IFIAG

SSL VPN
Project technique

BENCHCHAOUI OMAR ADIL

Contents
I. II. III. 1) 2) 3) a. b. 4) IV. 1) a. b. c. d. V. 1) 2) 3) 4) a. b. c. 5) 6) 7) VI. 1) 2) a. b. 2 Introduction au VPN: ............................................................................................................................ 5 Problmatiques: .................................................................................................................................... 5 La solution: ........................................................................................................................................ 5 Rseaux prive VPN : ........................................................................................................................ 5 Type : ................................................................................................................................................. 6 Principe de fonctionnement : ........................................................................................................... 6 Les avantages : .............................................................................................................................. 6 Les inconvnient : ......................................................................................................................... 6 Type dutilisation du VPN : ................................................................................................................ 7 Protocoles du VPN : .......................................................................................................................... 8 Types de tunnels VPN ....................................................................................................................... 8 Point-to-Point Tunneling Protocol (PPTP) ..................................................................................... 8 Fonctionnement du PPTP :............................................................................................................ 8 Layer Two Tunneling Protocol (L2TP) ........................................................................................... 9 Internet Protocol Security (IPsec) : ............................................................................................... 9

SSL (Secure Socket Layer) VPN : .......................................................................................................... 10 Qu'est-ce qu'un SSL VPN? ............................................................................................................... 11 Les Avantages du VPN SSL : ............................................................................................................ 11 Inconvnients du SSL VPN :............................................................................................................. 11 Les technologies du SSL VPN :......................................................................................................... 12 Le hachage .................................................................................................................................. 12 Le cryptage : ................................................................................................................................ 13 Signatures numriques et certification numrique : .................................................................. 14 Les tapes principales dune connexion SSL : ................................................................................. 14 Les mthodes d'accs utilis par SSL VPN: ..................................................................................... 15 Les produits Cisco VPN SSL : ........................................................................................................... 16 Mise en uvre technique : ............................................................................................................. 19 Configuration requis : ..................................................................................................................... 20 WebVPN installation : ..................................................................................................................... 22 La configuration Pralables : ....................................................................................................... 22 AAA Configuration :..................................................................................................................... 22

c. d. 3) 4) 5)

Configuration DNS....................................................................................................................... 23 Configuration certificat SSL ......................................................................................................... 23 Commandes IOS pour activer la fonctionnalit WEBVPN............................................................... 25 Test de fonctionnalit (navigation Web) : ...................................................................................... 27 Vrification de fonctionnalit (WIRESHARK) : ................................................................................ 31

I.

Rsum:

La mondialisation, l'utilisation accrue dInternet, et le cot exorbitant des lignes spcialiss, a oblig les fournisseurs dinformatique proposer des solutions pour grer, contrler et permettre laccs distance. La technologie appel Virtual Private Network ; en plus bref VPN ; a donn la possibilit au entreprise de connecter leurs sites parpills dans le monde, ou permettre a leur employs distant davoir accs aux ressources internes de lentreprise. Dans ce rapport, je vais parler brivement de la solution VPN, des diffrentes technologies qui rgnent sur le march, dans la partie pratique, jai simul un accs a distance au routeur configur avec la technologie SSLVPN.

Partie Thoriques :
II. Introduction au VPN:
Un VPN (Virtual Private Network) est une connexion rseau prive scurise construite au sommet d'infrastructures accessibles au public. Il offre une alternative l'utilisation du serveur proxy pour accder distance aux ressources ainsi qu'une mthode scurise pour vous authentifier sur un rseau.

III.

Problmatiques:

La croissance rapide de l'Internet et le dploiement gnralis des rseaux crent une demande pour de nouvelles capacits dans les rseaux IP. Certaines entreprises ont mis en place leur propre rseau WAN (Wide Area Network) en utilisant une ligne spciale. Mais ces rseaux sont coteux, et il n'est pas possible dans un tel systme de partager la bande passante entre plusieurs clients.

IV.

La solution:
1) Rseaux prive VPN :

VPN est latout le plus populaire dans les solutions d'accs distance. Il fournit une mthode scurise de transfre de donnes critiques. Les fournisseurs comme Cisco Systems amliorent continuellement leurs produits pour fournir des fonctionnalits qui tirent parti des progrs raliss dans les normes et les protocoles comme IPSec et L2TP (Layer 2 Tunneling Protocol). La solution VPN doit pouvoir contenir toute sorte de fonctions : Protection des donnes en utilisant les technologies de cryptage, tels que RC-4, DES, 3DES et AES. Protection contre la falsification de paquets l'aide des fonctions de hachage comme MD5 et SHA. Protection contre les attaques man-in-the-middle en utilisant des mcanismes d'authentification, tels que les cls pr-partages ou les certificats numriques. Protection contre les attaques par rejet ( replay attack) en utilisant des numros de squence lors de la transmission des donnes protges.

Dfinir des mcanismes sur faon dont les donnes sont encapsules et protges, et comment protger le trafic lors de la transmission entre les diffrents dispositifs.

2) Type :
VPN prend en charge au moins trois diffrents types d'utilisation: Les connexions daccs distance au client. Linterconnexion entre deux rseaux LAN. Laccs contrl au sein d'un intranet.

