Академический Документы
Профессиональный Документы
Культура Документы
VPNs
A. Maizate
Presentation_ID © 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential 1
Plan
8.0 Présentation
8.1 VPN
Presentation_ID © 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential 2
Terminologie VPN
Presentation_ID © 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential 4
Cryptage / décryptage
Presentation_ID © 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential 5
Cryptage symétrique
Clé secrète
partagée Clé secrète
partagée
Message
Infos Infos
Crypté
Cryptage Décryptage
Presentation_ID © 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential 6
Cryptage symétrique: DES
Presentation_ID © 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential 7
Cryptage symétrique: : 3DES ? AES ?
Presentation_ID © 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential 8
Cryptage asymétrique
• La clé privée est connue uniquement par le récepteur
• La clé publique est diffusée à qui la demande
Message
Infos Infos
Crypté
Cryptage Décryptage
MD5
Presentation_ID © 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential 10
Hachage
Local Distant
Message de
longueur variable Message reçu
Clé secrète
partagée Clé secrète
Payer Payer
50 € et 22 cents partagée
50 € et 22 cents
Fonction
de Hachage Fonction
de Hachage
Payer
50 € et 22 cents
4ehlDx67NM0p9 4ehlDx67NM0p9
4ehlDx67NM0p9
Message + Hash
Presentation_ID © 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential 12
Gestion des clés
Gestion de clés
Presentation_ID © 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential 13
Gestion des clés: Diffie-Hellman
Réalise un échange authentifié de clés
Routeur A Routeur B
YA= gXA mod p YB= gXB mod p
YA
X
YB
YB A mod p = k YA
XB
mod p = k
L'algorithme Diffie-Hellman est un moyen pour deux
firewalls, A et B, de calculer une clé secrète partagée
sans jamais la transmettre
Cette clé secrète peut être établie même si le canal de
communication n'est pas sécurisé
Cette clé sera utilisée pour crypter les données avec
l'algorithme choisi par A et B
Presentation_ID © 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential 14
Gestion des clés: Diffie-Hellman
p et g en accord avec A
p et g en accord avec B
XB aléatoire
XA aléatoire
Routeur A Routeur B
échange de p et g
YA
XA
YB
YB mod p = k YA
XB
mod p = k’
En fait k = k’
A calcule YA et B calcule YB
YA et YB sont échangés sur le canal sécurisé
le pirate peut intercepter YA et YB, il ne pourra recalculer XA et XB
A calcule k et B calcule k’
En fait k = k’ = K, servira de clé privée
K ne peut être recalculée à partir de ce que le pirate a pu entendre
(c’est-à-dire p, g, YA et YB )
Presentation_ID © 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential 16
: Diffie-Hellman: Exemple
Supposons à titre d'exemple, qu'Alice et Bernard partagent p = 233 et g =
45 :
si Alice choisit a = 11 et Bernard b = 20, alors
α = 45p(11) mod 233 = 147, β = 45p(20) mod 233 = 195,
βp(a) mod p = 195p(11) mod 233 = 169 et α p(b) mod p = 147p(20) mod
233 = 169.
Presentation_ID © 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential 17
VPN : Tunnel
Presentation_ID © 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential 18
Non-répudiation
La capacité de prouver qu’une transaction a eu lieu.
Semblable à un package signé reçus d'une société de transport.
Presentation_ID © 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential 19
Diffie-Hellman Key Exchange
Comment les dispositifs de chiffrement et de déchiffrement
obtiennent la clé secrète partagée?
Presentation_ID © 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential 20
Clé Pré-Partagée
Presentation_ID © 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential 21
IPsec - Internet Protocol Security
Presentation_ID © 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential 22
Framework du Protocole IPsec
Presentation_ID © 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential 23
Crypto Map
Une entité de configuration du logiciel IOS Cisco qui effectue
deux fonctions principales.
Tout d'abord, il sélectionne le flux de données qui nécessite un
traitement de sécurité.
