1. VPN (Virtual Private Networks)

2. Sommaire • Présentation des VPN • Scénarios VPN • Choix de technologies VPN • VPN termes clés • IPSec • Présentation du système de cryptage de l'IOS Cisco • Cryptage • Technologies IPSec • Taches de configuration IPSec

3. Présentation des VPN Un VPN transporte du trafic privé sur un réseau public en utilisant du cryptage et des tunnels pour obtenir: • La confidentialité des données • L'intégrité des données • L'authentification des utilisateurs • Un réseau privé virtuel (VPN) est défini comme une connectivité réseau déployée sur une infrastructure partagée avec les mêmes politiques de sécurité que sur un réseau privé. • Un VPN peut être entre deux systèmes d'extrémité ou entre deux ou plusieurs réseaux. • Un VPN est construit en utilisant des tunnels et du cryptage. Un VPN peut être construit au niveau de n'importe quelle couche du modèle OSI. • Un VPN est une infrastructure WAN alternative aux réseaux privés qui utilisent des lignes louées ou des réseaux d'entreprise utilisant Fame Relay ou ATM.

4. Présentation des VPN Un VPN transporte du trafic privé sur un réseau public en utilisant du cryptage et des tunnels pour obtenir: • La confidentialité des données • Intégrité des données • L'authentification des utilisateurs • Les VPNs fournissent trois fonctions essentielles: - Confidentialité (cryptage) - L'émetteur peut crypter les paquets avant de les transmettre dans le réseau. - Par ce moyen, si la communication est interceptée les données ne pourront pas être lues. - Intégrité des données - Le récepteur peut vérifier si les données n'ont pas été altérées lors de leur passage dans le réseau. - Authentification - Le récepteur peut authentifier la source du paquet, garantissant et certifiant la source de l'information.

5. Présentation des VPN Site Central Site distant Frame Relay Frame Relay • Coût élevé • Peu flexible • Gestion WAN • Topologies complexes • Faible coût • Plus flexible • Gestion simplifiée • Topologie tunnel Réseau Frame Relay Réseau Frame Relay Site Central Site distant Frame Relay Frame Relay Tunnel VPN VPN Conventionnel • Les principaux avantages sont: - Les VPNs amènent des coûts plus faibles que les réseaux privés. - Les coûts de la connectivité LAN-LAN sont réduits de 20 à 40 pourcent par rapport à une ligne louée. . - Les VPNs offrent plus de flexibilité et d'évolutivité que des architectures WAN classiques Internet Internet

6. Présentation des VPN Site Central Site distant Frame Relay Frame Relay • Coût élevé • Peu flexible • Gestion WAN • Topologies complexes • Faible coût • Plus flexible • Gestion simplifiée • Topologie tunnel Réseau Frame Relay Réseau Frame Relay Site Central Site distant Frame Relay Frame Relay Tunnel VPN VPN Conventionnel • Les principaux avantages sont: - Les VPNs simplifient les tâches de gestion comparé à la l'exploitation de sa propre infrastructure de réseau. - Les VPNs fournissent des topologies de réseaux avec tunnels qui réduisent les taches de gestion. - Un backbone IP n'utilise pas les circuits virtuels permanents (PVCs) avec des protocoles orientés connexion tels ATM et Frame Relay. Internet Internet

7. Présentation des VPN Réseau Privé Cryptage Cryptage Décryptage Message Crypté • Un réseau virtuel est crée en utilisant la capacité de faire transporter un protocole par un autre (Tunnel) sur une connexion IP standard. • GRE (Generic Routing Encapsulation) et L2TP (Layer 2 Tunneling Protocol) sont deux méthodes de "tunneling" et sont toutes les deux configurables sur les routeurs Cisco. • La troisième méthode, IPSec est également configurable sur les routeurs Cisco. • Un réseau privé assure la Confidentialité, l'Intégrité et l'Authentification. • Le cryptage des données et le protocole IPSec permettent aux données de traverser Internet avec la même sécurité que sur un réseau privé. Réseau Virtuel Tunneling

8. Présentation des VPN • Tunneling et Cryptage • Un tunnel est une connexion point à point virtuelle • Un tunnel transporte un protocole à l'intérieur d'un autre • Le cryptage transforme les informations en texte chiffré • Le décryptage restore les informations à partir du texte chiffré • Bien que Internet ait offert de nouvelles opportunités aux entreprises, il a aussi crée une grande dépendance des réseaux et un besoin de protection contre une grande variété de menaces sur la sécurité. • La fonction principale d'un VPN est d'offrir cette protection avec du cryptage au travers d'un tunnel. Cryptage Décryptage Message Crypté Tunnel Infos Infos

9. Présentation des VPN • Tunneling et Cryptage • Un tunnel est une connexion point à point virtuelle • Un tunnel transporte un protocole à l'intérieur d'un autre • Le cryptage transforme les informations en texte chiffré • Le décryptage restore les informations à partir du texte chiffré • Les tunnels fournissent des connexions logiques point à point au travers d'un réseau IP en mode non-connecté. • Ceci permet d'utiliser des fonctionnalités de sécurité améliorées. • Les Tunnels des solutions VPN emploient le cryptage pour protéger les données pour qu'elles ne soient pas lisibles par des entités non-autorisées et l'encapsulation multiprotocole si cela est nécessaire. Cryptage Décryptage Message Crypté Tunnel Infos Infos

10. Présentation des VPN • Tunneling et Cryptage • Un tunnel est une connexion point à point virtuelle • Un tunnel transporte un protocole à l'intérieur d'un autre • Le cryptage transforme les informations en texte chiffré • Le décryptage restore les informations à partir du texte chiffré • Le cryptage assure que le message pourra pas être lu et compris uniquement par le receveur • Le cryptage transforme une information en un texte chiffré sans signification sous sa forme cryptée. • Le décryptage restore le texte chiffré en information originale destinée au receveur. Cryptage Décryptage Message Crypté Tunnel Infos Infos

11. Routeur à plusieurs routeurs PC à Pare-Feu PC à Routeur/Concentrateur Scénarios VPN Routeur à Routeur

12. Scénarios VPN Service Distant Opérateur B Opérateur A Entreprise DMZ AAA Partenaire Fournisseur Agence Agence Régionale Utilisateur Mobile ou Télétravailleur Serveurs Web Serveur DNS Relais Mail SMTP • Un réseau basé uniquement sur des connexions fixes entre des sites d'entrprises tels que des agences locales ou régionales avec un site central n'est plus suffisant aujourd'hui pour beaucoup d'entreprises. • Des options de connexions avec des clients , des partenaires commerciaux dans un système plus ouvert sont des ajouts aux connexions réseau standards.

13. Scénarios VPN Télétravailleur Site Central Accès Distants Clients DSL Cable Mobile Télétravailleur Extranet Business • Il y a deux types d'accès VPN: - Initié par le client - Des utilisateurs distants utilisent des clients VPN pour établir un tunnel sécurisé au travers d'un réseau d'opérateur avec une entreprise. - Initié par le serveur d'accès Réseau - Les utilisateurs distants se connectent à un opérateur - Le serveur d'accès distant établit un tunnel sécurisé vers le réseau privé de l'entreprise qui doit pouvoir supporter de multiples sessions distantes initiées par un utilisateur. Site Central Sites Distants DSL Cable Modem Intranet Intranet Extranet B to B POP Internet POP Internet POP

14. Scénarios VPN • VPN initié par le client Site Central Accès Distants Clients DSL Cable Mobile Télétravailleur Extranet Business Internet • Les VPNs site à site ont aussi deux fonctions principales: - Les VPNs Intranet connectent des sites centraux d'entreprise, des sites distants, des agences au travers d'une infrastructure publique. - Les VPNs Extranets relient des clients, des fournisseurs, des partenaires commerciaux à un intranet d'entreprise au travers d'une infrastructure publique. POP POP

15. Scénarios VPN • VPN initié par le client Site Central Accès Distants Clients DSL Cable Mobile Télétravailleur Extranet Business Internet • L' accès distant est ciblé pour les utilisateurs mobiles ou les télétravailleurs. • Les entreprises supportaient les utilisateurs distants via des réseaux d'accès par appel. - Ce scénario nécessitait un appel payant ou un numéro vert pour accéder à l'entreprise. • Avec l'arrivée des VPNs, les utilisateurs mobiles peuvent se connecter à leur opérateur pour accéder à l'entreprise via Internet quelque soit l'endroit ou ceux-ci se trouvent. • Les accès distants VPN peuvent satisfaire les besoins des utilisateurs mobiles, des clients Extranet, des télétravailleurs, etc.... POP POP

16. Scénarios VPN • VPN initié par le client • Les VPNs Accès distant sont une extension des réseaux d'accès distants par appel. • Les VPNs Accès distant peuvent se terminer sur des équipements frontaux tels que les routeurs Cisco, les pare-feu PIX ou les concentrateurs VPN. • Les clients accès distant peuvent être des routeurs Cisco et des clients VPN Cisco. Site Central Accès Distants Clients DSL Cable Mobile Télétravailleur Extranet Business POP Internet POP

17. Scénarios VPN • VPN initié par le serveur d'accès Site Central Sites Distants DSL Cable Modem Intranet Intranet Extranet B to B POP Internet Télétravailleur • Un VPN site à site peut être utilisé pour connecter des sites d'entreprise. Des lignes louées ou une connexion Frame Relay étaient nécessaires mais aujourd'hui toutes les entreprises ont un accès Internet. • Un VPN peut supporter des intranets de l'entrprise et des extranets des partenaires commerciaux • Les VPNs site à site peuvent être construits avec des routeurs Cisco, des pare-feu PIX et des concentrateurs VPN.

18. Choix de technologies VPN • Cryptage dans plusieurs couches Couche Application Cryptage Couche Liaison Cryptage Couche Liaison Couche Transport Couche Réseau SSH S/MIME Application Couches (5-7) Réseau/ Transport Couches (3-4) Physique/ Liaison Couches (1-2) SSL IPSec • Différentes méthodes pour la protection de VPN sont implémentées sur différentes couches. • Fournir de la protection et des services de cryptographie au niveau de la couche application était très utilisé dans le passé et l'est toujours pour des cas très précis.

19. Choix de technologies VPN • Cryptage dans plusieurs couches Couche Application Cryptage Couche Liaison Cryptage Couche Liaison Couche Transport Couche Réseau SSH S/MIME Application Couches (5-7) Réseau/ Transport Couches (3-4) Physique/ Liaison Couches (1-2) SSL IPSec • L'IETF a un protocole basé sur des standards appelé S/MIME ( Secure/Multipurpose Internet Mail Extensions) pour des applications VPNs générées par différents composants d'un système de communication. - Agents de transfert de message, passerelles,... • Cependant, la sécurité au niveau de la couche application est spécifique à l'application et les méthodes de protection doivent être implémentées à chaque nouvelle application.

20. Choix de technologies VPN • Cryptage dans plusieurs couches Couche Application Cryptage Couche Liaison Cryptage Couche Liaison Couche Transport Couche Réseau SSH S/MIME Application Couches (5-7) Réseau/ Transport Couches (3-4) Physique/ Liaison Couches (1-2) SSL IPSec • Des standards au niveau de la couche transport ont eu beaucoup de succés • Le protocole tel SSL (Secure Socket Layer) pournit de la protection, de l'authentification de l'intégrité aux applications basées sur TCP. • SSL est communément utilisé par les sites de e-commerce mais manque de flexibilité, n'est pas facile à implémenter et dépend de l'application.

