La présentation est en train de télécharger. S'il vous plaît, attendez

La présentation est en train de télécharger. S'il vous plaît, attendez

Configuration de la Sécurité réseau IPSec

Présentations similaires


Présentation au sujet: "Configuration de la Sécurité réseau IPSec"— Transcription de la présentation:

1 Configuration de la Sécurité réseau IPSec
ccnp_cch

2 Sommaire  Introduction  Présentation générale d'IPSec
- Standards supportés - Liste de termes - Matériel supporté, chemins commutés et encapsulation - Restrictions - Vue générale du fonctionnement d'IPsec - Imbrication du trafic IPSec de plusieurs extrémités Prérequis  Liste des tâches de configuration d'IPSec - Assurer la compatibilité des listes d'accès avec IPSec - Fixer les durées de vies globales pour les associations de sécurité IPSec Créer des Crypto Access-Lists - Définir des Transform set - Créer des entrées de Crypto map - Appliquer des Crypto maps à des interfaces  Superviser et maintenir IPSec ccnp_cch

3 Introduction Ce document décrit comment configurer IPSec qui est un cadre de standards ouverts
développés par l'IETF (Internet Engineering Task Force). IPSec fournit la sécurité pour la transmission d'informations sensibles à travers des réseaux non protégés comme Internet. IPSec agit au niveau de la couche réseau, protégeant et authentifiant les pa- quets IP entre équipements IPSec (extrémités) tels des routeurs Cisco. IPSec fournit les services de sécurité réseau suivants. Ces services sont optionnels. En général, la politique de sécurité locale détectera l'utilisation d'un ou plusieurs de ces services:  Confidentialité des données - L'émetteur IPSec peut crypter les paquets avant de les transmettre à travers un réseau.  Intégrité des données - L'émetteur IPSec authentifie les paquets transmis par l'émetteur IPSec pour s'assurer que les données n'ont pas été altérées pendant la transmission.  Authentification de l'origine des données - Le receveur IPSec peu authentifier la source des paquets IPSec transmis. Ce service est indépendant du service d'intégrité des données.  Anti-Réplication - Le receveur IPSec peut détecter et rejeter les paquets répliqués. Note: Le terme authentification de données est généralement utilisé pour signifier in- tégrité des données et authentification des données. Dans ce document cela inclut également les services d'anti-réplication sauf autre spécification. Avec IPSec, les données peuvent être transmises à travers le réseau public sans crain- te d'être observées, modifiées ou transformées. Cela permet des applications telles que les VPNs (Virtual Private Network) y compris les Intranets, Extranets et les accès utili- sateurs distants. Ce document contient les sections suivantes:  Présentation d'IPSec  Liste des tâches de configuration d'IPSec  Exemple de configuration d'IPSec ccnp_cch

4 Présentation d'IPSec ccnp_cch
IPSec fournit le cryptage de données réseau au niveau paquet offrant une solution de sécurité robuste basée sur des standards. IPSec des services d'authentification de don- nées et d'anti-réplication en plus des données. Cette section comprend les chapitres suivants:  Standards supportés  Liste de termes  Matériel supporté, chemins commutés et encapsulation  Restrictions  Présentation du fonctionnement d'IPSec  Imbrication du trafic vers plusieurs extrémités IPSec  Prérequis Standards supportés Cisco implémente les standards suivants:  IPSec - Protocole IP Security - IPSec est un cadre de standards ouverts qui fournit la confidentialité des données, l'intégrité de données et l'authentification de données entre deux extrémités. IPSec fournit ces services de sécurité au niveau de la couche IP; il utilise IKE pour gérer la négociation des protocoles et des algorithmes sur la base d'une politique locale et pour générer des clés de cryptage et d'authentification devant être utilisées par IPSec. IPSec peut être utilisé pour protéger un ou plusieurs flux de données entre une paire de hosts, entre paires de passerelles de sécurité ou entre une passerelle de sécurité et un host. Note: Le terme IPSec est quelquefois utilisé pour décrire le protocole de service de données IPSec et le protocole de sécurité IKE et aussi quelquefois utilisé pour décrire uniquement les services de données IPSec est documenté dans une série de Drafts Internet qui sont tous disponibles à l'URL: L'IOS cisco implémen- te IPSec du RFC 2402 (IP Authentication Header) au RFC 2410 (The NULL Encryp- tion Algorithm and Its Use With IPSec).  IKE (Internet Key Exchange) - Protocole hybride qui implémente les systèmes d'échange de clés Oakley et SKEME dans le cadre de ISAKMP. Tandis que IKE peut être utilisé par d'autres protocoles, son implémentation initiale a été faite avec le protocole IPSec. IKE fournit l'authentification des extrémités, négocie les associa- tions de sécurité IPSec et établit les clés IPSec.. ccnp_cch

5 ccnp_cch Les composantes technologiques implémentées dans IPSec sont:
 DES - Data Encryption Standard est utilisé pour crypter les paquets de données L'IOS Cisco implémente DES-CBC-56 bits avec IV explicite. CBC (Cypher Block Chaining) requiert un vecteur d'initialisation (IV) pour démarrer le cryptage. Le IV est fournit de manière explicite dans le paquet IPSec. Pour des raisons de compati- bilité arrière, l'IOS Cisco implémente la version RFC 1829 de ESP DES-CBC pour IPSec L'IOS Cisco implémente également le cryptage Triple DES (168 bits) selon les ver- sions de logiciels disponibles pour une plateforme spécifique. Triple DES (3DES) est une forme de cryptage robuste qui permet de transmettre des informations sen- sibles sur des réseaux non sécurisés. Il permet à l'utilisateur de mettre en œuvre le cryptage à la couche réseau Note: Les images IOS cisco avec cryptage robuste (y compris les ensembles fonc- tionnels 56 bits mais non limité à ceux-ci) sont sujets au contrôle d'exportation du gouvernement des Etats-Unis et ont une distribution limitée. Les images devant être installées hors des Etats-Unis ont besoin d'une licence. Les demandes des clients peuvent être rejetées à cause des réglementations du gouvernement américain.  MD5 (variante HMAC) - MD5 (Message Digest 5) est un algorithme de hachage HMAC est une variante de hachage avec clé utilisée pour authentifier les données.  SHA (variante HMAC) - SHA (Secure Hash Algorithm) est un algorithme de hacha- ge. HMAC est une variante de hachage avec clé utilisée pour authentifier les don- nées. IPSec tel qu'il est implémenté dans l'IOS Cisco supporte les standards additionnels suivants:  AH - Authentication Header. Protocole de sécurité qui fournit l'authentification des données et des services optionnels d'anti-réplication. AH est embarqué dans les données devant être protégées (Paquet IP entier).  ESP - Encapsulating Security Payload. Protocole de sécurité qui fournit des services de confidentialité de données, une authentification de données optionnelle et des services d'anti-réplication. ESP encapsule les données à protéger. Liste de termes - anti-réplication (anti-replay) : Service de sécurité dans lequel le receveur peut re- jeter des paquets anciens ou dupliqués pour se protéger lui-même des attaques IPSec fournit ce service optionnel par l'utilisation d'un numéro de séquence combi- né avec les données à authentifier. IPSec IOS Cisco fournit ce service chaque fois qu'il fournit le service d'authentification de données sauf dans les cas suivants: Le service n'est pas disponible pour les associations de sécurité établies manuelle- ment (ce sont des associations de sécurité établies par configuration manuelle et non par IKE) ccnp_cch

