Upload
venus
View
68
Download
8
Tags:
Embed Size (px)
DESCRIPTION
VPN (Virtual Private Networks). Sommaire. • Présentation des VPN • Scénarios VPN • Choix de technologies VPN • VPN termes clés • IPSec • Présentation du système de cryptage de l'IOS Cisco • Cryptage • Technologies IPSec • Taches de configuration IPSec. Présentation des VPN. - PowerPoint PPT Presentation
Citation preview
ccnp_cch 1
VPN(Virtual Private Networks)
ccnp_cch 2
Sommaire• Présentation des VPN
• Scénarios VPN
• Choix de technologies VPN
• VPN termes clés
• IPSec • Présentation du système de cryptage de l'IOS Cisco
• Cryptage • Technologies IPSec
• Taches de configuration IPSec
ccnp_cch 3
Présentation des VPN
Un VPN transporte du trafic privé sur un réseau public en utilisant du cryptage et destunnels pour obtenir: • La confidentialité des données • L'intégrité des données • L'authentification des utilisateurs
• Un réseau privé virtuel (VPN) est défini comme une connectivité réseau déployée sur une infrastructure partagée avec les mêmes politiques de sécurité que sur un réseau privé.
• Un VPN peut être entre deux systèmes d'extrémité ou entre deux ou plusieurs réseaux.
• Un VPN est construit en utilisant des tunnels et du cryptage. Un VPN peut être construit au niveau de n'importe quelle couche du modèle OSI.
• Un VPN est une infrastructure WAN alternative aux réseaux privés qui utilisent des lignes louées ou des réseaux d'entreprise utilisant Fame Relay ou ATM.
ccnp_cch 4
Présentation des VPN
Un VPN transporte du trafic privé sur un réseau public en utilisant du cryptage et destunnels pour obtenir: • La confidentialité des données • Intégrité des données • L'authentification des utilisateurs
• Les VPNs fournissent trois fonctions essentielles:
- Confidentialité (cryptage) - L'émetteur peut crypter les paquets avant de les transmettre dans le réseau. - Par ce moyen, si la communication est interceptée les données ne pourront pas être lues.
- Intégrité des données - Le récepteur peut vérifier si les données n'ont pas été altérées lors de leur passage dans le réseau.
- Authentification - Le récepteur peut authentifier la source du paquet, garantissant et certifiant la source de l'information.
ccnp_cch 5
Présentation des VPN
Internet
Site Central
Site distant
FrameRelay
FrameRelay
• Coût élevé• Peu flexible• Gestion WAN• Topologies complexes
• Faible coût • Plus flexible• Gestion simplifiée• Topologie tunnel
RéseauFrame Relay Réseau
Frame Relay
Internet
Site Central
Site distantFrameRelay
FrameRelay
TunnelVPN
VPNConventionnel
• Les principaux avantages sont: - Les VPNs amènent des coûts plus faibles que les réseaux privés.
- Les coûts de la connectivité LAN-LAN sont réduits de 20 à 40 pourcent par rapport à une ligne louée. .
- Les VPNs offrent plus de flexibilité et d'évolutivité que des architectures WAN classiques
ccnp_cch 6
Présentation des VPN
Internet
Site Central
Site distant
FrameRelay
FrameRelay
• Coût élevé• Peu flexible• Gestion WAN• Topologies complexes
• Faible coût • Plus flexible• Gestion simplifiée• Topologie tunnel
RéseauFrame Relay Réseau
Frame Relay
Internet
Site Central
Site distantFrameRelay
FrameRelay
TunnelVPN
VPNConventionnel
• Les principaux avantages sont: - Les VPNs simplifient les tâches de gestion comparé à la l'exploitation de sa propre infrastructure de réseau. - Les VPNs fournissent des topologies de réseaux avec tunnels qui réduisent les taches de gestion.
- Un backbone IP n'utilise pas les circuits virtuels permanents (PVCs) avec des protocoles orientés connexion tels ATM et Frame Relay.
ccnp_cch 7
Présentation des VPN
Réseau Privé Cryptage
Cryptage DécryptageMessageCrypté
Réseau Virtuel Tunneling
• Un réseau virtuel est crée en utilisant la capacité de faire transporter un protocole par un autre (Tunnel) sur une connexion IP standard.
• GRE (Generic Routing Encapsulation) et L2TP (Layer 2 Tunneling Protocol) sont deux méthodes de "tunneling" et sont toutes les deux configurables sur les routeurs Cisco.
• La troisième méthode, IPSec est également configurable sur les routeurs Cisco.
• Un réseau privé assure la Confidentialité, l'Intégrité et l'Authentification.
• Le cryptage des données et le protocole IPSec permettent aux données de traverser Internet avec la même sécurité que sur un réseau privé.
ccnp_cch 8
Présentation des VPN • Tunneling et Cryptage
Cryptage Décryptage
MessageCrypté
Tunnel
Infos Infos
• Un tunnel est une connexion point à point virtuelle• Un tunnel transporte un protocole à l'intérieur d'un autre• Le cryptage transforme les informations en texte chiffré• Le décryptage restore les informations à partir du texte chiffré
• Bien que Internet ait offert de nouvelles opportunités aux entreprises, il a aussi crée une grande dépendance des réseaux et un besoin de protection contre une grande variété de menaces sur la sécurité.
• La fonction principale d'un VPN est d'offrir cette protection avec du cryptage au travers d'un tunnel.
ccnp_cch 9
Présentation des VPN • Tunneling et Cryptage
Cryptage Décryptage
MessageCrypté
Tunnel
Infos Infos
• Un tunnel est une connexion point à point virtuelle• Un tunnel transporte un protocole à l'intérieur d'un autre• Le cryptage transforme les informations en texte chiffré• Le décryptage restore les informations à partir du texte chiffré
• Les tunnels fournissent des connexions logiques point à point au travers d'un réseau IP en mode non-connecté.
• Ceci permet d'utiliser des fonctionnalités de sécurité améliorées.
• Les Tunnels des solutions VPN emploient le cryptage pour protéger les données pour qu'elles ne soient pas lisibles par des entités non-autorisées et l'encapsulation multiprotocole si cela est nécessaire.
ccnp_cch 10
Présentation des VPN • Tunneling et Cryptage
Cryptage Décryptage
MessageCrypté
Tunnel
Infos Infos
• Un tunnel est une connexion point à point virtuelle• Un tunnel transporte un protocole à l'intérieur d'un autre• Le cryptage transforme les informations en texte chiffré• Le décryptage restore les informations à partir du texte chiffré
• Le cryptage assure que le message pourra pas être lu et compris uniquement par le receveur
• Le cryptage transforme une information en un texte chiffré sans signification sous sa forme cryptée.
• Le décryptage restore le texte chiffré en information originale destinée au receveur.
ccnp_cch 11
Routeur à plusieurs routeurs PC à Pare-Feu
PC à Routeur/Concentrateur
Scénarios VPN
Routeur à Routeur
ccnp_cch 12
Scénarios VPN
ServiceDistant
OpérateurB
OpérateurA
Entreprise
DMZAAA
Partenaire
Fournisseur
Agence
AgenceRégionale
Utilisateur Mobileou Télétravailleur
Serveurs WebServeur DNSRelais Mail SMTP
• Un réseau basé uniquement sur des connexions fixes entre des sites d'entrprises tels que des agences locales ou régionales avec un site central n'est plus suffisant aujourd'hui pour beaucoup d'entreprises.
• Des options de connexions avec des clients , des partenaires commerciaux dans un système plus ouvert sont des ajouts aux connexions réseau standards.
ccnp_cch 13
Scénarios VPN
Télétravailleur
Site CentralSites Distants
DSLCable
Modem
Intranet
Intranet
ExtranetB to B
POP Internet
Site CentralAccès Distants Clients
DSLCable
Mobile
Télétravailleur
Extranet Business
POP
Internet
POP
• Il y a deux types d'accès VPN:
- Initié par le client - Des utilisateurs distants utilisent des clients VPN pour établir un tunnel sécurisé au travers d'un réseau d'opérateur avec une entreprise.
- Initié par le serveur d'accès Réseau - Les utilisateurs distants se connectent à un opérateur
- Le serveur d'accès distant établit un tunnel sécurisé vers le réseau privé de l'entreprise qui doit pouvoir supporter de multiples sessions distantes initiées par un utilisateur.
ccnp_cch 14
Scénarios VPN • VPN initié par le client
Site CentralAccès Distants Clients
DSLCable
Mobile
Télétravailleur
Extranet Business
POP
InternetPOP
• Les VPNs site à site ont aussi deux fonctions principales:
- Les VPNs Intranet connectent des sites centraux d'entreprise, des sites distants, des agences au travers d'une infrastructure publique.
- Les VPNs Extranets relient des clients, des fournisseurs, des partenaires commerciaux à un intranet d'entreprise au travers d'une infrastructure publique.
ccnp_cch 15
Scénarios VPN • VPN initié par le client
Site CentralAccès Distants Clients
DSLCable
Mobile
Télétravailleur
Extranet Business
POP
Internet
POP
• L' accès distant est ciblé pour les utilisateurs mobiles ou les télétravailleurs.
• Les entreprises supportaient les utilisateurs distants via des réseaux d'accès par appel. - Ce scénario nécessitait un appel payant ou un numéro vert pour accéder à l'entreprise.
• Avec l'arrivée des VPNs, les utilisateurs mobiles peuvent se connecter à leur opérateur pour accéder à l'entreprise via Internet quelque soit l'endroit ou ceux-ci se trouvent.
• Les accès distants VPN peuvent satisfaire les besoins des utilisateurs mobiles, des clients Extranet, des télétravailleurs, etc....
ccnp_cch 16
Scénarios VPN • VPN initié par le client
Site CentralAccès Distants Clients
DSLCable
Mobile
Télétravailleur
Extranet Business
POP
InternetPOP
• Les VPNs Accès distant sont une extension des réseaux d'accès distants par appel.
• Les VPNs Accès distant peuvent se terminer sur des équipements frontaux tels que les routeurs Cisco, les pare-feu PIX ou les concentrateurs VPN.
• Les clients accès distant peuvent être des routeurs Cisco et des clients VPN Cisco.
ccnp_cch 17
Scénarios VPN • VPN initié par le serveur d'accès
Site CentralSites Distants
DSLCable
Modem
Intranet
Intranet
ExtranetB to B
POP Internet
Télétravailleur
• Un VPN site à site peut être utilisé pour connecter des sites d'entreprise. Des lignes louées ou une connexion Frame Relay étaient nécessaires mais aujourd'hui toutes les entreprises ont un accès Internet.
• Un VPN peut supporter des intranets de l'entrprise et des extranets des partenaires commerciaux
• Les VPNs site à site peuvent être construits avec des routeurs Cisco, des pare-feu PIX et des concentrateurs VPN.
ccnp_cch 18
Choix de technologies VPN • Cryptage dans plusieurs couches
Couche Application
CryptageCoucheLiaison
CryptageCoucheLiaison
Couche TransportCouche Réseau
SSHS/MIME
ApplicationCouches (5-7)
Réseau/TransportCouches (3-4)
Physique/LiaisonCouches (1-2)
SSL
IPSec
• Différentes méthodes pour la protection de VPN sont implémentées sur différentes couches.
• Fournir de la protection et des services de cryptographie au niveau de la couche application était très utilisé dans le passé et l'est toujours pour des cas très précis.
ccnp_cch 19
Choix de technologies VPN • Cryptage dans plusieurs couches
Couche Application
CryptageCoucheLiaison
CryptageCoucheLiaison
Couche TransportCouche Réseau
SSHS/MIME
ApplicationCouches (5-7)
Réseau/TransportCouches (3-4)
Physique/LiaisonCouches (1-2)
SSLIPSec
• L'IETF a un protocole basé sur des standards appelé S/MIME ( Secure/Multipurpose Internet Mail Extensions) pour des applications VPNs générées par différents composants d'un système de communication.
- Agents de transfert de message, passerelles,...
