SECURIDAY 2013 Cyber War

Documents pareils
Les Réseaux Privés Virtuels (VPN) Définition d'un VPN

Tunnels et VPN. 22/01/2009 Formation Permanente Paris6 86

Sécurité GNU/Linux. Virtual Private Network

SSL ET IPSEC. Licence Pro ATC Amel Guetat

Les réseaux /24 et x0.0/29 sont considérés comme publics

Sécurité des réseaux IPSec

Windows Server 2008 Sécurité ADMINISTRATION ET CONFIGURATION DE LA SECURITE OLIVIER D.

TECHNICAL NOTE. Configuration d un tunnel VPN entre un firewall NETASQ et le client VPN. Authentification par clé pré-partagée. Version 7.

Travaux pratiques : dépannage de la configuration et du placement des listes de contrôle d'accès Topologie

Tunnels. Plan. Pourquoi? Comment? Qu est-ce? Quelles solutions? Tunnels applicatifs ESIL INFO 2005/2006. Sophie Nicoud

[ Sécurisation des canaux de communication

Packet Tracer : configuration des listes de contrôle d'accès étendues, scénario 1

Virtual Private Network WAFA GHARBI (RT4) CYRINE MAATOUG (RT4) BOCHRA DARGHOUTH (RT4) SALAH KHEMIRI (RT4) MARWA CHAIEB (RT3) WIEM BADREDDINE (RT3)

Table des matières 1 Accès distant sur Windows 2008 Server Introduction...2

Configurer ma Livebox Pro pour utiliser un serveur VPN

Devoir Surveillé de Sécurité des Réseaux

TP c Fonctions des listes de contrôle d'accès multiples (TP avancé)

Pare-feu VPN sans fil N Cisco RV120W

2. MAQUETTAGE DES SOLUTIONS CONSTRUCTIVES. 2.2 Architecture fonctionnelle d un système communicant.

Sécurité des réseaux sans fil

ETI/Domo. Français. ETI-Domo Config FR

LAB : Schéma. Compagnie C / /24 NETASQ

Arkoon Security Appliances Fast 360

Utilisation des ressources informatiques de l N7 à distance

Mettre en place un accès sécurisé à travers Internet

Routeur Chiffrant Navista Version Et le protocole de chiffrement du Réseau Privé Virtuel Navista Tunneling System - NTS Version 3.1.

Mise en place d'un Réseau Privé Virtuel

Le protocole SSH (Secure Shell)

SECURIDAY 2013 Cyber War

Atelier Pivoting KHOULOUD GATTOUSSI (RT3) ASMA LAHBIB (RT3) KHAOULA BLEL (RT3) KARIMA MAALAOUI (RT3)

Configuration de l'accès distant

Un équipement (clé USB, disque dur, imprimante, etc.) est connecté au port USB.

Figure 1a. Réseau intranet avec pare feu et NAT.

Bac Pro SEN Epreuve E2 Session Baccalauréat Professionnel SYSTEMES ELECTRONIQUES NUMERIQUES. Champ professionnel : Télécommunications et réseaux

Le rôle Serveur NPS et Protection d accès réseau

Date : 08/02/12 SISR1 tp.topologie.reseau.wan Durée : 2 h

DISTANT ACESS. Emna TRABELSI (RT3) Chourouk CHAOUCH (RT3) Rabab AMMAR (RT3) Rania BEN MANSOUR (RT3) Mouafek BOUZIDI (RT3)

Transmission de données

Assistance à distance sous Windows

ASA/PIX : Exemple de configuration d'adressage IP statique pour client VPN IPSec avec CLI et ASDM

Logiciel de connexion sécurisée. M2Me_Secure. NOTICE D'UTILISATION Document référence :

Eric DENIZOT José PEREIRA Anthony BERGER

TP réseau Les réseaux virtuels (VLAN) Le but de se TP est de segmenter le réseau d'une petite entreprise dont le câblage est figé à l'aide de VLAN.

1. Présentation de WPA et 802.1X

Les RPV (Réseaux Privés Virtuels) ou VPN (Virtual Private Networks)

Procédure pas à pas de découverte de l offre. Service Cloud Cloudwatt

Installation du point d'accès Wi-Fi au réseau

Pare-feu VPN sans fil N Cisco RV110W

TAGREROUT Seyf Allah TMRIM

FORMATION PcVue. Mise en œuvre de WEBVUE. Journées de formation au logiciel de supervision PcVue 8.1. Lieu : Lycée Pablo Neruda Saint Martin d hères

Réseaux. Moyens de sécurisation. Plan. Evolutions topologiques des réseaux locaux

Mise en route d'un Routeur/Pare-Feu

SECURITE DES DONNEES 1/1. Copyright Nokia Corporation All rights reserved. Ver. 1.0

TR2 : Technologies de l'internet. Chapitre VI. NAT statique et dynamique Overloading (PAT) Overlapping, port Forwarding Serveur Proxy, DMZ

Contenu. Cocher : Network Policy and Access Services > Next > Next. Cocher : Network Policy Server > Next > Install

FACILITER LES COMMUNICATIONS. Le gestionnaire de réseau VPN global de Saima Sistemas

Module M3102 TP3. QoS : implémentation avec Cisco MQC

PRODUCTION ASSOCIEE. Le réseau de la M2L est organisé VLANs et comporte des commutateurs de niveau 2 et des routeurs.

