SECURIDAY 2013 Cyber War

Transcription

1 Club de la Sécurité Informatique à l INSAT Dans le cadre de la 3ème édition de la journée nationale de la sécurité informatique SECURIDAY 2013 Cyber War SECURINETS IPsec VPN Présente Formateurs: 1. soumaya KEBAILI 2. sonia MEJBRI 3. feten MKACHER 4. mohamed yessine BEN AMMAR 5. ismail KABOUBI 6.oussema NEJI

2 Table des matières IPsec VPN... 1 I. Présentation de l atelier :... 1 i. introduction générale :... 1 ii. Les services offerts par IPsec :... 2 II. Présentation des outils utilisés :... 6 i. GNS ii. SDM :... 7 iii. Wireshark :... 7 iv. FileZilla:... 8 III. Topologie du réseau :... 9 IV. Configuration des outils :... 9 i. ajout de la carte de bouclage :... 9 ii. configuration du SDM : iii. configuration des routeurs : iv. Configuration du VPN site à site: V. Un scénario de test: VI. Conclusion : Page1

3 I. Présentation de l atelier : i. introduction générale : Les tunnels VPN sont utilisés pour permettre la transmission sécurisée de données, voix et vidéo entre deux sites (bureaux ou succursales). Un réseau Vpn repose sur un protocole appelé "protocole de tunneling". Ce protocole permet de faire circuler les informations de l'entreprise de façon cryptée d'un bout à l'autre du tunnel pour assurer la confidentialité des données transmises entre les deux sites. Ainsi, les utilisateurs ont l'impression de se connecter directement sur le réseau de leur entreprise. Le principe de tunneling consiste à construire un chemin virtuel après avoir identifié l'émetteur et le destinataire. Par la suite, la source chiffre les données et les achemine en empruntant Ce chemin virtuel. Afin d'assurer un accès aisé et peu coûteux aux intranets ou aux extranets d'entreprise, les réseaux privés virtuels d'accès simulent un réseau privé, alors qu'ils utilisent en réalité une infrastructure d'accès partagée, comme Internet. Les données à transmettre peuvent être prises en charge par un protocole différent d'ip. Dans Ce cas, le protocole de tunneling encapsule les données en ajoutant une en-tête. Le tunneling est l'ensemble des processus d'encapsulation, de transmission et de désencapsulation. Pour être considéré comme sécurisé, un VPN doit respecter les concepts de sécurité suivants: - Confidentialité: Les données ne peuvent pas être vues dans un format lisible. Algorithmes typiques de chiffrement symétrique: DES, 3DES, AES, Blowfish - Intégrité: Les données ne peuvent pas être modifiées. Algorithmes typiques de hachage: sha1, md5 - Authentification: Les passerelles VPN s'assurent de l'identité de l'autre. Algorithmes typiques: RSA, DH Page1

4 Les deux types de VPN chiffrés sont les suivants : VPN IPsec de site à site : Cette alternative aux réseaux étendus à relais de trames ou à ligne allouée permet aux entreprises d'étendre les ressources réseau aux succursales, aux travailleurs à domicile et aux sites de leurs partenaires. VPN d'accès distant : Ce type de VPN étend presque n'importe quelle application vocale, vidéo ou de données au bureau distant, grâce à une émulation du bureau principal. Les protocoles de tunnelisation: L2F : développé par Cisco, il est désormais quasi-obsolète. PPTP : développé par Microsoft. L2TP : est l'aboutissement des travaux de l'ietf (RFC 3931) pour faire converger les fonctionnalités de PPTP et L2F. Il s'agit d'un protocole de niveau 2 s'appuyant sur PPP. Editer le fichier «services» sur «C:\Windows\System32\drivers\etc» pour voir les ports TCP/UDP de chaque protocole ii. Les services offerts par IPsec : Le protocole " IPsec" est l'une des méthodes permettant de créer des VPN (réseaux privés virtuels), c'est-à-dire de relier entre eux des systèmes informatiques de manière sûre en s'appuyant sur un réseau existant, lui-même considéré comme non sécurisé. Le terme sûr a ici une signification assez vague, mais peut en particulier couvrir les notions d'intégrité et de confidentialité. L'intérêt majeur de cette solution par rapport à d'autres techniques (par exemple les tunnels SSH) est qu'il s'agit d'une méthode standard (facultative en IPv4, mais obligatoire en IPv6), mise au point dans ce but précis, décrite par différentes RFCs, et donc interopérable. Quelques avantages supplémentaires sont l'économie de bande passante, d'une part parce que la compression des en-têtes des données transmises est prévue par ce standard, et d'autre part parce que celui-ci ne fait pas appel à de trop lourdes techniques d'encapsulation, comme par exemple les tunnels PPP sur lien SSH. Il permet également de protéger des protocoles de bas niveau comme ICMP et IGMP, RIP, etc... Page2

