Vous êtes ici :
Accueil Tutoriel Sécurité Informatique Les Réseaux privés virtuels (VPN)

Les Réseaux privés virtuels (VPN)

Dans ce tutoriel nous allons voir les concepts des Réseaux privés virtuels (VPN) dont la plupart des gens ne connaissent pas encore

INTRODUCTION

Un réseau privé virtuel en anglais VPN (Virtual Private Network)  est un tunnel  sécurisé permettant la communication entre deux entités y compris au travers de réseaux peu sûrs comme peut l’être le réseau Internet. Cette technologie, de plus en plus utilisée dans les entreprises, permet de créer une liaison virtuelle entre deux réseaux physiques distants de manière transparente pour les utilisateurs concernés. Les données envoyées au travers de ces liaisons virtuelles sont chiffrées, ceci garantit aux utilisateurs d’un VPN qu’en cas d’interception malveillante les données soient illisibles.

Quel est le fonctionnement et l’intérêt d’utilisation d’un VPN ?

FONCTIONNEMENT

Un VPN repose sur un ou des protocoles, appelé protocoles de tunnelisation (ou tunneling). Comme énoncé dans l’introduction, ce sont des protocoles permettant aux données passant entre deux réseaux physiques d’être sécurisées par des algorithmes de chiffrage. On utilise d’ailleurs le terme de « tunnel » pour mettre l’accent sur le fait qu’entre l’entrée et la sortie d’un VPN les données sont chiffrées et protégées. Lorsqu’un VPN est établi entre deux réseaux physiques, l’élément qui permet de chiffrer et de déchiffrer les données du coté client (ou utilisateur) est nommé « Client VPN ». On appelle « Serveur VPN » l’élément qui chiffre et qui déchiffre les données du côté de l’organisation.

Dans les faits, nous établissons une connexion sécurisée avec le serveur qui nous propose le service VPN. Ce serveur VPN nous connecte sur Internet en masquant notre adresse IP par son adresse IP.

Une communication VPN peut donc être de client à serveur mais il est à prendre en considération qu’elle peut aussi se faire de serveur à serveur.

Il existe d’autres types d’utilisation des VPN :

L'intranet VPN : qui est utilisé pour relier deux intranets entre eux. Ce type de VPN est utile pour les entreprises possédant plusieurs sites distants. Le plus important avec ce type de VPN est de garantir la sécurité et l'intégrité des données.

Lextranet VPN : là aussi utilisé par les entreprises car elles peuvent utiliser ce type de VPN pour communiquer avec ses clients. Dans les faits, elle ouvre son réseau local à ses clients ou à ses partenaires. Dans ce cadre, il est fondamental que l'administrateur du VPN puisse tracer les clients sur le réseau et gérer les droits de chacun sur celui-ci.

INTERETS D’UTILISATION

Un VPN permet d'accéder à des ordinateurs distants comme si l'on était connecté au réseau local. On peut ainsi avoir un accès au réseau interne (réseau d'entreprise, par exemple). Il dispose généralement aussi d'une passerelle permettant d'accéder à l'extérieur, ce qui permet de changer l'adresse IP source apparente de ses connexions. Cela rend plus difficile l'identification et la localisation approximative de l'ordinateur émetteur par le fournisseur de service. Cependant, l'infrastructure de VPN (généralement un serveur) dispose des informations permettant d'identifier l'utilisateur. Cela permet aussi de contourner les restrictions géographiques de certains services proposés sur Internet.

Voici les raisons permettant d’utiliser les VPN :

  • La sécurité :

Un VPN rajoute une couche de sécurité entre votre ordinateur et internet.

En effet, en utilisant un VPN, ce n’est plus votre ordinateur qui est la cible d’attaque, mais le serveur VPN et les VPN sont généralement très bien sécurisés pour éviter que leurs serveurs ne tombent suite à une attaque.

  • Préserver son anonymat

En utilisant un VPN, ce n’est plus votre adresse IP qui est connu des sites que vous visitez, mais l’adresse IP de votre VPN. Du coup, les sites ne peuvent plus savoir dans quel pays vous êtes, ni quel est votre navigateur internet, la résolution de votre écran, etc. Il faut tout de même penser à vider les cookies de votre navigateur avant de vous connecter à un site, sinon celui ci sera capable de se souvenir de vous.