Les possibilités de paramétrage réseau des logiciels de virtualisation sont les suivantes quant à la connexion réseau :

Service de certificat

SUJET DES FINALES NATIONALES Sujet jour 1 version 1

Travaux pratiques Configuration du protocole DHCP avec SDM et l interface de ligne de commande Cisco IOS

VPN TLS avec OpenVPN. Matthieu Herrb. 14 Mars 2005

Configuration d un Client VPN «TheGreenBow» 1) Création d un compte utilisateur dans la base LDAP Netasq

PACK SKeeper Multi = 1 SKeeper et des SKubes

DFL-210, DFL-800, DFL-1600, DFL-2500 Comment configurer une connexion VPN IPSec site à site

Accès aux ressources informatiques de l ENSEEIHT à distance

Comment utiliser mon compte alumni?

But de cette présentation

Les ACL Cisco. F. Nolot Master 2 Professionnel STIC-Informatique 1

Cisco Certified Network Associate

Configuration de Serveur 2003 en Routeur

Cloud public d Ikoula Documentation de prise en main 2.0

Travaux pratiques : configuration et vérification des listes de contrôle d'accès IPv6 Topologie

IPSEC : PRÉSENTATION TECHNIQUE

1 PfSense 1. Qu est-ce que c est

Manuel d'utilisation d'apimail V3

II- Préparation du serveur et installation d OpenVpn :

Introduction. Adresses

TP : STATION BLANI 2000 SIMULATION DU RESEAU INFORMATIQUE

Mission 2 : Prise de contrôle à distance sur les éléments d'infrastructures, les serveurs (Contrôleur de domaine et DHCP) et les clients

Serveur FTP. 20 décembre. Windows Server 2008R2

SYSTEME DE GESTION DES ENERGIES EWTS EMBEDDED WIRELESS TELEMETRY SYSTEM

«ASSISTANT SECURITE RESEAU ET HELP DESK»

Capture, Filtrage et Analyse de trames ETHERNET avec le logiciel Wireshark. Etape 1 : Lancement des machines virtuelles VMWARE et de Wireshark

Documentation Honolulu 14 (1)

Configuration d'un Réseau Privé Virtuel (RPV ) communément appelé VPN

Présentation du modèle OSI(Open Systems Interconnection)

Virtualisation de Windows dans Ubuntu Linux

Formateurs : Jackie DAÖN Franck DUBOIS Médiapôle de Guyancourt

L exemple d un serveur Proxy sous Windows NT 4 SERVER MICROSOFT PROXY SERVER 2 Installation et configuration Auteur : Eliane Bouillaux SERIA5

Installation du client Cisco VPN 5 (Windows)

Sécurité des réseaux wi fi

FreeNAS Shere. Par THOREZ Nicolas

Installation du client Cisco VPN 5 (Windows)

VPN. Réseau privé virtuel Usages :

TUTORIEL RADIUS. I. Qu est-ce que RADIUS? II. Création d un groupe et d utilisateur

Installation du client Cisco VPN 5 (Windows)

Transcription:

Club de la Sécurité Informatique à l INSAT Dans le cadre de la 3ème édition de la journée nationale de la sécurité informatique SECURIDAY 2013 Cyber War SECURINETS IPsec VPN Présente Formateurs: 1. soumaya KEBAILI 2. sonia MEJBRI 3. feten MKACHER 4. mohamed yessine BEN AMMAR 5. ismail KABOUBI 6.oussema NEJI

Table des matières IPsec VPN... 1 I. Présentation de l atelier :... 1 i. introduction générale :... 1 ii. Les services offerts par IPsec :... 2 II. Présentation des outils utilisés :... 6 i. GNS3... 6 ii. SDM :... 7 iii. Wireshark :... 7 iv. FileZilla:... 8 III. Topologie du réseau :... 9 IV. Configuration des outils :... 9 i. ajout de la carte de bouclage :... 9 ii. configuration du SDM :... 12 iii. configuration des routeurs :... 13 iv. Configuration du VPN site à site:... 14 V. Un scénario de test:... 16 VI. Conclusion :... 26 Page1