3) Principe de fonctionnement :
Le VPN a attir l'attention de nombreux organismes qui cherchent la fois, dvelopper leurs capacits rseaux et rduire leurs cots. Le VPN peut tre trouv dans sur les lieux de travail chez les professionnels ainsi que chez les particuliers, o il permet aux employs de se connecter en toute scurit aux rseaux d'entreprise. Les tltravailleurs et ceux qui voyagent souvent trouvent dans le VPN la solution la plus commode pour rester connect l'intranet de l'entreprise.

a. Les avantages : La rduction des cots par rapport un WAN traditionnel. Etendre la connectivit gographique. Amliorer la scurit. Rduire les cots et le temps de transit et des transport pour les utilisateurs distance. Offre la possibilit dun rseau mondial.

b. Les inconvnients : Le VPN ncessite une comprhension dtaille des questions de scurit rseau et une installation et une configuration soigne pour assurer une protection suffisante sur un rseau public comme Internet. La fiabilit et la performance d'un VPN sur Internet n'est pas sous le contrle direct d'une organisation. Au lieu de cela, la solution repose sur un FAI et leur qualit de service. Les technologies VPN de diffrents fournisseurs peuvent ne pas bien fonctionner ensemble en raison de normes encore immatures. Le VPN doit tenir compte des autres protocoles de rseaux internes afin de ne pas crer des incompatibilits. 6

4) Type dutilisation du VPN :

Les trois grands cas dutilisation de VPN sont les suivants: Raccordement des tltravailleurs ou travailleurs mobiles. Ceux-ci se raccordent aux ressources de lentreprise via un modem, RNIS ou xDSL.
TUNNEL VPN

CONEXION ADSL

Figure 1 : Raccordement de tltravailleurs ou travailleurs mobiles

Interconnexion des sites distants dune mme entreprise qui partagent les mmes ressources sans pour autant avoir recours des lignes spcialises (LS).
TUNNEL VPN RELIANT 2 SITE

SITE 2

SITE 1

Figure 2 : interconnexion de sites

Exploitation de rseaux extranets.

V.

Protocoles du VPN :

Plusieurs protocoles rseau d'authentification et de chiffrement sont devenus populaires en raison de l'volution du VPN: 1. 2. 3. 4. PPTP. L2TP. IPsec. SSL VPN.

L'authentification permet aux clients VPN et les serveurs d'tablir correctement l'identit des personnes sur le rseau. Le cryptage des donnes potentiellement sensibles permet d'tre cach aux yeux du grand public.

1) Types de tunnels VPN

Plusieurs protocoles de rseau informatique ont t mis en place spcifiquement pour une utilisation avec des tunnels VPN. Les protocoles les plus populaires de tunneling VPN numrs ci-dessous continuent de se concurrencer les uns avec les autres pour leur acceptation dans l'industrie. Malheureusement ces protocoles sont gnralement incompatibles les uns avec les autres. a. Point-to-Point Tunneling Protocol (PPTP) Plusieurs socits ont travaill ensemble pour crer la spcification PPTP. Les gens associent gnralement PPTP avec Microsoft, car presque tous les produits Windows incluent une prise en charge des clients pour ce protocole. Les premires versions de PPTP pour Windows prsentaient des caractristiques de scurit que certains experts estimaient trop faibles pour un usage professionnel. PPTP - Point-to-Point Tunneling Protocol - tend le protocole point point (PPP) pour les accs rseau distance traditionnels. PPTP est le mieux adapt pour les applications d'accs distance VPN. PPTP fonctionne au niveau de la couche 2 du modle OSI. b. Fonctionnement du PPTP : PPTP encapsule les donnes dans des paquets PPP, ensuite ces derniers sont eux aussi encapsuls dans des paquets IP (datagrammes) pour leur transmission travers un tunnel VPN bas sur Internet. PPTP supporte donc le cryptage des donnes et la compression des

paquets. Le PPTP utilise aussi une forme de General Routing Encapsulation (GRE) pour obtenir des donnes de et vers sa destination finale. Les tunnels VPN sont crs en deux tapes: 1. Le client PPTP se connecte votre FAI en utilisant PPP Dial-Up Networking (modem classique ou ISDN). 2. Via un dispositif de courtier, PPTP cre une connexion de contrle TCP entre le client VPN et le serveur VPN afin tablir un tunnel. Le PPTP utilise le port TCP 1723 pour ses connexions. Le PPTP prend galement en charge la connectivit VPN via un rseau local. Le PPTP supporte l'authentification, le cryptage et le filtrage des paquets. Il utilise des protocoles d'authentification bass sur PPP comme EAP, CHAP et PAP. Il supporte aussi le filtrage de paquets sur les serveurs VPN. Les routeurs intermdiaires et autres pare-feu peuvent galement tre configurs pour router le trafic PPTP.