6 ccnp_cch - authentification de données : Comprend deux concepts:
 Intégrité des données (vérifie que les données n'ont pas été altérées)  Authentification de l'origine des données (vérifie que les données ont été trans- mise par le bon émetteur). - confidentialité des données : Service de sécurité dans lequel les données ne peu- vent pas être lues directement flux de données : Un groupage de trafic identifié par une combinaison adresse/ mas que source , adresse/masque destination, champ IP protocole de couche supé- rieure, ports source et destination dans lesquels les champs port et protocole peu- vent avoir la valeur any. En effet tous les trafics correspondant à une combinaison spécifique de ces valeurs sont logiquement groupés ensemble dans flux de données Un flux de données peut représenter une seule connexion TCP entre deux hosts ou peut représenter tout le trafic entre deux sous-réseaux. La protection IPSec est ap- pliquée au flux de trafic. - extrémité (peer) : Dans le contexte de ce document, un "peer" fait référence à un routeur ou à un autre équipement qui participe à IPSec. - Perfect Forward Privacy (PFS) : Une caractéristique de cryptage associée avec la valeur dérivée du secret partagé. Avec PFS, si une clé est compromise, les clés pré- cédentes et suivantes ne sont pas compromises car les suivantes ne sont pas déri- vées des clés précédentes Associations de sécurité (Security Associations) : Une association de sécurité IPSec est une description sur comment deux ou plusieurs entités vont utiliser les services de sécurité dans le contexte d'un protocole de sécurité particulier (AH ou ESP) pour communiquer de manière sécurisée d'après un flux de données particu- lier. Elle inclut des informations comme le transform-set et les clés secrètes parta- gées à utiliser pour protéger le trafic. L'association de sécurité IPSec est établie soit par IKE ou manuellement par confi- guration utilisateur. Les associations de sécurité sont unidirectionnelles et sont uniques par protocole de sécurité. Ainsi quand les associations de sécurité sont établies pour IPSec, les associations de sécurité (pour chaque protocole) pour les deux sens sont établies en même temps Quand on utilise IKE pour établir les associations de sécurité pour le flux de don- nées, les associations de sécurité sont établies si nécessaire et expirent au bout d'une période de temps (ou de volume de trafic). Si les associations de sécurité sont établies manuellement, elles sont établies dès que la configuration est terminée et elles n'expirent pas SPI (Security Parameter Index) : C'est un nombre qui avec l'adresse IP destination et le protocole de sécurité identifie de manière unique une association de sécurité Quand on utilise IKE pour établir les associations de sécurité, le SPI pour chaque association de sécurité est un nombre aléatoire. Sans IKE, le SPI est spécifié manu- ellement pour chaque association de sécurité. ccnp_cch

7 - transform : La liste des opérations effectuées sur un flux de données pour fournir
l'authentification des données, la confidentialité des données et la compression de données. Par exemple, un transform-set utilise le protocole ESP avec HMAC-MD5 comme algorithme d'authentification; un autre transform-set utilise le protocole AH avec l'algorithme de cryptage DES-56bits et le protocole ESP avec l'algorithme d'au- thentification HMAC-SHA tunnel : Dans le contexte de ce document, c'est le chemin de communication sécu- risé entre deux extrémités comme deux routeurs. Ce document ne fait pas référence à IPSec en mode tunnel. Matériels, chemins commutés et encapsulation supportés IPSec a des restrictions pour le matériel, les chemins commutés et les méthodes d'en- capsulation suivantes: Matériels supportés Pour les plateformes matérielles 7100 et 7200, le support d'IPSec requiert les modules et adaptateurs suivants:  Integrated Services Adapter (ISA) for the Cisco 7100 or 7200 series.  Integrated Services Modules (ISM) for the Cisco 7100 series. Le tableau suivant illustre les chemins commutés supportés qui fonctionnent avec IPSec: Chemins commutés Exemples Process switching interface ethernet0/0 no ip route-cache Fast switching ip route-cache ! assure de ne pas être en flow switching. no ip route-cache flow ! Dévalide CEF sur cette interface. Est prio- ritaire sur la commande CEF globale. no ip route-cache cef Cisco Express Forwarding ip cef (CEF) Fast-flow switching ip route-cache flow ! Dévalide CEF sur cette interface. ccnp_cch

8 ccnp_cch Chemins commutés Exemples Encapsulation supportée
CEF-flow switching ! Valide CEF global. ip cef interface ethernet0/0 ip route-cache ip route-cache flow ! Valide CEF sur cette interface. ip route-cache cef Encapsulation supportée IPSec fonctionne avec les encapsulations série suivantes: HDLC (High Data Link Con- trol), PPP et Frame Relay. IPSec fonctionne également avec les protocoles tunnel GRE et IPinIP couche 3, L2F, L2TP, DLSW+ et SRB. Cependant les tunnels multipoints ne sont pas supportés. D'autres protocoles tunnel de couche 3 ne sont peut-être pas sup- portés par IPSec. Comme IPSec Working Group n'a pas encore résolu le problème de distribution de clé de groupe, IPSec ne fonctionne pas avec des paquets broadcast ou multicast. Si vous utilisez NAT (Network Address Translation), vous devez configurer des traduc- tions NAT statiques pour que IPSec fonctionne correctement. En général les traduc- tions NAT doivent être faites avant de réaliser l'encapsulation IPSec; en d'autres ter- mes IPSec doit fonctionner avec des adresses publiques sur Internet. Vue générale du fonctionnement d'IPSec En termes simples, IPSec fournit des tunnels sécurisés entre deux extrémités comme par deux routeurs par exemple. Vous définissez quels paquets sont considérés comme sensibles et doivent être transmis à travers ces tunnels sécurisés. Vous définissez les paramètres sensibles en spécifiant les caractéristiques de ces tunnels. Ensuite quand l'extrémité IPSec voit un paquet sensible, elle établit le tunnel sécurisé approprié et transmet le paquet à travers le tunnel vers l'extrémité distante. Note: Le terme tunnel utilisé dans cette section ne fait pas référence à l'installation d'IPSec en mode tunnel. Plus précisément, ces tunnels sont des ensembles d'association de sécurité qui sont établis entre deux extrémités IPSec. Les associations de sécurité définissent quels pro- tocoles et algorithmes doivent être appliqués aux paquets sensibles ainsi que le sys- tème de clés devant être utilisé par les deux extrémités. Les associations de sécurité sont individuelles et sont établies pour chacun des protocoles de sécurité (AH ou ESP). Avec IPSec vous définissez quel trafic doit être protégé entre les deux extrémités IPSec en configurant des listes d'accès et en appliquant ces listes d'accès à des interfaces au moyen de crypto maps. Par conséquent le trafic peut être sélectionné sur la base des adresses source et destination et optionnellement des ports de couche 4. (Les lis- tes d'accès utilisées par IPSec sont utilisées uniquement pour déterminer quel trafic doit être protégé par IPSec et quel trafic doit être bloqué ou permis à travers cette in- terface). ccnp_cch

9 Une crypto map peut contenir plusieurs entrées chacune contenant une liste d'accès
différente. Les entrées de crypto map sont explorées en séquence; le routeur essaie de trouver une correspondance entre la liste d'accès et cette entrée. Quand un paquet correspond à une entrée permit dans la liste d'accès particulière et que l'entrée de crypto map est marquée cisco, les connexions sont établies si néces- saire. Si l'entrée de crypto map est marquée ipsec-isakmp, IPSec est déclenché. S'il n'existe pas d'association de sécurité que IPSec puisse utiliser pour protéger le trafic vers cette extrémité, IPSec utilise IKE pour négocier avec une extrémité distante pour établir des associations de sécurité nécessaires sur la base du flux de données. La né- gociation utilise des informations spécifiées dans l'entrée de la crypto map comme le flux d'information de la liste d'accès spécifique. (Le comportement est différent pour des entrées de crypto map dynamiques). Si l'entrée de crypto map est marquée ipsec-manual, IPSec est déclenché. Si aucune association de sécurité n'existe et que IPSec puisse utiliser pour protéger le trafic vers l'extrémité, le trafic est éliminé. Dans ce cas les associations de sécurité sont instal- lées par configuration sans l'intervention d'IKE. Si l'association de sécurité n'existe pas IPSec n'a pas toutes les informations nécessaires configurées. Une fois qu'elles sont établies, l'ensemble des associations de sécurité est (en sortie vers l'autre extrémité) appliquée au paquet déclencheur comme aux paquets suivants auxquels on peut les appliquer. Ces paquets sont des paquets qui correspondent à la même liste d'accès à laquelle le premier paquet a correspondu. Tous les paquets aux- quels on applique les associations de sécurité doivent être cryptés avant d'être ache- minés vers l'autre extrémité. Les associations de sécurité entrantes correspondantes sont utilisées quand le trafic entrant est traité par cette extrémité. Si IKE est utilisé pour établir les associations de sécurité, les associations de sécurité ont des durées de vie aussi elles expirent périodiquement et doivent être renégociées. (Cela fournit un niveau supplémentaire de sécurité). Plusieurs tunnels IPSec peuvent exister entre deux extrémités pour sécuriser diffé- rents flux de données avec chaque tunnel utilisant son propre ensemble d'association de sécurité. Par exemple certains flux de données ont seulement besoin d'être authen- tifiés alors que d'autres flux doivent être authentifiés et cryptés. Les listes d'accès associées avec des entres de crypto map IPSec représentent égale- ment le trafic requis par le routeur pour être protégé par IPSec. Le trafic entrant est traité au moyen des entrées crypto map; si un paquet non protégé correspond à une entrée permit dans une liste d'accès associée à une entrée de crypto map IPSec, ce paquet est éliminé car il n'a pas été transmis comme un paquet protégé par IPSec. Les entrées de crypto map comprennent également les transform sets. Un transform set est une combinaison acceptable de protocoles de sécurité, d'algorithmes et d'au- tres paramètres à appliquer au trafic protégé par IPSec. Pendant la négociation des associations de sécurité, les extrémités s'accordent sur l'utilisation d'un transform set particulier pour la protection d'un flux de données particulier. ccnp_cch