  • Se sécuriser lors de connexion à des Wifi publiques

Lorsque vous vous connecter à des réseaux wifi publiques genre gares, aéroport, etc. vous pouvez facilement devenir la cible de gens voulant récupérer vos infos. Il ne faut pas oublier que vous êtes tous sur la même borne wifi, et qu’il est très facile de sniffer les données transitant sur le réseau. Un VPN  peut empêcher cela car la connexion entre vous et le VPN se fait de manière chiffrée. De ce fait personne ne peut récupérer vos données sensibles comme vos mots de passes, code de carte bancaire, etc.

  •   Contourner la censure gouvernementale dans certains pays

Lorsque l’on parle de censure, la plupart d’entre nous pensent automatiquement à la Chine. Ce pays est en effet extrêmement censuré. Mais beaucoup d’autres pays censurent également,  mais cela peut être extrêmement dérangeant pour nous. Quel horreur de ne pas pouvoir utiliser facebook, twitter, google, gmail, youtube, etc.  Tous ces outils qui nous permettent de rester en contact avec le monde. En utilisant le VPN  il nous sera facile de contourner cette censure puisqu’il suffira de choisir dans les réglages du VPN un pays dans lequel les services que vous voulez utiliser ne sont pas censurés.

  •   Contourner le blocage de géolocalisation par IP de certains sites internet

Mettons, par exemple, que nous voulions accéder aux vidéos de chaines étrangères comme « Hulu » sans être basé aux États-Unis, nous nous rendrons vite comptes que les vidéos ne veulent pas se lancer, et qu’un message nous dit que nous ne somme pas dans la bonne zone géographique. Ces chaines bloquent l’accès à leur service aux résidents de leur pays uniquement. Nous allons donc devoir utiliser un VPN  pour changer notre adresse IP en une adresse IP du pays désiré et là, notre vidéo s’affichera sans souci.

  •   Contourner les bridages de sites

Le bridage de site est quelque chose dont on entend beaucoup parler. On entend par bridage, le fait de ne pas bloquer complètement un site, mais de le rendre partiellement accessible, voir tellement lent que le service deviendra inutilisable. C’est un fait, Free bride Youtube, en réduisant la vitesse de réception des données, ce qui empêche une utilisation correcte de Youtube. Les chargements sont lents, très lents, les vidéos saccades, voir même carrément ne charge pas. Les VPN sont donc aussi utilisés dans ce cas là, pour contourner ce genre de bridage.

LES PROTOCOLES DE TUNNELISATION

La technologie du VPN implique des cryptages de données et le concept de Tunneling. Ce dernier est un processus qui établit et maintient des connexions logiques entre des réseaux sur internet. Ce tunnel de connexion nécessite la transmission de paquet de données entre le client et le serveur VPN. Mais avant le transfert, les paquets de données sont encryptés dans un protocole de VPN. Il existe plusieurs types de protocoles VPN et chacun possède ses avantages et inconvénients.

Nous vous donnons un petit récapitulatif  sur les caractéristiques de chaque protocole VPN pour que vous puissiez choisir selon vos besoins en sécurité et en facilité d’utilisation.

  • PPTP (Point to Point Tunneling Protocol):

PPTP est une extension du protocole PPP (Point to Point Protocol) qui était un standard pour les connexions via les modems. Il fonctionne sur la couche 2 du modèle OSI. Bien que le PPTP crée un tunnel VPN, il ne fournit aucun cryptage. Les connexions PPTP peuvent être sécurisées en utilisant le protocole PPP de Microsoft (MPPE) qui utilise la norme de cryptage RSA RCQ en 128 bits. L’un des avantages du PPTP par rapport aux autres est qu’il supporte la plupart des plateformes incluant Windows, Mac OS, Linux, les OS mobile, etc. Pour la connexion, le PPTP nécessite une authentification. Il est assez rapide et possède une sécurité en 128 bits. Le niveau de sécurité est faible comparé aux autres. Cela lui permet d’être plus rapide que d’autres normes qui utilisent un cryptage plus lourd. Le port TCP 1723 est le port utilisé par  défaut. Le PPTP n’est pas le protocole VPN le plus stable, notamment si on l’utilise sur des connexions instables. Par ailleurs, il a des problèmes de compatibilité avec le GRE (Une routine standard d’encapsulation) ainsi que certains routeurs. L’implémentation Microsoft du PPTP possède de sérieux problèmes de sécurité. Le MSCHAP-v2 est vulnérable contre les attaques de type dictionnaire (Bruteforce) et l’algorithme RC4 est aussi vulnérable face aux attaques de type Bit-Flipping. Microsoft lui-même recommande de mettre à jour vers le L2TP qui protège mieux la confidentialité des connexions. Le PPTP est sans doute le protocole le plus polyvalent, car il est compatible avec Windows, Mac OS, Linux, l’iOS d’Apple, Android.

