBAC, ils ne sont pas les mêmes.
Un deuxième changement important est l'introduction de Cisco Common Classification Policy Language (C3PL). Ce
nouveau langage de configuration de la politique permet une approche modulaire dans l’implémentation du pare-feu. (Un
assistant de SDM pour ZPF est disponible)
Certains des avantages de ZPF sont les suivants:
Ne dépend pas des ACL.
La posture de sécurité du routeur est de tout bloquer à moins que le trafic ne soit explicitement autorisé.
Les politiques sont faciles à lire et à résoudre avec C3PL.
Une politique affecte tout trafic donné, au lieu d'avoir plusieurs ACL et actions d'inspection.
Les actions de ZPF
Lors de l’analyse du trafic, ZPF peut appliquer 3 actions :
Inspect (inspecter le paquet) Il autorise automatiquement le trafic de retour et les messages ICMP potentiels.
Pour les protocoles nécessitant plusieurs signalisation parallèles et sessions de données (par exemple, FTP ou
H.323), l'action inspecter gère également l’établissement de ces sessions de données.
Drop (supprimer le paquet)
Pass (autoriser le paquet)
Configurer ZPF
La configuration de ZPF se fait en plusieurs étapes :
Étape 1. Créer les zones pour le pare-feu avec la commande zone security
Étape 2. Définir les classes du trafic avec la commande class-map type inspect
Étape 3. Indiquez les politiques du pare-feu avec la commande policy-map type inspect
Étape 4. Appliquer les politiques du pare-feu à des paires de source et de destination des zones à l'aide de la
commande zone-pair security
Étape 5. Affecter des interfaces du routeur aux zones avec la commande zone-member security interface
Création des zones
Le réseau est séparé en deux zones, en rouge la zone interne et en bleu la zone externe.
R3(config)#zone security INTERNE
R3(config-sec-zone)#exit
R3(config)#zone security EXTERNE
R3(config-sec-zone)#exit
Ces commandes vont permettre de créer deux zones.
39
Sécurité des réseaux informatiques
Création de la class-map
La class-map vont permettre de spécifier quel trafic analyser :
- selon le protocole utilisé ( TCP, UDP, ICMP…),
- en fonction d’une ACL.
Dans cet exemple, une ACL étendue va spécifier le trafic sortant du réseau interne (192.168.3.0/24) vers tous les
autres réseaux.
R3(config)#access-list 101 permit ip 192.168.3.0 0.0.0.255 any
40
Sécurité des réseaux informatiques
Il est préférable de mettre en œuvre un dispositif qui détecte et fait le traitement nécessaire immédiat du problème
réseau.
Les IPS (Intrusion Prevention System)
Un système IPS s’appuie sur la technologie IDS.
Contrairement à IDS, IPS est un dispositif qui est mis en œuvre en mode en ligne. Cela signifie que tout le trafic entrant
ou sortant doit le traverser pour le traitement.
Un IPS ne permet pas aux paquets d’entrer au réseau côté confiance, avant d’être analysés. Il peut détecter et résoudre
immédiatement un problème de réseau selon les besoins.
41
Sécurité des réseaux informatiques
Un IPS surveille le trafic au niveau des couches 3 et 4 et analyse le contenu et la charge utile des paquets pour les
attaques embarqués qui pourraient inclure des données malveillantes au niveau des couches 2 à 7.
L'avantage de fonctionner d'une manière en ligne est que l’IPS peut arrêter l’attaque d'un paquet avant d'atteindre
sa cible.
L'inconvénient est qu’un IPS mal configurés ou avec une solution inappropriée, peuvent affecter négativement le
flux des paquets du trafic transmis.
Ou en ajoutant des capteurs IPS à un routeur ISR en Le module Cisco ASA 5500 Series AIP-SSM-20
utilisant un IPS Advanced Integration Module (AIM) ou un
Network Module Enhanced (IPS NME), ou ajoutés à un
pare-feu ASA en utilisant un Inspection and Prevention
Security Services Module (ASA AIP-SSM). Ils peuvent
également être ajoutés à un commutateur Catalyst 6500 en
utilisant un Intrusion Detection System Services Module
(IDSM-2).
Les capteurs sont déployés à des points désignés du réseau. Ils détectent l'activité malveillante et non autorisé en temps
réel et peuvent prendre des mesures appropriées.
43
Sécurité des réseaux informatiques
44
Sécurité des réseaux informatiques
La crypto clé est utilisée pour vérifier la signature numérique pour le fichier de signatures principal (sigdef-default.xml)
dont le contenu est signé par une clé privée de Cisco pour garantir son authenticité et intégrité à chaque release.
