Support de NAT pour IPSec ESP Phase II

Slides:



Advertisements
Présentations similaires
Effacer la Configuration LWAPP sur un LAP
Advertisements

TP Sécurité - Sécuriser l’accès d’administration en utilisant
bgp always-compare-med
– NAT et PAT - 1.
Chapitre10 Prise en charge des utilisateurs distants
Hot Standby Router Protocol (HSRP) - Partage de charge
Remote Desktop Protocol l'Appliance de Sécurité
Sécurité - Quiz ccnp_cch.
QoS - Propagation de la Politique de QoS via BGP
Sécurité - ASA8.x - Import du Plug-in RDP pour utilisation dans WebVPN
Configurer NAT et PAT statique pour support d'un serveur Web interne
Sécurité - Cisco ASA Outil de capture WebVPN
Registre de Configuration (Configuration Register)
Commande ip nat service
CCNP Routage Chapitre 8 - Questionnaire N°1
Sécurité - Configuration du PIX
Sécurité - VPN - Configurer la mise à jour du client
Sécurité - ASA7.x/PIX 6.x et plus
Tunnel pour paquets IP Multicast
Configuration Routeur SOHO77
AAA - Présentation ccnp_cch ccnp_cch.
IS-IS - Adjacence Point à Point
Vérification du Système fichiers et réparation
BGP - Configuration iBGP et eBGP avec ou sans adresse de Loopback
Sécurité - Listes d'Accès - Numérotation des entrées
(Network Address Translation)
Configuration Routeur à Routeur avec PAT & Client VPN Cisco
(Switch Database Management)
Transfert de fichiers utilisant HTTP ou HTTPS
show ip nat translations
(Digital Signal Processor)
BGP - Support de Route-Map Policy list
Configuration Routeur SOHO77
Sous-résaux LAN dupliqués
Hot Standby Router Protocol standby preempt et standby track
NAT - Supervision et Maintenance
TP Sécurité Packet Tracer - Configuration d'un VPN d'accès distant et
Sécurité - Configuration de
Sécurité - Configuration de
Intégration de NAT avec les VPNs MPLS
Sécurité - Configuration de l'autorisation d'Applets Java
Configuration NAT pour
Proxy ARP ccnp_cch ccnp_cch.
CCNP Routage Chapitre 4 - Questionnaire N°1
Configuration NAT Utilisation de la commande outside source list
QoS - Configuration RSVP
Sécurité - Configuration de
Sécurité - Configuration de -
QoS - Appliquer la QoS à des Sous-interfaces
Pile IGMPv3 de Host.
Configuration IPSec LAN Privé à LAN Privé et NAT statique
Changer les critères de nommage
RIP - Configuration des Extensions.
Comment fonctionne RADIUS?
SONET - Bref aperçu de Packet Over SONET APS
Sécurité - Configuration d'un
Commande show vtp ccnp_cch ccnp_cch.
entre trois routeurs utilisant des
Configuration de la Sécurité réseau IPSec
IOS Firewall - Blocage d'applets Java
QoS - Configuration de NBAR (Network-Based Application Recognition)
Configuration de groupes l'autorisation via ASDM
Cours VI – Cryptographie symétrique
QoS - Configuration Fragmentation
Sécurité - Configuration de Auth-Proxy Inbound - Client VPN IPSec
QoS - Configuration de COPS pour RSVP
Configuration NAT Dynamique
1 IPSec : IP Security Protocole fournissant un mécanisme de sécurisation au niveau IP. RFC 2401 concernant IPSEC RFC 2402 concernant le mode AH (authentification)
CONFIGURATION D’UN ROUTEUR Introduction et planification du cours  Configuration d’un routeur  Administration d’un routeur  Protocoles RIP et IGRP 
RE161 Répartition des adresses IP Le problème de la répartition des adresses IP dans le réseau doit être résolu avec comme objectifs : –de rendre le réseau.
Transcription de la présentation:

