TP 8 Mise en place d'un VPN de couche 3

Documents pareils
Sécurité des réseaux IPSec

Windows Server 2008 Sécurité ADMINISTRATION ET CONFIGURATION DE LA SECURITE OLIVIER D.

Les réseaux /24 et x0.0/29 sont considérés comme publics

Mise en route d'un Routeur/Pare-Feu

SSL ET IPSEC. Licence Pro ATC Amel Guetat

Mise en place d'un Réseau Privé Virtuel

Packet Tracer : configuration des listes de contrôle d'accès étendues, scénario 1

Date : 08/02/12 SISR1 tp.topologie.reseau.wan Durée : 2 h

DFL-210, DFL-800, DFL-1600, DFL-2500 Comment configurer une connexion VPN IPSec site à site

Routage Statique. Protocoles de Routage et Concepts. Version Cisco Systems, Inc. All rights reserved. Cisco Public 1

Travaux pratiques : dépannage de la configuration et du placement des listes de contrôle d'accès Topologie

ASA/PIX : Exemple de configuration d'adressage IP statique pour client VPN IPSec avec CLI et ASDM

Résumé et recommandations

Configurer le Serveur avec une adresse IP Statique (INTERFACE :FastEthernet) : et un masque

Tunnels et VPN. 22/01/2009 Formation Permanente Paris6 86

TECHNICAL NOTE. Configuration d un tunnel VPN entre un firewall NETASQ et le client VPN. Authentification par clé pré-partagée. Version 7.

SECURIDAY 2013 Cyber War

TP réseaux Translation d adresse, firewalls, zonage

Les Réseaux Privés Virtuels (VPN) Définition d'un VPN

PACK SKeeper Multi = 1 SKeeper et des SKubes

Les Protocoles de sécurité dans les réseaux WiFi. Ihsane MOUTAIB & Lamia ELOFIR FM05

TP Configuration de l'authentification OSPF

Sécurité GNU/Linux. Virtual Private Network

Arkoon Security Appliances Fast 360

Cisco Certified Network Associate Version 4

Tunnels. Plan. Pourquoi? Comment? Qu est-ce? Quelles solutions? Tunnels applicatifs ESIL INFO 2005/2006. Sophie Nicoud

Devoir Surveillé de Sécurité des Réseaux

Configuration d un Client VPN «TheGreenBow» 1) Création d un compte utilisateur dans la base LDAP Netasq

Mise en service d un routeur cisco

StoneGate Firewall/VPN

Firewall ou Routeur avec IP statique

Organisation du parcours M2 IR Les unités d enseignements (UE) affichées dans la partie tronc commun sont toutes obligatoires, ainsi que le stage et

Skype (v2.5) Protocol Data Structures (French) Author : Ouanilo MEDEGAN

Travaux pratiques : configuration et vérification des listes de contrôle d'accès IPv6 Topologie

SUJET DES FINALES NATIONALES Sujet jour 1 version 1

TP c Fonctions des listes de contrôle d'accès multiples (TP avancé)

IPv6. IPv6 et la sécurité: IPsec Objectif: Sécuriser... v.1a IPv6 Théorie et Pratique & Microsoft IPsec 1

Université de Reims Champagne Ardenne. HTTPS, SSL, SSH, IPSEC et SOCKS. Présenté par : BOUAMAMA Mohamed Nadjib AZIZ Xerin

TER Réseau : Routeur Linux 2 Responsable : Anthony Busson

TP : STATION BLANI 2000 SIMULATION DU RESEAU INFORMATIQUE

La sécurité dans un réseau Wi-Fi

Le rôle Serveur NPS et Protection d accès réseau

Configuration des VLAN

Tutorial VPN. Principales abréviations

Les fonctions de hachage, un domaine à la mode

Table des matières Nouveau Plan d adressage... 3

Réseaux Privés Virtuels Virtual Private Networks

Dispositif sur budget fédéral

Note technique. Recommandations de sécurité relatives à IPsec 1 pour la protection des flux réseau

LP ASUR - Sécurité. Introduction à la Sécurité des Systèmes d'information. Florent Autréau - florent@mataru.com 28 Avril 2013

IPSEC : PRÉSENTATION TECHNIQUE

Table des matières 1 Accès distant sur Windows 2008 Server Introduction...2

Sécurité des réseaux wifi. CREIX Kevin GIOVARESCO Julien

OneAccess 16xx EAD Ethernet Access Device / 1.0 / AH / Public

RESEAUX MISE EN ŒUVRE

TP réseau Les réseaux virtuels (VLAN) Le but de se TP est de segmenter le réseau d'une petite entreprise dont le câblage est figé à l'aide de VLAN.