c. Layer Two Tunneling Protocol (L2TP) Le concurrent direct au PPTP est le L2F, un protocole mis uvre principalement dans les produits Cisco. Dans une tentative pour amliorer le L2F, les meilleures caractristiques de celui-ci et PPTP ont t combines dans le but de crer un nouveau standard appel le L2TP. Comme le PPTP, le L2TP existe au niveau de la couche liaison de donnes dans le modle OSI. Tout comme le PPTP, le L2TP encapsule les donnes dans des trames PPP et les transmet travers un backbone IP. Contrairement au PPTP, le L2TP utilise le UDP comme mthode d'encapsulation des donnes. Considrant que le PPTP utilise pour le chiffrement MPPE (qui est ngoci via PPP), le L2TP s'appuie sur une solution plus scurise: les paquets L2TP sont protgs par IPSec ESP en utilisant le mode transport. On peut aussi utiliser le L2TP sans IPSec, mais le principal problme de cette approche est que le protocole L2TP lui-mme n'est pas un protocole de chiffrage et doit donc s'appuyer sur autre protocole. Par consquent, la mise en uvre du L2TP ncessite l'utilisation d'IPsec.

d. Internet Protocol Security (IPsec) : LIP scurit, ou IPsec, est en fait un ensemble de protocoles qui fournissent des fonctionnalits uniques de scurisation de la couche rseau entre deux quipements qui permettent : 9 La confidentialit des donnes. Lintgrit des donnes. L'authentification des donnes. La dtection danti-replay.

LAuthentification entre les diffrents quipements.

Il peut tre utilis comme une solution de protocole VPN complet ou tout simplement comme un schma de cryptage au sein du L2TP ou PPTP. IPsec existe au niveau de la couche rseau du modle OSI. Les services dIPsec:
La confidentialit des donnes : Se fait par chiffrement pour protger les donnes contre

les tentatives d'coute; Les algorithmes de chiffrement supports sont le DES, le 3DES et lAES. L'intgrit des donnes et l'authentification : Se fait grce la fonction HMAC (Hash-based Message Authentication Code) qui vrifie que les paquets n'ont pas t altrs et sont en cours de rception par un quipement autoris ; en d'autres termes, empcher une attaque par dtournement man-in-the-middle ou le vol de session. Les fonctions HMAC support par lIPsec sont le MD5 et le SHA-1. La dtection danti-replay : se fait en incluant les numros de squence des paquets cryptes pour sassurer ce qu'un replay attaque ne se produise pas par un dispositif man-in-the-middle. Lauthentification entre les quipements : veille quavant que les donnes soient transmises entre les quipements, quils soient identifis et valids ; Le dispositif d'authentification prend en charge les cls pr-partages symtriques et asymtriques, ainsi que les certificats numriques. Les connexions d'accs distance prennent en charge l'authentification des utilisateurs en utilisant le XAUTH court pour l'authentification tendue.

VI.

SSL (Secure Socket Layer) VPN :

Dans les chapitres prcdents, on as vu trois types de VPN (IPSec, L2TP, et PPTP). Tous les trois offrent une protection de la couche rseau. Cependant, linconvnient est qu'ils ncessitent quun logiciel spcial soit install sur la machine cliente, et la formation des utilisateurs sur la faon d'utiliser le logiciel. Certaines entreprises veulent une solution qui soit plus simple utiliser et plus facile entretenir que les trois quon vient de mentionner. Le Secure Socket Layer (SSL) a commenc comme un protocole de protection du trafic Web (HTTP) entre les dispositifs clients et les serveurs web. Normalement, il est utilis pour fournir une protection pour les achats en ligne et des informations d'identit confidentielle sur les sites de E-commerce. Toutefois, de nombreux fournisseurs de rseau ont optimis les capacits et l'utilisation du SSL pour mettre en uvre des solutions VPN. Un des principaux avantage est que le SSL VPN ne require aucun logiciel VPN install sur le poste de l'utilisateur ; le SSL VPN utilise un navigateur web pour connecter le client avec le serveur VPN. LUtilisation d'un navigateur web permet un utilisateur d'accder un site intranet en toute scurit depuis les quipements internes et externes.

10

Le reste de ce chapitre mettra l'accent sur l'utilisation du SSL pour les implmentations VPN.

1) Qu'est-ce qu'un SSL VPN?

SSL VPN est une des implmentations mergentes sur le march. Il a t conu pour les solutions d'accs distance et ne fournissent pas de connexions de site site. Le VPN SSL offre un accs scuris aux applications principalement bas sur le Web. Etant donn que le SSL utilise un navigateur Web, les utilisateurs n'ont gnralement pas utiliser de logiciel client spcifique sur leurs ordinateurs. VPN SSL fonctionne au niveau de la couche session du modle OSI. Et du fait que le client est un navigateur web, seules les applications qui prennent en charge un navigateur web peuvent utiliser cette solution VPN. Par consquent, des applications telles que Telnet, FTP, SMTP, POP3, tlphonie IP, le contrle de bureau distance, et d'autres ne peuvent fonctionner avec les SSL VPNs. Bien sr, beaucoup de vendeurs utilisent Java ou ActiveX pour amliorer les VPN SSL dans loptique de prendre en charge les applications non-HTTP, le POP3 et SMTP, et partage de fichiers et d'impression Microsoft Windows. Par exemple, le Cisco SSL VPN prend en charge les applications non-Web, tels que Citrix, Windows Terminal Services, et bien d'autres. Le Cisco VPN SSL est communment appel WebVPN .

