vpn ipsec securiday 2013.pdf

SECURINETS Club de la Scurit Informatique lINSAT

Copyright 2013 - SECURINETS - Club de la Scurit Informatique lINSAT www.securinets.com

Dans le cadre de la 3me dition de la journe nationale de la scurit informatique

SECURINETS

Prsente

Atelier : IPsec VPN

Formateurs: 1. soumaya KEBAILI 2. sonia MEJBRI 3. feten MKACHER 4. mohamed yessine BEN AMMAR 5. ismail KABOUBI 6.oussema NEJI

SECURIDAY 2013 Cyber War

SECURINETS

SECURIDAY 2013 - Cyber War

Atelier : Date de cration :27/04/2013


Page1

Table des matires

Atelier : IPsec VPN ........................................................................................................................... 1

I. Prsentation de latelier : .......................................................................................................... 1

i. introduction gnrale : ...................................................................................................... 1

ii . Les services offerts par IPsec : ................................................................................... 2

II . Prsentation des outils utiliss : ............................................................................................ 6

i. GNS3 ........................................................................................................................................... 6

ii. SDM : ........................................................................................................................................... 7

iii. Wireshark : ............................................................................................................................... 7

iv. FileZilla: ...................................................................................................................................... 8

III. Topologie du rseau : ........................................................................................................ 9

IV. Configuration des outils : .................................................................................................. 9

i. ajout de la carte de bouclage : ................................................................................................. 9

ii. configuration du SDM : ......................................................................................................... 12

iii. configuration des routeurs : ............................................................................................... 13

iv . Configuration du VPN site site: ........................................................................................ 14

V. Un scnario de test: ............................................................................................................... 16

VI. Conclusion : ........................................................................................................................ 26

SECURINETS




Page1

I. Prsentation de latelier :

i. introduction gnrale :

Les tunnels VPN sont utiliss pour permettre la transmission scurise de donnes, voix et

vido entre deux sites (bureaux ou succursales).

Un rseau Vpn repose sur un protocole appel "protocole de tunneling". Ce protocole permet de

faire circuler les informations de l'entreprise de faon crypte d'un bout l'autre du tunnel pour

assurer la confidentialit des donnes transmises entre les deux sites. Ainsi, les utilisateurs ont

l'impression de se connecter directement sur le rseau de leur entreprise.

Le principe de tunneling consiste construire un chemin virtuel aprs avoir identifi l'metteur et le

destinataire. Par la suite, la source chiffre les donnes et les achemine en empruntant Ce chemin

virtuel. Afin d'assurer un accs ais et peu coteux aux intranets ou aux extranets d'entreprise, les

rseaux privs virtuels d'accs simulent un rseau priv, alors qu'ils utilisent en ralit une

infrastructure d'accs partage, comme Internet.

Les donnes transmettre peuvent tre prises en charge par un protocole diffrent d'Ip. Dans Ce

cas, le protocole de tunneling encapsule les donnes en ajoutant une en-tte. Le tunneling est

l'ensemble des processus d'encapsulation, de transmission et de dsencapsulation.

Pour tre considr comme scuris, un VPN doit respecter les concepts de scurit suivants:

-

-

-

Confidentialit:

Les donnes ne peuvent pas tre vues dans un format lisible.

Algorithmes typiques de chiffrement symtrique: DES, 3DES, AES, Blowfish

Intgrit:

Les donnes ne peuvent pas tre modifies.

Algorithmes typiques de hachage: sha1, md5

Authentification:

Les passerelles VPN s'assurent de l'identit de l'autre.

Algorithmes typiques: RSA, DH

SECURINETS




Page2

Les deux types de VPN chiffrs sont les suivants :

VPN IPsec de site site : Cette alternative aux rseaux tendus relais de trames ou ligne alloue

permet aux entreprises d'tendre les ressources rseau aux succursales, aux travailleurs domicile et

aux sites de leurs partenaires.

VPN d'accs distant : Ce type de VPN tend presque n'importe quelle application vocale, vido ou

de donnes au bureau distant, grce une mulation du bureau principal.

Les protocoles de tunnelisation:

L2F : dvelopp par Cisco, il est dsormais quasi-obsolte.

PPTP : dvelopp par Microsoft.