Configuration du matériel Cisco. Florian Duraffourg

[ Sécurisation des canaux de communication

2. MAQUETTAGE DES SOLUTIONS CONSTRUCTIVES. 2.2 Architecture fonctionnelle d un système communicant.

Les réseaux des EPLEFPA. Guide «PfSense»

Configurer ma Livebox Pro pour utiliser un serveur VPN

INSTALLATION D'OPENVPN:

Votre Réseau est-il prêt?

Configuration d'un serveur DHCP Windows 2000 pour Cisco CallManager

La qualité de service (QoS)

Le protocole SSH (Secure Shell)

Chap.9: SNMP: Simple Network Management Protocol

Module 8 : Protection du trafic réseau à l'aide de la sécurité IPSec et de certificats

TAGREROUT Seyf Allah TMRIM

«ASSISTANT SECURITE RESEAU ET HELP DESK»

(Third-Man Attack) PASCAL BONHEUR PASCAL 4/07/2001. Introduction. 1 Domain Name Server. 2 Commandes DNS. 3 Hacking des serveurs DNS

DISTANT ACESS. Emna TRABELSI (RT3) Chourouk CHAOUCH (RT3) Rabab AMMAR (RT3) Rania BEN MANSOUR (RT3) Mouafek BOUZIDI (RT3)

Mise en place des réseaux LAN interconnectés en

Configuration d'un Réseau Privé Virtuel (RPV ) communément appelé VPN

QoS sur les exemples de configuration de Cisco ASA

SECURITE DES DONNEES 1/1. Copyright Nokia Corporation All rights reserved. Ver. 1.0

VPN IP security Protocol

Plan. École Supérieure d Économie Électronique. Plan. Chap 9: Composants et systèmes de sécurité. Rhouma Rhouma. 21 Juillet 2014

Description des UE s du M2

How To? Sécurité des réseaux sans fils

Figure 1a. Réseau intranet avec pare feu et NAT.

Fonctionnement du protocole DHCP. Protocole DHCP (S4/C7)

HAUTE DISPONIBILITÉ DE MACHINE VIRTUELLE AVEC HYPER-V 2012 R2 PARTIE CONFIGURATION OPENVPN SUR PFSENSE

Administration Switch (HP et autres)

RESEAUX TCP/IP: NOTIONS AVANCEES. Preparé par Alberto EscuderoPascual

Complémentarité de DNSsec et d IPsec

Réseaux Privés Virtuels Virtual Private Network

Réseaux Privés Virtuels Virtual Private Network

Présentation et portée du cours : CCNA Exploration v4.0

Réseau : Interconnexion de réseaux, routage et application de règles de filtrage.

Réseaux Privés Virtuels

Module M3102 TP3. QoS : implémentation avec Cisco MQC

Administration Avancée de Réseaux d Entreprises (A2RE)

EMV, S.E.T et 3D Secure

ROUTAGE. Répondez aux questions suivantes : (A chaque fois pour XP et pour Debian)

Exercice Packet Tracer : Configuration de base des réseaux locaux virtuels

Eric DENIZOT José PEREIRA Anthony BERGER

Pare-feu VPN sans fil N Cisco RV120W

Transcription:

TP 8 Mise en place d'un VPN de couche 3 - Page 1 -

Sommaire Introduction...3 Schéma...3 Plan d'adressage...4 Configuration et vérification d'une liaison IPSec...4 Etape 1 Configuration de base du routeur 0...4 Etape 2 Configuration de base du routeur1...4 Etape 3 Tests de connectivité...5 Etape 5 Configuration du VPN sur Routeur0...5 Clé et noms utilisés :...5 Activation IKE :...5 Cryptage AES...6 Algorithme SHA & MD5...6 Création access-list...7 Fonction IPSec...7 Etape 6 Configuration du VPN sur Routeur1...7 Activation IKE :...7 Cryptage AES...8 Algorithme SHA & MD5...8 Création access-list...8 Fonction IPSec...9 Etape 7 - Configuration du VPN sur R1...9 Etape 8 Vérifications de base...10 Etape 9 Tests de connectivité...11 Etape 10 Vérification des échanges IPSec...12 Etape 11 Sauvegarde de la configuration active des routeurs sur un serveur TFTP...12 Conclusion...13 - Page 2 -