• Cependant, la sécurité au niveau de la couche application est spécifique à l'application et les méthodes de protection doivent être implémentées à chaque nouvelle application.
ccnp_cch 20
Choix de technologies VPN • Cryptage dans plusieurs couches
Couche Application
CryptageCoucheLiaison
CryptageCoucheLiaison
Couche TransportCouche Réseau
SSHS/MIME
ApplicationCouches (5-7)
Réseau/TransportCouches (3-4)
Physique/LiaisonCouches (1-2)
SSLIPSec
• Des standards au niveau de la couche transport ont eu beaucoup de succés
• Le protocole tel SSL (Secure Socket Layer) pournit de la protection, de l'authentification de l'intégrité aux applications basées sur TCP.
• SSL est communément utilisé par les sites de e-commerce mais manque de flexibilité, n'est pas facile à implémenter et dépend de l'application.
ccnp_cch 21
Choix de technologies VPN • Cryptage dans plusieurs couches
Couche Application
CryptageCoucheLiaison
CryptageCoucheLiaison
Couche TransportCouche Réseau
SSHS/MIME
ApplicationCouches (5-7)
Réseau/TransportCouches (3-4)
Physique/LiaisonCouches (1-2)
SSLIPSec
• La protection aux niveau des couches basses du modèle à été aussi utilisée dans les systèmes de communication, spécialement par la couche liaison.
- Cette protection au niveau de la couche liaison fournissait une protection indépendante du du protocole sur des les liaisons non-sécurisées. - La protection au niveau de la couche liaison coûte cher car elle doit être réalisée pour chaque liaison. - Elle n'exclut pas l'intrusion au moyen de stations intermédiaires ou de routeurs et de plus est très souvent propriétaire.
ccnp_cch 22
Choix de technologies VPN
Couche Réseau
ApplicationCouches (5-7)
Réseau/TransportCouches (3-4)
Physique/LiaisonCouches (1-2)
IPSec
GRE
L2FL2TPPPTP
Protocoles VPN Description StandardL2TP Layer 2 tunneling Protocol RFC 2661GRE Generic Routing Encapsulation RFC 1701 et 2784IPSec Unternet Protocol Security RFC 2401
• Un ensemble de technologies de couche réseau sont disponibles pour permettre le tunneling de protocoles au travers de réseaux pour réaliser des VPNs.
• Les trois protocoles de tunneling les lpus utilisés sont:
- L2TP ( Layer 2 Tunneling Protocol) - GRE ( Generic Routing Encapsulation par Cisco) - IPSec (IP Security)
ccnp_cch 23
Choix de technologies VPN • L2TP - Layer 2 Tunneling Protocol
Couche Réseau
ApplicationCouches (5-7)
Réseau/TransportCouches (3-4)
Physique/LiaisonCouches (1-2)
IPSec
GRE
L2FL2TPPPTP
• Avant le standard L2TP (Août 1999), Cisco utilisait L2F (Layer 2 Forwarding) comme protocole de tunneling propriétaire.
- L2TP est compatible avec L2F - L2F n'est pas compatible avec L2TP
• L2TP est une cominaison de Cisco L2F et Microsoft PPTP - Microsoft supporte PPTP dans les anciennes versions de Windows et PPTP/L2TP dans Windows NT/2000.
ccnp_cch 24
Choix de technologies VPN • L2TP - Layer 2 Tunneling Protocol
Couche Réseau
ApplicationCouches (5-7)
Réseau/TransportCouches (3-4)
Physique/LiaisonCouches (1-2)
IPSec
GRE
L2FL2TPPPTP
• L2TP est utilisé pour créer un VPDN (Virtual Private Dial Network) multiprotocole et indépendant du média.
• L2TP permet aux utilisateurs d'invoquer des politiques de sécurité au travers de toute liaison VPN ou VPDN comme une extension de leur propre réseau interne.
• L2TP ne fournit pas de cryptage et peut être supervisé par un analyseur de réseau.
ccnp_cch 25
Choix de technologies VPN • Cisco GRE (Generic Routing Encapsulation)
Couche Réseau
ApplicationCouches (5-7)
Réseau/TransportCouches (3-4)
Physique/LiaisonCouches (1-2)
IPSec
GRE
L2FL2TPPPTP
• Ce protocole transpoteur multiprotocole encapsules IP, CLNP et tout autre paquet de protocole dans des tunnels IP.
• Avec le tunneling GRE, un routeur Cisco encapsule à chaque extrémité les paquets de protocole avec un en-tête IP créant une liaison virtuelle point à point avec l'autre routeur Cisco à l'autre extrémité du réseu IP.
• En connectant des réseaux d'extrémité multiprotocoles avec un backbone IP, le tunneling IP permet l'expansion du réseau au travers du backbone IP.
• GRE ne fournit pas de cryptage et peut être supervisé par un analyseur de réseau.
ccnp_cch 26
Choix de technologies VPN • IPSec (IP Security protocol)
Couche Réseau
ApplicationCouches (5-7)
Réseau/TransportCouches (3-4)
Physique/LiaisonCouches (1-2)
IPSec
GRE
L2FL2TPPPTP
• IPSec est un bon choix pour sécuriser les VPNs d'entreprise
• IPSEc est un cadre de standards ouverts qui fournissent la confidentialité, l'intégrité et l'authentification des données entre deux extrémités.
• IPSec fournit ces services de sécurité en utilisant IKE (Internet Key Exchange) pour gérer la négociation de protocoles et d'algorithmes basée sur une politiqie locale et de générer les clés d'authentification et de cryptage devant être utilisées par IPSec.
ccnp_cch 27
Choix de technologies VPN • Choix de la meilleure technologie
TraficUtilisateur
Utilisez unVPN
IPSec
Oui
Oui
Non
NonUnicast seul?
Utilisez unTunnel GREou
L2TP
IP seul?
• Sélectionnez la meilleure technologie VPN pour fournir une connectivité réseau selon les besoins du trafic.
• Le diagramme ci-dessus montre le processus de choix d'un tunneling de couche réseau basé sur les diférents scénarios de VPN.
ccnp_cch 28
Choix de technologies VPN • Choix de la meilleure technologie
• IPSEc est le meilleur choix pour sécuriser des VPNs d'entreprise.
- Malheureusement IPSec supporte uniquement le trafic IP unicast. - Si les paquets IP unicast doivent être encapsulés dans un tunnel, l'encapsulation IPSec est suffisante et moins compliquée à configurer et à vérifier.
• Pour du tunneling multiprotocole ou IP multicast, utilisez GRE ou L2TP.
- Pour des réseaux qui utilisent Microsoft, L2TP peut être le meilleur choix. - A cause de son lien avec PPP, L2TP peut être souhaitable pour des VPNs accès distant avec support multiprotocole.
• GRE est le meilleur choix pour des VPNs site à site avec support multiprotocole.
- GRE est également utilisé pour des tunnels de paquets multicast tels les protocoles de routage. - GRE encapsule tout trafic, quelque soit la source ou la destination.
• Ni L2TP, ni GRE supportent le cryptage des données ou l'intégrité des paquets. Utilisez IPSec en combinaison avec L2TP et/ou GRE pour obtenir le cryptage et l'intégrité IPSec.
ccnp_cch 29
VPN - Termes clés
• Tunnel
• Cryptage/Décryptage
• Cryptosystème
• Hashing
• Athentification
• Autorisation
• Gestion de clé
• Certificat
ccnp_cch 30
VPN - Termes clés
Cryptage Décryptage
MessageCrypté
Tunnel
Infos Infos
• Tunnel - Connexion virtuelle point à point utilisée dans un réseau pour transporter le trafic d'un protocole encapsulé dans un autre protocole. Par exemple du texte crypté transporté dans un paquet IP.
ccnp_cch 31
VPN - Termes clés
Cryptage Décryptage
MessageCrypté
Tunnel
Infos Infos
• Cryptage/Décryptage - Le cryptage est un processus qui transforme une information en un texte chiffré qui pourra pas être lu ou utilisé par des utilisateurs non-autorisés.
Le décryptage restore le texte chiffré en information originale qui pourra être lue et utilisée par le receveur.
ccnp_cch 32
VPN - Termes clés
Cryptage Décryptage
MessageCrypté
Tunnel
Infos Infos
• Cryptosystème - Système qui réalise le cryptage/décryptage, l'authentification utilisateur, le hachage, et le processus d'échange de clés. Un cryptosystème peut utiliser une des ces différentes méthodes selon la politique choisie en fonction des différents trafics de l'utilisateur.
ccnp_cch 33
VPN - Termes clés
Cryptage Décryptage
MessageCrypté
Tunnel
Infos Infos
• Hachage - Technologie d'intégrité des données qui utilise un algorithme pour convertir un message de longueur variable et une clé secrète en une seule chaîne de caractères de longueur fixe. L'ensemble message/clé et hash traversent le réseau de la source vers la destination. 0 la destination, le hash recalculé est comparé avec le hash reçu. Si les deux valeurs sont identiques, le message n'a pas été corrompu.
ccnp_cch 34
VPN - Termes clés
• Authentification - Processus d'dentification d'un utilisateur ou d'un processus tentant d'accéder à une ressource.
- L'authentification assure que l'individu ou le processus est bien celui qu'il prétend être. - L'authentification n'attribut pas de droits d'accès
• Autorisation - Processus qui donne accès à des ressources à des individus ou à des processus authentifiés.
• Gestion de clés - Un clé est généralement une séquence binaire aléatoire utilisée pour exécuter les opérations dans un cryptosystème.
- La gestion de clés est la supervision et le controle du processus par lequel les clés sont générées, stockées, protégées, transférées, chargées, utilisées et détruites.
ccnp_cch 35
VPN - Termes clés
• Service Autorité de Certificat - Partie tiers de confiance qui aide à la sécurisation des communications entre entités de réseau ou utilisateurs en créant et en affectant des certificats tels des certificats clés-publiques pour des besoin de cryptage.
- Une autorité de certificat se porte garant du lien entre les items de sécurité du certificat. Optionnellement une autorité de certificat crée les clés de cryptage.
ccnp_cch 36
IPSEC • Protocoles et éléments clés
• Authenticaton Header (AH)
• Encapsulation Payload (ESP)
• Internet Key Exchange (IKE)
• Internet Security Association Key Management Protocol ( ISAKMP)
• Security Association (SA)
• Authentication, Authorization and Accounting (AAA)
• Terminal Access Controller Access Control System Plus (TACACS+)
• Remote Authentication Dial-In User Service (RADIUS)
ccnp_cch 37
IPSEC • Protocoles et éléments clés
En-tê
teIP
En-tê
teIP
Sec
Char
ge U
tile I
P
sécu
risée
En-têteIP
En-têteIPSec
Charge utile IPsécurisé
En-têteIP Charge utile IPEn-tête
IP Charge utile IP
Sytèmeavec IPsec
Routeuravec IPSec
Internetou Réseau Privé
En-t
ête
IPEn
-têt
eIP
Sec
Char
ge U
tile
IPsé
curis
ée
Sequence Number
Données authentifiées(Variable)
Security Parameters Index (SPI)Next Header Payload
Length RESERVED
Bits 0 8 16 31
• AH (Authentication Header) - Protocole de sécurité qui fournit l'authentification, l'intégrité des données et un service optionnel de détection d'intrusion. AH est dans la charge utile du paquet.
ccnp_cch 38
IPSEC • Protocoles et éléments clés
En-têteIP original TCP DonnéesIPv4
(a) Paquet IP original
En-têteIP original TCP DonnéesEn-tête
ESPQueue
ESPAuthESP
(b) Mode Transport
AuthentifiéCrypté
IPv4
En-têteIP original TCP DonnéesEn-tête
ESPQueue
ESPAuthESP
NouveauEn-tête IP
(c) Mode Tunnel
AuthentifiéCrypté
IPv4
• ESP (Ancapsulation Security payload) - Protocole de sécurité qui fournit la confidentialité, l'ntégrité des données et des services de protection, deservices optionnels d'authentifiction de l'orogine des données et de détection d'intrusion. ESP encapsule les données à protéger.
ccnp_cch 39
IPSEC • Protocoles et éléments clés
IPSec
IKE IKE
IPSec
Routeur A Routeur B
Tunnel IKE
• IKE (Internet Key Exchange) - Protocole hybride qui implémente l'échange de clés Oakley et l'échange de clés Skeme dans le cadre de ISAKMP. Oakley et Skeme définissent chacun une méthode pour établir un échange de clés authentifié. Ceci inclut la construction de la charge utile, les informations transportées dans la charge utile, l'ordre dans lequel les clés sont traitées et comment elles sont utilisées.
ccnp_cch 40
IPSEC • Protocoles et éléments clés
A B
A vers BESP/DES/SHA-1Keys K1,K2,...lifetime=3600s
B vers AESP/DES/SHA-1keys K6,K7,...lifetime=3600s
SADB SADB
Accèsclient
Accèsclient
A vers BESP/DES/SHA-1Keys K1,K2,...lifetime=3600s
B vers AESP/DES/SHA-1keys K6,K7,...lifetime=3600s
BackboneOpérateur
• ISAKMP - (Internet Association and Key Management Protocol) - Un protocol cadre qui définit le format des charge utiles, les mécanismes d'implémentation d'un protocole d'échan,ge de clés et la négociation d'une SA.