5 IPsec présente en outre l'intérêt d'être une solution évolutive, puisque les algorithmes de chiffrement et d'authentification à proprement parler sont spécifiés séparément du protocole luimême. Elle a cependant l'inconvénient inhérent à sa flexibilité : sa grande complexité rend son implémentation délicate. Les différents services offerts par le protocole IPsec sont ici détaillés. Les manières de les combiner entre eux que les implémentations sont tenues de supporter sont ensuite présentées. Les moyens de gestion des clefs de chiffrement et signature sont étudiés et les problèmes d'interopérabilité associés sont évoqués. Enfin, un aperçu rapide de quelques implémentations IPsec, en s'intéressant essentiellement à leur conformité aux spécifications est donné. AH (authentication header) : AH est le premier et le plus simple des protocoles de protection des données qui font partie de la spécification IPsec. Il est détaillé dans la Rfc Il a pour vocation de garantir : L'authentification : les datagrammes IP reçus ont effectivement été émis par l'hôte dont l'adresse IP est indiquée comme adresse source dans les en-têtes. L'unicité (optionnelle, à la discrétion du récepteur) : un datagramme ayant été émis légitimement et enregistré par un attaquant ne peut être réutilisé par ce dernier, les attaques par rejeu sont ainsi évitées. L'intégrité : les champs suivants du datagramme IP n'ont pas été modifiés depuis leur émission : les données (en mode tunnel, ceci comprend la totalité des champs, y compris les en-têtes, du datagramme IP encapsulé dans le datagramme protégé par AH), version (4 en IPv4, 6 en IPv6), longueur de l'en-tête (en IPv4), longueur totale du datagramme (en IPv4), longueur des données (en IPv6), identification, protocole ou en-tête suivant (ce champ vaut 51 pour indiquer qu'il s'agit du protocole AH), adresse IP de l'émetteur, adresse IP du destinataire (sans source routing). En outre, au cas où du source routing serait présent, le champ adresse IP du destinataire a la valeur que l'émetteur a prévu qu'il aurait lors de sa réception par le destinataire. Cependant, la valeur que prendront les champs type de service (IPv4), indicateurs (IPv4), index de fragment (IPv4), TTL (IPv4), somme de contrôle d'en-tête (IPv4), classe (IPv6), flow label (IPv6), et hop limit (IPv6) lors de leur réception n'étant pas prédictible au moment de l'émission, leur intégrité n'est pas garantie par AH. L'intégrité de celles des options IP qui ne sont pas modifiables pendant le transport est assurée, celle des autres options ne l'est pas. Attention, AH n'assure pas la confidentialité : les données sont signées mais pas chiffrées. Enfin, AH ne spécifie pas d'algorithme de signature particulier, ceux-ci sont décrits séparément, cependant, une implémentation conforme à la Rfc 2402 est tenue de supporter les algorithmes MD5 et SHA-1. ESP (encapsulating security payload) ESP est le second protocole de protection des données qui fait partie de la spécification IPsec. Il est détaillé dans la Rfc Contrairement à AH, ESP ne protège pas les en-têtes des datagrammes IP Page3