I. Présentation de l atelier : i. introduction générale : Les tunnels VPN sont utilisés pour permettre la transmission sécurisée de données, voix et vidéo entre deux sites (bureaux ou succursales). Un réseau Vpn repose sur un protocole appelé "protocole de tunneling". Ce protocole permet de faire circuler les informations de l'entreprise de façon cryptée d'un bout à l'autre du tunnel pour assurer la confidentialité des données transmises entre les deux sites. Ainsi, les utilisateurs ont l'impression de se connecter directement sur le réseau de leur entreprise. Le principe de tunneling consiste à construire un chemin virtuel après avoir identifié l'émetteur et le destinataire. Par la suite, la source chiffre les données et les achemine en empruntant Ce chemin virtuel. Afin d'assurer un accès aisé et peu coûteux aux intranets ou aux extranets d'entreprise, les réseaux privés virtuels d'accès simulent un réseau privé, alors qu'ils utilisent en réalité une infrastructure d'accès partagée, comme Internet. Les données à transmettre peuvent être prises en charge par un protocole différent d'ip. Dans Ce cas, le protocole de tunneling encapsule les données en ajoutant une en-tête. Le tunneling est l'ensemble des processus d'encapsulation, de transmission et de désencapsulation. Pour être considéré comme sécurisé, un VPN doit respecter les concepts de sécurité suivants: - Confidentialité: Les données ne peuvent pas être vues dans un format lisible. Algorithmes typiques de chiffrement symétrique: DES, 3DES, AES, Blowfish - Intégrité: Les données ne peuvent pas être modifiées. Algorithmes typiques de hachage: sha1, md5 - Authentification: Les passerelles VPN s'assurent de l'identité de l'autre. Algorithmes typiques: RSA, DH Page1

Les deux types de VPN chiffrés sont les suivants : VPN IPsec de site à site : Cette alternative aux réseaux étendus à relais de trames ou à ligne allouée permet aux entreprises d'étendre les ressources réseau aux succursales, aux travailleurs à domicile et aux sites de leurs partenaires. VPN d'accès distant : Ce type de VPN étend presque n'importe quelle application vocale, vidéo ou de données au bureau distant, grâce à une émulation du bureau principal. Les protocoles de tunnelisation: L2F : développé par Cisco, il est désormais quasi-obsolète. PPTP : développé par Microsoft. L2TP : est l'aboutissement des travaux de l'ietf (RFC 3931) pour faire converger les fonctionnalités de PPTP et L2F. Il s'agit d'un protocole de niveau 2 s'appuyant sur PPP. Editer le fichier «services» sur «C:\Windows\System32\drivers\etc» pour voir les ports TCP/UDP de chaque protocole ii. Les services offerts par IPsec : Le protocole " IPsec" est l'une des méthodes permettant de créer des VPN (réseaux privés virtuels), c'est-à-dire de relier entre eux des systèmes informatiques de manière sûre en s'appuyant sur un réseau existant, lui-même considéré comme non sécurisé. Le terme sûr a ici une signification assez vague, mais peut en particulier couvrir les notions d'intégrité et de confidentialité. L'intérêt majeur de cette solution par rapport à d'autres techniques (par exemple les tunnels SSH) est qu'il s'agit d'une méthode standard (facultative en IPv4, mais obligatoire en IPv6), mise au point dans ce but précis, décrite par différentes RFCs, et donc interopérable. Quelques avantages supplémentaires sont l'économie de bande passante, d'une part parce que la compression des en-têtes des données transmises est prévue par ce standard, et d'autre part parce que celui-ci ne fait pas appel à de trop lourdes techniques d'encapsulation, comme par exemple les tunnels PPP sur lien SSH. Il permet également de protéger des protocoles de bas niveau comme ICMP et IGMP, RIP, etc... Page2

