VPN (Virtual Private Networks)

132
ccnp_cch 1 VPN (Virtual Private Networks)

description

VPN (Virtual Private Networks). Sommaire. • Présentation des VPN • Scénarios VPN • Choix de technologies VPN • VPN termes clés • IPSec • Présentation du système de cryptage de l'IOS Cisco • Cryptage • Technologies IPSec • Taches de configuration IPSec. Présentation des VPN. - PowerPoint PPT Presentation

Transcript of VPN (Virtual Private Networks)

Page 1: VPN (Virtual Private Networks)

ccnp_cch 1

VPN(Virtual Private Networks)

Page 2: VPN (Virtual Private Networks)

ccnp_cch 2

Sommaire• Présentation des VPN

• Scénarios VPN

• Choix de technologies VPN

• VPN termes clés

• IPSec • Présentation du système de cryptage de l'IOS Cisco

• Cryptage • Technologies IPSec

• Taches de configuration IPSec

Page 3: VPN (Virtual Private Networks)

ccnp_cch 3

Présentation des VPN

Un VPN transporte du trafic privé sur un réseau public en utilisant du cryptage et destunnels pour obtenir: • La confidentialité des données • L'intégrité des données • L'authentification des utilisateurs

• Un réseau privé virtuel (VPN) est défini comme une connectivité réseau déployée sur une infrastructure partagée avec les mêmes politiques de sécurité que sur un réseau privé.

• Un VPN peut être entre deux systèmes d'extrémité ou entre deux ou plusieurs réseaux.

• Un VPN est construit en utilisant des tunnels et du cryptage. Un VPN peut être construit au niveau de n'importe quelle couche du modèle OSI.

• Un VPN est une infrastructure WAN alternative aux réseaux privés qui utilisent des lignes louées ou des réseaux d'entreprise utilisant Fame Relay ou ATM.

Page 4: VPN (Virtual Private Networks)

ccnp_cch 4

Présentation des VPN

Un VPN transporte du trafic privé sur un réseau public en utilisant du cryptage et destunnels pour obtenir: • La confidentialité des données • Intégrité des données • L'authentification des utilisateurs

• Les VPNs fournissent trois fonctions essentielles:

- Confidentialité (cryptage) - L'émetteur peut crypter les paquets avant de les transmettre dans le réseau. - Par ce moyen, si la communication est interceptée les données ne pourront pas être lues.

- Intégrité des données - Le récepteur peut vérifier si les données n'ont pas été altérées lors de leur passage dans le réseau.

- Authentification - Le récepteur peut authentifier la source du paquet, garantissant et certifiant la source de l'information.

Page 5: VPN (Virtual Private Networks)

ccnp_cch 5

Présentation des VPN

Internet

Site Central

Site distant

FrameRelay

FrameRelay

• Coût élevé• Peu flexible• Gestion WAN• Topologies complexes

• Faible coût • Plus flexible• Gestion simplifiée• Topologie tunnel

RéseauFrame Relay Réseau

Frame Relay

Internet

Site Central

Site distantFrameRelay

FrameRelay

TunnelVPN

VPNConventionnel

• Les principaux avantages sont: - Les VPNs amènent des coûts plus faibles que les réseaux privés.

- Les coûts de la connectivité LAN-LAN sont réduits de 20 à 40 pourcent par rapport à une ligne louée. .

- Les VPNs offrent plus de flexibilité et d'évolutivité que des architectures WAN classiques

Page 6: VPN (Virtual Private Networks)

ccnp_cch 6

Présentation des VPN

Internet

Site Central

Site distant

FrameRelay

FrameRelay

• Coût élevé• Peu flexible• Gestion WAN• Topologies complexes

• Faible coût • Plus flexible• Gestion simplifiée• Topologie tunnel

RéseauFrame Relay Réseau

Frame Relay

Internet

Site Central

Site distantFrameRelay

FrameRelay

TunnelVPN

VPNConventionnel

• Les principaux avantages sont: - Les VPNs simplifient les tâches de gestion comparé à la l'exploitation de sa propre infrastructure de réseau. - Les VPNs fournissent des topologies de réseaux avec tunnels qui réduisent les taches de gestion.

- Un backbone IP n'utilise pas les circuits virtuels permanents (PVCs) avec des protocoles orientés connexion tels ATM et Frame Relay.

Page 7: VPN (Virtual Private Networks)

ccnp_cch 7

Présentation des VPN

Réseau Privé Cryptage

Cryptage DécryptageMessageCrypté

Réseau Virtuel Tunneling

• Un réseau virtuel est crée en utilisant la capacité de faire transporter un protocole par un autre (Tunnel) sur une connexion IP standard.

• GRE (Generic Routing Encapsulation) et L2TP (Layer 2 Tunneling Protocol) sont deux méthodes de "tunneling" et sont toutes les deux configurables sur les routeurs Cisco.

• La troisième méthode, IPSec est également configurable sur les routeurs Cisco.

• Un réseau privé assure la Confidentialité, l'Intégrité et l'Authentification.

• Le cryptage des données et le protocole IPSec permettent aux données de traverser Internet avec la même sécurité que sur un réseau privé.

Page 8: VPN (Virtual Private Networks)

ccnp_cch 8

Présentation des VPN • Tunneling et Cryptage

Cryptage Décryptage

MessageCrypté

Tunnel

Infos Infos

• Un tunnel est une connexion point à point virtuelle• Un tunnel transporte un protocole à l'intérieur d'un autre• Le cryptage transforme les informations en texte chiffré• Le décryptage restore les informations à partir du texte chiffré

• Bien que Internet ait offert de nouvelles opportunités aux entreprises, il a aussi crée une grande dépendance des réseaux et un besoin de protection contre une grande variété de menaces sur la sécurité.

• La fonction principale d'un VPN est d'offrir cette protection avec du cryptage au travers d'un tunnel.

Page 9: VPN (Virtual Private Networks)

ccnp_cch 9

Présentation des VPN • Tunneling et Cryptage

Cryptage Décryptage

MessageCrypté

Tunnel

Infos Infos

• Un tunnel est une connexion point à point virtuelle• Un tunnel transporte un protocole à l'intérieur d'un autre• Le cryptage transforme les informations en texte chiffré• Le décryptage restore les informations à partir du texte chiffré

• Les tunnels fournissent des connexions logiques point à point au travers d'un réseau IP en mode non-connecté.

• Ceci permet d'utiliser des fonctionnalités de sécurité améliorées.

• Les Tunnels des solutions VPN emploient le cryptage pour protéger les données pour qu'elles ne soient pas lisibles par des entités non-autorisées et l'encapsulation multiprotocole si cela est nécessaire.

Page 10: VPN (Virtual Private Networks)

ccnp_cch 10

Présentation des VPN • Tunneling et Cryptage

Cryptage Décryptage

MessageCrypté

Tunnel

Infos Infos

• Un tunnel est une connexion point à point virtuelle• Un tunnel transporte un protocole à l'intérieur d'un autre• Le cryptage transforme les informations en texte chiffré• Le décryptage restore les informations à partir du texte chiffré

• Le cryptage assure que le message pourra pas être lu et compris uniquement par le receveur

• Le cryptage transforme une information en un texte chiffré sans signification sous sa forme cryptée.

• Le décryptage restore le texte chiffré en information originale destinée au receveur.

Page 11: VPN (Virtual Private Networks)

ccnp_cch 11

Routeur à plusieurs routeurs PC à Pare-Feu

PC à Routeur/Concentrateur

Scénarios VPN

Routeur à Routeur

Page 12: VPN (Virtual Private Networks)

ccnp_cch 12

Scénarios VPN

ServiceDistant

OpérateurB

OpérateurA

Entreprise

DMZAAA

Partenaire

Fournisseur

Agence

AgenceRégionale

Utilisateur Mobileou Télétravailleur

Serveurs WebServeur DNSRelais Mail SMTP

• Un réseau basé uniquement sur des connexions fixes entre des sites d'entrprises tels que des agences locales ou régionales avec un site central n'est plus suffisant aujourd'hui pour beaucoup d'entreprises.

• Des options de connexions avec des clients , des partenaires commerciaux dans un système plus ouvert sont des ajouts aux connexions réseau standards.