• SA (Security Association) - Ensemble de principes (politiques) et de clés utilisés pour protéger l'information. La SA ISAKMP est la politique commune et les clés utilisées par les extrémités qui négocient dans ce protocole pour protéger leur communication.
ccnp_cch 41
IPSEC • Protocoles et éléments clés
• AAA (Authentication, Authorization and Accounting) - Services de sécurite réseau qui fournissent un cadre de base au travers duquel un controle est activé sur les routeurs et les serveurs d'accès. Deux alternatives majeures pour AAA sont TACACS+ et RADIUS.
• TACACS+ (Terminal Access Controller Access Control System Plus) - C'est une application de sécurité qui fournit une validation cantralisée des utilisateurs qui tentent d'obtenir un accès à un routeur ou à un serveur d'accès.
• RADIUS (Remote Dial-In User Service) - Un système client serveur distribué qui sécurise les réseaux contre les accès non-autorisés.
ccnp_cch 42
Présentation du système de cryptageGestion de clés
Gestion Manuelle Echange de clés secètesDiffie-Hellman
Echange de clés publiquesAutorité de Certificats
Cryptage
Authentification Fonctions de hachage
SymétriqueClé secrète:DES, 3DES,AES
AsymétriqueClé publique:RSA
MAC
HMAC(clé secrète)
Signaturenumérique
(clé publique)
SHA MD5
• Il a de nombreuses technologies de cryptage disponibles pour fournir de la confidentialité
• DES (Data Encryption Standard) crypte les paquets avec une clé d'une longueur de 56 bits.
• A sa création dans les années 1970, DES paraissait inviolable.
• Aujourd'hui avec de super-ordinateurs, le cryptage DES peut être décodé en quelques jours.•
ccnp_cch 43
Présentation du système de cryptageGestion de clés
Gestion Manuelle Echange de clés secètesDiffie-Hellman
Echange de clés publiquesAutorité de Certificats
Cryptage
Authentification Fonctions de hachage
SymétriqueClé secrète:DES, 3DES,AES
AsymétriqueClé publique:RSA
MAC
HMAC(clé secrète)
Signaturenumérique
(clé publique)
SHA MD5
• 3DES utilise une clé d'une longueur de 168 bits et exécute trois opérations DES en séquence.
• 3DES est 256 fois plus fiable que DES. AES (Advanced Encryption Standard) spécifie des clés de longueurs 128, 192 ou 256 bits pour crypter des blocs de 128, 192 ou 256 bits ( Les 9 combinaisons de tailles de clés et de tailles de blocs sont possibles).
• Cisco prévoit que AES sera disponible sur tous les produits Cisco qui les fonctionnalités IPSec DES/3DES tels les routeurs avec IOS, les PIX Cisco, les concentrateurs VPN Cisco et les clients VPN Cisco.•
ccnp_cch 44
Présentation du système de cryptageGestion de clés
Gestion Manuelle Echange de clés secètesDiffie-Hellman
Echange de clés publiquesAutorité de Certificats
Cryptage
Authentification Fonctions de hachage
SymétriqueClé secrète:DES, 3DES,AES
AsymétriqueClé publique:RSA
MAC
HMAC(clé secrète)
Signaturenumérique
(clé publique)
SHA MD5
• Plusieurs standards ont émergé pour protéger le secret des clés et faciliter le changement de ces clés.
• L'algorithme Diffie-Hellman implémente l'échange de clés sans échanger les clé réelles.
• C'est l'algorithme le plus connu et le plus utilsé pour établier des sessions de clés pour crypter des données.
ccnp_cch 45
Présentation du système de cryptageGestion de clés
Gestion Manuelle Echange de clés secètesDiffie-Hellman
Echange de clés publiquesAutorité de Certificats
Cryptage
Authentification Fonctions de hachage
SymétriqueClé secrète:DES, 3DES,AES
AsymétriqueClé publique:RSA
MAC
HMAC(clé secrète)
Signaturenumérique
(clé publique)
SHA MD5
• Plusieurs techniques fournissent l'authentification dont MD5 (Message Digest 5) et SHA (Secure Hash Algorithm).
ccnp_cch 46
Cryptage • Cryptage symétrique
Cryptage Décryptage
MessageCryptéInfos Infos
Clé secrètepartagée Clé secrète
partagée
• Cryptage symétrique ou cryptage à clé secrète
• Utilisé pour de grands volumes de données.• Durant l'échange, les clés peuvent changer plusieurs fois. • Cryptage asymétrique ou cryptage à clé publique tel RSA demande beaucoup plus de ressources CPU aussi il est utilisé uniquement pour l'échange de clés.
ccnp_cch 47
Cryptage • Cryptage symétrique
Cryptage Décryptage
MessageCryptéInfos Infos
Clé secrètepartagée Clé secrète
partagée
• La caractéristique la plus importante d'un algorithme de cryptogaphie est sa robustesse aux attaques de décryptage.
• La sécurité d'un crypto-système ou le degré de difficulté pour retrouver l'information originale est fonction de plusieurs variables. - Beaucoup de précautions sont prises pour protéger le secret de la clé.
• Dans la majorité des protocoles le secret de la clé utilisée pour crypter est la base de la sécurité.
ccnp_cch 48
Cryptage • Cryptage symétrique
Cryptage Décryptage
MessageCryptéInfos Infos
Clé secrètepartagée Clé secrète
partagée
• DES (Digital Encryption Standard) est un des standards de cryptage les plus utilisés.
• Les clés permettent de crypter et de décrypter.
• 3DES (Triple DES) est une alternative à DES qui préserve les investissements existants et rend les attaques de type "force-brute" plus difficiles.
• 3DES peut utiliser une, deux ou trois clés différentes.
ccnp_cch 49
Cryptage • Cryptage asymétrique
Cryptage Décryptage
MessageCryptéInfos Infos
Clé publiquedu receveur
Clé privéedu receveur
• La clé privée est connue uniquement par le receveur• La clé publique est connu par le public• La distribution de la clé publique n'est pas sécrète
• Cryptage asymétrique ou à clé publique
• Le même algorithme ou des algorithmes complémentaires peuvent être utilisés pour crypter et décrypter les données.
• Deux clés sont requises : Une clé publique et une clé privée. elles sont différentes mais elles sont liées par une relation mathématique.
• Chaque extrémité doit avoir sa paire clé publique/clé privée ainsi des clés différentes seront utilisées pour crypter et décrypter.
ccnp_cch 50
Cryptage • Cryptage asymétrique
Cryptage Décryptage
MessageCryptéInfos Infos
Clé publiquedu receveur
Clé privéedu receveur
• Les mécanismes utilisés pour générer les paires de clés sont complexes. Le résultat de la génération consiste en deux très grands nombres aléatoires.
• Les deux nombres ainsi que leur produit doivent satisfaire à des critères mathématiques stricts pour garantir l'unicité de la paire clé publique/clé privée.
• Les algorithmes de crytage à clé publique sony utilisé typiquement pour des applications d'authentification incluant la signature numérique et la gestion de clés.
• Les algorithmes les plus connus sont les algorithmes RSA (Rivest, Shamir, Adleman) et El Gamal.
ccnp_cch 51
Cryptage • Echange de clés - Algorithme Diffie-Hellman
Routeur A Routeur B
Réalise un échange authentifié de clés
YA
YB
YA= gXA mod p YB= gXB mod p
Valeur privée XAValeur publique YA
Valeur privée XBValeur publique YB
YBXA mod p = k YA
XB mod p = k• Un des aspects les plus importants dans la création d'un VPN est l'échange declés.
• L'algorithme Diffie-Hellman fournit un moyen à deux utilisateurs, A et B, d'établir une clé secrète partagée que eux seuls connaissent.
• Cette clé secrète peut être établie même si le canal de communication n'est pas sécurisé.
• Cette clé sera utilisée pour crypter les données avec l'algorithme choisi par a et B.
• Les nombres partagés sont "p" un nombre premier et "g" plus petit que "p" avec quelques restrictions.
ccnp_cch 52
Cryptage • Echange de clés - Algorithme Diffie-Hellman
Routeur A Routeur B
Réalise un échange authentifié de clés
YA
YB
YA= gXA mod p YB= gXB mod p
Valeur privée XAValeur publique YA
Valeur privée XBValeur publique YB
YBXA mod p = k YA
XB mod p = k
• A et B génèrent chacun un grand nombre aléatoire qui est gardé secret.
• L'algorithme Diffie-Hellman est maintenant exécuté.
• A et B exécutent leurs calculs et échangent les résultats.
• Le résultat final est un nombre K
• Un utilisateur qui connaît "p" ou "g" ne peut calculer aisément la valeur secrète partagée à cause de la factorisation des grands nombres premiers.
ccnp_cch 53
Cryptage • Echange de clés - Algorithme Diffie-Hellman
Routeur A Routeur B
Réalise un échange authentifié de clés
YA
YB
YA= gXA mod p YB= gXB mod p
Valeur privée XAValeur publique YA
Valeur privée XBValeur publique YB
YBXA mod p = k YA
XB mod p = k
• Il est important de noter que A et B non pas de méthode pour s'identifier l'un avec l'autre.
• Cet échange est vulnérable à une attaque par un tiers qui s'insère dans l'échange.
• L'authentification est réalisée par l'utilisation d'une signature numérique dans les messages Diffie-Hellman échangés.
ccnp_cch 54
Cryptage • Echange de clés - Hachage
Local Distant
Payer à JC Puce50 € et 22 cents
Clé secrètepartagée Clé secrète
partagée
Payer à JC Puce50 € et 22 cents
Payer à JC Puce50 € et 22 cents
Message delongueur variable Message reçu
4ehlDx67NM0p9 4ehlDx67NM0p9 4ehlDx67NM0p9
Message + Hash
Fonctionde Hachage Fonction
de Hachage
• Le hachage garantit l'intégrité du message
• A l'extrémité locale, le message et un secret partagé son transmis par un algorithme de hachage.
• Un algorithme de hachage est une formule qui convertit un message de longueur variable en une seule chaines de caractères de longueur fixe appelée valeur "hash".
• Un algorithme de hachage est à sens unique. Un meesage peut produire une valeur "hash" mais la valeur "hash" ne peut pas produire le message.
ccnp_cch 55
Cryptage • Echange de clés - Hachage
Local Distant
Payer à JC Puce50 € et 22 cents
Clé secrètepartagée Clé secrète
partagée
Payer à JC Puce50 € et 22 cents
Payer à JC Puce50 € et 22 cents
Message delongueur variable Message reçu
4ehlDx67NM0p9 4ehlDx67NM0p9 4ehlDx67NM0p9
Message + Hash
Fonctionde Hachage Fonction
de Hachage
• A l'extrémité distante, il y a un processus en deux étapes.
• D'abord le message reçu et le secret partagé sont transmis à l'algorithme de hachage qui recalcule la valeur "hash".
• Ensuite le recepteur compare le "hash" calculé avec le "hash" reçu avec le message.