L2TP : est l'aboutissement des travaux de l'IETF (RFC 3931) pour faire converger les fonctionnalits

de PPTP et L2F. Il s'agit d'un protocole de niveau 2 s'appuyant sur PPP.

Editer le fichier services sur C:\Windows\System32\drivers\etc pour voir les ports TCP/UDP

de chaque protocole

ii. Les services offerts par IPsec :

Le protocole " IPsec" est l'une des mthodes permettant de crer des VPN (rseaux privs virtuels),

c'est--dire de relier entre eux des systmes informatiques de manire sre en s'appuyant sur un

rseau existant, lui-mme considr comme non scuris. Le terme sr a ici une signification assez

vague, mais peut en particulier couvrir les notions d'intgrit et de confidentialit. L'intrt majeur

de cette solution par rapport d'autres techniques (par exemple les tunnels SSH) est qu'il s'agit

d'une mthode standard (facultative en IPv4, mais obligatoire en IPv6), mise au point dans ce but

prcis, dcrite par diffrentes RFCs, et donc interoprable. Quelques avantages supplmentaires sont

l'conomie de bande passante, d'une part parce que la compression des en-ttes des donnes

transmises est prvue par ce standard, et d'autre part parce que celui-ci ne fait pas appel de trop

lourdes techniques d'encapsulation, comme par exemple les tunnels PPP sur lien SSH. Il permet

galement de protger des protocoles de bas niveau comme ICMP et IGMP, RIP, etc ...

SECURINETS




Page3

IPsec prsente en outre l'intrt d'tre une solution volutive, puisque les algorithmes de

chiffrement et d'authentification proprement parler sont spcifis sparment du protocole lui-

mme. Elle a cependant l'inconvnient inhrent sa flexibilit : sa grande complexit rend son

implmentation dlicate. Les diffrents services offerts par le protocole IPsec sont ici dtaills. Les

manires de les combiner entre eux que les implmentations sont tenues de supporter sont ensuite

prsentes. Les moyens de gestion des clefs de chiffrement et signature sont tudis et les

problmes d'interoprabilit associs sont voqus. Enfin, un aperu rapide de quelques

implmentations IPsec, en s'intressant essentiellement leur conformit aux spcifications est

donn.

AH (authentication header) :

AH est le premier et le plus simple des protocoles de protection des donnes qui font partie de la

spcification IPsec. Il est dtaill dans la Rfc 2402. Il a pour vocation de garantir :

L'authentification : les datagrammes IP reus ont effectivement t mis par l'hte dont l'adresse IP est indique comme adresse source dans les en-ttes.

L'unicit (optionnelle, la discrtion du rcepteur) : un datagramme ayant t mis lgitimement et enregistr par un attaquant ne peut tre rutilis par ce dernier, les attaques par rejeu sont ainsi vites.

L'intgrit : les champs suivants du datagramme IP n'ont pas t modifis depuis leur mission : les donnes (en mode tunnel, ceci comprend la totalit des champs, y compris les en-ttes, du datagramme IP encapsul dans le datagramme protg par AH), version (4 en IPv4, 6 en IPv6), longueur de l'en-tte (en IPv4), longueur totale du datagramme (en IPv4), longueur des donnes (en IPv6), identification, protocole ou en-tte suivant (ce champ vaut 51 pour indiquer qu'il s'agit du protocole AH), adresse IP de l'metteur, adresse IP du destinataire (sans source routing).

En outre, au cas o du source routing serait prsent, le champ adresse IP du destinataire a la valeur que l'metteur a prvu qu'il aurait lors de sa rception par le destinataire. Cependant, la valeur que prendront les champs type de service (IPv4), indicateurs (IPv4), index de fragment (IPv4), TTL (IPv4), somme de contrle d'en-tte (IPv4), classe (IPv6), flow label (IPv6), et hop limit (IPv6) lors de leur rception n'tant pas prdictible au moment de l'mission, leur intgrit n'est pas garantie par AH. L'intgrit de celles des options IP qui ne sont pas modifiables pendant le transport est assure, celle des autres options ne l'est pas. Attention, AH n'assure pas la confidentialit : les donnes sont signes mais pas chiffres. Enfin, AH ne spcifie pas d'algorithme de signature particulier, ceux-ci sont dcrits sparment, cependant, une implmentation conforme la Rfc 2402 est tenue de supporter les algorithmes MD5 et SHA-1.