6 utilisés pour transmettre la communication. Seules les données sont protégées. En mode transport, il assure : La confidentialité des données (optionnelle) : la partie donnée des datagrammes IP transmis est chiffrée. L'authentification (optionnelle, mais obligatoire en l'absence de confidentialité) : la partie données des datagrammes IP reçus ne peut avoir été émise que par l'hôte avec lequel a lieu l'échange IPsec, qui ne peut s'authentifier avec succès que s'il connaît la clef associée à la communication ESP. Il est également important de savoir que l'absence d'authentification nuit à la confidentialité, en la rendant plus vulnérable à certaines attaques actives. L'unicité (optionnelle, à la discrétion du récepteur). L'integrité : les données n'ont pas été modifiées depuis leur émission. En mode tunnel, ces garanties s'appliquent aux données du datagramme dans lequel est encapsulé le trafic utile, donc à la totalité (en-têtes et options inclus) du datagramme encapsulé. Dans ce mode, deux avantages supplémentaires apparaissent: Une confidentialité, limitée, des flux de données (en mode tunnel uniquement, lorsque la confidentialité est assurée) : un attaquant capable d'observer les données transitant par un lien n'est pas à même de déterminer quel volume de données est transféré entre deux hôtes particuliers. Par exemple, si la communication entre deux sous-réseaux est chiffrée à l'aide d'un tunnel ESP, le volume total de données échangées entre ces deux sous-réseaux est calculable par cet attaquant, mais pas la répartition de ce volume entre les différents systèmes de ces sous-réseaux. La confidentialité des données, si elle est demandée, s'étend à l'ensemble des champs, y compris les en-têtes, du datagramme IP encapsulé dans le datagramme protégé par ESP). Enfin, ESP ne spécifie pas d'algorithme de signature ou de chiffrement particulier, ceux-ci sont décrits séparément, cependant, une implémentation conforme à la Rfc 2406 est tenue de supporter l'algorithme de chiffrement DES en mode CBC, et les signatures à l'aide des fonctions de hachage MD5 et SHA-1. Implantation d'ipsec dans le datagramme IP La figure 1 montre comment les données nécessaires au bon fonctionnement des formats AH et ESP sont placées dans le datagramme IPv4. Il s'agit bien d'un ajout dans le datagramme IP, et non de nouveaux datagrammes, ce qui permet un nombre théoriquement illimité ou presque d'encapsulations IPsec : un datagramme donné peut par exemple être protégé à l'aide de trois applications successives de AH et de deux encapsulations de ESP. La gestion des clefs pour Ipsec : Isakmp et Ike Les protocoles sécurisés présentés dans les paragraphes précédents ont recours à des algorithmes cryptographiques et ont donc besoin de clefs. Un des problèmes fondamentaux d'utilisation de la Page4

7 cryptographie est la gestion de ces clefs. Le terme "gestion" recouvre la génération, la distribution, le stockage et la suppression des clefs. IKE (Internet Key Exchange) est un système développé spécifiquement pour Ipsec qui vise à fournir des mécanismes d'authentification et d'échange de clef adaptés à l'ensemble des situations qui peuvent se présenter sur l'internet. Il est composé de plusieurs éléments : le cadre générique Isakmp et une partie des protocoles Oakley et Skeme. Lorsqu'il est utilisé pour Ipsec, IKE est de plus complété par un "domaine d'interprétation" pour Ipsec. Isakmp (Internet Security Association and Key Management Protocol) Isakmp a pour rôle la négociation, l'établissement, la modification et la suppression des associations de sécurité et de leurs attributs. Il pose les bases permettant de construire divers protocoles de gestion des clefs (et plus généralement des associations de sécurité). Il comporte trois aspects principaux : Il définit une façon de procéder, en deux étapes appelées phase 1 et phase 2 : dans la première, un certain nombre de paramètres de sécurité propres à Isakmp sont mis en place, afin d'établir entre les deux tiers un canal protégé ; dans un second temps, Ce canal est utilisé pour négocier les associations de sécurité pour les mécanismes de sécurité que l'on souhaite utiliser (AH et Esp par exemple). Il définit des formats de messages, par l'intermédiaire de blocs ayant chacun un rôle précis et permettant de former des messages clairs. Il présente un certain nombre d'échanges types, composés de tels messages, qui permettant des négociations présentant des propriétés différentes : protection ou non de l'identité, perfect forward secrecy... Isakmp est décrit dans la Rfc Ike (Internet Key Exchange) IKE utilise Isakmp pour construire un protocole pratique. Il comprend quatre modes : Le mode principal (Main mode) Le mode agressif (Aggressive Mode) Le mode rapide (Quick Mode) Le mode nouveau groupe (New Groupe Mode) Main Mode et Aggressive Mode sont utilisés durant la phase 1, Quick Mode est un échange de phase 2. New Group Mode est un peu à part : Ce n'est ni un échange de phase 1, ni un échange de phase 2, mais il ne peut avoir lieu qu'une fois qu'une SA Isakmp est établie ; il sert à se mettre d'accord sur un nouveau groupe pour de futurs échanges Diffie-Hellman. Page5