• Si les deux valeurs de "hash" sont égales alors l'intégrité du message est garantie.
ccnp_cch 56
Cryptage • Echange de clés - Hachage
Local Distant
Payer à JC Puce50 € et 22 cents
Clé secrètepartagée Clé secrète
partagée
Payer à JC Puce50 € et 22 cents
Payer à JC Puce50 € et 22 cents
Message delongueur variable Message reçu
4ehlDx67NM0p9 4ehlDx67NM0p9 4ehlDx67NM0p9
Message + Hash
Fonctionde Hachage Fonction
de Hachage
• Les deux algorithmes de hachage les plus communs sont : - HMAC-MD5 - utilise une clé secrète de 128 bits. - A la sortie l'algorithme donne une valeur "hash" de 128 bits. - La valeur "hash" est ajouté en fin de message et le tout est transmis vers l'autre extrémité. - HMAC- SHA1 - Utilise une clé secrète de 160 bits - A la sortie l'algorithme donne une valeur "hash" de 160 bits - La valeur "hash" est ajouté en fin de message et le tout est transmis vers l'autre extrémité.
• HMAC-SHA1 est considéré comme étant plus robuste que HMAC-MD5
ccnp_cch 57
Technologies IPSec • Présentation IPSec
En-tête IP AH En-têteESP Données En-Queue
ESP
• Le RFC 2401 décrit la trame générale de l'architecture IPSec
• Comme tous les mécanismes de sécurité, le RFC 2401 aide à la mise en oeuvre d'une politique de sécurité.
• La politique de sécurité définit les besoins de sécurité pour différentes connexions.
• Les connexions sont des sessions IP
• La trame générale de l'architecture IPSec fournit:
- Intégrité des données - Authentification - Confidentialité des données - Associations de sécurité - Gestion des clés
ccnp_cch 58
Technologies IPSec • IPSec - Authentication Header (AH)
En-tête IP AH En-têteESP Données En-Queue
ESP
• L'Authentification Header (AH) IP est utilisé pour fournir l'intégrité, l'authentification de l'origine des données pour des paquets IP et fournit également la détection de l'intrusion d'un tiers dans l'échange.
• Le service de détection d'intrusion d'un tiers dans l'échange est optionnel. Si celui-ci est négocié et validé, il faut que le récepteur teste les numéros de séquence.
• AH fournit l'authentification pour l'en-tête IP et TCP mais certains champs de l'en-tête changent au cours du transit dans le réseau.
• AH ne peut pas fournir de protection complète de l'en-tête IP
ccnp_cch 59
Technologies IPSec • IPSec - Authentication Header (AH)
• AH peut être appliqué seul, en combinaison avec IP ESP ou de manière imbriquer au travers de l'utilisation du mode tunnel.
• Les services de sécurité peuvent être fournis entre une paire de hosts, une paire de passerelles de sécurité ou entre une passerelle de sécurité et un host.
• ESP peut être utilisé pour fournir les mêmes services plus la confidentialité (cryptage).
• La différence principale entre les services d'authentification de AH et ESP est l'extension de la couverture.
• ESP ne protège pas les champs de l'en-tête IP à moins que cet en-tête soit encapsulé par ESP (Mode tunnel).
En-tête IP AH En-têteESP Données En-Queue
ESP
ccnp_cch 60
Technologies IPSec • IPSec - Encapsulation Security Payload (ESP)
• L'en-tête ESP est inséré après l'en-tête IP et avant l'en-tête de protocole de couche supérieure dans le mode transport ou avant un en-tête IP encapsulé en mode tunnel.
• ESP est utilisé pour fournir les services suivants:
- Confidentialité - Authentification de l'origine des données - Intégrité - Service de détection d'intrusion d'une tierce partie dans l'échange
En-tête IP AH En-têteESP Données En-Queue
ESP
ccnp_cch 61
Technologies IPSec • IPSec - Encapsulation Security Payload (ESP)
• L'ensemble des services fournis dépend des options sélectionnées au moment de l'établissement des associations de sécurité et l'emplacement de l'implémentation.
• La confidentialité peut être sélectionnée indépendamment des autres services.
• Cependant l'utilisation de la confidentialité sans intégrité/authentification, soit dans ESP ou séparément dans AH peut rendre certains trafics vulnérables à des attaques actives.
En-tête IP AH En-têteESP Données En-Queue
ESP
ccnp_cch 62
Technologies IPSec • IPSec - Encapsulation Security Payload (ESP)
En-tête IP AH En-têteESP Données En-Queue
ESP
• L'authentification de l'origine des données et l'intégrité sont des services joints et sont offerts en option conjointement avec la confidentialité optionnelle.
• Le service de détection d'intrusion d'une tierce partie peut être sélectionné que si l'authentification de l'origine des données est sélectionnée et reste entièrement à la discrétion du receveur.
• Le service de détection d'intrusion d'une tierce partie sera effectivement actif uniquement si le receveur teste les numéros de séquence.
• La confidentialité de trafic nécessite la sélection du mode tunnel.
• Bien que la confidentialité et l'authentification soient optionnelles au moins une des deux doit être sélectionnée.
ccnp_cch 63
Technologies IPSec • Mode Tunnel contre Mode Transport
PC
Mode Tunnel
Mode Transport
• En mode Transport les hosts d'extrémité réalisent l'encapsulation IPSec de leurs propres données ( host à host) par conséquent IPSec doit être implémenté sur chacun des hosts.
- L'application des points d'extrémité doit être aussi une extrémité IPSec.
• En mode Tunnel les passerelles IPSec fournissent les services IPSec aux autres hosts dans des tunnels point à point. Les hosts d'extrémité n'ont pas besoin d'avoir IPSec.
ccnp_cch 64
Technologies IPSec • Mode Tunnel contre Mode Transport
PC
Mode Tunnel
Mode Transport
• ESP et AH peuvent être appliqués aux paquets IP de deux façons différentes:
• Le mode Transport fournit la sécurité aux couches de protocoles supérieures. - Le mode Transport protège la charge utile du paquet mais garde l'adresse IP originale en clair. - L'adresse IP originale est utilisée pour router les paquets sur Internet. - Le mode Transport ESP est utilisé entre hosts.
ccnp_cch 65
Technologies IPSec • Mode Tunnel contre Mode Transport
PC
Mode Tunnel
Mode Transport
• ESP et AH peuvent être appliqués aux paquets IP de deux façons différentes:
• Le mode Tunnel fournit la sécurité pour tout le paquet IP. - Le paquet IP original est crypté - Le paquet crypté est encapsulé dans un autre paquet IP. - L'adresse IP "outside" est utilisée pour router les paquets sur Internet .
ccnp_cch 66
Technologies IPSec • Security Association (SA)
A B
A vers BESP/DES/SHA-1Keys K1,K2,...lifetime=3600s
B vers AESP/DES/SHA-1keys K6,K7,...lifetime=3600s
SADB SADB
Accèsclient
Accèsclient
A vers BESP/DES/SHA-1Keys K1,K2,...lifetime=3600s
B vers AESP/DES/SHA-1keys K6,K7,...lifetime=3600s
BackboneOpérateur
• Les SAs ou Secutity Associations sont un concept de base très important dans IPSec
• Elles représentent un contrat entre deux extrémités et décrivent comment ces deux extrémités vont utiliser les srvices ede sécurité IPSec pour protéger le trafic.
• Les SAs contiennent tous les paramètres de sécurité nécessaires pour sécuriser le transport des paquets entre les deux extrémités et définissent la politique de sécurité utilisée dans IPSec.
ccnp_cch 67
Technologies IPSec • Security Association (SA)
A B
A vers BESP/DES/SHA-1Keys K1,K2,K3,K4lifetime=3600s
B vers AESP/DES/SHA-1keys K6,K7,...lifetime=3600s
SADB SADB
Accèsclient
Accèsclient
A vers BESP/DES/SHA-1Keys K1,K2,K3,K4lifetime=3600s
B vers AESP/DES/SHA-1keys K6,K7,...lifetime=3600s
BackboneOpérateur
• Les routeurs ont besoin de deux SAs pour protéger le trafic entre les hosts A et B.
• L'établisseemnt des SAs est un prérequis dans IPSec pour la protection du trafic.
• Quand les SAs appropriées sont établies, IPSec se réfère à celles-ci pour obtenir tous les paramètres nécessaires à la protection du trafic
• Une SA doit mettre en vigueur la politique de protection en ces termes: Pour le trafic entre A et B, utilisez ESP 3DES avec les clés K1,K2 et K3 pour le cryptage de la charge utile, SHA-1 avec la clé K4 pour l'authentification.•
ccnp_cch 68
Technologies IPSec • Security Association (SA)
A B
A vers BESP/DES/SHA-1Keys K1,K2,...lifetime=3600s
B vers AESP/DES/SHA-1keys K6,K7,...lifetime=3600s
SADB SADB
Accèsclient
Accèsclient
A vers BESP/DES/SHA-1Keys K1,K2,...lifetime=3600s
B vers AESP/DES/SHA-1keys K6,K7,...lifetime=3600s
BackboneOpérateur
• Les SAs contiennent des spécifications unidirectionnelles.
• les SAs sont sépécifiques au protocole d'encapsulation (AH,ESP).
• Pour un flux de trafic donné, il y a une SA pour chaque protocole (AH, ESP) et pour chaque sens du trafic.
• Les équipements VPN stockent leurs SAs dans une base de données local appelée la SA Database (SADB).
ccnp_cch 69
Technologies IPSec • Security Association (SA)
A B
A vers BESP/DES/SHA-1Keys K1,K2,...lifetime=3600s
B vers AESP/DES/SHA-1keys K6,K7,...lifetime=3600s
SADB SADB
Accèsclient
Accèsclient
A vers BESP/DES/SHA-1Keys K1,K2,...lifetime=3600s
B vers AESP/DES/SHA-1keys K6,K7,...lifetime=3600s
BackboneOpérateur
• Une SA contient les pramètres de sécurité suivants:
- L'algorithme Authentification/Cryptage, longueurs de clés et durées de vie des clés utilisées pour protéger les paquets. - Les clés de sessions pour l'authentification et le cryptage. - L'encapsulation IPSec (AH ou ESP) en mode tunnel ou transport. - Une spécification du trafic réseau auquel s'applique la SA.
ccnp_cch 70
Technologies IPSec • Les cinq étapes d'IPSec
Host A Host B
Routeur A Routeur B
1. Le Host A transmet des informations vers le Host B2. Les routeurs A et B négocient une session IKE Phase 1
3. Les routeurs négocient une session IKE Phase 2
4. Les information sont échangées via le Tunnel IPSec
5. Le tunnel IPSec est libéré.
IKE SA IKE SAIKE Phase 1
IKE SA IKE SAIKE Phase 2
• Le but d'IPSec est de protéger des données avec les moyens de sécurité appropriés
• Le processus IPSec peut être découpé en cinq étapes
ccnp_cch 71
Technologies IPSec • Les cinq étapes d'IPSec
Host A Host B
1. Le Host A transmet des informations vers le Host B2. Les routeurs A et B négocient une session IKE Phase 1
3. Les routeurs négocient une session IKE Phase 2
4. Les information sont échangées via le Tunnel IPSec
5. Le tunnel IPSec est libéré.
IKE SA IKE SAIKE Phase 1
IKE SA IKE SAIKE Phase 2
Routeur A Routeur B
• Etape 1 - Des informations à transmettre initient le processus IPSec - Le trafic est dit "interressant" quand l'équipement VPN reconnaît que les données doivent être protégées.