21. Choix de technologies VPN • Cryptage dans plusieurs couches Couche Application Cryptage Couche Liaison Cryptage Couche Liaison Couche Transport Couche Réseau SSH S/MIME Application Couches (5-7) Réseau/ Transport Couches (3-4) Physique/ Liaison Couches (1-2) SSL IPSec • La protection aux niveau des couches basses du modèle à été aussi utilisée dans les systèmes de communication, spécialement par la couche liaison. - Cette protection au niveau de la couche liaison fournissait une protection indépendante du du protocole sur des les liaisons non-sécurisées. - La protection au niveau de la couche liaison coûte cher car elle doit être réalisée pour chaque liaison. - Elle n'exclut pas l'intrusion au moyen de stations intermédiaires ou de routeurs et de plus est très souvent propriétaire.

22. Choix de technologies VPN Couche Réseau Application Couches (5-7) Réseau/ Transport Couches (3-4) Physique/ Liaison Couches (1-2) IPSec GRE L2F L2TP PPTP • Un ensemble de technologies de couche réseau sont disponibles pour permettre le tunneling de protocoles au travers de réseaux pour réaliser des VPNs. • Les trois protocoles de tunneling les lpus utilisés sont: - L2TP ( Layer 2 Tunneling Protocol) - GRE ( Generic Routing Encapsulation par Cisco) - IPSec (IP Security) RFC 2401 Unternet Protocol Security IPSec RFC 1701 et 2784 Generic Routing Encapsulation GRE RFC 2661 Layer 2 tunneling Protocol L2TP Standard Description Protocoles VPN

23. Choix de technologies VPN • L2TP - Layer 2 Tunneling Protocol Couche Réseau Application Couches (5-7) Réseau/ Transport Couches (3-4) Physique/ Liaison Couches (1-2) IPSec GRE L2F L2TP PPTP • Avant le standard L2TP (Août 1999), Cisco utilisait L2F (Layer 2 Forwarding) comme protocole de tunneling propriétaire. - L2TP est compatible avec L2F - L2F n'est pas compatible avec L2TP • L2TP est une cominaison de Cisco L2F et Microsoft PPTP - Microsoft supporte PPTP dans les anciennes versions de Windows et PPTP/L2TP dans Windows NT/2000.

24. Choix de technologies VPN • L2TP - Layer 2 Tunneling Protocol Couche Réseau Application Couches (5-7) Réseau/ Transport Couches (3-4) Physique/ Liaison Couches (1-2) IPSec GRE L2F L2TP PPTP • L2TP est utilisé pour créer un VPDN (Virtual Private Dial Network) multiprotocole et indépendant du média. • L2TP permet aux utilisateurs d'invoquer des politiques de sécurité au travers de toute liaison VPN ou VPDN comme une extension de leur propre réseau interne. • L2TP ne fournit pas de cryptage et peut être supervisé par un analyseur de réseau.

25. Choix de technologies VPN • Cisco GRE (Generic Routing Encapsulation) Couche Réseau Application Couches (5-7) Réseau/ Transport Couches (3-4) Physique/ Liaison Couches (1-2) IPSec GRE L2F L2TP PPTP • Ce protocole transpoteur multiprotocole encapsules IP, CLNP et tout autre paquet de protocole dans des tunnels IP. • Avec le tunneling GRE, un routeur Cisco encapsule à chaque extrémité les paquets de protocole avec un en-tête IP créant une liaison virtuelle point à point avec l'autre routeur Cisco à l'autre extrémité du réseu IP. • En connectant des réseaux d'extrémité multiprotocoles avec un backbone IP, le tunneling IP permet l'expansion du réseau au travers du backbone IP. • GRE ne fournit pas de cryptage et peut être supervisé par un analyseur de réseau.

26. Choix de technologies VPN • IPSec (IP Security protocol) Couche Réseau Application Couches (5-7) Réseau/ Transport Couches (3-4) Physique/ Liaison Couches (1-2) IPSec GRE L2F L2TP PPTP • IPSec est un bon choix pour sécuriser les VPNs d'entreprise • IPSEc est un cadre de standards ouverts qui fournissent la confidentialité, l'intégrité et l'authentification des données entre deux extrémités. • IPSec fournit ces services de sécurité en utilisant IKE (Internet Key Exchange) pour gérer la négociation de protocoles et d'algorithmes basée sur une politiqie locale et de générer les clés d'authentification et de cryptage devant être utilisées par IPSec.

27. Choix de technologies VPN • Choix de la meilleure technologie • Sélectionnez la meilleure technologie VPN pour fournir une connectivité réseau selon les besoins du trafic. • Le diagramme ci-dessus montre le processus de choix d'un tunneling de couche réseau basé sur les diférents scénarios de VPN. Trafic Utilisateur Utilisez un VPN IPSec Oui Oui Non Non Unicast seul? Utilisez un Tunnel GRE ou L2TP IP seul?

28. Choix de technologies VPN • Choix de la meilleure technologie • IPSEc est le meilleur choix pour sécuriser des VPNs d'entreprise. - Malheureusement IPSec supporte uniquement le trafic IP unicast. - Si les paquets IP unicast doivent être encapsulés dans un tunnel, l'encapsulation IPSec est suffisante et moins compliquée à configurer et à vérifier. • Pour du tunneling multiprotocole ou IP multicast, utilisez GRE ou L2TP. - Pour des réseaux qui utilisent Microsoft, L2TP peut être le meilleur choix. - A cause de son lien avec PPP, L2TP peut être souhaitable pour des VPNs accès distant avec support multiprotocole. • GRE est le meilleur choix pour des VPNs site à site avec support multiprotocole. - GRE est également utilisé pour des tunnels de paquets multicast tels les protocoles de routage. - GRE encapsule tout trafic, quelque soit la source ou la destination. • Ni L2TP, ni GRE supportent le cryptage des données ou l'intégrité des paquets. Utilisez IPSec en combinaison avec L2TP et/ou GRE pour obtenir le cryptage et l'intégrité IPSec.

29. VPN - Termes clés • Tunnel • Cryptage/Décryptage • Cryptosystème • Hashing • Athentification • Autorisation • Gestion de clé • Certificat

30. VPN - Termes clés • Tunnel - Connexion virtuelle point à point utilisée dans un réseau pour transporter le trafic d'un protocole encapsulé dans un autre protocole. Par exemple du texte crypté transporté dans un paquet IP. Cryptage Décryptage Message Crypté Tunnel Infos Infos

31. VPN - Termes clés • Cryptage/Décryptage - Le cryptage est un processus qui transforme une information en un texte chiffré qui pourra pas être lu ou utilisé par des utilisateurs non-autorisés. Le décryptage restore le texte chiffré en information originale qui pourra être lue et utilisée par le receveur. Cryptage Décryptage Message Crypté Tunnel Infos Infos

32. VPN - Termes clés Cryptage Décryptage Message Crypté Tunnel Infos Infos • Cryptosystème - Système qui réalise le cryptage/décryptage, l'authentification utilisateur, le hachage, et le processus d'échange de clés. Un cryptosystème peut utiliser une des ces différentes méthodes selon la politique choisie en fonction des différents trafics de l'utilisateur.

33. VPN - Termes clés • Hachage - Technologie d'intégrité des données qui utilise un algorithme pour convertir un message de longueur variable et une clé secrète en une seule chaîne de caractères de longueur fixe. L'ensemble message/clé et hash traversent le réseau de la source vers la destination. 0 la destination, le hash recalculé est comparé avec le hash reçu. Si les deux valeurs sont identiques, le message n'a pas été corrompu. Cryptage Décryptage Message Crypté Tunnel Infos Infos

34. VPN - Termes clés • Authentification - Processus d'dentification d'un utilisateur ou d'un processus tentant d'accéder à une ressource. - L'authentification assure que l'individu ou le processus est bien celui qu'il prétend être. - L'authentification n'attribut pas de droits d'accès • Autorisation - Processus qui donne accès à des ressources à des individus ou à des processus authentifiés. • Gestion de clés - Un clé est généralement une séquence binaire aléatoire utilisée pour exécuter les opérations dans un cryptosystème. - La gestion de clés est la supervision et le controle du processus par lequel les clés sont générées, stockées, protégées, transférées, chargées, utilisées et détruites.

35. VPN - Termes clés • Service Autorité de Certificat - Partie tiers de confiance qui aide à la sécurisation des communications entre entités de réseau ou utilisateurs en créant et en affectant des certificats tels des certificats clés-publiques pour des besoin de cryptage. - Une autorité de certificat se porte garant du lien entre les items de sécurité du certificat. Optionnellement une autorité de certificat crée les clés de cryptage.

36. IPSEC • Protocoles et éléments clés • Authenticaton Header (AH) • Encapsulation Payload (ESP) • Internet Key Exchange (IKE) • Internet Security Association Key Management Protocol ( ISAKMP) • Security Association (SA) • Authentication, Authorization and Accounting (AAA) • Terminal Access Controller Access Control System Plus (TACACS+) • Remote Authentication Dial-In User Service (RADIUS)

37. IPSEC • Protocoles et éléments clés Bits 0 8 16 31 • AH (Authentication Header) - Protocole de sécurité qui fournit l'authentification, l'intégrité des données et un service optionnel de détection d'intrusion. AH est dans la charge utile du paquet. En-tête IP En-tête IPSec Charge Utile IP sécurisée En-tête IP En-tête IPSec Charge utile IP sécurisé En-tête IP Charge utile IP En-tête IP Charge utile IP Sytème avec IPsec Routeur avec IPSec Internet ou Réseau Privé En-tête IP En-tête IPSec Charge Utile IP sécurisée Sequence Number Données authentifiées (Variable) Security Parameters Index (SPI) Next Header Payload Length RESERVED

38. IPSEC • Protocoles et éléments clés IPv4 (a) Paquet IP original (b) Mode Transport Authentifié Crypté IPv4 (c) Mode Tunnel Authentifié Crypté IPv4 • ESP (Ancapsulation Security payload) - Protocole de sécurité qui fournit la confidentialité, l'ntégrité des données et des services de protection, deservices optionnels d'authentifiction de l'orogine des données et de détection d'intrusion. ESP encapsule les données à protéger. En-tête IP original TCP Données En-tête IP original TCP Données En-tête ESP Queue ESP Auth ESP En-tête IP original TCP Données En-tête ESP Queue ESP Auth ESP Nouveau En-tête IP

39. IPSEC • Protocoles et éléments clés • IKE (Internet Key Exchange) - Protocole hybride qui implémente l'échange de clés Oakley et l'échange de clés Skeme dans le cadre de ISAKMP. Oakley et Skeme définissent chacun une méthode pour établir un échange de clés authentifié. Ceci inclut la construction de la charge utile, les informations transportées dans la charge utile, l'ordre dans lequel les clés sont traitées et comment elles sont utilisées. IPSec IKE IKE IPSec Routeur A Routeur B Tunnel IKE

40. IPSEC • Protocoles et éléments clés • ISAKMP - (Internet Association and Key Management Protocol) - Un protocol cadre qui définit le format des charge utiles, les mécanismes d'implémentation d'un protocole d'échan,ge de clés et la négociation d'une SA. • SA (Security Association) - Ensemble de principes (politiques) et de clés utilisés pour protéger l'information. La SA ISAKMP est la politique commune et les clés utilisées par les extrémités qui négocient dans ce protocole pour protéger leur communication. A B A vers B ESP/DES/SHA-1 Keys K1,K2,... lifetime=3600s B vers A ESP/DES/SHA-1 keys K6,K7,... lifetime=3600s SADB SADB Accès client Accès client A vers B ESP/DES/SHA-1 Keys K1,K2,... lifetime=3600s B vers A ESP/DES/SHA-1 keys K6,K7,... lifetime=3600s Backbone Opérateur

41. IPSEC • Protocoles et éléments clés • AAA (Authentication, Authorization and Accounting) - Services de sécurite réseau qui fournissent un cadre de base au travers duquel un controle est activé sur les routeurs et les serveurs d'accès. Deux alternatives majeures pour AAA sont TACACS+ et RADIUS. • TACACS+ (Terminal Access Controller Access Control System Plus) - C'est une application de sécurité qui fournit une validation cantralisée des utilisateurs qui tentent d'obtenir un accès à un routeur ou à un serveur d'accès. • RADIUS (Remote Dial-In User Service) - Un système client serveur distribué qui sécurise les réseaux contre les accès non-autorisés.