10 ccnp_cch Imbrication du trafic IPSec de plusieurs extrémités
Vous pouvez imbriquer du trafic IPSec vers une série d'extrémités IPSec. Par exemple pour que le trafic traverse plusieurs pare-feu (et que ces pare-feu ont des politiques qui ne laissent pas passer le trafic qu'ils ont eux-mêmes authentifié), le routeur à be- soin d'établir des tunnels IPSec avec chaque pare-feu chacun à leur tour. Le pare-feu le plus proche devient le voisin le plus à l'extérieur. Dans l'exemple ci-dessous, la figure montre que le Routeur A encapsule le trafic desti- né au Routeur C dans IPSec. (Le Routeur C est le voisin IPSec). Toutefois avant que le Routeur A puisse transmettre ce trafic, il doit réencapsule le trafic dans IPSec pour transmette le trafic vers le Routeur B (Le Routeur B devient le voisin IPSec le plus ex- terne). Internet Routeur A Routeur B (Extrémité IPSec la plus externe) Routeur C la plus interne) Authentification des données entre routeur A et Routeur B Authentification des données et cryptage entre Routeur A et Routeur C Il est possible pour le trafic entre les routeurs les plus externes d'avoir un type de pro- tection (comme l'authentification) et pour le trafic entre les extrémités les plus internes d'avoir une protection différente (comme l'authentification et le cryptage des données). Prérequis Vous avez besoin de configurer IKE comme cela est décrit dans le chapitre "Configura- tion d'Internet Key Exchange Security Protocol". ccnp_cch

11 Liste des tâches de configuration d'IPSec
Après avoir terminé la configuration IKE, configurez IPSec. Pour configurer IPSec, réa- liser les tâches des sections suivantes pour chaque extrémité participant à IPSec:  S'assurer que les listes d'accès sont compatibles avec IPSec  Fixer les durées de vie globales pour les associations de sécurité IPSec  Création de Crypto Access lists  Définition des Transform sets  Création d'entrées de Crypto Map  Application de Crypto Maps à des interfaces  Superviser et maintenir IPSec S'assurer que les listes d'accès sont compatibles avec IPSec IKE utilise le port UDP 500. Les protocoles IPSec ESP et AH utilisent respectivement les numéros de protocole 50 et 51. Assurez-vous que vos listes d'accès sont configurées pour que les protocoles 50, 51 et le trafic du port UDP 500 ne sont pas bloqués sur les interfaces utilisées par IPSec. Dans certains cas vous devrez ajouter des instructions dans vos listes d'accès pour permettre ce trafic. Fixer la durée de vie globale des associations de sécurité Vous pouvez changer les valeurs de durée de vie qui sont utilisées lors de la négocia- tion de nouvelles associations de sécurité IPSec. (Ces valeurs de durées de vie globales peuvent être outrepassées par une entrée particulière de crypto map. Ces durées de vie s'appliquent uniquement aux associations de sécurité établies avec IKE. Les associations de sécurité établies manuellement n'expirent jamais. Il y a deux durées de vie: une durée de vie "temps" et la durée de vie "trafic". Une association de de sécurité expire après qu'une de ces deux durées de vie est atteinte. Les durées de vie par défaut sont de 3600 secondes (une heure) et kilo-octets (10 Mb/s pendant une heure). Si vous changez une durée de vie globale, la nouvelle durée de vie globale ne sera pas appliquée aux associations de sécurité existantes en cours d'utilisation mais le sera pour la négociation des associations de sécurité qui seront établies par la suite. Si vous voulez utiliser ces nouvelles valeurs immédiatement, vous pouvez effacer tout ou partie de la base de données des associations de sécurité. Référez-vous à la commande clear crypto sa pour des informations détaillées. Les associations de sécurité IPSec utilisent une ou plusieurs clés secrètes partagées. Ces clés et leurs associations de sécurité expirent ensembles. ccnp_cch

12 Pour changer une durée de vie globale pour les associations de sécurité IPSec, utilisez
une ou plusieurs de ces commandes en mode de configuration global. Commande But Routeur(config)# crypto ipsec security-association lifetime seconds seconds Change la durée de vie globale "en temps” pour les SAs IPSec. Cette commande entraine l'expi- ration de l'association après que le nombre de secondes spécifié est atteint. security-association lifetime kilobytes kilobytes Change la durée de globale "volume de trafic" pour les SAs IPSec. Cette commande entraine l'expiration de l'association après que le volume de trafic (en kilo-octets) soit passé par le "tunnel" IPSec utilisant cette association de sé- curité. Routeur (config)# clear crypto sa ou Routeur (config)# clear crypto sa peer {ip-address | peer-name} Routeur (config)# clear crypto sa map map-name Routeur (config)# clear crypto sa entry destination-address protocol spi (Optionnel) Efface les associations de sécurité existantes. Ceci entraine que toutes les associa- tions de sécurité existantes expirent immédiate- ment; les nouvelles associations de sécurité uti- liseront ces nouvelles durées de vie. Note: L'utilisation de la commande clear crypto sa sans paramètres efface toute la base de don- nées des SAs ainsi que les associations de sécu- rité actives. Vous pouvez également spécifier les mots clés peer, map ou entry pour effacer un seul sous-ensemble de la base de données SA. Pour plus d'informations voir la commande clear crypto sa. Comment fonctionnent ces durées de vie Supposons qu'une entrée particulière de crypto map n'a pas de durées de vie configu- rées. Quand le routeur demande de nouvelles associations de sécurité il va spécifier ses valeurs de durées de vie globales dans la requête vers l'autre extrémité; il utilisera ces valeurs comme durées de vie pur les nouvelles associations de sécurité. Quand le routeur reçoit une requête de négociation de l'autre extrémité, il utilisera la plus petite valeur des durées de vie proposées par l'autre extrémité ou les les valeurs de durées de vie configurées localement comme durées de vie pour les nouvelles associations de sécurité. Les associations de sécurité ( et les clés correspondantes) expirent d'après la première qui expire soit après que le nombre de secondes ait été dépassé (spécifié par le mot clé seconds) soit que le volume de trafic en kilo-octets ait été dépassé (spécifié par le mot clé kilobytes). Les associations de sécurité qui sont établies manuellement ( via une entrée crypto map marquée ipsec-manual) ont une durée de vie infinie. Une nouvelle association de sécurité est négociée avant que la durée de vie de l'asso- ciation de sécurité existante soit atteinte pour s'assurer qu'une nouvelle association est prête avant que l'ancienne n'expire. La nouvelle association de sécurité est négo- ciée 30 secondes avant que la durée de vie indiquée par le mot clé seconds expire ou ccnp_cch