• Etape 2 - IKE Phase 1 authentifie les extrémités IPSec et négocie les SAs IKE. - Ceci crée un canal sécurisé pour négocier les SAs IPSec en Phase 2.
ccnp_cch 72
Technologies IPSec • Les cinq étapes d'IPSec
Host A Host B
1. Le Host A transmet des informations vers le Host B2. Les routeurs A et B négocient une session IKE Phase 1
3. Les routeurs négocient une session IKE Phase 2
4. Les information sont échangées via le Tunnel IPSec
5. Le tunnel IPSec est libéré.
IKE SA IKE SAIKE Phase 1
IKE SA IKE SAIKE Phase 2
• Etape 3 - La phase 2 IKE négocie les paramètres des SAs IPSec et crée une correspondance entre les SAs IPSec des extrémités. - Ces paramètres de sécurité sont échangés pour protéger les messages échangés entre les extrémités.• Etape 4 - Le transfert de données est effectué entre les extrémités IPSec sur la base des paramètres IPSEc et des clés stockées dans la base de données SA.• Etape 5 - La libération du tunnel IPSec survient sur effacement au travers des SAs ou sur time out.
ccnp_cch 73
Technologies IPSec • Les cinq étapes d'IPSec - Comment IPSec utilise IKE
IPSec
IKE IKE
IPSec
Routeur A Routeur B
Tunnel IKE
1. Un paquet est transmis du Routeur A vers le Routeur B. Pas de SA IPSec
2. IKE du Routeur A commence à négocier avec IKE du Routeur B.
3. La négociation est terminée. Le Routeur A et le Routeur B ont un ensemble de SAs en place.
4. Un paquet est transmis du Routeur A vers le Routeur B protégé par IPSec
• IKE (Internet Key Exchange) améliore IPSec en fournissant des fonctions additionnelles, flexibilité et facilite la configuration d'IPSec.
• IKE est un protocole hybride qui implémente les échanges de clés Oakley et Skeme dans le cadre ISAKMP (Internet Security Association and Key management)
• IKE fournit l'authentification pour les extrémités IPSec, négocie les clés IPSec et les Associations de Sécurité IPSec
ccnp_cch 74
Technologies IPSec • Les cinq étapes d'IPSec - Comment IPSec utilise IKE
IPSec
IKE IKE
IPSec
Routeur A Routeur B
Tunnel IKE
1. Un paquet est transmis du Routeur A vers le Routeur B. Pas de SA IPSec
2. IKE du Routeur A commence à négocier avec IKE du Routeur B.
3. La négociation est terminée. Le Routeur A et le Routeur B ont un ensemble de SAs en place.
4. Un paquet est transmis du Routeur A vers le Routeur B protégé par IPSec
• Le tunnel IKE protège les négociations de SA.
• Le Mode de configuration IKE autorise une paserelle à télécharger une adresse IP vers le client . ceci faisant partie de la négociation IKE.
• L'adresse IP fournie par la passerelle au client IKE est utilisée comme une IP "interne" encapsulée dans IPSec.
• Cette adresse IP connue peut être controlée par la politique (policy) IPSec.
ccnp_cch 75
Technologies IPSec • Les cinq étapes d'IPSec - Comment IPSec utilise IKE
IPSec
IKE IKE
IPSec
Routeur A Routeur B
Tunnel IKE
1. Un paquet est transmis du Routeur A vers le Routeur B. Pas de SA IPSec
2. IKE du Routeur A commence à négocier avec IKE du Routeur B.
3. La négociation est terminée. Le Routeur A et le Routeur B ont un ensemble de SAs en place.
4. Un paquet est transmis du Routeur A vers le Routeur B protégé par IPSec
• Le Mode de configuration IKE est implémenté dans les images IOS Cisco IOSec.
• En utilisant le Mode de configuration IKE, un serveur d'accès Cisco peut être configuré pou télécharger une adresse IP vers un client comme faisant partie de la transaction IKE.
• IKE négocie automatiquement les SAs IPSec et active les communications sécurisées par IPSec sans une pré-configuration manuelle fastidieuse.
ccnp_cch 76
Technologies IPSec • Les cinq étapes d'IPSec - Comment IPSec utilise IKE
IPSec
IKE IKE
IPSec
Routeur A Routeur B
Tunnel IKE
1. Un paquet est transmis du Routeur A vers le Routeur B. Pas de SA IPSec
2. IKE du Routeur A commence à négocier avec IKE du Routeur B.
3. La négociation est terminée. Le Routeur A et le Routeur B ont un ensemble de SAs en place.
4. Un paquet est transmis du Routeur A vers le Routeur B protégé par IPSec
• IKE a les avantages suivants:
- Elimine la configuration manuelle des paramètres de sécurité IPSec dans des crypto maps à chaque extrémité. - Permet de spécifier une durée de vie pour les SAs. - Permet le changement de clés pendant les sessions IPSec. - Autorise IPSec à fournir les services de détecton d'intrusion d'un tiers. - Permet le support d'Autotrité de Certification pour une implémentation IPSec évolutive. - Permet l'authentification dynamique des extrémités.
ccnp_cch 77
Technologies IPSec • Les cinq étapes d'IPSec - Comment IPSec utilise IKE
• Les différentes technologies implémentées pour l'usage d'IKE sont:
- DES (Data Encryption Standard) utilisé pour crypter les données. IKE implémente le standard DES-CBC 56 bits avec Explivit IV (Initialization Vector). - 3DES. Cryptage 168 bits - CBC (Cipher Bloc Chaining) requiert l'utilisation d'un vecteur d'initialisation (IV). Le vecteur d'initialisation est donné dans le paquet IPSec. - Diffie-Hellman est un protocol de cryptage à clé publique qui permet à deux parties d'établir un secret partagé sur un canal de communication non-sécurisé. Diffie-Hellman est utilisé dans IKE pour établir les sessions de clés. Les groupes Diffie-Hellman 768-bits et 1024-bits sont supportés. - MD5 (Message Digest 5), variante HMAC, est un algorithme de hachage utilisé pour authentifier les données. HMAC est une variante qui donne un niveau supplémentaire de hachage. - SHA (Secure Hash Algorithm), variante HMAC, est un algorithme de hachage utilisé pour authentifier les données. HMAC est une variante qui donne un niveau supplémentaire de hachage. - Signatures RSA et cryptage RSA -- RSA est un protocole de cryptage à clé publique développé par Ron Rivest, Adi Shamir et Leonard Adleman. Les signatures RSA fournissent la non-répudiation tandis RSA est utilisé pour le cryptage.
ccnp_cch 78
Technologies IPSec • Les cinq étapes d'IPSec - Comment IPSec utilise IKE
IPSec
IKE IKE
IPSec
Routeur A Routeur B
Tunnel IKE
1. Un paquet est transmis du Routeur A vers le Routeur B. Pas de SA IPSec
2. IKE du Routeur A commence à négocier avec IKE du Routeur B.
3. La négociation est terminée. Le Routeur A et le Routeur B ont un ensemble de SAs en place.
4. Un paquet est transmis du Routeur A vers le Routeur B protégé par IPSec
• Le protocole IKE utilise les certificats X.509v3 quand l'authentification requiert des clés publiques.
• Ce support de certificat permet l'évolution du réseau en fournissant l'équivalent d'une carte d'identification numérique à chaque équipement.
• Quand deux équipements veulent communiquer, ils échangent leurs certificats pour prouver leur identité.
• Ceci élimine le besoin d'échanger manuellement des clés publiques avec chaque extrémité ou de spécifier manuellement une clé partagée à chaque extrémié.
ccnp_cch 79
Technologies IPSec • Les cinq étapes d'IPSec - Comment IPSec utilise IKE
• IPSec dans l'IOS Cisco traite les paquets comme le montre la figure ci-dessus
• Le processus présume que les clés privées et publiques ont déjà été créees et qu'il existe au moins une liste de controle d'accès.
Cryptage?
SA IPSec?
SA IKE?
Authentificationavec CA?
Transmettresur interface
Cryptage dupaquet et
transmission
Négocie les SAsIPSec avec SAISAKMP
Négocie les SAsISAKMP avec l'extrémité
Récupère la clé publique du CARécupère le certificat pour sa propreclé publique.
access-list 1XX permit
crypto ipsectransform-setcrypto map name
crypto isakmp policycrypto isakmp identitycrypto key generatecrypto key public-chain
crypto ca identitycrypto ca authenticatecrypto ca enrollcrypto ca crl request
IOSLe trafic est choisiavec les listes d'accès
IPSecUn par IPSec SA(entre extrémités)
ISAKMP/OakleyUn par ISAKMP SA(entre extrémités)
CA AuthentificationUn par paire de clésprivée/publique
Non
Non
Non
Non
Oui
Oui
Oui
Oui
Clés
ccnp_cch 80
Technologies IPSec • Les cinq étapes d'IPSec - Comment IPSec utilise IKE
• Les listes d'accès appliquées à une interface et les crypto map sont utlisées par l'IOS Cisco pour sélectionner le trafic qui doit être protégé (crypté).
• L'IOS Cisco vérifie si les associations de sécurité IPSec (SA) ont été établies.
• Si les SAs ont déjà été établies par configuration manuelle avec les commandes crypto ipsec transform-set et crypto map ou par IKE, le paquet est crypté sur la base de la "policy" spécifiée dans la crypto map et transmis sur l'interface.
• Si les SAs ne sont pas établies, l'IOS Cisco vérifie si une SA ISAKMP a été configurée et activée.
• Si la SA ISAKMP a été activée, cette SA ISAKMP dirige la négociation de la SA IPSec avec la "polict" ISAKMp configurée par la commande crypto isakmp policy.
• Le paquet est crypté par IPSec et transmis sur l'interface.
ccnp_cch 81
Technologies IPSec • Les cinq étapes d'IPSec - Comment IPSec utilise IKE
• Si la SA ISAKMP n'a pas été activée, l'IOS Cisco vérifie si l'autorité de certification a été configurée pour établir une ISAKMP policy.
• Si l'authentification de la CA (Certification Authority) a été configurée avec les différentes commandes crypto ca, le routeur utilise les clés publique/privée configurées précédemment, récupère le certificat public de la CA, un certificat pour sa propre clé publique, utilise la lé pour négocier une SA ISAKMP qui à son tour est utilisée pou négovier une SA IPSEC. Le paquet est crypté puis transmis.
ccnp_cch 82
Taches de configuration IPSec
Tache 1 - Préparer IPSec• Déterminer la IKE policy (IKE Phase 1)• Déterminer la IPSec policy (IKE Phase 2)• Vérifier la configuration courante• S'assurer que le réseau fonctionne sans cryptage• S'assurer que les listes de controle d'accès sont compatibles avec IPSec.
Tache 2 - Configurer IKE• Valider ou Dévalider IKE• Créer les IKE policies• configurer les "pre-shared" clés• Configurer l'identité ISAKMP• Vérifier la configuration IKE
Tache 3 - Configurer IPSec• Configurer les suites "transform-set"• Configurer les paramètres globaux IPSec• Créer les crypto ACLs • Créer les crypto ACLs utilisants les listes d'accès étendues• Créer les crypto maps.• Configurer les IPSec crypto maps
Tache 4 - Tester et Vérifier IPSec
• L'utilisation de clés IKE "pre-shared" pour l'authentification de sessions IPSec est relativement aisée mais n'est pas très évolutive pour un grand nombre de clients IPSec.
• Le processus de configuration de clés IKE "pe-shared" dans l'IOS Cisco consiste en quatre taches principales.
ccnp_cch 83
Taches de configuration IPSec • Tache 1 - Préparation IKE et IPSec
Tache 1 - Préparer IPSec• Déterminer la IKE policy (IKE Phase 1)• Déterminer la IPSec policy (IKE Phase 2)• Vérifier la configuration courante - show running-configuration - show crypto isakmp policy - show crypto map
• S'assurer que le réseau fonctionne sans cryptage. (ping)• S'assurer que les listes de controle d'accès sont compatibles avec IPSec. - show access-listsTache 2 - Configurer IKETache 3 - Configurer IPSecTache 4 - Tester et Vérifier IPSec
• La configuration du cryptage IPSec peut être compliquée
• Créer un plan d'action avant de configurer correctement le cryptage IPSec est obligatoire la première fois afin de minimiser les erreurs de configuration.
• Commencez par définir une politique de sécurité IPSec basée sur la politique générale de sécurité de l'entreprise.
ccnp_cch 84
Taches de configuration IPSec • Tache 1 - Préparation IKE et IPSec - Déterminer la "IKE Policy " (IKE Phase 1)
Déterminer les détails suivants de la IKE policy Phase 1:• Méthode de distribution des clés• Méthode d'authentification• Adresses IP et noms de hosts des extrémités IPSec• IKE policy Phase 1 pour toutes les extrémités - Algorithme de Cryptage - Algorithme de Hachage - Durée de vie des SAs IKE
But: Minimiser les incohérences de configuration.
