Travaux pratiques VPN IPsec CISCO de site à site



Documents pareils
Les réseaux /24 et x0.0/29 sont considérés comme publics

SECURIDAY 2013 Cyber War

ASA/PIX : Exemple de configuration d'adressage IP statique pour client VPN IPSec avec CLI et ASDM

DFL-210, DFL-800, DFL-1600, DFL-2500 Comment configurer une connexion VPN IPSec site à site

Sécurité des réseaux IPSec

Mise en route d'un Routeur/Pare-Feu

Un équipement (clé USB, disque dur, imprimante, etc.) est connecté au port USB.

Configuration d un Client VPN «TheGreenBow» 1) Création d un compte utilisateur dans la base LDAP Netasq

Résumé et recommandations

Windows Server 2008 Sécurité ADMINISTRATION ET CONFIGURATION DE LA SECURITE OLIVIER D.

TP réseaux Translation d adresse, firewalls, zonage

PRODUCTION ASSOCIEE. Le réseau de la M2L est organisé VLANs et comporte des commutateurs de niveau 2 et des routeurs.

comment paramétrer une connexion ADSL sur un modemrouteur

TR2 : Technologies de l'internet. Chapitre VI. NAT statique et dynamique Overloading (PAT) Overlapping, port Forwarding Serveur Proxy, DMZ

Arkoon Security Appliances Fast 360

2. MAQUETTAGE DES SOLUTIONS CONSTRUCTIVES. 2.2 Architecture fonctionnelle d un système communicant.

Travaux pratiques : dépannage de la configuration et du placement des listes de contrôle d'accès Topologie

TECHNICAL NOTE. Configuration d un tunnel VPN entre un firewall NETASQ et le client VPN. Authentification par clé pré-partagée. Version 7.

Fonctionnement du protocole DHCP. Protocole DHCP (S4/C7)

Réseaux. Moyens de sécurisation. Plan. Evolutions topologiques des réseaux locaux

SSL ET IPSEC. Licence Pro ATC Amel Guetat

Configuration d'un Réseau Privé Virtuel (RPV ) communément appelé VPN

PRODUCTION ASSOCIEE. Le réseau de la M2L est organisé VLANs et comporte des commutateurs de niveau 2 et des routeurs.

Mise en service d un routeur cisco

Les Réseaux Privés Virtuels (VPN) Définition d'un VPN

Exemple de configuration USG

Les logos et marques cités dans ce document sont la propriété de leurs auteurs respectifs

Sécurité des réseaux wi fi

Routage Statique. Protocoles de Routage et Concepts. Version Cisco Systems, Inc. All rights reserved. Cisco Public 1

Table des matières 1 Accès distant sur Windows 2008 Server Introduction...2

Passerelle de Sécurité Internet Guide d installation

Figure 1a. Réseau intranet avec pare feu et NAT.

Intérêt du NAT (Network Address Translation) Administration Réseau Niveau routage. Exemple d Intranet. Principe NAT

HAUTE DISPONIBILITÉ DE MACHINE VIRTUELLE AVEC HYPER-V 2012 R2 PARTIE CONFIGURATION OPENVPN SUR PFSENSE

Virtual Private Network WAFA GHARBI (RT4) CYRINE MAATOUG (RT4) BOCHRA DARGHOUTH (RT4) SALAH KHEMIRI (RT4) MARWA CHAIEB (RT3) WIEM BADREDDINE (RT3)

Comment fonctionne le PATH MTU dans les tunnels GRE et IPSec?

TP Configuration de l'authentification OSPF

Date : 08/02/12 SISR1 tp.topologie.reseau.wan Durée : 2 h

Les Protocoles de sécurité dans les réseaux WiFi. Ihsane MOUTAIB & Lamia ELOFIR FM05

Devoir Surveillé de Sécurité des Réseaux

Les réseaux des EPLEFPA. Guide «PfSense»

Réseaux Privés Virtuels Virtual Private Network

Réseaux Privés Virtuels Virtual Private Network

Packet Tracer : configuration des listes de contrôle d'accès étendues, scénario 1

Plan. École Supérieure d Économie Électronique. Plan. Chap 9: Composants et systèmes de sécurité. Rhouma Rhouma. 21 Juillet 2014

Le protocole SSH (Secure Shell)

DISTANT ACESS. Emna TRABELSI (RT3) Chourouk CHAOUCH (RT3) Rabab AMMAR (RT3) Rania BEN MANSOUR (RT3) Mouafek BOUZIDI (RT3)

