CCNASv2 - Partie 3

Sécurité des réseaux
VPNs
A. Maizate
Presentation_ID © 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential 1
Plan
8.0 Présentation
8.1 VPN
8.2 GRE VPN
8.3 Composants VPN IPsec et principe de fonctionnement
8.4 Configuration du VPN site to site en mode CLI
Terminologie VPN
© 2012 Cisco and/or its affiliates. All rights reserved. 3

Système cryptographique
 Un système pour accomplir le chiffrement / déchiffrement,
l’authentification des utilisateurs, le hachage et le processus
d'échange des clés.
 Un système cryptographique utilise des méthodes différentes, en

fonction des stratégies de sécurité et le trafic de l’utilisateur.
Cryptage / décryptage
 Le cryptage transforme l'information (texte en clair) en un texte

chiffré qui n’est pas lisible par les utilisateurs non autorisés.
 Déchiffrement transforme un texte non chiffré en un texte clair

lisible par les utilisateurs autorisés.
Cryptage
 Les algorithmes de cryptage les plus utilisés sont:
DES
3DES Symétrique Asymétrique

Clé secrète: Clé publique:
AES DES, 3DES, RSA
AES
Cryptage symétrique
Clé secrète
partagée Clé secrète
partagée
Message
Infos Infos
Crypté
Cryptage Décryptage
 Cryptage symétrique ou cryptage à clé secrète

 Utilisé pour de grands volumes de données car beaucoup moins
gourmand en ressources CPU que les algorithmes asymétriques
 Durant l'échange, les clés peuvent changer plusieurs fois
 L’important ici est de bien protéger la clé
Cryptage symétrique: DES
 Il y’a de nombreuses technologies de cryptage

disponibles pour fournir de la confidentialité
 DES (Data Encryption Standard) crypte les paquets avec
une clé d'une longueur de 56 bits.
 A sa création dans les années 1970, DES paraissait
inviolable
 Aujourd'hui, le cryptage DES peut être décodé assez
facilement
Cryptage symétrique: : 3DES ? AES ?
 3DES utilise une clé d'une longueur de 168 bits et

exécute trois opérations DES en séquence
 3DES est 256 fois plus fiable que DES
 AES (Advanced Encryption Standard) utilise des clés de
longueur 128, 192 ou 256 bits pour crypter des blocs de
128, 192 ou 256 bits (les 9 combinaisons de tailles de
clés et de tailles de blocs sont possibles)
Cryptage asymétrique
• La clé privée est connue uniquement par le récepteur
• La clé publique est diffusée à qui la demande
Clé publique Clé privée

du receveur du receveur
Message
Infos Infos
Crypté
 Dans le cas du cryptage asymétrique, un message codé avec la clé publique

ne peut être décodé qu’avec la clé privée
 Les mécanismes utilisés pour générer les paires de clés sont complexes et
permettent de garantir l'unicité de la paire clé publique/clé privée
 Les algorithmes de crytage à clé publique sont souvent utilisés pour :
l’authentification
le transport de clés
 Les algorithmes les plus connus sont : RSA (Rivest, Shamir, Adleman)
Hachage
 Garantit l'intégrité des messages en utilisant un algorithme pour
convertir un message de longueur variable et une clé secrète
partagée en une seule chaîne de longueur fixe.
 Les méthodes de hachage les plus utilisées sont:

SHA (Cisco default)
MD5
Hachage
Local Distant
Message de
longueur variable Message reçu
Clé secrète
partagée Clé secrète
Payer Payer
50 € et 22 cents partagée
50 € et 22 cents
Fonction
de Hachage Fonction
de Hachage
Payer
50 € et 22 cents
4ehlDx67NM0p9 4ehlDx67NM0p9
4ehlDx67NM0p9
Message + Hash
 Hachage : technique utilisée pour garantir l’intégrité des

données
 Utilise une clé secrète
 Largement utilisé pour transporter des messages qui sont
en fait des clés 11
Hachage
 Les deux algorithmes de hachage les plus communs sont :
HMAC-MD5 - utilise une clé secrète de 128 bits
A la sortie l'algorithme donne une valeur "hash" de 128 bits
La valeur "hash" est ajouté en fin de message et le tout est transmis
vers l'autre extrémité
HMAC- SHA1 - Utilise une clé secrète de 160 bits
A la sortie l'algorithme donne une valeur "hash" de 160 bits
La valeur "hash" est ajouté en fin de message et le tout est transmis
vers l'autre extrémité
 HMAC-SHA1 est considéré comme étant plus robuste que

