Pr

1
VPN(Virtual Private Networks)
2
Sommaire
Présentation des VPN Scénarios VPN Choix
de technologies VPN VPN termes clés IPSec
Présentation du système de cryptage de l'IOS
Cisco Cryptage Technologies IPSec
Taches de configuration IPSec
3
Présentation des VPN
Un VPN transporte du trafic privé sur un réseau
public en utilisant du cryptage et destunnels
pour obtenir La confidentialité des données
L'intégrité des données L'authentification
des utilisateurs
Un réseau privé virtuel (VPN) est défini comme
une connectivité réseau déployée sur une
infrastructure partagée avec les mêmes politiques
de sécurité que sur un réseau privé. Un VPN
peut être entre deux systèmes d'extrémité ou
entre deux ou plusieurs réseaux. Un VPN est
construit en utilisant des tunnels et du
cryptage. Un VPN peut être construit au niveau
de n'importe quelle couche du modèle OSI. Un
VPN est une infrastructure WAN alternative aux
réseaux privés qui utilisent des lignes louées
ou des réseaux d'entreprise utilisant Fame Relay
ou ATM.
4
Présentation des VPN
Un VPN transporte du trafic privé sur un réseau
public en utilisant du cryptage et destunnels
pour obtenir La confidentialité des données
Intégrité des données L'authentification des
utilisateurs
Les VPNs fournissent trois fonctions
essentielles - Confidentialité (cryptage) -
L'émetteur peut crypter les paquets avant de les
transmettre dans le réseau. - Par
ce moyen, si la communication est interceptée les
données ne pourront pas être lues. -
Intégrité des données - Le récepteur peut
vérifier si les données n'ont pas été altérées
lors de leur passage dans le réseau. -
Authentification - Le récepteur peut authentifier
la source du paquet, garantissant et
certifiant la source de l'information.
5
Présentation des VPN
VPN
Conventionnel
Site Central
Site Central
Frame Relay
Frame Relay
RéseauFrame Relay
RéseauFrame Relay
TunnelVPN
Frame Relay
Frame Relay
Site distant
Site distant
Coût élevé Peu flexible Gestion WAN
Topologies complexes
Faible coût Plus flexible Gestion
simplifiée Topologie tunnel
Les principaux avantages sont - Les
VPNs amènent des coûts plus faibles que les
réseaux privés. - Les coûts de la
connectivité LAN-LAN sont réduits de 20 à 40
pourcent par rapport à une ligne
louée. . - Les VPNs offrent plus de
flexibilité et d'évolutivité que des
architectures WAN classiques
6
Présentation des VPN
VPN
Conventionnel
Site Central
Site Central
Frame Relay
Frame Relay
RéseauFrame Relay
RéseauFrame Relay
TunnelVPN
Frame Relay
Frame Relay
Site distant
Site distant
Coût élevé Peu flexible Gestion WAN
Topologies complexes
Faible coût Plus flexible Gestion
simplifiée Topologie tunnel
Les principaux avantages sont - Les
VPNs simplifient les tâches de gestion comparé à
la l'exploitation de sa propre
infrastructure de réseau. - Les VPNs
fournissent des topologies de réseaux avec
tunnels qui réduisent les taches de
gestion. - Un backbone IP n'utilise
pas les circuits virtuels permanents (PVCs) avec
des protocoles orientés connexion
tels ATM et Frame Relay.
7
Présentation des VPN
Réseau Privé
Cryptage
MessageCrypté
Cryptage
Décryptage
Un réseau virtuel est crée en utilisant la
capacité de faire transporter un protocole par
un autre (Tunnel) sur une connexion IP
standard. GRE (Generic Routing Encapsulation)
et L2TP (Layer 2 Tunneling Protocol) sont deux
méthodes de "tunneling" et sont toutes les deux
configurables sur les routeurs Cisco. La
troisième méthode, IPSec est également
configurable sur les routeurs Cisco. Un réseau
privé assure la Confidentialité, l'Intégrité et
l'Authentification. Le cryptage des données et
le protocole IPSec permettent aux données de
traverser Internet avec la même sécurité que
sur un réseau privé.
8
Présentation des VPN Tunneling et Cryptage
Un tunnel est une connexion point à point
virtuelle Un tunnel transporte un protocole à
l'intérieur d'un autre Le cryptage transforme
les informations en texte chiffré Le décryptage
restore les informations à partir du texte chiffré
Bien que Internet ait offert de nouvelles
opportunités aux entreprises, il a aussi crée
une grande dépendance des réseaux et un besoin
de protection contre une grande variété de
menaces sur la sécurité. La fonction
principale d'un VPN est d'offrir cette protection
avec du cryptage au travers d'un tunnel.
9
Présentation des VPN Tunneling et Cryptage
Un tunnel est une connexion point à point
virtuelle Un tunnel transporte un protocole à
l'intérieur d'un autre Le cryptage transforme
les informations en texte chiffré Le décryptage
restore les informations à partir du texte chiffré
Les tunnels fournissent des connexions logiques
point à point au travers d'un réseau IP en
mode non-connecté. Ceci permet d'utiliser des
fonctionnalités de sécurité améliorées. Les
Tunnels des solutions VPN emploient le cryptage
pour protéger les données pour qu'elles ne
soient pas lisibles par des entités
non-autorisées et l'encapsulation multiprotocole
si cela est nécessaire.
10
Présentation des VPN Tunneling et Cryptage
Un tunnel est une connexion point à point
virtuelle Un tunnel transporte un protocole à
l'intérieur d'un autre Le cryptage transforme
les informations en texte chiffré Le décryptage
restore les informations à partir du texte chiffré
Le cryptage assure que le message pourra pas
être lu et compris uniquement par le receveur
Le cryptage transforme une information en un
texte chiffré sans signification sous sa forme
cryptée. Le décryptage restore le texte
chiffré en information originale destinée au
receveur.
11
Scénarios VPN
PC à Routeur/Concentrateur
Routeur à Routeur
PC à Pare-Feu
Routeur à plusieurs routeurs
12
Scénarios VPN
Partenaire
Fournisseur
Entreprise
AAA
DMZ
OpérateurB
OpérateurA
Serveurs WebServeur DNSRelais Mail SMTP
Agence
Utilisateur Mobileou Télétravailleur
AgenceRégionale
ServiceDistant
Un réseau basé uniquement sur des connexions
fixes entre des sites d'entrprises tels que des
agences locales ou régionales avec un site
central n'est plus suffisant aujourd'hui pour
beaucoup d'entreprises. Des options de
connexions avec des clients , des partenaires
commerciaux dans un système plus ouvert sont
des ajouts aux connexions réseau standards.
13
Scénarios VPN
Accès Distants Clients
Site Central
DSLCable
Télétravailleur
Télétravailleur
Extranet Business
Mobile
Il y a deux types d'accès VPN - Initié
par le client - Des utilisateurs distants
utilisent des clients VPN pour établir un
tunnel sécurisé au travers d'un réseau
d'opérateur avec une entreprise. - Initié
par le serveur d'accès Réseau - Les utilisateurs
distants se connectent à un opérateur
- Le serveur d'accès distant établit un tunnel
sécurisé vers le réseau privé de l'entreprise
qui doit pouvoir supporter de multiples
sessions distantes initiées par un utilisateur.