2) Les Avantages du VPN SSL :

Les solutions VPN SSL sont idales pour les clients qui utilisent des navigateurs web pour interagir avec les applications d'une entreprise. Voici une brve liste des avantages du VPN SSL: Aucun logiciel supplmentaire ne doit tre install sur les postes des utilisateurs. On peut accder des applications en toute scurit depuis n'importe quel endroit, on na besoin que d'une machine munie un navigateur web. Une trs grande varit de navigateurs Web est prise en charge. Peu de formations sont ncessaires pour les utilisateurs (user friendly). Les utilisateurs peuvent gnralement tre authentifis grce plusieurs mthodes, y compris les mots de passe statiques, les certificats, ou les services d'annuaire. Avec les services d'annuaire, un unique processus de connexion est utilis pour lauthentification de l'utilisateur auprs de passerelle SSL, en plus de l'authentification auprs du service d'annuaire.

3) Inconvnients du SSL VPN :

Compte tenu de leurs avantages, les SSL VPN ont leurs limites et leurs inconvnients. Ce chapitre tudie quelques-uns d'entre eux. Les applications Web utilisent le port TCP : 80 pour 11

leurs connexions. Les connexions Web crypt SSL utilisent galement le protocole TCP, mais sur un port diffrent : le 443. En utilisant le protocole TCP, SSL a ces deux avantages: -Il peut dtecter les attaques par les messages par rejeu. -il protge les donnes utiles de la trame TCP, et donc le trafic engendr par une connexion SSL VPN peut traverser un dispositif NAT ou PAT. SSL utilise les numros de squence TCP pour dtecter et rejeter les messages dattaques par rejeu. Mme si elle peut remplir cette fonction, les VPN de la couche 3, comme IPsec, peuvent effectivement faire mieux. IPsec effectue ce processus au niveau de la couche rseaux, cependant le SSL les dtecte au niveau de la couche suprieure (la couche transport). Par consquent, lIPsec est plus efficace. TCP a un autre facteur limitatif: il est plus sensible aux attaques de dni de service (DoS). Par exemple, avec une connexion IPsec, qui utilise le protocole UDP, il est assez facile de se prmunir de ces attaques en examinant la signature numrique dans le paquet UDP. Cependant, avec le SSL et le TCP, c'est pire, car une attaque TCP SYN flood remplirait la table de session TCP sur l'appareil, ce qui peut engendrer une dfaillance du priphrique.

4) Les technologies du SSL VPN :

Comme la technologie SSL VPN est devenue plus avanc et a rapidement t dploye ces dernires annes, elle a attir l'attention des administrateurs rseau qui sont la recherche dune solution VPN daccs distant qui fournit un accs universel, avec un dploiement et une gestion faible cot. l'heure actuelle, aucune norme officielle n'existe pour les technologies de VPN SSL, divers fournisseurs utilisent leurs propres implmentations. Les VPN transportent le trafic priv sur des rseaux publics. Un VPN scuris doit donc satisfaire les exigences de base suivantes: LAuthentification garantit que l'entit VPN communique avec lquipement destine. elle peut s'appliquer soit un dispositif VPN ou un utilisateur VPN. Par exemple, dans un VPN d'accs distant, le priphrique VPN peut authentifier le PC de l'utilisateur afin de s'assurer que c'est bien le PC qui possde l'adresse IP qui est utilis pour se connecter au concentrateur. Le concentrateur peut galement authentifier l'utilisateur final qui utilise le PC pour bien attribuer des privilges sur la base d'informations de l'utilisateur. La confidentialit garantit la confidentialit des donnes par le cryptage ces dernires. L'intgrit du message garantit que le contenu des donnes n'a pas t altr pendant la transmission. a. Le hachage

12

Le hachage joue un rle important dans un systme de scurit en assurant l'intgrit du message transmis. Un algorithme de hachage transforme un champ de texte de longueur variable dans une chane de taille fixe. Les algorithmes de hachage utiliss dans un systme de scurit ont les deux proprits suivantes: Un mcanisme de hachage sens unique: Cela signifie que, compte tenu de la sortie de hachage, il est par consquent difficile d'inverser la fonction de hachage pour obtenir le message original. Sortie sans collision: Cela signifie que pour un algorithme de hachage, ce calcul est impossible de trouver deux donnes qui ont le mme hachage de sortie. Jusqu' prsent, les algorithmes les plus couramment utiliss pour le hachage cryptographique ont t le Message Digest Algorithm 5 (MD5) et le Secure Hash Algorithm 1 (SHA-1). Ces deux lments ont t conus pour un travail sens unique et sans collision dalgorithmes de hachage. MD5 permet un encodage 128-bit, et SHA-1 160-bit. En raison de sa grande taille, SHA-1 est normalement considr comme plus sr, mais son calcul est plus couteux, que le MD5. Avec le matriel et la mise en uvre des logiciels des rseaux d'aujourd'hui, la diffrence de performance n'est gnralement pas une relle proccupation. Par consquent, SHA-1 est l'algorithme de hachage prfr pour une utilisation dans un dploiement SSL VPN. b. Le cryptage : Les algorithmes de cryptage transforment un texte clair en texte chiffr illisible. Diffrent du hachage, les algorithmes de chiffrement ncessitent des cls pour le chiffrement et le dchiffrement. Deux principaux types d'algorithmes de chiffrement existent : Le cryptage symtrique : utilise la mme cl pour le chiffrement et le dchiffrement. Il est galement appel cryptage cl secrte. Les algorithmes symtriques sont normalement utiliss pour crypter le contenu d'un message. Deux principaux types d'algorithmes de chiffrement symtrique existent : Le cryptage de Stream (en continu), comme le RC4. Le cryptage par blocs, tels que : DES, Triple DES (3DES) et Advanced Encryption Standard (AES).

