Implémenter les VPNs ( Virtual Private Networks)
Concepts But et fonctionnement de types de VPN But et fonctionnement des VPN GRE Composants et fonctionnement des VPNs IPSec Configuration et vérification de VPN IPSec site à site avec des clés pré-partagées en utilisant la CLI Configuration et vérification de VPN IPSec site à site avec des clés pré-partagées en utilisant le SDM Configuration et vérification d'un VPN d'accès distant
Objectifs A la fin de ce cours, les participants seront capables de: Décrire de le but et le fonctionnement des VPNs Différencier les différents types de VPNs Identifier la ligne de produits VPN Cisco et les fonctionnalités de sécurité de chacun de ces produits Configurer un tunnel VPN GRE site à site Décrire le protocole IPSec et ses fonctions de base Faire la différence entre AH et ESP Décrire les modes et le protocole IKE Décrire les cinq étapes du fonctionnement d'IPSec
Objectifs Décrire comment préparer IPSec en s'assurant que les ACLs sont compatibles avec IPSec Configurer les stratégies IKE en utilisant la CLI Configurer les trasform sets IPSec en utilisant la CLI Configurer les crypto ACLs en utilisant la CLI Configurer et appliquer une crypto map en utilisant la CLI Décrire comment vérifier et résoudre les problèmes de configuration d'IPSec Décrire comment configurer IPSec en utilisant SDM Configurer un VPN site à site en utilisant l'assistant Quick Setup VPN du SDM Configurer un VPN site à site en utilisant l'assistant VPN du SDM
Objectifs Vérifier, superviser et résoudre les problèmes de VPNs en utilisant le SDM Décrire comment un nombre croissant d'entreprises offrent des options de télécommunications à leurs employés De faire la différence entre des solutions VPN IPSec d'accès distant et des VPNs SSL Décrire comment SSL est utilisé pour établir une connexion VPN sécurisée Décrire la fonctionnalité Cisco Easy VPN Configurer un serveur VPN en utilisant le SDM Connecter un client VPN en utilisant le logiciel client VPN Cisco
C'est quoi un VPN? Réseau d'entreprise Partenaire Commercial avec Cisco Router Travailleur Mobile avec Client VPN Cisco CSA VPN Internet SOHO avec Routeur Cisco DSL Pare-feu Réseau d'entreprise VPN WAN Virtual: Les informations d'un réseau privé sont transportées dans un tunnel sur un réseau public. Private: Le trafic est crypté pour garder la confidentialité des données. VPN Site Régional VPN avec Routeur ISR Cisco
SOHO avec Routeur Cisco DSL VPN de couche 3 IPSec IPSec VPN Internet SOHO avec Routeur Cisco DSL Generic routing encapsulation (GRE) Multiprotocol Label Switching (MPLS) IPSec
Types de réseaux VPN VPNs d'accès distant VPNs Site à Site Internet Partenaire Cisco Routeur DSL VPNs d'accès distant Travailleur Mobile avec client VPN Cisco CSA MARS VPN Internet Pare-feu SOHO avec Routeur Cisco DSL VPNs Site à Site VPN IPS WAN VPN Iron Port CSA Site régional VPN avec routeur Cisco ISR CSA CSA CSA CSA CSA Serveur Web Serveur Email DNS
VPN Site à Site MARS VPN Iron Port Pare-feu IPS DNS CSA Internet WAN Les hosts transmettent et reçoivent du trafic TCP/IP au travers d'une passerelle VPN Partenaire Cisco Routeur DSL SOHO avec Routeur Cisco DSL VPNs Site à Site Site régional VPN avec routeur Cisco ISR Serveur Web Serveur Email
VPNs d'accès distant VPNs d'accès distant Internet Travailleur Mobile avec client VPN Cisco CSA MARS Internet Pare-feu VPN IPS Iron Port CSA CSA CSA CSA CSA CSA Serveur Web Serveur Email DNS
Dans un VPN d'accès distant chaque host à un logiciel Client VPN Cisco R1 R1-vpn-cluster.span.com Dans un VPN d'accès distant chaque host à un logiciel Client VPN Cisco
VPN SSL IOS Cisco Fournit une connectivité d'accès distant depuis tout host possédant un accès internet Utilise un navigateur Web et un cryptage SSL Il y a deux modes d'accès: Sans client Client léger
Famille de produits VPN Cisco VPN d'Accès Distant VPN Site à Site Routeur Cisco avec capacité VPN Rôle Secondaire Rôle Primaire Cisco PIX 500 Series Security Appliances Cisco ASA 5500 Series Adaptive Security Appliances Cisco VPN 3000 Series Concentrators Routeur personnel
Routeurs Cisco Optimisés pour du VPN Routeur Cisco Site distant Routeur Cisco Site Central Internet Routeur Cisco Site Régional Fonctionnalités du VPN: VPN Voix et vidéo validés (V3PN) Secours IPSec stateful DMVPN Intégration IPSec et Multiprotocol Label Switching (MPLS) Cisco Easy VPN Routeur Cisco SOHO
Extranet Business-to-Business Cisco ASA 5500 Series Adaptive Security Appliances Site Central Site Distant Internet Intranet Utilisateur mobile Extranet Business-to-Business Plateforme flexible Clustering Résilient Cisco Easy VPN VPN Cisco automatisé VPN SSL IOS Cisco Infrastructure VPN pour des applications nouvelles Administration basée sur le web intégrée