14
Scénarios VPN VPN initié par le client
Accès Distants Clients
Site Central
DSLCable
Internet
Télétravailleur
Extranet Business
Mobile
Les VPNs site à site ont aussi deux fonctions
principales - Les VPNs Intranet connectent
des sites centraux d'entreprise, des sites
distants, des agences au travers d'une
infrastructure publique. - Les VPNs
Extranets relient des clients, des fournisseurs,
des partenaires commerciaux à un intranet
d'entreprise au travers d'une infrastructure
publique.
15
Scénarios VPN VPN initié par le client
Accès Distants Clients
Site Central
DSLCable
Internet
Télétravailleur
Extranet Business
Mobile
L' accès distant est ciblé pour les
utilisateurs mobiles ou les télétravailleurs.
Les entreprises supportaient les utilisateurs
distants via des réseaux d'accès par appel. -
Ce scénario nécessitait un appel payant ou un
numéro vert pour accéder à l'entreprise. Avec
l'arrivée des VPNs, les utilisateurs mobiles
peuvent se connecter à leur opérateur pour
accéder à l'entreprise via Internet quelque soit
l'endroit ou ceux-ci se trouvent. Les accès
distants VPN peuvent satisfaire les besoins des
utilisateurs mobiles, des clients Extranet,
des télétravailleurs, etc....
16
Scénarios VPN VPN initié par le client
Les VPNs Accès distant sont une extension des
réseaux d'accès distants par appel. Les VPNs
Accès distant peuvent se terminer sur des
équipements frontaux tels que les routeurs
Cisco, les pare-feu PIX ou les concentrateurs
VPN. Les clients accès distant peuvent être
des routeurs Cisco et des clients VPN Cisco.
17
Scénarios VPN VPN initié par le serveur
d'accès
Site Central
Sites Distants
DSLCableModem
Internet
POP
Télétravailleur
Intranet
ExtranetB to B
Intranet
Un VPN site à site peut être utilisé pour
connecter des sites d'entreprise. Des lignes
louées ou une connexion Frame Relay étaient
nécessaires mais aujourd'hui toutes les
entreprises ont un accès Internet. Un VPN
peut supporter des intranets de l'entrprise et
des extranets des partenaires commerciaux
Les VPNs site à site peuvent être construits avec
des routeurs Cisco, des pare-feu PIX et des
concentrateurs VPN.
18
Choix de technologies VPN Cryptage dans
plusieurs couches
Couche Application
SSHS/MIME
ApplicationCouches (5-7)
SSL
Couche Transport
Couche Réseau
IPSec
Réseau/TransportCouches (3-4)
Physique/LiaisonCouches (1-2)
CryptageCoucheLiaison
CryptageCoucheLiaison
Différentes méthodes pour la protection de VPN
sont implémentées sur différentes couches.
Fournir de la protection et des services de
cryptographie au niveau de la couche
application était très utilisé dans le passé et
l'est toujours pour des cas très précis.
19
Choix de technologies VPN Cryptage dans
plusieurs couches
Couche Application
SSHS/MIME
ApplicationCouches (5-7)
Couche Transport
SSL
Couche Réseau
IPSec
Réseau/TransportCouches (3-4)
Physique/LiaisonCouches (1-2)
CryptageCoucheLiaison
CryptageCoucheLiaison
L'IETF a un protocole basé sur des standards
appelé S/MIME ( Secure/Multipurpose Internet
Mail Extensions) pour des applications VPNs
générées par différents composants d'un
système de communication. - Agents de
transfert de message, passerelles,...
Cependant, la sécurité au niveau de la couche
application est spécifique à l'application et
les méthodes de protection doivent être
implémentées à chaque nouvelle application.
20
Choix de technologies VPN Cryptage dans
plusieurs couches
Couche Application
SSHS/MIME
ApplicationCouches (5-7)
Couche Transport
SSL
Couche Réseau
IPSec
Réseau/TransportCouches (3-4)
Physique/LiaisonCouches (1-2)
CryptageCoucheLiaison
CryptageCoucheLiaison
Des standards au niveau de la couche transport
ont eu beaucoup de succés Le protocole tel SSL
(Secure Socket Layer) pournit de la protection,
de l'authentification de l'intégrité aux
applications basées sur TCP. SSL est
communément utilisé par les sites de e-commerce
mais manque de flexibilité, n'est pas facile à
implémenter et dépend de l'application.
21
Choix de technologies VPN Cryptage dans
plusieurs couches
Couche Application
SSHS/MIME
ApplicationCouches (5-7)
Couche Transport
SSL
Couche Réseau
IPSec
Réseau/TransportCouches (3-4)
Physique/LiaisonCouches (1-2)
CryptageCoucheLiaison
CryptageCoucheLiaison
La protection aux niveau des couches basses du
modèle à été aussi utilisée dans les systèmes
de communication, spécialement par la couche
liaison. - Cette protection au niveau de la
couche liaison fournissait une protection
indépendante du du protocole sur des les
liaisons non-sécurisées. - La protection au
niveau de la couche liaison coûte cher car elle
doit être réalisée pour chaque liaison.
- Elle n'exclut pas l'intrusion au moyen de
stations intermédiaires ou de routeurs et de
plus est très souvent propriétaire.
22
Choix de technologies VPN
ApplicationCouches (5-7)
Couche Réseau
Réseau/TransportCouches (3-4)
L2FL2TPPPTP
IPSecGRE
Physique/LiaisonCouches (1-2)
Protocoles VPN Description Standard
L2TP Layer 2 tunneling Protocol RFC 2661
GRE Generic Routing Encapsulation RFC 1701 et 2784
IPSec Unternet Protocol Security RFC 2401
Un ensemble de technologies de couche réseau
sont disponibles pour permettre le tunneling
de protocoles au travers de réseaux pour réaliser
des VPNs. Les trois protocoles de tunneling
les lpus utilisés sont - L2TP ( Layer 2
Tunneling Protocol) - GRE ( Generic Routing
Encapsulation par Cisco) - IPSec (IP
Security)
23
Choix de technologies VPN L2TP - Layer 2
Tunneling Protocol
ApplicationCouches (5-7)
Couche Réseau
Réseau/TransportCouches (3-4)
L2FL2TPPPTP
IPSecGRE
Physique/LiaisonCouches (1-2)
Avant le standard L2TP (Août 1999), Cisco
utilisait L2F (Layer 2 Forwarding) comme
protocole de tunneling propriétaire. -
L2TP est compatible avec L2F - L2F n'est
pas compatible avec L2TP L2TP est une
cominaison de Cisco L2F et Microsoft PPTP
- Microsoft supporte PPTP dans les anciennes
versions de Windows et PPTP/L2TP dans
Windows NT/2000.
24
Choix de technologies VPN L2TP - Layer 2
Tunneling Protocol
ApplicationCouches (5-7)
Couche Réseau
Réseau/TransportCouches (3-4)
IPSecGRE
L2FL2TPPPTP
Physique/LiaisonCouches (1-2)
L2TP est utilisé pour créer un VPDN (Virtual
Private Dial Network) multiprotocole et
indépendant du média. L2TP permet aux
utilisateurs d'invoquer des politiques de
sécurité au travers de toute liaison VPN ou
VPDN comme une extension de leur propre réseau
interne. L2TP ne fournit pas de cryptage et
peut être supervisé par un analyseur de réseau.