Introduction L'objectif de ce TP, est de comprendre comment mettre en place un VPN intersite de couche 3 à l'aide du protocole IPSec. C'est un ensemble de protocoles qui permettent de chiffrer des informations : IKE (Internet Key Exchange) pour authentifier les partenaires, négocier les paramètres de chiffrement et protéger les échanges. Le mode de transmission : mode transport (conservation des adresses source/origine), mode tunnel (utilisation des adresses externes des routeurs) La protection des paquets : mode d'authentification seule (AH Authentication Header), chiffrement et authentification (ESP Encryption Security Payload). Au cours de ce TP, nous verrons donc comment configurer les interfaces série sur des routeurs afin d'utiliser IPSec. Et enfin, tester et vérifier la liaison pour assurer la connectivité. Schéma - Page 3 -

Plan d'adressage Périphérique Nom d'hôte Adresse IP Serial 0/0 Adresse IP FastEthernet 0/0 Type d'interface Serial 0/0 Routeur0 R0 11.0.0.1/255.0.0.0 10.0.0.1/255.0.0.0 DCE Routeur1 R1 11.0.0.0/255.0.0.0 10.0.0.1/255.0.0.0 DTE PC0 PC0 / 10.0.0.2/255.0.0.0 / PC1 PC1 / 10.0.0.2/255.0.0.0 / Srv TFTP SRV0 / 10.0.0.3/255.0.0.0 / Configuration et vérification d'une liaison IPSec Etape 1 Configuration de base du routeur 0 Nous commençons par configurer le nom d'hôte, l'adresse IP et le type d'interface à utilisé. hostname Routeur0 ip address 11.0.0.1 255.0.0.0 clock rate 64000 Puis, nous indiquons la route vers le réseau 1 : ip route 12.0.0.0 255.0.0.0 11.0.0.2 Et nous enregistrons la configuration : copy running-config startup-config Etape 2 Configuration de base du routeur1 Nous commençons par configurer le nom d'hôte, l'adresse IP et le type d'interface à utilisé. hostname Routeur1 ip address 11.0.0.2 255.0.0.0 Puis, nous indiquons la route vers le réseau 1 : ip route 10.0.0.0 255.0.0.0 11.0.0.1 Et nous enregistrons la configuration : copy running-config startup-config - Page 4 -

Etape 3 Tests de connectivité Pour vérifier la connectivité entre les deux routeurs, le câblage et que les paramètres sont corrects, nous envoyons une commande ping de PC0 à PC1. De PC0 : ping 12.0.0.2 De PC1 : ping 10.0.0.2 Les commandes PING sont fonctionnelles. Etape 5 Configuration du VPN sur Routeur0 Clé et noms utilisés : Clé de cryptage pré-partagée des échanges Nom de sécurisation pour la négociation Nom de la liste d'accès contrôlant le trafic Nom de la fonction IPSec legrandsecret protectionnego traficautorise LANvLAN Activation IKE : Pour la configuration du VPN, nous commençons par activer IKE (Internet Key Exchange) sur le routeur. IKE est un protocole qui permet de faire communiquer les clés publiques et privées : crypto isakmp enable Une fois activé, il faut créer la stratégie de cryptage IKE de priorité numéro 1 : crypto ikakmp policy 1 Et pour terminer, nous indiquons que les deux routeurs utiliseront une clé pré-partagée : authentication pre-share - Page 5 -