Ouvrez le fichier texte, et copiez le contenu du fichier.
Collez le contenu de fichier texte n mode de configuration globale.
Étape 4. Activer IOS IPS
R1(config)#ip ips name iosips
Vous pouvez spécifier une liste de contrôle d'accès étendue ou standard facultative (ACL) afin de filtrer le trafic qui sera
balayé par ce nom de règle. Tout le trafic qui est permis par l'ACL est sujet à l'inspection par l'IPS. Le trafic qui est refusé
par l'ACL n'est pas examiné par l'IPS.
R1(config)#ip ips name ips list ?
<1-199> Numbered access list
WORD Named access list
45
Sécurité des réseaux informatiques
Vérification d’IPS
a. Cliquez sur le bouton Configure en haut puis sélectionnez Intrusion Prevention > Create IPS
46
Sécurité des réseaux informatiques
d. Dans la fenêtre Select Interfaces, cochez la case à cocher Inbound pour FastEthernet0/1 et Serial0/0/1. Cliquez
sur Suivant.
e. Dans la fenêtre Signature File and Public Key, specifiez les chemins vers IOS-Sxxx-CLI.pkg.
f. Copiez le texte entre la phrase key-string et le mot quit dans le champ Key dans la section Configure Public
Key. La fenêtre Signature File and Public Key doit ressembler à la suivante lorsque les entrées sont terminées.
g. Copier le texte entre la phrase key-string et le mot quit dans le champ Key.
47
Sécurité des réseaux informatiques
Crée un lien virtuel point à point aux routeurs Cisco à des points distants sur un réseau d'interconnexion IP.
Utilise IP pour le transport.
Utilise un en-tête supplémentaire pour soutenir la multidiffusion IP et toute autre OSI protocole de couche 3
comme charge utile.
48
Sécurité des réseaux informatiques
GRE ou IPsec ?
Les avantages de GRE est qu'il peut être utilisé pour le
trafic non-IP sur un réseau IP.
Contrairement IPsec, qui ne prend en charge que le trafic
unicast, GRE soutient la diffusion et la multidiffusion sur la
liaison tunnel. Par conséquent, les protocoles de routage
sont pris en charge par GRE.
GRE ne prévoit pas de cryptage. Si cela est nécessaire,
IPsec doit être configuré.
49
Sécurité des réseaux informatiques
Confidentialité
La confidentialité a été définie par l'Organisation internationale de normalisation (ISO) comme « le fait de s'assurer que
l'information n'est accessible qu'à seulement ceux dont l'accès est autorisé ». La confidentialité est rendus possibles dans
la pratique par les techniques de la cryptographie moderne.
Le degré de sécurité dépend de la longueur de la clé de l'algorithme de chiffrement. Si quelqu'un essaie de pirater la clé
par une attaque par force brute, le nombre de possibilités pour essayer est une fonction de la longueur de la clé. Le
temps pour traiter toutes les possibilités est une fonction de la puissance de calcul du dispositif d'attaque. Plus court est
la clé, plus elle est facile à briser. Une clé de 64 bits peut prendre environ un an pour la rompre avec un ordinateur
relativement sophistiqué. Une clé de 128 bits avec la même machine peut prendre environ 1019 années à décrypter.
Voici quelques algorithmes de chiffrement et longueurs de clé VPN utilisés :
Le procédé de prouver l'intégrité des données est nécessaire pour garantir que le contenu n'a pas été modifié. Un
algorithme d'intégrité des données peut fournir cette garantie.
Hashed Message Authentication Codes (HMAC) est
un algorithme qui garantit l'intégrité du message en
utilisant une valeur de hachage.
Au niveau du dispositif local, le message et une clé
secrète partagée sont traitées par un algorithme de
hachage qui produit une valeur de hachage. Cette
valeur est ajoutée au message, et le message est
envoyé sur le réseau. Au niveau du dispositif distant,
la valeur de hachage est recalculée et comparée à la
valeur de hachage transmise. Si le hash transmis
correspond au hachage reçu, l'intégrité des messages
est vérifiée. Toutefois, si elles ne correspondent pas,
le message a été modifié et est invalidée.
Il ya deux algorithmes HMAC communs:
HMAC-Message Digest 5 (HMAC-MD5) - Utilise une clé secrète partagée de 128 bits. Le message de longueur
variable et la clé secrète sont combinés et passent par l'algorithme de hachage HMAC-MD5. La sortie est une
table de hachage de 128 bits.