«ASSISTANT SECURITE RESEAU ET HELP DESK»

1. Présentation de WPA et 802.1X

Configuration du matériel Cisco. Florian Duraffourg

Travaux pratiques Configuration du protocole DHCP avec SDM et l interface de ligne de commande Cisco IOS


QoS sur les exemples de configuration de Cisco ASA

GNS 3 Travaux pratiques

VOIP. QoS SIP TOPOLOGIE DU RÉSEAU

Travaux pratiques : configuration de la traduction d adresses de port (PAT)

Skype (v2.5) Protocol Data Structures (French) Author : Ouanilo MEDEGAN

Cryptologie. Algorithmes à clé publique. Jean-Marc Robert. Génie logiciel et des TI

Travaux pratiques : configuration et vérification des listes de contrôle d'accès IPv6 Topologie

Sécuriser son réseau. Sécuriser son réseau Philippe Weill (IPSL/LATMOS) Frédéric Bongat (SSI/GOUV/FR)

Exercice : configuration de base de DHCP et NAT

Mettre en place un accès sécurisé à travers Internet

le nouveau EAGLEmGuard est arrivé. Dissuasion maximum pour tous les pirates informatiques:

Tunnels et VPN. 22/01/2009 Formation Permanente Paris6 86

Note technique. Recommandations de sécurité relatives à IPsec 1 pour la protection des flux réseau

Transmission de données

Organisation du parcours M2 IR Les unités d enseignements (UE) affichées dans la partie tronc commun sont toutes obligatoires, ainsi que le stage et

Firewall ou Routeur avec IP statique

Mission 2 : Prise de contrôle à distance sur les éléments d'infrastructures, les serveurs (Contrôleur de domaine et DHCP) et les clients

Pare-feu VPN sans fil N Cisco RV120W

Sécurité GNU/Linux. Virtual Private Network

MONNIER Marie /2009 WPA

BlackBerry Business Cloud Services. Guide de référence sur les stratégies

Approfondissement Technique. Exia A5 VPN

Le protocole RADIUS Remote Authentication Dial-In User Service

Gestion des Clés. Pr Belkhir Abdelkader. 10/04/2013 Pr BELKHIR Abdelkader

Contenu. Cocher : Network Policy and Access Services > Next > Next. Cocher : Network Policy Server > Next > Install

Sécurité des réseaux sans fil

Réseaux TP4 Voix sur IP et Qualité de service. Partie 1. Mise en place du réseau et vérification de la connectivité

Travaux pratiques IPv6

SECURITE DES DONNEES 1/1. Copyright Nokia Corporation All rights reserved. Ver. 1.0

LAB : Schéma. Compagnie C / /24 NETASQ

Les ACL Cisco. F. Nolot Master 2 Professionnel STIC-Informatique 1

La sécurité des réseaux. 9e cours 2014 Louis Salvail

INSTALLATION D'OPENVPN:

IPSEC : PRÉSENTATION TECHNIQUE

Mise en place d'un Réseau Privé Virtuel

Sécurité et Firewall

ROUTEURS CISCO, PERFECTIONNEMENT

VPN IP security Protocol

IUT d Angers License Sari Module FTA3. Compte Rendu. «Firewall et sécurité d un réseau d entreprise» Par. Sylvain Lecomte

Chapitre 7. Sécurité des réseaux. Services, attaques et mécanismes cryptographiques. Hdhili M.H. Cours Administration et sécurité des réseaux

Configurer ma Livebox Pro pour utiliser un serveur VPN

SAGEM Wi-Fi 11g USB ADAPTER Guide de mise en route rapide

Eric DENIZOT José PEREIRA Anthony BERGER

Cisco Certified Voice Professional. Comprendre la QoS

VPN TLS avec OpenVPN. Matthieu Herrb. 14 Mars 2005

Transcription:

Travaux pratiques VPN IPsec CISCO de site à site Je vais vous ici montrer comment créer une liaison d'interconnexion site à site, au travers d un réseau non sécurisé, tel qu'internet. Cette liaison est un tunnel VPN IPsec utilisé afin de sécuriser une connexion entre deux sites. Afin de mieux comprendre le principe du fonctionnement des VPN IPsec, je vous renvoi à la lecture du mémo IPsec que je vous avais remis. Le TP vise à montrer la configuration de base pour l établissement du VPN IPsec site à site (de routeur à routeur), reposant sur le protocole ISAKMP avec secret partagé. Chaque site reproduit l'image d un petit réseau local accédant à internet via un routeur NAT avec fonction ''overload''. La topologie utilisée pour la maquette Les routeurs utilisés sont des Cisco 2811. Configuration de base de routeur1 Router(config)#hostname Routeur1 Routeur1(config)#interface FastEthernet 0/0 Routeur1(config-if)#no shutdown Routeur1(config-if)#ip address 10.0.0.254 255.0.0.0 Routeur1(config-if)#ip nat inside Routeur1(config-if)#exit Routeur1(config)#interface Serial 0/0/0 Routeur1(config-if)#no shutdown Routeur1(config-if)#ip address 101.0.0.253 255.0.0.0 Routeur1(config-if)#ip nat outside Routeur1(config-if)#exit Routeur1(config)#ip route 0.0.0.0 0.0.0.0 101.0.0.254 Routeur1(config)#do wr TP VPN IPsec Jean GAUTIER 1

Mise en place de la fonction NAT sur Routeur1 Routeur1(config)#access-list 100 deny ip 10.0.0.0 0.255.255.255 30.0.0.0 0.255.255.255 Routeur1(config)#access-list 100 permit ip 10.0.0.0 0.255.255.255 any Routeur1(config)#ip nat inside source list 100 interface Serial 0/0/0 overload Routeur1(config)#do wr Configuration de base de routeur2 Router(config)#hostname Routeur2 Routeur2(config)#interface FastEthernet 0/0 Routeur2(config-if)#no shutdown Routeur2(config-if)#ip address 30.0.0.254 255.0.0.0 Routeur2(config-if)#ip nat inside Routeur2(config-if)#exit Routeur2(config)#interface Serial 0/0/0 Routeur2(config-if)#no shutdown Routeur2(config-if)#ip address 102.0.0.253 255.0.0.0 Routeur2(config-if)#ip nat outside Routeur2(config-if)#exit Routeur2(config)#ip route 0.0.0.0 0.0.0.0 102.0.0.254 Routeur2(config)#do wr Mise en place de la fonction NAT sur Routeur2 Routeur2(config)#access-list 100 deny ip 30.0.0.0 0.255.255.255 10.0.0.0 0.255.255.255 Routeur2(config)#access-list 100 permit ip 30.0.0.0 0.255.255.255 any Routeur2(config)#ip nat inside source list 100 interface Serial 0/0/0 overload Routeur2(config)#do wr Configuration de base de routeur3 (le routeur central) Router(config)#hostname Routeur3 Router3(config)#interface Serial 0/0/0 Router3(config-if)#clock rate 2000000 Routeur3(config-if)#no shutdown Routeur3(config-if)#ip address 101.0.0.254 255.0.0.0 Routeur3(config-if)#exit Router3(config)#interface Serial 0/0/1 Router3(config-if)#clock rate 2000000 Routeur3(config-if)#no shutdown Routeur3(config-if)#ip address 102.0.0.254 255.0.0.0 Routeur3(config-if)#exit Routeur3(config)#ip route 10.0.0.0 255.0.0.0 101.0.0.253 Routeur3(config)#ip route 30.0.0.0 255.0.0.0 102.0.0.253 Routeur3(config-if)#do wr TP VPN IPsec Jean GAUTIER 2

Mise en place du tunnel VPN IPsec Configuration de la négociation des clés (phase 1) Détail de la configuration sur Routeur1 L'objectif est d activer le protocole 'IKE', configurer le protocole 'ISAKMP' qui gère l échange des clés et établir une stratégie de négociation des clés et d établissement de la liaison VPN. La clé pré partagée (PSK) sera définie avec pour valeur 'CLESECRETE'. On va ici utiliser les paramètres suivants: Encryptage AES Mode de secret partagé PSK Authentification par clé pré-partagées Algorithme de hachage SHA (valeur par défaut) Méthode de distribution des clés partagées DH-2 (clés Diffie-Hellman groupe 2-1024bits) Durée de vie 86400 secondes (valeur par défaut) On spécifie le protocole de hash utilisé, le type et la durée de validité des clés de sessions. On indique ensuite si le routeur 'peer' (celui situé au bout du tunnel) est identifié par un nom ou son adresse. Routeur1(config)#crypto isakmp enable active IKE Routeur1(config)#crypto isakmp policy 10 active une politique IKE Routeur1(config-isakmp)# encryption aes fixe l'algorithme de cryptage Routeur1(config-isakmp)# authentication pre-share fixe la méthode d'authentification Routeur1(config-isakmp)# hash sha fixe l'algorithme de hachage Routeur1(config-isakmp)# group 2 définit le groupe Diffie Hellman Routeur1(config-isakmp)# lifetime 86400 fixe la durée de vie de la SA Routeur1(config-isakmp)#exit Routeur1(config)# crypto isakmp key CLESECRETE address 102.0.0.253 indique la clé partagée et l'adresse du routeur pair qui doit être contacté TP VPN IPsec Jean GAUTIER 3