Presentation_ID © 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential 24
SA - Security Association
Presentation_ID © 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential 25
8.1 VPNs
Presentation_ID © 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential 26
Virtual Private Networks(VPN)
Un VPN est un réseau privé construit sur l'infrastructure d'un réseau
public via des tunnels, utilise généralement l’Internet.
Le réseau VPN a plusieurs avantages, notamment:
• Compatibilité avec les technologies haut débit
• Les économies de coûts
• sécurité
• évolutivité
Presentation_ID © 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential 27
Virtual Private Networks(VPN)
Un VPN transporte du trafic privé sur un réseau public en utilisant
du cryptage et des tunnels pour obtenir :
• la confidentialité des données (cryptage) :
l'émetteur doit crypter les paquets avant de les transmettre dans le
réseau. Par ce moyen, si la communication est interceptée les
données ne pourront pas être lues
• l'intégrité des données :
le récepteur peut vérifier si les données n'ont pas été altérées lors
de leur passage dans le réseau
• l'authentification des utilisateurs :
le récepteur peut authentifier la source du paquet, garantissant et
certifiant la source de l'information
Presentation_ID © 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential 28
Virtual Private Networks(VPN)
Un réseau privé virtuel (VPN) est défini comme une connectivité
réseau déployée sur une infrastructure partagée avec les mêmes
politiques de sécurité que sur un réseau privé
Un VPN peut être entre deux systèmes d'extrémité ou entre deux ou
plusieurs réseaux
Un VPN est construit en utilisant des tunnels et du cryptage
Un VPN peut être construit au niveau de différentes couches du
modèle TCP/IP
Un VPN est une infrastructure WAN alternative aux réseaux privés
qui utilisent des lignes louées ou des réseaux d'entreprise utilisant
Frame Relay ou ATM
Presentation_ID © 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential 29
Virtual Private Networks(VPN)
Conventionnel VPN
Site Central Site Central
Frame
Relay Frame
Relay
Internet Internet
Réseau
Réseau
Frame Relay
Tunnel Frame Relay
VPN
Frame Frame
Relay Relay
Site distant
Site distant
Presentation_ID © 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential 30
Virtual Private Networks(VPN)
Caractère virtuel :
C’est la technique du tunneling qui permet d’étendre de façon « virtuelle » le
réseau privé à travers un réseau public
Caractère privé :
C’est le cryptage qui confère son caractère privé aux données puisqu’elles ne
peuvent être décodées que par les interlocuteurs d’extrémité
Presentation_ID © 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential 31
Protocoles de tunneling
Exemples de protocoles de tunneling :
IPSec
Presentation_ID © 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential 32
Tunneling
Tunnel
Message
Infos Infos
Crypté
Cryptage Décryptage
Presentation_ID © 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential 34
VPN Topologies
VPNs Site-to-Site
Crée lorsque les dispositifs de connexion des deux côtés de la
connexion VPN connaissent la configuration VPN à l'avance.
Le VPN est statique et les hôtes internes n'ont pas
connaissance de l’existance du VPN.
Presentation_ID © 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential 35
Topologies VPNs
VPNs d’accés distant
• Permet de changer dynamiquement les informations de
connexion et peut être activé et désactivé en cas de besoin.
• Exemple - Un télétravailleur PC peut établir une connexion
VPN.
Presentation_ID © 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential 36
Topologies VPNs
VPNs d’accés distant
Une évolution des réseaux de commutation de circuits, tels que
le service téléphonique (POTS) ou RNIS.
Supporte une architecture client / serveur. Un client VPN
nécessite un accès sécurisé au réseau de l'entreprise via le
serveur VPN du réseau.
Presentation_ID © 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential 37
Topologies VPNs
VPNs Site-to-Site
Une extension d'un réseau WAN classique.
Connecter des réseaux distants les uns aux autres.
Un VPN site à site peut connecter un réseau de succursales au
réseau du siège.