HMAC-Secure Hash Algorithm 1 (HMAC-SHA-1) - Utilise une clé secrète partagée de 160 bits. Le message de
longueur variable et la clé secrète sont combinés et passent par l'algorithme de hachage HMAC-SHA-1. La sortie
est un hachage de 160 bits.
HMAC-SHA-1 est considéré comme cryptographiquement fort que HMAC-MD5.
50
Sécurité des réseaux informatiques
Authentification
Lorsque vous traitez des affaires sur de longues distances, il est nécessaire de connaître (authentifier) la personne à
l'autre bout du téléphone, courriel ou fax. La même chose est vraie de réseaux VPN.
Elle est la procédure qui consiste, pour un système informatique, à vérifier l'identité d'une personne ou d'un ordinateur
afin d'autoriser l'accès de cette entité à des ressources (systèmes, réseaux, applications…). L'authentification permet
donc de valider l'authenticité de l'entité en question.
L'identification permet donc de connaître l'identité d'une entité alors que l'authentification permet de vérifier cette identité.
Il existe deux principales méthodes de configuration de l'authentification :
Clés pré-partagées (Pre-shared Keys, PSK) :
Une clé secrète pré-partagée est une Clé secrète
valeur définie manuellement et est utilisé partagée
par chaque utilisateur pour authentifier son
homologue. A chaque extrémité, le PSK Même clé pour le
est combinée avec d'autres informations Que ceci
reste
U±1€i
¢z{X«mµ
chiffrement et le
pour former la clé d'authentification. entre
nous, une
Algorithme de ¬®®S²xH
¥§P0_#° déchiffrement
Chaque utilisateur doit authentifier ses vente aux
enchères
chiffrement Љϲφϕ҈پ
ѪΣΖʤœ
homologues de l’autre face avant de d’une …
Chiffrement par
considérer que le tunnel est sûr. l'Utilisateur1
PSK sont faciles à configurer
manuellement mais ne convient pas bien à Clé secrète
une grande échelle, parce que pour partagée
chaque homologue IPsec doit être
configuré avec la clé pré-partagée de tous U±1€i Que ceci
reste
les autres avec lesquels il communique. ¢z{X«mµ
¬®®S²xH entre
nous, une
¥§P0_#° Algorithme de vente aux
L : La figure ci-contre présente plutôt le Љϲφϕ҈پ
ѪΣΖʤœ déchiffrement enchères
d’une …
concept de chiffrement symétrique (à clé
Déchiffrement par
pré-partagée) et non un procédé
l'Utilisateur2
d’authentification).
Un exemple de protocole offrant l’authentification avec une clé pré-partagée est le protocole CHAP utilisé par PPP.
Signatures RSA :
Avant de parler de la signature RSA, voici un aperçu sur le Clé publique de
chiffrement asymétrique l'Utilisateur2
Aussi dite « à clé publique / clé privée » Utilisateur1
Plus récente que la cryptographie symétrique (années 70). Que ceci
reste
U±1€i
¢z{X«mµ
Les plus connus : entre
nous, une
¬®®S²xH
¥§P0_#°
1976 : Diffie Hellman vente aux
enchères Љϲφϕ҈پ
1977 : RSA par Rivest, Shamir et Adleman d’une … ѪΣΖʤœ
Les 2 clés de la paire sont liées entre elles mathématiquement Texte en clair Texte chiffré
Ce qui est chiffré avec l’une ne peut être déchiffré qu’avec
l’autre
Une des clés est révélée à tout le monde et est dite
« publique », l’autre est secrète, dite « privée », et doit le Clé privée de
rester pour authentifier son possesseur Utilisateur2 l'Utilisateur2
Propriété : connaissant la clé de chiffrement, il est Que ceci
reste
U±1€i
¢z{X«mµ
« impossible » de trouver dans un temps raisonnable la clé de entre
nous, une
¬®®S²xH
¥§P0_#°
déchiffrement (et réciproquement) vente aux
enchères Љϲφϕ҈پ
1000 fois plus lent que le chiffrement symétrique d’une … ѪΣΖʤœ
51
Sécurité des réseaux informatiques
52
Sécurité des réseaux informatiques
Phase 1
Phase 1 : création
d'une première SA
Phase 2
"ISAKMP"
permettant ensuite
d'assurer la sécurité
des négociations.
53
Sécurité des réseaux informatiques
Avec une capture sur les liaisons R1/R2 ou R2/3 par un outil tel que WireShark, on peut s’apercevoir que les messages
circulant sur ces liaisons sont facilement interprétés par ce dernier.