Page 13: VPN (Virtual Private Networks)

ccnp_cch 13

Scénarios VPN

Télétravailleur

Site CentralSites Distants

DSLCable

Modem

Intranet

Intranet

ExtranetB to B

POP Internet

Site CentralAccès Distants Clients

DSLCable

Mobile

Télétravailleur

Extranet Business

POP

Internet

POP

• Il y a deux types d'accès VPN:

- Initié par le client - Des utilisateurs distants utilisent des clients VPN pour établir un tunnel sécurisé au travers d'un réseau d'opérateur avec une entreprise.

- Initié par le serveur d'accès Réseau - Les utilisateurs distants se connectent à un opérateur

- Le serveur d'accès distant établit un tunnel sécurisé vers le réseau privé de l'entreprise qui doit pouvoir supporter de multiples sessions distantes initiées par un utilisateur.

Page 14: VPN (Virtual Private Networks)

ccnp_cch 14

Scénarios VPN • VPN initié par le client

Site CentralAccès Distants Clients

DSLCable

Mobile

Télétravailleur

Extranet Business

POP

InternetPOP

• Les VPNs site à site ont aussi deux fonctions principales:

- Les VPNs Intranet connectent des sites centraux d'entreprise, des sites distants, des agences au travers d'une infrastructure publique.

- Les VPNs Extranets relient des clients, des fournisseurs, des partenaires commerciaux à un intranet d'entreprise au travers d'une infrastructure publique.

Page 15: VPN (Virtual Private Networks)

ccnp_cch 15

Scénarios VPN • VPN initié par le client

Site CentralAccès Distants Clients

DSLCable

Mobile

Télétravailleur

Extranet Business

POP

Internet

POP

• L' accès distant est ciblé pour les utilisateurs mobiles ou les télétravailleurs.

• Les entreprises supportaient les utilisateurs distants via des réseaux d'accès par appel. - Ce scénario nécessitait un appel payant ou un numéro vert pour accéder à l'entreprise.

• Avec l'arrivée des VPNs, les utilisateurs mobiles peuvent se connecter à leur opérateur pour accéder à l'entreprise via Internet quelque soit l'endroit ou ceux-ci se trouvent.

• Les accès distants VPN peuvent satisfaire les besoins des utilisateurs mobiles, des clients Extranet, des télétravailleurs, etc....

Page 16: VPN (Virtual Private Networks)

ccnp_cch 16

Scénarios VPN • VPN initié par le client

Site CentralAccès Distants Clients

DSLCable

Mobile

Télétravailleur

Extranet Business

POP

InternetPOP

• Les VPNs Accès distant sont une extension des réseaux d'accès distants par appel.

• Les VPNs Accès distant peuvent se terminer sur des équipements frontaux tels que les routeurs Cisco, les pare-feu PIX ou les concentrateurs VPN.

• Les clients accès distant peuvent être des routeurs Cisco et des clients VPN Cisco.

Page 17: VPN (Virtual Private Networks)

ccnp_cch 17

Scénarios VPN • VPN initié par le serveur d'accès

Site CentralSites Distants

DSLCable

Modem

Intranet

Intranet

ExtranetB to B

POP Internet

Télétravailleur

• Un VPN site à site peut être utilisé pour connecter des sites d'entreprise. Des lignes louées ou une connexion Frame Relay étaient nécessaires mais aujourd'hui toutes les entreprises ont un accès Internet.

• Un VPN peut supporter des intranets de l'entrprise et des extranets des partenaires commerciaux

• Les VPNs site à site peuvent être construits avec des routeurs Cisco, des pare-feu PIX et des concentrateurs VPN.

Page 18: VPN (Virtual Private Networks)

ccnp_cch 18

Choix de technologies VPN • Cryptage dans plusieurs couches

Couche Application

CryptageCoucheLiaison

CryptageCoucheLiaison

Couche TransportCouche Réseau

SSHS/MIME

ApplicationCouches (5-7)

Réseau/TransportCouches (3-4)

Physique/LiaisonCouches (1-2)

SSL

IPSec

• Différentes méthodes pour la protection de VPN sont implémentées sur différentes couches.

• Fournir de la protection et des services de cryptographie au niveau de la couche application était très utilisé dans le passé et l'est toujours pour des cas très précis.

Page 19: VPN (Virtual Private Networks)

ccnp_cch 19

Choix de technologies VPN • Cryptage dans plusieurs couches

Couche Application

CryptageCoucheLiaison

CryptageCoucheLiaison

Couche TransportCouche Réseau

SSHS/MIME

ApplicationCouches (5-7)

Réseau/TransportCouches (3-4)

Physique/LiaisonCouches (1-2)

SSLIPSec

• L'IETF a un protocole basé sur des standards appelé S/MIME ( Secure/Multipurpose Internet Mail Extensions) pour des applications VPNs générées par différents composants d'un système de communication.

- Agents de transfert de message, passerelles,...

• Cependant, la sécurité au niveau de la couche application est spécifique à l'application et les méthodes de protection doivent être implémentées à chaque nouvelle application.

Page 20: VPN (Virtual Private Networks)

ccnp_cch 20

Choix de technologies VPN • Cryptage dans plusieurs couches

Couche Application

CryptageCoucheLiaison

CryptageCoucheLiaison

Couche TransportCouche Réseau

SSHS/MIME

ApplicationCouches (5-7)

Réseau/TransportCouches (3-4)

Physique/LiaisonCouches (1-2)

SSLIPSec

• Des standards au niveau de la couche transport ont eu beaucoup de succés

• Le protocole tel SSL (Secure Socket Layer) pournit de la protection, de l'authentification de l'intégrité aux applications basées sur TCP.

• SSL est communément utilisé par les sites de e-commerce mais manque de flexibilité, n'est pas facile à implémenter et dépend de l'application.

Page 21: VPN (Virtual Private Networks)

ccnp_cch 21

Choix de technologies VPN • Cryptage dans plusieurs couches

Couche Application

CryptageCoucheLiaison

CryptageCoucheLiaison

Couche TransportCouche Réseau

SSHS/MIME

ApplicationCouches (5-7)

Réseau/TransportCouches (3-4)

Physique/LiaisonCouches (1-2)

SSLIPSec

• La protection aux niveau des couches basses du modèle à été aussi utilisée dans les systèmes de communication, spécialement par la couche liaison.

- Cette protection au niveau de la couche liaison fournissait une protection indépendante du du protocole sur des les liaisons non-sécurisées. - La protection au niveau de la couche liaison coûte cher car elle doit être réalisée pour chaque liaison. - Elle n'exclut pas l'intrusion au moyen de stations intermédiaires ou de routeurs et de plus est très souvent propriétaire.

Page 22: VPN (Virtual Private Networks)

ccnp_cch 22

Choix de technologies VPN

Couche Réseau

ApplicationCouches (5-7)

Réseau/TransportCouches (3-4)

Physique/LiaisonCouches (1-2)

IPSec

GRE

L2FL2TPPPTP

Protocoles VPN Description StandardL2TP Layer 2 tunneling Protocol RFC 2661GRE Generic Routing Encapsulation RFC 1701 et 2784IPSec Unternet Protocol Security RFC 2401

• Un ensemble de technologies de couche réseau sont disponibles pour permettre le tunneling de protocoles au travers de réseaux pour réaliser des VPNs.

• Les trois protocoles de tunneling les lpus utilisés sont:

- L2TP ( Layer 2 Tunneling Protocol) - GRE ( Generic Routing Encapsulation par Cisco) - IPSec (IP Security)

Page 23: VPN (Virtual Private Networks)

ccnp_cch 23

Choix de technologies VPN • L2TP - Layer 2 Tunneling Protocol

Couche Réseau

ApplicationCouches (5-7)

Réseau/TransportCouches (3-4)

Physique/LiaisonCouches (1-2)

IPSec

GRE

L2FL2TPPPTP

• Avant le standard L2TP (Août 1999), Cisco utilisait L2F (Layer 2 Forwarding) comme protocole de tunneling propriétaire.

- L2TP est compatible avec L2F - L2F n'est pas compatible avec L2TP

• L2TP est une cominaison de Cisco L2F et Microsoft PPTP - Microsoft supporte PPTP dans les anciennes versions de Windows et PPTP/L2TP dans Windows NT/2000.

Page 24: VPN (Virtual Private Networks)

ccnp_cch 24

Choix de technologies VPN • L2TP - Layer 2 Tunneling Protocol

Couche Réseau

ApplicationCouches (5-7)

Réseau/TransportCouches (3-4)

Physique/LiaisonCouches (1-2)

IPSec

GRE

L2FL2TPPPTP

• L2TP est utilisé pour créer un VPDN (Virtual Private Dial Network) multiprotocole et indépendant du média.