42. Présentation du système de cryptage • Il a de nombreuses technologies de cryptage disponibles pour fournir de la confidentialité • DES (Data Encryption Standard) crypte les paquets avec une clé d'une longueur de 56 bits. • A sa création dans les années 1970, DES paraissait inviolable. • Aujourd'hui avec de super-ordinateurs, le cryptage DES peut être décodé en quelques jours.• Gestion de clés Gestion Manuelle Echange de clés secètes Diffie-Hellman Echange de clés publiques Autorité de Certificats Cryptage Authentification Fonctions de hachage Symétrique Clé secrète: DES, 3DES, AES Asymétrique Clé publique: RSA MAC HMAC (clé secrète) Signature numérique (clé publique) SHA MD5

43. Présentation du système de cryptage • 3DES utilise une clé d'une longueur de 168 bits et exécute trois opérations DES en séquence. • 3DES est 256 fois plus fiable que DES. AES (Advanced Encryption Standard) spécifie des clés de longueurs 128, 192 ou 256 bits pour crypter des blocs de 128, 192 ou 256 bits ( Les 9 combinaisons de tailles de clés et de tailles de blocs sont possibles). • Cisco prévoit que AES sera disponible sur tous les produits Cisco qui les fonctionnalités IPSec DES/3DES tels les routeurs avec IOS, les PIX Cisco, les concentrateurs VPN Cisco et les clients VPN Cisco.• Gestion de clés Gestion Manuelle Echange de clés secètes Diffie-Hellman Echange de clés publiques Autorité de Certificats Cryptage Authentification Fonctions de hachage Symétrique Clé secrète: DES, 3DES, AES Asymétrique Clé publique: RSA MAC HMAC (clé secrète) Signature numérique (clé publique) SHA MD5

44. Présentation du système de cryptage Gestion de clés Gestion Manuelle Echange de clés secètes Diffie-Hellman Echange de clés publiques Autorité de Certificats Cryptage Authentification Fonctions de hachage Symétrique Clé secrète: DES, 3DES, AES Asymétrique Clé publique: RSA MAC HMAC (clé secrète) Signature numérique (clé publique) SHA MD5 • Plusieurs standards ont émergé pour protéger le secret des clés et faciliter le changement de ces clés. • L'algorithme Diffie-Hellman implémente l'échange de clés sans échanger les clé réelles. • C'est l'algorithme le plus connu et le plus utilsé pour établier des sessions de clés pour crypter des données.

45. Présentation du système de cryptage Gestion de clés Gestion Manuelle Echange de clés secètes Diffie-Hellman Echange de clés publiques Autorité de Certificats Cryptage Authentification Fonctions de hachage Symétrique Clé secrète: DES, 3DES, AES Asymétrique Clé publique: RSA MAC HMAC (clé secrète) Signature numérique (clé publique) SHA MD5 • Plusieurs techniques fournissent l'authentification dont MD5 (Message Digest 5) et SHA (Secure Hash Algorithm).

46. Cryptage • Cryptage symétrique • Cryptage symétrique ou cryptage à clé secrète • Utilisé pour de grands volumes de données. • Durant l'échange, les clés peuvent changer plusieurs fois. • Cryptage asymétrique ou cryptage à clé publique tel RSA demande beaucoup plus de ressources CPU aussi il est utilisé uniquement pour l'échange de clés. Cryptage Décryptage Message Crypté Infos Infos Clé secrète partagée Clé secrète partagée

47. Cryptage • Cryptage symétrique • La caractéristique la plus importante d'un algorithme de cryptogaphie est sa robustesse aux attaques de décryptage. • La sécurité d'un crypto-système ou le degré de difficulté pour retrouver l'information originale est fonction de plusieurs variables. - Beaucoup de précautions sont prises pour protéger le secret de la clé. • Dans la majorité des protocoles le secret de la clé utilisée pour crypter est la base de la sécurité. Cryptage Décryptage Message Crypté Infos Infos Clé secrète partagée Clé secrète partagée

48. Cryptage • Cryptage symétrique • DES (Digital Encryption Standard) est un des standards de cryptage les plus utilisés. • Les clés permettent de crypter et de décrypter. • 3DES (Triple DES) est une alternative à DES qui préserve les investissements existants et rend les attaques de type "force-brute" plus difficiles. • 3DES peut utiliser une, deux ou trois clés différentes. Cryptage Décryptage Message Crypté Infos Infos Clé secrète partagée Clé secrète partagée

49. Cryptage • Cryptage asymétrique Cryptage Décryptage Message Crypté Infos Infos Clé publique du receveur Clé privée du receveur • La clé privée est connue uniquement par le receveur • La clé publique est connu par le public • La distribution de la clé publique n'est pas sécrète • Cryptage asymétrique ou à clé publique • Le même algorithme ou des algorithmes complémentaires peuvent être utilisés pour crypter et décrypter les données. • Deux clés sont requises : Une clé publique et une clé privée. elles sont différentes mais elles sont liées par une relation mathématique. • Chaque extrémité doit avoir sa paire clé publique/clé privée ainsi des clés différentes seront utilisées pour crypter et décrypter.

50. Cryptage • Cryptage asymétrique • Les mécanismes utilisés pour générer les paires de clés sont complexes. Le résultat de la génération consiste en deux très grands nombres aléatoires. • Les deux nombres ainsi que leur produit doivent satisfaire à des critères mathématiques stricts pour garantir l'unicité de la paire clé publique/clé privée. • Les algorithmes de crytage à clé publique sony utilisé typiquement pour des applications d'authentification incluant la signature numérique et la gestion de clés. • Les algorithmes les plus connus sont les algorithmes RSA (Rivest, Shamir, Adleman) et El Gamal. Cryptage Décryptage Message Crypté Infos Infos Clé publique du receveur Clé privée du receveur

51. Cryptage • Echange de clés - Algorithme Diffie-Hellman • Un des aspects les plus importants dans la création d'un VPN est l'échange declés. • L'algorithme Diffie-Hellman fournit un moyen à deux utilisateurs, A et B, d'établir une clé secrète partagée que eux seuls connaissent. • Cette clé secrète peut être établie même si le canal de communication n'est pas sécurisé. • Cette clé sera utilisée pour crypter les données avec l'algorithme choisi par a et B. • Les nombres partagés sont "p" un nombre premier et "g" plus petit que "p" avec quelques restrictions. Routeur A Routeur B Réalise un échange authentifié de clés Y A Y B Y A = g X A mod p Y B = g X B mod p Valeur privée X A Valeur publique Y A Valeur privée X B Valeur publique Y B Y B X A mod p = k Y A X B mod p = k

52. Cryptage • Echange de clés - Algorithme Diffie-Hellman • A et B génèrent chacun un grand nombre aléatoire qui est gardé secret. • L'algorithme Diffie-Hellman est maintenant exécuté. • A et B exécutent leurs calculs et échangent les résultats. • Le résultat final est un nombre K • Un utilisateur qui connaît "p" ou "g" ne peut calculer aisément la valeur secrète partagée à cause de la factorisation des grands nombres premiers. Routeur A Routeur B Réalise un échange authentifié de clés Y A Y B Y A = g X A mod p Y B = g X B mod p Valeur privée X A Valeur publique Y A Valeur privée X B Valeur publique Y B Y B X A mod p = k Y A X B mod p = k

53. Cryptage • Echange de clés - Algorithme Diffie-Hellman • Il est important de noter que A et B non pas de méthode pour s'identifier l'un avec l'autre. • Cet échange est vulnérable à une attaque par un tiers qui s'insère dans l'échange. • L'authentification est réalisée par l'utilisation d'une signature numérique dans les messages Diffie-Hellman échangés. Routeur A Routeur B Réalise un échange authentifié de clés Y A Y B Y A = g X A mod p Y B = g X B mod p Valeur privée X A Valeur publique Y A Valeur privée X B Valeur publique Y B Y B X A mod p = k Y A X B mod p = k

54. Cryptage • Echange de clés - Hachage • Le hachage garantit l'intégrité du message • A l'extrémité locale, le message et un secret partagé son transmis par un algorithme de hachage. • Un algorithme de hachage est une formule qui convertit un message de longueur variable en une seule chaines de caractères de longueur fixe appelée valeur "hash". • Un algorithme de hachage est à sens unique. Un meesage peut produire une valeur "hash" mais la valeur "hash" ne peut pas produire le message. Local Distant Payer à JC Puce 50 € et 22 cents Clé secrète partagée Clé secrète partagée Payer à JC Puce 50 € et 22 cents Payer à JC Puce 50 € et 22 cents Message de longueur variable Message reçu 4ehlDx67NM0p9 4ehlDx67NM0p9 4ehlDx67NM0p9 Message + Hash Fonction de Hachage Fonction de Hachage

55. Cryptage • Echange de clés - Hachage • A l'extrémité distante, il y a un processus en deux étapes. • D'abord le message reçu et le secret partagé sont transmis à l'algorithme de hachage qui recalcule la valeur "hash". • Ensuite le recepteur compare le "hash" calculé avec le "hash" reçu avec le message. • Si les deux valeurs de "hash" sont égales alors l'intégrité du message est garantie. Local Distant Payer à JC Puce 50 € et 22 cents Clé secrète partagée Clé secrète partagée Payer à JC Puce 50 € et 22 cents Payer à JC Puce 50 € et 22 cents Message de longueur variable Message reçu 4ehlDx67NM0p9 4ehlDx67NM0p9 4ehlDx67NM0p9 Message + Hash Fonction de Hachage Fonction de Hachage

56. Cryptage • Echange de clés - Hachage • Les deux algorithmes de hachage les plus communs sont : - HMAC-MD5 - utilise une clé secrète de 128 bits. - A la sortie l'algorithme donne une valeur "hash" de 128 bits. - La valeur "hash" est ajouté en fin de message et le tout est transmis vers l'autre extrémité. - HMAC- SHA1 - Utilise une clé secrète de 160 bits - A la sortie l'algorithme donne une valeur "hash" de 160 bits - La valeur "hash" est ajouté en fin de message et le tout est transmis vers l'autre extrémité. • HMAC-SHA1 est considéré comme étant plus robuste que HMAC-MD5 Local Distant Payer à JC Puce 50 € et 22 cents Clé secrète partagée Clé secrète partagée Payer à JC Puce 50 € et 22 cents Payer à JC Puce 50 € et 22 cents Message de longueur variable Message reçu 4ehlDx67NM0p9 4ehlDx67NM0p9 4ehlDx67NM0p9 Message + Hash Fonction de Hachage Fonction de Hachage