Configuration de la méthode de chiffrage des données (phase 2) Il faut établir l'opération en trois phases 1. Créer la méthode de cryptage (transform-set) que je nomme ''VPNLABO'', avec ''espaes'' comme méthode de cryptage et ''esp-sha-hmac'' comme méthode d authentification. On définit la durée de vie de la clé soit en durée (secondes). 2. Je créé ensuite une liste de contrôle d'accés (access-list) que je nomme ''VPN'', servant à identifier le trafic à traiter par le tunnel VPN. Pour Routeur1, ce sera le trafic d'origine 10.0.0.0/8 à destination de 30.0.0.0/8. 3. Je déclare finalement une carte de cryptage (crypto-map) que j'appelle ''CARTEVPN'', servant à spécifier le pair distant, le 'transform set' et l'access list. Voici le détail de la configuration sur Routeur1 Routeur1(config)#crypto ipsec transform-set VPNLABO esp-aes esp-sha-hmac Routeur1(config)#crypto ipsec security-association lifetime seconds 86400 Routeur1(config)#ip access-list extended VPN Routeur1(config-ext-nacl)#permit ip 10.0.0.0 0.255.255.255 30.0.0.0 0.255.255.255 Routeur1(config-ext-nacl)#exit Routeur1(config)#crypto map CARTEVPN 10 ipsec-isakmp Routeur1(config-crypto-map)# match address VPN Routeur1(config-crypto-map)#set peer 102.0.0.253 Routeur1(config-crypto-map)#set transform-set VPNLABO Routeur1(config-crypto-map)#exit Il faut maintenant appliquer la crypto-map à l interface WAN de Routeur1. Routeur1(config)# interface serial 0/0/0 Routeur1(config-if)#crypto map CARTEVPN Routeur1(config-if)#do wr Le Routeur1 est prêt, il reste à faire l équivalent sur Routeur2. TP VPN IPsec Jean GAUTIER 4

Voici le détail de la configuration sur Routeur2 La configuration est très similaire, il suffit d'adapter les adresses des réseaux à filtrer et préciser l'adresse du routeur pair. Routeur2(config)#crypto isakmp enable Routeur2(config)#crypto isakmp policy 10 Routeur2(config-isakmp)# encryption aes Routeur2(config-isakmp)#authentication pre-share Routeur2(config-isakmp)#hash sha Routeur2(config-isakmp)#group 2 Routeur2(config-isakmp)#lifetime 86400 Routeur2(config-isakmp)#exit Routeur2(config)# crypto isakmp key CLESECRETE address 101.0.0.253 Routeur2(config)# crypto ipsec transform-set VPNLABO esp-aes esp-sha-hmac Routeur2(config)# crypto ipsec security-association lifetime seconds 86400 Routeur2(config)# ip access-list extended VPN Routeur2(config-ext-nacl)# permit ip 30.0.0.0 0.255.255.255 10.0.0.0 0.255.255.255 Routeur2(config-ext-nacl)# exit Routeur2(config)# crypto map CARTEVPN 10 ipsec-isakmp Routeur2(config-crypto-map)# match address VPN Routeur2(config-crypto-map)#set peer 101.0.0.253 Routeur2(config-crypto-map)#set transform-set VPNLABO Routeur2(config-crypto-map)#exit Routeur2(config)# interface serial 0/0/0 Routeur2(config-if)#crypto map CARTEVPN Routeur2(config-if)#do wr Vérification du fonctionnement tunnel VPN Pour établir la liaison VPN et vérifier le fonctionnement, il faut envoyer du trafic au travers du tunnel, on faisant un ping entre les stations. Une fois le tunnel configuré, plusieurs commandes permettent de vérifier si le tunnel fonctionne Routeur1#show crypto isakmp policy Routeur1#show crypto isakmp sa Routeur1#show crypto ipsec sa TP VPN IPsec Jean GAUTIER 5

2026 © DocPlayer.fr Politique de confidentialité | Conditions de service | Feed-back