• L2TP permet aux utilisateurs d'invoquer des politiques de sécurité au travers de toute liaison VPN ou VPDN comme une extension de leur propre réseau interne.

• L2TP ne fournit pas de cryptage et peut être supervisé par un analyseur de réseau.

Page 25: VPN (Virtual Private Networks)

ccnp_cch 25

Choix de technologies VPN • Cisco GRE (Generic Routing Encapsulation)

Couche Réseau

ApplicationCouches (5-7)

Réseau/TransportCouches (3-4)

Physique/LiaisonCouches (1-2)

IPSec

GRE

L2FL2TPPPTP

• Ce protocole transpoteur multiprotocole encapsules IP, CLNP et tout autre paquet de protocole dans des tunnels IP.

• Avec le tunneling GRE, un routeur Cisco encapsule à chaque extrémité les paquets de protocole avec un en-tête IP créant une liaison virtuelle point à point avec l'autre routeur Cisco à l'autre extrémité du réseu IP.

• En connectant des réseaux d'extrémité multiprotocoles avec un backbone IP, le tunneling IP permet l'expansion du réseau au travers du backbone IP.

• GRE ne fournit pas de cryptage et peut être supervisé par un analyseur de réseau.

Page 26: VPN (Virtual Private Networks)

ccnp_cch 26

Choix de technologies VPN • IPSec (IP Security protocol)

Couche Réseau

ApplicationCouches (5-7)

Réseau/TransportCouches (3-4)

Physique/LiaisonCouches (1-2)

IPSec

GRE

L2FL2TPPPTP

• IPSec est un bon choix pour sécuriser les VPNs d'entreprise

• IPSEc est un cadre de standards ouverts qui fournissent la confidentialité, l'intégrité et l'authentification des données entre deux extrémités.

• IPSec fournit ces services de sécurité en utilisant IKE (Internet Key Exchange) pour gérer la négociation de protocoles et d'algorithmes basée sur une politiqie locale et de générer les clés d'authentification et de cryptage devant être utilisées par IPSec.

Page 27: VPN (Virtual Private Networks)

ccnp_cch 27

Choix de technologies VPN • Choix de la meilleure technologie

TraficUtilisateur

Utilisez unVPN

IPSec

Oui

Oui

Non

NonUnicast seul?

Utilisez unTunnel GREou

L2TP

IP seul?

• Sélectionnez la meilleure technologie VPN pour fournir une connectivité réseau selon les besoins du trafic.

• Le diagramme ci-dessus montre le processus de choix d'un tunneling de couche réseau basé sur les diférents scénarios de VPN.

Page 28: VPN (Virtual Private Networks)

ccnp_cch 28

Choix de technologies VPN • Choix de la meilleure technologie

• IPSEc est le meilleur choix pour sécuriser des VPNs d'entreprise.

- Malheureusement IPSec supporte uniquement le trafic IP unicast. - Si les paquets IP unicast doivent être encapsulés dans un tunnel, l'encapsulation IPSec est suffisante et moins compliquée à configurer et à vérifier.

• Pour du tunneling multiprotocole ou IP multicast, utilisez GRE ou L2TP.

- Pour des réseaux qui utilisent Microsoft, L2TP peut être le meilleur choix. - A cause de son lien avec PPP, L2TP peut être souhaitable pour des VPNs accès distant avec support multiprotocole.

• GRE est le meilleur choix pour des VPNs site à site avec support multiprotocole.

- GRE est également utilisé pour des tunnels de paquets multicast tels les protocoles de routage. - GRE encapsule tout trafic, quelque soit la source ou la destination.

• Ni L2TP, ni GRE supportent le cryptage des données ou l'intégrité des paquets. Utilisez IPSec en combinaison avec L2TP et/ou GRE pour obtenir le cryptage et l'intégrité IPSec.

Page 29: VPN (Virtual Private Networks)

ccnp_cch 29

VPN - Termes clés

• Tunnel

• Cryptage/Décryptage

• Cryptosystème

• Hashing

• Athentification

• Autorisation

• Gestion de clé

• Certificat

Page 30: VPN (Virtual Private Networks)

ccnp_cch 30

VPN - Termes clés

Cryptage Décryptage

MessageCrypté

Tunnel

Infos Infos

• Tunnel - Connexion virtuelle point à point utilisée dans un réseau pour transporter le trafic d'un protocole encapsulé dans un autre protocole. Par exemple du texte crypté transporté dans un paquet IP.

Page 31: VPN (Virtual Private Networks)

ccnp_cch 31

VPN - Termes clés

Cryptage Décryptage

MessageCrypté

Tunnel

Infos Infos

• Cryptage/Décryptage - Le cryptage est un processus qui transforme une information en un texte chiffré qui pourra pas être lu ou utilisé par des utilisateurs non-autorisés.

Le décryptage restore le texte chiffré en information originale qui pourra être lue et utilisée par le receveur.

Page 32: VPN (Virtual Private Networks)

ccnp_cch 32

VPN - Termes clés

Cryptage Décryptage

MessageCrypté

Tunnel

Infos Infos

• Cryptosystème - Système qui réalise le cryptage/décryptage, l'authentification utilisateur, le hachage, et le processus d'échange de clés. Un cryptosystème peut utiliser une des ces différentes méthodes selon la politique choisie en fonction des différents trafics de l'utilisateur.

Page 33: VPN (Virtual Private Networks)

ccnp_cch 33

VPN - Termes clés

Cryptage Décryptage

MessageCrypté

Tunnel

Infos Infos

• Hachage - Technologie d'intégrité des données qui utilise un algorithme pour convertir un message de longueur variable et une clé secrète en une seule chaîne de caractères de longueur fixe. L'ensemble message/clé et hash traversent le réseau de la source vers la destination. 0 la destination, le hash recalculé est comparé avec le hash reçu. Si les deux valeurs sont identiques, le message n'a pas été corrompu.

Page 34: VPN (Virtual Private Networks)

ccnp_cch 34

VPN - Termes clés

• Authentification - Processus d'dentification d'un utilisateur ou d'un processus tentant d'accéder à une ressource.

- L'authentification assure que l'individu ou le processus est bien celui qu'il prétend être. - L'authentification n'attribut pas de droits d'accès

• Autorisation - Processus qui donne accès à des ressources à des individus ou à des processus authentifiés.

• Gestion de clés - Un clé est généralement une séquence binaire aléatoire utilisée pour exécuter les opérations dans un cryptosystème.

- La gestion de clés est la supervision et le controle du processus par lequel les clés sont générées, stockées, protégées, transférées, chargées, utilisées et détruites.

Page 35: VPN (Virtual Private Networks)

ccnp_cch 35

VPN - Termes clés

• Service Autorité de Certificat - Partie tiers de confiance qui aide à la sécurisation des communications entre entités de réseau ou utilisateurs en créant et en affectant des certificats tels des certificats clés-publiques pour des besoin de cryptage.

- Une autorité de certificat se porte garant du lien entre les items de sécurité du certificat. Optionnellement une autorité de certificat crée les clés de cryptage.

Page 36: VPN (Virtual Private Networks)

ccnp_cch 36

IPSEC • Protocoles et éléments clés

• Authenticaton Header (AH)

• Encapsulation Payload (ESP)

• Internet Key Exchange (IKE)

• Internet Security Association Key Management Protocol ( ISAKMP)

• Security Association (SA)

• Authentication, Authorization and Accounting (AAA)

• Terminal Access Controller Access Control System Plus (TACACS+)

• Remote Authentication Dial-In User Service (RADIUS)

Page 37: VPN (Virtual Private Networks)

ccnp_cch 37

IPSEC • Protocoles et éléments clés

En-tê

teIP

En-tê

teIP

Sec

Char

ge U

tile I

P

sécu

risée

En-têteIP

En-têteIPSec

Charge utile IPsécurisé

En-têteIP Charge utile IPEn-tête

IP Charge utile IP

Sytèmeavec IPsec

Routeuravec IPSec

Internetou Réseau Privé

En-t

ête

IPEn

-têt

eIP

Sec

Char

ge U

tile

IPsé

curis

ée

Sequence Number

Données authentifiées(Variable)

Security Parameters Index (SPI)Next Header Payload

Length RESERVED

Bits 0 8 16 31

• AH (Authentication Header) - Protocole de sécurité qui fournit l'authentification, l'intégrité des données et un service optionnel de détection d'intrusion. AH est dans la charge utile du paquet.