57. Technologies IPSec • Présentation IPSec • Le RFC 2401 décrit la trame générale de l'architecture IPSec • Comme tous les mécanismes de sécurité, le RFC 2401 aide à la mise en oeuvre d'une politique de sécurité. • La politique de sécurité définit les besoins de sécurité pour différentes connexions. • Les connexions sont des sessions IP • La trame générale de l'architecture IPSec fournit: - Intégrité des données - Authentification - Confidentialité des données - Associations de sécurité - Gestion des clés En-tête IP AH En-tête ESP Données En-Queue ESP

58. Technologies IPSec • IPSec - Authentication Header (AH) • L'Authentification Header (AH) IP est utilisé pour fournir l'intégrité, l'authentification de l'origine des données pour des paquets IP et fournit également la détection de l'intrusion d'un tiers dans l'échange. • Le service de détection d'intrusion d'un tiers dans l'échange est optionnel. Si celui-ci est négocié et validé, il faut que le récepteur teste les numéros de séquence. • AH fournit l'authentification pour l'en-tête IP et TCP mais certains champs de l'en-tête changent au cours du transit dans le réseau. • AH ne peut pas fournir de protection complète de l'en-tête IP En-tête IP AH En-tête ESP Données En-Queue ESP

59. Technologies IPSec • IPSec - Authentication Header (AH) • AH peut être appliqué seul, en combinaison avec IP ESP ou de manière imbriquer au travers de l'utilisation du mode tunnel. • Les services de sécurité peuvent être fournis entre une paire de hosts, une paire de passerelles de sécurité ou entre une passerelle de sécurité et un host. • ESP peut être utilisé pour fournir les mêmes services plus la confidentialité (cryptage). • La différence principale entre les services d'authentification de AH et ESP est l'extension de la couverture. • ESP ne protège pas les champs de l'en-tête IP à moins que cet en-tête soit encapsulé par ESP (Mode tunnel). En-tête IP AH En-tête ESP Données En-Queue ESP

60. Technologies IPSec • IPSec - Encapsulation Security Payload (ESP) • L'en-tête ESP est inséré après l'en-tête IP et avant l'en-tête de protocole de couche supérieure dans le mode transport ou avant un en-tête IP encapsulé en mode tunnel. • ESP est utilisé pour fournir les services suivants: - Confidentialité - Authentification de l'origine des données - Intégrité - Service de détection d'intrusion d'une tierce partie dans l'échange En-tête IP AH En-tête ESP Données En-Queue ESP

61. Technologies IPSec • IPSec - Encapsulation Security Payload (ESP) • L'ensemble des services fournis dépend des options sélectionnées au moment de l'établissement des associations de sécurité et l'emplacement de l'implémentation. • La confidentialité peut être sélectionnée indépendamment des autres services. • Cependant l'utilisation de la confidentialité sans intégrité/authentification, soit dans ESP ou séparément dans AH peut rendre certains trafics vulnérables à des attaques actives. En-tête IP AH En-tête ESP Données En-Queue ESP

62. Technologies IPSec • IPSec - Encapsulation Security Payload (ESP) • L'authentification de l'origine des données et l'intégrité sont des services joints et sont offerts en option conjointement avec la confidentialité optionnelle. • Le service de détection d'intrusion d'une tierce partie peut être sélectionné que si l'authentification de l'origine des données est sélectionnée et reste entièrement à la discrétion du receveur. • Le service de détection d'intrusion d'une tierce partie sera effectivement actif uniquement si le receveur teste les numéros de séquence. • La confidentialité de trafic nécessite la sélection du mode tunnel. • Bien que la confidentialité et l'authentification soient optionnelles au moins une des deux doit être sélectionnée. En-tête IP AH En-tête ESP Données En-Queue ESP

63. Technologies IPSec • Mode Tunnel contre Mode Transport • En mode Transport les hosts d'extrémité réalisent l'encapsulation IPSec de leurs propres données ( host à host) par conséquent IPSec doit être implémenté sur chacun des hosts. - L'application des points d'extrémité doit être aussi une extrémité IPSec. • En mode Tunnel les passerelles IPSec fournissent les services IPSec aux autres hosts dans des tunnels point à point. Les hosts d'extrémité n'ont pas besoin d'avoir IPSec. PC Mode Tunnel Mode Transport

64. Technologies IPSec • Mode Tunnel contre Mode Transport • ESP et AH peuvent être appliqués aux paquets IP de deux façons différentes: • Le mode Transport fournit la sécurité aux couches de protocoles supérieures. - Le mode Transport protège la charge utile du paquet mais garde l'adresse IP originale en clair. - L'adresse IP originale est utilisée pour router les paquets sur Internet. - Le mode Transport ESP est utilisé entre hosts. PC Mode Tunnel Mode Transport

65. Technologies IPSec • Mode Tunnel contre Mode Transport • ESP et AH peuvent être appliqués aux paquets IP de deux façons différentes: • Le mode Tunnel fournit la sécurité pour tout le paquet IP. - Le paquet IP original est crypté - Le paquet crypté est encapsulé dans un autre paquet IP. - L'adresse IP "outside" est utilisée pour router les paquets sur Internet . PC Mode Tunnel Mode Transport

66. Technologies IPSec • Security Association (SA) • Les SAs ou Secutity Associations sont un concept de base très important dans IPSec • Elles représentent un contrat entre deux extrémités et décrivent comment ces deux extrémités vont utiliser les srvices ede sécurité IPSec pour protéger le trafic. • Les SAs contiennent tous les paramètres de sécurité nécessaires pour sécuriser le transport des paquets entre les deux extrémités et définissent la politique de sécurité utilisée dans IPSec. A B A vers B ESP/DES/SHA-1 Keys K1,K2,... lifetime=3600s B vers A ESP/DES/SHA-1 keys K6,K7,... lifetime=3600s SADB SADB Accès client Accès client A vers B ESP/DES/SHA-1 Keys K1,K2,... lifetime=3600s B vers A ESP/DES/SHA-1 keys K6,K7,... lifetime=3600s Backbone Opérateur

67. Technologies IPSec • Security Association (SA) A A vers B ESP/DES/SHA-1 Keys K1,K2,K3,K4 lifetime=3600s B vers A ESP/DES/SHA-1 keys K6,K7,... lifetime=3600s SADB SADB Accès client Accès client A vers B ESP/DES/SHA-1 Keys K1,K2,K3,K4 lifetime=3600s B vers A ESP/DES/SHA-1 keys K6,K7,... lifetime=3600s Backbone Opérateur • Les routeurs ont besoin de deux SAs pour protéger le trafic entre les hosts A et B. • L'établisseemnt des SAs est un prérequis dans IPSec pour la protection du trafic. • Quand les SAs appropriées sont établies, IPSec se réfère à celles-ci pour obtenir tous les paramètres nécessaires à la protection du trafic • Une SA doit mettre en vigueur la politique de protection en ces termes: Pour le trafic entre A et B, utilisez ESP 3DES avec les clés K1,K2 et K3 pour le cryptage de la charge utile, SHA-1 avec la clé K4 pour l'authentification.• B

68. Technologies IPSec • Security Association (SA) • Les SAs contiennent des spécifications unidirectionnelles. • les SAs sont sépécifiques au protocole d'encapsulation (AH,ESP). • Pour un flux de trafic donné, il y a une SA pour chaque protocole (AH, ESP) et pour chaque sens du trafic. • Les équipements VPN stockent leurs SAs dans une base de données local appelée la SA Database (SADB). A B A vers B ESP/DES/SHA-1 Keys K1,K2,... lifetime=3600s B vers A ESP/DES/SHA-1 keys K6,K7,... lifetime=3600s SADB SADB Accès client Accès client A vers B ESP/DES/SHA-1 Keys K1,K2,... lifetime=3600s B vers A ESP/DES/SHA-1 keys K6,K7,... lifetime=3600s Backbone Opérateur

69. Technologies IPSec • Security Association (SA) A A vers B ESP/DES/SHA-1 Keys K1,K2,... lifetime=3600s B vers A ESP/DES/SHA-1 keys K6,K7,... lifetime=3600s SADB SADB Accès client Accès client A vers B ESP/DES/SHA-1 Keys K1,K2,... lifetime=3600s B vers A ESP/DES/SHA-1 keys K6,K7,... lifetime=3600s Backbone Opérateur • Une SA contient les pramètres de sécurité suivants: - L'algorithme Authentification/Cryptage, longueurs de clés et durées de vie des clés utilisées pour protéger les paquets. - Les clés de sessions pour l'authentification et le cryptage. - L'encapsulation IPSec (AH ou ESP) en mode tunnel ou transport. - Une spécification du trafic réseau auquel s'applique la SA. B

70. Technologies IPSec • Les cinq étapes d'IPSec Routeur A Routeur B • Le but d'IPSec est de protéger des données avec les moyens de sécurité appropriés • Le processus IPSec peut être découpé en cinq étapes Host A Host B 1. Le Host A transmet des informations vers le Host B 2. Les routeurs A et B négocient une session IKE Phase 1 3. Les routeurs négocient une session IKE Phase 2 4. Les information sont échangées via le Tunnel IPSec 5. Le tunnel IPSec est libéré. IKE SA IKE SA IKE Phase 1 IKE SA IKE SA IKE Phase 2

71. Technologies IPSec • Les cinq étapes d'IPSec Routeur A Routeur B • Etape 1 - Des informations à transmettre initient le processus IPSec - Le trafic est dit "interressant" quand l'équipement VPN reconnaît que les données doivent être protégées. • Etape 2 - IKE Phase 1 authentifie les extrémités IPSec et négocie les SAs IKE. - Ceci crée un canal sécurisé pour négocier les SAs IPSec en Phase 2. Host A Host B 1. Le Host A transmet des informations vers le Host B 2. Les routeurs A et B négocient une session IKE Phase 1 3. Les routeurs négocient une session IKE Phase 2 4. Les information sont échangées via le Tunnel IPSec 5. Le tunnel IPSec est libéré. IKE SA IKE SA IKE Phase 1 IKE SA IKE SA IKE Phase 2

72. Technologies IPSec • Les cinq étapes d'IPSec • Etape 3 - La phase 2 IKE négocie les paramètres des SAs IPSec et crée une correspondance entre les SAs IPSec des extrémités. - Ces paramètres de sécurité sont échangés pour protéger les messages échangés entre les extrémités. • Etape 4 - Le transfert de données est effectué entre les extrémités IPSec sur la base des paramètres IPSEc et des clés stockées dans la base de données SA. • Etape 5 - La libération du tunnel IPSec survient sur effacement au travers des SAs ou sur time out. Host A Host B 1. Le Host A transmet des informations vers le Host B 2. Les routeurs A et B négocient une session IKE Phase 1 3. Les routeurs négocient une session IKE Phase 2 4. Les information sont échangées via le Tunnel IPSec 5. Le tunnel IPSec est libéré. IKE SA IKE SA IKE Phase 1 IKE SA IKE SA IKE Phase 2

73. Technologies IPSec • Les cinq étapes d'IPSec - Comment IPSec utilise IKE • IKE (Internet Key Exchange) améliore IPSec en fournissant des fonctions additionnelles, flexibilité et facilite la configuration d'IPSec. • IKE est un protocole hybride qui implémente les échanges de clés Oakley et Skeme dans le cadre ISAKMP (Internet Security Association and Key management) • IKE fournit l'authentification pour les extrémités IPSec, négocie les clés IPSec et les Associations de Sécurité IPSec IPSec IKE IKE IPSec Routeur A Routeur B Tunnel IKE 1. Un paquet est transmis du Routeur A vers le Routeur B. Pas de SA IPSec 2. IKE du Routeur A commence à négocier avec IKE du Routeur B. 3. La négociation est terminée. Le Routeur A et le Routeur B ont un ensemble de SAs en place. 4. Un paquet est transmis du Routeur A vers le Routeur B protégé par IPSec