Support de NAT pour IPSec ESP Phase II ccnp_cch ccnp_cch

Sommaire • Introduction - Contenu de ce document • Informations sur le support de NAT pour IPSec ESP - Avantages du support de NAT pour IPSec ESP - IPSec - Correspondance de SPI • Comment configurer IPSec ESP à travers NAT - Validation de "preserve port" - Prérequis - Validation de la correspondance SPI - Validation de correspondance SPI sur l'équipement NAT - Validation de correspondance SPI aux extrémités ccnp_cch

Introduction Le support de NAT pour IPSec ESP Phase II autorise de multiples tunnels IPSec ESP (Encapsulation Security Payload) ou connexions au travers de NAT de l'IOS Cisco con- figuré en "overload" ou PAT (Port Address Translation). Les techniques IPSec encapsu- lé dans UDP ou TCP ne sont pas utilisées avec ESP. Note: Cette fonctionnalité peut être utilisée uniquement si les deux extrémités du VPN sont des équipements Cisco opérant avec la release IOS 12.2(15)T ou suivantes. Historique Release Modification 12.2(15)T Cette fonctionnalité a été introduite Plateformes supportées Pour les plateformes supportées dans la release IOS Cisco 12.2(15)T consultez "Cisco Feature Navigator" Contenu de ce document Ce document comporte les sections suivantes: ● Informations sur le support de NAT pour IPSec ESP ● Comment configurer IPSec ESP au travers de NAT Informations sur le support de NAT pour IPSec ESP Avant de configurer IPSec ESP au travers de NAT vous devez comprendre les concepts suivants: ● Avantages du support de NAT pour IPSec ESP ● IPSec ● Correspondance de SPI Avantages du support de NAT pour IPSec ESP Normalement les entrées ESP dans la table de traduction seront mises en attente de transmission jusqu'à ce qu'une réponse soit reçue de la destination. Avec des index de sécurité prédictibles (SPI) et une correspondance de SPI, le délai d'attente peut être éliminé si les entrées SPI correspondent. Quelques équipements concentrateurs tiers requièrent le port source et le port destination pour utiliser le port 500. L'utilisation du mot-clé preserve-port avec la commande ip nat service préservera le numéro de port au lieu de le changer (ce qui est normalement requis dans NAT). ccnp_cch

IPSec IPSec est un ensemble d'extensions de la famille du protocole IP dans le cadre de stan- dards ouverts pour assurer des communications privées sécurisées au travers d'Inter- net. Basé sur des standards développés par l'IETF (Internet Engineering Task Force), IPSec assure la confidentialité, l'intégrité et l'authentification des données au travers du réseau public et fournit un service de cryptographie. Des tunnels sécurisés entre deux extrémités, telles que deux routeurs, sont fournis et les décisions sont prises pour considérer quels paquets sont sensibles et doivent être transmis au travers de ces tunnels. Quand l'extrémité IPSec reçoit un paquet sensible elle monte le tunnel sécurisé approprié et transmet le paquet au travers du tunnel vers l'extrémité distante. IPSec en utilisant ESP peut passer au travers d'un routeur utilisant NAT sans support spécifique tant PAT (Port Address Translation) ou "NAT Overload" n'est pas validé. Il y a plusieurs facteurs à considérer quand on tente de faire traverser un VPN IPSec au travers d'un équipement configuré avec PAT qui représente plusieurs adresses pri- vées internes comme une seule adresse publique externe. Ces facteurs comprennent les capacités du serveur VPN et du Client VPN, les capacités de l'équipement configuré avec PAT et enfin si plusieurs communications simultanées sont tentées au travers de l'équipement NAT-PAT. Il y a deux méthodes possibles pour configurer IPSec sur un routeur avec NAT-PAT: ● Encapsuler IPSec dans un protocole de couche 4 tel que TCP ou UDP. Dans ce cas IPSec se "faufile" au travers de NAT. L'équipement NAT n'est pas au courant de l'en- capsulation. ● Ajouter un support spécifique pour IPSec avec PAT - Dans ce cas IPSec travaille avec NAT à l'opposé de la solution précédente. La fonctionnalité "Support de NAT pour IPSec ESP phase II" fournit un support pour IKE (Internet Key Exchange) et ESP sans encapsulation en mode tunnel au travers d'un routeur Cisco configuré avec PAT. Note: Les protocoles recommandés à utiliser quand des sessions IPSec sont amenées à traverser des équipements configurés avec PAT sont TCP et UDP mais tous les ser- veurs VPN ou les Clients VPN ne supportent pas l'encapsulation TCT ou UDP. Correspondance de SPI La correspondance de SPI est utilisée pour établir des connexions VPN entre plusieurs destinations. Les entrées NAT seront immédiatement placées dans la table de traduc- tion pour les extrémités correspondantes avec la liste d'accès configurée. Ceci est uti- lisable uniquement pour les extrémités qui choisissent les SPI avec l'algorithme prédic- tif implémenté sur l'IOS Cisco release 12.2(15)T. ccnp_cch