Page 38: VPN (Virtual Private Networks)

ccnp_cch 38

IPSEC • Protocoles et éléments clés

En-têteIP original TCP DonnéesIPv4

(a) Paquet IP original

En-têteIP original TCP DonnéesEn-tête

ESPQueue

ESPAuthESP

(b) Mode Transport

AuthentifiéCrypté

IPv4

En-têteIP original TCP DonnéesEn-tête

ESPQueue

ESPAuthESP

NouveauEn-tête IP

(c) Mode Tunnel

AuthentifiéCrypté

IPv4

• ESP (Ancapsulation Security payload) - Protocole de sécurité qui fournit la confidentialité, l'ntégrité des données et des services de protection, deservices optionnels d'authentifiction de l'orogine des données et de détection d'intrusion. ESP encapsule les données à protéger.

Page 39: VPN (Virtual Private Networks)

ccnp_cch 39

IPSEC • Protocoles et éléments clés

IPSec

IKE IKE

IPSec

Routeur A Routeur B

Tunnel IKE

• IKE (Internet Key Exchange) - Protocole hybride qui implémente l'échange de clés Oakley et l'échange de clés Skeme dans le cadre de ISAKMP. Oakley et Skeme définissent chacun une méthode pour établir un échange de clés authentifié. Ceci inclut la construction de la charge utile, les informations transportées dans la charge utile, l'ordre dans lequel les clés sont traitées et comment elles sont utilisées.

Page 40: VPN (Virtual Private Networks)

ccnp_cch 40

IPSEC • Protocoles et éléments clés

A B

A vers BESP/DES/SHA-1Keys K1,K2,...lifetime=3600s

B vers AESP/DES/SHA-1keys K6,K7,...lifetime=3600s

SADB SADB

Accèsclient

Accèsclient

A vers BESP/DES/SHA-1Keys K1,K2,...lifetime=3600s

B vers AESP/DES/SHA-1keys K6,K7,...lifetime=3600s

BackboneOpérateur

• ISAKMP - (Internet Association and Key Management Protocol) - Un protocol cadre qui définit le format des charge utiles, les mécanismes d'implémentation d'un protocole d'échan,ge de clés et la négociation d'une SA.

• SA (Security Association) - Ensemble de principes (politiques) et de clés utilisés pour protéger l'information. La SA ISAKMP est la politique commune et les clés utilisées par les extrémités qui négocient dans ce protocole pour protéger leur communication.

Page 41: VPN (Virtual Private Networks)

ccnp_cch 41

IPSEC • Protocoles et éléments clés

• AAA (Authentication, Authorization and Accounting) - Services de sécurite réseau qui fournissent un cadre de base au travers duquel un controle est activé sur les routeurs et les serveurs d'accès. Deux alternatives majeures pour AAA sont TACACS+ et RADIUS.

• TACACS+ (Terminal Access Controller Access Control System Plus) - C'est une application de sécurité qui fournit une validation cantralisée des utilisateurs qui tentent d'obtenir un accès à un routeur ou à un serveur d'accès.

• RADIUS (Remote Dial-In User Service) - Un système client serveur distribué qui sécurise les réseaux contre les accès non-autorisés.

Page 42: VPN (Virtual Private Networks)

ccnp_cch 42

Présentation du système de cryptageGestion de clés

Gestion Manuelle Echange de clés secètesDiffie-Hellman

Echange de clés publiquesAutorité de Certificats

Cryptage

Authentification Fonctions de hachage

SymétriqueClé secrète:DES, 3DES,AES

AsymétriqueClé publique:RSA

MAC

HMAC(clé secrète)

Signaturenumérique

(clé publique)

SHA MD5

• Il a de nombreuses technologies de cryptage disponibles pour fournir de la confidentialité

• DES (Data Encryption Standard) crypte les paquets avec une clé d'une longueur de 56 bits.

• A sa création dans les années 1970, DES paraissait inviolable.

• Aujourd'hui avec de super-ordinateurs, le cryptage DES peut être décodé en quelques jours.•

Page 43: VPN (Virtual Private Networks)

ccnp_cch 43

Présentation du système de cryptageGestion de clés

Gestion Manuelle Echange de clés secètesDiffie-Hellman

Echange de clés publiquesAutorité de Certificats

Cryptage

Authentification Fonctions de hachage

SymétriqueClé secrète:DES, 3DES,AES

AsymétriqueClé publique:RSA

MAC

HMAC(clé secrète)

Signaturenumérique

(clé publique)

SHA MD5

• 3DES utilise une clé d'une longueur de 168 bits et exécute trois opérations DES en séquence.

• 3DES est 256 fois plus fiable que DES. AES (Advanced Encryption Standard) spécifie des clés de longueurs 128, 192 ou 256 bits pour crypter des blocs de 128, 192 ou 256 bits ( Les 9 combinaisons de tailles de clés et de tailles de blocs sont possibles).

• Cisco prévoit que AES sera disponible sur tous les produits Cisco qui les fonctionnalités IPSec DES/3DES tels les routeurs avec IOS, les PIX Cisco, les concentrateurs VPN Cisco et les clients VPN Cisco.•

Page 44: VPN (Virtual Private Networks)

ccnp_cch 44

Présentation du système de cryptageGestion de clés

Gestion Manuelle Echange de clés secètesDiffie-Hellman

Echange de clés publiquesAutorité de Certificats

Cryptage

Authentification Fonctions de hachage

SymétriqueClé secrète:DES, 3DES,AES

AsymétriqueClé publique:RSA

MAC

HMAC(clé secrète)

Signaturenumérique

(clé publique)

SHA MD5

• Plusieurs standards ont émergé pour protéger le secret des clés et faciliter le changement de ces clés.

• L'algorithme Diffie-Hellman implémente l'échange de clés sans échanger les clé réelles.

• C'est l'algorithme le plus connu et le plus utilsé pour établier des sessions de clés pour crypter des données.

Page 45: VPN (Virtual Private Networks)

ccnp_cch 45

Présentation du système de cryptageGestion de clés

Gestion Manuelle Echange de clés secètesDiffie-Hellman

Echange de clés publiquesAutorité de Certificats

Cryptage

Authentification Fonctions de hachage

SymétriqueClé secrète:DES, 3DES,AES

AsymétriqueClé publique:RSA

MAC

HMAC(clé secrète)

Signaturenumérique

(clé publique)

SHA MD5

• Plusieurs techniques fournissent l'authentification dont MD5 (Message Digest 5) et SHA (Secure Hash Algorithm).

Page 46: VPN (Virtual Private Networks)

ccnp_cch 46

Cryptage • Cryptage symétrique

Cryptage Décryptage

MessageCryptéInfos Infos

Clé secrètepartagée Clé secrète

partagée

• Cryptage symétrique ou cryptage à clé secrète

• Utilisé pour de grands volumes de données.• Durant l'échange, les clés peuvent changer plusieurs fois. • Cryptage asymétrique ou cryptage à clé publique tel RSA demande beaucoup plus de ressources CPU aussi il est utilisé uniquement pour l'échange de clés.

Page 47: VPN (Virtual Private Networks)

ccnp_cch 47

Cryptage • Cryptage symétrique

Cryptage Décryptage

MessageCryptéInfos Infos

Clé secrètepartagée Clé secrète

partagée

• La caractéristique la plus importante d'un algorithme de cryptogaphie est sa robustesse aux attaques de décryptage.

• La sécurité d'un crypto-système ou le degré de difficulté pour retrouver l'information originale est fonction de plusieurs variables. - Beaucoup de précautions sont prises pour protéger le secret de la clé.

• Dans la majorité des protocoles le secret de la clé utilisée pour crypter est la base de la sécurité.

Page 48: VPN (Virtual Private Networks)

ccnp_cch 48

Cryptage • Cryptage symétrique

Cryptage Décryptage

MessageCryptéInfos Infos

Clé secrètepartagée Clé secrète

partagée

• DES (Digital Encryption Standard) est un des standards de cryptage les plus utilisés.

• Les clés permettent de crypter et de décrypter.

• 3DES (Triple DES) est une alternative à DES qui préserve les investissements existants et rend les attaques de type "force-brute" plus difficiles.

• 3DES peut utiliser une, deux ou trois clés différentes.