25
Choix de technologies VPN Cisco GRE (Generic
Routing Encapsulation)
ApplicationCouches (5-7)
Couche Réseau
Réseau/TransportCouches (3-4)
L2FL2TPPPTP
IPSecGRE
Physique/LiaisonCouches (1-2)
Ce protocole transpoteur multiprotocole
encapsules IP, CLNP et tout autre paquet de
protocole dans des tunnels IP. Avec le
tunneling GRE, un routeur Cisco encapsule à
chaque extrémité les paquets de protocole avec
un en-tête IP créant une liaison virtuelle point
à point avec l'autre routeur Cisco à l'autre
extrémité du réseu IP. En connectant des
réseaux d'extrémité multiprotocoles avec un
backbone IP, le tunneling IP permet
l'expansion du réseau au travers du backbone
IP. GRE ne fournit pas de cryptage et peut
être supervisé par un analyseur de réseau.
26
Choix de technologies VPN IPSec (IP Security
protocol)
ApplicationCouches (5-7)
Couche Réseau
Réseau/TransportCouches (3-4)
L2FL2TPPPTP
IPSecGRE
Physique/LiaisonCouches (1-2)
IPSec est un bon choix pour sécuriser les VPNs
d'entreprise IPSEc est un cadre de standards
ouverts qui fournissent la confidentialité,
l'intégrité et l'authentification des données
entre deux extrémités. IPSec fournit ces
services de sécurité en utilisant IKE (Internet
Key Exchange) pour gérer la négociation de
protocoles et d'algorithmes basée sur une
politiqie locale et de générer les clés
d'authentification et de cryptage devant être
utilisées par IPSec.
27
Choix de technologies VPN Choix de la
meilleure technologie
Sélectionnez la meilleure technologie VPN pour
fournir une connectivité réseau selon les
besoins du trafic. Le diagramme ci-dessus
montre le processus de choix d'un tunneling de
couche réseau basé sur les diférents scénarios
de VPN.
28
Choix de technologies VPN Choix de la
meilleure technologie
IPSEc est le meilleur choix pour sécuriser des
VPNs d'entreprise. - Malheureusement IPSec
supporte uniquement le trafic IP unicast. -
Si les paquets IP unicast doivent être encapsulés
dans un tunnel, l'encapsulation IPSec est
suffisante et moins compliquée à configurer et à
vérifier. Pour du tunneling multiprotocole ou
IP multicast, utilisez GRE ou L2TP. - Pour
des réseaux qui utilisent Microsoft, L2TP peut
être le meilleur choix. - A cause de son
lien avec PPP, L2TP peut être souhaitable pour
des VPNs accès distant avec support
multiprotocole. GRE est le meilleur choix pour
des VPNs site à site avec support
multiprotocole. - GRE est également
utilisé pour des tunnels de paquets multicast
tels les protocoles de routage. -
GRE encapsule tout trafic, quelque soit la source
ou la destination. Ni L2TP, ni GRE supportent
le cryptage des données ou l'intégrité des
paquets. Utilisez IPSec en combinaison avec
L2TP et/ou GRE pour obtenir le cryptage et
l'intégrité IPSec.
29
VPN - Termes clés
Tunnel Cryptage/Décryptage
Cryptosystème Hashing Athentification
Autorisation Gestion de clé Certificat
30
VPN - Termes clés
Tunnel - Connexion virtuelle point à point
utilisée dans un réseau pour transporter le
trafic d'un protocole encapsulé dans un autre
protocole. Par exemple du texte crypté
transporté dans un paquet IP.
31
VPN - Termes clés
Cryptage/Décryptage - Le cryptage est un
processus qui transforme une information en un
texte chiffré qui pourra pas être lu ou utilisé
par des utilisateurs non-autorisés. Le
décryptage restore le texte chiffré en
information originale qui pourra être lue et
utilisée par le receveur.
32
VPN - Termes clés
Tunnel
MessageCrypté
Infos
Infos
Cryptage
Décryptage
Cryptosystème - Système qui réalise le
cryptage/décryptage, l'authentification
utilisateur, le hachage, et le processus
d'échange de clés. Un cryptosystème peut
utiliser une des ces différentes méthodes selon
la politique choisie en fonction des
différents trafics de l'utilisateur.
33
VPN - Termes clés
Hachage - Technologie d'intégrité des données
qui utilise un algorithme pour convertir un
message de longueur variable et une clé secrète
en une seule chaîne de caractères de longueur
fixe. L'ensemble message/clé et hash traversent
le réseau de la source vers la destination. 0
la destination, le hash recalculé est comparé
avec le hash reçu. Si les deux valeurs sont
identiques, le message n'a pas été corrompu.
34
VPN - Termes clés
Authentification - Processus d'dentification
d'un utilisateur ou d'un processus tentant
d'accéder à une ressource. -
L'authentification assure que l'individu ou le
processus est bien celui qu'il prétend
être. - L'authentification n'attribut pas de
droits d'accès Autorisation - Processus qui
donne accès à des ressources à des individus
ou à des processus authentifiés. Gestion de
clés - Un clé est généralement une séquence
binaire aléatoire utilisée pour exécuter les
opérations dans un cryptosystème. - La
gestion de clés est la supervision et le controle
du processus par lequel les clés sont
générées, stockées, protégées, transférées,
chargées, utilisées et détruites.
35
VPN - Termes clés
Service Autorité de Certificat - Partie tiers
de confiance qui aide à la sécurisation des
communications entre entités de réseau ou
utilisateurs en créant et en affectant des
certificats tels des certificats clés-publiques
pour des besoin de cryptage. - Une autorité
de certificat se porte garant du lien entre les
items de sécurité du certificat.
Optionnellement une autorité de certificat crée
les clés de cryptage.
36
IPSEC Protocoles et éléments clés
Authenticaton Header (AH) Encapsulation
Payload (ESP) Internet Key Exchange (IKE)
Internet Security Association Key Management
Protocol ( ISAKMP) Security Association
(SA) Authentication, Authorization and
Accounting (AAA) Terminal Access Controller
Access Control System Plus (TACACS) Remote
Authentication Dial-In User Service (RADIUS)
37
IPSEC Protocoles et éléments clés
Bits
0
8
31
16
AH (Authentication Header) - Protocole de
sécurité qui fournit l'authentification,
l'intégrité des données et un service optionnel
de détection d'intrusion. AH est dans la charge
utile du paquet.
38
IPSEC Protocoles et éléments clés
IPv4
(a) Paquet IP original
Authentifié
Crypté
IPv4
(b) Mode Transport
Authentifié
Crypté
IPv4
(c) Mode Tunnel
ESP (Ancapsulation Security payload) -
Protocole de sécurité qui fournit la
confidentialité, l'ntégrité des données et des
services de protection, deservices optionnels
d'authentifiction de l'orogine des données et
de détection d'intrusion. ESP encapsule les
données à protéger.
39
IPSEC Protocoles et éléments clés
IKE (Internet Key Exchange) - Protocole hybride
qui implémente l'échange de clés Oakley et
l'échange de clés Skeme dans le cadre de ISAKMP.
Oakley et Skeme définissent chacun une méthode
pour établir un échange de clés authentifié. Ceci
inclut la construction de la charge utile, les
informations transportées dans la charge utile,
l'ordre dans lequel les clés sont traitées et
comment elles sont utilisées.