• Configurer IKE est compliqué
• Déterminer d'abord les détails de la policy IKE pour valider la méthode d'authentification choisie et la configurer.
• Un plan d'action détaillé évite les configurations non-apprpriées.
ccnp_cch 85
Taches de configuration IPSec • Tache 1 - Préparation IKE et IPSec - Paramètres "IKE Policy " (IKE Phase 1)
Paramètre Fiable Très fiableAlgorithme de cryptage DES 3-DESAlgorithme de hachage MD5 SHA-1Méthode d'authentification Pre-Share Cryptage RSA
Signature RSAEchange de clés Diffie-Hellman Groupe 1 Diffie-Hellman Groupe 2Durée de vie SA IKE 86400 seconds Moins de 86400 secondes
• Une IKE "policy" définit une combinaison de paramètres de sécurité utilisés pendant la négociation IKE.
• Un groupe de "policies" crée une ensemble de "policies" qui permet aux extrémités IPSec d'établir des sessions IKE et d'établir des SAs avec une configuration minimale.
• Le tableau ci-dessus montre un exemple possible de combinaisons de paramètres IKE pour une policy.
• Les négociations IKE dovent être protégées aussi la négociation IKE commence par l'agrément par chaque extrémité d'une politique (policy) IKE commune
• Cette politique indique quels sont les paramètres IKE qui vont servir à protéger les échanges IKE suivants.
ccnp_cch 86
Taches de configuration IPSec • Tache 1 - Préparation IKE et IPSec - Paramètres "IKE Policy " (IKE Phase 1)
Paramètre Valeur Mot-clé Valeur par défautAlgorithme decryptage
DES3-DES
des3des
768-bit Diffie-Hellman
Algorithme dehachage
SHA-1, variante HMACMD5, variante HMAC
shamd5
86400 secondes ouun jour
Méthode d'authentification
Pre-shared clésCryptage RSASignatures RSA
pre-sharersa-encrrsa-sig
768-bit Diffie-Hellman
Echange de clésIdentificateur degroupe Diffie-Hellman
768-bit Diffie-Hellman ou1024-bit Diffie-Hellman
1
2
768-bit Diffie-Hellman
ISAKMP - Durée de viedes SAs établies
Toutes valeurs possibles - 86400 secondes ou un jour.
• Définir les paramètres de la IKE policy
ccnp_cch 87
Taches de configuration IPSec • Tache 1 - Préparation IKE et IPSec - Paramètres "IKE Policy " (IKE Phase 1)
Paramètre Fiable Très fiableAlgorithme de cryptage DES 3-DESAlgorithme de hachage MD5 SHA-1Méthode d'authentification Pre-Share Cryptage RSA
Signature RSAEchange de clés Diffie-Hellman Groupe 1 Diffie-Hellman Groupe 2Durée de vie SA IKE 86400 seconds Moins de 86400 secondes
• Paramètres de la IKE policy
- Sélectionner une valeur pour chaque paramètre ISAKMP. Il a cinq paramètres à définir dans chaque IKE policy tel que le décrit le tableau ci-dessus.
ccnp_cch 88
Taches de configuration IPSec • Tache 1 - Préparation IKE et IPSec - Déterminer IPSec (IKE Phase 2)
Déterminer les détails suivants de la IKE policy phase 2:• Algorithmes et paramètres IPSec pour une sécurité et des performances optimales.• Transformations et si nécessaire Transform set• Détails sur l'extrémité IPSec• Adresse IP et applications à protéger• SAs Manuelles ou initiées par IKE
But: Minimiser les incohérences de configuration.
• Une IPSec policy définit une combinaison de paramètres IPSec utilisés pendant la négociation IPSec.
• La planification de IPSEc IKE phase 2 est une autre étape importante avant de configure IPSec sur un routeur.
ccnp_cch 89
Taches de configuration IPSec • Tache 1 - Préparation IKE et IPSec - IPSec Transforms supportés par l'IOS Cisco
Le logiciel IOS Cisco supporte les transformations IPSec suivantes:
CentralA(config)#crypto ipsec transform-set transform set-name
ah-md5 hmac AH - HMAC MD5 transformah-sha hmac AH - HMAC SHA transformesp-3des ESP transform using 3DES(EDE) cipher (168 bits)esp-des ESP transform using DES cipher (56 bits)esp-md5 hmac ESP transform using HMAC - MD5 authesp-sha hmac ESP transform using HMAC - SHA authesp-null ESP transform w/o cipher
ccnp_cch 90
Taches de configuration IPSec • Tache 1 - Préparation IKE et IPSec - IPSec Transforms supportés par l'IOS Cisco
CentralA(config)#crypto ipsec transform -set transform set-name
ah-md5 hmac AH - HMAC MD5 transformah-sha hmac AH - HMAC SHA transformesp-3des ESP transform using 3DES(EDE) cipher (168 bits)esp-des ESP transform using DES cipher (56 bits)esp-md5 hmac ESP transform using HMAC - MD5 authesp-sha hmac ESP transform using HMAC - SHA authesp-null ESP transform w/o cipher
• AH (Authentication Header)
- AH est rarement utilisé car l'authentification est maintenant disponible avec les transforms esp-md5-hmac et esp-sha-hmac .
- AH n'est pas compatible avec NAT ou PAT
ccnp_cch 91
Taches de configuration IPSec • Tache 1 - Préparation IKE et IPSec - IPSec Transforms supportés par l'IOS Cisco
CentralA(config)#crypto ipsec transform -set transform set-name
ah-md5 hmac AH - HMAC MD5 transformah-sha hmac AH - HMAC SHA transformesp-3des ESP transform using 3DES(EDE) cipher (168 bits)esp-des ESP transform using DES cipher (56 bits)esp-md5 hmac ESP transform using HMAC - MD5 authesp-sha hmac ESP transform using HMAC - SHA authesp-null ESP transform w/o cipher
Transform Descriptionesp-des Transform ESP utilisant DES 56 bits esp-3des Transform ESP utilisant 3DES 168 bits esp-md5-hmac Transform ESP avec l'authentification MD5 HMAC utilisée avec une
transform esp-des ou esp-3des pour fournir l'intégrité des paquets ESPesp-shs-hmac Transform ESP avec l'authentification SHA HMAC utilisée avec une
transform esp-des ou esp-3des pour fournir l'intégrité des paquets ESPesp-null Transform ESP sans cryptage. Peut être utilisée en combinaison avec
esp-md5-hmac ou esp-sha-hmac si on veut l'authentification sans cryptage.
Attention: Ne jamais utiliser esp-null dans un environnement de production car lesflux de données ne seront pas protégés.
ccnp_cch 92
Taches de configuration IPSec • Tache 1 - Préparation IKE et IPSec - IPSec Transforms supportés par l'IOS Cisco
CentralA(config)#crypto ipsec transform -set transform set-name
ah-md5 hmac AH - HMAC MD5 transformah-sha hmac AH - HMAC SHA transformesp-3des ESP transform using 3DES(EDE) cipher (168 bits)esp-des ESP transform using DES cipher (56 bits)esp-md5 hmac ESP transform using HMAC - MD5 authesp-sha hmac ESP transform using HMAC - SHA authesp-null ESP transform w/o cipher
Type de Transform Combinaisons autoriséesTransform AHEn choisir une
• ah-md5-hmac-AH avec MD5 (variante HMAC) algorithme d'authentification• ah-SHA-hmac-AH avec SHA (variante HMAC) algorithme d'authentification
Transform ESPTransform
• esp-des-ESP avec DES-56bits algorithme de cryptage• esp-3des-ESP avec DES-168bits algorithme de cryptage • esp-null-null algorithme de cryptage
ESP AuthentificationTransformEn choisir une
• esp-md5-hmac-ESP avec MD5 (variante HMAC) algorithme d'authentification• esp-sha-hmac-ESP avec SHA (variante HMAC) algorithme d'authentification
Compression IPTransform
• compression comp-lzs-ip avec l'algorithme LZS.
• L'IOS Cisco empêche l'entrée de combinaisons invalides ou non-autorisées.
ccnp_cch 93
Taches de configuration IPSec • Tache 1 - Préparation IKE et IPSec - Exemple IPSec Policy
Host A Host B
Routeur A Routeur B
E0/1 172.30.1.2
Internet
E0/1 172.30.2.2
Policy Host A Host BTransform set ESP-DES, Tunnel ESP-DES, TunnelPeer hostname RouteurB RouteurAPeer IP address 172.30.2.2 172.30.1.2Hosts à crypter 10.0.1.3 10.0.2.3Type de trafic à crypter TCP TCPEtablissement des SAs ipsec-isakmp ipsec-isakmp
• La figure ci-dessus montre un exemple des details de la politique de cryptage IPSec qui sera utilisée dans les exmples dee ce document.
10.0.1.3 10.0.2.3
ccnp_cch 94
Taches de configuration IPSec • Tache 1 - Préparation IKE et IPSec - Identifier les extrémités IPSec
Serveur CA
CiscoPIX Pare-feu
Utilisateur distantavec le client VPN Cisco
Autres constructeursvoisins IPSec
Concentrateur VPN Cisco
Routeur Cisco
• Un point important pour déterminer la politique IPSec est l'identification l'extrémité IPSec avec laquelle le routeur Cisco va communiquer.
• L'extrémité doit supporter IPSec tel qu'il est spécifié dans les RFCs supportés par l'IOS Cisco.
ccnp_cch 95
Taches de configuration IPSec • Tache 1 - Préparation IKE et IPSec - Etape 3 : Vérifier la configuration courante
Host A Host B
Routeur A Routeur B
E0/1 172.30.1.2
Internet
E0/1 172.30.2.2
Routeur# show running-config
• Affiche la configuration courante pour voir les policies IPSec existantes
Routeur# show crypto isakmp policy
• Affiche les policies IKE phase 1 par défaut et configurées
Routeur# show crypto map• Affiche les crypto maps configurées
Routeur# show crypto ipsec transform-set• Affiche les "transforms set"configurés
ccnp_cch 96
RouterA#show crypto isakmp policyDefault protection suiteencryption algorithm: DES - Data Encryption Standard (56 bit keys)hash algorithm: Secure Hash Standardauthentication method: Rivest-Shamir-Adleman SignatureDiffie-Hellman Group: #1 (768 bit)lifetime: 86400 seconds, no volume limit
Taches de configuration IPSec • Tache 1 - Préparation IKE et IPSec - Etape 3 : Vérifier la configuration courante
• Commande : show crypto isakmp policy
• Utilisez la commande show crypto isakmp policy pour examiner les policies IKE
ccnp_cch 97
RouterA#show crypto mapCrypto Map "mymap" 10 ipsec-isakmpPeer = 172.30.2.2Extended IP access list 102access-list 102 permit ip host 172.30.1.2 host 172.30.2.2Current peer: 172.30.2.2Security association lifetime: 4608000 kilobytes/3600 secondsPFS (Y/N): NTransform sets={ mine, }
Taches de configuration IPSec • Tache 1 - Préparation IKE et IPSec - Etape 3 : Vérifier la configuration courante
• Commande : show crypto map
• La commande show crypto map est très utile pour examiner les crypto maps déjà configurées.
ccnp_cch 98
RouterA#show crypto ipsec transform-set mine Transform set mine: { esp-des }will negotiate = { Tunnel, },
Taches de configuration IPSec • Tache 1 - Préparation IKE et IPSec - Etape 3 : Vérifier la configuration courante
• Commande : show crypto map
• Utilisez la commande show crypto ipsec transform-set mine pour examiner les transform sets déjà configurés.