Client VPN Cisco AnyConnect Clients IPSec Un client sans-fil chargé sur un PDA PDA Certicom Client VPN IPsec Internet Routeur avec Pare-feu et Client VPN Logiciel Client VPN Cisco Logiciel chargé sur un PC Agence Une appliance réseau qui connecte des LANs SOHO vers le VPN Client VPN Cisco AnyConnect Internet Fournit aux utilisateurs distants des connexions VPN sécurisées
Modules matériel d'Accélération AIM Cisco IPSec VPN Shared Port Adapter (SPA) Cisco PIX VPN Accelerator Card+ (VAC+) Enhanced Scalable Encryption Processing (SEP-E) Cisco IPsec VPN SPA
Présentation VPN GRE Tunnel GRE Réseau de Transport IP Protocole de tunneling de couche 3 Encapsule un grande variété de types de protocoles dans des tunnels IP Crée une liaison point à point virtuelle entre routeurs à des extrémités à travers un inter-réseau IP Utilise le transport IP Utilise un en-tête additionnel pour supporter tout autre protocole de couche 3 comme charge utile ( par exemple IP, IPX, AppleTalk)
Identifie la présence de champs d'en-tête optionnels Encapsulation Encapsulé dans GRE Paquet IP original IP GRE IP TCP Données Identifie le type de charge utile: EtherType 0x800 pour IP En-tête GRE Flags Type de Protocole 1 2 3 Identifie la présence de champs d'en-tête optionnels
Configurer un tunnel GRE Réseau de Transport IP 10.1.1.1/30 10.1.1.2/30 192.168.5.5 Crée une interface tunnel 192.168.3.3 Affecte une adresse IP au tunnel R1(config)# interface tunnel 0 R1(config–if)# ip address 10.1.1.1 255.255.255.252 R1(config–if)# tunnel source serial 0/0 R1(config–if)# tunnel destination 192.168.5.5 R1(config–if)# tunnel mode gre ip R1(config–if)# R2(config)# interface tunnel 0 R2(config–if)# ip address 10.1.1.2 255.255.255.252 R2(config–if)# tunnel source serial 0/0 R2(config–if)# tunnel destination 192.168.3.3 R2(config–if)# tunnel mode gre ip R2(config–if)# Identifie la source de l'interface tunnel Identifie la destination du tunnel Configure le protocole encapsulé Le tunnel GRE est "up" et le protocole est "up" si: - La source et la destination du tunnel sont configurées - La destination du tunnel est dans la table de routage - Les "Keepalive" GRE sont reçus GRE est le mode tunnel par défaut
Utiliser GRE GRE ne fournit pas de cryptage IP Seul? Trafic utilisateur Oui Non Unicast Seul? Utilisez un VPN IPsec Utilisez un Tunnel GRE Non Oui GRE ne fournit pas de cryptage
Topologie IPSec Site Central Partenaire Commercial avec Routeur Cisco IPsec Routeur de Périmètre Pare-feu Cisco Concentrateur VPN POP Site Régional avec Pare-feu Cisco ASA Travailleur Mobile avec Client VPN Cisco sur un Ordinateur portable Entreprise SOHO avec Routeur Cisco DSL Fonctionne au niveau de la couche réseau, protège et authentifie les paquets IP. C'est un cadre ouvert de standards qui est indépendant des algorithmes. Il fournit la confidentialité et l'intégrité des données ainsi que l'authentification de leur origine..
Cadre IPSec Cadre IPSec Choix Protocole IPSec Confidentialité ESP +AH AH DES 3 AES MD5 SHA PSK RSA DH1 DH2 DH5 DH7 SEAL Cadre IPSec Protocole IPSec Confidentialité Intégrité Authentification Clé secrète partagée Choix
Confidentialité Cadre IPSec Choix Confidentialité Protocole IPSec ESP +AH AH DES AES MD5 SHA PSK RSA DH1 DH2 DH5 DH7 SEAL 3 Cadre IPSec Protocole IPSec Confidentialité Intégrité Authentification Clé secrète partagée Choix Moins sur Plus sur Clé: 56-bits Clé: 168 bits Clés: 128-bits 192 bits 256-bits Clé : 160-bits
Intégrité Cadre IPSec Choix Confidentialité Intégrité Protocole IPSec ESP +AH AH DES AES MD5 SHA PSK RSA DH1 DH2 DH5 DH7 SEAL 3 Cadre IPSec Protocole IPSec Confidentialité Intégrité Authentification Clé secrète partagée Choix Moins sur Plus sur Clé: 128 bits Clé : 160-bits
Authentification Cadre IPSec Choix Confidentialité Intégrité ESP +AH AH DES AES MD5 SHA PSK RSA DH1 DH2 DH5 DH7 SEAL 3 Cadre IPSec Protocole IPSec Confidentialité Intégrité Authentification Clé secrète partagée Choix
Clé Pré-partagée (PSK) Extrémité locale Extrémité distante Clé d'Auth +ID Information Clé d'Auth +ID Hash Information Internet Hash Hash d'Authentification (hash_L) Hash Calculé = Hash reçu (hash_L) Au niveau de l'équipement local, la clé d'authentification et l'information d'identité (information propre à l'équipement ) sont transmis au moyen d'un algorithme de hachage (hash_L). Une authentification unidirectionnelle est établie en transmettant hash_L vers l'équipement distant. Si l'équipement distant peut créer le même hash de manière indépendante, l'équipement local est authentifié. Le processus d'authentification continue dans l'autre sens. L'équipement distant combine son information d'identité avec la clé d'authentification pré-partagée par l'algorithme de hachage et transmet le résultat hash_R vers l'équipement local. Si l'équipement local peut créer le même hash de manière indépendante, l'équipement distant est authentifié.