8 II. Présentation des outils utilisés : Dans l atelier qui suit on va voir comment configurer un tunnel VPN site à site et utiliser le logiciel SDM pour visualiser son état via une interface graphique. Pour cela nous avons besoin des logiciels suivants : i. GNS3 Le logiciel GNS3 est en fait une interface graphique pour l outil sous-jacent Dynamips qui permet l émulation de machines virtuelles Cisco. Il est nécessaire d insister sur le terme émulation, dans la mesure où ces machines s appuient sur les véritables IOS fournis par Cisco et leur confèrent donc l intégralité des fonctionnalités originales. Ce logiciel peut donc être opposé à PacketTracer, qui est un simulateur fourni par Cisco dans le cadre de son programme académique, et qui est donc limité aux seules fonctionnalités implémentées par les développeurs du logiciel. Les performances des machines ainsi créées ne sont bien entendu pas équivalentes à celles des machines physiques réelles, mais elles restent amplement suffisantes pour mettre en œuvre des configurations relativement basiques et appréhender les concepts de base des équipements Cisco. A l heure actuelle, seules certaines plateformes de routeurs sont émulées ainsi que les plateformes PIX et ASA qui sont les Firewalls de la gamme Cisco. De simples commutateurs Ethernet sont émulés, et permettent notamment l interconnexion du Lab virtuel ainsi crée avec un réseau physique Page6

9 Cette solution pourra donc être choisie pour la mise en place de labos virtuels, notamment dans le cadre de la préparation des premières certifications Cisco telles que le CCNA, mais nécessitera une machine avec de bonnes ressources pour émuler plusieurs équipements en simultané.pour tout autre renseignement sur le produit ou son téléchargement, vous pouvez vous rendre directement sur la page Concernant les IOS, il vous faudra un compte CCO pour télécharger les IOS souhaités depuis le site de Cisco. ii. SDM : Le Security Device Manager Cisco (SDM) est un dispositif intuitif, basé sur les Outils web de gestion intégrée dans les routeurs d'accès Cisco IOS. Cisco SDM simplifie l'utilisation des routeur s et la configuration de la sécurité grâce à des assistants intelligents, permettant aux clients déployer configurer et surveiller un routeur d'accès Cisco,rapidement et facilement, nécessitant pas des connaissances du logiciel d'interface de ligne de commande Cisco IOS (CLI). Cisco SDM permet aux utilisateurs de configurer facilement Cisco IOS fonctions de sécurité logicielles sur Cisco et accéder à des routeurs sur une base par appareil de l'appareil, tout en permettant une gestion proactive par la surveillance des performances. Pour le déploiement d'un nouveau routeur ou l'installation de Cisco SDM sur un routeur existant, les utilisateurs peuvent désormais configurer et surveiller à distance Cisco 830, 1700, 2600XM, 3600 et 3700 routeurs de la gamme sans utiliser le logiciel Cisco IOS de l'interface de ligne de commande(cli). Le logiciel Cisco IOS CLI est un moyen efficace de configuration du routeur, mais nécessite une grand niveau de compétence et d'expertise. iii. Wireshark : WireShark (anciennement Ethereal) est un outil d'analyse des trames réseau. L'application a été renommée car le développeur principal a changé de société : le nom Ethereal appartient à sa société précédente, il n'a donc pu continuer le projet sous le même nom... Page7