ESP (encapsulating security payload)

ESP est le second protocole de protection des donnes qui fait partie de la spcification IPsec. Il est dtaill dans la Rfc 2406. Contrairement AH, ESP ne protge pas les en-ttes des datagrammes IP

SECURINETS




Page4

utiliss pour transmettre la communication. Seules les donnes sont protges. En mode transport, il assure :

La confidentialit des donnes (optionnelle) : la partie donne des datagrammes IP transmis est chiffre.

L'authentification (optionnelle, mais obligatoire en l'absence de confidentialit) : la partie donnes des datagrammes IP reus ne peut avoir t mise que par l'hte avec lequel a lieu l'change IPsec, qui ne peut s'authentifier avec succs que s'il connat la clef associe la communication ESP. Il est galement important de savoir que l'absence d'authentification nuit la confidentialit, en la rendant plus vulnrable certaines attaques actives.

L'unicit (optionnelle, la discrtion du rcepteur).

L'integrit : les donnes n'ont pas t modifies depuis leur mission.

En mode tunnel, ces garanties s'appliquent aux donnes du datagramme dans lequel est encapsul le trafic utile, donc la totalit (en-ttes et options inclus) du datagramme encapsul. Dans ce mode, deux avantages supplmentaires apparaissent:

Une confidentialit, limite, des flux de donnes (en mode tunnel uniquement, lorsque la confidentialit est assure) : un attaquant capable d'observer les donnes transitant par un lien n'est pas mme de dterminer quel volume de donnes est transfr entre deux htes particuliers. Par exemple, si la communication entre deux sous-rseaux est chiffre l'aide d'un tunnel ESP, le volume total de donnes changes entre ces deux sous-rseaux est calculable par cet attaquant, mais pas la rpartition de ce volume entre les diffrents systmes de ces sous-rseaux.

La confidentialit des donnes, si elle est demande, s'tend l'ensemble des champs, y compris les en-ttes, du datagramme IP encapsul dans le datagramme protg par ESP).

Enfin, ESP ne spcifie pas d'algorithme de signature ou de chiffrement particulier, ceux-ci sont dcrits sparment, cependant, une implmentation conforme la Rfc 2406 est tenue de supporter l'algorithme de chiffrement DES en mode CBC, et les signatures l'aide des fonctions de hachage MD5 et SHA-1.

Implantation d'IPsec dans le datagramme IP

La figure 1 montre comment les donnes ncessaires au bon fonctionnement des formats AH et ESP sont places dans le datagramme IPv4. Il s'agit bien d'un ajout dans le datagramme IP, et non de nouveaux datagrammes, ce qui permet un nombre thoriquement illimit ou presque d'encapsulations IPsec : un datagramme donn peut par exemple tre protg l'aide de trois applications successives de AH et de deux encapsulations de ESP.

La gestion des clefs pour Ipsec : Isakmp et Ike

Les protocoles scuriss prsents dans les paragraphes prcdents ont recours des algorithmes cryptographiques et ont donc besoin de clefs. Un des problmes fondamentaux d'utilisation de la

SECURINETS




Page5

cryptographie est la gestion de ces clefs. Le terme "gestion" recouvre la gnration, la distribution, le stockage et la suppression des clefs. IKE (Internet Key Exchange) est un systme dvelopp spcifiquement pour Ipsec qui vise fournir des mcanismes d'authentification et d'change de clef adapts l'ensemble des situations qui peuvent se prsenter sur l'Internet. Il est compos de plusieurs lments : le cadre gnrique Isakmp et une partie des protocoles Oakley et Skeme. Lorsqu'il est utilis pour Ipsec, IKE est de plus complt par un "domaine d'interprtation" pour Ipsec.

Isakmp (Internet Security Association and Key Management Protocol)

Isakmp a pour rle la ngociation, l'tablissement, la modification et la suppression des associations de scurit et de leurs attributs. Il pose les bases permettant de construire divers protocoles de gestion des clefs (et plus gnralement des associations de scurit). Il comporte trois aspects principaux :

Il dfinit une faon de procder, en deux tapes appeles phase 1 et phase 2 : dans la premire, un certain nombre de paramtres de scurit propres Isakmp sont mis en place, afin d'tablir entre les deux tiers un canal protg ; dans un second temps, Ce canal est utilis pour ngocier les associations de scurit pour les mcanismes de scurit que l'on souhaite utiliser (AH et Esp par exemple).