Signatures RSA Extrémité locale Extrémité distante Information Clé d'Auth Clé d'Auth +ID +ID Information Information Signature Numérique Hash Hash 2 Clé privée Hash_L Internet Hash 1 = Algorithme de Décryptage Algorithme de Cryptage Hash_L Certificat Numérique Signature Numérique Certificat Numérique + Clé publique Au niveau de l'équipement local, la clé d'authentification et l'information d'identité (information propre à l'équipement ) sont combinées pour former Hash_L. Hash_L est crypté en utilisant la clé privée de l'équipement local pour créer une signature numérique. La signature numérique et le certificat numérique sont acheminés vers l'équipement distant. La clé publique est utilisée pour décrypter la signature est incluse dans le certificat numérique. L'équipement distant vérifie que la signature numérique en la décryptant avec la clé publique. Le résultat est Hash_L. L'équipement distant crée un hash de manière indépendante et stocke cette information. Si ce Hash calculé est égal au Hash_L décrypté alors l'équipement local est authentifié. Après que l'équipement distant ait authentifié l'équipement local, le processus d'authentification débute dans l'autre sens.
Echange Sécurisé de clés ESP +AH AH DES AES MD5 SHA PSK RSA DH1 DH2 DH5 DH7 SEAL 3 Cadre IPSec Protocole IPSec Confidentialité Intégrité Authentification Diffie-Hellman Choix
La charge utile est cryptée Protocoles dans le cadre d'IPSec AH (Authentication Header) Toutes les données passent en clair. R1 R2 AH fournit: Authentification Intégrité ESP (Encapsulating Security Payload) La charge utile est cryptée R1 ESP fournit: Cryptage Authentification Intégrité R2
En-tête d'Authentification 1. L'en-tête IP et la charge utile sont hachés En-tête IP + Données + Clé R2 Hash En-tête IP AH Données En-tête IP + Données + Clé Données d'authentification (00ABCDEF) 3. Le nouveau paquet est transmis vers le routeur extrémité IPSec Internet Hash En-tête IP AH Données Hash calculé (00ABCDEF) Hash Reçu (00ABCDEF) R1 = 4. Le routeur distant calcule un hash avec l'en-tête IP et la charge utile. Il compare ce hash calculé avec le hash extrait du AH reçu 2. Le hash construit un nouvel en-tête AH qui est inséré après l'en-tête IP original
La charge utile est cryptée ESP La charge utile est cryptée R1 R2 Choix MD5 SHA Intégrité PSK RSA Authentification DES 3 DES AES SEAL Confidentialité Clé pré-partagée DH1 DH2 DH5 DH7
Fonction de ESP Crypté Authentifié R1 R2 Internet En-tête IP Données Trailer ESP Auth Nouvel en-tête IP En -tête ESP En-tête IP Données Crypté Authentifié Fournit la confidentialité avec cryptage Fournit l'intégrité avec l'authentification
Les modes Mode Transport Mode Tunnel Crypté Authentifié Crypté En-tête IP Données Données originales avant la sélection du mode du protocole IPSec Mode Transport Crypté En-tête IP En-tête ESP Données ESP Trailer ESP Auth Authentifié Mode Tunnel Crypté Nouvel en-tête IP En-tête ESP En-tête IP Données ESP Trailer ESP Auth Authentifié
Associations de Sécurité Cadre IPSec Choix ESP +AH AH DES 3 AES MD5 SHA PSK RSA DH1 DH2 DH5 DH7 SEAL Protocole IPSec Confidentialité Intégrité Authentification Clé secrète partagée Les Paramètres IPSec sont configurés avec IKE
Phases IKE Host B Host A R1 R2 10.0.1.3 10.0.2.3 Echange IKE Phase 1 Négociation de de la stratégie IKE Echange de clés DH Vérifie l'identité de l' autre extrémité Policy 10 DES MD5 pre-share DH1 lifetime Policy 15 DES MD5 pre-share DH1 lifetime Négociation de la stratégie IKE Echange de clés DH Vérifie l'identité de l' autre extrémité Echange IKE Phase 2 Négocie la stratégie IPsec Négocie la stratégie IPsec
Ensembles de stratégies IKE IKE Phase 1 – Premier Echange Host B Host A R1 R2 Négocie les propositions IKE 10.0.1.3 10.0.2.3 Policy 10 DES MD5 pre-share DH1 lifetime Policy 15 DES MD5 pre-share DH1 lifetime Ensembles de stratégies IKE Policy 20 3DES SHA pre-share DH1 lifetime Négocie des stratégies IKE identiques pour protéger l'échange IKE
IKE Phase 1 – Second Echange Création des clés Diffie-Hellman Valeur Privée, XA Valeur Publique, YA Valeur Privée, XB Valeur Publique, YB Alice YA = g mod p XA YB = g mod p XB Bob YA YB XA XB (YB ) mod p = K (YA ) mod p = K
Authentification de l'extrémité IKE Phase 1 – Troisième Echange Authentifier l'extrémité Site Distant Site Central Internet Serveurs Authentification de l'extrémité Méthodes d'authentification Clés pré-partagées Signatures RSA Nonces RSA cryptées Une association de sécurité (SA) IKE bidirectionnelle est établie.
IKE Phase 1 – Mode "Aggressive" Host A Host B R1 R2 10.0.2.3 10.0.1.3 Echange IKE Phase 1 Mode "Aggressive" Confirme la stratégie IKE , calcule le secret partagé et transmet la clé DH de R2 Authentifie l'autre extrémité et passe en Phase 2. Transmet la stratégie IKE et la clé DH de R1 Calcule le secret partagé, vérifie l’identité de l’extrémité et envoie la confirmation à l’autre extrémité Policy 10 DES MD5 pre-share DH1 lifetime Policy 15 DES MD5 pre-share DH1 lifetime Echange IKE Phase 2 Négocie la stratégie IPsec Négocie la stratégie IPsec
Négocie les paramètres IKE Phase 2 Host A Host B R1 R2 10.0.1.3 Négocie les paramètres de sécurité IPSec 10.0.2.3 IKE négocie des stratégies IPSec qui correspondent. Quand la négociation réussit, des associations de sécurité IPsec unidirectionnelles (SA) sont établies pour chaque combinaison de protocole et d'algorithme.