13 quand le volume de trafic à travers le tunnel est inférieur de 256 Kilo-octets à la durée
de vie indiquée par le mot clé kilobytes. Si aucun trafic ne passe par le tunnel pendant la durée de vie l'association de sécurité , une nouvelle association de sécurité n'est pas négociée quand la durée de vie expire. Au lieu de cela, une nouvelle association de sécurité est négociée uniquement si IPSec voit un autre paquet qui doit être protégé. Création de Crypto Access lists Les crypto access lists sont utilisées pour définir quel trafic sera protégé par cryptage et quel trafic ne sera pas protégé. (Ces listes d'accès ne sont pas des listes d'accès classiques qui déterminent si le trafic doit être acheminé ou bloqué sur une interface). Par exemple, les listes d'accès peuvent être créées pour protéger tout le trafic IP entre le réseau A et le réseau Y ou le trafic Telnet entre le host A et le host B. Les listes d'accès par elles-mêmes ne sont pas spécifiques à IPSec. C'est l'entrée de la crypto map qui fait référence à la liste d'accès particulière qui définit si le traitement IPSec peut être appliqué au trafic correspondant à une instruction permit de la liste d'accès. Les crypto access lists associées avec les entrées de crypto map IPSec ont quatre fonc- tions primaires:  Sélection du trafic sortant devant être protégé par IPSec (permit = protéger).  Indique le flux de données devant être protégé par les nouvelles associations de sécurité (spécifié par une seule entrée permit) quand la négociation des associations de sécurité IPSec est initiée.  Traite le trafic entrant pour filtrer et ignorer le trafic qui aurait du être protégé par IPSec.  Détermine si on accepte ou non les requêtes pour des associations de sécurité sur la base des flux de données demandés quand la négociation IKE est engagée avec l'extrémité IPSec distante. (La négociation est faite uniquement pour des entrées ipsec-isakmp de crypto map. Pour être accepté, si l'extrémité distante initie la négo- ciation IPSec, celle-ci doit spécifier un flux de données "permis" par la crypto access list associée à une entrée de ipsec-isakmp de crypto map. Si vous voulez qu'un certain trafic ait un type de protection IPSec (par exemple l'au- thentification uniquement)) et qu'un autre trafic ait un autre type de protection IPSec (par exemple l'authentification et le cryptage), vous avez besoin de créer deux crypto access lists différentes lesquelles spécifient des politiques IPSec différentes. Plus tard, vous associerez les crypto access lists à des interfaces particulières quand vous configurerez et appliquerez des ensembles de crypto map aux interfaces. ccnp_cch

14 Pour créer des crypto access lists, utilisez les commandes en mode de configuration
global. Commande But Routeur(config)# access-list access-list-number {deny | permit} protocol source source-wildcard destination destination-wildcard [log] ou Routeur(config)# ip access-list extended name Suivi des instructions permit et deny appropriées. Spécifie les conditions qui déterminent quels paquets IP seront protégés.1 (Valide ou dévalide la protection pour le trafic qui correspond à ces conditions). Configurez une crypto access list "mirror image" pour l'usage de IPSec et évitez l'utilisation du mot clé any keyword comme cela est décrit dans les sections “Définition de Crypto Access Lists Mirror Image à chaque l'extrémité IPSec" et “Utilisation du mot clé any dans les Crypto Access Lists” 1. Vous spécifiez les conditions en utilisant une liste d'accès IP désignée par un numéro ou un nom. La commande access-list une liste d'accès étendue numérotée; la commande ip access-list extended désigne une liste d'accès nommée. Cette section comprend les chapitres suivants:  Particularités des crypto access lists  Définition de crypto access miroir à chaque extrémité IPSec  Utilisation du mot clé any dans les crypto access lists Particularités des crypto access lists L'utilisation du mot clé permit fait que tout le trafic IP qui correspond à des conditions particulières est protégé par crypto map en utilisant la politique décrite par l'entrée correspondante de la crypto map. L'utilisation du mot clé deny empêche le trafic d'être protégé par crypto dans le contexte d'une entrée particulière de crypto map. (En d'au- tres termes, elle n'autorise pas la politique telle qu'elle est spécifiée dans l'entrée de crypto map à être appliquée à ce trafic). Si ce trafic est rejeté dans toutes les entrées de crypto map pour cette interface alors le trafic n'est pas protégé par la crypto map. La crypto access list que vous définissez sera appliquée à l'interface après avoir défini l'entrée de crypto map et appliqué la crypto map à l'interface. Plusieurs listes d'accès peuvent être utilisées dans différentes entrées de la même crypto map. (Ces deux tâ- ches sont décrites dans les chapitres qui suivent). Toutefois lex trafics entrant et sor- tant peuvent être évalués par la même liste d'accès IP "sortante". Par conséquent les critères de la liste d'accès sont appliqués dans la direction d'acheminement du trafic sortant du routeur et dans la direction inverse pour le trafic entrant sur le routeur. Dans la figure suivante, la politique IPSec est appliquée au trafic entre le host et le host car les données sortent de l'interface S0 du routeur A vers le host Pour le trafic du host vers le host , l'entrée de la liste d'ac- cès sur le routeur A est évaluée comme suit: source = host dest = host ccnp_cch

15 Pour le trafic du host 20. 2 vers le host 10
Pour le trafic du host vers le host , la même entrée de liste d'accès sur le Routeur A est évaluée comme suit: source = host dest = host Host Host IPSec Peers S0 Internet S1 Routeur B Routeur A Liste d'accès IPSec sur S0: access-list 101 permit ip host host Liste d'accès IPSec sur S1: access-list 111 permit ip host host Le trafic échangé entre les hosts et est protégé entre le Routeur A S0 et le Routeur B S1 Si vous configurez plusieurs instructions pour la liste d'accès crypto utilisée pour IPSec, en règle générale, la première instruction permit qui correspond sera l'instruc- tion utilisée pour déterminer la portée de l'association de sécurité IPSec. Ce qui veut dire que l'association de sécurité IPSec sera établie pour protéger le trafic qui répond aux critères qui correspondent uniquement à cette instruction. Plus tard si le trafic correspond à une instruction permit différente de la liste d'accès crypto, une nouvelle association de sécurité IPSec différente sera négociée pour protéger le trafic correspon- dant à la nouvelle instruction de la liste d'accès. Note: Les listes d'accès pour les entrées de crypto map marquées ipsec-manual sont restreintes à une seule entrée permit et les entrées suivantes sont ignorées. En d'au- tres termes, les associations de sécurité établies par cette entrée de crypto map parti- culière le sont pour un seul flux de données. Pour supporter plusieurs associations de sécurité établies manuellement pour différents types de trafic, définissez plusieurs listes d'accès crypto et appliquez chacune d'elles à une entrée ipsec-manual séparée pour chaque entrée de crypto map. Chaque liste d'accès doit comporter une seule ins- truction permit définissant le trafic à protéger. Tout trafic entrant non protégé qui correspond à une entrée permit de liste d'accès crypto pour une entrée de crypto map marquée IPSec sera éliminé car ce trafic est supposé être protégé par IPSec. Note: Si vous affichez les listes d'accès de votre routeur en utilisant la commande show ip access-lists, toutes les listes d'accès IP étendues seront affichées dans cette sortie. Cela inclut les listes d'accès IP étendues qui sont utilisées pour des besoins de filtrage de trafic comme celles utilisées pour IPSec. La sortie des commandes show ne fait pas la différence entre les différentes utilisations des listes d'accès étendues. ccnp_cch

16 Définir des listes d'accès crypto image à chaque extrémité IPSec
Pour chaque liste d'accès crypto spécifique pour une entrée de crypto map que vous définissez à l'extrémité locale, vous devez définir une liste d'accès crypto image à l'ex- trémité distante. Ceci assure que le trafic qui a une protection IPSec appliquée locale- ment pourra être traité correctement à l'extrémité distante. (Les entrées crypto map elles-mêmes doivent supporter des transform set communs et faire référence à l'autre extrémité). La figure suivante montre les exemples de scénarios quand vous avez des listes d'accès crypto image et quand vous n'en avez pas. Sous-réseau X Sous-réseau Y S0 Host A Internet Host B S1 Routeur N Routeur M Host C Host D Liste d'accès IP sur S0 Liste d'accès IP sur S1 1er paquet Résultats Cas 1 Permet Host A ---> Host B Host B ---> Host A A ---> B ou B ---> SAs établies pour le trafic A <---> B (OK) Cas 2 Sous-réseau X vers Sous-réseau Y Sous-réseau Y vers Sous-réseau X ou B ---> A ou A ---> C ou C ---> D etc… le trafic X <---> Y (OK) Cas 3 Cas 4 B ---> A SA non établies et les paquets du host B vers le Hast A sont éliminés (KO). Liste d'accès image sur le Routeur M S0 et Routeur N S1 Comme l'indique la figure ci-dessus, les associations de sécurité IPSec (SA) peuvent être établies comme attendu chaque fois que les deux listes d'accès des extrémités ont des images l'une de l'autre. Toutefois une SA IPSec peut être établie occasionnellement quand des listes d'accès ne sont pas des images l'une de l'autre. Ceci peut se produire dans les cas où l'entrée de la liste d'accès d'une extrémité est un sous-ensemble d'une entrée de la liste d'accès de l'autre extrémité comme cela est montré dans les cas 3 et 4. L'établissement de SA IPSec est critique pour IPSec ; sans SA, IPSec ne fonctionne pas ce qui entraine que tous les paquets qui correspondent aux critères de la liste d'accès crypto seront éliminés en silence au lieu d'être acheminés par IPSec. Dans la figure ci-dessus, pour le cas 4 une SA ne peut pas être établie. C'est parce que les SAs sont toujours requises d'après les listes d'accès crypto à l'extrémité qui a initié le paquet. Dans le cas N°4, le routeur N demande que tout le trafic entre les sous-réseau X et le sous-réseau Y soit protégé mais c'est un sur-ensemble du flux ccnp_cch