Comment configurer IPSec ESP au travers de NAT Valider le port préservé Cette configuration est utilisée pour le trafic IPSec utilisant lr port 500 pour les ports source et entrant. Cette configuration permet de préserver le port 500 pour les ports entrants et sortants. Note: Cette configuration est requise pour certains concentrateurs VPN mais peut cau- ser des problèmes avec d'autres concentrateurs. Les équipements VPN Cisco n'utili- sent généralement pas cette fonctionnalité. Etapes: ● enable ● configure terminal ● ip nat service list access-list-number IKE preserve-port Commande ou Action But enable Exemple: Routeur> enable Valide le mode EXEC privilégié. ● Entrez un mot de passe si cela est nécessaire configure terminal Exemple: Routeur# configure terminal Entrée en mode de configuration global. ip nat service list access-list-number ESP spi-match Exemple: Routeur(config)# ip nat service list 10 IKE preserve-port Spécifie un port autre que le port par défaut. ● Permet à NAT de préserver le port destination et le port source de tout paquet IKE qui correspond à la liste d'accès 10 pour le port 500. Prérequis ● L'IOS Cisco doit être opérationnel sur le routeur et la passerelle distante validant un traitement parallèle. ● La correspondance SPI doit être configurée sur l'équipement NAT et les deux équi- pements d'extrémités. ccnp_cch

Valider la correspondance SPI Validation de la correspondance SPI sur l'équipement NAT Etapes: ● enable ● configure terminal ● ip nat service list access-list-number ESP spi-match Commande ou Action But enable Exemple: Routeur> enable Valide le mode EXEC privilégié. ● Entrez un mot de passe si cela est nécessaire configure terminal Exemple: Routeur# configure terminal Entrée en mode de configuration global. ip nat service list access-list-number IKE preserve-port Exemple: Routeur(config)# ip nat service list 10 ESP spi-match Spécifie un port autre que le port par défaut. ● Entre le trafic qui correspond à la liste d'accès 10 dans la table de traduction NAT présumant que les deux équipements sont des équipe- ments Cisco et sont configurés pour fournir une correspondance de SPIs. Validation de la correspondance SPI sur les extrémités Etapes: ● enable ● configure terminal ● crypto ipsec spi-matching ccnp_cch

ccnp_cch Commande ou Action But enable Exemple: Routeur> enable Valide le mode EXEC privilégié. ● Entrez un mot de passe si cela est nécessaire configure terminal Exemple: Routeur# configure terminal Entrée en mode de configuration global. crypto ipsec spi-matching Exemple: Routeur(config)# crypto ipsec spi-matching Valide la correspondance de SPIs sur les deux extrémités. ccnp_cch