HMAC-MD5
Gestion des clés
Gestion de clés
Gestion Manuelle Echange de clés secètes Echange de clés publiques

Diffie-Hellman Autorité de Certificats
 Gestion des clés : quand on monte un tunnel VPN, on

utilise plusieurs clés
 Ces clés doivent être créées, changées, transmises,
etc…
 Il faudra choisir une stratégie de gestion des clés
Gestion des clés: Diffie-Hellman
Réalise un échange authentifié de clés
Valeur privée XA Valeur privée XB

Valeur publique YA Valeur publique YB
Routeur A Routeur B
YA= gXA mod p YB= gXB mod p
YA
X
YB
YB A mod p = k YA
XB
mod p = k
 L'algorithme Diffie-Hellman est un moyen pour deux
firewalls, A et B, de calculer une clé secrète partagée
sans jamais la transmettre
 Cette clé secrète peut être établie même si le canal de
communication n'est pas sécurisé
 Cette clé sera utilisée pour crypter les données avec
l'algorithme choisi par A et B
p et g en accord avec A
p et g en accord avec B
XB aléatoire
XA aléatoire
Routeur A Routeur B
échange de p et g
 p et g sont choisis par A et B tels que n > g > 1

 p est choisi très grand : 1024 bits par exemple
 p et g peuvent être échangés sur un lien non sécurisé (on
accepte qu’un éventuel pirate entande p et g)
 A choisit XA aléatoire et B choisit XB aléatoire 15
p et g en accord avec A
p et g en accord avec B
XB aléatoire
XA aléatoire
Routeur A YA= gXA mod p YB= gXB mod p

Routeur B
YA
XA
YB
YB mod p = k YA
XB
mod p = k’
En fait k = k’
 A calcule YA et B calcule YB
 YA et YB sont échangés sur le canal sécurisé
 le pirate peut intercepter YA et YB, il ne pourra recalculer XA et XB
 A calcule k et B calcule k’
 En fait k = k’ = K, servira de clé privée
 K ne peut être recalculée à partir de ce que le pirate a pu entendre
(c’est-à-dire p, g, YA et YB )
: Diffie-Hellman: Exemple
 Supposons à titre d'exemple, qu'Alice et Bernard partagent p = 233 et g =
45 :
si Alice choisit a = 11 et Bernard b = 20, alors
α = 45p(11) mod 233 = 147, β = 45p(20) mod 233 = 195,
βp(a) mod p = 195p(11) mod 233 = 169 et α p(b) mod p = 147p(20) mod
233 = 169.
Alice et Bernard disposent d'une clé privée, k = 169.
VPN : Tunnel
Infos Tunnel Infos
 Tunnel : technique d’encapsulation utilisée pour créer des

liaison point à point « virtuelles »
 Exemple IP dans IP
Non-répudiation
 La capacité de prouver qu’une transaction a eu lieu.
Semblable à un package signé reçus d'une société de transport.
 Ceci est très important dans les transactions financières et les

transactions de données similaires.
Diffie-Hellman Key Exchange
 Comment les dispositifs de chiffrement et de déchiffrement
obtiennent la clé secrète partagée?
La méthode la plus simple est l’échange de clé publique Diffie-Hellman.
 Utilisé pour créer une clé secrète partagée
 Cette clé secrète est requise par:

Les algorithmes de cryptage (DES, 3DES, AES)
Les méthodes d'authentification (MD5 et SHA-1)
Clé Pré-Partagée
 Identifie les parties communicantes lors des négociations de la

phase 1 IKE.
 La clé doit être pré-partagée avant que les routeurs peuvent

communiquer.
IPsec - Internet Protocol Security
 Un «framework» des normes ouvertes élaborées par l'IETF pour

créer un tunnel sécurisé au niveau de la couche réseau (IP).
Elle énonce les règles pour des communications sécurisées.
 IPsec ne est pas lié à des algorithmes spécifiques de chiffrement

ou d'authentification, échange de clé, ou des algorithmes de
sécurité.
Framework du Protocole IPsec
Crypto Map
 Une entité de configuration du logiciel IOS Cisco qui effectue
deux fonctions principales.
Tout d'abord, il sélectionne le flux de données qui nécessite un
traitement de sécurité.
Deuxièmement, il définit les règles appliquées au flux et le pair crypto

qui va le recevoir.
 crypto map est appliquée à une interface.
SA - Security Association
 Un contrat entre deux parties indiquant quels sont les paramètres