IPsec présente en outre l'intérêt d'être une solution évolutive, puisque les algorithmes de chiffrement et d'authentification à proprement parler sont spécifiés séparément du protocole luimême. Elle a cependant l'inconvénient inhérent à sa flexibilité : sa grande complexité rend son implémentation délicate. Les différents services offerts par le protocole IPsec sont ici détaillés. Les manières de les combiner entre eux que les implémentations sont tenues de supporter sont ensuite présentées. Les moyens de gestion des clefs de chiffrement et signature sont étudiés et les problèmes d'interopérabilité associés sont évoqués. Enfin, un aperçu rapide de quelques implémentations IPsec, en s'intéressant essentiellement à leur conformité aux spécifications est donné. AH (authentication header) : AH est le premier et le plus simple des protocoles de protection des données qui font partie de la spécification IPsec. Il est détaillé dans la Rfc 2402. Il a pour vocation de garantir : L'authentification : les datagrammes IP reçus ont effectivement été émis par l'hôte dont l'adresse IP est indiquée comme adresse source dans les en-têtes. L'unicité (optionnelle, à la discrétion du récepteur) : un datagramme ayant été émis légitimement et enregistré par un attaquant ne peut être réutilisé par ce dernier, les attaques par rejeu sont ainsi évitées. L'intégrité : les champs suivants du datagramme IP n'ont pas été modifiés depuis leur émission : les données (en mode tunnel, ceci comprend la totalité des champs, y compris les en-têtes, du datagramme IP encapsulé dans le datagramme protégé par AH), version (4 en IPv4, 6 en IPv6), longueur de l'en-tête (en IPv4), longueur totale du datagramme (en IPv4), longueur des données (en IPv6), identification, protocole ou en-tête suivant (ce champ vaut 51 pour indiquer qu'il s'agit du protocole AH), adresse IP de l'émetteur, adresse IP du destinataire (sans source routing). En outre, au cas où du source routing serait présent, le champ adresse IP du destinataire a la valeur que l'émetteur a prévu qu'il aurait lors de sa réception par le destinataire. Cependant, la valeur que prendront les champs type de service (IPv4), indicateurs (IPv4), index de fragment (IPv4), TTL (IPv4), somme de contrôle d'en-tête (IPv4), classe (IPv6), flow label (IPv6), et hop limit (IPv6) lors de leur réception n'étant pas prédictible au moment de l'émission, leur intégrité n'est pas garantie par AH. L'intégrité de celles des options IP qui ne sont pas modifiables pendant le transport est assurée, celle des autres options ne l'est pas. Attention, AH n'assure pas la confidentialité : les données sont signées mais pas chiffrées. Enfin, AH ne spécifie pas d'algorithme de signature particulier, ceux-ci sont décrits séparément, cependant, une implémentation conforme à la Rfc 2402 est tenue de supporter les algorithmes MD5 et SHA-1. ESP (encapsulating security payload) ESP est le second protocole de protection des données qui fait partie de la spécification IPsec. Il est détaillé dans la Rfc 2406. Contrairement à AH, ESP ne protège pas les en-têtes des datagrammes IP Page3

utilisés pour transmettre la communication. Seules les données sont protégées. En mode transport, il assure : La confidentialité des données (optionnelle) : la partie donnée des datagrammes IP transmis est chiffrée. L'authentification (optionnelle, mais obligatoire en l'absence de confidentialité) : la partie données des datagrammes IP reçus ne peut avoir été émise que par l'hôte avec lequel a lieu l'échange IPsec, qui ne peut s'authentifier avec succès que s'il connaît la clef associée à la communication ESP. Il est également important de savoir que l'absence d'authentification nuit à la confidentialité, en la rendant plus vulnérable à certaines attaques actives. L'unicité (optionnelle, à la discrétion du récepteur). L'integrité : les données n'ont pas été modifiées depuis leur émission. En mode tunnel, ces garanties s'appliquent aux données du datagramme dans lequel est encapsulé le trafic utile, donc à la totalité (en-têtes et options inclus) du datagramme encapsulé. Dans ce mode, deux avantages supplémentaires apparaissent: Une confidentialité, limitée, des flux de données (en mode tunnel uniquement, lorsque la confidentialité est assurée) : un attaquant capable d'observer les données transitant par un lien n'est pas à même de déterminer quel volume de données est transféré entre deux hôtes particuliers. Par exemple, si la communication entre deux sous-réseaux est chiffrée à l'aide d'un tunnel ESP, le volume total de données échangées entre ces deux sous-réseaux est calculable par cet attaquant, mais pas la répartition de ce volume entre les différents systèmes de ces sous-réseaux. La confidentialité des données, si elle est demandée, s'étend à l'ensemble des champs, y compris les en-têtes, du datagramme IP encapsulé dans le datagramme protégé par ESP). Enfin, ESP ne spécifie pas d'algorithme de signature ou de chiffrement particulier, ceux-ci sont décrits séparément, cependant, une implémentation conforme à la Rfc 2406 est tenue de supporter l'algorithme de chiffrement DES en mode CBC, et les signatures à l'aide des fonctions de hachage MD5 et SHA-1. Implantation d'ipsec dans le datagramme IP La figure 1 montre comment les données nécessaires au bon fonctionnement des formats AH et ESP sont placées dans le datagramme IPv4. Il s'agit bien d'un ajout dans le datagramme IP, et non de nouveaux datagrammes, ce qui permet un nombre théoriquement illimité ou presque d'encapsulations IPsec : un datagramme donné peut par exemple être protégé à l'aide de trois applications successives de AH et de deux encapsulations de ESP. La gestion des clefs pour Ipsec : Isakmp et Ike Les protocoles sécurisés présentés dans les paragraphes précédents ont recours à des algorithmes cryptographiques et ont donc besoin de clefs. Un des problèmes fondamentaux d'utilisation de la Page4