17 particulier permis par la liste d'accès crypto sur le routeur M et par conséquent la re-
quête n'est pas permise. Le Cas N°3 fonctionne car la requête du routeur M est un sous-ensemble des flux particuliers permis par la liste d'accès crypto du routeur N. A cause de la complexité introduite quand des listes d'accès ne sont pas configurées comme images aux extrémités IPSec, Cisco recommande fortement d'utiliser des listes d'accès crypto image. Utilisation du mot clé any dans des listes d'accès crypto Quand vous créez des listes d'accès crypto, l'utilisation du mot clé any peut causer des problèmes. Cisco déconseille l'utilisation du mot clé any pour spécifier des adres- ses source et destination. Le mot clé any dans une instruction permit est déconseillé quand vous avez du trafic multicast passant par l'interface IPSec; le mot clé any peut entrainer la perte du trafic multicast. L'instruction permit any any est fortement déconseillée car elle entraine que tout le trafic sortant doit être protégé ( et tout le trafic transmis vers l'extrémité spécifiée dans l'entrée de crypto map correspondante) et demandera la protection du trafic entrant. Ensuite tous les paquets entrants qui ne demandent pas de protection IPSec seront éliminés en silence, y compris les paquets des protocoles de routage, NTP, echo et echo reply, etc… Vous devez être sur de la définition des paquets à protéger. Si vous devez utiliser le mot clé any dans une instruction permit, vous devez faire précéder cette instruction par une série d'instructions deny pour filtrer tout trafic (qui autrement entrerait dans l'instruction permit de la liste d'accès) que vous ne voulez pas protéger. Définir des Transform set Un transform set représente une combinaison de protocoles de sécurité et d'algorith- mes. Pendant la négociation des associations de sécurité IPSec, les extrémités utilisent un transform set particulier pour protéger un flux de données particulier. Vous pouvez spécifier plusieurs transform set et ensuite spécifier un ou plusieurs de ces transform set dans une entrée de crypto map. Le transform set défini dans l'entrée de crypto map sera utilisé dans la négociation de l'association de sécurité pour proté- ger les flux de données spécifiés par la liste d'accès de l'entrée crypto map. Durant les négociations d'associations de sécurité IPSec avec IKE, les extrémités re- cherchent un transform set qui est le même à chaque extrémité. Quand un transform set commun est trouvé, il est sélectionné et sera appliqué pour protéger le trafic com- me faisant partie des associations de sécurité IPSec des deux extrémités. Avec les associations de sécurité établies manuellement il n'y a pas de négociation avec l'autre l'extrémité aussi les deux extrémités doivent spécifier le même transform set. ccnp_cch

18 Si vous changez la définition d'un transform set, la modification est uniquement appli-
quée aux entrées de crypto map qui font référence au transform set. La modification ne sera pas appliquée aux associations de sécurité existantes mais dans les négocia- tions suivantes pour établir de nouvelles associations de sécurité. Si vous voulez que les modifications prennent effet plus rapidement, vous pouvez effacer tout ou partie de la base de données des associations de sécurité en utilisant la commande clear crypto sa. Pour définir un transform set, utilisez les commandes suivantes en débutant en mode de configuration global. Commande But Routeur (config)# crypto ipsec transform-set transform-set-name transform1 [transform2 [transform3]] Définit un transform set. Il y a des règles complexes définissant quelles entrées vous pouvez utiliser pour les arguments du transform set. Ces règles sont expliquées dans la description de la commande crypto ipsec transform set et le tableau 2 dans la suite de ce document donne une liste des combinaisons de transform set permises. Cette commande vous place en mode de configu- ration crypto transform set. Routeur (cfg-crypto-tran)# mode [tunnel | transport] (Optionnel) Change le mode associé au trans- form set. Le paramètrage du mode est unique- ment applicable au trafic dont les adresses source et destination sont les adresses des ex- trémités IPSec; Il est ignoré pour tout autre trafic. (Tout autre trafic est uniquement en mod tunnel.) Routeur (cfg-crypto-tran)# exit Sort du mode de configuration crypto transform set. Routeur (config)# clear crypto sa ou Routeur (config)# clear crypto sa peer {ip-address | peer-name} Routeur (config)# clear crypto sa map map-name Routeur (config)# clear crypto sa entry destination-address protocol spi Efface les associations de sécurité existantes pour que les changements prennent effet sur les associations de sécurité qui seront établies ulté- rieurement. (Les SAs établies manuellement seront immédiatement rétablies). L'utilisation de la commande clear crypto sa sans paramètres effacera toute la base de données de SA ce qui effacera les sessions de sécurité actives. Vous pouvez également spécifier les mots clés peer, map ou entry pour effacer un sous-ensemble de la base de données SA. Pour plus d'informations voir la commande clear crypto sa. ccnp_cch

19 ccnp_cch Créer des entrées de crypto map
Tableau 2 - Combinaisons autorisées pour les transform set Type de transform set Transform set Description AH Transform (En choisir un) ah-md5-hmac ah-sha-hmac AH avec l'algorithme d'authentification MD5 (variante HMAC) AH avec l'algorithme d'authentification SHA (variante HMAC) ESP Encryption Transform (En choisir un) esp-des esp-3des esp-null ESP avec l'algorithme de cryptage 56-bit DES ESP avec l'algorithme de cryptage 168-bit DES (3DES ou Triple DES) Algorithme de cryptage null ESP Authentication Transform (En choisir un ) esp-md5-hmac esp-sha-hmac ESP avec l'algorithme d'authentification MD5 (variante HMAC) ESP avec l'algorithme d'authentification SHA (variante HMAC) IP Compression Transform (En choisir un ) comp-lzs Compression IP avec l'algorithme LZS Créer des entrées de crypto map Pour créer des entrées de crypto map suivez ces conseils et les tâches décrites dans ces sections:  Au sujet des Crypto Map  Partage de charge  Combien de crypto map doit-on créer?  Créer des entrées de crypto map pour établir manuellement des associations de sécurité  Créer des entrées de crypto map qui utilisent IKE pour établir des associations de sécurité ccnp_cch