40
IPSEC Protocoles et éléments clés
ISAKMP - (Internet Association and Key
Management Protocol) - Un protocol cadre qui
définit le format des charge utiles, les
mécanismes d'implémentation d'un protocole
d'échan,ge de clés et la négociation d'une SA.
SA (Security Association) - Ensemble de principes
(politiques) et de clés utilisés pour protéger
l'information. La SA ISAKMP est la politique
commune et les clés utilisées par les extrémités
qui négocient dans ce protocole pour protéger
leur communication.
41
IPSEC Protocoles et éléments clés
AAA (Authentication, Authorization and
Accounting) - Services de sécurite réseau qui
fournissent un cadre de base au travers duquel un
controle est activé sur les routeurs et les
serveurs d'accès. Deux alternatives majeures
pour AAA sont TACACS et RADIUS. TACACS
(Terminal Access Controller Access Control System
Plus) - C'est une application de sécurité qui
fournit une validation cantralisée des
utilisateurs qui tentent d'obtenir un accès à
un routeur ou à un serveur d'accès. RADIUS
(Remote Dial-In User Service) - Un système client
serveur distribué qui sécurise les réseaux
contre les accès non-autorisés.
42
Présentation du système de cryptage
Il a de nombreuses technologies de cryptage
disponibles pour fournir de la confidentialité
DES (Data Encryption Standard) crypte les paquets
avec une clé d'une longueur de 56 bits. A sa
création dans les années 1970, DES paraissait
inviolable. Aujourd'hui avec de
super-ordinateurs, le cryptage DES peut être
décodé en quelques jours.
43
Présentation du système de cryptage
3DES utilise une clé d'une longueur de 168 bits
et exécute trois opérations DES en
séquence. 3DES est 256 fois plus fiable que
DES. AES (Advanced Encryption Standard) spécifie
des clés de longueurs 128, 192 ou 256 bits
pour crypter des blocs de 128, 192 ou 256 bits
( Les 9 combinaisons de tailles de clés et de
tailles de blocs sont possibles). Cisco
prévoit que AES sera disponible sur tous les
produits Cisco qui les fonctionnalités IPSec
DES/3DES tels les routeurs avec IOS, les PIX
Cisco, les concentrateurs VPN Cisco et les
clients VPN Cisco.
44
Présentation du système de cryptage
Gestion de clés
Gestion Manuelle
Echange de clés secètesDiffie-Hellman
Echange de clés publiquesAutorité de Certificats
Authentification
Fonctions de hachage
Cryptage
SHA
MD5
SymétriqueClé secrèteDES, 3DES,AES
AsymétriqueClé publiqueRSA
MAC
HMAC(clé secrète)
Signaturenumérique(clé publique)
Plusieurs standards ont émergé pour protéger le
secret des clés et faciliter le changement de
ces clés. L'algorithme Diffie-Hellman
implémente l'échange de clés sans échanger les
clé réelles. C'est l'algorithme le plus connu
et le plus utilsé pour établier des sessions de
clés pour crypter des données.
45
Présentation du système de cryptage
Gestion de clés
Gestion Manuelle
Echange de clés secètesDiffie-Hellman
Echange de clés publiquesAutorité de Certificats
Authentification
Fonctions de hachage
Cryptage
SHA
MD5
SymétriqueClé secrèteDES, 3DES,AES
AsymétriqueClé publiqueRSA
MAC
HMAC(clé secrète)
Signaturenumérique(clé publique)
Plusieurs techniques fournissent
l'authentification dont MD5 (Message Digest 5)
et SHA (Secure Hash Algorithm).
46
Cryptage Cryptage symétrique
Cryptage symétrique ou cryptage à clé
secrète Utilisé pour de grands volumes de
données. Durant l'échange, les clés peuvent
changer plusieurs fois. Cryptage asymétrique
ou cryptage à clé publique tel RSA demande
beaucoup plus de ressources CPU aussi il est
utilisé uniquement pour l'échange de clés.
47
Cryptage Cryptage symétrique
La caractéristique la plus importante d'un
algorithme de cryptogaphie est sa robustesse
aux attaques de décryptage. La sécurité d'un
crypto-système ou le degré de difficulté pour
retrouver l'information originale est fonction
de plusieurs variables. - Beaucoup de
précautions sont prises pour protéger le secret
de la clé. Dans la majorité des protocoles le
secret de la clé utilisée pour crypter est la
base de la sécurité.
48
Cryptage Cryptage symétrique
DES (Digital Encryption Standard) est un des
standards de cryptage les plus utilisés. Les
clés permettent de crypter et de décrypter.
3DES (Triple DES) est une alternative à DES qui
préserve les investissements existants et rend
les attaques de type "force-brute" plus
difficiles. 3DES peut utiliser une, deux ou
trois clés différentes.
49
Cryptage Cryptage asymétrique
La clé privée est connue uniquement par le
receveur La clé publique est connu par le
public La distribution de la clé publique n'est
pas sécrète
Clé privéedu receveur
Clé publiquedu receveur
MessageCrypté
Infos
Infos
Cryptage
Décryptage
Cryptage asymétrique ou à clé publique Le
même algorithme ou des algorithmes
complémentaires peuvent être utilisés pour
crypter et décrypter les données. Deux clés
sont requises Une clé publique et une clé
privée. elles sont différentes mais elles sont
liées par une relation mathématique. Chaque
extrémité doit avoir sa paire clé publique/clé
privée ainsi des clés différentes seront
utilisées pour crypter et décrypter.
50
Cryptage Cryptage asymétrique
Les mécanismes utilisés pour générer les paires
de clés sont complexes. Le résultat de la
génération consiste en deux très grands nombres
aléatoires. Les deux nombres ainsi que leur
produit doivent satisfaire à des critères
mathématiques stricts pour garantir l'unicité
de la paire clé publique/clé privée. Les
algorithmes de crytage à clé publique sony
utilisé typiquement pour des applications
d'authentification incluant la signature
numérique et la gestion de clés. Les
algorithmes les plus connus sont les algorithmes
RSA (Rivest, Shamir, Adleman) et El Gamal.
51
Cryptage Echange de clés - Algorithme
Diffie-Hellman
Un des aspects les plus importants dans la
création d'un VPN est l'échange declés.
L'algorithme Diffie-Hellman fournit un moyen à
deux utilisateurs, A et B, d'établir une clé
secrète partagée que eux seuls connaissent.
Cette clé secrète peut être établie même si le
canal de communication n'est pas sécurisé.
Cette clé sera utilisée pour crypter les données
avec l'algorithme choisi par a et B. Les
nombres partagés sont "p" un nombre premier et
"g" plus petit que "p" avec quelques
restrictions.
52
Cryptage Echange de clés - Algorithme
Diffie-Hellman
A et B génèrent chacun un grand nombre
aléatoire qui est gardé secret. L'algorithme
Diffie-Hellman est maintenant exécuté. A et B
exécutent leurs calculs et échangent les
résultats. Le résultat final est un nombre
K Un utilisateur qui connaît "p" ou "g" ne
peut calculer aisément la valeur secrète
partagée à cause de la factorisation des grands
nombres premiers.
53
Cryptage Echange de clés - Algorithme
Diffie-Hellman
Il est important de noter que A et B non pas de
méthode pour s'identifier l'un avec l'autre.
Cet échange est vulnérable à une attaque par un
tiers qui s'insère dans l'échange.