• Utilisez les transform sets déjà configurés pour gagner une configuration plus rapide.
ccnp_cch 99
Taches de configuration IPSec • Tache 1 - Préparation IKE et IPSec - Etape 4 : Vérifier le fonctionnement du réseau
Serveur CA
CiscoPIX Pare-feu
Utilisateur distantavec le client VPN Cisco
Autres constructeursvoisins IPSec
Concentrateur VPN Cisco
Cisco Routeur B172.30.2.2
Cisco Routeur B172.30.1.2
RouteurA#ping 172.30.1.2
ccnp_cch 100
Taches de configuration IPSec • Tache 1 - Préparation IKE et IPSec - Etape 5: Assurez-vous que les ACLs sont compatibles avec IPSec
Site 1 Site 2
Routeur A Routeur B
E0/1 172.30.1.2
Internet
E0/1 172.30.2.2
IKEAHESP
RouterA#show access-listsaccess-list 102 permit ah host 172.30.2.2 host 172.30.1.2access-list 102 permit esp host 172.30.2.2 host 172.30.1.2access-list 102 permit udp host 172.30.2.2 host 172.30.1.2 eq isakmp
• Assurez-vous que les protocoles 50, 51 et UDP port 500 ne sont pas bloqués sur les interfaces utilisées par IPSec.
ccnp_cch 101
Taches de configuration IPSec • Tache 2 - Configurer IKE
Tache 1 - Préparer IPSecTache 2 - Configurer IKE • Etape 1 - Valider ou dévalider IKE - crypto isakmp enable • Etape 2 - Créer les IKE policies - crypto isakmp policy • Etape 3 - Configurer ISAKMP - crypto isakmp identity • Etape 4 - Configurer les Pre-shared clés - crypto isakmp key • Etape 5 - Vérifier la configuration IKE - show crypto isakmp policy Tache 3 - Configurer IPSecTache 4 - Tester et Vérifier IPSec
ccnp_cch 102
Taches de configuration IPSec • Tache 2 - Configurer IKE - Etape 1: Valider IKE
RouteurA(config)# [no] crypto isakmp enable
RouteurA(config)#crypto isakmp enable
• Cette commande valide ou dévalide globalement IKE sur un routeur• IKE est validé par défaut• IKE est validé globalement pour toutes les interfaces du routeur• Une liste ce controle d'accès peut être utilisée pour bloquer IKE sur une interface particulière.
10.0.1.3
Routeur A Routeur B
172.30.1.2
Internet
172.30.2.210.0.2.3
Host A Host B
ccnp_cch 103
Taches de configuration IPSec • Tache 2 - Configurer IKE - Etape 2: Créer les "IKE Policies"
10.0.1.3
Routeur A Routeur B
172.30.1.2
Internet
172.30.2.210.0.2.3
Host A Host B
RouteurA(config)#crypto isakmp policy priority
RouteurA(config)#crypto isakmp policy 110
• Définit une policy IKE qui est un ensemble de paramètres utilisés lors de la négociation IKE.• Enchaine sur le mode de commande isakmp
• L'étape majeure suivante dans la configuration die ISAKMP est de définir une suite de policies ISAKMP.
• Le but de cette définition est d'établir une liaison ISAKMP entre deux extrémités IPSec.
ccnp_cch 104
Taches de configuration IPSec • Tache 2 - Configurer IKE - Etape 2: Créer les "IKE Policies" avec la commande crypto isakmp
10.0.1.3
Routeur A Routeur B
172.30.1.2
Internet
172.30.2.210.0.2.3
Host A Host B
Policy 110DESMD5
Pre-Share86400
RouteurA(config)#crypto isakmp policy priority
• Définit les paramètres dans la policy 110
RouteurA(config)#crypto isakmp policy 110RouteurA(config-isakmp)#authentication pre-shareRouteurA(config-isakmp)#encryption des RouteurA(config-isakmp)#group1RouteurA(config-isakmp)#hash md5RouteurA(config-isakmp)#lifetime 86400
• La commande isakmp policy invoque le mode de configuration ISAKMP (config-isakmp) dans lequel les paramètres ISAKMP sont configurés.
ccnp_cch 105
Taches de configuration IPSec • Tache 2 - Configurer IKE - Etape 2: Créer les "IKE Policies" avec la commande crypto isakmp
Mot-clé Valeurs acceptées Valeurs par défaut
Description
des DES-CBC 56 bits des Algorithme de cryptageshamd5
SHA-1(variante HMAC)MD5 (variante HMAC)
sha Intégrité du message
rsa-sigrsa-encrpre-share
Signatures RSACryptage RSALcés "pre-shared"
rsa-sig Méthode d'authentificationd'une extrémité
12
Diffie-Hellman 768 bitsDiffie-Hellman 1024 bits
1 Paramètres d'échange de clés.
- Toutes valeurs possiblesen secondes
86400 secondes(un jour)
• Si un de ces paramètres n'est pas spécifié pour la policy, la valeur par défaut sera utilisée pour ce paramètre.
ccnp_cch 106
Taches de configuration IPSec • Tache 2 - Configurer IKE - Etape 2: "IKE Policy négotiation"
10.0.1.3
Routeur A Routeur B
172.30.1.2
Internet
172.30.2.210.0.2.3
Host A Host B
• crypto isakmp policy 100 - hash md5 - authentication pre-share • crypto isakmp policy 200 - hash sha - authentication rsa-sig• crypto isakmp policy 300 - authentication pre-share
• crypto isakmp policy 100 - hash md5 - authentication pre-share • crypto isakmp policy 200 - hash sha - authentication rsa-sig• crypto isakmp policy 300 - authentication pre-share
Les deux premières policies peuvent être négociées avec succès par la troisième
• Une correspondance est trouvée quand les deux policies des deux extrémités contiennent les mêmes paramères pour le cryptage, l'authentification, le hachage et diffie-Hellman et quand la policy de l'extrémité distante spécifie une durée de vie égale ou inférieure à la policy locale.
ccnp_cch 107
Taches de configuration IPSec • Tache 2 - Configurer IKE - Etape 3: Configurer ISAKMP Identity
10.0.1.3
Routeur A Routeur B
172.30.1.2
Internet
172.30.2.210.0.2.3
Host A Host B
routeur(config)#crypto isakmp identity {address | hostname}
• Les extrémités IPSec s'authentifient mutuellement pendant la négociation ISAKMP en utilisant les clés "pre-shared" et l'identité ISAKMP.
• L'identité ISAKMP peut être l'adresse IP de l'interface du routeur ou le nom de host.
• L'IOS Cisco utilise l'identité par adresse IP par défaut.
address Fixe l'identité ISAKMP avec l'adresse IP de l'interface qui est utilisée pourcommuniquer avec l'extrémité distante durant la négociation ISAKMP.Cette méthode est utilisée quand il y a une seule interface utilisée et que l'adresse IP est connue.
hostname Fixe l'identité ISAKMP avec le nom de host concaténé avec le nom de domaine. Cette méthode doit être utilisée s'il y a plusieurs interfaces utilisées pour lanégociation ISAKMP ou si l'adresse IP de l'interface n'est pas connue.( adresse affectée dynamiquement)
ccnp_cch 108
Taches de configuration IPSec • Tache 2 - Configurer IKE - Etape 4: Configurer les "pre-shared keys"
10.0.1.3
Routeur A Routeur B
172.30.1.2
Internet10.0.2.3
Host A Host B
172.30.2.2Pre-shared cléCisco1234
routeur(config)#crypto isakmp key keystring hostname hostname
routeur(config)#crypto isakmp key keystring address peer-address
routeur(config)#crypto isakmp key Cisco1234 address 171.30.2.2
• Configurez une clé d'authentification "pre-shared" avec la commande crypto isakmp key en mode de configuration global.
• Cette clé doit être configurée chaque fois que des clés "pre-shared" sont spécifiées dans policy ISAKMP.
ccnp_cch 109
RouterB(config)#crypto isakmp key cisco1234 address 172.30.1.1RouterB(config)#crypto isakmp policy 110RouterB(config-isakmp)#hash md5 RouterB(config-isakmp)#authentication pre-share
RouterA(config)#crypto isakmp key cisco1234 address 172.30.2.1RouterA(config)#crypto isakmp policy 110RouterA(config-isakmp)#hash md5 RouterA(config-isakmp)#authentication pre-share
Taches de configuration IPSec • Tache 2 - Configurer IKE - Etape 4: Configurer les "pre-shared keys"
10.0.1.3
Routeur A Routeur B
172.30.1.2
Internet10.0.2.3
Host A Host B
172.30.2.2Pre-shared cléCisco1234
ccnp_cch 110
RouterA#show crypto isakmp policyProtection suite of priority 110encryption algorithm: DES - Data Encryption Standard (56 bit keys).hash algorithm: Message Digest 5authentication method: Pre-Shared KeyDiffie-Hellman group: #1 (768 bit)lifetime: 86400 seconds, no volume limitDefault protection suiteencryption algorithm: DES - Data Encryption Standard (56 bit keys).hash algorithm: Secure Hash Standardauthentication method: Rivest-Shamir-Adleman SignatureDiffie-Hellman group: #1 (768 bit)lifetime: 86400 seconds, no volume limit
Taches de configuration IPSec • Tache 2 - Configurer IKE - Etape 5: Vérifier la configuration IKE
10.0.1.3
Routeur A Routeur B
172.30.1.2
Internet
172.30.2.210.0.2.3
Host A Host B
ccnp_cch 111
Taches de configuration IPSec • Tache 3 - Configurer IPSec
Tache 1 - Préparer IPSecTache 2 - Configurer IKETache 3 - Configurer IPSec • Etape 1 - Configurer les "transform suites" - crypto ipsec transform-set • Etape 2 - Configurer les durées de vie globales des IPSec SAs - crypto ipsec security-association lifetime • Etape 3 - Créer les crypto ACLs utilisant les listes d'accès étendues - crypto map • Etape 4 - Configurer les crypto maps IPSec • Etape 5 - Appliquer les crypto maps aux interfaces - crypto map map-name Tache 4 - Tester et Vérifier IPSec
ccnp_cch 112
Taches de configuration IPSec • Tache 3 - Configurer IPSec Etape 1: Configurer les "transforms set"
10.0.1.3
Routeur A Routeur B
172.30.1.2
Internet
172.30.2.210.0.2.3
Host A Host B
Routeur(config)#crypto ipsec transform-set transform-set-name transform1[transform2 [transform2 [transform3]]Routeur(cfg-crypto-trans)#
RouteurA(config)#crypto ipsec transform-set mine des
esp-desTunnel
Mine
• Un "transform set" est une combinaison de transforms individuels IPSec qui promulgue une politique de sécurité pour le trafic.
• Durant la négociation ISAKMP IPSec SA qui se produit dans IKE phase 2 en mode rapide, les extrémités agréent l'utilisation d'un "transform set" pour protéger un flux de trafic particulier.
ccnp_cch 113
Taches de configuration IPSec • Tache 3 - Configurer IPSec Etape 1: "transform set negotiation"
10.0.1.3
Routeur A Routeur B
172.30.1.2
Internet
172.30.2.210.0.2.3
Host A Host B
transform-set 10 esp-3des tunnel
transform-set 40 esp-3des tunnel
transform-set 20 esp-3des, esp-md5-hmac tunnel
transform-set 50 esp-3des, ah-sha-hmac tunnel
transform-set 60 esp-3des, esp-sha-hmac tunnel
transform-set 30 esp-3des, esp-sha-hmac tunnel OK
• Les "transform sets" sont négociés durant IKE phase 2 en mode quick en utilisant des transform sets dejà configurés.
• Plusieurs transform sets peuvent être configurés avant de spécifier un plusieurs transform sets dans une crypto map.