74. Technologies IPSec • Les cinq étapes d'IPSec - Comment IPSec utilise IKE • Le tunnel IKE protège les négociations de SA. • Le Mode de configuration IKE autorise une paserelle à télécharger une adresse IP vers le client . ceci faisant partie de la négociation IKE. • L'adresse IP fournie par la passerelle au client IKE est utilisée comme une IP "interne" encapsulée dans IPSec. • Cette adresse IP connue peut être controlée par la politique (policy) IPSec. IPSec IKE IKE IPSec Routeur A Routeur B Tunnel IKE 1. Un paquet est transmis du Routeur A vers le Routeur B. Pas de SA IPSec 2. IKE du Routeur A commence à négocier avec IKE du Routeur B. 3. La négociation est terminée. Le Routeur A et le Routeur B ont un ensemble de SAs en place. 4. Un paquet est transmis du Routeur A vers le Routeur B protégé par IPSec

75. Technologies IPSec • Les cinq étapes d'IPSec - Comment IPSec utilise IKE • Le Mode de configuration IKE est implémenté dans les images IOS Cisco IOSec. • En utilisant le Mode de configuration IKE, un serveur d'accès Cisco peut être configuré pou télécharger une adresse IP vers un client comme faisant partie de la transaction IKE. • IKE négocie automatiquement les SAs IPSec et active les communications sécurisées par IPSec sans une pré-configuration manuelle fastidieuse. IPSec IKE IKE IPSec Routeur A Routeur B Tunnel IKE 1. Un paquet est transmis du Routeur A vers le Routeur B. Pas de SA IPSec 2. IKE du Routeur A commence à négocier avec IKE du Routeur B. 3. La négociation est terminée. Le Routeur A et le Routeur B ont un ensemble de SAs en place. 4. Un paquet est transmis du Routeur A vers le Routeur B protégé par IPSec

76. Technologies IPSec • Les cinq étapes d'IPSec - Comment IPSec utilise IKE • IKE a les avantages suivants: - Elimine la configuration manuelle des paramètres de sécurité IPSec dans des crypto maps à chaque extrémité. - Permet de spécifier une durée de vie pour les SAs. - Permet le changement de clés pendant les sessions IPSec. - Autorise IPSec à fournir les services de détecton d'intrusion d'un tiers. - Permet le support d'Autotrité de Certification pour une implémentation IPSec évolutive. - Permet l'authentification dynamique des extrémités. IPSec IKE IKE IPSec Routeur A Routeur B Tunnel IKE 1. Un paquet est transmis du Routeur A vers le Routeur B. Pas de SA IPSec 2. IKE du Routeur A commence à négocier avec IKE du Routeur B. 3. La négociation est terminée. Le Routeur A et le Routeur B ont un ensemble de SAs en place. 4. Un paquet est transmis du Routeur A vers le Routeur B protégé par IPSec

77. Technologies IPSec • Les cinq étapes d'IPSec - Comment IPSec utilise IKE • Les différentes technologies implémentées pour l'usage d'IKE sont: - DES (Data Encryption Standard) utilisé pour crypter les données. IKE implémente le standard DES-CBC 56 bits avec Explivit IV (Initialization Vector). - 3DES. Cryptage 168 bits - CBC (Cipher Bloc Chaining) requiert l'utilisation d'un vecteur d'initialisation (IV). Le vecteur d'initialisation est donné dans le paquet IPSec. - Diffie-Hellman est un protocol de cryptage à clé publique qui permet à deux parties d'établir un secret partagé sur un canal de communication non-sécurisé. Diffie-Hellman est utilisé dans IKE pour établir les sessions de clés. Les groupes Diffie-Hellman 768-bits et 1024-bits sont supportés. - MD5 (Message Digest 5), variante HMAC, est un algorithme de hachage utilisé pour authentifier les données. HMAC est une variante qui donne un niveau supplémentaire de hachage. - SHA (Secure Hash Algorithm), variante HMAC, est un algorithme de hachage utilisé pour authentifier les données. HMAC est une variante qui donne un niveau supplémentaire de hachage. - Signatures RSA et cryptage RSA -- RSA est un protocole de cryptage à clé publique développé par Ron Rivest, Adi Shamir et Leonard Adleman. Les signatures RSA fournissent la non-répudiation tandis RSA est utilisé pour le cryptage.

78. Technologies IPSec • Les cinq étapes d'IPSec - Comment IPSec utilise IKE • Le protocole IKE utilise les certificats X.509v3 quand l'authentification requiert des clés publiques. • Ce support de certificat permet l'évolution du réseau en fournissant l'équivalent d'une carte d'identification numérique à chaque équipement. • Quand deux équipements veulent communiquer, ils échangent leurs certificats pour prouver leur identité. • Ceci élimine le besoin d'échanger manuellement des clés publiques avec chaque extrémité ou de spécifier manuellement une clé partagée à chaque extrémié. IPSec IKE IKE IPSec Routeur A Routeur B Tunnel IKE 1. Un paquet est transmis du Routeur A vers le Routeur B. Pas de SA IPSec 2. IKE du Routeur A commence à négocier avec IKE du Routeur B. 3. La négociation est terminée. Le Routeur A et le Routeur B ont un ensemble de SAs en place. 4. Un paquet est transmis du Routeur A vers le Routeur B protégé par IPSec

79. Technologies IPSec • Les cinq étapes d'IPSec - Comment IPSec utilise IKE • IPSec dans l'IOS Cisco traite les paquets comme le montre la figure ci-dessus • Le processus présume que les clés privées et publiques ont déjà été créees et qu'il existe au moins une liste de controle d'accès. Cryptage? SA IPSec? SA IKE? Authentification avec CA? Transmettre sur interface Cryptage du paquet et transmission Négocie les SAs IPSec avec SA ISAKMP Négocie les SAs ISAKMP avec l'extrémité Récupère la clé publique du CA Récupère le certificat pour sa propre clé publique. access-list 1XX permit crypto ipsec transform-set crypto map name crypto isakmp policy crypto isakmp identity crypto key generate crypto key public-chain crypto ca identity crypto ca authenticate crypto ca enroll crypto ca crl request IOS Le trafic est choisi avec les listes d'accès IPSec Un par IPSec SA (entre extrémités) ISAKMP/Oakley Un par ISAKMP SA (entre extrémités) CA Authentification Un par paire de clés privée/publique Non Non Non Non Oui Oui Oui Oui Clés

80. Technologies IPSec • Les cinq étapes d'IPSec - Comment IPSec utilise IKE • Les listes d'accès appliquées à une interface et les crypto map sont utlisées par l'IOS Cisco pour sélectionner le trafic qui doit être protégé (crypté). • L'IOS Cisco vérifie si les associations de sécurité IPSec (SA) ont été établies. • Si les SAs ont déjà été établies par configuration manuelle avec les commandes crypto ipsec transform-set et crypto map ou par IKE, le paquet est crypté sur la base de la "policy" spécifiée dans la crypto map et transmis sur l'interface. • Si les SAs ne sont pas établies, l'IOS Cisco vérifie si une SA ISAKMP a été configurée et activée. • Si la SA ISAKMP a été activée, cette SA ISAKMP dirige la négociation de la SA IPSec avec la "polict" ISAKMp configurée par la commande crypto isakmp policy . • Le paquet est crypté par IPSec et transmis sur l'interface.

81. Technologies IPSec • Les cinq étapes d'IPSec - Comment IPSec utilise IKE • Si la SA ISAKMP n'a pas été activée, l'IOS Cisco vérifie si l'autorité de certification a été configurée pour établir une ISAKMP policy. • Si l'authentification de la CA (Certification Authority) a été configurée avec les différentes commandes crypto ca , le routeur utilise les clés publique/privée configurées précédemment, récupère le certificat public de la CA, un certificat pour sa propre clé publique, utilise la lé pour négocier une SA ISAKMP qui à son tour est utilisée pou négovier une SA IPSEC. Le paquet est crypté puis transmis.

82. Taches de configuration IPSec Tache 1 - Préparer IPSec • Déterminer la IKE policy (IKE Phase 1) • Déterminer la IPSec policy (IKE Phase 2) • Vérifier la configuration courante • S'assurer que le réseau fonctionne sans cryptage • S'assurer que les listes de controle d'accès sont compatibles avec IPSec. Tache 2 - Configurer IKE • Valider ou Dévalider IKE • Créer les IKE policies • configurer les "pre-shared" clés • Configurer l'identité ISAKMP • Vérifier la configuration IKE Tache 3 - Configurer IPSec • Configurer les suites "transform-set" • Configurer les paramètres globaux IPSec • Créer les crypto ACLs • Créer les crypto ACLs utilisants les listes d'accès étendues • Créer les crypto maps. • Configurer les IPSec crypto maps Tache 4 - Tester et Vérifier IPSec • L'utilisation de clés IKE "pre-shared" pour l'authentification de sessions IPSec est relativement aisée mais n'est pas très évolutive pour un grand nombre de clients IPSec. • Le processus de configuration de clés IKE "pe-shared" dans l'IOS Cisco consiste en quatre taches principales.

83. Taches de configuration IPSec • Tache 1 - Préparation IKE et IPSec Tache 1 - Préparer IPSec • Déterminer la IKE policy (IKE Phase 1) • Déterminer la IPSec policy (IKE Phase 2) • Vérifier la configuration courante - show running-configuration - show crypto isakmp policy - show crypto map • S'assurer que le réseau fonctionne sans cryptage. (ping) • S'assurer que les listes de controle d'accès sont compatibles avec IPSec. - show access-lists Tache 2 - Configurer IKE Tache 3 - Configurer IPSec Tache 4 - Tester et Vérifier IPSec • La configuration du cryptage IPSec peut être compliquée • Créer un plan d'action avant de configurer correctement le cryptage IPSec est obligatoire la première fois afin de minimiser les erreurs de configuration. • Commencez par définir une politique de sécurité IPSec basée sur la politique générale de sécurité de l'entreprise.

84. Taches de configuration IPSec • Tache 1 - Préparation IKE et IPSec - Déterminer la "IKE Policy " (IKE Phase 1) Déterminer les détails suivants de la IKE policy Phase 1: • Méthode de distribution des clés • Méthode d'authentification • Adresses IP et noms de hosts des extrémités IPSec • IKE policy Phase 1 pour toutes les extrémités - Algorithme de Cryptage - Algorithme de Hachage - Durée de vie des SAs IKE But: Minimiser les incohérences de configuration. • Configurer IKE est compliqué • Déterminer d'abord les détails de la policy IKE pour valider la méthode d'authentification choisie et la configurer. • Un plan d'action détaillé évite les configurations non-apprpriées.