Cryptage AES Par la suite, nous devons indiquer quel type de cryptage va être utilisé. Dans notre situation, nous allons choisir le crypate AES (Advanced Encryption Standard). Celui-ci utilise un échange de clés Diffie-Hellman. encryption aes group 5 L'avantage d'utilisé un cryptage AES, est qu'il est possible de choisir la longueur de la clé (128, 192, 256 bits). Il existe trois groupes Diffie-Hellman pour l'échange de clé : groupe 1 (768 bits), groupe 2 (1024 bits) et groupe 5 (1536 bits). Nous choisirons ce dernier, car plus le groupe est élevé, plus la sécurité sera élevé mais par conséquent, le temps de traitement deviendra également long. Algorithme SHA & MD5 Puis, pour veiller à l'intégrité des données, nous allons également mettre en place un algorithme de hachage. Il existe comme algorithme : sha md5 Nous avons libre choix mais nous allons choisir l'algorithme sha. hash sha Et nous créons la clé de destination de l'autre routeur ayant pour adresse IP 11.0.0.2 crypto isakmp key legrandsecret address 11.0.0.2 0.0.0.0 Le masque 0.0.0.0 correspond dans le routage, a 255.255.255.255 mais dans le cas de la mise en place du VPN, est inversé. C'est donc un masque générique. Après, nous protégeons la négociation (Sa : Security Association) entre les deux pairs : crypto ipsec transform-set protectionnego esp-aes esp-sha-hmac Ensuite, nous choisissons la durée de vie de la clé : crypto ipsec security-association lifetime seconds 86400 Pour la durée, nous choisissons 86400 secondes, soit une journée complète. - Page 6 -

Création access-list Nous passons à la création d'une access-list. Dans notre cas, elle aura pour objectif de désigner le trafic autorisé à transiter au travers du tunnel. Création de celle-ci : ip access-list extended traficautorise permit ip 10.0.0.0 0.255.255.255 12.0.0.0 0.255.255.255 Nous autorisons donc le trafic venant du réseau 10.0.0.0 auquel est relié le routeur R0, vers le réseau 12.0.0.0. Les masques génériques (inversés) sont encore utilisés : 10.0.0.0 / 0.255.255.255 désigne 10.0.0.0 / 255.0.0.0 12.0.0.0 / 0.255.255.255 désigne 12.0.0.0 / 255.0.0.0 Fonction IPSec Ensuite, nous activons, nommons et spécifions les paramètres de la fonction IPSec : crypto map LANvLAN 100 ipsec-isakmp match address traficautorise set peer 11.0.0.2 set pfs group5 set transform-set protectionnego Lorsque la fonction est créée, nous l'appliquons à l'interface Serial0/0/0 du routeur : interface serial 0/0/0 crypto map LANvLAN Etape 6 Configuration du VPN sur Routeur1 Activation IKE : Pour la configuration du VPN, nous commençons par activer IKE (Internet Key Exchange) sur le routeur. IKE est un protocole qui permet de faire communiquer les clés publiques et privées : crypto isakmp enable - Page 7 -

Une fois activé, il faut créer la stratégie de cryptage IKE de priorité numéro 1 : crypto ikakmp policy 1 Et pour terminer, nous indiquons que les deux routeurs utiliseront une clé pré-partagée : authentication pre-share Cryptage AES Nous indiquons quel type de cryptage va être utilisé. Comme sur le Routeur0, nous allons choisir le crypate AES (Advanced Encryption Standard). encryption aes group 5 Algorithme SHA & MD5 Comme précédemment, nous choisissons l'algorithme sha. hash sha Et nous créons la clé de destination de l'autre routeur ayant pour adresse IP 11.0.0.2 crypto isakmp key legrandsecret address 11.0.0.1 0.0.0.0 Le masque 0.0.0.0 correspond dans le routage, a 255.255.255.255 mais dans le cas de la mise en place du VPN, est inversé. C'est donc un masque générique. Après, nous protégeons la négociation entre les deux pairs : crypto ipsec transform-set protectionnego esp-aes esp-sha-hmac Ensuite, nous choisissons la durée de vie de la clé : crypto ipsec security-association lifetime seconds 86400 Création access-list Création d'une access-list sur le Routeur1 : ip access-list extended traficautorise permit ip 12.0.0.0 0.255.255.255 10.0.0.0 0.255.255.255 - Page 8 -

Fonction IPSec Ensuite, nous activons, nommons et spécifions les paramètres de la fonction IPSec : crypto map LANvLAN 100 ipsec-isakmp match address traficautorise set peer 11.0.0.2 set pfs group5 set transform-set protectionnego Lorsque la fonction est créée, nous l'appliquons à l'interface Serial0/0/0 du routeur : interface serial 0/0/0 crypto map LANvLAN Etape 7 - Configuration du VPN sur R1 Comme pour le routeur R0, nous activons IKE, nous créons la stratégie de cryptage, nous indiquons aux routeurs que nous utilisons une clé pré-partagée, nous choisissons un cryptage de type AES et nous utilisons un algorithme de hachage "sha". Ce qui sera différent, c'est lors de la création de la clé, à destination de l'autre routeur. Celui-ci dispose de l'adresse 11.0.0.1. crypto isakmp key legrandsecret address 11.0.0.1 0.0.0.0 Puis, mêmes manipulations pour la mise en place de la protection de la négociation ainsi que pour la durée de vie de la clé. Pour la création de access-list, les manipulations vont quelques peu changer : ip access-list extended traficautorise permit ip 12.0.0.0 0.255.255.255 10.0.0.0 0.255.255.255 - Page 9 -