  • L2TP/IPSec (Layer 2 Tunneling Protocol/Internet Protocol Security):

Le L2TP/IPSec est un protocole avancé de Tunneling qui supporte les VPN. On le recommande comme une alternative au PPTP parce que celui-ci crypte mieux ses données. Le protocole L2TP ne fournit pas de cryptage ou d’authentification, mais il exploite la norme IPSec qui fournit un système de cryptage acceptable. L’IPSec supporte deux modes de cryptage, le Transport et le Tunneling. Le cryptage utilise une clé de 256 bits. Windows installera par défaut le VPN sur le protocole PPTP. Cependant, nous vous recommandons d’installer aussi le L2TP/IPSEC. Et l’installation de ce protocole VPN est très facile. La vitesse du L2TP/IPSec est similaire au PPTP. En fait, on ne voit quasiment aucune différence entre les deux. Le L2TP/IPSec utilise le port UDP 500 pour l’échange des clés. Le port 50 est utilisé pour le cryptage via l’IPSec et le port UDP 1701 est utilisé pour la configuration initiale du L2TP. Enfin, le port UDP 4500 est utilisé pour le transfert NAT. On peut facilement bloquer le L2TP/IPSec parce qu’il se base uniquement sur des protocoles et des ports fixes. La norme SSTP pour le L2TP/IPSec est disponible pour Linux et  Windows. Ce protocole VPN est stable dans la plupart des cas. Il faut juste s’assurer que le serveur et le client supportent le transfert NAT pour éviter les problèmes.  Le L2TP/IPSec est considéré comme un protocole assez sécurisé. Son cryptage est meilleur que celui du PPTP. On peut l’utiliser sur la plupart des systèmes. Il est également compatible avec des appareils tels que l’iPad ou les Smartphones récents.

  • L’OpenVPN :

L’OpenVPN est un protocole Open Source qui est utilisé pour les VPN basé sur le SSL. Il permet aux réseaux de se connecter entre eux de manière sécurisée en utilisant des clés secrètes partagées, des certifications ou des noms d’utilisateurs ou des mots de passe. Il utilise la librairie OpenSSL pour crypter les données. L’OpenSSL est une implémentation Open Source des langages de développement qui ont étés spécialement conçus pour les protocoles SSL et TLS (Transport Layer Security). En général, l’OpenVPN n’est pas inclut par défaut dans les systèmes d’exploitation. Mais son installation est facile sur toutes les plateformes. Il donne toute sa puissance quand on l’utilise avec le mode UDP. Il est rapide et stable même avec des connexions lentes et pour des serveurs qui sont situés sur de grandes distances. Il peut fonctionner sur n’importe quel port TCP ou UDP. Il peut être configuré pour utiliser le port TCP 443 qui permet de passer les pare-feux. C’est un protocole très stable sur les réseaux sans-fils ou cellulaire qui sont fréquemment saturés. Le mode TCP de l’OpenVPN est pour les connexions TCP qui sont très instables. Et si vous l’utilisez quand même, vous allez souffrir d’une perte de vitesse. L’OpenVPN est aussi sécurisé que le L2TP/IPSec. Il n’y a rien à craindre du moment qu’on utilise le cryptage de type AES (Application Environment Services). Il peut aussi utiliser l’authentification HMAC (Haching Message Authentication) pour renforcer la sécurité. De nos jours, l’OpenVPN est compatible avec la plupart des plateformes. Ainsi, il est disponible sur Windows, Mac, Linux et même les mobiles Android via des applications tierces.