de sécurité qui vont être utilisés, tels que les clés et les
algorithmes.
 Security Parameter Index (SPI) identifie chaque SA établie
8.1 VPNs
Virtual Private Networks(VPN)
 Un VPN est un réseau privé construit sur l'infrastructure d'un réseau
public via des tunnels, utilise généralement l’Internet.
 Le réseau VPN a plusieurs avantages, notamment:
• Compatibilité avec les technologies haut débit
• Les économies de coûts
• sécurité
• évolutivité
 Un VPN transporte du trafic privé sur un réseau public en utilisant
du cryptage et des tunnels pour obtenir :
• la confidentialité des données (cryptage) :
l'émetteur doit crypter les paquets avant de les transmettre dans le
réseau. Par ce moyen, si la communication est interceptée les
données ne pourront pas être lues
• l'intégrité des données :
le récepteur peut vérifier si les données n'ont pas été altérées lors
de leur passage dans le réseau
• l'authentification des utilisateurs :
le récepteur peut authentifier la source du paquet, garantissant et
certifiant la source de l'information
 Un réseau privé virtuel (VPN) est défini comme une connectivité
réseau déployée sur une infrastructure partagée avec les mêmes
politiques de sécurité que sur un réseau privé
 Un VPN peut être entre deux systèmes d'extrémité ou entre deux ou
plusieurs réseaux
 Un VPN est construit en utilisant des tunnels et du cryptage
 Un VPN peut être construit au niveau de différentes couches du
modèle TCP/IP
 Un VPN est une infrastructure WAN alternative aux réseaux privés
qui utilisent des lignes louées ou des réseaux d'entreprise utilisant
Frame Relay ou ATM
Conventionnel VPN
Site Central Site Central
Frame
Relay Frame
Relay
Internet Internet
Réseau
Réseau
Frame Relay
Tunnel Frame Relay
VPN
Frame Frame
Relay Relay
Site distant
Site distant
• Coût élevé • Faible coût

• Peu flexible • Plus flexible
• Gestion WAN • Gestion simplifiée
• Topologies complexes • Topologie tunnel
 Caractère virtuel :
C’est la technique du tunneling qui permet d’étendre de façon « virtuelle » le
réseau privé à travers un réseau public
 Caractère privé :
C’est le cryptage qui confère son caractère privé aux données puisqu’elles ne
peuvent être décodées que par les interlocuteurs d’extrémité
Réseau Virtuel : tunneling
Réseau Privé : cryptage
Protocoles de tunneling
 Exemples de protocoles de tunneling :
GRE (Generic Routing Encapsulation)
L2TP (Layer 2 Tunneling Protocol)
IPSec
Tunneling
Tunnel
Message
Infos Infos
Crypté
Un tunnel est une connexion point à point virtuelle :

