VPN : Virtual Private Network

1
VPN Virtual Private Network

• Confidentialité
• Intégrité des communications
• Authentification
• CIA comparable à celle des réseaux privés, mais à
  moindre coût
• VPN tunnelling encryption

2
Types de VPN - Remote-access (Dial-up
VPNs) - Site-to-site (focus du cours)
(LAN-to-LAN)
3
Table des matières
4
Tunnelling protocols

• L2TP Pas dencryption (??)(To strengthen the
  encryption of the data it handles, L2TP uses
  IPSec's encryption methods)Utilisé pour les
  Dial-up VPNs.
• GRE (Cisco) Multi-protocoles, pas
  dencryptionGRE is typically used to tunnel
  multicast packets such as routing protocols.
• IP Sec IP unicast seulement encryption.-
  Utilise Internet Key Exchange (IKE) (aussi appelé
  ISAKMP)- Pour VPNs entre 2 LANs (site-to-site)
  (routeur à routeur ou à PIX)

5
Cisco crypto
Intégrité des données
6
Encryption

• Symétrique (secret-key encryption) DES, 3DES et
  AES
• Asymétrique (public-key encryption) RSA et EI
  Utilisé surtout pour léchange de clés car cest
  très exigeant pour le CPU

7
Échange de clés

• Algorithme Diffie-Hellman (DH)
• groupe 1 768 bits
• groupe 2 1024 bits
• CA (Certificate Authority)
• Manuel (pas déchange)

Based on the numbers and locations of IPSec
peers. For a small network, keys may be
distributed manually. For larger networks, use a
CA
8
Hashing HMAC-MD5 (clé de 128 bits)
HMAC-SHA-1 (clé de 160 bits)
Garanties message integrity
9
IP Sec
Encapsulating Security Payload
Authentication Header
10
IPSec

• Sécurité incorporée à la couche 3(par contraste
  avec SSL qui incorpore la sécurité au niveau de
  lapplication et avec L2TP qui lincorpore à la
  couche 2)

11
Encapsulations AH vs ESP

• AH
• Connectionless integrity
• Data origin authentication
• Anti-replay service, a form of partial sequence
  integrity
• ESP
• Confidentiality
• Data origin authentication
• Connectionless integrity
• Anti-replay service, a form of partial sequence
  integrity
• Limited traffic flow confidentiality, by
  defeating traffic flow analysis
• NAT compatible

12
Tunnel versus Transport Mode
Hash
13
Tunnel versus Transport Mode
ESP transport mode is used between hosts.
14
Security Associations (SA)
Espèce de contrat entre les deux
15
IPSec ProtocolFramework
IPSec Framework
Choices
IPSec Protocol
Encryption
Authentication (of packets)
Diffie-Hellman
16
IPSec 5 étapes
(quick mode)
17
Algorithme IP Sec
18
Configuration de IP Sec
19
IKE Phase 1
20
Identité et clé ISAKMP (IKE)
Configuration IKE - Phase 1
Par défaut
Pre-shared key Up to 128 bytes Alphanumeric
21
Configuration IKE - Phase 1(suite)
Valeurs par défaut
RouterAshow crypto isakmp policy
22
IKE Phase 2
23
IKE Phase 2 (Quick mode)Transform sets
24
IKE Phase 2 exemple
25

• IKE benefits
• Eliminates the need to manually specify all the
  IPSec security parameters in the crypto maps at
  both peers.
• Allows the user to specify a lifetime for the
  IPSec security association.
• Allows encryption keys to change during IPSec
  sessions.
• Allows IPSec to provide anti-replay services.
• Permits certification authority (CA) support for
  a manageable, scalable IPSec implementation.
• Allows dynamic authentication of peers.

26
Configuration Phase 2 Exemple
27
Exemple
28
Voir ces sites

• http//www.cisco.com/warp/public/110/38.htmlprere
  q
• http//www.iec.org/online/tutorials/vpn/index.html