20 ccnp_cch Au sujet des Crypto Map
Les entrées de crypto map créées pour IPSec rassemblent les différentes parties utili- sées pour établir les associations de sécurité:  Quel trafic doit être protégé par IPSec (par liste d'accès crypto)  La granularité du flux devant être protégé par un ensemble d'associations de sécu- rité  Vers où le trafic protégé par IPSec doit être transmis  Quelle sécurité IPSec doit être appliquée à ce trafic (sélectionné à partir d'une liste d'un ou plusieurs transform set)  Si les associations de sécurité sont établies manuellement ou via IKE  D'autres paramètres qui pourraient être nécessaires pour définir les associations de sécurité IPSec. Les entrées de crypto map avec le même nom de crypto map (mais des numéros de séquence différents) sont groupées dans un ensemble crypto map. Plus tard vous ap- pliquerez ces ensembles crypto map aux interfaces; ensuite tout le trafic passant par l'interface est évalué par la crypto map associée à cette interface. Si une entrée de crypto map voit du trafic IP sortant qui doit être protégé et que la crypto map spécifie l'utilisation d'IKE, une association de sécurité est négociée avec l'extrémité distante d'après les paramètres de l'entrée crypto map; autrement si l'entrée de crypto map spécifie l'utilisation d'associations de sécurité manuelles, une association de sécurité doit avoir été établie par configuration. (Si une entrée de crypto map dynamique voit du trafic sortant qui doit être protégé par IPSec et qu'aucune association de sécurité n'existe alors le paquet est éliminé). La politique décrite dans les entrées de crypto map est décrite durant la négociation des associations de sécurité. Si le routeur local initie la négociation, il utilisera la po- litique spécifiée dans les entrées statiques de crypto map pour créer l'offre à transmet- tre à l'extrémité IPSec spécifiée. Si l'extrémité IPSec initie la négociation, le routeur lo- cal vérifiera la politique à partir des entrées statiques de crypto map comme également toutes les entrées de crypto map dynamiques référencées pour décider s'il accepte ou non la requête (offre) de l'extrémité. Pour que IPSec fonctionne entre les deux extrémités IPSec, les entrées de crypto map des deux extrémités doivent contenir des éléments de configuration compatibles. Quand deux extrémités tentent d'établir des associations de sécurité, chacune d'elles doit avoir au moins une entrée qui est compatible avec une entrée de crypto map de l'autre extrémité. Pour que deux entrées de crypto map soient compatibles, elles doi- vent au moins suivre les critères suivants:  Les entrées de crypto map contiennent des listes d'accès compatibles (listes d'accès image). Dans le cas où l'extrémité qui répond utilise des crypto maps dynamiques, les entrées de la liste d'accès crypto locale doivent être "permises" par la liste d'ac- cès de l'autre extrémité. ccnp_cch

21  Chacune des entrées de crypto map doit identifier l'autre extrémité (sauf si l'extré-
mité qui répond utilise des crypto maps dynamiques)  Les entrées de crypto map doivent avoir au moins un transform set en commun Partage de charge Vous pouvez définir de multiples extrémités distantes utilisant des crypto maps pour permettre le partage de charge. Si une extrémité est défaillante, il y aura toujours un chemin protégé. L'extrémité vers laquelle les paquets sont actuellement est déterminée par la dernière extrémité que le routeur a écouté (reçu du trafic ou une requête de né- gociation) pour un flux de données particulier. Si la tentative échoue avec la première, IKE fait une tentative avec l'extrémité suivante de la crypto map. Si vous n'êtes pas sur de configurer correctement chaque paramètre de crypto map pour garantir la compatibilité avec d'autres extrémités, vous pouvez essayer la confi- guration de crypto map dynamique comme cela est décrit dans la section "Création de crypto maps dynamiques". Les crypto maps dynamiques sont très utiles quand l'éta- blissement de tunnels IPSec est initié par l'extrémité distante (tel que dans la cas d'un routeur faisant face à un serveur). Elles ne sont pas très utiles si l'établissement de tunnels IPSec est initié localement, car les crypto maps dynamiques sont des modèles de politique et non des politiques complètes. ( bien que les listes d'accès référencées dans toute entrée de crypto map soient utilisées pour le filtrage de paquet). Combien de crypto maps devez-vous créer? Vous pouvez appliquer une seule crypto map à une seule interface. La crypto map peut inclure une combinaison d'entrées IPSec/IKE et IPSec/Manuel. Plusieurs inter- faces peuvent partager la même crypto map si vous voulez appliquer la même politi- que à plusieurs interfaces. Si vous créez plus d'une entrée crypto map pour une interface donnée, utilisez le para- mètre seq-num sur chaque entrée pour donner un rang à chacune des entrées; plus seq-num est faible plus la priorité est élevée. Sur l'interface qui a la crypto map, le tra- fic est évalué en commençant par les entrées de priorité les plus élevées. Vous devez créer plusieurs entrées de crypto map pour une interface donnée si une de ces conditions existe:  Si différents flux de trafic doivent être gérés par des extrémités IPSec séparées  Si vous voulez appliquer différentes sécurité IPSec à différents types de trafic ( à la même ou avec des extrémités IPSec différentes); par exemple si vous voulez que le trafic entre un ensemble de sous-réseaux soit authentifié et crypté. Dans ce cas les différents types de trafic doivent être définis dans deux listes d'accès séparées et vous devez une entrée crypto map séparée pour chaque liste d'accès crypto  Si vous n'utilisez pas IKE pour établir un ensemble particulier d'associations de sé- curité et que vous voulez spécifier plusieurs entrées de listes d'accès, vous devez créer des listes d'accès séparées (une par entrée permit) et spécifier une crypto map séparée pour chaque liste d'accès. ccnp_cch

22 Création d'entrées de crypto map pour établir des associations de sécurité
manuelles L'utilisation d'associations de sécurité manuelles est le résultat d'un accord préalable entre utilisateurs du routeur local et de l'extrémité IPSec. Les deux parties peuvent désirer commencer par des associations de sécurité manuelles et ensuite passer à des associations de sécurité via IKE ou alors le système de la partie distante ne supporte pas IKE. Si IKE n'est pas utilisé pour établir de associations de sécurité, il n'y a pas de négociation d'associations de sécurité aussi la configuration des deux systèmes doit être la même pour que le trafic soit traité avec succès par IPSec. Le routeur local peut supporter simultanément des associations de sécurité manuelles et d'autres établies via IKE même dans une crypto map unique. Il n'y a pas de raison pour dévalider IKE sur le routeur local (sauf si le routeur supporte uniquement des associations de sécurité manuelles). Pour créer des entrées de crypto map pour établir des associations de sécurité manu- elles (SA), utilisez les commandes suivantes en débutant en mode de configuration global. Commande But Routeur(config)# crypto map map-name seq-num ipsec-manual Spécifie l'entrée de crypto map à créer ( ou à modifier). Cette commande fait passer en mode de con- figuration crypto map. Routeur(config-crypto-m)# match address access-list-id Nomme une liste d'accès IP. Cette liste d'accès détermine quel trafic doit être protégé par IPSec et quel trafic ne doit pas être protégé par IPSec dans le contexte de l'entrée de crypto map. (La liste d'accès spécifie uniquement une entrée permit quand IKE n'est pas utilisée.) Routeur(config-crypto-m)# set peer {hostname | ip-address} Spécifie l'extrémité IPSec distante. C'est l'extré- mité vers laquelle le trafic protégé par IPSec doit être acheminé. (Une seule extrémité peut être spécifiée quand IKE n'est pas utilisé). Routeur (config-crypto-m)# set transform-set transform-set-name Spécifie quel transform set doit être utilisé. Celui-ci doit être le même transform set qui est spécifié dans l'entrée de crypto map de l'extrémité correspondante. (Un seul transform set peut être spécifiée quand IKE n'est pas utilisé). Routeur (config-crypto-m)# set session-key inbound ah spi hex-key-string et Routeur(config-crypto-m)# set session-key outbound ah spi Si le transform set spécifié comprend le proto- cole AH, fixer les SPIs (Security Parameter Indexes ) AH et les clés à appliquer au trafic entrant et sortant protégé. (Ceci spécifie manuellement l'association de sécurité AH devant être utilisée pour protéger le trafic.) ccnp_cch

23 Commande But Routeur(config-crypto-m)# set session-key inbound esp spi cipher hex-key-string [authenticator hex-key-string] et Routeur(config-crypto-m)# set session-key outbound esp spi cipher hex-key-string [authenticator hex-key-string] Si le transform set spécifié inclut le protocole ESP, fixer les SPIs (Security Parameter Indexes) ESP et les clés à appliquer au trafic protégé entrant et sortant. Si le transform set inclut un algorithme de cryptage ESP, spécifiez les clés de cryptage. Si le transform set ESP inclut un algorithme d'authentification ESP, spécifiez les clés de l'authentificateur.. (Ceci spécifie manuellement l'association de sécurité ESP devant être utilisée pour protéger le trafic.) Routeur(config-crypto-m)# exit Sort du mode de configuration crypto map et retourne en mode configuration global. Répétez ces étapes pour créer d'autres entrées de crypto map si cela est requis. Créer des entrées de crypto maps qui utilisent IKE pour établir des associations de sécurité Quand IKE est utilisé pour établir des associations de sécurité, les extrémités IPSec peuvent négocier les paramètres qu'elles utiliseront pour la nouvelle association de sécurité. Ceci signifie que vous pouvez spécifier les listes (telles des de transform set acceptables) dans l'entrée de crypto map. Pour créer des entrées de crypto map qui utiliseront IKE pour établir des associations de sécurité, utilisez les commandes suivantes en débutant en mode de configuration global. Commande But Routeur(config)# crypto map map-name seq-num ipsec-isakmp Nomme l'entrée de crypto map entry à créer (ou modifier). Cette commande fait passer en mode de con- figuration crypto map. Routeur(config-crypto-m)# match address access-list-id Nomme une liste d'accès étendue. Cette liste d'accès détermine quel trafic doit être protégé par IPSec et quel trafic ne doit pas être protégé par IPSec dans le contexte de l'entrée de la crypto map. Routeur(config-crypto-m)# set peer {hostname | ip-address} Spécifie une extrémité IPSec distante vers la-quelle le trafic protégé doit être acheminé. A répéter pour plusieurs extrémités. Router (config-crypto-m)# set transform-set transform-set-name1 [transform-set-name2...transform-set-name6] Spécifie quels transform sets sont autorisés pour cette entrée de crypto map. Liste les transform set dans l'ordre de priorité (le pre-mier est le plus prioritaire). ccnp_cch