cryptographie est la gestion de ces clefs. Le terme "gestion" recouvre la génération, la distribution, le stockage et la suppression des clefs. IKE (Internet Key Exchange) est un système développé spécifiquement pour Ipsec qui vise à fournir des mécanismes d'authentification et d'échange de clef adaptés à l'ensemble des situations qui peuvent se présenter sur l'internet. Il est composé de plusieurs éléments : le cadre générique Isakmp et une partie des protocoles Oakley et Skeme. Lorsqu'il est utilisé pour Ipsec, IKE est de plus complété par un "domaine d'interprétation" pour Ipsec. Isakmp (Internet Security Association and Key Management Protocol) Isakmp a pour rôle la négociation, l'établissement, la modification et la suppression des associations de sécurité et de leurs attributs. Il pose les bases permettant de construire divers protocoles de gestion des clefs (et plus généralement des associations de sécurité). Il comporte trois aspects principaux : Il définit une façon de procéder, en deux étapes appelées phase 1 et phase 2 : dans la première, un certain nombre de paramètres de sécurité propres à Isakmp sont mis en place, afin d'établir entre les deux tiers un canal protégé ; dans un second temps, Ce canal est utilisé pour négocier les associations de sécurité pour les mécanismes de sécurité que l'on souhaite utiliser (AH et Esp par exemple). Il définit des formats de messages, par l'intermédiaire de blocs ayant chacun un rôle précis et permettant de former des messages clairs. Il présente un certain nombre d'échanges types, composés de tels messages, qui permettant des négociations présentant des propriétés différentes : protection ou non de l'identité, perfect forward secrecy... Isakmp est décrit dans la Rfc 2408. Ike (Internet Key Exchange) IKE utilise Isakmp pour construire un protocole pratique. Il comprend quatre modes : Le mode principal (Main mode) Le mode agressif (Aggressive Mode) Le mode rapide (Quick Mode) Le mode nouveau groupe (New Groupe Mode) Main Mode et Aggressive Mode sont utilisés durant la phase 1, Quick Mode est un échange de phase 2. New Group Mode est un peu à part : Ce n'est ni un échange de phase 1, ni un échange de phase 2, mais il ne peut avoir lieu qu'une fois qu'une SA Isakmp est établie ; il sert à se mettre d'accord sur un nouveau groupe pour de futurs échanges Diffie-Hellman. Page5

II. Présentation des outils utilisés : Dans l atelier qui suit on va voir comment configurer un tunnel VPN site à site et utiliser le logiciel SDM pour visualiser son état via une interface graphique. Pour cela nous avons besoin des logiciels suivants : i. GNS3 Le logiciel GNS3 est en fait une interface graphique pour l outil sous-jacent Dynamips qui permet l émulation de machines virtuelles Cisco. Il est nécessaire d insister sur le terme émulation, dans la mesure où ces machines s appuient sur les véritables IOS fournis par Cisco et leur confèrent donc l intégralité des fonctionnalités originales. Ce logiciel peut donc être opposé à PacketTracer, qui est un simulateur fourni par Cisco dans le cadre de son programme académique, et qui est donc limité aux seules fonctionnalités implémentées par les développeurs du logiciel. Les performances des machines ainsi créées ne sont bien entendu pas équivalentes à celles des machines physiques réelles, mais elles restent amplement suffisantes pour mettre en œuvre des configurations relativement basiques et appréhender les concepts de base des équipements Cisco. A l heure actuelle, seules certaines plateformes de routeurs sont émulées ainsi que les plateformes PIX et ASA qui sont les Firewalls de la gamme Cisco. De simples commutateurs Ethernet sont émulés, et permettent notamment l interconnexion du Lab virtuel ainsi crée avec un réseau physique Page6

Cette solution pourra donc être choisie pour la mise en place de labos virtuels, notamment dans le cadre de la préparation des premières certifications Cisco telles que le CCNA, mais nécessitera une machine avec de bonnes ressources pour émuler plusieurs équipements en simultané.pour tout autre renseignement sur le produit ou son téléchargement, vous pouvez vous rendre directement sur la page www.gns3.net. Concernant les IOS, il vous faudra un compte CCO pour télécharger les IOS souhaités depuis le site de Cisco. ii. SDM : Le Security Device Manager Cisco (SDM) est un dispositif intuitif, basé sur les Outils web de gestion intégrée dans les routeurs d'accès Cisco IOS. Cisco SDM simplifie l'utilisation des routeur s et la configuration de la sécurité grâce à des assistants intelligents, permettant aux clients déployer configurer et surveiller un routeur d'accès Cisco,rapidement et facilement, nécessitant pas des connaissances du logiciel d'interface de ligne de commande Cisco IOS (CLI). Cisco SDM permet aux utilisateurs de configurer facilement Cisco IOS fonctions de sécurité logicielles sur Cisco et accéder à des routeurs sur une base par appareil de l'appareil, tout en permettant une gestion proactive par la surveillance des performances. Pour le déploiement d'un nouveau routeur ou l'installation de Cisco SDM sur un routeur existant, les utilisateurs peuvent désormais configurer et surveiller à distance Cisco 830, 1700, 2600XM, 3600 et 3700 routeurs de la gamme sans utiliser le logiciel Cisco IOS de l'interface de ligne de commande(cli). Le logiciel Cisco IOS CLI est un moyen efficace de configuration du routeur, mais nécessite une grand niveau de compétence et d'expertise. iii. Wireshark : WireShark (anciennement Ethereal) est un outil d'analyse des trames réseau. L'application a été renommée car le développeur principal a changé de société : le nom Ethereal appartient à sa société précédente, il n'a donc pu continuer le projet sous le même nom... Page7