La figure suivante montre la capture en claire du Ping (trame 45 : Echo request) entre PC1 et PC2 sur la liaison R1/R2 :
Il faut savoir que le VPN se configure juste sur les Routeurs d'extrémités dans notre cas R1 et R3.
Deuxième étape : Configurer la politique qui détermine quelle encryptions, Hash, type d'authentification, ... on utilise.
R1(config)#crypto isakmp policy 10
R1(config-isakmp)#authentication pre-share
R1(config-isakmp)#encryption 3des
R1(config-isakmp)#hash md5
R1(config-isakmp)#group 5
R1(config-isakmp)#lifetime 3600
R1(config-isakmp)#exit
group 5 : Spécifie l'identifiant Diffie-Hellman
lifetime : Spécifie le temps de validité de la connexion avant une nouvelle négociation des clefs.
Troisième étape : Configurer la clef :
R1(config)#crypto isakmp key S@Fi1DeuX3 address 10.2.2.1
Sur certains routeur avec certains IOS la commande ne fonctionne pas car le routeur demande si le mot de passe doit
être chiffré ou pas, tapez cette commande :
R1(config)#crypto isakmp key 6 S@Fi1DeuX3 address 10.2.2.1
Quatrième étape : Configurer les options de transformations des données :
R1(config)#crypto ipsec transform-set 50 esp-3des esp-md5-hmac
esp : signifie Encapsulation Security Protocol
N'oubliez pas d'utiliser les mêmes protocoles d'encryptions et de Hash utilisés dans la première étape.
Dans notre cas : Encryption / 3des, hash / md5
On fixe ensuite une valeur de Lifetime :
R1(cfg-crypto-trans)#crypto ipsec security-association lifetime seconds 1800
Cinquième étape : La 5éme étape consiste à créer une ACL qui va déterminer le trafic autorisé.
R1(config)#access-list 101 permit ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255
Dernière étape de la configuration : Configurer la crypto map qui va associé l'access-list, le traffic, et la destination :
R1(config)#crypto map ALKHAWARIZMI 10 ipsec-isakmp
R1(config-crypto-map)#set peer 10.2.2.1
R1(config-crypto-map)#set transform-set 50
R1(config-crypto-map)#match address 101
R1(config-crypto-map)#exit
La configuration de R1 est presque terminée, appliquer la crypto map doit être appliquée sur l'interface de sortie (dans ce
cas FastEthernet 0/0) :
R1(config)#interface FastEthernet 0/0
R1(config-if)#crypto map ALKHAWARIZMI
*Jan 3 07:16:26.785: %CRYPTO-6-ISAKMP_ON_OFF: ISAKMP is ON
Un message vous indique que la crypto map fonctionne.
Configuration VPN sur R3 (refaire la même configuration que sur R1) :
Première étape :
R3(config)#crypto isakmp enable
Deuxième étape :
R3(config)#crypto isakmp policy 10
R3(config-isakmp)#authentication pre-share
R3(config-isakmp)#encryption 3des
R3(config-isakmp)#hash md5
R3(config-isakmp)#group 5
R3(config-isakmp)#lifetime 3600
R3(config-isakmp)#exit
Troisième étape :
R3(config)#crypto isakmp key S@Fi1DeuX3 address 10.1.1.1
Quatrième étape :
R3(config)#crypto ipsec transform-set 50 esp-3des esp-md5-hmac
R3(cfg-crypto-trans)#crypto ipsec security-association lifetime seconds 1800
Cinquième étape :
R3(config)#access-list 101 permit ip 192.168.2.0 0.0.0.255 192.168.1.0 0.0.0.255
Dernière étape de la configuration :
R3(config)#crypto map ALKHAWARIZMI 10 ipsec-isakmp
R3(config-crypto-map)#set peer 10.1.1.1
R3(config-crypto-map)#set transform-set 50
R3(config-crypto-map)#match address 101
R3(config-crypto-map)#exit
R3(config)#interface FastEthernet 0/0
R3(config-if)#crypto map ALKHAWARIZMI
55
Sécurité des réseaux informatiques
Après configuration de IPSec sur les deux routeurs, un tunnel sécurisé est créée entre le site 1 et le site 2. On peut le
vérifier en lançant un ping du PC1 (192.168.1.1) vers PC2 (192.168.2.1), et en capturant le trafic sur une liaison réelle
(R1/R2 par exemple) :
Après négociation de
la politique de sécurité
et l’établissement du
tunnel IPsec, les
messages ping, ne
sont plus en clair, et
non plus reconnus par
WireShank en tant que
datagrammes ICMP,
56