• Configurez les "transforms" du plus sécurisé au moins sécurisé comme l"indique la policy.• Le transform set défini dans la crypto map est utilisé dans la négociation IPSec SA pour protéger le flux spécifié dans l'ACL de la crypto map.
ccnp_cch 114
Taches de configuration IPSec • Tache 3 - Configurer IPSec Etape 2: Configurer les durées de vies globales des SA IPSec
10.0.1.3
Routeur A Routeur B
172.30.1.2
Internet
172.30.2.210.0.2.3
Host A Host B
Routeur(config)#crypto ipsec security-association lifetime { seconds seconds|kilobytes kilobytes}
RouteurA(config)# crypto ipsec security-association lifetime 86400
• Les durées de vie des SAs IPSec sont négociées dans IKE phase2
• Les durées de vie des SAs IPSec dans les crypto map outrepassent les durées de vie globales des SAs IPSec.
ccnp_cch 115
Taches de configuration IPSec • Tache 3 - Configurer IPSec Etape 2: But des "Crypto ACLs"
10.0.1.3
Routeur A
172.30.1.2
Internet
Host A
Traficsortant
Traficentrant
CryptageNon IPsec
Autorise IPSec crypté
Elimine IPSecnon-crypté
Non IPSec
• Les listes d'accès en sortie indiquent quel flux de données doit être protégé par IPSec
• Les listes d'accès en entrée filtrent et élimine le trafic qui aurait du être protégé par IPSec.
ccnp_cch 116
Taches de configuration IPSec • Tache 3 - Configurer IPSec Etape 3: Créer "Crypto ACLs" avec les listes d'accès étendues
10.0.1.3
Routeur A Routeur B
172.30.1.2
Internet
172.30.2.210.0.2.3
Host A Host B
10.0.1.0 10.0.2.0
Routeur(config)#access-list access-list-number [dynamic dynamic-name[timeou-minutes]] {deny | permit} protocol source source-wildcarddestination destination-wildcard [precedence precedence] [tos tos] [log]
• Les crypto ACLs identifie quel trafic doit protégé (crypté)
RouteurA(config)#access-list 110 permit tcp 10.0.1.0 0.0.0.25510.0.2.0 0.0.0.255
Cryptage
ccnp_cch 117
Taches de configuration IPSec • Tache 3 - Configurer IPSec Etape 3: Configurer "Crypto ACLs" avec des extrémités symétriques
10.0.1.3
Routeur A Routeur B
172.30.1.2
Internet
172.30.2.210.0.2.3
Host A Host B
RouteurA(config)#access-list 101 permit tcp 10.0.1.0 0.0.0.255 10.0.2.0 0.0.0.255
RouteurB(config)#access-list 101 permit tcp 10.0.2.0 0.0.0.255 10.0.1.0 0.0.0.255
ccnp_cch 118
Taches de configuration IPSec • Tache 3 - Configurer IPSec Etape 3: But des "Crypto maps"
Les crypto maps relient les différentes parties configurées pour IPSec dont:
• Le trafic devant être protégé par IPSec et un ensemble de SAs • L'adresse locale à utiliser pour le trafic IPSEc
• L'adesse de destination du trafic protégé par IPSec
• Le type IPSec à appliquer à ce trafic
• La méthode d'établissement des SAs, soit manuellement soit avec RSA
• D'autres paramètres nécessaires pour définir une SA IPSec
ccnp_cch 119
Taches de configuration IPSec • Tache 3 - Configurer IPSec Etape 3: Paramètres des "Crypto maps"
10.0.1.3
Routeur A Routeur B
172.30.1.2
Internet
172.30.2.210.0.2.3
Host A Host B
Trafic cryptéInterface ou
sous-interface de routeur
Les crypto maps définissent:• La liste d'accès à utiliser• Les extrémités distantes du VPN• Les transforms sets utilisés• La méthode de gestion des clés• La durée de vie des associations de sécurité
ccnp_cch 120
Taches de configuration IPSec • Tache 3 - Configurer IPSec Etape 4: Configurer les "Crypto maps" IPSec
10.0.1.3
Routeur A Routeur B
172.30.1.2
Internet
172.30.2.210.0.2.3
Host A Host B
Routeur(config)#crypto map map-name seq-num ipsec-manual
Routeur(config)#crypto map map-name seq-num ipsec-isakmp [dynamicdynamic-map-name]
RouteurA(config)#crypto map mymap 110 ipsec-isakmp
• Un numéro de séquence différent par extrémité• De multiples extrémités peuvent être spécifiées dans un seule crypto map pour redondance• Une crypto map par interface
ccnp_cch 121
Taches de configuration IPSec • Tache 3 - Configurer IPSec Etape 4: Exemple de ommandes crypto map
10.0.1.3
Routeur ARouteur B
172.30.1.2
Internet
172.30.2.2
10.0.2.3
Host A Host B
172.30.3.2Routeur C
RouteurA(config)#map mymap 110 ipsec-isakmpRouteurA(config-crypto-map)#match address 110RouteurA(config-crypto-map)#set peer 172.30.2.2RouteurA(config-crypto-map)#set peer 172.30.3.2RouteurA(config-crypto-map)#set pfs group1RouteurA(config-crypto-map)#set transform-set mineRouteurA(config-crypto-map)#set security association lifetime 86400
ccnp_cch 122
Taches de configuration IPSec • Tache 3 - Configurer IPSec Etape 5: Appliquer les "Crypto maps" aux interfaces
10.0.1.3
Routeur A Routeur B
172.30.1.2
Internet
172.30.2.210.0.2.3
Host A Host B
Routeur(config-if)#crypto map map-name
RouteurA(config)#interface ethernet0/1RouteurA(config-if)#crypto map mymap
mymap
ccnp_cch 123
Taches de configuration IPSec • Tache 3 - Configurer IPSec Etape 5: Exemples de configuration IPSec
10.0.1.3
Routeur A Routeur B
172.30.1.2
Internet
172.30.2.210.0.2.3
Host A Host B
RouteurB#show running-configcrypto ipsec transform-set mineesp-des!crypto map mymap 10 ipsec-isakmpset peer 172.30.1.2set transform-set minematch address 110!interface Ethernet0/1 ip address 172.30.2.2 255.255.255.0 no ip directed broadcast crypto map mymap!access-list 110 permit tcp 10.0.2.00.0.0.255 10.0.1.0 0.0.0.255
RouteurA#show running-configcrypto ipsec transform-set mineesp-des!crypto map mymap 10 ipsec-isakmpset peer 172.30.2.2set transform-set minematch address 110!interface Ethernet0/1 ip address 172.30.1.2 255.255.255.0 no ip directed broadcast crypto map mymap!access-list 110 permit tcp 10.0.1.00.0.0.255 10.0.2.0 0.0.0.255
ccnp_cch 124
Taches de configuration IPSec • Tache 4 - Tester et vérifier IPSec
Tache 1 - Préparation pour IKE et IPSecTache 2 - Configurer IKETache 3 - Configurer IPSecTache 4 - Tester et Vérifier IPSec • Affiche les policies IKE configurées - show crypto isakmp policy ( show isakmp policy sur un PIX) • Affiche les transform sets configurés - show crypto ipsec transform-set • Affiche les associations de sécurité - show crypto isakmp sa (show isakmp sa sur un PIX) • Affiche l'état courant des SAs IPSec - show crypto ipsec sa • Affiche les crypto maps configurés - show crypto map • Valide debug pour les évènements IPSec - debug crypto ipsec • Valide debug pour les évènements ISAKMP - debug crypto isakmp
ccnp_cch 125
Taches de configuration IPSec • Tache 4 - Tester et vérifier IPSec - Commande show crypto isakmp policy
10.0.1.3
Routeur A Routeur B
172.30.1.2
Internet
172.30.2.210.0.2.3
Host A Host B
RouteurA#show crypto isakmp policyProtection suite of priority 110 encryption algorithm: DES - Data Encryption Standard (56 bit keys). hash algorithm: Message Digest 5 authentication method: pre-share Diffie-Hellmen-group: #1 (768bit) Lifetime: 86400 seconds, no volume limitDefault protection suite encryption algorithm: DES - Data Encryption Standard (56 bit keys). hash algorithm: Secure Hash Standard authentication method: Rivest-Shamir-Adleman Signature Diffie-Hellmen-group: #1 (768bit) Lifetime: 86400 seconds, no volume limit
ccnp_cch 126
Taches de configuration IPSec • Tache 4 - Tester et vérifier IPSec - Commande show crypto ipsec transform-set
10.0.1.3
Routeur A Routeur B
172.30.1.2
Internet
172.30.2.210.0.2.3
Host A Host B
RouteurA#show crypto ipsec transform-set Transform set mine: { esp-des} will negotiate = {Tunnel, },
RouteurA#show crypto isakmp sadest src state conn-id slot172.30.2.2 172.30.1.2 QM_IDLE 47 5
• Affiche les associations de sécurité ISAKMP
• Affiche les transforms sets courants et définis
ccnp_cch 127
Taches de configuration IPSec • Tache 4 - Tester et vérifier IPSec - Commande show crypto ipsec sa
10.0.1.3
Routeur A Routeur B
172.30.1.2
Internet
172.30.2.210.0.2.3
Host A Host B
RouteurA#show crypto ipsec sainterface: Ethernet0/1 Crypto map tag: mymap, local addr. 172.30.1.2 local ident (addr/mask/prot/port): (172.30.1.2/255.255.255.255/0/0) remote ident (addr/mask/prot/port): (172.30.2.2/255.255.255.255/0/0) Current peer: 172.30.2.2 PERMIT, flags={origin_is_acl} #pkts encaps: 21, #pkts encrypt: 21, #pkts digest 0 #send errors 0 #rec errors 0 Local crypto endpt: 172.30.1.2, remote crypto endpt: 172.30.2.2
ccnp_cch 128
Taches de configuration IPSec • Tache 4 - Tester et vérifier IPSec - Commande show crypto map
10.0.1.3
Routeur A Routeur B
172.30.1.2
Internet
172.30.2.210.0.2.3
Host A Host B
RouteurA#show crypto mapCrypto Map "mymap" 10 ipsec-isakmp Peer - 172.30.2.2 Extended IP access list 202 Acces-list 102 permit ip host 172.30.1.2 host 172.30.2.2 Current peer: 172.30.2.2 Security association lifetime: 4608000 kilobytes/3600 seconds PFS (Y/N) : N Transform sets={ mine, }
ccnp_cch 129
Taches de configuration IPSec • Tache 4 - Tester et vérifier IPSec - Commandes clear
Routeur# clear crypto saRouteur# clear crypto sa peer <IP address | peer name> Routeur# clear crypto sa map <map name>Routeur# clear crypto sa entry <destination address protocol spi>
• Efface les associations de sécurité IPSec dans la base de données du routeur
PIX# clear [crypto] ipsec saPIX# clear [crypto] ipsec sa peer <IP address | peer name> PIX# clear [crypto] ipsec sa map <map name>PIX# clear [crypto] ipsec sa entry <destination address protocol spi>
• Efface les associations de sécurité IPSec ou IKE sur un PIX
ccnp_cch 130
Taches de configuration IPSec • Tache 4 - Tester et vérifier IPSec - Commandes debug crypto
Routeur#debug crypto ipsec
Routeur#debug crypto isakmp
• Affiche les messages debug pour tous les évènements IPSec
• Affiche les messages debug pour tous les évènements ISAKMP
ccnp_cch 131
Taches de configuration IPSec • Tache 4 - Tester et vérifier IPSec - Commandes debug crypto
RouteurA#debug crypto ipsecCrypto IPSEC debugging is onRouteurA#debug crypto isakmpCrypto ISAKMp debugging is onRouteurA#*Feb 20 08:08:06.556 PST: IPSEC(sa-request): , (key eng. msg.) src= 172.30.1.2, dest= 172.30.2.2, src_proxy= 10.0.1.0/255.255.255.0/0/0 (type=4), dest_proxy= 10.0.2.0/255.255.255.0/0/0 (type=4), protocol= ESP, transform= esp-des esp-md5-hmac , lifedur= 3600s and 4608000kb, spi= 0x0(0), conn-id= 0, keysize=0, flags=0x4004! Le trafic interessant entre Site1 et Site2 active ISAKMP Main Mode.*Feb 20 08:08:06.556 PST: ISAKMP (4): beginning Main Mode exchange
ccnp_cch 132
Taches de configuration IPSec • Tache 4 - Tester et vérifier IPSec - Messages d'erreur du système de cryptage pour ISAKMP
%CRYPTO-6-IKMP_SA_NOT_AUTH: Cannot accept Quick Mode exchange from%151 is SA is not authenticated!
%CRYPTO-6-IKMP_SA_NOT_OFFERED: Remote peer %151 responded withattribute [chars] not offered or changed
• Message d'erreur indiquant que la SA ISAKMP avec l'extrémité distante n'a pas été authentifiée.
• Message d'erreur indiquant une erreur de protection des négociations entre les extrémités ISAKMP.