L'authentification est réalisée par l'utilisation
d'une signature numérique dans les messages
Diffie-Hellman échangés.
54
Cryptage Echange de clés - Hachage
Le hachage garantit l'intégrité du message A
l'extrémité locale, le message et un secret
partagé son transmis par un algorithme de
hachage. Un algorithme de hachage est une
formule qui convertit un message de longueur
variable en une seule chaines de caractères
de longueur fixe appelée valeur "hash". Un
algorithme de hachage est à sens unique. Un
meesage peut produire une valeur "hash" mais
la valeur "hash" ne peut pas produire le message.
55
Cryptage Echange de clés - Hachage
A l'extrémité distante, il y a un processus en
deux étapes. D'abord le message reçu et le
secret partagé sont transmis à l'algorithme de
hachage qui recalcule la valeur "hash".
Ensuite le recepteur compare le "hash" calculé
avec le "hash" reçu avec le message. Si les
deux valeurs de "hash" sont égales alors
l'intégrité du message est garantie.
56
Cryptage Echange de clés - Hachage
Les deux algorithmes de hachage les plus
communs sont - HMAC-MD5 - utilise une clé
secrète de 128 bits. - A la sortie
l'algorithme donne une valeur "hash" de 128
bits. - La valeur "hash" est ajouté en
fin de message et le tout est transmis vers
l'autre extrémité. - HMAC-
SHA1 - Utilise une clé secrète de 160 bits
- A la sortie l'algorithme donne une valeur
"hash" de 160 bits - La valeur "hash"
est ajouté en fin de message et le tout est
transmis vers l'autre extrémité.
HMAC-SHA1 est considéré comme étant plus robuste
que HMAC-MD5
57
Technologies IPSec Présentation IPSec
Le RFC 2401 décrit la trame générale de
l'architecture IPSec Comme tous les mécanismes
de sécurité, le RFC 2401 aide à la mise en
oeuvre d'une politique de sécurité. La
politique de sécurité définit les besoins de
sécurité pour différentes connexions. Les
connexions sont des sessions IP La trame
générale de l'architecture IPSec fournit -
Intégrité des données - Authentification
- Confidentialité des données - Associations
de sécurité - Gestion des clés
58
Technologies IPSec IPSec - Authentication
Header (AH)
L'Authentification Header (AH) IP est utilisé
pour fournir l'intégrité, l'authentification
de l'origine des données pour des paquets IP et
fournit également la détection de l'intrusion
d'un tiers dans l'échange. Le service de
détection d'intrusion d'un tiers dans l'échange
est optionnel. Si celui-ci est négocié et
validé, il faut que le récepteur teste les
numéros de séquence. AH fournit
l'authentification pour l'en-tête IP et TCP mais
certains champs de l'en-tête changent au cours
du transit dans le réseau. AH ne peut pas
fournir de protection complète de l'en-tête IP
59
Technologies IPSec IPSec - Authentication
Header (AH)
AH peut être appliqué seul, en combinaison avec
IP ESP ou de manière imbriquer au travers de
l'utilisation du mode tunnel. Les services de
sécurité peuvent être fournis entre une paire de
hosts, une paire de passerelles de sécurité ou
entre une passerelle de sécurité et un host.
ESP peut être utilisé pour fournir les mêmes
services plus la confidentialité (cryptage).
La différence principale entre les services
d'authentification de AH et ESP est l'extension
de la couverture. ESP ne protège pas les
champs de l'en-tête IP à moins que cet en-tête
soit encapsulé par ESP (Mode tunnel).
60
Technologies IPSec IPSec - Encapsulation
Security Payload (ESP)
L'en-tête ESP est inséré après l'en-tête IP et
avant l'en-tête de protocole de couche
supérieure dans le mode transport ou avant un
en-tête IP encapsulé en mode tunnel. ESP est
utilisé pour fournir les services suivants
- Confidentialité - Authentification de
l'origine des données - Intégrité -
Service de détection d'intrusion d'une tierce
partie dans l'échange
61
Technologies IPSec IPSec - Encapsulation
Security Payload (ESP)
L'ensemble des services fournis dépend des
options sélectionnées au moment de
l'établissement des associations de sécurité et
l'emplacement de l'implémentation. La
confidentialité peut être sélectionnée
indépendamment des autres services. Cependant
l'utilisation de la confidentialité sans
intégrité/authentification, soit dans ESP ou
séparément dans AH peut rendre certains trafics
vulnérables à des attaques actives.
62
Technologies IPSec IPSec - Encapsulation
Security Payload (ESP)
L'authentification de l'origine des données et
l'intégrité sont des services joints et sont
offerts en option conjointement avec la
confidentialité optionnelle. Le service de
détection d'intrusion d'une tierce partie peut
être sélectionné que si l'authentification de
l'origine des données est sélectionnée et reste
entièrement à la discrétion du receveur. Le
service de détection d'intrusion d'une tierce
partie sera effectivement actif uniquement si
le receveur teste les numéros de séquence. La
confidentialité de trafic nécessite la sélection
du mode tunnel. Bien que la confidentialité et
l'authentification soient optionnelles au moins
une des deux doit être sélectionnée.
63
Technologies IPSec Mode Tunnel contre Mode
Transport
En mode Transport les hosts d'extrémité
réalisent l'encapsulation IPSec de leurs propres
données ( host à host) par conséquent IPSec doit
être implémenté sur chacun des hosts. -
L'application des points d'extrémité doit être
aussi une extrémité IPSec. En mode Tunnel les
passerelles IPSec fournissent les services IPSec
aux autres hosts dans des tunnels point à
point. Les hosts d'extrémité n'ont pas besoin
d'avoir IPSec.
64
Technologies IPSec Mode Tunnel contre Mode
Transport
ESP et AH peuvent être appliqués aux paquets IP
de deux façons différentes Le mode Transport
fournit la sécurité aux couches de protocoles
supérieures. - Le mode Transport protège
la charge utile du paquet mais garde l'adresse IP
originale en clair. - L'adresse IP
originale est utilisée pour router les paquets
sur Internet. - Le mode Transport ESP est
utilisé entre hosts.
65
Technologies IPSec Mode Tunnel contre Mode
Transport
ESP et AH peuvent être appliqués aux paquets IP
de deux façons différentes Le mode Tunnel
fournit la sécurité pour tout le paquet IP.
- Le paquet IP original est crypté - Le
paquet crypté est encapsulé dans un autre paquet
IP. - L'adresse IP "outside" est utilisée
pour router les paquets sur Internet .
66
Technologies IPSec Security Association (SA)
Les SAs ou Secutity Associations sont un
concept de base très important dans IPSec
Elles représentent un contrat entre deux
extrémités et décrivent comment ces deux
extrémités vont utiliser les srvices ede sécurité
IPSec pour protéger le trafic. Les SAs
contiennent tous les paramètres de sécurité
nécessaires pour sécuriser le transport des
paquets entre les deux extrémités et définissent
la politique de sécurité utilisée dans IPSec.
67
Technologies IPSec Security Association (SA)
A
Accèsclient
Accèsclient
Backbone Opérateur
SADB
SADB
A vers BESP/DES/SHA-1Keys K1,K2,K3,K4lifetime3
600sB vers AESP/DES/SHA-1keys
K6,K7,...lifetime3600s
A vers BESP/DES/SHA-1Keys K1,K2,K3,K4lifetime3
600sB vers AESP/DES/SHA-1keys
K6,K7,...lifetime3600s
Les routeurs ont besoin de deux SAs pour
protéger le trafic entre les hosts A et B.