Remplace une connexion de type ligne spécialisée ou Frame
Relay, car la plupart des entreprises ont maintenant un accès
Internet.
Presentation_ID © 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential 38
Topologies VPNs
Cisco IOS SSL VPN
Le Cisco IOS SSL VPN est une technologie qui offre une
connectivité d'accès à distance à partir de n'importe quel endroit
avec accès Internet et d'un navigateur web et son cryptage SSL
natif.
VPN SSL offre actuellement trois modes d'accès VPN SSL:
• sans client
• client léger
• client complet
Presentation_ID © 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential 39
Solutions VPNs
Produits Cisco VPN
Product Choice Remote-Access VPN Site-to-Site VPN
Cisco PIX 500 Series Security Appliances (Legacy) Secondary role Primary role
Cisco ASA 5500 Adaptive Security Appliances Primary role Secondary role
SOHO Routers (Cisco 850 Series ISR and Linksys) Primary role Secondary role
Presentation_ID © 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential 40
Solutions VPNs
Services VPN avec Cisco ASA
Presentation_ID © 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential 41
Solutions VPNs
Options du client Ipsec Cisco
Cisco VPN d'accès à distance
peuvent utiliser trois clients
IPsec:
• Le logiciel client VPN Cisco -
Installé sur le PC ou l'ordinateur
portable d'un individu.
• Routeur Cisco VPN client - Un
routeur distant Cisco (configuré
en tant que client VPN) qui relie
les réseaux d’un petit bureau,
bureau à domicile (SOHO) au
réseau VPN.
• Cisco AnyConnect Secure
Mobility Client - La nouvelle
génération de client VPN qui
permet aux utilisateurs distants
des connexions VPN sécurisées
à Cisco ASA.
Presentation_ID © 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential 42
8.2 GRE VPNs
Presentation_ID © 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential 43
Configuration d’un tunnel GRE site à site
Tunnels GRE
Il existe deux protocoles pupulaires de tunneling site à site:
• GRE
• IPsec
Quand devriez-vous utiliser GRE ou IPsec?
IP Oui
Trafic utilisateur seuleme
nt?
Non
Non Oui
Unicast
Utiliser GRE Utiliser VPN
seulement
Tunnel IPsec
?
Presentation_ID © 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential 44
Configuration d’un tunnel GRE site à site
Tunnels GRE
GRE peut encapsuler n'importe quel autre type de paquet.
• Utilise IP pour créer un lien virtuel point à point entre les routeurs Cisco
• Prise en charge de plusieurs protocoles (IP, CNLS, ...) et un tunnel IP
multicast (et, par conséquent, les protocoles de routage)
• Le mieux adapté pour les VPN multiprotocole de type site à site
• RFC 1702 et RFC 2784
Presentation_ID © 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential 45
Configuration d’un tunnel GRE site à site
Entête GRE
GRE encapsule l'ensemble du paquet IP d'origine avec un en-tête IP
standard et GRE.
Presentation_ID © 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential 46
Configuration d’un tunnel GRE site à site
Entête GRE
GRE ne fournit pas de chiffrement, mais il peut être surveillée
avec un analyseur de protocole.
Presentation_ID © 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential 47
Configuration d’un tunnel GRE site à site
Configurer GRE
1. Créer une interface de tunnel : interface tunnel 0
2. Affecter le tunnel une adresse IP.
3. Identifier l'interface de tunnel source : tunnel source
4. Identifier la destination du tunnel : tunnel destination
5. (Facultatif) Identifiez le protocole d'encapsuler dans le tunnel
GRE: tunnel mode gre ip
Presentation_ID © 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential 48
Configuration d’un tunnel GRE site à site
Configurer GRE
Presentation_ID © 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential 49
Configuration d’un tunnel GRE site à site
Configurer GRE
Presentation_ID © 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential 50
Configuration d’un tunnel GRE site à site
Configurer GRE
Presentation_ID © 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential 51
Configuration d’un tunnel GRE site à site
Configurer GRE
Presentation_ID © 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential 52
Configuration d’un tunnel GRE site à site
GRE avec IPsec
L'avantage de GRE est qu'il peut être utilisé pour le trafic non-IP
tunnel sur un réseau IP.