  • SSTP :

Le SSTP est un tunnel VPN qui applique un transfert sécurisé sur des connexions L2TP ou PPP via un canal SSL 3.0. Le SSTP est uniquement utilisé pour les connexions de clients à distance et il ne supporte pas les tunnels VPN pair à pair. Le SSTP utilise le SSL pour permettre la transmission des données et le cryptage. En utilisant le canal SSL sur le port TCP 443, le SSTP peut passer sur les serveurs proxy et les pare-feux les plus fréquents. Le SSTP est le protocole VPN le plus stable. Cependant, il est difficile à installer pour les novices. Mais une fois qu’il est installé, alors on n’aura plus à le toucher par la suite. La vitesse du SSTP est similaire au PPTP. Le seul problème est que cela prend plus de temps pour établir une connexion avec le SSTP.  Le SSTP utilise le port TCP 443 pour transmettre les données. C’est un excellent protocole VPN. Il est plus stable que le L2TP ou le PPTP. Cependant, il est largement supérieur à ces deux derniers quand il s’agit de sécurité et de cryptage. Les clients SSTP sont authentifiés durant les phases SSL ou PPP. Il utilise le PPP pour supporter la plupart des méthodes d’authentification telle qu’EAP-LTS ou MS-CHAP. Le SSTP est disponible pour Linux, BSD et Windows. Cependant, il n’est pas supporté par les versions antérieures à Windows Vista. Notons aussi qu’on ne peut pas l’utiliser avec des mobiles.

CHOIX DE PROTOCOLE A UTILISER

Le choix d’un protocole dépend de sa vitesse, compatibilité des systèmes d’exploitation, son niveau de sécurité, etc. Voici le tableau qui nous permet de choisir le protocole à utiliser :

 

PPTP

L2TP/IPSec

OpenVPN

SSTP

PPTP est un bon protocole, mais sans plus. En fait, vous devez le choisir si vous privilégiez la vitesse et la facilité d’installation. Mais concernant la sécurité, on peut dire que le PPTP est le plus vulnérable des protocoles VPN.

Le L2TP/IPSec est un excellent protocole VPN, notamment si vous utilisez un VPN sur des mobiles. Sa sécurité est optimale et il est facile à installer.

L’OpenVPN est sans doute le protocole VPN le plus populaire. Il est gratuit et Open Source et il possède tout ce qu’il faut pour bénéficier d’une sécurité maximale.

Le SSTP est un superbe protocole VPN. Il est très stable et son niveau de cryptage est supérieur à tous les autres. Son seul problème est qu’on ne peut pas l’utiliser avec tous les appareils qui supportent le VPN. Mais à part cette exception, le SSTP fournira une performance exceptionnelle à tous les niveaux.

 

 

D’après le tableau on voit que le protocole L2TP/IPSec remplit beaucoup de conditions citées ci-dessus dans ce cas dans la suite de ce tutoriel nous allons l’utiliser pour faire nos travaux pratiques sous « Packet tracert 6 »

LE PROTOCOLE IPSEC

  • Généralité

IPSEC (Internet Protocol Security) est un ensemble de protocoles normalisés et standardisés par l’IETF (Internet Engineering Task Force) pour la confidentialité, l’intégrité et l’authentification pour les échanges sur le réseau Internet. IPSec a été principalement conçu pour sécuriser le protocole IPv6, mais la lenteur de déploiement de ce dernier a imposé une adaptation d’IPSec à l’actuel protocole IPv4. Le protocole IPsec peut être utilisé pour la création des réseaux privés virtuels (VPN). L’apport majeur de cette technique par rapport à d’autres solutions est qu’il s’agit d’une méthode standard conçue dans cet objectif précis, décrite par différentes RFCs (Request For Comment), et donc interopérable. Cette méthode présente les avantages suivants :

- L’économie de bande passante, car la compression des en-têtes des données transmises est prévue par ce standard, de plus, ce dernier ne fait pas appel à de trop lourdes techniques d’encapsulation, comme les tunnels PPP sur lien SSH (Secure Shell).