• connexion point à point au travers d'un réseau IP en
mode non-connecté
• Un tunnel transporte un protocole à l'intérieur d'un autre :
• encapsulation d’IP dans IP par exemple !
• Le cryptage transforme les informations en texte chiffré
• Le décryptage restaure les informations à partir du texte chiffré
Présentation VPN
Types de VPNs
 D’une manière très simple, un VPN connecte deux extrémités, par
exemple, deux bureaux distants, sur un réseau public pour former une
connexion logique.
 Les connexions logiques peuvent être réalisées par les deux couches 2
ou 3 du modèle OSI.
 Des exemples courants de VPNs de couche 3 sont les suivants:
• Generic Routing Encapsulation (GRE)
• Multiprotocol Label Switching (MPLS)
• Internet Protocol Security (IPsec)
VPN Topologies
VPNs Site-to-Site
 Crée lorsque les dispositifs de connexion des deux côtés de la
connexion VPN connaissent la configuration VPN à l'avance.
 Le VPN est statique et les hôtes internes n'ont pas
connaissance de l’existance du VPN.
Topologies VPNs
VPNs d’accés distant
• Permet de changer dynamiquement les informations de
connexion et peut être activé et désactivé en cas de besoin.
• Exemple - Un télétravailleur PC peut établir une connexion
VPN.
Topologies VPNs
VPNs d’accés distant
 Une évolution des réseaux de commutation de circuits, tels que
le service téléphonique (POTS) ou RNIS.
 Supporte une architecture client / serveur. Un client VPN
nécessite un accès sécurisé au réseau de l'entreprise via le
serveur VPN du réseau.
Topologies VPNs
VPNs Site-to-Site
 Une extension d'un réseau WAN classique.
 Connecter des réseaux distants les uns aux autres.
 Un VPN site à site peut connecter un réseau de succursales au
réseau du siège.
 Remplace une connexion de type ligne spécialisée ou Frame
Relay, car la plupart des entreprises ont maintenant un accès
Internet.
Topologies VPNs
Cisco IOS SSL VPN
 Le Cisco IOS SSL VPN est une technologie qui offre une
connectivité d'accès à distance à partir de n'importe quel endroit
avec accès Internet et d'un navigateur web et son cryptage SSL
natif.
 VPN SSL offre actuellement trois modes d'accès VPN SSL:
• sans client
• client léger
• client complet
Solutions VPNs
Produits Cisco VPN
Product Choice Remote-Access VPN Site-to-Site VPN
Cisco VPN-Enabled Routers and Switches Secondary role Primary role
Cisco PIX 500 Series Security Appliances (Legacy) Secondary role Primary role
Cisco ASA 5500 Adaptive Security Appliances Primary role Secondary role
Cisco VPN 3000 Series Concentrators Primary role Secondary role
SOHO Routers (Cisco 850 Series ISR and Linksys) Primary role Secondary role
Solutions VPNs
Services VPN avec Cisco ASA
Solutions VPNs
Options du client Ipsec Cisco
Cisco VPN d'accès à distance
peuvent utiliser trois clients
IPsec:
• Le logiciel client VPN Cisco -
Installé sur le PC ou l'ordinateur
portable d'un individu.
• Routeur Cisco VPN client - Un
routeur distant Cisco (configuré
en tant que client VPN) qui relie
les réseaux d’un petit bureau,
bureau à domicile (SOHO) au
réseau VPN.
• Cisco AnyConnect Secure
Mobility Client - La nouvelle
génération de client VPN qui
permet aux utilisateurs distants
des connexions VPN sécurisées
à Cisco ASA.
8.2 GRE VPNs
Configuration d’un tunnel GRE site à site
Tunnels GRE
 Il existe deux protocoles pupulaires de tunneling site à site:
• GRE
• IPsec
 Quand devriez-vous utiliser GRE ou IPsec?
IP Oui
Trafic utilisateur seuleme
nt?
Non
Non Oui
Unicast
Utiliser GRE Utiliser VPN
seulement
Tunnel IPsec
?
Tunnels GRE
GRE peut encapsuler n'importe quel autre type de paquet.
• Utilise IP pour créer un lien virtuel point à point entre les routeurs Cisco
• Prise en charge de plusieurs protocoles (IP, CNLS, ...) et un tunnel IP
multicast (et, par conséquent, les protocoles de routage)
• Le mieux adapté pour les VPN multiprotocole de type site à site
• RFC 1702 et RFC 2784
Entête GRE
 GRE encapsule l'ensemble du paquet IP d'origine avec un en-tête IP
standard et GRE.
 L’entête de tunnel GRE contient au moins deux champs obligatoires de

2 octets:
• Drapeau GRE f
• Type de Protocole
Entête GRE
 GRE ne fournit pas de chiffrement, mais il peut être surveillée
avec un analyseur de protocole.
 Alors que le GRE et IPSec peuvent être utilisés ensemble, IPsec

ne pas en charge la multidiffusion / diffusion et, par conséquent,
ne peut pas envoyer les paquets des protocoles de routage.
Cependant, IPsec peut encapsuler un paquet GRE qui encapsule
le trafic de routage (GRE sur IPSec).
Configurer GRE
1. Créer une interface de tunnel : interface tunnel 0
2. Affecter le tunnel une adresse IP.
3. Identifier l'interface de tunnel source : tunnel source
4. Identifier la destination du tunnel : tunnel destination
5. (Facultatif) Identifiez le protocole d'encapsuler dans le tunnel
GRE: tunnel mode gre ip
Par défaut, le GRE est encapsulé dans un paquet IP.
Configurer GRE
Configurer GRE
Configurer GRE
Configurer GRE
GRE avec IPsec
 L'avantage de GRE est qu'il peut être utilisé pour le trafic non-IP
tunnel sur un réseau IP.
 Contrairement à IPSec, qui ne prend en charge le trafic unicast,

multicast et GRE prend en charge le trafic de diffusion sur le lien
du tunnel. Par conséquent, les protocoles de routage sont prises
en charge GRE.
 GRE ne prévoit pas de cryptage; si nécessaire, IPsec doit être