Presentation_ID © 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential 53
TP1
Presentation_ID © 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential 54
8.3 Composants et
fonctionnement
IPSEC VPN
Presentation_ID © 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential 55
Introduction IPsec
IPsec Comme un standard IETF
Un “framework” de normes ouvertes élaborées par l'IETF pour
créer un tunnel sécurisé dans la couche réseau (IP).
• L'IETF définit les modalités des communications sécurisées.
• RFC 2401 - RFC 2412
IPsec fonctionne sur la couche réseau, la protection et
l'authentification des paquets IP entre les périphiriques IPsec, ou
des pairs.
IPsec n'est pas lié à aucun chiffrement ou d'authentification des
algorithmes spécifiques, les technologies de chiffrement, ou des
algorithmes de sécurité.
IPsec permet aux nouveaux et meilleurs algorithmes d’être mises
à jour sans avoir à patcher les normes IPsec existantes.
Presentation_ID © 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential 56
Introduction IPsec
IPsec Comme un standard IETF
Presentation_ID © 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential 57
Introduction IPsec
IPsec Comme un standard IETF
Le framework IPsec
se compose de cinq
blocs de
construction.
L'administrateur
sélectionne les
algorithmes utilisés
pour la mise en
œuvre des services
de sécurité.
Presentation_ID © 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential 58
Introduction IPsec
IPsec Comme un standard IETF
Presentation_ID © 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential 59
Introduction IPsec
Confidentialité
La confidentialité est atteint grâce au cryptage.
Presentation_ID © 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential 60
Introduction IPsec
Confidentialité
Les algorithmes de
chiffrement et les
longueurs de clés qui
utilisés par les VPNs:
• DES
• 3DES
• AES
• Software-
Optimized
Encryption
Algorithm (SEAL)
Presentation_ID © 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential 61
Introduction IPsec
Integrité
Pour assurer l'intégrité des données, une méthode est nécessaire
pour garantir que le contenu n'a pas été altéré.
Un algorithme d'intégrité de données peut fournir cette garantie.
Hashed Message Authentication Code (HMAC) est un algorithme
d'intégrité des données qui garantit l'intégrité du message en
utilisant une valeur de hachage.
Presentation_ID © 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential 62
Introduction IPsec
Integrité
Deux algorithmes
HMAC :
• HMAC-Message
Digest 5 (HMAC-
MD5)
• HMAC-Secure Hash
Algorithm 1 (HMAC-
SHA-1)
Presentation_ID © 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential 63
Introduction IPsec
Authentification
Le périphérique de l'autre
extrémité du tunnel VPN doit être
authentifié avant que la voie de
communication est considérée
comme sécurisée.
Il existe deux principales
méthodes d'authentification à
configurer dans les deux
périphériques communicants:
• Pre-shared Keys (PSKs)
• RSA signatures
Presentation_ID © 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential 64
Introduction IPsec
Authentification
Presentation_ID © 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential 65
Introduction IPsec
Authentification
Presentation_ID © 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential 66
Introduction IPsec
Échange de clé sécurisée
Les algorithmes de chiffrement,
tels que DES, 3DES, AES, et le
MD5 et SHA-1 exigent des
algorithmes de hachage, une clé
secrète symétrique partagée
pour effectuer le chiffrement et le
déchiffrement.
Comment les dispositifs de
cryptage et de décryptage
obtiennent la clé secrète
partagée?
La clé partagée de Diffie-Hellman
(DH) est une méthode d'échange de
clé publique qui fournit un moyen
pour les deux pairs d'établir une clé
secrète partagée.