Le cryptage asymtrique: est lutilisation des diffrentes cls pour le chiffrement et le dchiffrement. Le chiffrement asymtrique est aussi appele cryptage cl publique. Un systme de chiffrement asymtrique est compos de deux cl de calculs associs. Une, connue dans le domaine public, est appele la cl publique, l'autre nest connue que par le propritaire de la paire des cls. Selon l'utilisation des paires de cls publiques et prives, les algorithmes asymtriques peut tre utilise des fins de chiffrement ou d'authentification. Parce que les algorithmes symtriques sont beaucoup plus rapides que les algorithmes asymtriques, la certification numrique ou de gestion des cls est plus couramment utilise pour le chiffrement des donnes que les algorithmes asymtriques. Les exemples populaires des algorithmes asymtriques sont Diffie-Hellman (DH) algorithmes et Rivest, Shamir et Adelman (RSA). 13

c. Signatures numriques et certification numrique : L'authentification et l'intgrit sont des proprits importantes pour les VPN scuriss. Il s'agit notamment de lauthentification de l'entit, de l'origine des donnes, de l'intgrit et la nonrpudiation. Les signatures numriques et les certificats fournissent un systme de confiance volutif. La signature numrique se rfre l'action du chiffrage du hachage des donnes l'aide des cls prives de lexpditeur. Le rsultat est appele une signature numrique. La signature peut tre facilement vrifie a laide de la cl publique correspondante qui est disponible dans le domaine public. Un certificat numrique est essentiellement une liaison entre l'identit d'un utilisateur et sa cl publique. Les certificats numriques sont mis par une entit trangre appele autorit de certification (CA), qui permet dassurer la confiance et l'authenticit du certificat.

5) Les tapes principales dune connexion SSL :

Cette section porte sur les messages et les oprations ncessaires pour tablir une connexion SSL. On dcrira comment les diffrents lments voqus jusqu'ici (algorithmes cryptographiques et les protocoles SSL) travaillent ensemble pour tablir une connexion SSL. Les protocoles Handshake SSL sont utiliss pour que le client et le serveur SSL tablissent la connexion. Les principales tapes de ce processus sont les suivantes: Des fonctions de scurit Ngociante : Cette version gre les protocoles et les suites de chiffrement. Lauthentification : Le client authentifie le serveur. facultativement, le serveur peut galement authentifier les clients. Lchange de cls : les deux parties changent des cls ou des informations qui sont ncessaires pour gnrer les cls principales. Le dtournement de Cls : Les deux parties dtournent la cl principale qui est ensuite utilis pour gnrer des cls utilises pour le chiffrement des donnes.

14

Figure 3 : Handshake SSL

6) Les mthodes d'accs utilis par SSL VPN:

Reverse-proxy : Le reverse-proxy est base sur la mthode d'accs est la plus courante pour les utilisateurs. Seul un nombre limit d'applications qui peuvent tre utiliss par le Web sont pris en charge. Il s'agit normalement d'applications WEB e-mail comme par exemple le Microsoft OWA (Outlook Web Access). Jusqu' ces dernires annes, ce fut la cause principale pour l'utilisation de SSL VPN. Redirection de port : cette mthode peut tre utilise pour donner un accs aux partenaires d'affaires ou entrepreneurs qui ont besoin d'accder un nombre trs limit d'applications client/serveur qui ne sont pas adapt au web. Cependant, la plupart de ces solutions ne prennent pas en charge les donnes TCP et ne peuvent supporter les applications qui utilisent des types de protocoles tels que lUDP ou lICMP. En outre, la plupart dentre elles ne peuvent supporter les applications rseau qui utilisent les plages dadresses dynamiques des ports TCP, telles que la VoIP, la messagerie instantane et le NetMeeting. Tunnel client : galement connu sous le nom d'un client VPN SSL complet. Il est similaire un client VPN IPSec standard, mais toutes les donnes sont envoyes via le protocole SSL. tablir une connexion se fait donc sans la ncessit de dployer une 15

application client ou un agent sur l'ordinateur distant. Les tunnels peuvent tre utiliss pour aider les utilisateurs qui ont besoin de pouvoir accder des ressources intgrales. En raison des exigences de privilges d'utilisateur et la nature de l'accs au rseau complet, les clients du tunnel ne devraient tre dploys sur les systmes des utilisateurs corporatifs, tels que les ordinateurs portables de travail.