configuré.
TP1
8.3 Composants et
fonctionnement
IPSEC VPN
Introduction IPsec
IPsec Comme un standard IETF
 Un “framework” de normes ouvertes élaborées par l'IETF pour
créer un tunnel sécurisé dans la couche réseau (IP).
• L'IETF définit les modalités des communications sécurisées.
• RFC 2401 - RFC 2412
 IPsec fonctionne sur la couche réseau, la protection et
l'authentification des paquets IP entre les périphiriques IPsec, ou
des pairs.
 IPsec n'est pas lié à aucun chiffrement ou d'authentification des
algorithmes spécifiques, les technologies de chiffrement, ou des
algorithmes de sécurité.
 IPsec permet aux nouveaux et meilleurs algorithmes d’être mises
à jour sans avoir à patcher les normes IPsec existantes.
Introduction IPsec
Introduction IPsec
 Le framework IPsec
se compose de cinq
blocs de
construction.
 L'administrateur
sélectionne les
algorithmes utilisés
pour la mise en
œuvre des services
de sécurité.
Introduction IPsec
En utilisant le framework IPsec,

IPsec offre les fonctions de
sécurité essentielles.
Introduction IPsec
Confidentialité
La confidentialité est atteint grâce au cryptage.
Introduction IPsec
Confidentialité
Les algorithmes de
chiffrement et les
longueurs de clés qui
utilisés par les VPNs:
• DES
• 3DES
• AES
• Software-
Optimized
Encryption
Algorithm (SEAL)
Introduction IPsec
Integrité
 Pour assurer l'intégrité des données, une méthode est nécessaire
pour garantir que le contenu n'a pas été altéré.
 Un algorithme d'intégrité de données peut fournir cette garantie.
 Hashed Message Authentication Code (HMAC) est un algorithme
d'intégrité des données qui garantit l'intégrité du message en
utilisant une valeur de hachage.
Introduction IPsec
Integrité
Deux algorithmes
HMAC :
• HMAC-Message
Digest 5 (HMAC-
MD5)
• HMAC-Secure Hash
Algorithm 1 (HMAC-
SHA-1)
Introduction IPsec
Authentification
 Le périphérique de l'autre
extrémité du tunnel VPN doit être
authentifié avant que la voie de
communication est considérée
comme sécurisée.
 Il existe deux principales
méthodes d'authentification à
configurer dans les deux
périphériques communicants:
• Pre-shared Keys (PSKs)
• RSA signatures
Introduction IPsec
Authentification
Introduction IPsec
Authentification
Introduction IPsec
Échange de clé sécurisée
 Les algorithmes de chiffrement,
tels que DES, 3DES, AES, et le
MD5 et SHA-1 exigent des
algorithmes de hachage, une clé
secrète symétrique partagée
pour effectuer le chiffrement et le
déchiffrement.
 Comment les dispositifs de
cryptage et de décryptage
obtiennent la clé secrète
partagée?
 La clé partagée de Diffie-Hellman
(DH) est une méthode d'échange de
clé publique qui fournit un moyen
pour les deux pairs d'établir une clé
secrète partagée.
Protocoles de sécurité IPsec
Protocoles du Framework IPsec
IPsec utilise deux protocoles pour créer le framework de sécurité:
• AH: Authentication Header
• ESP: Encapsulating Security Payload
Authentication Header (AH)
AH assure l'authentification et en option le service replay-
detection:
• Il authentifie l'émetteur de données.
• AH utilise le numéro de protocole 51.
• AH prend en charge les algorithmes HMAC-MD5 et HMAC-SHA-1.
 AH n’assure pas la confidentialité (chiffrement).
• Il peur être utilisé lorsque la confidentialité n'est pas exigée ou