Presentation_ID © 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential 67
Protocoles de sécurité IPsec
Protocoles du Framework IPsec
IPsec utilise deux protocoles pour créer le framework de sécurité:
• AH: Authentication Header
• ESP: Encapsulating Security Payload
Presentation_ID © 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential 68
Protocoles de sécurité IPsec
Authentication Header (AH)
AH assure l'authentification et en option le service replay-
detection:
• Il authentifie l'émetteur de données.
• AH utilise le numéro de protocole 51.
• AH prend en charge les algorithmes HMAC-MD5 et HMAC-SHA-1.
Presentation_ID © 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential 69
Protocoles de sécurité IPsec
Authentication Header (AH)
AH n’assure pas la confidentialité (chiffrement).
Il assure uniquement l'origine des données et vérifie qu’elles n'ont pas été
modifiées au cours du transit.
Presentation_ID © 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential 70
Protocoles de sécurité IPsec
Authentication Header (AH)
Le processus AH se produit dans l’ordre suivant:
1 L'en-tête IP et les données de la charge utile sont hachés à l'aide de la clé secrète
partagée.
2 Le hachage construit un nouvel en-tête AH, qui est inséré dans le paquet d'origine.
3 Le nouveau paquet est transmis à l’autre routeur IPsec.
4 Le routeur homologue hache l’entête et les données IP de la charge utile en utilisant
la clé secrète partagée, extrait le hash transmis de l'en-tête AH, et compare les deux
tables de hachage.
Presentation_ID © 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential 71
Protocoles de sécurité IPsec
ESP
ESP fournit les mêmes services de sécurité comme AH
(authentification et intégrité) et le service de cryptage.
• Il encapsule les données à protéger.
• Il utilise le numéro de protocole 50.
Presentation_ID © 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential 72
Protocoles de sécurité IPsec
Modes Transport et Tunnel
ESP et AH peuvent être appliquées à des paquets IP dans deux modes
différents.
Presentation_ID © 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential 73
Protocoles de sécurité IPsec
Modes Transport et Tunnel
La sécurité est assurée uniquement pour la couche de transport
et au-dessus. Il protège les données utiles, mais laisse l'adresse
IP d'origine en clair.
Mode de transport ESP est utilisé entre les hôtes.
Le mode de transport fonctionne bien avec GRE, parce GRE
cache les adresses des terminaux en ajoutant sa propre adresse
IP.
Presentation_ID © 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential 74
Protocoles de sécurité IPsec
Modes Transport et Tunnel
Le mode tunnel fournit une sécurité complète pour le paquet IP
d'origine. Le paquet IP d'origine est chiffré, puis il est encapsulé
dans un autre paquet IP (IP-dans-IP chiffrement).
Mode tunnel ESP est utilisé dans l'accès à distance et les
configurations site à site.
Presentation_ID © 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential 75
Internet Key Exchange
Les associations de sécurité
La solution VPN Ipsec
• Négocie paramètres d'échange de clés (IKE).
• Établit une clé partagée (DH).
• Authentifie les pairs.
• Négocie les paramètres de chiffrement.
Les paramètres négociés entre deux dispositifs sont connus
comme l’ssociation de sécurité (SA).
Presentation_ID © 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential 76
8.4 Configuration VPN
IPsec Site-to-Site
avec CLI
Presentation_ID © 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential 77
Configuration VPN IPSec site à site
Négociation VPN IPsec
Un VPN est un canal de communication utilisé pour établir une
connexion logique entre deux points d'extrémité sur un réseau
public.
La négociation VPN IPsec comporte plusieurs étapes.
Presentation_ID © 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential 78
Configuration VPN IPSec site à site
Négociation VPN IPsec
Presentation_ID © 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential 79
Configuration VPN IPSec site à site
Négociation VPN IPsec
Presentation_ID © 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential 80
Configuration VPN IPSec site à site
Négociation VPN IPsec
Presentation_ID © 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential 81
Configuration VPN IPSec site à site
Négociation VPN IPsec
Presentation_ID © 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential 82
Configuration VPN IPSec site à site
Configuration IPsec
Certaines tâches de base doivent être remplis pour
configurer un VPN Ipsec site à site.