Wireshark est un analyseur multi plateformes de protocoles réseaux ou «packet sniffer» classique. Son utilité principale est d'examiner les données qui transitent sur un réseau ou de chercher des données ou un fichier sur un disque. L'outil est utilisable sur plusieurs plateformes : Windows (*.exe), Linux (.deb), OS X (*.dmg). Wireshark examine les données d'un réseau en direct et peut également faire une capture des différentes communications pour pouvoir y travailler dessus à un autre moment. Wireshark propose notamment de voir les "dissector tables" directement depuis la fenêtre principale. L'application peut exporter des objets au format SMB ou encore afficher le code BPF compilé pour les filtres de captures. Enfin, Wiresharksupporte une multitude de protocoles comme ADwin, Appache Etch, JSON, ReLOAD ou encore Wi-Fi P2P (Wi-Fi Direct). iv. FileZilla: FileZilla propose un client FTP libre et simple d'utilisation qui permettra aux débutants comme aux utilisateurs confirmés de se connecter à distance sur un serveur afin d'y télécharger des fichiers. Cette application particulièrement riche en fonctionnalités supporte le glisser-déposer, les protocoles SSL et SSH et permet de reprendre les mises à jour et téléchargements interrompus y compris pour les fichiers de taille conséquente (supérieurs à 4 Go). Grâce au gestionnaire de sites intégré, vous pouvez accéder plus rapidement aux adresses auxquelles vous vous connectez de façon régulière. Dans la nouvelle mouture de FileZilla on retrouve de nouvelles fonctionnalités, notamment l'affichage de la quantité de données transférées et le temps de transfert dans la fenêtre de log. FileZilla dispose également d'un accès plus rapide à la fonction de limitation de vitesse des transferts et ajoute le support du bouton retour arrière sur les souris qui en disposent. Enfin FileZillapropose un rafraîchissement de l'interface avec des icônes mises au goût du jour. Page8

III. Topologie du réseau : IV. Configuration des outils : i. ajout de la carte de bouclage : Lors de la création d un lab sous GNS3, il peut être intéressant d interconnecter la machine hôte du logiciel GNS3 avec la topologie virtuellement créée. Pour ce faire, il est nécessaire de créer une interface virtuelle et de l intégrer à la topologie. L interface virtuelle n est en fait qu une simple Loopback. Voici la procédure pour l implémenter : Page9

Ajout de Matériel : Cocher Installer le matériel que je sélectionne manuellement dans la liste Sélectionner Carte réseau Page10

Choisir le fabricant Microsoft puis la carte réseau intitulée Carte de bouclage Microsoft Terminer l installation : Cette procédure a pour effet de créer une interface réseaux dans le menu Connexions réseaux. Afin de l interconnecter avec la topologie réseau En faisant un clic droit sur ce nuage, puis en sélectionnant Configurer, il va être possible de sélectionner l interface réseau à utiliser dans l onglet NIO Ethernet (en l occurrence notre interface Loopback créée). La fin de la configuration reste la même que celle d une configuration réelle. Il suffit de configurer une adresse IP sur l interface Loopback, et d en mettre une autre dans le même sousréseau pour le routeur virtuel qu on cherche joindre depuis son PC. Page11

ii. configuration du SDM : étape 1 : Activer le HTTP et HTTPS serveurs sur votre routeur en entrant les commandes suivantes en mode de configuration globale: site1# configure terminal Entrez les commandes de configuration, une par ligne. Terminez avec CNTL / Z. site1 (config)# ip http server site1(config)# ip http secure-server site1(config)# ip http authentication local site1 (config)# ip http timeout-policy idle 600 life 86400 requests 10000 étape 2 : Créer un compte utilisateur défini avec un niveau de privilège 15 (activer privilèges). Entrez la commande suivante en mode de configuration globale, en remplacement de nom d'utilisateur et mot de passe avec les chaînes que vous souhaitez utiliser: site1(config)# username username privilege 15 secret 0 password Par exemple, si vous avez choisi le nom d'utilisateur admin et le mot de passe cisco!123, vous devez entrer ce qui suit: site1(config)# username admin privilege 15 secret 0 cisco!123 Vous utiliserez ce nom d'utilisateur et mot de passe pour vous connecter à Cisco SDM. étape 3 : Configurez SSH et Telnet pour la connexion locale et le niveau de privilège 15. Utilisez les commandes suivantes: site1(config)# line vty 0 4 site1 (config-line)# privilege level 15 Page12