autorisée.
• Tout le texte est transporté en clair.
 Il assure uniquement l'origine des données et vérifie qu’elles n'ont pas été
modifiées au cours du transit.
 Si le protocole AH est utilisé seul, il offre une protection faible.
 AH peut avoir des problèmes si le NAT est activé
Le processus AH se produit dans l’ordre suivant:
1 L'en-tête IP et les données de la charge utile sont hachés à l'aide de la clé secrète
partagée.
2 Le hachage construit un nouvel en-tête AH, qui est inséré dans le paquet d'origine.
3 Le nouveau paquet est transmis à l’autre routeur IPsec.
4 Le routeur homologue hache l’entête et les données IP de la charge utile en utilisant
la clé secrète partagée, extrait le hash transmis de l'en-tête AH, et compare les deux
tables de hachage.
ESP
ESP fournit les mêmes services de sécurité comme AH
(authentification et intégrité) et le service de cryptage.
• Il encapsule les données à protéger.
• Il utilise le numéro de protocole 50.
Modes Transport et Tunnel
ESP et AH peuvent être appliquées à des paquets IP dans deux modes
différents.
 La sécurité est assurée uniquement pour la couche de transport
et au-dessus. Il protège les données utiles, mais laisse l'adresse
IP d'origine en clair.
 Mode de transport ESP est utilisé entre les hôtes.
 Le mode de transport fonctionne bien avec GRE, parce GRE
cache les adresses des terminaux en ajoutant sa propre adresse
IP.
 Le mode tunnel fournit une sécurité complète pour le paquet IP
d'origine. Le paquet IP d'origine est chiffré, puis il est encapsulé
dans un autre paquet IP (IP-dans-IP chiffrement).
 Mode tunnel ESP est utilisé dans l'accès à distance et les
configurations site à site.
Internet Key Exchange
Les associations de sécurité
 La solution VPN Ipsec
• Négocie paramètres d'échange de clés (IKE).
• Établit une clé partagée (DH).
• Authentifie les pairs.
• Négocie les paramètres de chiffrement.
 Les paramètres négociés entre deux dispositifs sont connus
comme l’ssociation de sécurité (SA).
8.4 Configuration VPN
IPsec Site-to-Site
avec CLI
Configuration VPN IPSec site à site
Négociation VPN IPsec
 Un VPN est un canal de communication utilisé pour établir une
connexion logique entre deux points d'extrémité sur un réseau
public.
 La négociation VPN IPsec comporte plusieurs étapes.
Configuration IPsec
Certaines tâches de base doivent être remplis pour
configurer un VPN Ipsec site à site.
Tâche 1 Assurez-vous que les ACL configurées sur les interfaces
sont compatibles avec la configuration IPsec.
Tâche 2 Créer une stratégie ISAKMP (IKE).
Tâche 3 Configurer la transformation set IPsec.
Tâche 4: Créer une ACL crypto.
Tâche 5: Créer et appliquer un crypto map.
Tâche 1 - Configurer les ACLs
Protocoles 50 et 51 et le port UDP 500
Il faut s’assurer que les ACL sont configurés de telle sorte
que le trafic ISAKMP, ESP et AH ne sont pas bloqués au
niveau des interfaces utilisées par IPsec.
• ESP utilise le numéro 50.
• AH utilise le numéro 51.
• ISAKMP utilise le port UDP 500.
Tâche 1 - Configurer les ACLs
Configuration des ACLs
Tâche 2 – Configurer l’IKE
 Créer un plan à l'avance est obligatoire pour configurer le
cryptage IPsec correctement afin de minimiser les erreurs de
configuration.
 Déterminer les valeurs des paramètres suivants:
• Méthode de distribution de clés
• Méthode d'authentification
• Adresses et noms des périphériques IP IPsec
• IKE phase 1 des stratégies pour tous les périphériques
• Algorithme de chiffrement, algorithme de hachage, IKE SA durée
de vie
 Objectif: Réduire les erreurs de configuration.
 La deuxième tâche importante dans la configuration de support Cisco
IOS ISAKMP est de définir les paramètres dans la stratégie IKE.
 Plusieurs stratégies de ISAKMP peuvent être configurés sur chaque
host participant à IPsec.
crypto isakmp policy utilise le mode de configuration de stratégie
ISAKMP, où vous pouvez définir les paramètres ISAKMP.
Négociation des stratégies ISAKMP
Les hosts doivent négocier les stratégies d'ISAKMP avant qu'ils
s'entendent sur la SA à utiliser par IPsec.
Négociation des stratégies ISAKMP
Le numéro de la
stratégie est
définie localement.
Clé pré-partagée
 La chaîne de la clé cisco123
 La méthode de l'identité de l'adresse est spécifiée.
 Les stratégies ISAKMP sont compatibles.
 Les valeurs par défaut ne doivent pas être configurées.
Tâche 3 – Configurer lesTransform Sets
Définir les Transform Sets
Une transform set est une combinaison de transformation Ipsec conçue
pour appliquer une stratégie de sécurité spécifique au trafic.
Router(config)# crypto ipsec transform-set transform-set-name ?
ah-md5-hmac AH-HMAC-MD5 transform
ah-sha-hmac AH-HMAC-SHA transform
esp-3des ESP transform using 3DES(EDE) cipher (168 bits)
esp-des ESP transform using DES cipher (56 bits)
esp-md5-hmac ESP transform using HMAC-MD5 auth
esp-sha-hmac ESP transform using HMAC-SHA auth
esp-null ESP transform w/o cipher
Notes:
• esp-md5-hmac et esp-sha-hmac fournissent plus d’intégrité de
données.
• Ils sont compatibles avec NAT/PAT et plus utilisé que ah-md5-hmac
et ah-sha-hmac.
Configurer les Transform Sets
 Les transform sets sont négociés au cours de la phase 2 d’IKE en mode
rapide..
 R1 est configuré par les transform sets ALPHA, BETA, et CHARLIE, tant
que R2 est configuré par RED, BLUE, et YELLOW.
 Chaque transform set de R1 est comparé à chaque transform set de
R2 en successionR1
jusqu'à ce qu'une correspondance
R2 soit trouvée.
R1 R2
R1 R2
R1 R2
Tâche 4 – Configurer les ACLs Crypto
Definir les ACLs Crypto
 L’ACL Crypto identifie le flux de trafic à protéger.
 L’ACL crypto sortant sélectionne le trafic sortant que IPsec doit protéger.
Le trafic non sélectionné est envoyé en clair.
 Si vous le souhaitez, des ACLs entrants peuvent être créés pour filtrer et
éliminer le trafic qui doit être protégé par Ipsec.
Syntaxe d’une ACL Crypto
Les ACLs crypto sortantes définissent le trafic intéressant à chiffrer. Tout
autre trafic passe en texte clair..
Syntaxe d’une ACL Crypto sysmétrique
Des ACLs crypto symétriques doivent être configurés pour être utilisés par
IPsec..
RouterA#(config)
access-list 110 permit tcp 10.0.1.0 0.0.0.255 10.0.2.0 0.0.0.255
RouterB#(config)
access-list 110 permit tcp 10.0.2.0 0.0.0.255 10.0.1.0 0.0.0.255
Tâche 5 – Appliquer le Crypto Map
Définir les Crypto Maps
Crypto maps définit:
• le trafic protégé à l'aide d'un crypto ACL
• La granularité du flux d'être protégé par un ensemble d'associations de
sécurité
• Qui les pairs IPsec à distance sont
• Adresse locale utilisée pour le trafic IPsec (facultatif)
• Quel type de sécurité IPsec est appliqué à ce trafic (transformer des
ensembles)
• Méthode de gestion des clés
• Durée de vie SAvies SA
Syntaxe du Crypto Map
Syntaxe du Crypto Map
Appliquer une Crypto Map
Vérification et dépanage de la configuration IPSEC
Defining Crypto Maps
La commande IPsec Show
R1# show crypto map