- La protection des protocoles de bas niveau comme ICMP (Internet Control Message Protocol) et IGMP (Internet Group Management Protocol), RIP(Routing Information Protocole), etc.

- L’évolution continue d’IPSec, vu que les algorithmes de chiffrement et d’authentification sont spécifiés séparément du protocole lui-même. Cette solution présente néanmoins un inconvénient majeur: sa grande complexité rend son implémentation délicate.

  • Fonctionnement

Lors de l'établissement d'une connexion IPsec, plusieurs opérations sont effectuées :

Échange des clés

- un canal d'échange de clés, sur une connexion UDP depuis et vers le port 500 ISAKMP (Internet Security Association and Key Management Protocol). Le protocole IKE (Internet Key Exchange) est chargé de négocier la connexion. Avant qu'une transmission IPsec puisse être possible, IKE est utilisé pour authentifier les deux extrémités d'un tunnel sécurisé en échangeant des clés partagées. Ce protocole permet deux types d'authentifications, PSK (Pre-Shared Key ou secret partagé) pour la génération de clefs de sessions et RSA (Rivest Shamir Adleman) à l'aide de certificats. Ces deux méthodes se distinguent par le fait que l'utilisation d'un certificat signé par une tierce-partie appelée Autorité de certification(CA) assure la non-répudiation. Tandis qu'avec l'utilisation de clefs RSA, une partie peut nier être à l'origine des messages envoyés. IPsec utilise une association de sécurité (Security association) pour dicter comment les parties vont faire usage de AH (Authentication Header) et de l'encapsulation de la charge utile d'un paquet.

- Une association de sécurité (SA) est l'établissement d'information de sécurité partagée entre deux entités de réseau pour soutenir la communication protégée.

Une SA peut être établie par une intervention manuelle ou par ISAKMP.

- ISAKMP est défini comme un cadre pour établir, négocier, modifier et supprimer des SA entre deux parties. En centralisant la gestion des SA, ISAKMP réduit la quantité de fonctionnalité reproduite dans chaque protocole de sécurité. ISAKMP réduit également le nombre d'heures exigé par l'installation de communications, en négociant tous les services simultanément.

  • Transfert des données

Un ou plusieurs canaux de données par lesquels le trafic du réseau privé est véhiculé, deux protocoles sont possibles :

- le protocole n° 51, AH fournit l'intégrité et l'authentification. AH authentifie les paquets en les signant, ce qui assure l'intégrité de l'information. Une signature unique est créée pour chaque paquet envoyé et empêche que l'information soit modifié.

- le protocole n° 50, ESP (Encapsulating Security Payload), en plus de l'authentification et l'intégrité, fournit également la confidentialité par l'entremise de la cryptographie.

  • Mode de fonctionnement

IPsec fonctionne dans un mode transport hôte à hôte ou bien dans un mode tunnel réseau.

  1.  Le mode transport :

Dans le mode transport, ce sont uniquement les données transférées (la partie payload du paquet IP) qui sont chiffrées et/ou authentifiées. Le reste du paquet IP est inchangé et de ce fait le routage des paquets n'est pas modifié. Néanmoins, les adresses IP ne pouvant pas être modifiées sans corrompre le hash de l'en-tête AH généré par IPsec, pour traverser un NAT il faut avoir recours à l'encapsulation NAT-T. Le mode transport est utilisé pour les communications dites hôte à hôte (Host-to-Host).

  1. Le mode tunnel

En mode tunnel, c'est la totalité du paquet IP qui est chiffré et/ou authentifié. Le paquet est ensuite encapsulé dans un nouveau paquet IP avec un nouvel en-tête IP. Au contraire du mode transport, ce mode supporte donc bien la traversée de NAT quand le protocole ESP est utilisé. Le mode tunnel est utilisé pour créer des réseaux privés virtuels (VPN) permettant la communication de réseau à réseau (exemple entre deux sites distants), d'hôte à réseau (exemple accès à distance d'un utilisateur) ou bien d'hôte à hôte (exemple messagerie privée.)