Page 49: VPN (Virtual Private Networks)

ccnp_cch 49

Cryptage • Cryptage asymétrique

Cryptage Décryptage

MessageCryptéInfos Infos

Clé publiquedu receveur

Clé privéedu receveur

• La clé privée est connue uniquement par le receveur• La clé publique est connu par le public• La distribution de la clé publique n'est pas sécrète

• Cryptage asymétrique ou à clé publique

• Le même algorithme ou des algorithmes complémentaires peuvent être utilisés pour crypter et décrypter les données.

• Deux clés sont requises : Une clé publique et une clé privée. elles sont différentes mais elles sont liées par une relation mathématique.

• Chaque extrémité doit avoir sa paire clé publique/clé privée ainsi des clés différentes seront utilisées pour crypter et décrypter.

Page 50: VPN (Virtual Private Networks)

ccnp_cch 50

Cryptage • Cryptage asymétrique

Cryptage Décryptage

MessageCryptéInfos Infos

Clé publiquedu receveur

Clé privéedu receveur

• Les mécanismes utilisés pour générer les paires de clés sont complexes. Le résultat de la génération consiste en deux très grands nombres aléatoires.

• Les deux nombres ainsi que leur produit doivent satisfaire à des critères mathématiques stricts pour garantir l'unicité de la paire clé publique/clé privée.

• Les algorithmes de crytage à clé publique sony utilisé typiquement pour des applications d'authentification incluant la signature numérique et la gestion de clés.

• Les algorithmes les plus connus sont les algorithmes RSA (Rivest, Shamir, Adleman) et El Gamal.

Page 51: VPN (Virtual Private Networks)

ccnp_cch 51

Cryptage • Echange de clés - Algorithme Diffie-Hellman

Routeur A Routeur B

Réalise un échange authentifié de clés

YA

YB

YA= gXA mod p YB= gXB mod p

Valeur privée XAValeur publique YA

Valeur privée XBValeur publique YB

YBXA mod p = k YA

XB mod p = k• Un des aspects les plus importants dans la création d'un VPN est l'échange declés.

• L'algorithme Diffie-Hellman fournit un moyen à deux utilisateurs, A et B, d'établir une clé secrète partagée que eux seuls connaissent.

• Cette clé secrète peut être établie même si le canal de communication n'est pas sécurisé.

• Cette clé sera utilisée pour crypter les données avec l'algorithme choisi par a et B.

• Les nombres partagés sont "p" un nombre premier et "g" plus petit que "p" avec quelques restrictions.

Page 52: VPN (Virtual Private Networks)

ccnp_cch 52

Cryptage • Echange de clés - Algorithme Diffie-Hellman

Routeur A Routeur B

Réalise un échange authentifié de clés

YA

YB

YA= gXA mod p YB= gXB mod p

Valeur privée XAValeur publique YA

Valeur privée XBValeur publique YB

YBXA mod p = k YA

XB mod p = k

• A et B génèrent chacun un grand nombre aléatoire qui est gardé secret.

• L'algorithme Diffie-Hellman est maintenant exécuté.

• A et B exécutent leurs calculs et échangent les résultats.

• Le résultat final est un nombre K

• Un utilisateur qui connaît "p" ou "g" ne peut calculer aisément la valeur secrète partagée à cause de la factorisation des grands nombres premiers.

Page 53: VPN (Virtual Private Networks)

ccnp_cch 53

Cryptage • Echange de clés - Algorithme Diffie-Hellman

Routeur A Routeur B

Réalise un échange authentifié de clés

YA

YB

YA= gXA mod p YB= gXB mod p

Valeur privée XAValeur publique YA

Valeur privée XBValeur publique YB

YBXA mod p = k YA

XB mod p = k

• Il est important de noter que A et B non pas de méthode pour s'identifier l'un avec l'autre.

• Cet échange est vulnérable à une attaque par un tiers qui s'insère dans l'échange.

• L'authentification est réalisée par l'utilisation d'une signature numérique dans les messages Diffie-Hellman échangés.

Page 54: VPN (Virtual Private Networks)

ccnp_cch 54

Cryptage • Echange de clés - Hachage

Local Distant

Payer à JC Puce50 € et 22 cents

Clé secrètepartagée Clé secrète

partagée

Payer à JC Puce50 € et 22 cents

Payer à JC Puce50 € et 22 cents

Message delongueur variable Message reçu

4ehlDx67NM0p9 4ehlDx67NM0p9 4ehlDx67NM0p9

Message + Hash

Fonctionde Hachage Fonction

de Hachage

• Le hachage garantit l'intégrité du message

• A l'extrémité locale, le message et un secret partagé son transmis par un algorithme de hachage.

• Un algorithme de hachage est une formule qui convertit un message de longueur variable en une seule chaines de caractères de longueur fixe appelée valeur "hash".

• Un algorithme de hachage est à sens unique. Un meesage peut produire une valeur "hash" mais la valeur "hash" ne peut pas produire le message.

Page 55: VPN (Virtual Private Networks)

ccnp_cch 55

Cryptage • Echange de clés - Hachage

Local Distant

Payer à JC Puce50 € et 22 cents

Clé secrètepartagée Clé secrète

partagée

Payer à JC Puce50 € et 22 cents

Payer à JC Puce50 € et 22 cents

Message delongueur variable Message reçu

4ehlDx67NM0p9 4ehlDx67NM0p9 4ehlDx67NM0p9

Message + Hash

Fonctionde Hachage Fonction

de Hachage

• A l'extrémité distante, il y a un processus en deux étapes.

• D'abord le message reçu et le secret partagé sont transmis à l'algorithme de hachage qui recalcule la valeur "hash".

• Ensuite le recepteur compare le "hash" calculé avec le "hash" reçu avec le message.

• Si les deux valeurs de "hash" sont égales alors l'intégrité du message est garantie.

Page 56: VPN (Virtual Private Networks)

ccnp_cch 56

Cryptage • Echange de clés - Hachage

Local Distant

Payer à JC Puce50 € et 22 cents

Clé secrètepartagée Clé secrète

partagée

Payer à JC Puce50 € et 22 cents

Payer à JC Puce50 € et 22 cents

Message delongueur variable Message reçu

4ehlDx67NM0p9 4ehlDx67NM0p9 4ehlDx67NM0p9

Message + Hash

Fonctionde Hachage Fonction

de Hachage

• Les deux algorithmes de hachage les plus communs sont : - HMAC-MD5 - utilise une clé secrète de 128 bits. - A la sortie l'algorithme donne une valeur "hash" de 128 bits. - La valeur "hash" est ajouté en fin de message et le tout est transmis vers l'autre extrémité. - HMAC- SHA1 - Utilise une clé secrète de 160 bits - A la sortie l'algorithme donne une valeur "hash" de 160 bits - La valeur "hash" est ajouté en fin de message et le tout est transmis vers l'autre extrémité.

• HMAC-SHA1 est considéré comme étant plus robuste que HMAC-MD5

Page 57: VPN (Virtual Private Networks)

ccnp_cch 57

Technologies IPSec • Présentation IPSec

En-tête IP AH En-têteESP Données En-Queue

ESP

• Le RFC 2401 décrit la trame générale de l'architecture IPSec

• Comme tous les mécanismes de sécurité, le RFC 2401 aide à la mise en oeuvre d'une politique de sécurité.

• La politique de sécurité définit les besoins de sécurité pour différentes connexions.

• Les connexions sont des sessions IP

• La trame générale de l'architecture IPSec fournit:

- Intégrité des données - Authentification - Confidentialité des données - Associations de sécurité - Gestion des clés

Page 58: VPN (Virtual Private Networks)

ccnp_cch 58

Technologies IPSec • IPSec - Authentication Header (AH)

En-tête IP AH En-têteESP Données En-Queue

ESP

• L'Authentification Header (AH) IP est utilisé pour fournir l'intégrité, l'authentification de l'origine des données pour des paquets IP et fournit également la détection de l'intrusion d'un tiers dans l'échange.

• Le service de détection d'intrusion d'un tiers dans l'échange est optionnel. Si celui-ci est négocié et validé, il faut que le récepteur teste les numéros de séquence.

• AH fournit l'authentification pour l'en-tête IP et TCP mais certains champs de l'en-tête changent au cours du transit dans le réseau.

• AH ne peut pas fournir de protection complète de l'en-tête IP

Page 59: VPN (Virtual Private Networks)

ccnp_cch 59

Technologies IPSec • IPSec - Authentication Header (AH)

• AH peut être appliqué seul, en combinaison avec IP ESP ou de manière imbriquer au travers de l'utilisation du mode tunnel.