Tâche 1 Assurez-vous que les ACL configurées sur les interfaces
sont compatibles avec la configuration IPsec.
Presentation_ID © 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential 83
Tâche 1 - Configurer les ACLs
Protocoles 50 et 51 et le port UDP 500
Il faut s’assurer que les ACL sont configurés de telle sorte
que le trafic ISAKMP, ESP et AH ne sont pas bloqués au
niveau des interfaces utilisées par IPsec.
• ESP utilise le numéro 50.
Presentation_ID © 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential 84
Tâche 1 - Configurer les ACLs
Configuration des ACLs
Presentation_ID © 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential 85
Tâche 2 – Configurer l’IKE
Configuration des ACLs
Créer un plan à l'avance est obligatoire pour configurer le
cryptage IPsec correctement afin de minimiser les erreurs de
configuration.
Déterminer les valeurs des paramètres suivants:
• Méthode de distribution de clés
• Méthode d'authentification
• Adresses et noms des périphériques IP IPsec
• IKE phase 1 des stratégies pour tous les périphériques
• Algorithme de chiffrement, algorithme de hachage, IKE SA durée
de vie
Objectif: Réduire les erreurs de configuration.
Presentation_ID © 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential 86
Tâche 2 – Configurer l’IKE
Configuration des ACLs
La deuxième tâche importante dans la configuration de support Cisco
IOS ISAKMP est de définir les paramètres dans la stratégie IKE.
Plusieurs stratégies de ISAKMP peuvent être configurés sur chaque
host participant à IPsec.
Presentation_ID © 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential 87
Tâche 2 – Configurer l’IKE
Configuration des ACLs
crypto isakmp policy utilise le mode de configuration de stratégie
ISAKMP, où vous pouvez définir les paramètres ISAKMP.
Presentation_ID © 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential 88
Tâche 2 – Configurer l’IKE
Négociation des stratégies ISAKMP
Les hosts doivent négocier les stratégies d'ISAKMP avant qu'ils
s'entendent sur la SA à utiliser par IPsec.
Presentation_ID © 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential 89
Tâche 2 – Configurer l’IKE
Négociation des stratégies ISAKMP
Le numéro de la
stratégie est
définie localement.
Presentation_ID © 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential 90
Tâche 2 – Configurer l’IKE
Clé pré-partagée
La chaîne de la clé cisco123
La méthode de l'identité de l'adresse est spécifiée.
Les stratégies ISAKMP sont compatibles.
Les valeurs par défaut ne doivent pas être configurées.
Presentation_ID © 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential 91
Tâche 3 – Configurer lesTransform Sets
Définir les Transform Sets
Une transform set est une combinaison de transformation Ipsec conçue
pour appliquer une stratégie de sécurité spécifique au trafic.
Router(config)# crypto ipsec transform-set transform-set-name ?
ah-md5-hmac AH-HMAC-MD5 transform
ah-sha-hmac AH-HMAC-SHA transform
esp-3des ESP transform using 3DES(EDE) cipher (168 bits)
esp-des ESP transform using DES cipher (56 bits)
esp-md5-hmac ESP transform using HMAC-MD5 auth
esp-sha-hmac ESP transform using HMAC-SHA auth
esp-null ESP transform w/o cipher
Notes:
• esp-md5-hmac et esp-sha-hmac fournissent plus d’intégrité de
données.
• Ils sont compatibles avec NAT/PAT et plus utilisé que ah-md5-hmac
et ah-sha-hmac.
Presentation_ID © 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential 92
Tâche 3 – Configurer lesTransform Sets
Configurer les Transform Sets
Les transform sets sont négociés au cours de la phase 2 d’IKE en mode
rapide..
R1 est configuré par les transform sets ALPHA, BETA, et CHARLIE, tant
que R2 est configuré par RED, BLUE, et YELLOW.
Chaque transform set de R1 est comparé à chaque transform set de
R2 en successionR1
jusqu'à ce qu'une correspondance
R2 soit trouvée.