Crypto Map “MYMAP" 10 ipsec-isakmp
Peer = 172.30.2.2
Extended IP access list 102
access-list 102 permit ip host 172.30.1.2 host 172.30.2.2
Current peer: 172.30.2.2
Security association lifetime: 4608000 kilobytes/3600 seconds
PFS (Y/N): N
Transform sets={ MINE, }
LA commande show crypto map vérifie les configurations et montre la

durée de vie des SAs.
R1# show crypto isakmp policy

Protection suite of priority 110
encryption algorithm: DES - Data Encryption Standard (56 bit keys).
hash algorithm: Message Digest 5
authentication method: pre-share
Diffie-Hellman group: #1 (768 bit)
lifetime: 86400 seconds, no volume limit
Default protection suite
encryption algorithm: DES - Data Encryption Standard (56 bit keys).
hash algorithm: Secure Hash Standard
authentication method: Rivest-Shamir-Adleman Signature
Diffie-Hellman group: #1 (768 bit)
lifetime: 86400 seconds, no volume limit
La commande show crypto isakmp policy affiche les stratégies IKE

configurées et les paramètres par défaut de stratégie IKE.
La commande show crypto ipsec transform-set affiche toutes

les transform sets configurées.
Vérification des associations de sécurité
R1# show crypto isakmp sa
dst src state conn-id slot