Négociation du VPN IPSec Host A Host B 10.0.1.3 10.0.2.3 R1 R2 Le Host A trafic du trafic à destination du Host B. R1 et R2 négocient une session IKE Phase 1. IKE SA IKE Phase 1 IKE SA R1 et R2 négocient une session IKE Phase 2. IPsec SA IKE Phase 2 IPsec SA Des informations sont échangées via le tunnel IPsec. Tunnel IPsec Le tunnel IPSec est fermé.
Configuration d' IPsec Tâches de Configuration d'IPsec: Tâche 1: S'assurer que les ACLs sont compatibles avec IPsec. Tâche 2: Créer la stratégie ISAKMP (IKE). Tâche 3: Configurer le "transform set" IPsec. Tâche 4: Créer une crypto ACL. Tâche 5: Créer et appliquer la crypto map.
Tâche 1 Configurer des ACLs Compatibles AH ESP IKE Site 1 Site 2 10.0.1.0/24 10.0.2.3 10.0.1.3 10.0.2.0/24 R1 R2 Internet S0/0/0 172.30.1.2 S0/0/0 172.30.2.2 Assure que le trafic pour les protocoles 50 (ESP), 51 (AH) et le port UDP 500 (ISAKMP) ne sont pas bloqués par des ACLs entrantes sur des interfaces utilisées par IPsec.
Permettre le Trafic Site 1 Site 2 Internet AH ESP IKE 10.0.1.0/24 10.0.2.0/24 10.0.1.3 R1 R2 10.0.2.3 Internet S0/0/0 172.30.1.2 S0/0/0 172.30.2.2 R1(config)# access-list 102 permit ahp host 172.30.2.2 host 172.30.1.2 R1(config)# access-list 102 permit esp host 172.30.2.2 host 172.30.1.2 R1(config)# access-list 102 permit udp host 172.30.2.2 host 172.30.1.2 eq isakmp R1(config)# R1(config)# interface Serial0/0/0 R1(config-if)# ip address 172.30.1.2 255.255.255.0 R1(config-if)# ip access-group 102 in ! R1(config)# exit R1# R1# show access-lists access-list 102 permit ahp host 172.30.2.2 host 172.30.1.2 access-list 102 permit esp host 172.30.2.2 host 172.30.1.2 access-list 102 permit udp host 172.30.2.2 host 172.30.1.2 eq isakmp
Tâche 2 Configurer IKE Site 2 Site 1 Internet router(config)# 10.0.2.0/24 10.0.1.0/24 10.0.1.3 R1 R2 10.0.2.3 Internet Site 2 Site 1 Policy 110 DES MD5 Preshare 86400 DH1 Tunnel router(config)# crypto isakmp policy priority Defines the parameters within the IKE policy R1(config)# crypto isakmp policy 110 R1(config–isakmp)# authentication pre-share R1(config–isakmp)# encryption des R1(config–isakmp)# group 1 R1(config–isakmp)# hash md5 R1(config–isakmp)# lifetime 86400
Paramètres ISAKMP Paramètre Mot-clé Valeurs Acceptées Par défaut Description encryption des 3des aes aes 192 aes 256 56-bit Data Encryption Standard Triple DES 128-bit AES 192-bit AES 256-bit AES Algorithme de cryptage de message hash sha md5 SHA-1 (HMAC variante) MD5 (HMAC variante) Algorithme d'intégrité message (Hash) authentication pre-share rsa-encr rsa-sig Clés pré-partagées Nonces RSA cryptées Signatures RSA Méthode d'authentification group 1 2 5 768-bit Diffie-Hellman (DH) 1024-bit DH 1536-bit DH Paramètres d'échange de clés (Identifieur de groupe DH ) lifetime seconds Spécifie un nombre de secondes 86 400 sec (un jour) Durée de vie des SA ISAKMP
Stratégies Multiples Internet Site 2 Site 1 10.0.1.0/24 10.0.2.0/24 10.0.1.3 R1 R2 10.0.2.3 Internet Site 2 Site 1 R1(config)# R2(config)# crypto isakmp policy 100 hash md5 authentication pre-share ! crypto isakmp policy 200 hash sha authentication rsa-sig crypto isakmp policy 300 crypto isakmp policy 100 hash md5 authentication pre-share ! crypto isakmp policy 200 hash sha authentication rsa-sig crypto isakmp policy 300
Négociation de stratégie R1 tente d'établir un tunnel VPN avec R2 en transmettant ses paramètres de stratégie IKE Site 2 Site 1 10.0.1.0/24 10.0.2.0/24 10.0.2.3 10.0.1.3 R1 R2 Internet Policy 110 Preshare 3DES SHA DH2 43200 R2 doit avoir une stratégie ISAKMP configurée avec les mêmes paramètres. Tunnel R1(config)# crypto isakmp policy 110 R1(config–isakmp)# authentication pre-share R1(config–isakmp)# encryption 3des R1(config–isakmp)# group 2 R1(config–isakmp)# hash sha R1(config–isakmp)# lifetime 43200 R2(config)# crypto isakmp policy 100 R2(config–isakmp)# authentication pre-share R2(config–isakmp)# encryption 3des R2(config–isakmp)# group 2 R2(config–isakmp)# hash sha R2(config–isakmp)# lifetime 43200
Commande Crypto ISAKMP Key router(config)# crypto isakmp key keystring address peer-address router(config)# crypto isakmp key keystring hostname hostname Paramètre Description keystring Ce paramètre spécifie la clé pré-partagée. Vous pouvez utiliser toute combinaison de caractères alphanumériques (jusqu'à 128 octets). Cette clé pré-partagée doit être la même aux deux extrémités. peer-address Ce paramètre spécifie l'adresse IP de l'extrémité distante. hostname Ce paramètre spécifie le nom de host de l'extrémité distante. C'est le nom de host concaténé avec son nom de domaine (par exemple, myhost.domain.com). Les paramètres peer-address ou peer-hostname doivent être utilisés de manière cohérente entre les deux extrémités. Si le paramètre peer-hostname est utilisé alors la commande crypto isakmp identity hostname doit aussi être configurée.