Il dfinit des formats de messages, par l'intermdiaire de blocs ayant chacun un rle prcis et permettant de former des messages clairs.

Il prsente un certain nombre d'changes types, composs de tels messages, qui permettant des ngociations prsentant des proprits diffrentes : protection ou non de l'identit, perfect forward secrecy...

Isakmp est dcrit dans la Rfc 2408.

Ike (Internet Key Exchange)

IKE utilise Isakmp pour construire un protocole pratique. Il comprend quatre modes :

Le mode principal (Main mode)

Le mode agressif (Aggressive Mode)

Le mode rapide (Quick Mode)

Le mode nouveau groupe (New Groupe Mode)

Main Mode et Aggressive Mode sont utiliss durant la phase 1, Quick Mode est un change de phase 2. New Group Mode est un peu part : Ce n'est ni un change de phase 1, ni un change de phase 2, mais il ne peut avoir lieu qu'une fois qu'une SA Isakmp est tablie ; il sert se mettre d'accord sur un nouveau groupe pour de futurs changes Diffie-Hellman.

SECURINETS




Page6

II. Prsentation des outils utiliss :

Dans latelier qui suit on va voir comment configurer un tunnel VPN site site et utiliser le logiciel

SDM pour visualiser son tat via une interface graphique. Pour cela nous avons besoin des logiciels

suivants :

i. GNS3

Le logiciel GNS3 est en fait une interface graphique pour loutil sous-jacent Dynamips qui permet

lmulation de machines virtuelles Cisco. Il est ncessaire dinsister sur le terme mulation, dans la

mesure o ces machines sappuient sur les vritables IOS fournis par Cisco et leur confrent donc

lintgralit des fonctionnalits originales.

Ce logiciel peut donc tre oppos PacketTracer, qui est un simulateur fourni par Cisco dans le cadre

de son programme acadmique, et qui est donc limit aux seules fonctionnalits implmentes par

les dveloppeurs du logiciel. Les performances des machines ainsi cres ne sont bien entendu pas

quivalentes celles des machines physiques relles, mais elles restent amplement suffisantes pour

mettre en uvre des configurations relativement basiques et apprhender les concepts de base des

quipements Cisco. A lheure actuelle, seules certaines plateformes de routeurs sont mules ainsi

que les plateformes PIX et ASA qui sont les Firewalls de la gamme Cisco. De simples commutateurs

Ethernet sont muls, et permettent notamment linterconnexion du Lab virtuel ainsi cre avec un

rseau physique

SECURINETS




Page7

Cette solution pourra donc tre choisie pour la mise en place de labos virtuels, notamment dans le

cadre de la prparation des premires certifications Cisco telles que le CCNA, mais ncessitera une

machine avec de bonnes ressources pour muler plusieurs quipements en simultan .Pour tout

autre renseignement sur le produit ou son tlchargement, vous pouvez vous rendre directement sur

la page www.gns3.net. Concernant les IOS, il vous faudra un compte CCO pour tlcharger les IOS

souhaits depuis le site de Cisco.

ii. SDM :

Le Security Device Manager Cisco (SDM) est un dispositif intuitif, bas sur les Outils web de gestion

intgre dans les routeurs d'accs Cisco IOS. Cisco SDM simplifie l'utilisation des routeur s et la

configuration de la scurit grce des assistants intelligents, permettant aux clients dployer

configurer et surveiller un routeur d'accs Cisco ,rapidement et facilement, ncessitant pas des

connaissances du logiciel d'interface de ligne de commande Cisco IOS (CLI).

Cisco SDM permet aux utilisateurs de configurer facilement Cisco IOS fonctions de scurit logicielles

sur Cisco et accder des routeurs sur une base par appareil de l'appareil, tout en permettant une

gestion proactive par la surveillance des performances. Pour le dploiement d'un nouveau routeur

ou l'installation de Cisco SDM sur un routeur existant, les utilisateurs peuvent dsormais configurer

et surveiller distance Cisco 830, 1700, 2600XM, 3600 et 3700 routeurs de la gamme sans utiliser le

logiciel Cisco IOS de l'interface de ligne de commande(CLI).