• Les services de sécurité peuvent être fournis entre une paire de hosts, une paire de passerelles de sécurité ou entre une passerelle de sécurité et un host.

• ESP peut être utilisé pour fournir les mêmes services plus la confidentialité (cryptage).

• La différence principale entre les services d'authentification de AH et ESP est l'extension de la couverture.

• ESP ne protège pas les champs de l'en-tête IP à moins que cet en-tête soit encapsulé par ESP (Mode tunnel).

En-tête IP AH En-têteESP Données En-Queue

ESP

Page 60: VPN (Virtual Private Networks)

ccnp_cch 60

Technologies IPSec • IPSec - Encapsulation Security Payload (ESP)

• L'en-tête ESP est inséré après l'en-tête IP et avant l'en-tête de protocole de couche supérieure dans le mode transport ou avant un en-tête IP encapsulé en mode tunnel.

• ESP est utilisé pour fournir les services suivants:

- Confidentialité - Authentification de l'origine des données - Intégrité - Service de détection d'intrusion d'une tierce partie dans l'échange

En-tête IP AH En-têteESP Données En-Queue

ESP

Page 61: VPN (Virtual Private Networks)

ccnp_cch 61

Technologies IPSec • IPSec - Encapsulation Security Payload (ESP)

• L'ensemble des services fournis dépend des options sélectionnées au moment de l'établissement des associations de sécurité et l'emplacement de l'implémentation.

• La confidentialité peut être sélectionnée indépendamment des autres services.

• Cependant l'utilisation de la confidentialité sans intégrité/authentification, soit dans ESP ou séparément dans AH peut rendre certains trafics vulnérables à des attaques actives.

En-tête IP AH En-têteESP Données En-Queue

ESP

Page 62: VPN (Virtual Private Networks)

ccnp_cch 62

Technologies IPSec • IPSec - Encapsulation Security Payload (ESP)

En-tête IP AH En-têteESP Données En-Queue

ESP

• L'authentification de l'origine des données et l'intégrité sont des services joints et sont offerts en option conjointement avec la confidentialité optionnelle.

• Le service de détection d'intrusion d'une tierce partie peut être sélectionné que si l'authentification de l'origine des données est sélectionnée et reste entièrement à la discrétion du receveur.

• Le service de détection d'intrusion d'une tierce partie sera effectivement actif uniquement si le receveur teste les numéros de séquence.

• La confidentialité de trafic nécessite la sélection du mode tunnel.

• Bien que la confidentialité et l'authentification soient optionnelles au moins une des deux doit être sélectionnée.

Page 63: VPN (Virtual Private Networks)

ccnp_cch 63

Technologies IPSec • Mode Tunnel contre Mode Transport

PC

Mode Tunnel

Mode Transport

• En mode Transport les hosts d'extrémité réalisent l'encapsulation IPSec de leurs propres données ( host à host) par conséquent IPSec doit être implémenté sur chacun des hosts.

- L'application des points d'extrémité doit être aussi une extrémité IPSec.

• En mode Tunnel les passerelles IPSec fournissent les services IPSec aux autres hosts dans des tunnels point à point. Les hosts d'extrémité n'ont pas besoin d'avoir IPSec.

Page 64: VPN (Virtual Private Networks)

ccnp_cch 64

Technologies IPSec • Mode Tunnel contre Mode Transport

PC

Mode Tunnel

Mode Transport

• ESP et AH peuvent être appliqués aux paquets IP de deux façons différentes:

• Le mode Transport fournit la sécurité aux couches de protocoles supérieures. - Le mode Transport protège la charge utile du paquet mais garde l'adresse IP originale en clair. - L'adresse IP originale est utilisée pour router les paquets sur Internet. - Le mode Transport ESP est utilisé entre hosts.

Page 65: VPN (Virtual Private Networks)

ccnp_cch 65

Technologies IPSec • Mode Tunnel contre Mode Transport

PC

Mode Tunnel

Mode Transport

• ESP et AH peuvent être appliqués aux paquets IP de deux façons différentes:

• Le mode Tunnel fournit la sécurité pour tout le paquet IP. - Le paquet IP original est crypté - Le paquet crypté est encapsulé dans un autre paquet IP. - L'adresse IP "outside" est utilisée pour router les paquets sur Internet .

Page 66: VPN (Virtual Private Networks)

ccnp_cch 66

Technologies IPSec • Security Association (SA)

A B

A vers BESP/DES/SHA-1Keys K1,K2,...lifetime=3600s

B vers AESP/DES/SHA-1keys K6,K7,...lifetime=3600s

SADB SADB

Accèsclient

Accèsclient

A vers BESP/DES/SHA-1Keys K1,K2,...lifetime=3600s

B vers AESP/DES/SHA-1keys K6,K7,...lifetime=3600s

BackboneOpérateur

• Les SAs ou Secutity Associations sont un concept de base très important dans IPSec

• Elles représentent un contrat entre deux extrémités et décrivent comment ces deux extrémités vont utiliser les srvices ede sécurité IPSec pour protéger le trafic.

• Les SAs contiennent tous les paramètres de sécurité nécessaires pour sécuriser le transport des paquets entre les deux extrémités et définissent la politique de sécurité utilisée dans IPSec.

Page 67: VPN (Virtual Private Networks)

ccnp_cch 67

Technologies IPSec • Security Association (SA)

A B

A vers BESP/DES/SHA-1Keys K1,K2,K3,K4lifetime=3600s

B vers AESP/DES/SHA-1keys K6,K7,...lifetime=3600s

SADB SADB

Accèsclient

Accèsclient

A vers BESP/DES/SHA-1Keys K1,K2,K3,K4lifetime=3600s

B vers AESP/DES/SHA-1keys K6,K7,...lifetime=3600s

BackboneOpérateur

• Les routeurs ont besoin de deux SAs pour protéger le trafic entre les hosts A et B.

• L'établisseemnt des SAs est un prérequis dans IPSec pour la protection du trafic.

• Quand les SAs appropriées sont établies, IPSec se réfère à celles-ci pour obtenir tous les paramètres nécessaires à la protection du trafic

• Une SA doit mettre en vigueur la politique de protection en ces termes: Pour le trafic entre A et B, utilisez ESP 3DES avec les clés K1,K2 et K3 pour le cryptage de la charge utile, SHA-1 avec la clé K4 pour l'authentification.•

Page 68: VPN (Virtual Private Networks)

ccnp_cch 68

Technologies IPSec • Security Association (SA)

A B

A vers BESP/DES/SHA-1Keys K1,K2,...lifetime=3600s

B vers AESP/DES/SHA-1keys K6,K7,...lifetime=3600s

SADB SADB

Accèsclient

Accèsclient

A vers BESP/DES/SHA-1Keys K1,K2,...lifetime=3600s

B vers AESP/DES/SHA-1keys K6,K7,...lifetime=3600s

BackboneOpérateur

• Les SAs contiennent des spécifications unidirectionnelles.

• les SAs sont sépécifiques au protocole d'encapsulation (AH,ESP).

• Pour un flux de trafic donné, il y a une SA pour chaque protocole (AH, ESP) et pour chaque sens du trafic.

• Les équipements VPN stockent leurs SAs dans une base de données local appelée la SA Database (SADB).

Page 69: VPN (Virtual Private Networks)

ccnp_cch 69

Technologies IPSec • Security Association (SA)

A B

A vers BESP/DES/SHA-1Keys K1,K2,...lifetime=3600s

B vers AESP/DES/SHA-1keys K6,K7,...lifetime=3600s

SADB SADB

Accèsclient

Accèsclient

A vers BESP/DES/SHA-1Keys K1,K2,...lifetime=3600s

B vers AESP/DES/SHA-1keys K6,K7,...lifetime=3600s

BackboneOpérateur

• Une SA contient les pramètres de sécurité suivants:

- L'algorithme Authentification/Cryptage, longueurs de clés et durées de vie des clés utilisées pour protéger les paquets. - Les clés de sessions pour l'authentification et le cryptage. - L'encapsulation IPSec (AH ou ESP) en mode tunnel ou transport. - Une spécification du trafic réseau auquel s'applique la SA.

