Configuration d’un VPN IPSec entre deux routeurs Cisco

RÉSEAUX

4

Configuration d’un VPN IPSec entre deux routeurs Cisco

Introduction

Définition

VPN est l’acronyme de « Virtual Private Network » soit un réseau privé virtuel.

Par exemple, cela va nous permettre depuis notre domicile, d’avoir accès au réseau local d’un autre site distant (notre entreprise par exemple) à travers une connexion internet sécurisé (IpSec). On parle alos de VPN Remote-Access.

Le VPN va aussi nous permettre de relier deux sites, par exemple, une grande entreprise à deux locaux situés à deux endroits bien distincts, à l’instar des lignes dédiées où l’on devait passer par un opérateur ou encore au lieu de mettre en place des liens physiques entre ces deux sites (fibre optique…) on va passer par internet pour relier ces deux sites. On parle alors de VPN Site-To-Site.

Ainsi, on aura accès aux ressources de notre entreprise (fichiers partagés, intranet, extranet…) comme si on y était.

Fonctionnement

VPN repose sur un protocole de tunnelisation (tunneling), le protocole va permettre aux données de passer d’une extrémité du VPN à l’autre de manière sécurisé en utilisant des algorithmes de cryptographie.

Dans notre exemple, nous allons utiliser le protocole IPSec qui est un framework regroupant plusieurs protocoles et qui permet de garantir la confidentialité, l’intégrité et l’authentification des échanges.

Configuration d’un VPN IPSec

Il faut savoir qu’il y a deux types de VPN :

Site-to-Site : Liaison entre deux sites distants

Remote-Access : Liaison entre une machine distance et un site

Informations

Quelques informations pour notre topologie :

1. Nous allons utilisé le protocole : ESP (Encapsulating Security Payload) 

ESP est le second protocole de protection des données qui fait partie de la spécification IPsec. Il est détaillé dans la Rfc 2406. Contrairement à AH, ESP ne protège pas les en-têtes des datagrammes IP utilisés pour transmettre la communication. Seules les données sont protégées. En mode transport, il assure :

La confidentialité des données (optionnelle) : la partie données des datagrammes IP transmis est chiffrée.

L'authentification (optionnelle, mais obligatoire en l'absence de confidentialité) : la partie données des datagrammes IP reçus ne peut avoir été émise que par l'hôte avec lequel a lieu l'échange IPsec, qui ne peut s'authentifier avec succès que s'il connaît la clef associée à la communication ESP. Il est également important de savoir que l'absence d'authentification nuit à la confidentialité, en la rendant plus vulnérable à certaines attaques actives.

L'unicité (optionnelle, à la discrétion du récepteur).

L'integrité : les données n'ont pas été modifiées depuis leur émission.

En mode tunnel, ces garanties s'appliquent aux données du datagramme dans lequel est encapsulé le trafic utile, donc à la totalité (en-têtes et options inclus) du datagramme encapsulé. Dans ce mode, deux avantages supplémentaires apparaissent:

Une confidentialité, limitée, des flux de données (en mode tunnel uniquement, lorsque la confidentialité est assurée) : un attaquant capable d'observer les données transitant par un lien n'est pas à même de déterminer quel volume de données est transféré entre deux hôtes particuliers. Par exemple, si la communication entre deux sous-réseaux est chiffrée à l'aide d'un tunnel ESP, le volume total de données échangées entre ces deux sous-réseaux est calculable par cet attaquant, mais pas la répartition de ce volume entre les différents systèmes de ces sous-réseaux.

La confidentialité des données, si elle est demandée, s'étend à l'ensemble des champs, y compris les en-têtes, du datagramme IP encapsulé dans le datagramme protégé par ESP).

Enfin, ESP ne spécifie pas d'algorithme de signature ou de chiffrement particulier, ceux-ci sont décrits séparément, cependant, une implémentation conforme à la Rfc 2406 est tenue de supporter l'algorithme de chiffrement DES en mode CBC, et les signatures à l'aide des fonctions de hachage MD5 et SHA-1.

2. Pour la confidentialité nous utiliserons AES(Advanced Encryption Standard) 128 bits

AES est un système de chiffrement par bloc qui utilise des blocs de 128 bits et une structure SPN (une structure typique pour le chiffrement répété).

3. Pour l’intégrité nous utiliserons le SHA-1

SHA1 est un algorithme de hachage, qui est une fonction unidirectionnelle, transformer une entrée de n'importe quelle taille en une sortie de longueur fixe (128 bits en l'espèce).

4. Pour l’authentification nous utiliserons la clé pré-partagée(PSK)

En ce qui concerne la clé pré partagée (Pre-shared key) on va mettre une clé commune sur les deux routeurs pour qu’ils puissent s’authentifier entre eux.

5. Et nous utiliserons le group 2 pour

...