Et pour l'activation et le nommage de la fonction IPSec, seule l'adresse IP change : crypto map LANvLAN 100 ipsec-isakmp match address traficautorise set peer 11.0.0.1 set pfs group5 set transform-set protectionnego Et enfin pour finir, nous appliquons la fonction créée à l'interface du routeur interface serial 0/0/0 crypto map LANvLAN Etape 8 Vérifications de base A partir du routeur R0& R1, nous vérifions les stratégies IKE : show crypto isakmp policy Pour R0 : L'algorithme de cryptage de priorité 1 est AES. L'algorithme d'intégrité des données de priorité 1 est SHA (Secure Hash Standard) Le groupe Diffie-Hellman de priorité 1 est 1 (768 bits). Pour R1 : L'algorithme de cryptage de priorité 1 est AES. L'algorithme d'intégrité des données de priorité 1 est SHA (Secure Hash Standard) Le groupe Diffie-Hellman de priorité 1 est 1 (768 bits). - Page 10 -

Puis toujours sur les 2 routeurs, nous affichons la focntion IPSec : show crypto map Pour R0 : Les pairs sont bien présentes. Les access-list sont bien affichées. L'interface Serial 0/0/0 est bien désignée (LANvLAN). Pour R1 : Les pairs sont bien présentes. Les access-list sont bien affichées. L'interface Serial 0/0/0 est bien désignée (LANvLAN). Ensuite, nous utilisons la commande pour afficher la transformation effectuée pour le mode de transmission : show crypto ipsec transform-set Pour R0 : Le mode de transmission utilisé est tunnel. Pour R1 : Le mode de transmission utilisé est tunnel. Etape 9 Tests de connectivité Nous envoyons une requête ping de PC0 vers PC1 afin de vérifier la connectivité entre les 2 routeurs : De PC0 : ping 12.0.0.2 La commande a bien fonctionnée. - Page 11 -

De PC1 : ping 10.0.0.2 La commande a bien fonctionnée. Etape 10 Vérification des échanges IPSec Nous allons affichons sur les 2 routeurs, les informations relatives aux associations de sécurité : show crypto isakmp sa Sur R0, le partenaire source est 11.0.0.1 et la destination est 11.0.0.2. Sur R1, le partenaire source est 11.0.0.2 et la destination est 11.0.0.1. Et toujours sur les routeurs, nous affichons les échanges IPSec d'associations de sécurité : show crypto ipsec sa Les paquets sont bien mentionnés. Etape 11 Sauvegarde de la configuration active des routeurs sur un serveur TFTP Pour finir, nous décidons de sauvegarder la configuraton active des routeurs sur un serveur TFTP. Pour cela, il nous suffit d'ajouter un serveur sous Cisco Packet Tracer et nous nous assurons que le service TFTP soient bien activé. Et nous lui attribuons les paramètres IP suivants : Adresse IP : 10.0.0.3 Masque : 255.0.0.0 Passerelle : 10.0.0.1 - Page 12 -

Et pour sauvegarder leur configuration, nous entrons la commande suivante sur chacun des routeurs : copy running-config tftp Sera ensuite demandée : L'adresse IP du serveur TFTP : 10.0.0.3 Le nom de destination du fichier de sauvegarde : save-config-r (n du routeur) Conclusion Au cours de ce TP, nous aurons donc appris comment créer, mettre en place et paramétrer un VPN de couche 3. Nous aurons également découvert l'importance de certains algorithmes comme le SHA ou le MD5 mais également certains algorithmes de sécurité comme DES, AES, ISA ou RSA. Et pour terminer, nous aurons pris en main des fonctions comme IPSec ou comme protocole, IKE. - Page 13 -

2024 © DocPlayer.fr Politique de confidentialité | Conditions de service | Feed-back