Exemple de configuration 10.0.1.3 10.0.2.3 10.0.1.0/24 10.0.2.0/24 R1 R2 Internet Site 1 Site 2 R1(config)# crypto isakmp policy 110 R1(config–isakmp)# authentication pre-share R1(config–isakmp)# encryption 3des R1(config–isakmp)# group 2 R1(config–isakmp)# hash sha R1(config–isakmp)# lifetime 43200 R1(config-isakmp)# exit R1(config)# crypto isakmp key cisco123 address 172.30.2.2 R1(config)# Note: Les clés cisco1234 sont identiques. L'identité par adresse est spécifiée. Les stratégies ISAKMP sont compatibles. Les valeurs par défaut n'ont pas besoin d'être configurées R2(config)# crypto isakmp policy 110 R2(config–isakmp)# authentication pre-share R2(config–isakmp)# encryption 3des R2(config–isakmp)# group 2 R2(config–isakmp)# hash sha R2(config–isakmp)# lifetime 43200 R2(config-isakmp)# exit R2(config)# crypto isakmp key cisco123 address 172.30.1.2 R2(config)#
Tâche 3 Configurer le "Transform Set" router(config)# crypto ipsec transform–set transform-set-name transform1 [transform2] [transform3]] Paramètres Description transform-set-name Ce paramètre spécifie le nom du transform set à créer (ou modifier). transform1,transform2, transform3 Type de transform set. Vous pouvez spécifier jusqu'à quatre "transforms": un pour Authentication Header (AH), un pour le cryptage dans Encapsulating Security Payload (ESP), un pour l'authentification ESP. Ces "transforms" définissent les protocoles et les algorithmes de IPSec). Un transform set est une combinaison de "transforms" IPSec qui mettent en œuvre une stratégie de sécurité pour le trafic.
Les Transform Sets Host A Host B R1 172.30.1.2 R2 Internet 10.0.1.3 10.0.2.3 172.30.2.2 transform-set ALPHA esp-3des tunnel 1 transform-set RED esp-des tunnel 2 3 transform-set BETA esp-des, esp-md5-hmac tunnel 4 transform-set BLUE esp-des, ah-sha-hmac tunnel 5 6 7 transform-set CHARLIE esp-3des, esp-sha-hmac tunnel transform-set YELLOW esp-3des, esp-sha-hmac tunnel 8 Match 9 Les "transform sets" sont négociés dans la phase 2 de IKE. Il y a correspondance à la neuvième tentative (CHARLIE - YELLOW).
Exemple de configuration Site 1 Site 2 R1 172.30.1.2 R2 Internet A B 10.0.1.3 10.0.2.3 172.30.2.2 R1(config)# crypto isakmp key cisco123 address 172.30.2.2 R1(config)# crypto ipsec transform-set MYSET esp-aes 128 R1(cfg-crypto-trans)# exit R1(config)# Note: Les extrémités doivent posséder au moins un transform set commun avec les mêmes paramètres. Les noms ont une signification locale. R2(config)# crypto isakmp key cisco123 address 172.30.1.2 R2(config)#crypto ipsec transform-set OTHERSET esp-aes 128 R2(cfg-crypto-trans)# exit
Tâche 4 Configurer les Crypto ACLs Host A R1 Internet Trafic sortant Cryptage Bypass (en clair) Trafic entrant Permis Bypass Eliminé (En clair) Le trafic sortant indique si le flux de données doit être protégé par IPsec. Le trafic en entrée est filtré. Le trafic qui doit être protégé par IPSec est éliminé s'il n'est crypté.
source and destination Syntaxe de commande Site 1 Site 2 10.0.1.0/24 10.0.2.0/24 R1 R2 10.0.1.3 10.0.2.3 Internet S0/0/0 172.30.1.2 S0/0/0 172.30.2.2 router(config)# access-list access-list-number [dynamic dynamic-name [timeout minutes]]{deny | permit} protocol source source-wildcard destination destination-wildcard [precedence precedence] [tos tos] [log] access-list access-list-number Parameters access-list access-list-number Command Description permit This option causes all IP traffic that matches the specified conditions to be protected by cryptography, using the policy described by the corresponding crypto map entry. deny This option instructs the router to route traffic in plaintext. protocol This option specifies which traffic to protect by cryptography based on the protocol, such as TCP, UDP, or ICMP. If the protocol is IP, then all traffic IP traffic that matches that permit statement is encrypted. source and destination If the ACL statement is a permit statement, these are the networks, subnets, or hosts between which traffic should be protected. If the ACL statement is a deny statement, then the traffic between the specified source and destination is sent in plaintext.