85. Taches de configuration IPSec • Tache 1 - Préparation IKE et IPSec - Paramètres "IKE Policy " (IKE Phase 1) • Une IKE "policy" définit une combinaison de paramètres de sécurité utilisés pendant la négociation IKE. • Un groupe de "policies" crée une ensemble de "policies" qui permet aux extrémités IPSec d'établir des sessions IKE et d'établir des SAs avec une configuration minimale. • Le tableau ci-dessus montre un exemple possible de combinaisons de paramètres IKE pour une policy. • Les négociations IKE dovent être protégées aussi la négociation IKE commence par l'agrément par chaque extrémité d'une politique (policy) IKE commune • Cette politique indique quels sont les paramètres IKE qui vont servir à protéger les échanges IKE suivants. Moins de 86400 secondes 86400 seconds Durée de vie SA IKE Diffie-Hellman Groupe 2 Diffie-Hellman Groupe 1 Echange de clés Cryptage RSA Signature RSA Pre-Share Méthode d'authentification SHA-1 MD5 Algorithme de hachage 3-DES DES Algorithme de cryptage Très fiable Fiable Paramètre

86. Taches de configuration IPSec • Tache 1 - Préparation IKE et IPSec - Paramètres "IKE Policy " (IKE Phase 1) • Définir les paramètres de la IKE policy 86400 secondes ou un jour. - Toutes valeurs possibles ISAKMP - Durée de vie des SAs établies 768-bit Diffie-Hellman 1 2 768-bit Diffie-Hellman ou 1024-bit Diffie-Hellman Echange de clés Identificateur de groupe Diffie-Hellman 768-bit Diffie-Hellman pre-share rsa-encr rsa-sig Pre-shared clés Cryptage RSA Signatures RSA Méthode d'authentification 86400 secondes ou un jour sha md5 SHA-1, variante HMAC MD5, variante HMAC Algorithme de hachage 768-bit Diffie-Hellman des 3des DES 3-DES Algorithme de cryptage Valeur par défaut Mot-clé Valeur Paramètre

87. Taches de configuration IPSec • Tache 1 - Préparation IKE et IPSec - Paramètres "IKE Policy " (IKE Phase 1) • Paramètres de la IKE policy - Sélectionner une valeur pour chaque paramètre ISAKMP. Il a cinq paramètres à définir dans chaque IKE policy tel que le décrit le tableau ci-dessus. Moins de 86400 secondes 86400 seconds Durée de vie SA IKE Diffie-Hellman Groupe 2 Diffie-Hellman Groupe 1 Echange de clés Cryptage RSA Signature RSA Pre-Share Méthode d'authentification SHA-1 MD5 Algorithme de hachage 3-DES DES Algorithme de cryptage Très fiable Fiable Paramètre

88. Taches de configuration IPSec • Tache 1 - Préparation IKE et IPSec - Déterminer IPSec (IKE Phase 2) Déterminer les détails suivants de la IKE policy phase 2: • Algorithmes et paramètres IPSec pour une sécurité et des performances optimales. • Transformations et si nécessaire Transform set • Détails sur l'extrémité IPSec • Adresse IP et applications à protéger • SAs Manuelles ou initiées par IKE But: Minimiser les incohérences de configuration. • Une IPSec policy définit une combinaison de paramètres IPSec utilisés pendant la négociation IPSec. • La planification de IPSEc IKE phase 2 est une autre étape importante avant de configure IPSec sur un routeur.

89. Taches de configuration IPSec • Tache 1 - Préparation IKE et IPSec - IPSec Transforms supportés par l'IOS Cisco Le logiciel IOS Cisco supporte les transformations IPSec suivantes: CentralA(config)# crypto ipsec transform-set transform set-name ah-md5 hmac AH - HMAC MD5 transform ah-sha hmac AH - HMAC SHA transform esp-3des ESP transform using 3DES(EDE) cipher (168 bits) esp-des ESP transform using DES cipher (56 bits) esp-md5 hmac ESP transform using HMAC - MD5 auth esp-sha hmac ESP transform using HMAC - SHA auth esp-null ESP transform w/o cipher

90. Taches de configuration IPSec • Tache 1 - Préparation IKE et IPSec - IPSec Transforms supportés par l'IOS Cisco CentralA(config)# crypto ipsec transform -set transform set-name ah-md5 hmac AH - HMAC MD5 transform ah-sha hmac AH - HMAC SHA transform esp-3des ESP transform using 3DES(EDE) cipher (168 bits) esp-des ESP transform using DES cipher (56 bits) esp-md5 hmac ESP transform using HMAC - MD5 auth esp-sha hmac ESP transform using HMAC - SHA auth esp-null ESP transform w/o cipher • AH (Authentication Header) - AH est rarement utilisé car l'authentification est maintenant disponible avec les transforms esp-md5-hmac et esp-sha-hmac . - AH n'est pas compatible avec NAT ou PAT

91. Taches de configuration IPSec • Tache 1 - Préparation IKE et IPSec - IPSec Transforms supportés par l'IOS Cisco CentralA(config)# crypto ipsec transform -set transform set-name ah-md5 hmac AH - HMAC MD5 transform ah-sha hmac AH - HMAC SHA transform esp-3des ESP transform using 3DES(EDE) cipher (168 bits) esp-des ESP transform using DES cipher (56 bits) esp-md5 hmac ESP transform using HMAC - MD5 auth esp-sha hmac ESP transform using HMAC - SHA auth esp-null ESP transform w/o cipher Attention: Ne jamais utiliser esp-null dans un environnement de production car les flux de données ne seront pas protégés. Transform ESP sans cryptage. Peut être utilisée en combinaison avec esp-md5-hmac ou esp-sha-hmac si on veut l'authentification sans cryptage. esp-null Transform ESP avec l'authentification SHA HMAC utilisée avec une transform esp-des ou esp-3des pour fournir l'intégrité des paquets ESP esp-shs-hmac Transform ESP avec l'authentification MD5 HMAC utilisée avec une transform esp-des ou esp-3des pour fournir l'intégrité des paquets ESP esp-md5-hmac Transform ESP utilisant 3DES 168 bits esp-3des Transform ESP utilisant DES 56 bits esp-des Description Transform

92. Taches de configuration IPSec • Tache 1 - Préparation IKE et IPSec - IPSec Transforms supportés par l'IOS Cisco CentralA(config)# crypto ipsec transform -set transform set-name ah-md5 hmac AH - HMAC MD5 transform ah-sha hmac AH - HMAC SHA transform esp-3des ESP transform using 3DES(EDE) cipher (168 bits) esp-des ESP transform using DES cipher (56 bits) esp-md5 hmac ESP transform using HMAC - MD5 auth esp-sha hmac ESP transform using HMAC - SHA auth esp-null ESP transform w/o cipher • L'IOS Cisco empêche l'entrée de combinaisons invalides ou non-autorisées. • compression comp-lzs-ip avec l'algorithme LZS. Compression IP Transform • esp-md5-hmac-ESP avec MD5 (variante HMAC) algorithme d'authentification • esp-sha-hmac-ESP avec SHA (variante HMAC) algorithme d'authentification ESP Authentification Transform En choisir une • esp-des-ESP avec DES-56bits algorithme de cryptage • esp-3des-ESP avec DES-168bits algorithme de cryptage • esp-null-null algorithme de cryptage Transform ESP Transform • ah-md5-hmac-AH avec MD5 (variante HMAC) algorithme d'authentification • ah-SHA-hmac-AH avec SHA (variante HMAC) algorithme d'authentification Transform AH En choisir une Combinaisons autorisées Type de Transform

93. Taches de configuration IPSec • Tache 1 - Préparation IKE et IPSec - Exemple IPSec Policy • La figure ci-dessus montre un exemple des details de la politique de cryptage IPSec qui sera utilisée dans les exmples dee ce document. 10.0.1.3 10.0.2.3 Host A Host B Routeur A Routeur B E0/1 172.30.1.2 Internet E0/1 172.30.2.2 ipsec-isakmp ipsec-isakmp Etablissement des SAs TCP TCP Type de trafic à crypter 10.0.2.3 10.0.1.3 Hosts à crypter 172.30.1.2 172.30.2.2 Peer IP address RouteurA RouteurB Peer hostname ESP-DES, Tunnel ESP-DES, Tunnel Transform set Host B Host A Policy

94. Taches de configuration IPSec • Tache 1 - Préparation IKE et IPSec - Identifier les extrémités IPSec • Un point important pour déterminer la politique IPSec est l'identification l'extrémité IPSec avec laquelle le routeur Cisco va communiquer. • L'extrémité doit supporter IPSec tel qu'il est spécifié dans les RFCs supportés par l'IOS Cisco. Serveur CA Cisco PIX Pare-feu Utilisateur distant avec le client VPN Cisco Autres constructeurs voisins IPSec Concentrateur VPN Cisco Routeur Cisco

95. Taches de configuration IPSec • Tache 1 - Préparation IKE et IPSec - Etape 3 : Vérifier la configuration courante Routeur# show running-config • Affiche la configuration courante pour voir les policies IPSec existantes Routeur# show crypto isakmp policy • Affiche les policies IKE phase 1 par défaut et configurées Routeur# show crypto map • Affiche les crypto maps configurées Routeur# show crypto ipsec transform-set • Affiche les "transforms set"configurés Host A Host B Routeur A Routeur B E0/1 172.30.1.2 Internet E0/1 172.30.2.2

96. RouterA# show crypto isakmp policy Default protection suite encryption algorithm: DES - Data Encryption Standard (56 bit keys) hash algorithm: Secure Hash Standard authentication method: Rivest-Shamir-Adleman Signature Diffie-Hellman Group: #1 (768 bit) lifetime: 86400 seconds, no volume limit Taches de configuration IPSec • Tache 1 - Préparation IKE et IPSec - Etape 3 : Vérifier la configuration courante • Commande : show crypto isakmp policy • Utilisez la commande show crypto isakmp policy pour examiner les policies IKE

97. RouterA# show crypto map Crypto Map "mymap" 10 ipsec-isakmp Peer = 172.30.2.2 Extended IP access list 102 access-list 102 permit ip host 172.30.1.2 host 172.30.2.2 Current peer: 172.30.2.2 Security association lifetime: 4608000 kilobytes/3600 seconds PFS (Y/N): N Transform sets={ mine, } Taches de configuration IPSec • Tache 1 - Préparation IKE et IPSec - Etape 3 : Vérifier la configuration courante • Commande : show crypto map • La commande show crypto map est très utile pour examiner les crypto maps déjà configurées.

98. RouterA# show crypto ipsec transform-set mine Transform set mine: { esp-des } will negotiate = { Tunnel, }, Taches de configuration IPSec • Tache 1 - Préparation IKE et IPSec - Etape 3 : Vérifier la configuration courante • Commande : show crypto map • Utilisez la commande show crypto ipsec transform-set mine pour examiner les transform sets déjà configurés. • Utilisez les transform sets déjà configurés pour gagner une configuration plus rapide.