site1 (config-line)# login local site1(config-line)# transport input telnet ssh site1(config-line)# exit étape 4 : Attribuer une adresse IP au port Fast Ethernet. elle sera utilisée pour accéder à ce routeur site1(config)#interface fastethernet 0/0 site1(config-if)#ip address 192.168.111.1 255.255.255.0 site1 (config-if)#no shutdown iii. configuration des routeurs : Le routeur ISP : ISP#configure terminal ISP(config)#interface f1/0 ISP(config-if)# ip address 10.10.10.2 255.255.255.0 ISP(config-if)# no shutdown ISP(config-if)# exit ISP(config)#interface f1/1 ISP(config-if)# ip address 172.16.1.1 255.255.255.0 ISP(config-if)# no shutdown ISP(config-if)# exit ISP(config)# ip route 172.16.2.0 255.255.255.0 f1/1 172.16.1.2 ISP(config)# ip route 192.168.2.0 255.255.255.0 f1/0 10.10.10.1 ISP(config)#end Le routeur Site1 : Site1#configure terminal Site1 (config)#interface f1/1 Site1 (config-if)# ip address 10.10.10.1 255.255.255.0 Site1 (config-if)# no shutdown Site1 (config-if)# exit Site1 (config)#interface loopback 0 Site1 (config-if)# ip address 192.168.2.1 255.255.255.0 Site1 (config-if)# exit Site1 (config)#interface fastethernet1/0 Site1 (config-if)# ip address 192.168.111.1 255.255.255.0 Site1 (config-if)# exit Site1 (config)#ip route 0.0.0.0 0.0.0.0 f1/1 10.10.10.2 Site1 (config)#ip route 172.16.2.0 255.255.255.0 f1/1 10.10.10.2 Site1 (config)#end Le routeur Site2 : Site2#configure terminal Site2 (config)#interface f1/0 Site2 (config-if)# ip address 172.16.1.2 255.255.255.0 Page13

Site2 (config-if)# no shutdown Site2 (config-if)# exit Site2 (config)#interface loopback 0 Site2(config-if)# ip address 172.16.2.1 255.255.255.0 Site2 (config-if)# exit Site2 (config)#ip route 0.0.0.0 0.0.0.0 serial 0/0 172.16.1.1 Site2 (config)#ip route 192.168.2.0 255.255.255.0 f1/0 172.16.1.1 Site2 (config)#end iv. Configuration du VPN site à site: 3DES Est un procédé de cryptage utilisé pour la phase 1. Sha Est l'algorithme de hachage Pre-share - Utilisation d une Clé pré-partagée comme méthode d'authentification Groupe 2 L algorithme d échange de clef Diffie-Hellman est utiliser 86400 Est la durée de vie de la clé de session. Elle est exprimée en kilo-octets (après x quantité de trafic, modifier la clé) ou en secondes. La valeur définie est la valeur par défaut. Pour configurer le protocole IPSec on a besoin de configurer les éléments suivants dans l'ordre: - Créer une ACL étendue - Créer l IPSec Transform - Créer la Crypto Map - Appliquer crypto map à l'interface publique Ajouter les lignes suivantes pour chaque routeur : Sur le routeur Site1 : 1ère étape : configurer le transform-set Site1#configure terminal Site1(config)# crypto ipsec transform-set TSTEST esp-3des esp-sha-hmac Site1(cfg-crypto-trans)#exit 2ème étape : créer votre crypto-map Site1(config)#crypto map TST_CMAP 1 ipsec-isakmp Site1(config-crypto-map)# description VPN to Site_02 172.16.2.0 Site1(config-crypto-map)#set peer 172.16.1.2 Site1(config-crypto-map)# set transform-set TSTEST Site1(config-crypto-map)#match address VPN_TO_SITE_02 Site1(config-crypto-map)#exit 3ème étape : créer votre policy-map Site1(config)#crypto isakmp policy 1 Site1(config-isakmp)# encryption 3des Site1(config-isakmp)#authentication pre-share Site1(config-isakmp)#group 2 Site1(config-isakmp)#exit Page14