7) Les produits Cisco VPN SSL :

Cisco Systems a introduit la notion SSL VPN dans sa ligne de produits concentrateur VPN 3000. En mi 2005, Cisco a prsent la srie 5500 Adaptive Security Appliance (ASA) pour fournir une solution de scurit complte pour les entreprises, qu'il s'agisse d'un pare-feu, VPN, systme de prvention d'intrusion (IPS), systme de dtection d'intrusion (IDS), ou mme de filtrage du contenu. Pour apporter une solution VPN complte, Cisco a implant toutes les fonctionnalits spcifiques du VPN de la ligne des produits VPN 3000 dans ses produits ASA. En outre, un nombre significatif de IPsec et SSL VPN caractristiques ont galement t introduits dans la gamme de produits ASA. Cisco offre actuellement la fonctionnalit SSL VPN (WEBVPN) dans un certain nombre de ses produits : Concentrateur Cisco VPN 3000 sries Cisco ASA 5500 sries Cisco VPN routeurs

Et pour fournir une solution VPN SSL complte pour les entreprises, Cisco propose galement un certain nombre d'applications et produits : Cisco AnyConnect VPN client Cisco Security Device Manager (SDM) Cisco Adaptive Security Device Manager (ASDM) Cisco Security Manager (CSM)

En outre, Cisco a introduit la fonctionnalit SSL VPN dans la quasi-totalit de ses IOS ligne de produits routeurs. Sept routeurs Cisco IOS supportent le WEBVPN : Cisco 870 sries Cisco 1800 sries Cisco 2800 sries Cisco 3700 sries Cisco 3800 sries Cisco 7200 sries (IOS utilis dans la mise en uvre technique) Cisco 7300 sries

16

Le support de SSL VPN dans la large gamme de produits IOS peut permettre toute entreprise, qu'il s'agisse de petites ou moyennes, de fournir un accs VPN distance peu onreux et robuste dans son infrastructure rseaux.

17

Partie Pratique :
Une connexion VPN tend la limite physique des rseaux. Les ordinateurs qui ont accs un VPN peuvent potentiellement accder toutes les ressources du rseau priv, comme s'ils taient physiquement connects. Cela permet des travailleurs, des consultants, des fournisseurs externes de se connecter au rseau de l'entreprise partir de n'importe quel endroit sur la terre, et d'effectuer leur travaux distance. Le nombre de connexions VPN simultanes n'est limit que par la bande passante du rseau public et les performances du serveur/appareil VPN. Le VPN fournit le cryptage des donnes et des mesures de scurit supplmentaires pour s'assurer que seuls les utilisateurs autoriss ont accs au rseau et ses donnes. Le trafic est crypt dans les deux sens pendant qu'il parcourt le rseau public. VPN est une mthode scurise qui permet un accs distant aux utilisateurs d'un rseau priv (et dans la plupart des cas - moins cher et plus rapide que les anciennes connexions dial-up), les VPN sont gnralement utiliss dans les cas o les utilisateurs doivent avoir un accs distance scuris aux ressources rseau qui n'a pas pu tre consult par tout autre moyen. Par exemple, les VPN permettent distant aux administrateurs de diagnostiquer et de rsoudre les problmes et effectuer des tches de gestion du rseau prive.
Tltravailleurs

LAN PRIVEE

Routeur avec acces VPN Administrattion distant

ACCES MOBILE

18

VII.

Mise en uvre technique :

Dans lIOS ver. 12.3 (14) T Cisco introduit la fonctionnalit Cisco VPN SSL, baptise WebVPN. Cette fonctionnalit permet de configurer un routeur pour mettre en fonction user-based VPN SSL. En d'autres termes, un routeur avec WebVPN configur, est en gros un proxy web scuris. Les exigences bureau de l'utilisateur sont essentiellement : La prise en charge du SSL navigateur: Internet Explorer, Netscape, Mozilla, ou FireFox. Sun Microsystems Java Runtime (pour la redirection de port, ou Client lger). En outre, il support les services client e-mail: Microsoft Outlook, Netscape Mail, ou Eudora.

Le VPN SSL utilisent une formule pour le transport des donnes prives travers le rseau Internet public. Au lieu de s'en remettre l'utilisateur final d'avoir un logiciel configure et scurise sur son ordinateur, SSL VPN utilise SSL/HTTPS qui est un mcanisme de transport scuris intgr tous les navigateurs Web standard. Avec le VPN SSL, la connexion entre l'utilisateur et la ressource interne se produit via une connexion HTTPS au niveau de la couche application.

19

1) Configuration requis :
Cette mise en uvre technique dcrit comment configurer Cisco SSL VPN sur les routeurs Cisco IOS ver. 12.4(2) T2. Le laboratoire est construit sur Dynamips 7200 simulateur dans GNS3 (voire annexe page 38).

La topologie utilise est la suivante :

Le dmarrage de Dynamips 7200 simulateur :

20

La configuration des interfaces et du TELNET :

21

2) WebVPN installation :
L'installation et la maintenance/suivi des connexions sur les routeurs IOS WebVPN n'est pas difficile. Les tapes suivantes rsument ce processus: tape 1 : Configuration Pralables: AAA, DNS, et les certificats. tape 2 : Configuration du WebVPN. tape 3 : Cration d'URL et redirections des Ports Entres pour la page d'accueil (en option, mais recommand). tape 4 : Le maintien, la surveillance et le dpannage des connexions WebVPN.