Crypto ACLs symétriques Site 2 Site 1 10.0.2.0/24 10.0.1.0/24 R1 R2 10.0.1.3 10.0.2.3 Internet S0/0/0 172.30.2.2 S0/0/0 172.30.1.2 Appliqué au trafic sortant sur S0/0/0 de R1: R1(config)# access-list 110 permit tcp 10.0.1.0 0.0.0.255 10.0.2.0 0.0.0.255 (Evaluation du trafic source entrant: 10.0.2.0, destination: 10.0.1.0) Appliqué au trafic sortant sur S0/0/0 de R2: R2(config)# access-list 101 permit tcp 10.0.2.0 0.0.0.255 10.0.1.0 0.0.0.255 (Evaluation du trafic source entrant: 10.0.1.0, destination: 10.0.2.0)
Tâche 5 Appliquer la Crypto Map Site 1 Site 2 R1 R2 Internet 10.0.1.3 10.0.2.3 Les Crypto maps définissent: L'ACL à utiliser Extrémités VPN distantes Le Transform set à utiliser Méthode de gestion de clé Durée de vie des SAs Trafic crypté Interface routeur ou Sous-interface
Commande Crypto Map router(config)# crypto map map-name seq-num ipsec-manual crypto map map-name seq-num ipsec-isakmp [dynamic dynamic-map-name] Paramètres Description map-name Définit le nom affecté à la crypto map à créer ou à éditer. seq-num Numéro affecté à l'entrée de la crypto map. ipsec-manual Indique que ISAKMP ne sera pas utilisé pour établir les SAs IPSec. ipsec-isakmp Indique que ISAKMP sera utilisé pour établir les SAs IPSec. cisco (Valeur par défaut) Indique que CET sera utilisé au lieur d'IPSec pour protéger le trafic. dynamic (Optionnel) Spécifie que cette entrée de crypto map entry fait référence à une crypto map statique existante. Si ce mot clé est utilisé, aucune des commandes de configuration n'est disponible. dynamic-map-name (Optionnel) Spécifies le nom de la crypto map dynamique qui doit être utilisée comme modèle de stratégie.
Configuration de Crypto Map Commandes Description set Utilisé avec les commandes peer, pfs, transform-set et security-association. peer [hostname | ip-address] Spécifie l'adresse de l'extrémité IPsec par adresse ou nom de host. pfs [group1 | group2] Spécifie DH Group 1 or Group 2. transform-set [set_name(s)] Spécifie la liste des transform sets par ordre de priorité. Quand le paramètre ipsec-manual est utilisé avec la commande crypto map un seul transform set peut être défini. Quand le paramètre ipsec-isakmp ou dynamic est utilisé avec la commande crypto map, jusqu'à six transform sets peuvent être spécifiés. security-association lifetime Fixe la durée de vie des SA en secondes ou en kilo-octets. match address [access-list-id | name] Identifie l'ACL étendue par un nom ou un numéro. La valeur doit correspondre avec le numéro ou le nom d'une liste d'accès d'une ACL étendue déjà définie. no Utilisée pour effacer les commandes entrées avec la commande set. exit Sortie du mode de configuration crypto map.
Exemple de configuration Site 1 Site 2 10.0.1.0/24 10.0.2.0/24 R1 Internet R2 10.0.2.3 10.0.1.3 S0/0/0 172.30.2.2 R3 S0/0/0 172.30.3.2 R1(config)# crypto map MYMAP 10 ipsec-isakmp R1(config-crypto-map)# match address 110 R1(config-crypto-map)# set peer 172.30.2.2 default R1(config-crypto-map)# set peer 172.30.3.2 R1(config-crypto-map)# set pfs group1 R1(config-crypto-map)# set transform-set mine R1(config-crypto-map)# set security-association lifetime seconds 86400 Plusieurs extrémités peuvent être spécifiées pour avoir de la redondance.
Affecter la Crypto Map Applique la crypto map à l'interface de sortie Site 1 Site 2 10.0.1.0/24 10.0.2.0/24 R1 R2 10.0.1.3 10.0.2.3 Internet S0/0/0 172.30.1.2 S0/0/0 172.30.2.2 MYMAP router(config-if)# crypto map map-name R1(config)# interface serial0/0/0 R1(config-if)# crypto map MYMAP Applique la crypto map à l'interface de sortie Active la stratégie IPsec
Commandes de la CLI Commande show Description show crypto map Affiche les crypto maps configurés show crypto isakmp policy Affiche les stratégies IKE configurées show crypto ipsec sa Affichage les tunnels IPsec établis show crypto ipsec transform-set Affiche les transform sets IPSec configurés debug crypto isakmp Debug des événements IKE debug crypto ipsec Debug des événements IPsec
Commande show crypto map Site 1 Site 2 10.0.1.0/24 10.0.2.0/24 R1 R2 10.0.1.3 10.0.2.3 Internet S0/0/0 172.30.1.2 S0/0/0 172.30.2.2 show crypto map Affiche les crypto maps configurées router# R1# show crypto map Crypto Map “MYMAP" 10 ipsec-isakmp Peer = 172.30.2.2 Extended IP access list 110 access-list 102 permit ip host 10.0.1.3 host 10.0.2.3 Current peer: 172.30.2.2 Security association lifetime: 4608000 kilobytes/3600 seconds PFS (Y/N): N Transform sets={ MYSET, }
Commande show crypto isakmp policy Site 1 Site 2 10.0.1.0/24 10.0.2.0/24 R1 R2 10.0.1.3 10.0.2.3 Internet S0/0/0 172.30.1.2 S0/0/0 172.30.2.2 router# show crypto isakmp policy R1# show crypto isakmp policy Protection suite of priority 110 encryption algorithm: 3DES - Data Encryption Standard (168 bit keys). hash algorithm: Secure Hash Standard authentication method: preshared Diffie-Hellman group: #2 (1024 bit) lifetime: 86400 seconds, no volume limit Default protection suite encryption algorithm: DES - Data Encryption Standard (56 bit keys). authentication method: Rivest-Shamir-Adleman Signature Diffie-Hellman group: #1 (768 bit)