Page 70: VPN (Virtual Private Networks)

ccnp_cch 70

Technologies IPSec • Les cinq étapes d'IPSec

Host A Host B

Routeur A Routeur B

1. Le Host A transmet des informations vers le Host B2. Les routeurs A et B négocient une session IKE Phase 1

3. Les routeurs négocient une session IKE Phase 2

4. Les information sont échangées via le Tunnel IPSec

5. Le tunnel IPSec est libéré.

IKE SA IKE SAIKE Phase 1

IKE SA IKE SAIKE Phase 2

• Le but d'IPSec est de protéger des données avec les moyens de sécurité appropriés

• Le processus IPSec peut être découpé en cinq étapes

Page 71: VPN (Virtual Private Networks)

ccnp_cch 71

Technologies IPSec • Les cinq étapes d'IPSec

Host A Host B

1. Le Host A transmet des informations vers le Host B2. Les routeurs A et B négocient une session IKE Phase 1

3. Les routeurs négocient une session IKE Phase 2

4. Les information sont échangées via le Tunnel IPSec

5. Le tunnel IPSec est libéré.

IKE SA IKE SAIKE Phase 1

IKE SA IKE SAIKE Phase 2

Routeur A Routeur B

• Etape 1 - Des informations à transmettre initient le processus IPSec - Le trafic est dit "interressant" quand l'équipement VPN reconnaît que les données doivent être protégées.

• Etape 2 - IKE Phase 1 authentifie les extrémités IPSec et négocie les SAs IKE. - Ceci crée un canal sécurisé pour négocier les SAs IPSec en Phase 2.

Page 72: VPN (Virtual Private Networks)

ccnp_cch 72

Technologies IPSec • Les cinq étapes d'IPSec

Host A Host B

1. Le Host A transmet des informations vers le Host B2. Les routeurs A et B négocient une session IKE Phase 1

3. Les routeurs négocient une session IKE Phase 2

4. Les information sont échangées via le Tunnel IPSec

5. Le tunnel IPSec est libéré.

IKE SA IKE SAIKE Phase 1

IKE SA IKE SAIKE Phase 2

• Etape 3 - La phase 2 IKE négocie les paramètres des SAs IPSec et crée une correspondance entre les SAs IPSec des extrémités. - Ces paramètres de sécurité sont échangés pour protéger les messages échangés entre les extrémités.• Etape 4 - Le transfert de données est effectué entre les extrémités IPSec sur la base des paramètres IPSEc et des clés stockées dans la base de données SA.• Etape 5 - La libération du tunnel IPSec survient sur effacement au travers des SAs ou sur time out.

Page 73: VPN (Virtual Private Networks)

ccnp_cch 73

Technologies IPSec • Les cinq étapes d'IPSec - Comment IPSec utilise IKE

IPSec

IKE IKE

IPSec

Routeur A Routeur B

Tunnel IKE

1. Un paquet est transmis du Routeur A vers le Routeur B. Pas de SA IPSec

2. IKE du Routeur A commence à négocier avec IKE du Routeur B.

3. La négociation est terminée. Le Routeur A et le Routeur B ont un ensemble de SAs en place.

4. Un paquet est transmis du Routeur A vers le Routeur B protégé par IPSec

• IKE (Internet Key Exchange) améliore IPSec en fournissant des fonctions additionnelles, flexibilité et facilite la configuration d'IPSec.

• IKE est un protocole hybride qui implémente les échanges de clés Oakley et Skeme dans le cadre ISAKMP (Internet Security Association and Key management)

• IKE fournit l'authentification pour les extrémités IPSec, négocie les clés IPSec et les Associations de Sécurité IPSec

Page 74: VPN (Virtual Private Networks)

ccnp_cch 74

Technologies IPSec • Les cinq étapes d'IPSec - Comment IPSec utilise IKE

IPSec

IKE IKE

IPSec

Routeur A Routeur B

Tunnel IKE

1. Un paquet est transmis du Routeur A vers le Routeur B. Pas de SA IPSec

2. IKE du Routeur A commence à négocier avec IKE du Routeur B.

3. La négociation est terminée. Le Routeur A et le Routeur B ont un ensemble de SAs en place.

4. Un paquet est transmis du Routeur A vers le Routeur B protégé par IPSec

• Le tunnel IKE protège les négociations de SA.

• Le Mode de configuration IKE autorise une paserelle à télécharger une adresse IP vers le client . ceci faisant partie de la négociation IKE.

• L'adresse IP fournie par la passerelle au client IKE est utilisée comme une IP "interne" encapsulée dans IPSec.

• Cette adresse IP connue peut être controlée par la politique (policy) IPSec.

Page 75: VPN (Virtual Private Networks)

ccnp_cch 75

Technologies IPSec • Les cinq étapes d'IPSec - Comment IPSec utilise IKE

IPSec

IKE IKE

IPSec

Routeur A Routeur B

Tunnel IKE

1. Un paquet est transmis du Routeur A vers le Routeur B. Pas de SA IPSec

2. IKE du Routeur A commence à négocier avec IKE du Routeur B.

3. La négociation est terminée. Le Routeur A et le Routeur B ont un ensemble de SAs en place.

4. Un paquet est transmis du Routeur A vers le Routeur B protégé par IPSec

• Le Mode de configuration IKE est implémenté dans les images IOS Cisco IOSec.

• En utilisant le Mode de configuration IKE, un serveur d'accès Cisco peut être configuré pou télécharger une adresse IP vers un client comme faisant partie de la transaction IKE.

• IKE négocie automatiquement les SAs IPSec et active les communications sécurisées par IPSec sans une pré-configuration manuelle fastidieuse.

Page 76: VPN (Virtual Private Networks)

ccnp_cch 76

Technologies IPSec • Les cinq étapes d'IPSec - Comment IPSec utilise IKE

IPSec

IKE IKE

IPSec

Routeur A Routeur B

Tunnel IKE

1. Un paquet est transmis du Routeur A vers le Routeur B. Pas de SA IPSec

2. IKE du Routeur A commence à négocier avec IKE du Routeur B.

3. La négociation est terminée. Le Routeur A et le Routeur B ont un ensemble de SAs en place.

4. Un paquet est transmis du Routeur A vers le Routeur B protégé par IPSec

• IKE a les avantages suivants:

- Elimine la configuration manuelle des paramètres de sécurité IPSec dans des crypto maps à chaque extrémité. - Permet de spécifier une durée de vie pour les SAs. - Permet le changement de clés pendant les sessions IPSec. - Autorise IPSec à fournir les services de détecton d'intrusion d'un tiers. - Permet le support d'Autotrité de Certification pour une implémentation IPSec évolutive. - Permet l'authentification dynamique des extrémités.

Page 77: VPN (Virtual Private Networks)

ccnp_cch 77

Technologies IPSec • Les cinq étapes d'IPSec - Comment IPSec utilise IKE

• Les différentes technologies implémentées pour l'usage d'IKE sont:

- DES (Data Encryption Standard) utilisé pour crypter les données. IKE implémente le standard DES-CBC 56 bits avec Explivit IV (Initialization Vector). - 3DES. Cryptage 168 bits - CBC (Cipher Bloc Chaining) requiert l'utilisation d'un vecteur d'initialisation (IV). Le vecteur d'initialisation est donné dans le paquet IPSec. - Diffie-Hellman est un protocol de cryptage à clé publique qui permet à deux parties d'établir un secret partagé sur un canal de communication non-sécurisé. Diffie-Hellman est utilisé dans IKE pour établir les sessions de clés. Les groupes Diffie-Hellman 768-bits et 1024-bits sont supportés. - MD5 (Message Digest 5), variante HMAC, est un algorithme de hachage utilisé pour authentifier les données. HMAC est une variante qui donne un niveau supplémentaire de hachage. - SHA (Secure Hash Algorithm), variante HMAC, est un algorithme de hachage utilisé pour authentifier les données. HMAC est une variante qui donne un niveau supplémentaire de hachage. - Signatures RSA et cryptage RSA -- RSA est un protocole de cryptage à clé publique développé par Ron Rivest, Adi Shamir et Leonard Adleman. Les signatures RSA fournissent la non-répudiation tandis RSA est utilisé pour le cryptage.

Page 78: VPN (Virtual Private Networks)

ccnp_cch 78

Technologies IPSec • Les cinq étapes d'IPSec - Comment IPSec utilise IKE

IPSec

IKE IKE

IPSec

Routeur A Routeur B

Tunnel IKE

1. Un paquet est transmis du Routeur A vers le Routeur B. Pas de SA IPSec

2. IKE du Routeur A commence à négocier avec IKE du Routeur B.

3. La négociation est terminée. Le Routeur A et le Routeur B ont un ensemble de SAs en place.

4. Un paquet est transmis du Routeur A vers le Routeur B protégé par IPSec

• Le protocole IKE utilise les certificats X.509v3 quand l'authentification requiert des clés publiques.