24 ccnp_cch Créer des crypto maps dynamiques
Commande But Routeur(config-crypto-m)# set security-association lifetime seconds seconds et/ou Routeur(config-crypto-m)# set security-association lifetime kilobytes kilobytes (Optionnel) Si vous voulez que les associations de sécurité pour cette entrée de crypto map soit négociée en utilisant durées de vie d'associa-tions de sécurité IPSec différentes des durées de vie globales, spécifiez une durée de vie d'as-sociation de sécurité pour l'entrée de crypto map. Routeur(config-crypto-m)# set security-association level per-host (Optionnel) Spécifie que des associations de sé-curité séparées doivent être établies pour cha-que paire host source/destination. Sans cette commande, un seul "tunnel" IPSec pourrait transporter le trafic de plusieurs hosts source et plusieurs hosts destination. Avec cette commande, quand le routeur de-mande de nouvelles associations de sécurité il établit un groupe de trafic entre le Host A et le Host B et un groupe séparé entre le Host A et le Host C. Utilisez cette commande avec soin car de multi-ples flux entre des sous-réseaux peuvent rapi- dement consommer des ressources. Routeur(config-crypto-m)# set pfs [group1 | group2]. (Optionnel) Spécifie que IPSec doit demander le PFS (Perfect Forward Secrecy) quand il demande de nouvelles associations de sécurité pour cette entrée de crypto map ou doit exiger PFS dans les requêtes reçue de l'extrémité IPSec. Routeur(config-crypto-m)# exit Sort du mode de configuration crypto map et retourne en mode configuration global. Créer des crypto maps dynamiques Les crypto maps dynamiques (IKE est requis) peut faciliter la configuration d'IPSec et l'utilisation est recommandée avec des réseaux dont les extrémités sont connues à l'avance. Un exemple de cela sont les utilisateurs mobiles qui obtiennent leur adresse IP de manière dynamique. D'abord les clients mobiles ont besoin de s'authentifier eux-mêmes avec le routeur IKE local avec autre chose qu'une adresse IP comme par exemple un nom de domaine complet. Une fois que l'authentification est faite, la re- quête d'association de sécurité peut être traitée en passant par une crypto map dyna- mique qui est configurée pour accepter les requêtes (correspondantes à la politique locale de sécurité) à partir d'extrémités non connues auparavant. ccnp_cch

25 Pour configurer des crypto maps dynamiques, suivre ces instructions dans ces
sections:  Comprendre les crypto maps dynamiques  Créer un ensemble crypto map dynamique dans un ensemble crypto map statique Comprendre les crypto maps dynamiques Les crypto maps dynamiques sont uniquement utilisables avec IKE. Une entrée de crypto map dynamique est essentiellement une entrée de crypto map sans tous les paramètres configurés. Elle agit comme un modèle de politique dans le- quel les paramètres manquants sont ultérieurement configurés de manière dynamique (c'est le résultat de la négociation IPSec) pour correspondre aux exigences de l'extrémi- té distante. Ceci permet à des extrémités d'échanger du trafic IPSec avec le routeur même si le routeur n'a pas d'entrée de crypto map spécialement configurée pour ré- pondre à toutes les exigences de l'extrémité distante. Les crypto maps dynamiques ne sont pas utilisées par le routeur pour initier de nou- velles associations de sécurité IPSec avec les extrémités distantes. Les crypto maps dynamiques sont utilisées quand une extrémité distante tente d'initier une association de de sécurité IPSec avec le routeur. Les crypto maps dynamiques sont également uti- lisées dans l'évaluation du trafic. Un ensemble crypto map dynamique est inclut par référence comme partie d'un en- semble crypto map. Toutes les entrées qui font référence à des crypto maps dynami- ques doivent être des entrées de crypto map de plus faible priorité dans l'ensemble crypto map (ce qui veut dire numéros plus élevés) pour que les autres entrées de cryp- to map soient évaluées en premier; de cette manière, l'ensemble crypto map dynami- que est examiné uniquement quand les autres entrées (statiques) de crypto map n'ont pas trouvé de correspondance. Si un routeur accepte la requête de l'extrémité distante, à ce point il installe de nou- velles associations de sécurité et il installe également une entrée de crypto map tem- poraire. Cette entrée est remplie avec les résultats de la négociation. A ce point, le rou- teur exécute un traitement normal en utilisant l'entrée temporaire de crypto map com- me une entrée normale requérant même de nouvelles associations de sécurité si celles en cours expirent (sur la base de la politique spécifiée dans l'entrée temporaire de crypto map). Une fois que le flux expire (ce qui veut dire que toutes les associations de sécurité expirent), l'entrée temporaire de crypto map est retirée. Pour les crypto maps dynamiques et statiques, si du trafic entrant non protégé corres- pond à une instruction permit de la liste d'accès et que l'entrée correspondante est marquée "IPSec" alors le trafic est éliminé car il ne doit pas être protégé par IPSec. (Ceci est du au fait que la politique de sécurité telle qu'elle est spécifiée par l'entrée de crypto map statue que le trafic doit être protégé par IPSec). Pour les entrées de crypto maps statiques, si du trafic entrant correspond à une ins- truction permit de la liste d'accès et que la SA correspondante n'est pas encore établie alors le routeur initiera de nouvelles SA avec l'extrémité distante. Dans le cas d'entrées de crypto maps dynamiques, si aucune SA n'existe le trafic sera simplement éliminé ccnp_cch

26 ( les crypto maps dynamiques ne sont pas utilisées pour créer de nouvelles associa-
tions de sécurité). Note: Faites attention quand vous utilisez le mot clé any dans les entrées permit de crypto maps dynamiques. Si cela est possible pour le trafic couvert par une telle en- trée dans le but d'inclure du trafic multicast ou broadcast, la liste d'accès doit inclure des instructions deny pour l'intervalle d'adresses approprié. Les listes d'accès doivent également inclure des entrées deny pour le trafic broadcast réseau et sous-réseau et pour tout autre trafic qui ne doit pas être protégé par IPSec. Créer un ensemble crypto map dynamique Les entrées de crypto maps dynamiques, comme les entrées de crypto maps statiques, sont groupées dans des ensembles. Un ensemble est un groupe d'entrées de crypto map toutes avec le même dynamic-map-name mais chacune avec un dynamic-seq-num différent. Pour créer des entrées de crypto map dynamiques, utilisez les commandes suivantes en débutant en mode de configuration global. Commande But Routeur(config)# crypto dynamic-map dynamic-map-name dynamic-seq-num Crée une entrée de crypto map dynamique. Routeur(config-crypto-m)# set transform-set transform-set-name1 [transform-set-name2...transform-set-name6] Spécifie quels transform sets sont autorisés pour l'entrée de crypto map. Listez les différents transform sets dans l'ordre de priorité (le premier de est le plus prioritaire). C'est la seule instruction de configuration re-quise dans entrées de crypto maps dynamiques. Routeur(config-crypto-m)# match address access-list-id (Optionnel) Numéro ou nom de liste d'accès d'une liste d'accès étendue. Cette liste d'accès détermine quel trafic doit être protégé par IPSec et quel trafic ne doit pas être protégé par IPSec dans le contexte de cette entrée de crypto map. Note: Bien que les listes d'accès soient option-nelles pour les crypto maps dynamiques, elles sont fortement recommandées. Si ceci est configuré, le flux de données proposé par l'extrémité IPSec doit correspondre à une instruction permit de cette liste d'accès de crypto map. Si ceci n'est pas configuré, le routeur acceptera tout flux de trafic proposé par l'extrémité IPSec. Cependant si ceci est configuré mais que la lis- te d'accès spécifiée est vide ou n'existe pas alors le routeur éliminera le trafic. Ceci est similaire aux crypto maps statiques car elles requièrent également qu'une liste d'accès soit spécifiée. L'utilisation du mot clé any dans la liste d'accès doit être faite avec précaution car la liste d'accès est utilisé pour le filtrage de paquets comme pour la négociation. ccnp_cch