  • Algorithmes cryptographiques

Pour que les réalisations d'IPsec fonctionnent, elles doivent avoir un ou plusieurs algorithmes de sécurité en commun. Les algorithmes de sécurité utilisés pour une association de sécurité ESP ou AH sont déterminés par un mécanisme de négociation, tel que Internet Key Exchange (IKE). Les algorithmes de chiffrement et d'authentification pour IPsec encapsulant le protocole ESP et AH sont :

- HMAC-SHA1-96 (RFC 2404)

- AES-CBC (RFC 3602)

- Triple DES-CBC (RFC 2451)

CONFIGURATION D’UN VPN SUR LES ROUTEURS CISCO AVEC « PACKET TRACERT 6» EN UTILISANT IPSEC

Voici le schéma du réseau à configurer

  • Configuration de base

Nous commençons par configurer notre PC et notre serveur en leur attribuant la bonne configuration réseau (adresse, masque, passerelle). Ensuite la configuration des deux routeurs en mode CLI :

Routeur R1 :

On commence par le nom d’hôte :

Router>enable
Router#configure terminal
Router(config)#hostname R1

Nous configurons ensuite les adresses IP des deux interfaces :

R1(config)#interface FastEthernet 0/0
R1(config-if)#ip address 192.168.0.1 255.255.255.0
R1(config-if)#no shutdown
R1(config-if)#exit
R1(config)#interface FastEthernet 0/1
R1(config-if)#ip address 10.0.0.1 255.255.255.252
R1(config-if)#no shutdown
R1(config-if)#exit

Routeur R2 :

 Le nom d’hôte :

Router>enable
Router#configure terminal
Router(config)#hostname R2

Nous configurons ensuite les adresses IP des deux interfaces :

R2(config)#interface FastEthernet 0/0
R2(config-if)#ip address 10.0.0.2 255.255.255.252
R2(config-if)#no shutdown
R2(config-if)#exit
R2(config)#interface FastEthernet 0/1
R2(config-if)#ip address 172.16.0.1 255.255.0.0
R2(config-if)#no shutdown
R2(config-if)#exit

Nos interfaces sont maintenant configurées, il nous reste à configurer le routage sur les deux routeurs. On a choisi de faire du routage statique.

En mode de configuration des interfaces  sur le routeur 1:

R1(config)#ip route 172.16.0.0 255.255.0.0 10.0.0.2
 Ou une route par défaut
R1(config)#ip route 0.0.0.0 0.0.0.0 10.0.0.2

En mode de configuration des interfaces  sur le routeur 2:

R2(config)#ip route 192.168.0.0 255.255.255.0 10.0.0.1
Ou une route par défaut
R2(config)#ip route 0.0.0.0 0.0.0.0 10.0.0.1

On teste si tout fonctionne. Depuis le PC on essaie de pinger le serveur :

PC>ping 172.16.0.2

Voila tout fonctionne correctement donc le routage marche bien. Passons à la configuration du VPN.

  • Configuration du VPN

Routeur R1 :

On active ensuite les fonctions crypto du routeur 

R1(config)#crypto isakmp enable

Pour qu’il y ait communication IPSec possible, il faut que les 2 peers trouvent un accord sur une politique ISAKMP commune. Une politique ISAKMP contient: l’Algorithme d’encryption, l’Algorithme de hachage,le groupe Diffie-Hellman et la durée de vie du chiffrement de la clé.

R1(config)#crypto isakmp policy 10
R1(config-isakmp)#authentication pre-share
R1(config-isakmp)#encryption 3des
R1(config-isakmp)#hash md5
R1(config-isakmp)#group 5
R1(config-isakmp)#lifetime 3600
R1(config-isakmp)#exit

Ensuite nous devons configurer la clef :

R1(config)#crypto isakmp key mot_de_passe address 10.0.0.2

Configurons les options de transformations des données (transform set):

Le transform set est l’association d’une méthode de chiffrement et d’authentification. Cette phase va permettre durant l’établissement d’une association (basée sur ISAKMP) de se mettre d’accord durant les échanges afin de fixer la méthode de sécurisation des données. Les paramètres du transform set devront être les mêmes des deux côtés. Le transform set va permettre de sécuriser les flux déterminés à partir d’une access-list associée à une crypto map.

R1(config)#crypto ipsec transform-set 50 esp-3des esp-md5-hmac

Il faut configurer une liste d’accès qui définit le trafic à sécuriser.

