• Document: CONFIGURATION D'UN VPN-IPSEC POUR ROUTEUR CISCO Une entreprise peut avoir besoin d une connexion WAN entre deux sites. Dans certains cas (liaison de secours ou liaison WAN pas cher) nous p...
  • Size: 2.72 MB
  • Uploaded: 2023-05-26 14:08:25
  • Status: Successfully converted


Some snippets from your converted document:

CONFIGURATION D'UN VPN-IPSEC POUR ROUTEUR CISCO 04-04-2007 Une entreprise peut avoir besoin d’une connexion WAN entre deux sites. Dans certains cas (liaison de secours ou liaison WAN pas cher) nous pouvons utiliser un tunnel IPSEC. IPSEC est une technologie VPN qui fonctionne sur la couche3 du model OSI. C’est aussi un standard IETF, ce qui signifie que nous pouvons l’utiliser entre des équipements de différents fabricants. Les VPN IPSEC permettent : Une authentification de chaque paquet IP. Une vérification de l’intégrité des données de chaque paquet. De rendre confidentiels les données de chaque paquets IP. IPSEC est un “framework” qui spécifie plusieurs protocoles a utiliser afin de fournir un standard de sécurité. Les protocoles spécifiés par IPSEC sont : Internet Key Exchange : IKE IKE va nous permettre de négocier des paramètres de sécurités et créer les clés d’authentification utilisée par le VPN. IKE va permettre d’établir un échange de clé de manière sécurisé sur un réseau « non sécurisé ». Encapsulating Security Payload: ESP Le plus utilisé par IPSEC, ESP va encrypté les données. ESP protége également contre des attaques basées sur du traffics « replayed ». Authentication Header : AH AH fournit de l’authentification de la donnée. Il est peut utilisé , ESP étant plus efficace et cryptant le tout. Plus tard dans notre configuration nous utiliserons ESP puisqu’il permet de crypter les données en utilisant DES, 3DES ou AES. AH ne permet pas cela Les VPN IPSEC utilisent le protocole IKE afin d’établir une communication sécurisé entre deux « peers » a travers un réseaux non sécurisé. IKE utilise l’algorithme de DIFFIE-HELLMAN afin d’échange des clés symétriques entre deux « peers » et de configurer les paramètres de sécurités associé au VPN. IKE utilise le port UDP 500 et envoie des « keepalive » toutes les 10 secondes. IKE: - Elimine le besoin de spécifier manuellement tous les paramètres de sécurités sur chaque « peer ». - Permet de configuré une durée de vie pour le SA (security association) de IPSEC .Une SA est un « ensemble de contrat de sécurité ». - Permet de changer les clés d’encryptions pendant la session IPSEC. - Permet de fournir des services « anti-replay ». - Supporte l’architecture PKI. - Permet une authentification dynamique de chaque peer. Apres ces quelques explications nous allons voir comment configurer un VPN IPSEC. Nous avons deux sites (Paris et Chine). Nous avons déjà une connexion WAN qui fonctionne entre les deux sites. Nous souhaitons configurer une connexion VPN entre PARIS et CHINE qui servira de connexion de secours. Nous décidons d’utiliser notre connexion Internet qui coûte moins cher qu’une connexion ISDN. Mais pour cela nous devons crypter notre trafic. Voici les différentes étapes de configuration : 1. Définir les règles de sécurité ISAKMP 2. Configurer les « transform set » 3. Configurer une ACL qui spécifiera quel trafic peut/doit emprunter le VPN. 4. Configurer une « Crypto-map » 5. Appliquer la « Crypto-map » sur l’interface 6. Configurer une ACL si besoin sur l’interface « outside » (en option) Nous devrons exécuter ces étapes de configurations sur les routeurs de PARIS et CHINE. Définir une règle de sécurité ISAKMP Nous devons d’abord activer le moteur « isakmp »en utilisant la commande : CHINA(config)# crypto isakmp enable PARIS(config)# crypto isakmp enable Nous utiliserons la commande suivante afin d’activer le moteur « software » au cas ou notre routeur ne disposerait pas de moteur « hardware ». CHINA (config)# crypto engine software ipsec PARIS (config)# crypto engine software ipsec Dans cet article nous utiliserons une « clé partagé » (Pre Shared Key) pour l’authentification. Elle doit être associer à un « peer » distant qui utilise la même « clé partagé ». (Ici la PSK est labo-cisco). CHINA (config)#crypto isakmp key labo-cisco address 192.168.0.6 PARIS(config)# crypto isakmp key labo-cisco address 192.168.0.1 Nous allons maintenant utiliser les paramètres suivant pour notre VPN sur les deux routeurs: Authentication mode : Pre shared key (Nous pouvons aussi utiliser des « Username & Password », OTP, ou des certificats). Hash Method : SHA (md5 or sha) Encryption type : AES 192 (DES est par défaut , l’encryption AES peut utiliser de 128 à 256 bits ) Diffie-Hellman group à utiliser : 1 or 2 (group 1 est basé sur 768-bit et group 2 est basé sur 1024 bits). Lifetime of the exchanged key : Nous utiliserons 3600 pour 1 heure.( Par défaut le compteur est à 86400 seconds = 1 journée ) Donc au final nous configurerons nos routeurs comme cela : CHINA(config)#crypto isakmp policy 1 CHINA (config-isakmp)# encr aes 192 CHINA (config-isakmp)# authentication pre-share CHINA (config-isakmp)# group 2 PARIS(config)#crypto isakmp policy 1 PARIS (config-isakmp)# encr aes 192 PARIS (config-isakmp)# authentication pre-share PARIS (config-isakmp)# group 2 Configuration des « transform-s

Recently converted files (publicly available):