Le logiciel Cisco IOS CLI est un moyen efficace de configuration du routeur, mais ncessite une grand

niveau de comptence et d'expertise.

iii. Wireshark :

WireShark (anciennement Ethereal) est un outil d'analyse des trames rseau. L'application a t

renomme car le dveloppeur principal a chang de socit : le nom Ethereal appartient sa socit

prcdente, il n'a donc pu continuer le projet sous le mme nom...

SECURINETS




Page8

Wireshark est un analyseur multi plateformes de protocoles rseaux ou packet sniffer classique.

Son utilit principale est d'examiner les donnes qui transitent sur un rseau ou de chercher des

donnes ou un fichier sur un disque. L'outil est utilisable sur plusieurs plateformes : Windows (*.exe),

Linux (.deb), OS X (*.dmg).

Wireshark examine les donnes d'un rseau en direct et peut galement faire une capture des

diffrentes communications pour pouvoir y travailler dessus un autre moment. Wireshark propose

notamment de voir les "dissector tables" directement depuis la fentre principale. L'application peut

exporter des objets au format SMB ou encore afficher le code BPF compil pour les filtres de

captures. Enfin, Wiresharksupporte une multitude de protocoles comme ADwin, Appache Etch, JSON,

ReLOAD ou encore Wi-Fi P2P (Wi-Fi Direct).

iv. FileZilla:

FileZilla propose un client FTP libre et simple d'utilisation qui permettra aux dbutants comme aux

utilisateurs confirms de se connecter distance sur un serveur afin d'y tlcharger des fichiers.

Cette application particulirement riche en fonctionnalits supporte le glisser-dposer, les protocoles

SSL et SSH et permet de reprendre les mises jour et tlchargements interrompus y compris pour

les fichiers de taille consquente (suprieurs 4 Go).

Grce au gestionnaire de sites intgr, vous pouvez accder plus rapidement aux adresses auxquelles

vous vous connectez de faon rgulire. Dans la nouvelle mouture de FileZilla on retrouve de

nouvelles fonctionnalits, notamment l'affichage de la quantit de donnes transfres et le temps

de transfert dans la fentre de log. FileZilla dispose galement d'un accs plus rapide la fonction de

limitation de vitesse des transferts et ajoute le support du bouton retour arrire sur les souris qui en

disposent. Enfin FileZillapropose un rafrachissement de l'interface avec des icnes mises au got du

jour.

SECURINETS




Page9

III. Topologie du rseau :

IV. Configuration des outils :

i. ajout de la carte de bouclage :

Lors de la cration dun lab sous GNS3, il peut tre intressant dinterconnecter la machine hte du

logiciel GNS3 avec la topologie virtuellement cre. Pour ce faire, il est ncessaire de crer une

interface virtuelle et de lintgrer la topologie.

Linterface virtuelle nest en fait quune simple Loopback. Voici la procdure pour limplmenter :

SECURINETS




Page10

Ajout de Matriel :

Cocher Installer le matriel que je slectionne manuellement dans la liste

Slectionner Carte rseau

SECURINETS




Page11

Choisir le fabricant Microsoft puis la carte rseau intitule Carte de bouclage Microsoft

Terminer linstallation :

Cette procdure a pour effet de crer une interface rseaux dans le menu Connexions rseaux.

Afin de linterconnecter avec la topologie rseau

En faisant un clic droit sur ce nuage, puis en slectionnant Configurer, il va tre possible de

slectionner linterface rseau utiliser dans longlet NIO Ethernet (en loccurrence notre interface

Loopback cre). La fin de la configuration reste la mme que celle dune configuration relle. Il suffit

de configurer une adresse IP sur linterface Loopback, et den mettre une autre dans le mme sous-

rseau pour le routeur virtuel quon cherche joindre depuis son PC.

SECURINETS




Page12

ii. configuration du SDM :

tape 1 : Activer le HTTP et HTTPS serveurs sur votre routeur en entrant les commandes suivantes

en mode de configuration globale:

site1# configure terminal

Entrez les commandes de configuration, une par ligne. Terminez avec CNTL / Z.