4ème étape : créer votre pre-share key Site1(config)# crypto isakmp key cisco!123 address 172.16.1.2 5ème étape : Classifier votre trafic et activer la cypto-map sur l nterface serial 0/0 Site1(config)#ip access-list extended VPN_TO_SITE_02 Site1(config-ext-nacl)# remark Rule For VPN Access Site1(config-ext-nacl)#permit ip 192.168.2.0 0.0.0.255 172.16.2.0 0.0.0.255 Site1(config-ext-nacl)#exit Site1(config)#interface serial 0/0 Site1(config-if)# crypto map TST_CMAP <- Activation de la crypto-map Site1(config-if)#end Sur le routeur Site2 : 1ère étape : configurer le transform-set Site2#configure terminal Site2(config)# crypto ipsec transform-set TSTEST esp-3des esp-sha-hmac Site2(cfg-crypto-trans)#exit 2ème étape : créer votre crypto-map Site2(config)#crypto map TST_CMAP 1 ipsec-isakmp Site2(config-crypto-map)# description VPN to Site_01 192.168.2.0 Site2(config-crypto-map)#set peer 10.10.10.1 Site2(config-crypto-map)# set transform-set TSTEST Site2(config-crypto-map)#match address VPN_TO_SITE_01 Site2(config-crypto-map)#exit 3ème étape : créer votre policy-map Site2(config)#crypto isakmp policy 1 Site2(config-isakmp)# encryption 3des Site2(config-isakmp)#authentication pre-share Site2(config-isakmp)#group 2 Site2(config-isakmp)#exit 4ème étape : créer votre pre-share key Site2(config)# crypto isakmp key cisco!123 address 10.10.10.1 5ème étape : Classifier votre trafic et activer la cypto-map sur l nterface serial 0/0 Site2(config)#ip access-list extended VPN_TO_SITE_01 Site2(config-ext-nacl)# remark Rule For VPN Access Site2(config-ext-nacl)#permit ip 172.16.2.0 0.0.0.255 192.168.2.0 0.0.0.255 Site2(config-ext-nacl)#exit Site2(config)#interface serial 0/0 Site2(config-if)# crypto map TST_CMAP <- Activation de la crypto-map Site2(config-if)#end Page15

V. Un scénario de test: i. Utilisation du SDM. : Dans cette partie on va utiliser le SDM pour accéder au routeur Site1 et visualiser l état de notre VPN. Pour cela : Ajouter une carte de bouclage Microsoft dans votre pc et donner la une adresse ip du même sousréseau que l interface Fastethernet 1/0 du routeur Site1. Si non vous pouvez utiliser les cartes VMware avec une machine virtuelle au lieu de votre pc. Affecter cette carte au nuage GNS3 (le pc SDM sur la maquette). Tester la connectivité entre la machine SDM et votre routeur. Vérifier vos firewalls si le test échoue. Lancer le SDM et attribuer l adresse ip du routeur (192.168.111.1): Page16

choisir le nom d'utilisateur admin et le mot de passe cisco!123 : Authentification au SDM : Page17

L état de notre VPN, IPsec est UP : Le statut de notre VPN : Page18

ii. test de ping : Après configuration, on peut tester d envoyé des données entre les deux pc qui se trouvent dans 2 sites distant, on peut voir que le ping et les données passent Après l'installation du logiciel filezilla, on établit la connexion coté serveur : on peut ajouter désormais un utilisateur : Page19

attribution d'un login au nouvel utilisateur "souu" : Après avoir ajouté un utilisateur, il faut indiquer la liste des répertoires et des fichiers à partager : Page20

Ajout d'un nouvel utilisateur : Page21

Configuration de l'adresse ip de la machine du serveur comme suit : Configuration de l'adresse ip de la machine cliente comme suit : Page22

il faut tester la connexion entre les deux machines, en utilisant la commande ping : Accès cote serveur : il faut taper dans le navigateur l'adresse indiquée ci-dessous pour pouvoir accéder au serveur : Page23

Authentification requise : login + mot de passe de l'utilisateur choisir un fichier à enregistrer : Page24

iii. Sniffing Wireshark : Pour conclure on effectue «sniffing» pour voir ce qui se passe sur votre architecture grâce à l intégration du logiciel wireshark dans GNS3, pour cela rien de plus simple, faire un clicdroit sur le lien que vous voulez analyser et cliquer sur «Start capturing» : Vous devez ensuite choisir dans la liste proposée l interface que vous souhaitez analyser. Une fois choisie, dans la partie «Capture» de GNS3 apparaît votre première capture, faîtes un clic-droit dessus pour lancer wireshark, vous pourrez ainsi analyser le trafic sur cette interface : Page25

les données passent à tarvers le tunnel VPN ipsec précedemmant crée et elles sont cryptées : VI. Conclusion : Que ce soit une IPSec ou VPNSSL, le bon choix dépend en définitive des besoins d'accès distant de votre entreprise : VPN IPSec est conçu pour le site à site VPN ou d'accès à distance à partir d'un petit nombre fini de contrôles actifs de l'entreprise.si ce sont les besoins primaires de votre entreprise, IPSec effectue ces fonctions tout à fait bien. Page26

2026 © DocPlayer.fr Politique de confidentialité | Conditions de service | Feed-back