Dans les sections suivantes, je vais discuter les commandes ncessaires pour effectuer les tapes ci-dessus. a. La configuration Pralables : Avant de commencer la configuration WebVPN sur votre routeur, vous aurez besoin pour effectuer certaines tches pralables qui sont ncessaires pour le WebVPN. Il s'agit notamment de: Mise en place d'AAA pour authentifier les utilisateurs WebVPN. Mise en place DNS pour rsoudre les informations de nom d'URL. Obtention d'un certificat SSL pour le routeur. Les paragraphes qui suivent expliquent ces tches de manire plus approfondie. b. AAA Configuration : Lorsque les utilisateurs veuillent accder au routeur WebVPN, ils doivent s'authentifier pour que le VPN SSL soit tablie. Le nom d'utilisateur et le mot de passe peut tre situ localement sur le routeur ou dfinis sur un serveur AAA en utilisant soit le TACACS + ou RADIUS protocoles de scurit. Voici un aperu des commandes:

22

Si vous spcifiez local comme mthode d'authentification pour la connexion de commande aaa authentification, le routeur va chercher les noms d'utilisateur dfini par la commande username sur le routeur. Si vous spcifiez group TACACS + ou group RADIUS, vous aurez besoin de configurer un serveur AAA (le TACACS-serveur et serveur radius-commandes, respectivement).

c. Configuration DNS Le DNS est ncessaire pour le WebVPN : Pour gnrer une paire de cls RSA pour protger les connexions SSL. Pour rsoudre les noms dans les URL (rappelez-vous que le routeur agit comme un proxy web).

La configuration du DNS :

La commande ip domain-name est ncessaire pour gnrer des cls RSA sur le routeur qui sera utilis pour le certificat SSL. La commande ip name-server vous permet de spcifier jusqu' six serveurs DNS que le routeur peut utiliser pour rsoudre les noms de domaine complets.

d. Configuration certificat SSL Pour utiliser SSL, le routeur WebVPN a besoin d'un certificat: les cls sur le certificat sont utilises pour protger les donnes entre le bureau de l'utilisateur et le routeur. Il ya deux faons pour obtenir un certificat du routeur:

23

Obtenir un certificat d'un CA Crer un certificat auto-sign

Dans cette section, jai configur un certificat auto-sign, ce qui implique les commandes suivantes:

Comme vous pouvez le voir sur les commandes ci-dessus, cette procdure est identique l'obtention d'un certificat d'un CA. La commande crypto ca trustpoint spcifie un point de confiance ; pour un certificat auto-sign, le routeur lui-mme est un trustpoint: donc, le nom donn n'a pas d'importance. Cependant, Cisco recommande gnralement lutilisation de "SSLVPN," parce que c'est le trustpoint par dfaut qui utilise WebVPN. La commande enrollment selfsigned prcise que le routeur obtient un certificat d'lui-mme. La commande subject-name spcifie les lments tre mis sur le certificat. La commande rsakeypair spcifie une tiquette de cl utiliser pour les cls RSA et le module utiliser lors de la cration de la signature et les cls de chiffrement. Lorsque vous gnrez votre certificat auto-sign avec la commande crypto pki enroll, le routeur gnre la paire de cls RSA et le certificat auto-sign.

Une fois cela fait, vous pouvez utiliser les commandes daffichage show crypto key mypubkey rsa pour afficher les deux paires de cls cr ; et show crypto ca certificates pour afficher le certificat auto-sign qui a t gnr.

24

3) Commandes IOS pour activer la fonctionnalit WEBVPN

Une fois votre certificat import, nous allons pouvoir configurer la fonctionnalit WebVPN proprement parl.

La commande WebVPN enable permet dactiver les services WebVPN sur le routeur. En option, vous pouvez spcifier une adresse IP sur le routeur qui terminera la connexion

25

WebVPN, sinon, le routeur acceptera les sessions WebVPN sur l'une de ses adresses IP configures

La commande WebVPN passe en mode de sous-commande WebVPN on peut configurer les paramtres d'interaction avec le client et la page d'accueil WebVPN. La commande ssl trustpoint spcifie le trustpoint qui a le certificat du routeur WebVPN utilisable. Pour les certificats auto-signs, si on avait spcifi le nom trustpoint comme SSLVPN, il n'est pas ncessaire de prciser les trustpoint en mode sous-commande. La commande de cryptage SSL spcifie le chiffrement des paquets et l'algorithme d'authentification utiliser. Par dfaut, les algorithmes spcifis dans la commande ci-dessus sont activs dans l'ordre indiqu. Avec la commande de cryptage SSL, vous pouvez modifier l'ordre des algorithmes ou les algorithmes utiliser. La commande title permet de crer un titre pour la page d'accueil qui apparat une fois un utilisateur s'authentifie. Le titre peut contenir jusqu' 255 caractres; si le titre nest pas dfinie, il est par dfaut "WebVPN service". title-color spcifie la couleur de la barre de titre doit tre, par dfaut, il est violet. La valeur est limite 32 caractres. La commande text-color indique la couleur du texte dans la barre de titre doit tre mis sur la page d'accueil WebVPN. Cela peut tre noir ou blanc. La commande secondary-color Spcifie la couleur que les barres de titre secondaire devraient tre sur la page d'accueil WebVPN. La commande secondary-text-color spcifie la couleur du texte dans les barres de titre secondaire; si vous omettez cette commande, la valeur par dfaut est la couleur au noir. La commande login-message spcifie une position qui apparat au-dessus du nom d'utilisateur et du mot de passe. Le message de connexion peuvent tre jusqu' 255 caractres, il est par dfaut "Please enter your username and password." La commande idle-timeout spcifie le nombre de secondes pour maintenir la session WebVPN ouvert. P.S : Les commandes WebVPN enable et WebVPN sont les deux seuls ncessaires pour permettre WebVPN sur votre routeur, en supposant que le trustpoint est appel "SSLVPN."