27 Commande But Routeur(config-crypto-m)# set peer {hostname | ip-address} (Optionnel) Spécifie une extrémité distante IPSec. A répéter pour plusieurs extrémités IPSec distantes. Cela est rarement configuré dans des entrées de crypto maps dynamiques. Les entrées de crypto map dynamique sont souvent utilisées pour des extrémités IPSec non connues. Routeur(config-crypto-m)# set security-association lifetime seconds seconds et/ou Routeur (config-crypto-m)# set security-association lifetime kilobytes kilobytes (Optionnel) Si vous voulez que les associations de sécurité pour cette crypto map soient négo- ciées avec des durées de vie plus courtes que celles utilisées généralement, spécifiez des du- rées de vie pour l'entrée de crypto map. Routeur(config-crypto-m)# set pfs [group1 | group2] (Optionnel) Spécifie que IPSec doit demander le PFS quand il fait une requête d'association de sécurité pour cette entrée de crypto map ou doit exiger PFS dans les requête reçues de l'extrémité IPSec. Routeur(config-crypto-m)# exit Sort du mode de configuration crypto-map et re- tourne en mode de configuration global. Les entrées de crypto map dynamique spécifient les listes d'accès crypto qui limitent le trafic pour lequel les associations de sécurité IPSec peuvent être établies. Une entrée de crypto map dynamique qui ne spécifie pas de liste d'accès sera ignorée pendant le filtrage du trafic. Une entrée de crypto map dynamique avec une liste d'accès vide en- trainera l'élimination du trafic. S'il y a uniquement une entrée de crypto map dynami- que dans l'ensemble crypto map, elle doit spécifier des transform sets acceptables. Ajouter un ensemble crypto map dynamique dans un ensemble crypto map statique Vous pouvez ajouter un ou plusieurs ensembles crypto map dynamique dans un en- semble crypto map via des entrées crypto map qui font référence à des ensembles de crypto maps dynamiques. Vous devez référencer les entrées de crypto map qui poin- tent sur des entrées dynamiques avec la priorité la plus faible dans l'ensemble crypto map (ce qui signifie plus grands numéros de séquence). Pour ajouter un ensemble crypto map dynamique dans un ensemble crypto map, uti- lisez la commande suivante en mode de configuration global. Commande But crypto map map-name seq-num ipsec-isakmp dynamic dynamic-map-name Ajoute un ensemble crypto map dynamique à un ensemble crypto map statique. ccnp_cch

28 ccnp_cch Appliquer des Crypto maps à des interfaces
Vous devez appliquer une crypto map à chaque interface par laquelle le trafic IPSec va passer. Appliquer la crypto map à une interface indique au routeur d'évaluer le trafic de l'interface à partir de la crypto map et d'utiliser la politique spécifiée durant la con- nexion ou la négociation d'association de sécurité sur la base du trafic devant être protégé par la crypto map. Pour appliquer une crypto map à une interface, utilisez la commande suivante en mo- de de configuration interface. Commande But Routeur(config-if)# crypto map map-name Applique un ensemble crypto map à une inter- face. Pour des besoins de redondance, vous pouvez appliquer la même crypto map à de multiples interfaces. Le comportement est le suivant:  Chaque interface à sa propre part de base de données d'association de sécurité  L'adresse IP de l'interface locale sera utilisée comme adresse locale pour le trafic pour le trafic IPSec à destination ou issu de cette interface. Si vous appliquez la même crypto map à plusieurs interfaces pour des besoins de re- dondance, vous devez spécifier une interface d'identification. Ceci a les effets suivants:  La portion par interface de la base de données des associations de sécurité IPSec sera établie une fois et partagée pour le trafic passant par toutes les interfaces qui se partagent la crypto map  L'adresse IP de l'interface d'identification sera utilisée comme adresse locale pour le trafic IPSec à destination ou issu de ces interfaces partageant la même crypto map. Une suggestion est d'utiliser une interface loopback comme interface d'identification. Pour spécifier des interfaces redondantes et nommer une interface d'identification, utilisez la commande suivante en mode de configuration global. Commande But Routeur(config)# crypto map map-name local-address interface-id Permet à des interfaces redondantes de partager la même crypto map en utilisant la même iden- tité locale. ccnp_cch

29 Superviser et maintenir IPSec
Certaines modifications de configuration prendront effet uniquement pour les associa- tions de sécurité ultérieures. Si vous voulez que les nouveaux paramètres soient pris immédiatement en compte, vous devez effacer les associations de sécurité existantes ainsi elles seront rétablies avec les modifications de configuration appliquées. Pour les associations de sécurité établies manuellement, vous devez effacer et réinitialiser les associations de sécurité sinon les changements ne prendront jamais effet. Si le proces- seur est en train de traiter du trafic IPSec, il est souhaitable d'effacer uniquement la partie de la base de données des associations de sécurité qui serait affectée par les modifications (c'est-à-dire effacer uniquement les associations de sécurité établies par une crypto map donnée). L'effacement total de la base de données des associations de sécurité doit être réservée à des changements de grande ampleur ou lorsque le routeur traite très peu d'autres trafics IPSec. Pour effacer (et réinitialiser) les associations de sécurité IPSec, utilisez une des com- mandes suivantes en mode EXEC privilégié. Commande But Routeur(config)# clear crypto sa ou Routeur(config)# clear crypto sa peer {ip-address | peer-name} Routeur(config)# clear crypto sa map map-name Routeur(config)# clear crypto sa entry destination-address protocol spi Efface les associations de sécurité IPSec. Note: L'utilisation de la commande clear crypto sa sans paramètres effacera toute la base de données des SA ce qui effacera toutes les sessions de sécurité actives. Vous pouvez égale- ment spécifier les mots clés peer, map ou entry pour effacer un sous-ensemble de la base de données de SA. Pour plus d'informations voir la commande clear crypto sa. Pour afficher les informations concernant la configuration IPSec, utilisez une ou plu- sieurs des commandes suivantes en mode EXEC privilégié. Commande But Routeur# show crypto ipsec transform-set Affiche la configuration du transform set. Router# show crypto map [interface interface | tag map-name] Affiche la configuration de la crypto map. Routeur# show crypto ipsec sa [map map-name | address | identity] [detail] Affiche les informations concernant les asso- ciations de sécurité IPSec. Routeur# show crypto dynamic-map [tag map-name] Affiche les informations concernant les crypto maps dynamiques. Routeur# show crypto ipsec security-association lifetime Affiche les valeurs globales des durées de vie des associations de sécurité. ccnp_cch

30 Exemple de configuration IPSec
L'exemple suivant montre une configuration IPSec minimale dans laquelle les associa- tions de sécurité seront établies via IKE. Une liste d'accès IPSec définit le trafic à protéger. access-list 101 permit ip Un transform set définit comment le trafic sera protégé. Dans cet exemple, le transform set "myset1" utilise le cryptage DES et SHA pour l'authentification des paquets. crypto ipsec transform-set myset1 esp-des esp-sha Un autre transform set "myset2" utilise le cryptage 3DES et MD5-HMAC pour l'authen- tification des paquets de données. crypto ipsec transform-set myset2 esp-3des esp-md5-hmac Une crypto map permet de lier la liste d'accès IPSec et le transform set et spécifie vers où le trafic est transmis (extrémité IPSec distante). crypto map toRemoteSite 10 ipsec-isakmp match address 101 set transform-set myset2 set peer La crypto map est appliquée à l'interface: interface Serial0 ip address crypto map toRemoteSite Note: Dans cet exemple, IKE doit être validé. ccnp_cch


Télécharger ppt "Configuration de la Sécurité réseau IPSec"

Présentations similaires


Annonces Google