99. Taches de configuration IPSec • Tache 1 - Préparation IKE et IPSec - Etape 4 : Vérifier le fonctionnement du réseau Serveur CA Cisco PIX Pare-feu Utilisateur distant avec le client VPN Cisco Autres constructeurs voisins IPSec Concentrateur VPN Cisco Cisco Routeur B 172.30.2.2 Cisco Routeur B 172.30.1.2 RouteurA# ping 172.30.1.2

100. Taches de configuration IPSec • Tache 1 - Préparation IKE et IPSec - Etape 5: Assurez-vous que les ACLs sont compatibles avec IPSec RouterA# show access-lists access-list 102 permit ah host 172.30.2.2 host 172.30.1.2 access-list 102 permit esp host 172.30.2.2 host 172.30.1.2 access-list 102 permit udp host 172.30.2.2 host 172.30.1.2 eq isakmp • Assurez-vous que les protocoles 50, 51 et UDP port 500 ne sont pas bloqués sur les interfaces utilisées par IPSec. Site 1 Site 2 Routeur A Routeur B E0/1 172.30.1.2 Internet E0/1 172.30.2.2 IKE AH ESP

101. Taches de configuration IPSec • Tache 2 - Configurer IKE Tache 1 - Préparer IPSec Tache 2 - Configurer IKE • Etape 1 - Valider ou dévalider IKE - crypto isakmp enable • Etape 2 - Créer les IKE policies - crypto isakmp policy • Etape 3 - Configurer ISAKMP - crypto isakmp identity • Etape 4 - Configurer les Pre-shared clés - crypto isakmp key • Etape 5 - Vérifier la configuration IKE - show crypto isakmp policy Tache 3 - Configurer IPSec Tache 4 - Tester et Vérifier IPSec

102. Taches de configuration IPSec • Tache 2 - Configurer IKE - Etape 1: Valider IKE RouteurA(config)# [no] crypto isakmp enable RouteurA(config)# crypto isakmp enable • Cette commande valide ou dévalide globalement IKE sur un routeur • IKE est validé par défaut • IKE est validé globalement pour toutes les interfaces du routeur • Une liste ce controle d'accès peut être utilisée pour bloquer IKE sur une interface particulière. 10.0.1.3 Routeur A Routeur B 172.30.1.2 Internet 172.30.2.2 10.0.2.3 Host A Host B

103. Taches de configuration IPSec • Tache 2 - Configurer IKE - Etape 2: Créer les "IKE Policies" RouteurA(config)# crypto isakmp policy priority RouteurA(config)# crypto isakmp policy 110 • Définit une policy IKE qui est un ensemble de paramètres utilisés lors de la négociation IKE. • Enchaine sur le mode de commande isakmp • L'étape majeure suivante dans la configuration die ISAKMP est de définir une suite de policies ISAKMP. • Le but de cette définition est d'établir une liaison ISAKMP entre deux extrémités IPSec. 10.0.1.3 Routeur A Routeur B 172.30.1.2 Internet 172.30.2.2 10.0.2.3 Host A Host B

104. Taches de configuration IPSec • Tache 2 - Configurer IKE - Etape 2: Créer les "IKE Policies" avec la commande crypto isakmp Policy 110 DES MD5 Pre-Share 86400 RouteurA(config)# crypto isakmp policy priority • Définit les paramètres dans la policy 110 RouteurA(config)# crypto isakmp policy 110 RouteurA(config-isakmp)# authentication pre-share RouteurA(config-isakmp)# encryption des RouteurA(config-isakmp)# group1 RouteurA(config-isakmp)# hash md5 RouteurA(config-isakmp)# lifetime 86400 • La commande isakmp policy invoque le mode de configuration ISAKMP (config-isakmp) dans lequel les paramètres ISAKMP sont configurés. 10.0.1.3 Routeur A Routeur B 172.30.1.2 Internet 172.30.2.2 10.0.2.3 Host A Host B

105. Taches de configuration IPSec • Tache 2 - Configurer IKE - Etape 2: Créer les "IKE Policies" avec la commande crypto isakmp • Si un de ces paramètres n'est pas spécifié pour la policy, la valeur par défaut sera utilisée pour ce paramètre. 86400 secondes (un jour) Toutes valeurs possibles en secondes - Paramètres d'échange de clés. 1 Diffie-Hellman 768 bits Diffie-Hellman 1024 bits 1 2 Méthode d'authentification d'une extrémité rsa-sig Signatures RSA Cryptage RSA Lcés "pre-shared" rsa-sig rsa-encr pre-share Intégrité du message sha SHA-1(variante HMAC) MD5 (variante HMAC) sha md5 Algorithme de cryptage des DES-CBC 56 bits des Description Valeurs par défaut Valeurs acceptées Mot-clé

106. Taches de configuration IPSec • Tache 2 - Configurer IKE - Etape 2: "IKE Policy négotiation" • crypto isakmp policy 100 - hash md5 - authentication pre-share • crypto isakmp policy 200 - hash sha - authentication rsa-sig • crypto isakmp policy 300 - authentication pre-share • crypto isakmp policy 100 - hash md5 - authentication pre-share • crypto isakmp policy 200 - hash sha - authentication rsa-sig • crypto isakmp policy 300 - authentication pre-share Les deux premières policies peuvent être négociées avec succès par la troisième • Une correspondance est trouvée quand les deux policies des deux extrémités contiennent les mêmes paramères pour le cryptage, l'authentification, le hachage et diffie-Hellman et quand la policy de l'extrémité distante spécifie une durée de vie égale ou inférieure à la policy locale. 10.0.1.3 Routeur A Routeur B 172.30.1.2 Internet 172.30.2.2 10.0.2.3 Host A Host B

107. Taches de configuration IPSec • Tache 2 - Configurer IKE - Etape 3: Configurer ISAKMP Identity routeur(config)#crypto isakmp identity {address | hostname} • Les extrémités IPSec s'authentifient mutuellement pendant la négociation ISAKMP en utilisant les clés "pre-shared" et l'identité ISAKMP. • L'identité ISAKMP peut être l'adresse IP de l'interface du routeur ou le nom de host. • L'IOS Cisco utilise l'identité par adresse IP par défaut. 10.0.1.3 Routeur A Routeur B 172.30.1.2 Internet 172.30.2.2 10.0.2.3 Host A Host B Fixe l'identité ISAKMP avec le nom de host concaténé avec le nom de domaine. Cette méthode doit être utilisée s'il y a plusieurs interfaces utilisées pour la négociation ISAKMP ou si l'adresse IP de l'interface n'est pas connue. ( adresse affectée dynamiquement) hostname Fixe l'identité ISAKMP avec l'adresse IP de l'interface qui est utilisée pour communiquer avec l'extrémité distante durant la négociation ISAKMP. Cette méthode est utilisée quand il y a une seule interface utilisée et que l'adresse IP est connue. address

108. Taches de configuration IPSec • Tache 2 - Configurer IKE - Etape 4: Configurer les "pre-shared keys" 10.0.1.3 Routeur A Routeur B 172.30.1.2 Internet 10.0.2.3 Host A Host B routeur(config)#crypto isakmp key keystring hostname hostname routeur(config)#crypto isakmp key keystring address peer-address routeur(config)#crypto isakmp key Cisco1234 address 171.30.2.2 • Configurez une clé d'authentification "pre-shared" avec la commande crypto isakmp key en mode de configuration global. • Cette clé doit être configurée chaque fois que des clés "pre-shared" sont spécifiées dans policy ISAKMP. 172.30.2.2 Pre-shared clé Cisco1234

109. RouterB(config)#crypto isakmp key cisco1234 address 172.30.1.1 RouterB(config)#crypto isakmp policy 110 RouterB(config-isakmp)#hash md5 RouterB(config-isakmp)#authentication pre-share RouterA(config)#crypto isakmp key cisco1234 address 172.30.2.1 RouterA(config)#crypto isakmp policy 110 RouterA(config-isakmp)#hash md5 RouterA(config-isakmp)#authentication pre-share Taches de configuration IPSec • Tache 2 - Configurer IKE - Etape 4: Configurer les "pre-shared keys" 10.0.1.3 Routeur A Routeur B 172.30.1.2 Internet 10.0.2.3 Host A Host B 172.30.2.2 Pre-shared clé Cisco1234

110. RouterA# show crypto isakmp policy Protection suite of priority 110 encryption algorithm: DES - Data Encryption Standard (56 bit keys). hash algorithm: Message Digest 5 authentication method: Pre-Shared Key Diffie-Hellman group: #1 (768 bit) lifetime: 86400 seconds, no volume limit Default protection suite encryption algorithm: DES - Data Encryption Standard (56 bit keys). hash algorithm: Secure Hash Standard authentication method: Rivest-Shamir-Adleman Signature Diffie-Hellman group: #1 (768 bit) lifetime: 86400 seconds, no volume limit Taches de configuration IPSec • Tache 2 - Configurer IKE - Etape 5: Vérifier la configuration IKE 10.0.1.3 Routeur A Routeur B 172.30.1.2 Internet 172.30.2.2 10.0.2.3 Host A Host B

111. Taches de configuration IPSec • Tache 3 - Configurer IPSec Tache 1 - Préparer IPSec Tache 2 - Configurer IKE Tache 3 - Configurer IPSec • Etape 1 - Configurer les "transform suites" - crypto ipsec transform-set • Etape 2 - Configurer les durées de vie globales des IPSec SAs - crypto ipsec security-association lifetime • Etape 3 - Créer les crypto ACLs utilisant les listes d'accès étendues - crypto map • Etape 4 - Configurer les crypto maps IPSec • Etape 5 - Appliquer les crypto maps aux interfaces - crypto map map-name Tache 4 - Tester et Vérifier IPSec

112. Taches de configuration IPSec • Tache 3 - Configurer IPSec Etape 1: Configurer les "transforms set" Routeur(config)# crypto ipsec transform-set transform-set-name transform1 [ transform2 [ transform2 [ transform3 ]] Routeur(cfg-crypto-trans)# RouteurA(config)# crypto ipsec transform-set mine des • Un "transform set" est une combinaison de transforms individuels IPSec qui promulgue une politique de sécurité pour le trafic. • Durant la négociation ISAKMP IPSec SA qui se produit dans IKE phase 2 en mode rapide, les extrémités agréent l'utilisation d'un "transform set" pour protéger un flux de trafic particulier. 10.0.1.3 Routeur A Routeur B 172.30.1.2 Internet 172.30.2.2 10.0.2.3 Host A Host B esp-des Tunnel Mine

113. Taches de configuration IPSec • Tache 3 - Configurer IPSec Etape 1: "transform set negotiation" transform-set 10 esp-3des tunnel transform-set 40 esp-3des tunnel transform-set 20 esp-3des, esp-md5-hmac tunnel transform-set 50 esp-3des, ah-sha-hmac tunnel transform-set 60 esp-3des, esp-sha-hmac tunnel transform-set 30 esp-3des, esp-sha-hmac tunnel OK • Les "transform sets" sont négociés durant IKE phase 2 en mode quick en utilisant des transform sets dejà configurés. • Plusieurs transform sets peuvent être configurés avant de spécifier un plusieurs transform sets dans une crypto map. • Configurez les "transforms" du plus sécurisé au moins sécurisé comme l"indique la policy. • Le transform set défini dans la crypto map est utilisé dans la négociation IPSec SA pour protéger le flux spécifié dans l'ACL de la crypto map. 10.0.1.3 Routeur A Routeur B 172.30.1.2 Internet 172.30.2.2 10.0.2.3 Host A Host B

114. Taches de configuration IPSec • Tache 3 - Configurer IPSec Etape 2: Configurer les durées de vies globales des SA IPSec Routeur(config)# crypto ipsec security-association lifetime { seconds seconds | kilobytes kilobytes} RouteurA(config)# crypto ipsec security-association lifetime 86400 • Les durées de vie des SAs IPSec sont négociées dans IKE phase2 • Les durées de vie des SAs IPSec dans les crypto map outrepassent les durées de vie globales des SAs IPSec. 10.0.1.3 Routeur A Routeur B 172.30.1.2 Internet 172.30.2.2 10.0.2.3 Host A Host B

115. Taches de configuration IPSec • Tache 3 - Configurer IPSec Etape 2: But des "Crypto ACLs" 10.0.1.3 Routeur A 172.30.1.2 Internet Host A Trafic sortant Trafic entrant Cryptage Non IPsec Autorise IPSec crypté Elimine IPSec non-crypté Non IPSec • Les listes d'accès en sortie indiquent quel flux de données doit être protégé par IPSec • Les listes d'accès en entrée filtrent et élimine le trafic qui aurait du être protégé par IPSec.