172.30.2.2 172.30.1.2 QM_IDLE 47 5
show crypto ipsec sa indique que la SA est établie, le reste de la

configuration est supposé correcte.
Dépannage de la connectivité VPN
 Ceci est un exemple de message d'erreur de mode principal.
 L'échec de mode principal suggère que la stratégie de phase I ne
correspond pas sur les deux hôtes.
R1# debug crypto isakmp
1d00h: ISAKMP (0:1): atts are not acceptable. Next payload is 0 1d00h:
ISAKMP (0:1); no offers accepted!
1d00h: ISAKMP (0:1): SA not acceptable!
1d00h: %CRYPTO-6-IKMP_MODE_FAILURE: Processing of Main Mode failed with
peer at 150.150.150.1
 Vérifiez que la stratégie de la phase I est correcte les deux hôtes

et la correspondance entre les attributs.
• Cryptage: DES or 3DES
• Hashage: MD5 or SHA
• Diffie-Hellman: Group 1 or 2
• Authentification: rsa-sig, rsa-encr ou pre-share
TP2

CCNASv2 - Partie 3

Загружено:

Сведения о документе

Оригинальное название

Авторское право

Доступные форматы

Поделиться этим документом

Поделиться или встроить документ

Параметры публикации

Этот документ был вам полезен?

Это неприемлемый материал?

Авторское право:

Доступные форматы

CCNASv2 - Partie 3

Загружено:

Авторское право:

Доступные форматы

Sécurité des réseaux

8.2 GRE VPN

8.3 Composants VPN IPsec et principe de fonctionnement

8.4 Configuration du VPN site to site en mode CLI

© 2012 Cisco and/or its affiliates. All rights reserved. 3

 Un système cryptographique utilise des méthodes différentes, en

 Le cryptage transforme l'information (texte en clair) en un texte

 Déchiffrement transforme un texte non chiffré en un texte clair

3DES Symétrique Asymétrique

 Cryptage symétrique ou cryptage à clé secrète

 Il y’a de nombreuses technologies de cryptage

 3DES utilise une clé d'une longueur de 168 bits et

Clé publique Clé privée

 Dans le cas du cryptage asymétrique, un message codé avec la clé publique

 Les méthodes de hachage les plus utilisées sont:

 Hachage : technique utilisée pour garantir l’intégrité des

 HMAC-SHA1 est considéré comme étant plus robuste que

Gestion Manuelle Echange de clés secètes Echange de clés publiques

 Gestion des clés : quand on monte un tunnel VPN, on

Valeur privée XA Valeur privée XB

 p et g sont choisis par A et B tels que n > g > 1

Routeur A YA= gXA mod p YB= gXB mod p

Alice et Bernard disposent d'une clé privée, k = 169.

Infos Tunnel Infos

 Tunnel : technique d’encapsulation utilisée pour créer des

 Ceci est très important dans les transactions financières et les

La méthode la plus simple est l’échange de clé publique Diffie-Hellman.

 Utilisé pour créer une clé secrète partagée

 Cette clé secrète est requise par:

Les méthodes d'authentification (MD5 et SHA-1)

 Identifie les parties communicantes lors des négociations de la

 La clé doit être pré-partagée avant que les routeurs peuvent

 Un «framework» des normes ouvertes élaborées par l'IETF pour

 IPsec ne est pas lié à des algorithmes spécifiques de chiffrement

Deuxièmement, il définit les règles appliquées au flux et le pair crypto

 crypto map est appliquée à une interface.

 Un contrat entre deux parties indiquant quels sont les paramètres

 Security Parameter Index (SPI) identifie chaque SA établie

• Coût élevé • Faible coût

Réseau Virtuel : tunneling

Réseau Privé : cryptage

GRE (Generic Routing Encapsulation)

L2TP (Layer 2 Tunneling Protocol)

Un tunnel est une connexion point à point virtuelle :

Cisco VPN-Enabled Routers and Switches Secondary role Primary role

Cisco VPN 3000 Series Concentrators Primary role Secondary role

 L’entête de tunnel GRE contient au moins deux champs obligatoires de

 Alors que le GRE et IPSec peuvent être utilisés ensemble, IPsec

Par défaut, le GRE est encapsulé dans un paquet IP.

 Contrairement à IPSec, qui ne prend en charge le trafic unicast,

 GRE ne prévoit pas de cryptage; si nécessaire, IPsec doit être

En utilisant le framework IPsec,

• Il peur être utilisé lorsque la confidentialité n'est pas exigée ou

• Tout le texte est transporté en clair.

 Si le protocole AH est utilisé seul, il offre une protection faible.

 AH peut avoir des problèmes si le NAT est activé

Tâche 2 Créer une stratégie ISAKMP (IKE).

Tâche 3 Configurer la transformation set IPsec.

Tâche 4: Créer une ACL crypto.

Tâche 5: Créer et appliquer un crypto map.

• AH utilise le numéro 51.

• ISAKMP utilise le port UDP 500.

R1# show crypto map