L'établisseemnt des SAs est un prérequis dans
IPSec pour la protection du trafic. Quand les
SAs appropriées sont établies, IPSec se réfère à
celles-ci pour obtenir tous les paramètres
nécessaires à la protection du trafic Une SA
doit mettre en vigueur la politique de protection
en ces termes Pour le trafic entre A et B,
utilisez ESP 3DES avec les clés K1,K2 et K3 pour
le cryptage de la charge utile, SHA-1 avec la
clé K4 pour l'authentification.
68
Technologies IPSec Security Association (SA)
Les SAs contiennent des spécifications
unidirectionnelles. les SAs sont sépécifiques
au protocole d'encapsulation (AH,ESP). Pour un
flux de trafic donné, il y a une SA pour chaque
protocole (AH, ESP) et pour chaque sens du
trafic. Les équipements VPN stockent leurs SAs
dans une base de données local appelée la SA
Database (SADB).
69
Technologies IPSec Security Association (SA)
A
Accèsclient
Accèsclient
Backbone Opérateur
SADB
SADB
A vers BESP/DES/SHA-1Keys K1,K2,...lifetime360
0sB vers AESP/DES/SHA-1keys
K6,K7,...lifetime3600s
A vers BESP/DES/SHA-1Keys K1,K2,...lifetime360
0sB vers AESP/DES/SHA-1keys
K6,K7,...lifetime3600s
Une SA contient les pramètres de sécurité
suivants - L'algorithme Authentification/Cry
ptage, longueurs de clés et durées de vie des
clés utilisées pour protéger les paquets.
- Les clés de sessions pour
l'authentification et le cryptage. -
L'encapsulation IPSec (AH ou ESP) en mode tunnel
ou transport. - Une spécification du
trafic réseau auquel s'applique la SA.
70
Technologies IPSec Les cinq étapes d'IPSec
Routeur A
Routeur B
Le but d'IPSec est de protéger des données avec
les moyens de sécurité appropriés Le processus
IPSec peut être découpé en cinq étapes
71
Technologies IPSec Les cinq étapes d'IPSec
Routeur A
Routeur B
Etape 1 - Des informations à transmettre
initient le processus IPSec - Le trafic est
dit "interressant" quand l'équipement VPN
reconnaît que les données doivent être
protégées. Etape 2 - IKE Phase 1
authentifie les extrémités IPSec et négocie les
SAs IKE. - Ceci crée un canal sécurisé pour
négocier les SAs IPSec en Phase 2.
72
Technologies IPSec Les cinq étapes d'IPSec
Etape 3 - La phase 2 IKE négocie les
paramètres des SAs IPSec et crée une
correspondance entre les SAs IPSec des
extrémités. - Ces paramètres de sécurité
sont échangés pour protéger les messages échangés
entre les extrémités. Etape 4 - Le
transfert de données est effectué entre les
extrémités IPSec sur la base des paramètres
IPSEc et des clés stockées dans la base de
données SA. Etape 5 - La libération du
tunnel IPSec survient sur effacement au travers
des SAs ou sur time out.
73
Technologies IPSec Les cinq étapes d'IPSec
- Comment IPSec utilise IKE
IKE (Internet Key Exchange) améliore IPSec en
fournissant des fonctions additionnelles,
flexibilité et facilite la configuration
d'IPSec. IKE est un protocole hybride qui
implémente les échanges de clés Oakley et Skeme
dans le cadre ISAKMP (Internet Security
Association and Key management) IKE fournit
l'authentification pour les extrémités IPSec,
négocie les clés IPSec et les Associations de
Sécurité IPSec
74
Technologies IPSec Les cinq étapes d'IPSec
- Comment IPSec utilise IKE
Le tunnel IKE protège les négociations de
SA. Le Mode de configuration IKE autorise une
paserelle à télécharger une adresse IP vers le
client . ceci faisant partie de la négociation
IKE. L'adresse IP fournie par la passerelle au
client IKE est utilisée comme une IP "interne"
encapsulée dans IPSec. Cette adresse IP connue
peut être controlée par la politique (policy)
IPSec.
75
Technologies IPSec Les cinq étapes d'IPSec
- Comment IPSec utilise IKE
Le Mode de configuration IKE est implémenté
dans les images IOS Cisco IOSec. En utilisant
le Mode de configuration IKE, un serveur d'accès
Cisco peut être configuré pou télécharger une
adresse IP vers un client comme faisant partie de
la transaction IKE. IKE négocie
automatiquement les SAs IPSec et active les
communications sécurisées par IPSec sans une
pré-configuration manuelle fastidieuse.
76
Technologies IPSec Les cinq étapes d'IPSec
- Comment IPSec utilise IKE
IKE a les avantages suivants - Elimine la
configuration manuelle des paramètres de sécurité
IPSec dans des crypto maps à chaque
extrémité. - Permet de spécifier une durée de
vie pour les SAs. - Permet le changement de
clés pendant les sessions IPSec. - Autorise
IPSec à fournir les services de détecton
d'intrusion d'un tiers. - Permet le support
d'Autotrité de Certification pour une
implémentation IPSec évolutive. - Permet
l'authentification dynamique des extrémités.
77
Technologies IPSec Les cinq étapes d'IPSec
- Comment IPSec utilise IKE
Les différentes technologies implémentées pour
l'usage d'IKE sont - DES (Data Encryption
Standard) utilisé pour crypter les données. IKE
implémente le standard DES-CBC 56 bits
avec Explivit IV (Initialization Vector).
- 3DES. Cryptage 168 bits - CBC (Cipher
Bloc Chaining) requiert l'utilisation d'un
vecteur d'initialisation (IV). Le vecteur
d'initialisation est donné dans le paquet IPSec.
- Diffie-Hellman est un protocol de
cryptage à clé publique qui permet à deux
parties d'établir un secret partagé sur un
canal de communication non-sécurisé.
Diffie-Hellman est utilisé dans IKE pour
établir les sessions de clés. Les groupes
Diffie-Hellman 768-bits et 1024-bits sont
supportés. - MD5 (Message Digest 5),
variante HMAC, est un algorithme de hachage
utilisé pour authentifier les données. HMAC
est une variante qui donne un niveau
supplémentaire de hachage. - SHA
(Secure Hash Algorithm), variante HMAC, est un
algorithme de hachage utilisé pour
authentifier les données. HMAC est une variante
qui donne un niveau supplémentaire de
hachage. - Signatures RSA et cryptage
RSA -- RSA est un protocole de cryptage à clé
publique développé par Ron Rivest, Adi
Shamir et Leonard Adleman. Les signatures
RSA fournissent la non-répudiation tandis RSA est
utilisé pour le cryptage.
78
Technologies IPSec Les cinq étapes d'IPSec
- Comment IPSec utilise IKE
Le protocole IKE utilise les certificats
X.509v3 quand l'authentification requiert des
clés publiques. Ce support de certificat
permet l'évolution du réseau en fournissant
l'équivalent d'une carte d'identification
numérique à chaque équipement. Quand deux
équipements veulent communiquer, ils échangent
leurs certificats pour prouver leur
identité. Ceci élimine le besoin d'échanger
manuellement des clés publiques avec chaque
extrémité ou de spécifier manuellement une clé
partagée à chaque extrémié.