10 Wireshark est un analyseur multi plateformes de protocoles réseaux ou «packet sniffer» classique. Son utilité principale est d'examiner les données qui transitent sur un réseau ou de chercher des données ou un fichier sur un disque. L'outil est utilisable sur plusieurs plateformes : Windows (*.exe), Linux (.deb), OS X (*.dmg). Wireshark examine les données d'un réseau en direct et peut également faire une capture des différentes communications pour pouvoir y travailler dessus à un autre moment. Wireshark propose notamment de voir les "dissector tables" directement depuis la fenêtre principale. L'application peut exporter des objets au format SMB ou encore afficher le code BPF compilé pour les filtres de captures. Enfin, Wiresharksupporte une multitude de protocoles comme ADwin, Appache Etch, JSON, ReLOAD ou encore Wi-Fi P2P (Wi-Fi Direct). iv. FileZilla: FileZilla propose un client FTP libre et simple d'utilisation qui permettra aux débutants comme aux utilisateurs confirmés de se connecter à distance sur un serveur afin d'y télécharger des fichiers. Cette application particulièrement riche en fonctionnalités supporte le glisser-déposer, les protocoles SSL et SSH et permet de reprendre les mises à jour et téléchargements interrompus y compris pour les fichiers de taille conséquente (supérieurs à 4 Go). Grâce au gestionnaire de sites intégré, vous pouvez accéder plus rapidement aux adresses auxquelles vous vous connectez de façon régulière. Dans la nouvelle mouture de FileZilla on retrouve de nouvelles fonctionnalités, notamment l'affichage de la quantité de données transférées et le temps de transfert dans la fenêtre de log. FileZilla dispose également d'un accès plus rapide à la fonction de limitation de vitesse des transferts et ajoute le support du bouton retour arrière sur les souris qui en disposent. Enfin FileZillapropose un rafraîchissement de l'interface avec des icônes mises au goût du jour. Page8

11 III. Topologie du réseau : IV. Configuration des outils : i. ajout de la carte de bouclage : Lors de la création d un lab sous GNS3, il peut être intéressant d interconnecter la machine hôte du logiciel GNS3 avec la topologie virtuellement créée. Pour ce faire, il est nécessaire de créer une interface virtuelle et de l intégrer à la topologie. L interface virtuelle n est en fait qu une simple Loopback. Voici la procédure pour l implémenter : Page9

12 Ajout de Matériel : Cocher Installer le matériel que je sélectionne manuellement dans la liste Sélectionner Carte réseau Page10

13 Choisir le fabricant Microsoft puis la carte réseau intitulée Carte de bouclage Microsoft Terminer l installation : Cette procédure a pour effet de créer une interface réseaux dans le menu Connexions réseaux. Afin de l interconnecter avec la topologie réseau En faisant un clic droit sur ce nuage, puis en sélectionnant Configurer, il va être possible de sélectionner l interface réseau à utiliser dans l onglet NIO Ethernet (en l occurrence notre interface Loopback créée). La fin de la configuration reste la même que celle d une configuration réelle. Il suffit de configurer une adresse IP sur l interface Loopback, et d en mettre une autre dans le même sousréseau pour le routeur virtuel qu on cherche joindre depuis son PC. Page11

14 ii. configuration du SDM : étape 1 : Activer le HTTP et HTTPS serveurs sur votre routeur en entrant les commandes suivantes en mode de configuration globale: site1# configure terminal Entrez les commandes de configuration, une par ligne. Terminez avec CNTL / Z. site1 (config)# ip http server site1(config)# ip http secure-server site1(config)# ip http authentication local site1 (config)# ip http timeout-policy idle 600 life requests étape 2 : Créer un compte utilisateur défini avec un niveau de privilège 15 (activer privilèges). Entrez la commande suivante en mode de configuration globale, en remplacement de nom d'utilisateur et mot de passe avec les chaînes que vous souhaitez utiliser: site1(config)# username username privilege 15 secret 0 password Par exemple, si vous avez choisi le nom d'utilisateur admin et le mot de passe cisco!123, vous devez entrer ce qui suit: site1(config)# username admin privilege 15 secret 0 cisco!123 Vous utiliserez ce nom d'utilisateur et mot de passe pour vous connecter à Cisco SDM. étape 3 : Configurez SSH et Telnet pour la connexion locale et le niveau de privilège 15. Utilisez les commandes suivantes: site1(config)# line vty 0 4 site1 (config-line)# privilege level 15 Page12