Presentation_ID © 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential 93
Tâche 3 – Configurer lesTransform Sets
Configurer les Transform Sets
R1 R2
Presentation_ID © 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential 94
Tâche 3 – Configurer lesTransform Sets
Configurer les Transform Sets
R1 R2
Presentation_ID © 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential 95
Tâche 3 – Configurer lesTransform Sets
Configurer les Transform Sets
R1 R2
Presentation_ID © 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential 96
Tâche 3 – Configurer lesTransform Sets
Configurer les Transform Sets
Presentation_ID © 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential 97
Tâche 4 – Configurer les ACLs Crypto
Definir les ACLs Crypto
L’ACL Crypto identifie le flux de trafic à protéger.
L’ACL crypto sortant sélectionne le trafic sortant que IPsec doit protéger.
Le trafic non sélectionné est envoyé en clair.
Si vous le souhaitez, des ACLs entrants peuvent être créés pour filtrer et
éliminer le trafic qui doit être protégé par Ipsec.
Presentation_ID © 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential 98
Tâche 4 – Configurer les ACLs Crypto
Syntaxe d’une ACL Crypto
Les ACLs crypto sortantes définissent le trafic intéressant à chiffrer. Tout
autre trafic passe en texte clair..
Presentation_ID © 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential 99
Tâche 4 – Configurer les ACLs Crypto
Syntaxe d’une ACL Crypto sysmétrique
Des ACLs crypto symétriques doivent être configurés pour être utilisés par
IPsec..
RouterA#(config)
access-list 110 permit tcp 10.0.1.0 0.0.0.255 10.0.2.0 0.0.0.255
RouterB#(config)
access-list 110 permit tcp 10.0.2.0 0.0.0.255 10.0.1.0 0.0.0.255
Presentation_ID © 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential 100
Tâche 5 – Appliquer le Crypto Map
Définir les Crypto Maps
Crypto maps définit:
• le trafic protégé à l'aide d'un crypto ACL
• La granularité du flux d'être protégé par un ensemble d'associations de
sécurité
• Qui les pairs IPsec à distance sont
• Adresse locale utilisée pour le trafic IPsec (facultatif)
• Quel type de sécurité IPsec est appliqué à ce trafic (transformer des
ensembles)
• Méthode de gestion des clés
• Durée de vie SAvies SA
Presentation_ID © 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential 101
Tâche 5 – Appliquer le Crypto Map
Syntaxe du Crypto Map
Presentation_ID © 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential 102
Tâche 5 – Appliquer le Crypto Map
Syntaxe du Crypto Map
Presentation_ID © 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential 103
Tâche 5 – Appliquer le Crypto Map
Appliquer une Crypto Map
Presentation_ID © 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential 104
Vérification et dépanage de la configuration IPSEC
Defining Crypto Maps
Presentation_ID © 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential 105
Vérification et dépanage de la configuration IPSEC
La commande IPsec Show
Presentation_ID © 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential 106
Vérification et dépanage de la configuration IPSEC
La commande IPsec Show
Presentation_ID © 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential 108
Vérification et dépanage de la configuration IPSEC
Vérification des associations de sécurité
Presentation_ID © 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential 109
Vérification et dépanage de la configuration IPSEC
Dépannage de la connectivité VPN
Ceci est un exemple de message d'erreur de mode principal.
L'échec de mode principal suggère que la stratégie de phase I ne
correspond pas sur les deux hôtes.
R1# debug crypto isakmp
1d00h: ISAKMP (0:1): atts are not acceptable. Next payload is 0 1d00h:
ISAKMP (0:1); no offers accepted!
1d00h: ISAKMP (0:1): SA not acceptable!
1d00h: %CRYPTO-6-IKMP_MODE_FAILURE: Processing of Main Mode failed with
peer at 150.150.150.1
Presentation_ID © 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential 110
TP2
Presentation_ID © 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential 111
Presentation_ID © 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential 112