79
Technologies IPSec Les cinq étapes d'IPSec
- Comment IPSec utilise IKE
Cryptage?
access-list 1XX permit
IOSLe trafic est choisiavec les listes d'accès
Non
Transmettresur interface
Oui
crypto ipsectransform-set crypto map name
IPSecUn par IPSec SA(entre extrémités)
SA IPSec?
Oui
Cryptage dupaquet ettransmission
Clés
Non
ISAKMP/OakleyUn par ISAKMP SA(entre extrémités)
Négocie les SAsIPSec avec SAISAKMP
crypto isakmp policycrypto isakmp
identity crypto key generatecrypto key
public-chain
SA IKE?
Oui
Non
Authentificationavec CA?
Non
Négocie les SAsISAKMP avec l'extrémité
Oui
CA AuthentificationUn par paire de
clésprivée/publique
crypto ca identity crypto ca authenticatecrypto
ca enrollcrypto ca crl request
Récupère la clé publique du CARécupère le
certificat pour sa propreclé publique.
IPSec dans l'IOS Cisco traite les paquets comme
le montre la figure ci-dessus Le processus
présume que les clés privées et publiques ont
déjà été créees et qu'il existe au moins une
liste de controle d'accès.
80
Technologies IPSec Les cinq étapes d'IPSec
- Comment IPSec utilise IKE
Les listes d'accès appliquées à une interface
et les crypto map sont utlisées par l'IOS Cisco
pour sélectionner le trafic qui doit être protégé
(crypté). L'IOS Cisco vérifie si les
associations de sécurité IPSec (SA) ont été
établies. Si les SAs ont déjà été établies par
configuration manuelle avec les commandes
crypto ipsec transform-set et crypto map ou par
IKE, le paquet est crypté sur la base de la
"policy" spécifiée dans la crypto map et transmis
sur l'interface.
Si les SAs ne sont pas établies, l'IOS Cisco
vérifie si une SA ISAKMP a été configurée et
activée. Si la SA ISAKMP a été activée, cette
SA ISAKMP dirige la négociation de la SA IPSec
avec la "polict" ISAKMp configurée par la
commande crypto isakmp policy. Le paquet est
crypté par IPSec et transmis sur l'interface.
81
Technologies IPSec Les cinq étapes d'IPSec
- Comment IPSec utilise IKE
Si la SA ISAKMP n'a pas été activée, l'IOS
Cisco vérifie si l'autorité de certification a
été configurée pour établir une ISAKMP policy.
Si l'authentification de la CA (Certification
Authority) a été configurée avec les
différentes commandes crypto ca, le routeur
utilise les clés publique/privée configurées
précédemment, récupère le certificat public de la
CA, un certificat pour sa propre clé publique,
utilise la lé pour négocier une SA ISAKMP qui à
son tour est utilisée pou négovier une SA
IPSEC. Le paquet est crypté puis transmis.
82
Taches de configuration IPSec
Tache 1 - Préparer IPSec Déterminer la IKE
policy (IKE Phase 1) Déterminer la IPSec policy
(IKE Phase 2) Vérifier la configuration
courante S'assurer que le réseau fonctionne
sans cryptage S'assurer que les listes de
controle d'accès sont compatibles avec
IPSec.Tache 2 - Configurer IKE Valider ou
Dévalider IKE Créer les IKE policies
configurer les "pre-shared" clés Configurer
l'identité ISAKMP Vérifier la configuration IKE
Tache 3 - Configurer IPSec Configurer les
suites "transform-set" Configurer les
paramètres globaux IPSec Créer les crypto ACLs
Créer les crypto ACLs utilisants les listes
d'accès étendues Créer les crypto maps.
Configurer les IPSec crypto mapsTache 4 -
Tester et Vérifier IPSec
L'utilisation de clés IKE "pre-shared" pour
l'authentification de sessions IPSec est
relativement aisée mais n'est pas très évolutive
pour un grand nombre de clients IPSec. Le
processus de configuration de clés IKE
"pe-shared" dans l'IOS Cisco consiste en quatre
taches principales.
83
Taches de configuration IPSec Tache 1 -
Préparation IKE et IPSec
Tache 1 - Préparer IPSec Déterminer la IKE
policy (IKE Phase 1) Déterminer la IPSec policy
(IKE Phase 2) Vérifier la configuration
courante - show running-configuration -
show crypto isakmp policy - show crypto
map S'assurer que le réseau fonctionne sans
cryptage. (ping) S'assurer que les listes de
controle d'accès sont compatibles avec IPSec.
- show access-listsTache 2 - Configurer
IKETache 3 - Configurer IPSecTache 4 - Tester
et Vérifier IPSec
La configuration du cryptage IPSec peut être
compliquée Créer un plan d'action avant de
configurer correctement le cryptage IPSec est
obligatoire la première fois afin de minimiser
les erreurs de configuration. Commencez par
définir une politique de sécurité IPSec basée sur
la politique générale de sécurité de
l'entreprise.
84
Taches de configuration IPSec Tache 1 -
Préparation IKE et IPSec - Déterminer la
"IKE Policy " (IKE Phase 1)
Déterminer les détails suivants de la IKE policy
Phase 1 Méthode de distribution des clés
Méthode d'authentification Adresses IP et noms
de hosts des extrémités IPSec IKE policy Phase
1 pour toutes les extrémités - Algorithme de
Cryptage - Algorithme de Hachage -
Durée de vie des SAs IKEBut Minimiser les
incohérences de configuration.
Configurer IKE est compliqué Déterminer
d'abord les détails de la policy IKE pour valider
la méthode d'authentification choisie et la
configurer. Un plan d'action détaillé évite
les configurations non-apprpriées.
85
Taches de configuration IPSec Tache 1 -
Préparation IKE et IPSec - Paramètres "IKE
Policy " (IKE Phase 1)
Paramètre Fiable Très fiable
Algorithme de cryptage DES 3-DES
Algorithme de hachage MD5 SHA-1
Méthode d'authentification Pre-Share Cryptage RSASignature RSA
Echange de clés Diffie-Hellman Groupe 1 Diffie-Hellman Groupe 2
Durée de vie SA IKE 86400 seconds Moins de 86400 secondes
Une IKE "policy" définit une combinaison de
paramètres de sécurité utilisés pendant la
négociation IKE. Un groupe de "policies" crée
une ensemble de "policies" qui permet aux
extrémités IPSec d'établir des sessions IKE et
d'établir des SAs avec une configuration
minimale. Le tableau ci-dessus montre un
exemple possible de combinaisons de paramètres
IKE pour une policy. Les négociations IKE
dovent être protégées aussi la négociation IKE
commence par l'agrément par chaque extrémité
d'une politique (policy) IKE commune Cette
politique indique quels sont les paramètres IKE
qui vont servir à protéger les échanges IKE
suivants.
86
Taches de configuration IPSec Tache 1 -
Préparation IKE et IPSec - Paramètres "IKE
Policy " (IKE Phase 1)
Paramètre Valeur Mot-clé Valeur par défaut
Algorithme decryptage DES3-DES des3des 768-bit Diffie-Hellman
Algorithme dehachage SHA-1, variante HMACMD5, variante HMAC sha md5 86400 secondes ouun jour
Méthode d'authentification Pre-shared clés Cryptage RSASignatures RSA pre-share rsa-encr rsa-sig 768-bit Diffie-Hellman
Echange de clésIdentificateur degroupe Diffie-Hellman 768-bit Diffie-Hellman ou1024-bit Diffie-Hellman 12 768-bit Diffie-Hellman
ISAKMP - Durée de viedes SAs établies Toutes valeurs possibles - 86400 secondes ou un jour.