116. Taches de configuration IPSec • Tache 3 - Configurer IPSec Etape 3: Créer "Crypto ACLs" avec les listes d'accès étendues 10.0.1.0 10.0.2.0 Routeur(config)#access-list access-list-number [dynamic dynamic-name [ timeou-minutes ]] {deny | permit} protocol source source-wildcard destination destination-wildcard [precedence precedence ] [tos tos ] [log] • Les crypto ACLs identifie quel trafic doit protégé (crypté) RouteurA(config)#access-list 110 permit tcp 10.0.1.0 0.0.0.255 10.0.2.0 0.0.0.255 Cryptage 10.0.1.3 Routeur A Routeur B 172.30.1.2 Internet 172.30.2.2 10.0.2.3 Host A Host B

117. Taches de configuration IPSec • Tache 3 - Configurer IPSec Etape 3: Configurer "Crypto ACLs" avec des extrémités symétriques RouteurA(config)#access-list 101 permit tcp 10.0.1.0 0.0.0.255 10.0.2.0 0.0.0.255 RouteurB(config)#access-list 101 permit tcp 10.0.2.0 0.0.0.255 10.0.1.0 0.0.0.255 10.0.1.3 Routeur A Routeur B 172.30.1.2 Internet 172.30.2.2 10.0.2.3 Host A Host B

118. Taches de configuration IPSec • Tache 3 - Configurer IPSec Etape 3: But des "Crypto maps" Les crypto maps relient les différentes parties configurées pour IPSec dont: • Le trafic devant être protégé par IPSec et un ensemble de SAs • L'adresse locale à utiliser pour le trafic IPSEc • L'adesse de destination du trafic protégé par IPSec • Le type IPSec à appliquer à ce trafic • La méthode d'établissement des SAs, soit manuellement soit avec RSA • D'autres paramètres nécessaires pour définir une SA IPSec

119. Taches de configuration IPSec • Tache 3 - Configurer IPSec Etape 3: Paramètres des "Crypto maps" Trafic crypté Interface ou sous-interface de routeur Les crypto maps définissent: • La liste d'accès à utiliser • Les extrémités distantes du VPN • Les transforms sets utilisés • La méthode de gestion des clés • La durée de vie des associations de sécurité 10.0.1.3 Routeur A Routeur B 172.30.1.2 Internet 172.30.2.2 10.0.2.3 Host A Host B

120. Taches de configuration IPSec • Tache 3 - Configurer IPSec Etape 4: Configurer les "Crypto maps" IPSec Routeur(config)# crypto map map-name seq-num ipsec-manual Routeur(config)# crypto map map-name seq-num ipsec-isakmp [dynamic dynamic-map-name ] RouteurA(config)# crypto map mymap 110 ipsec-isakmp • Un numéro de séquence différent par extrémité • De multiples extrémités peuvent être spécifiées dans un seule crypto map pour redondance • Une crypto map par interface 10.0.1.3 Routeur A Routeur B 172.30.1.2 Internet 172.30.2.2 10.0.2.3 Host A Host B

121. Taches de configuration IPSec • Tache 3 - Configurer IPSec Etape 4: Exemple de ommandes crypto map 10.0.1.3 Routeur A Routeur B 172.30.1.2 Internet 172.30.2.2 10.0.2.3 Host A Host B 172.30.3.2 Routeur C RouteurA(config)# map mymap 110 ipsec-isakmp RouteurA(config-crypto-map)# match address 110 RouteurA(config-crypto-map)# set peer 172.30.2.2 RouteurA(config-crypto-map)# set peer 172.30.3.2 RouteurA(config-crypto-map)# set pfs group1 RouteurA(config-crypto-map)# set transform-set mine RouteurA(config-crypto-map)# set security association lifetime 86400

122. Taches de configuration IPSec • Tache 3 - Configurer IPSec Etape 5: Appliquer les "Crypto maps" aux interfaces Routeur(config-if)# crypto map map-name RouteurA(config)# interface ethernet0/1 RouteurA(config-if)# crypto map mymap mymap 10.0.1.3 Routeur A Routeur B 172.30.1.2 Internet 172.30.2.2 10.0.2.3 Host A Host B

123. Taches de configuration IPSec • Tache 3 - Configurer IPSec Etape 5: Exemples de configuration IPSec RouteurB# show running-config crypto ipsec transform-set mine esp-des ! crypto map mymap 10 ipsec-isakmp set peer 172.30.1.2 set transform-set mine match address 110 ! interface Ethernet0/1 ip address 172.30.2.2 255.255.255.0 no ip directed broadcast crypto map mymap ! access-list 110 permit tcp 10.0.2.0 0.0.0.255 10.0.1.0 0.0.0.255 RouteurA# show running-config crypto ipsec transform-set mine esp-des ! crypto map mymap 10 ipsec-isakmp set peer 172.30.2.2 set transform-set mine match address 110 ! interface Ethernet0/1 ip address 172.30.1.2 255.255.255.0 no ip directed broadcast crypto map mymap ! access-list 110 permit tcp 10.0.1.0 0.0.0.255 10.0.2.0 0.0.0.255 10.0.1.3 Routeur A Routeur B 172.30.1.2 Internet 172.30.2.2 10.0.2.3 Host A Host B

124. Taches de configuration IPSec • Tache 4 - Tester et vérifier IPSec Tache 1 - Préparation pour IKE et IPSec Tache 2 - Configurer IKE Tache 3 - Configurer IPSec Tache 4 - Tester et Vérifier IPSec • Affiche les policies IKE configurées - show crypto isakmp policy ( show isakmp policy sur un PIX) • Affiche les transform sets configurés - show crypto ipsec transform-set • Affiche les associations de sécurité - show crypto isakmp sa (show isakmp sa sur un PIX) • Affiche l'état courant des SAs IPSec - show crypto ipsec sa • Affiche les crypto maps configurés - show crypto map • Valide debug pour les évènements IPSec - debug crypto ipsec • Valide debug pour les évènements ISAKMP - debug crypto isakmp

125. Taches de configuration IPSec • Tache 4 - Tester et vérifier IPSec - Commande show crypto isakmp policy RouteurA# show crypto isakmp policy Protection suite of priority 110 encryption algorithm: DES - Data Encryption Standard (56 bit keys). hash algorithm: Message Digest 5 authentication method: pre-share Diffie-Hellmen-group: #1 (768bit) Lifetime: 86400 seconds, no volume limit Default protection suite encryption algorithm: DES - Data Encryption Standard (56 bit keys). hash algorithm: Secure Hash Standard authentication method: Rivest-Shamir-Adleman Signature Diffie-Hellmen-group: #1 (768bit) Lifetime: 86400 seconds, no volume limit 10.0.1.3 Routeur A Routeur B 172.30.1.2 Internet 172.30.2.2 10.0.2.3 Host A Host B

126. Taches de configuration IPSec • Tache 4 - Tester et vérifier IPSec - Commande show crypto ipsec transform-set RouteurA# show crypto ipsec transform-set Transform set mine: { esp-des} will negotiate = {Tunnel, }, RouteurA# show crypto isakmp sa dest src state conn-id slot 172.30.2.2 172.30.1.2 QM_IDLE 47 5 • Affiche les associations de sécurité ISAKMP • Affiche les transforms sets courants et définis 10.0.1.3 Routeur A Routeur B 172.30.1.2 Internet 172.30.2.2 10.0.2.3 Host A Host B

127. Taches de configuration IPSec • Tache 4 - Tester et vérifier IPSec - Commande show crypto ipsec sa RouteurA# show crypto ipsec sa interface: Ethernet0/1 Crypto map tag: mymap, local addr. 172.30.1.2 local ident (addr/mask/prot/port): (172.30.1.2/255.255.255.255/0/0) remote ident (addr/mask/prot/port): (172.30.2.2/255.255.255.255/0/0) Current peer: 172.30.2.2 PERMIT, flags={origin_is_acl} #pkts encaps: 21, #pkts encrypt: 21, #pkts digest 0 #send errors 0 #rec errors 0 Local crypto endpt: 172.30.1.2, remote crypto endpt: 172.30.2.2 10.0.1.3 Routeur A Routeur B 172.30.1.2 Internet 172.30.2.2 10.0.2.3 Host A Host B

128. Taches de configuration IPSec • Tache 4 - Tester et vérifier IPSec - Commande show crypto map RouteurA# show crypto map Crypto Map "mymap" 10 ipsec-isakmp Peer - 172.30.2.2 Extended IP access list 202 Acces-list 102 permit ip host 172.30.1.2 host 172.30.2.2 Current peer: 172.30.2.2 Security association lifetime: 4608000 kilobytes/3600 seconds PFS (Y/N) : N Transform sets={ mine, } 10.0.1.3 Routeur A Routeur B 172.30.1.2 Internet 172.30.2.2 10.0.2.3 Host A Host B

129. Taches de configuration IPSec • Tache 4 - Tester et vérifier IPSec - Commandes clear Routeur# clear crypto sa Routeur# clear crypto sa peer <IP address | peer name> Routeur# clear crypto sa map <map name> Routeur# clear crypto sa entry <destination address protocol spi> • Efface les associations de sécurité IPSec dans la base de données du routeur PIX# clear [crypto] ipsec sa PIX# clear [crypto] ipsec sa peer <IP address | peer name> PIX# clear [crypto] ipsec sa map <map name> PIX# clear [crypto] ipsec sa entry <destination address protocol spi> • Efface les associations de sécurité IPSec ou IKE sur un PIX

130. Taches de configuration IPSec • Tache 4 - Tester et vérifier IPSec - Commandes debug crypto Routeur#debug crypto ipsec Routeur#debug crypto isakmp • Affiche les messages debug pour tous les évènements IPSec • Affiche les messages debug pour tous les évènements ISAKMP

131. Taches de configuration IPSec • Tache 4 - Tester et vérifier IPSec - Commandes debug crypto RouteurA# debug crypto ipsec Crypto IPSEC debugging is on RouteurA# debug crypto isakmp Crypto ISAKMp debugging is on RouteurA# *Feb 20 08:08:06.556 PST: IPSEC(sa-request): , (key eng. msg.) src= 172.30.1.2, dest= 172.30.2.2, src_proxy= 10.0.1.0/255.255.255.0/0/0 (type=4), dest_proxy= 10.0.2.0/255.255.255.0/0/0 (type=4), protocol= ESP, transform= esp-des esp-md5-hmac , lifedur= 3600s and 4608000kb, spi= 0x0(0), conn-id= 0, keysize=0, flags=0x4004 ! Le trafic interessant entre Site1 et Site2 active ISAKMP Main Mode. *Feb 20 08:08:06.556 PST: ISAKMP (4): beginning Main Mode exchange

132. Taches de configuration IPSec • Tache 4 - Tester et vérifier IPSec - Messages d'erreur du système de cryptage pour ISAKMP %CRYPTO-6-IKMP_SA_NOT_AUTH: Cannot accept Quick Mode exchange from %151 is SA is not authenticated! %CRYPTO-6-IKMP_SA_NOT_OFFERED: Remote peer %151 responded with attribute [chars] not offered or changed • Message d'erreur indiquant que la SA ISAKMP avec l'extrémité distante n'a pas été authentifiée. • Message d'erreur indiquant une erreur de protection des négociations entre les extrémités ISAKMP.