site1 (config)# ip http server

site1(config)# ip http secure-server

site1(config)# ip http authentication local

site1 (config)# ip http timeout-policy idle 600 life 86400 requests 10000

tape 2 : Crer un compte utilisateur dfini avec un niveau de privilge 15 (activer privilges). Entrez

la commande suivante en mode de configuration globale, en remplacement de nom d'utilisateur et mot

de passe avec les chanes que vous souhaitez utiliser:

site1(config)# username username privilege 15 secret 0 password Par exemple, si vous avez choisi le nom d'utilisateur admin et le mot de passe cisco!123, vous devez entrer ce qui suit:

site1(config)# username admin privilege 15 secret 0 cisco!123

Vous utiliserez ce nom d'utilisateur et mot de passe pour vous connecter Cisco SDM.

tape 3 : Configurez SSH et Telnet pour la connexion locale et le niveau de privilge 15. Utilisez les

commandes suivantes:

site1(config)# line vty 0 4

site1 (config-line)# privilege level 15

SECURINETS




Page13

site1 (config-line)# login local

site1(config-line)# transport input telnet ssh

site1(config-line)# exit

tape 4 : Attribuer une adresse IP au port Fast Ethernet. elle sera utilise pour accder ce routeur

site1(config)#interface fastethernet 0/0

site1(config-if)#ip address 192.168.111.1 255.255.255.0

site1 (config-if)#no shutdown

iii. configuration des routeurs :

Le routeur ISP : ISP#configure terminal ISP(config)#interface f1/0 ISP(config-if)# ip address 10.10.10.2 255.255.255.0 ISP(config-if)# no shutdown ISP(config-if)# exit ISP(config)#interface f1/1 ISP(config-if)# ip address 172.16.1.1 255.255.255.0 ISP(config-if)# no shutdown ISP(config-if)# exit ISP(config)# ip route 172.16.2.0 255.255.255.0 f1/1 172.16.1.2 ISP(config)# ip route 192.168.2.0 255.255.255.0 f1/0 10.10.10.1 ISP(config)#end Le routeur Site1 : Site1#configure terminal Site1 (config)#interface f1/1 Site1 (config-if)# ip address 10.10.10.1 255.255.255.0 Site1 (config-if)# no shutdown Site1 (config-if)# exit Site1 (config)#interface loopback 0 Site1 (config-if)# ip address 192.168.2.1 255.255.255.0 Site1 (config-if)# exit Site1 (config)#interface fastethernet1/0 Site1 (config-if)# ip address 192.168.111.1 255.255.255.0 Site1 (config-if)# exit Site1 (config)#ip route 0.0.0.0 0.0.0.0 f1/1 10.10.10.2 Site1 (config)#ip route 172.16.2.0 255.255.255.0 f1/1 10.10.10.2 Site1 (config)#end Le routeur Site2 : Site2#configure terminal Site2 (config)#interface f1/0 Site2 (config-if)# ip address 172.16.1.2 255.255.255.0

SECURINETS




Page14

Site2 (config-if)# no shutdown Site2 (config-if)# exit Site2 (config)#interface loopback 0 Site2(config-if)# ip address 172.16.2.1 255.255.255.0 Site2 (config-if)# exit Site2 (config)#ip route 0.0.0.0 0.0.0.0 serial 0/0 172.16.1.1 Site2 (config)#ip route 192.168.2.0 255.255.255.0 f1/0 172.16.1.1 Site2 (config)#end

iv. Configuration du VPN site site:

3DES Est un procd de cryptage utilis pour la phase 1.

Sha Est l'algorithme de hachage

Pre-share - Utilisation dune Cl pr-partage comme mthode d'authentification

Groupe 2 Lalgorithme dchange de clef Diffie-Hellman est utiliser

86400 Est la dure de vie de la cl de session. Elle est exprime en kilo-octets (aprs x quantit de trafic, modifier la cl) ou en secondes. La valeur dfinie est la valeur par dfaut.

Pour configurer le protocole IPSec on a besoin de configurer les lments suivants dans l'ordre:

- Crer une ACL tendue

- Crer lIPSec Transform

- Crer la Crypto Map

- Appliquer crypto map l'interface publique

Ajouter les lignes suivantes pour chaque routeur : Sur le routeur Site1 : 1re tape : configurer le transform-set Site1#configure terminal Site1(config)# crypto ipsec transform-set TSTEST esp-3des esp-sha-hmac Site1(cfg-crypto-trans)#exit 2me tape : crer votre crypto-map Site1(config)#crypto map TST_CMAP 1 ipsec-isakmp Site1(config-crypto-map)# description VPN to Site_02 172.16.2.0 Site1(config-crypto-map)#set peer 172.16.1.2 Site1(config-crypto-map)# set transform-set TSTEST Site1(config-crypto-map)#match address VPN_TO_SITE_02 Site1(config-crypto-map)#exit 3me tape : crer votre policy-map Site1(config)#crypto isakmp policy 1 Site1(config-isakmp)# encryption 3des Site1(config-isakmp)#authentication pre-share Site1(config-isakmp)#group 2 Site1(config-isakmp)#exit