Définir les paramètres de la IKE policy
87
Taches de configuration IPSec Tache 1 -
Préparation IKE et IPSec - Paramètres "IKE
Policy " (IKE Phase 1)
Paramètre Fiable Très fiable
Algorithme de cryptage DES 3-DES
Algorithme de hachage MD5 SHA-1
Méthode d'authentification Pre-Share Cryptage RSASignature RSA
Echange de clés Diffie-Hellman Groupe 1 Diffie-Hellman Groupe 2
Durée de vie SA IKE 86400 seconds Moins de 86400 secondes
Paramètres de la IKE policy - Sélectionner
une valeur pour chaque paramètre ISAKMP. Il a
cinq paramètres à définir dans chaque IKE
policy tel que le décrit le tableau ci-dessus.
88
Taches de configuration IPSec Tache 1 -
Préparation IKE et IPSec - Déterminer IPSec
(IKE Phase 2)
Déterminer les détails suivants de la IKE policy
phase 2 Algorithmes et paramètres IPSec pour
une sécurité et des performances optimales.
Transformations et si nécessaire Transform set
Détails sur l'extrémité IPSec Adresse IP et
applications à protéger SAs Manuelles ou
initiées par IKEBut Minimiser les
incohérences de configuration.
Une IPSec policy définit une combinaison de
paramètres IPSec utilisés pendant la
négociation IPSec. La planification de IPSEc
IKE phase 2 est une autre étape importante avant
de configure IPSec sur un routeur.
89
Taches de configuration IPSec Tache 1 -
Préparation IKE et IPSec - IPSec Transforms
supportés par l'IOS Cisco
Le logiciel IOS Cisco supporte les
transformations IPSec suivantes
CentralA(config)crypto ipsec transform-set
transform set-nameah-md5 hmac AH - HMAC MD5
transformah-sha hmac AH - HMAC SHA
transform esp-3des ESP transform using 3DES(EDE)
cipher (168 bits)esp-des ESP transform using
DES cipher (56 bits) esp-md5 hmac ESP transform
using HMAC - MD5 authesp-sha hmac ESP transform
using HMAC - SHA authesp-null ESP transform
w/o cipher
90
Taches de configuration IPSec Tache 1 -
Préparation IKE et IPSec - IPSec Transforms
supportés par l'IOS Cisco
CentralA(config)crypto ipsec transform -set
transform set-nameah-md5 hmac AH - HMAC MD5
transformah-sha hmac AH - HMAC SHA
transform esp-3des ESP transform using 3DES(EDE)
cipher (168 bits)esp-des ESP transform using
DES cipher (56 bits) esp-md5 hmac ESP transform
using HMAC - MD5 authesp-sha hmac ESP transform
using HMAC - SHA authesp-null ESP transform
w/o cipher
AH (Authentication Header) - AH est
rarement utilisé car l'authentification est
maintenant disponible avec les transforms
esp-md5-hmac et esp-sha-hmac . - AH n'est pas
compatible avec NAT ou PAT
91
Taches de configuration IPSec Tache 1 -
Préparation IKE et IPSec - IPSec Transforms
supportés par l'IOS Cisco
CentralA(config)crypto ipsec transform -set
transform set-nameah-md5 hmac AH - HMAC MD5
transformah-sha hmac AH - HMAC SHA
transform esp-3des ESP transform using 3DES(EDE)
cipher (168 bits)esp-des ESP transform using
DES cipher (56 bits) esp-md5 hmac ESP transform
using HMAC - MD5 authesp-sha hmac ESP transform
using HMAC - SHA authesp-null ESP transform
w/o cipher
Transform Description
esp-des Transform ESP utilisant DES 56 bits
esp-3des Transform ESP utilisant 3DES 168 bits
esp-md5-hmac Transform ESP avec l'authentification MD5 HMAC utilisée avec unetransform esp-des ou esp-3des pour fournir l'intégrité des paquets ESP
esp-shs-hmac Transform ESP avec l'authentification SHA HMAC utilisée avec unetransform esp-des ou esp-3des pour fournir l'intégrité des paquets ESP
esp-null Transform ESP sans cryptage. Peut être utilisée en combinaison avec esp-md5-hmac ou esp-sha-hmac si on veut l'authentification sans cryptage.
Attention Ne jamais utiliser esp-null dans un
environnement de production car les flux de
données ne seront pas protégés.
92
Taches de configuration IPSec Tache 1 -
Préparation IKE et IPSec - IPSec Transforms
supportés par l'IOS Cisco
CentralA(config)crypto ipsec transform -set
transform set-nameah-md5 hmac AH - HMAC MD5
transformah-sha hmac AH - HMAC SHA
transform esp-3des ESP transform using 3DES(EDE)
cipher (168 bits)esp-des ESP transform using
DES cipher (56 bits) esp-md5 hmac ESP transform
using HMAC - MD5 authesp-sha hmac ESP transform
using HMAC - SHA authesp-null ESP transform
w/o cipher
Type de Transform Combinaisons autorisées
Transform AH En choisir une ah-md5-hmac-AH avec MD5 (variante HMAC) algorithme d'authentification ah-SHA-hmac-AH avec SHA (variante HMAC) algorithme d'authentification
Transform ESP Transform esp-des-ESP avec DES-56bits algorithme de cryptage esp-3des-ESP avec DES-168bits algorithme de cryptage esp-null-null algorithme de cryptage
ESP Authentification Transform En choisir une esp-md5-hmac-ESP avec MD5 (variante HMAC) algorithme d'authentification esp-sha-hmac-ESP avec SHA (variante HMAC) algorithme d'authentification
Compression IP Transform compression comp-lzs-ip avec l'algorithme LZS.
L'IOS Cisco empêche l'entrée de combinaisons
invalides ou non-autorisées.
93
Taches de configuration IPSec Tache 1 -
Préparation IKE et IPSec - Exemple IPSec
Policy
10.0.2.3
10.0.1.3
Policy Host A Host B
Transform set ESP-DES, Tunnel ESP-DES, Tunnel
Peer hostname RouteurB RouteurA
Peer IP address 172.30.2.2 172.30.1.2
Hosts à crypter 10.0.1.3 10.0.2.3
Type de trafic à crypter TCP TCP
Etablissement des SAs ipsec-isakmp ipsec-isakmp
La figure ci-dessus montre un exemple des
details de la politique de cryptage IPSec qui
sera utilisée dans les exmples dee ce document.
94
Taches de configuration IPSec Tache 1 -
Préparation IKE et IPSec - Identifier les
extrémités IPSec
Un point important pour déterminer la politique
IPSec est l'identification l'extrémité IPSec
avec laquelle le routeur Cisco va communiquer.
L'extrémité doit supporter IPSec tel qu'il est
spécifié dans les RFCs supportés par l'IOS Cisco.
95
Taches de configuration IPSec Tache 1 -
Préparation IKE et IPSec - Etape 3
Vérifier la configuration courante
Routeur show running-config
Affiche la configuration courante pour voir les
policies IPSec existantes
Routeur show cry