Commande show crypto ipsec transform-set Site 1 Site 2 10.0.1.0/24 10.0.2.0/24 R1 R2 10.0.1.3 10.0.2.3 Internet S0/0/0 172.30.1.2 S0/0/0 172.30.2.2 show crypto ipsec transform-set Affiche les transform sets définis R1# show crypto ipsec transform-set Transform set AES_SHA: { esp-128-aes esp-sha-hmac } will negotiate = { Tunnel, },
Command show crypto ipsec sa Site 1 Site 2 10.0.1.0/24 10.0.2.0/24 R1 R2 10.0.1.3 10.0.2.3 Internet S0/0/0 172.30.1.2 S0/0/0 172.30.2.2 R1# show crypto ipsec sa Interface: Serial0/0/0 Crypto map tag: MYMAP, local addr. 172.30.1.2 local ident (addr/mask/prot/port): (172.30.1.2/255.255.255.255/0/0) remote ident (addr/mask/prot/port): (172.30.2.2/255.255.255.255/0/0) current_peer: 172.30.2.2 PERMIT, flacs={origin_is_acl,} #pkts encaps: 21, #pkts encrypt: 21, #pkts digest 0 #pkts decaps: 21, #pkts decrypt: 21, #pkts verify 0 #send errors 0, #recv errors 0 local crypto endpt.: 172.30.1.2, remote crypto endpt.: 172.30.2.2 path mtu 1500, media mtu 1500 current outbound spi: 8AE1C9C
Commande debug crypto isakmp router# debug crypto isakmp 1d00h: ISAKMP (0:1): atts are not acceptable. Next payload is 0 1d00h: ISAKMP (0:1); no offers accepted! 1d00h: ISAKMP (0:1): SA not acceptable! 1d00h: %CRYPTO-6-IKMP_MODE_FAILURE: Processing of Main Mode failed with peer at 172.30.2.2 Ceci est un exemple du message d'erreur Main Mode. Le message d'erreur suggère que la stratégie Phase I n'a aucune correspondance aux deux extrémités. Vérifier la stratégie Phase I aux deux extrémités et assurez-vous que tous les attributs correspondent.
Démarrer un assistant VPN 1. Cliquer sur Configure dans le menu principal 1 3 3. Choisissez un assistant 2 2. Cliquez sur le bouton VPN pour ouvrir la page VPN. 4. Cliquez le type d'implémentation VPN 4 5 5. Cliquez sur le bouton Launch Selected Task
Composants du VPN Assistants VPN Composants VPN Paramètres VPN SSL Composants IPSec individuels utilisés pour construire les VPNs Assistants VPN Paramètres VPN SSL Paramètres Easy VPN Paramètres de clé Publique et certificat Cryptage des clés VPN Composants VPN
Configurer un VPN Site à Site Choisir Configure > VPN > Site-to-Site VPN Cliquer sur Create a Site-to-Site VPN Cliquer sur le bouton Launch the Selected Task
Assistant VPN Site à Site Choisir le mode Quick Setup Cliquer sur Next pour procéder à la configuration des paramètres.
Configuration rapide Configure les paramètres Interface à utiliser Information d'identité de l'autre extrémité Méthode d'authentification Trafic à crypter
Vérification des Paramètres
Assistant pas à pas Choisir l'interface de sortie qui est utilisée pour connecter l'extrémité IPSec 1 Spécifier l'adresse IP de l'extrémité distante 2 Choisir la méthode d'authentication et spécifier les paramètres 3 4 Cliquer sur Next
Créer une proposition IKE personnalisée Faire les sélections pour configurer la stratégie IKE puis cliquer sur OK 2 1 Cliquer sur Next Cliquer sur Add pour définir une proposition 3
Créer un Transform Set IPSec personnalisé Définit et spécifie le nom du transform set, l'algorithme pour l'intégrité, l'algorithme pour le cryptage, le mode de fonctionnement d'IPSec et la compression optionnelle. 2 1 Cliquer sur Add 3 Cliquer sur Next
Protéger le Trafic de réseau à réseau Cliquer sur Protect All Traffic Between the Following subnets 1 2 3 Définit l'adresse IP et le masque de sous-réseau du réseau local Définit l'adresse IP et le masque de sous-réseau du réseau distant
Protéger le Trafic avec une ACL personnalisée Cliquer sur le bouton des options pour choisir une ACL existante ou en créer une nouvelle 1 2 Cliquer sur le bouton radio Create/Select an access-List for IPSec traffic 3 Pour utiliser une ACL existante, choisir l'option Select an existing rule (ACL) . Pour créer une nouvelle ACL, choisir l'option Create a new rule (ACL) and select.
Ajouter une règle 1 Entrer un nom et une description pour la règle d'accès 2 Cliquer sur Add
Configurer une nouvelle entrée de règle Choisir une action et entrer une description de l'entrée de règle 1 2 Définir le host ou le réseau source dans le panneau Source Host/Network et le host ou le réseau destination dans le panneau Destination/Host Network 3 (Optionnel) Pour fournir une protection pour des protocoles spécifiques, choisir le protocole à l'aide des boutons radio et le numéro de port
Résumé de configuration Cliquer sur Back pour revenir modifier la configuration. Cliquer sur Finish pour terminer la configuration.
Test de la configuration du VPN . Vérifier la configuration VPN Choisir Configure > VPN > Site-to-Site VPN > Edit Site-to-Site VPN Vérifier l'état du VPN Crée une configuration miroir si le SDM Cisco n'est pas disponible sur l'autre extrémité. Test de la configuration du VPN .
Supervision 1 Choisir Monitor > VPN Status > IPSec Tunnels Liste tous les tunnels IPsec, leurs paramètres et état.