R1(config)#access-list 101 permit ip 192.168.0.0 0.0.0.255 172.16.0.0 0.0.255.255

Notez qu’ici le masque est écrit en inverse (exemple 255 => 0 et 0 => 255)

Nous configurons ensuite la crypto map qui va associer  l’access-list, le traffic, et la destination :

La carte de cryptage (ou crypto map) permet de lier les SA négociées et la politique de sécurité (SP : Security Policy). En d’autres termes, elle permet de renseigner :

  • L’autre extrémité du tunnel vers lequel le trafic IPSec devrait être envoyé ;
  • L’adresse locale à employer pour le trafic d’IPSec ;
  • Quelle sécurité d’IPSec devrait être appliquée à ce trafic (transform-sets) ;
  • Durée de vie de du tunnel IPSec ;

R1(config)#crypto map nom_de_map 10 ipsec-isakmp
R1(config-crypto-map)#set peer 10.0.0.2
R1(config-crypto-map)#set transform-set 50
R1(config-crypto-map)#set security-association lifetime seconds 900
R1(config-crypto-map)#match address 101
R1(config-crypto-map)#exit

La configuration de R1 est presque terminée nous devons appliquer la crypto map sur l’interface de sortie : dans notre cas FastEthernet 0/1.

R1(config)#interface FastEthernet 0/1
R1(config-if)#crypto map nom_de_map

Un message nous indique que la crypto map fonctionne.

Voila la configuration du routeur 1 est terminée passons au routeur 2

Routeur R2 :

On active ensuite les fonctions crypto du routeur 

R2(config)#crypto isakmp enable

La politique ISAKMP (l’Algorithme d’encryption, l’Algorithme de hachage, le groupe Diffie-Hellman et la durée de vie du chiffrement de la clé).

R2(config)#crypto isakmp policy 10
R2(config-isakmp)#authentication pre-share
R2(config-isakmp)#encryption 3des
R2(config-isakmp)#hash md5
R2(config-isakmp)#group 5
R2(config-isakmp)#lifetime 3600
R2(config-isakmp)#exit

Ensuite nous devons configurer la clef :

R2(config)#crypto isakmp key mot_de_passe address 10.0.0.1

Configurons les options de transformations des données (transform set):

R2(config)#crypto ipsec transform-set 50 esp-3des esp-md5-hmac

Il faut configurer une liste d’accès qui définit le trafic à sécuriser.

R2(config)#access-list 101 permit ip 172.16.0.0 0.0.255.255 192.168.0.0 0.0.0.255

Nous configurons ensuite la crypto map qui va associer  l’access-list, le traffic, et la destination :

R2(config)#crypto map nom_de_map 10 ipsec-isakmp
R2(config-crypto-map)#set peer 10.0.0.1
R2(config-crypto-map)#set transform-set 50
R2(config-crypto-map)#set security-association lifetime seconds 900
R1(config-crypto-map)#match address 101
R2(config-crypto-map)#exit

Appliquons la crypto map sur l’interface de sortie : dans notre cas FastEthernet 0/0.

R2(config)#interface FastEthernet 0/0
R2(config-if)#crypto map nom_de_map

Vérification

On réalise un ping pour voir si la communication n’est pas coupée :

Nous vérifions les informations retournées par le VPN sur R1 :

R1#show crypto ipsec transform-set

Nous vérifions la map vpn pour rappel on a  nommé « nom_de_map » :

R1#show crypto map

On vérifie les opérations d’IPsec :

R1#show crypto ipsec sa

Pour finir on vérifie les opérations d’Isakmp :

R1#show crypto isakmp sa

Voila en tout comment configurer un VPN sous “packet tracert 6”

Merci à mes collègues de classe qui m'ont aidé à réaliser ce tutoriel en particuliers Prestige et Nellie-vie. Je vous souhaite bonne fête de nouvel an laugh




Tony NGUEREZA 30 Déc 2015, 02h59

Aucun commentaire n'a encore été ajouté soyez le premier a ajouté un commentaire

Vous n'êtes pas connecter veuillez vous connecter ou créer gratuitement un compte pour poster des commentaires

Vous êtes ici :
Accueil Tutoriel Sécurité Informatique Les Réseaux privés virtuels (VPN)