SECURINETS




Page15

4me tape : crer votre pre-share key Site1(config)# crypto isakmp key cisco!123 address 172.16.1.2 5me tape : Classifier votre trafic et activer la cypto-map sur lnterface serial 0/0 Site1(config)#ip access-list extended VPN_TO_SITE_02 Site1(config-ext-nacl)# remark Rule For VPN Access Site1(config-ext-nacl)#permit ip 192.168.2.0 0.0.0.255 172.16.2.0 0.0.0.255 Site1(config-ext-nacl)#exit Site1(config)#interface serial 0/0 Site1(config-if)# crypto map TST_CMAP

SECURINETS




Page16

V. Un scnario de test:

i. Utilisation du SDM. : Dans cette partie on va utiliser le SDM pour accder au routeur Site1 et visualiser ltat de notre VPN. Pour cela : Ajouter une carte de bouclage Microsoft dans votre pc et donner la une adresse ip du mme sous-rseau que linterface Fastethernet 1/0 du routeur Site1. Si non vous pouvez utiliser les cartes VMware avec une machine virtuelle au lieu de votre pc.

Affecter cette carte au nuage GNS3 (le pc SDM sur la maquette).

Tester la connectivit entre la machine SDM et votre routeur. Vrifier vos firewalls si le test choue. Lancer le SDM et attribuer ladresse ip du routeur (192.168.111.1):

SECURINETS




Page17

choisir le nom d'utilisateur admin et le mot de passe cisco!123 :

Authentification au SDM :

SECURINETS




Page18

Ltat de notre VPN , IPsec est UP :

Le statut de notre VPN :

SECURINETS




Page19

ii. test de ping :

Aprs configuration, on peut tester denvoy des donnes entre les deux pc qui se trouvent dans 2 sites distant, on peut voir que le ping et les donnes passent Aprs l'installation du logiciel filezilla, on tablit la connexion cot serveur :

on peut ajouter dsormais un utilisateur :

SECURINETS




Page20

attribution d'un login au nouvel utilisateur "souu" :

Aprs avoir ajout un utilisateur, il faut indiquer la liste des rpertoires et des fichiers partager :

SECURINETS




Page21

Ajout d'un nouvel utilisateur :

SECURINETS




Page22

Configuration de l'adresse ip de la machine du serveur comme suit :

Configuration de l'adresse ip de la machine cliente comme suit :

SECURINETS




Page23

il faut tester la connexion entre les deux machines, en utilisant la commande ping :

Accs cote serveur : il faut taper dans le navigateur l'adresse indique ci-dessous pour pouvoir accder au serveur :

SECURINETS




Page24

Authentification requise : login + mot de passe de l'utilisateur

choisir un fichier enregistrer :

SECURINETS




Page25

iii . Sniffing Wireshark :

Pour conclure on effectue sniffing pour voir ce qui se passe sur votre architecture grce lintgration du logiciel wireshark dans GNS3, pour cela rien de plus simple, faire un clic-droit sur le lien que vous voulez analyser et cliquer sur Start capturing :

Vous devez ensuite choisir dans la liste propose linterface que vous souhaitez analyser.

Une fois choisie, dans la partie Capture de GNS3 apparat votre premire capture, fates

un clic-droit dessus pour lancer wireshark, vous pourrez ainsi analyser le trafic sur cette

interface :

SECURINETS




Page26

les donnes passent tarvers le tunnel VPN ipsec prcedemmant cre et elles sont cryptes :

VI. Conclusion :

Que ce soit une IPSec ou VPNSSL, le bon choix dpend en dfinitive des besoins d'accs

distant de votre entreprise : VPN IPSec est conu pour le site site VPN ou d'accs distance partir

d'un petit nombre fini de contrles actifs de l'entreprise .Si ce sont les besoins primaires de votre

entreprise, IPSec effectue ces fonctions tout fait bien.

vpn ipsec securiday 2013.pdf

Documents