Télécommuniquer Flexibilité pour le lieu et les heures de travail Les employeurs font des économies de coûts en immobilier et charge C'est bénéfique s'il y a volontariat, jugé utile par la direction et si cela reste faisable
Avantages de la Télécommunication Avantages Organisationnels: Continuité de l'activité Accroît la réactivité Accès à l'information fiable, sécurisé et administrable Rentabilité de l'intégration données, voix, vidéo et des applications Accroît la productivité, la satisfaction et le maintien des employés Avantages sociaux: Accroît l'opportunité d'emplois pour des personnes Moins de transport et moins de stress Avantages environnementaux: Réduit la production d'oxyde de carbone
(Opérateur téléphone) (Opérateur Satellite) Implémenter l'accès distant Ligne téléphonique ISP A (Opérateur téléphone) Modem Ligne téléphonique Modem DSL ISP B (Opérateur Câble) Câble Coaxial Modem Câble ISP C (Opérateur Satellite) Modem Satellite
Méthode pour déployer l'accès distant Accès total au réseau basé sur SSL Ressource réseau Accès distant basé sur IPSec VPN IPsec d'accès distant SSL-Based VPN Toute Application Accès de partout
Comparaison de SSL et IPSec Applications Applications basées Web, partage de fichiers, e-mail Toutes les applications basées sur IP Cryptage Moyen Longueurs de clé de 40 bits à 128 bits Fort Longueurs de clés de 56 bits à 256 bits Authentification Moyenne Authentification unidirectionnelle ou bidirectionnelle Forte Authentification bidirectionnelle utilisant des secrets partagés ou des certificats numériques Facilité d'usage Très élevée Peut être difficile pour certains utilisateurs Sécurité globale Tout équipement peut se connecter Seuls des équipements avec des configurations particulières peuvent se connecter
Les VPNs SSL Tunnel VPN SSL Sécurité et routage intégrés Accès réseau par VPN SSL basé sur navigateur Web VPN SSL Internet Site Central Tunnel VPN SSL Ressources centralisées
Types d'Accès VPN SSL sans client Client VPN SSL ou VPN IPSec Fournisseur Requiert un accès verrouillé à des ressources extranet et à des applications spécifiques VPN SSL sans client Client VPN SSL ou VPN IPSec PC portable d'entreprise Des utilisateurs distants requièrent à domicile requièrent un accès direct et facile à utiliser aux ressources réseau de l'entreprise Internet ASA Cisco série 5500 VPN SSL sans client Client VPN SSL ou VPN IPSec Employé à domicile Les employés à domicile requièrent un accès complet aux ressources et aux applications de l'entreprise Terminaux publics Des utilisateurs distants peuvent requérir un accès léger au mail et à des applications Web à partir d'une machine publique
Types d'Accès VPN SSL sans client Client VPN SSL ou VPN IPSec Fournisseur Requiert un accès verrouillé à des ressources extranet et à des applications spécifiques VPN SSL sans client Client VPN SSL ou VPN IPSec PC portable d'entreprise Des utilisateurs distants requièrent à domicile requièrent un accès direct et facile à utiliser aux ressources réseau de l'entreprise Internet ASA Cisco série 5500 VPN SSL sans client Client VPN SSL ou VPN IPSec Employé à domicile Les employés à domicile requièrent un accès complet aux ressources et aux applications de l'entreprise Terminaux publics Des utilisateurs distants peuvent requérir un accès léger au mail et à des applications Web à partir d'une machine publique
Etablir une session SSL L'utilisateur ouvre une connexion TCP port 443 1 Le routeur répond avec une clé publique signé numériquement 2 Utilisateur avec client SSL Routeur avec des capacités VPN SSL Le logiciel de l'utilisateur crée une clé secrète partagée 3 La clé secrète partagée, cryptée avec la clé publique du serveur est transmise au routeur 4 Le cryptage de blocs de données est réalisé en utilisant la clé secrète partagée et un algorithme de cryptage symétrique 5
Considérations de conception VPN SSL Connectivité utilisateur Caractéristiques du routeur Planification de l’infrastructure Portée de l'implémentation
Cisco Easy VPN Négocie les paramètres du tunnel Etablit les tunnels selon les paramètres Crée automatiquement NAT / PAT et associe les ACLs Authentifie les utilisateurs par noms d'utilisateurs, noms de groupe et mots de passe Gère la sécurité des clés pour le cryptage Authentifie, crypte et décrypte les données à travers le tunnel Site Central Easy VPN Routeur d'entreprise Tunnel IPSec
PC avec Client VPN distant Cisco Cisco Easy VPN PC avec Client VPN distant Cisco Routeur Cisco Logiciel IOS Cisco Easy VPN Server ASA Cisco Pare-feu PIX Cisco
Sécuriser le VPN Initie IKE Phase 1 Etablit les SAs ISAKMP 2 Etablit les SAs ISAKMP 3 Accepte la Proposition 1 PC avec client VPN Cisco Logiciel IOS Cisco Serveur Easy VPN Challenge Username/Password 4 Username/Password 5 Envoi des paramètres Système Reverse Router Injection (RRI) ajoute une entrée de route statique sur le routeur pour les adresses IP des clients distants 6 7 Initie IKE Phase 2: IPsec SAs IPsec
Configurer un serveur Cisco Easy VPN 1 4 3 2 5
Configurer les propositions IKE Spécifie les paramètres requis 2 1 Cliquer sur Add Cliquer sur OK 3
Créer un Transform Set IPSec 3 1 2 4
Autorisation de Groupe et recherche de stratégie Sélectionner l'emplacement de stockage des stratégies de groupe Easy VPN 3 1 Cliquer sur Add 2 4 5 Cliquer sur Next Cliquer sur Next Configure le groupe local de stratégies
Résumé des paramètres de configuration
Présentation du Client VPN R1-vpn-cluster.span.com R1 R1-vpn-cluster.span.com Etablissement de bout en bout de tunnels VPN cryptés pour une connectivité sécurisée Compatible avec tous les produits VPN Supporte les capacités Cisco Easy VPN
Etablir une connexion Dès que l'authentification est réussie, l'état passe à "Connected to". R1-vpn-cluster.span.com R1 R1-vpn-cluster.span.com “R1”