15 site1 (config-line)# login local site1(config-line)# transport input telnet ssh site1(config-line)# exit étape 4 : Attribuer une adresse IP au port Fast Ethernet. elle sera utilisée pour accéder à ce routeur site1(config)#interface fastethernet 0/0 site1(config-if)#ip address site1 (config-if)#no shutdown iii. configuration des routeurs : Le routeur ISP : ISP#configure terminal ISP(config)#interface f1/0 ISP(config-if)# ip address ISP(config-if)# no shutdown ISP(config-if)# exit ISP(config)#interface f1/1 ISP(config-if)# ip address ISP(config-if)# no shutdown ISP(config-if)# exit ISP(config)# ip route f1/ ISP(config)# ip route f1/ ISP(config)#end Le routeur Site1 : Site1#configure terminal Site1 (config)#interface f1/1 Site1 (config-if)# ip address Site1 (config-if)# no shutdown Site1 (config-if)# exit Site1 (config)#interface loopback 0 Site1 (config-if)# ip address Site1 (config-if)# exit Site1 (config)#interface fastethernet1/0 Site1 (config-if)# ip address Site1 (config-if)# exit Site1 (config)#ip route f1/ Site1 (config)#ip route f1/ Site1 (config)#end Le routeur Site2 : Site2#configure terminal Site2 (config)#interface f1/0 Site2 (config-if)# ip address Page13

16 Site2 (config-if)# no shutdown Site2 (config-if)# exit Site2 (config)#interface loopback 0 Site2(config-if)# ip address Site2 (config-if)# exit Site2 (config)#ip route serial 0/ Site2 (config)#ip route f1/ Site2 (config)#end iv. Configuration du VPN site à site: 3DES Est un procédé de cryptage utilisé pour la phase 1. Sha Est l'algorithme de hachage Pre-share - Utilisation d une Clé pré-partagée comme méthode d'authentification Groupe 2 L algorithme d échange de clef Diffie-Hellman est utiliser Est la durée de vie de la clé de session. Elle est exprimée en kilo-octets (après x quantité de trafic, modifier la clé) ou en secondes. La valeur définie est la valeur par défaut. Pour configurer le protocole IPSec on a besoin de configurer les éléments suivants dans l'ordre: - Créer une ACL étendue - Créer l IPSec Transform - Créer la Crypto Map - Appliquer crypto map à l'interface publique Ajouter les lignes suivantes pour chaque routeur : Sur le routeur Site1 : 1ère étape : configurer le transform-set Site1#configure terminal Site1(config)# crypto ipsec transform-set TSTEST esp-3des esp-sha-hmac Site1(cfg-crypto-trans)#exit 2ème étape : créer votre crypto-map Site1(config)#crypto map TST_CMAP 1 ipsec-isakmp Site1(config-crypto-map)# description VPN to Site_ Site1(config-crypto-map)#set peer Site1(config-crypto-map)# set transform-set TSTEST Site1(config-crypto-map)#match address VPN_TO_SITE_02 Site1(config-crypto-map)#exit 3ème étape : créer votre policy-map Site1(config)#crypto isakmp policy 1 Site1(config-isakmp)# encryption 3des Site1(config-isakmp)#authentication pre-share Site1(config-isakmp)#group 2 Site1(config-isakmp)#exit Page14