Enfin, la commande port-forward list telnet local-port 60001 remote-server 192.168.1.3 remote-port 23 est configur pour le Telnet. Dans ce cas, lorsqu'un utilisateur clique sur le bouton Dmarrer Application Access" lien hypertexte, la fentre de transfert de port s'ouvre. Il indique l'adresse IP relle et le numro de port, l'utilisateur doit telnet, d'accder Telnet sur le serveur distant. Dans cet exemple, si l'utilisateur telnets 127.0.0.1 sur le port 60001, le code JavaScript WebVPN JavaScript redirects renvoi la requte vers le serveur relle (192.168.1.3) sur le port 23. 26

4) Test de fonctionnalit (navigation Web) :

J'ai utilis Firefox pour tester la fonctionnalit WebVPN. Jai entr "http://10.0.0.1/" dans la barre d'adresse.

Le navigateur WEB indique que le site est non fiable. Joblige le navigateur accder au site.

27

Le navigateur me donne la possibilit de tlcharger le certificat prconfigur dans le routeur WEBVPN. Aprs lauthentification du certificat, la page d'accueil WebVPN saffiche

28

Jentre mon login et mots de passe configurer dans le serveur AAA (dans notre cas le routeur lui-mme) TEST ; 1234

29

Maintenant, jai succder laccs au WEBVPN.

30

5) Vrification de fonctionnalit (WIRESHARK) :

Jai utilis WIRESHARK pour la capture du trafic entre lordinateur distant et le routeur

N 63 : le dbut de lenvoi des packet SSL.

Voila on dtaille la certificat comme il est dfinie par WIRESHARK (N65 ) :

31

32

On peut remarquer dans le certificat le nom du DNS router.ifiag.com lalgorithme utilis pour le cryptage RSA la cl publique du routeur, la cl dauthentification etc.

33

PLANING du travail :

34

CONCLUSION :

Ce rapport vous a montr les rudiments de la mise en place d'un routeur avec un service d'accs distance WebVPN. Normalement, les routeurs ne sont pas utiliss comme serveurs VPN facile, car la configuration est complexe et les 3000 VPN concentrateurs et PIX et ASA security appliances sont plus renforc sur les capacits d'accs distant. Toutefois, il existe de nombreux cas o les routeurs sont utiliss comme dispositifs Remote VPN. La dernire partie du rapport traite d'une nouvelle fonctionnalit sur les routeurs: WebVPN. Grce cette fonctionnalit, vous pouvez configurer trs basique VPN SSL pour les routeurs Cisco.

35

WEBOGRAPHIE :
http://www.ciscopress.com/articles/article.asp?p=606584&seqNum=4 http://www.realexam.net/ http://www.gns3.net/ http://www.gns3-labs.com http://www.internet-computer-security.com

BIBLIOGRAPHIE:
The Complete Cisco VPN Configuration Guide; By Richard Deal

Cisco IOS Cookbook, 2nd Edition; By Kevin Dooley, Ian Brown

Les Rseaux - 6me Ed - Eyrolles

36

GLOSSAIRE:
VPN = virtual private network SSL = Secure Sockets Layer WAN = Wide Area Network IPSec = internet protocol security L2TP = Layer 2 Tunneling Protocol. DES = Data Encryption Standard AES = Advanced Encryption Standard MD5 = Message-Digest algorithm 5 SHA = Secure Hash Algorithm FAI = Fournisseur d'Accs Internet RNIS = rseau numrique intgration de services xDSL = x Digital Subscriber Line LS = Lignes Spcialises RLE = run-length encoding OSI = Open Systems Interconnection PPTP = Point-to-Point Tunneling Protocol GRE = General Routing Encapsulation ISDN = Integrated Services Digital Network EAP = Extensible Authentication Protocol CHAP = Challenge Handshake Authentication Protocol HMAC = Hash-based Message Authentication Code XAUTH = X Authentication NAT = Network Address Translation

37

ANNEXE:
GNS3 est un simulateur d'quipements Cisco. Cet outil permet donc de charger de vritable IOS Cisco et de les utiliser en simulation complte sur un simple ordinateur. Pour caractriser, GNS3 permet d'avoir un routeur Cisco virtuel sur son ordinateur. A noter simplement que GNS3 ne fournit pas d'IOS, il faut se les procurer l'aide d'un compte Cisco CCO par exemple. Afin de permettre des simulations compltes, GNS3 est fortement li avec: Dynamips, un mulateur d'image IOS qui permet de lancer des images binaires IOS provenant de Cisco Systems. Dynagen, une interface en mode texte pour Dynamips. GNS3 est un logiciel libre qui fonctionne sur de multiples plateformes, incluant Windows, Linux, et MacOS X. Il y a 4 plateformes supportes actuellement: C2600 (2610, 2611, 2620, 2621, 2610XM, 2611XM, 2620XM, 2621XM, 2650XM, 2651XM, 2691) C3600 (3620, 3640, 3660) C3700 (3725, 3745) C7200 GNS3 n'mule pas encore de switch Catalyst, mais il semblerait qu'avec l'aide de Cisco, rien ne soit impossible.

38