17 4ème étape : créer votre pre-share key Site1(config)# crypto isakmp key cisco!123 address ème étape : Classifier votre trafic et activer la cypto-map sur l nterface serial 0/0 Site1(config)#ip access-list extended VPN_TO_SITE_02 Site1(config-ext-nacl)# remark Rule For VPN Access Site1(config-ext-nacl)#permit ip Site1(config-ext-nacl)#exit Site1(config)#interface serial 0/0 Site1(config-if)# crypto map TST_CMAP <- Activation de la crypto-map Site1(config-if)#end Sur le routeur Site2 : 1ère étape : configurer le transform-set Site2#configure terminal Site2(config)# crypto ipsec transform-set TSTEST esp-3des esp-sha-hmac Site2(cfg-crypto-trans)#exit 2ème étape : créer votre crypto-map Site2(config)#crypto map TST_CMAP 1 ipsec-isakmp Site2(config-crypto-map)# description VPN to Site_ Site2(config-crypto-map)#set peer Site2(config-crypto-map)# set transform-set TSTEST Site2(config-crypto-map)#match address VPN_TO_SITE_01 Site2(config-crypto-map)#exit 3ème étape : créer votre policy-map Site2(config)#crypto isakmp policy 1 Site2(config-isakmp)# encryption 3des Site2(config-isakmp)#authentication pre-share Site2(config-isakmp)#group 2 Site2(config-isakmp)#exit 4ème étape : créer votre pre-share key Site2(config)# crypto isakmp key cisco!123 address ème étape : Classifier votre trafic et activer la cypto-map sur l nterface serial 0/0 Site2(config)#ip access-list extended VPN_TO_SITE_01 Site2(config-ext-nacl)# remark Rule For VPN Access Site2(config-ext-nacl)#permit ip Site2(config-ext-nacl)#exit Site2(config)#interface serial 0/0 Site2(config-if)# crypto map TST_CMAP <- Activation de la crypto-map Site2(config-if)#end Page15

18 V. Un scénario de test: i. Utilisation du SDM. : Dans cette partie on va utiliser le SDM pour accéder au routeur Site1 et visualiser l état de notre VPN. Pour cela : Ajouter une carte de bouclage Microsoft dans votre pc et donner la une adresse ip du même sousréseau que l interface Fastethernet 1/0 du routeur Site1. Si non vous pouvez utiliser les cartes VMware avec une machine virtuelle au lieu de votre pc. Affecter cette carte au nuage GNS3 (le pc SDM sur la maquette). Tester la connectivité entre la machine SDM et votre routeur. Vérifier vos firewalls si le test échoue. Lancer le SDM et attribuer l adresse ip du routeur ( ): Page16

19 choisir le nom d'utilisateur admin et le mot de passe cisco!123 : Authentification au SDM : Page17

20 L état de notre VPN, IPsec est UP : Le statut de notre VPN : Page18

21 ii. test de ping : Après configuration, on peut tester d envoyé des données entre les deux pc qui se trouvent dans 2 sites distant, on peut voir que le ping et les données passent Après l'installation du logiciel filezilla, on établit la connexion coté serveur : on peut ajouter désormais un utilisateur : Page19

22 attribution d'un login au nouvel utilisateur "souu" : Après avoir ajouté un utilisateur, il faut indiquer la liste des répertoires et des fichiers à partager : Page20

23 Ajout d'un nouvel utilisateur : Page21

24 Configuration de l'adresse ip de la machine du serveur comme suit : Configuration de l'adresse ip de la machine cliente comme suit : Page22

25 il faut tester la connexion entre les deux machines, en utilisant la commande ping : Accès cote serveur : il faut taper dans le navigateur l'adresse indiquée ci-dessous pour pouvoir accéder au serveur : Page23

26 Authentification requise : login + mot de passe de l'utilisateur choisir un fichier à enregistrer : Page24

27 iii. Sniffing Wireshark : Pour conclure on effectue «sniffing» pour voir ce qui se passe sur votre architecture grâce à l intégration du logiciel wireshark dans GNS3, pour cela rien de plus simple, faire un clicdroit sur le lien que vous voulez analyser et cliquer sur «Start capturing» : Vous devez ensuite choisir dans la liste proposée l interface que vous souhaitez analyser. Une fois choisie, dans la partie «Capture» de GNS3 apparaît votre première capture, faîtes un clic-droit dessus pour lancer wireshark, vous pourrez ainsi analyser le trafic sur cette interface : Page25

28 les données passent à tarvers le tunnel VPN ipsec précedemmant crée et elles sont cryptées : VI. Conclusion : Que ce soit une IPSec ou VPNSSL, le bon choix dépend en définitive des besoins d'accès distant de votre entreprise : VPN IPSec est conçu pour le site à site VPN ou d'accès à distance à partir d'un petit nombre fini de contrôles actifs de l'entreprise.si ce sont les besoins primaires de votre entreprise, IPSec effectue ces fonctions tout à fait bien. Page26