• Ce support de certificat permet l'évolution du réseau en fournissant l'équivalent d'une carte d'identification numérique à chaque équipement.

• Quand deux équipements veulent communiquer, ils échangent leurs certificats pour prouver leur identité.

• Ceci élimine le besoin d'échanger manuellement des clés publiques avec chaque extrémité ou de spécifier manuellement une clé partagée à chaque extrémié.

Page 79: VPN (Virtual Private Networks)

ccnp_cch 79

Technologies IPSec • Les cinq étapes d'IPSec - Comment IPSec utilise IKE

• IPSec dans l'IOS Cisco traite les paquets comme le montre la figure ci-dessus

• Le processus présume que les clés privées et publiques ont déjà été créees et qu'il existe au moins une liste de controle d'accès.

Cryptage?

SA IPSec?

SA IKE?

Authentificationavec CA?

Transmettresur interface

Cryptage dupaquet et

transmission

Négocie les SAsIPSec avec SAISAKMP

Négocie les SAsISAKMP avec l'extrémité

Récupère la clé publique du CARécupère le certificat pour sa propreclé publique.

access-list 1XX permit

crypto ipsectransform-setcrypto map name

crypto isakmp policycrypto isakmp identitycrypto key generatecrypto key public-chain

crypto ca identitycrypto ca authenticatecrypto ca enrollcrypto ca crl request

IOSLe trafic est choisiavec les listes d'accès

IPSecUn par IPSec SA(entre extrémités)

ISAKMP/OakleyUn par ISAKMP SA(entre extrémités)

CA AuthentificationUn par paire de clésprivée/publique

Non

Non

Non

Non

Oui

Oui

Oui

Oui

Clés

Page 80: VPN (Virtual Private Networks)

ccnp_cch 80

Technologies IPSec • Les cinq étapes d'IPSec - Comment IPSec utilise IKE

• Les listes d'accès appliquées à une interface et les crypto map sont utlisées par l'IOS Cisco pour sélectionner le trafic qui doit être protégé (crypté).

• L'IOS Cisco vérifie si les associations de sécurité IPSec (SA) ont été établies.

• Si les SAs ont déjà été établies par configuration manuelle avec les commandes crypto ipsec transform-set et crypto map ou par IKE, le paquet est crypté sur la base de la "policy" spécifiée dans la crypto map et transmis sur l'interface.

• Si les SAs ne sont pas établies, l'IOS Cisco vérifie si une SA ISAKMP a été configurée et activée.

• Si la SA ISAKMP a été activée, cette SA ISAKMP dirige la négociation de la SA IPSec avec la "polict" ISAKMp configurée par la commande crypto isakmp policy.

• Le paquet est crypté par IPSec et transmis sur l'interface.

Page 81: VPN (Virtual Private Networks)

ccnp_cch 81

Technologies IPSec • Les cinq étapes d'IPSec - Comment IPSec utilise IKE

• Si la SA ISAKMP n'a pas été activée, l'IOS Cisco vérifie si l'autorité de certification a été configurée pour établir une ISAKMP policy.

• Si l'authentification de la CA (Certification Authority) a été configurée avec les différentes commandes crypto ca, le routeur utilise les clés publique/privée configurées précédemment, récupère le certificat public de la CA, un certificat pour sa propre clé publique, utilise la lé pour négocier une SA ISAKMP qui à son tour est utilisée pou négovier une SA IPSEC. Le paquet est crypté puis transmis.

Page 82: VPN (Virtual Private Networks)

ccnp_cch 82

Taches de configuration IPSec

Tache 1 - Préparer IPSec• Déterminer la IKE policy (IKE Phase 1)• Déterminer la IPSec policy (IKE Phase 2)• Vérifier la configuration courante• S'assurer que le réseau fonctionne sans cryptage• S'assurer que les listes de controle d'accès sont compatibles avec IPSec.

Tache 2 - Configurer IKE• Valider ou Dévalider IKE• Créer les IKE policies• configurer les "pre-shared" clés• Configurer l'identité ISAKMP• Vérifier la configuration IKE

Tache 3 - Configurer IPSec• Configurer les suites "transform-set"• Configurer les paramètres globaux IPSec• Créer les crypto ACLs • Créer les crypto ACLs utilisants les listes d'accès étendues• Créer les crypto maps.• Configurer les IPSec crypto maps

Tache 4 - Tester et Vérifier IPSec

• L'utilisation de clés IKE "pre-shared" pour l'authentification de sessions IPSec est relativement aisée mais n'est pas très évolutive pour un grand nombre de clients IPSec.

• Le processus de configuration de clés IKE "pe-shared" dans l'IOS Cisco consiste en quatre taches principales.

Page 83: VPN (Virtual Private Networks)

ccnp_cch 83

Taches de configuration IPSec • Tache 1 - Préparation IKE et IPSec

Tache 1 - Préparer IPSec• Déterminer la IKE policy (IKE Phase 1)• Déterminer la IPSec policy (IKE Phase 2)• Vérifier la configuration courante - show running-configuration - show crypto isakmp policy - show crypto map

• S'assurer que le réseau fonctionne sans cryptage. (ping)• S'assurer que les listes de controle d'accès sont compatibles avec IPSec. - show access-listsTache 2 - Configurer IKETache 3 - Configurer IPSecTache 4 - Tester et Vérifier IPSec

• La configuration du cryptage IPSec peut être compliquée

• Créer un plan d'action avant de configurer correctement le cryptage IPSec est obligatoire la première fois afin de minimiser les erreurs de configuration.

• Commencez par définir une politique de sécurité IPSec basée sur la politique générale de sécurité de l'entreprise.

Page 84: VPN (Virtual Private Networks)

ccnp_cch 84

Taches de configuration IPSec • Tache 1 - Préparation IKE et IPSec - Déterminer la "IKE Policy " (IKE Phase 1)

Déterminer les détails suivants de la IKE policy Phase 1:• Méthode de distribution des clés• Méthode d'authentification• Adresses IP et noms de hosts des extrémités IPSec• IKE policy Phase 1 pour toutes les extrémités - Algorithme de Cryptage - Algorithme de Hachage - Durée de vie des SAs IKE

But: Minimiser les incohérences de configuration.

• Configurer IKE est compliqué

• Déterminer d'abord les détails de la policy IKE pour valider la méthode d'authentification choisie et la configurer.

• Un plan d'action détaillé évite les configurations non-apprpriées.

Page 85: VPN (Virtual Private Networks)

ccnp_cch 85

Taches de configuration IPSec • Tache 1 - Préparation IKE et IPSec - Paramètres "IKE Policy " (IKE Phase 1)

Paramètre Fiable Très fiableAlgorithme de cryptage DES 3-DESAlgorithme de hachage MD5 SHA-1Méthode d'authentification Pre-Share Cryptage RSA

Signature RSAEchange de clés Diffie-Hellman Groupe 1 Diffie-Hellman Groupe 2Durée de vie SA IKE 86400 seconds Moins de 86400 secondes

• Une IKE "policy" définit une combinaison de paramètres de sécurité utilisés pendant la négociation IKE.

• Un groupe de "policies" crée une ensemble de "policies" qui permet aux extrémités IPSec d'établir des sessions IKE et d'établir des SAs avec une configuration minimale.

• Le tableau ci-dessus montre un exemple possible de combinaisons de paramètres IKE pour une policy.

• Les négociations IKE dovent être protégées aussi la négociation IKE commence par l'agrément par chaque extrémité d'une politique (policy) IKE commune

• Cette politique indique quels sont les paramètres IKE qui vont servir à protéger les échanges IKE suivants.

Page 86: VPN (Virtual Private Networks)

ccnp_cch 86

Taches de configuration IPSec • Tache 1 - Préparation IKE et IPSec - Paramètres "IKE Policy " (IKE Phase 1)

Paramètre Valeur Mot-clé Valeur par défautAlgorithme decryptage

DES3-DES

des3des

768-bit Diffie-Hellman

Algorithme dehachage

SHA-1, variante HMACMD5, variante HMAC

shamd5

86400 secondes ouun jour

Méthode d'authentification

Pre-shared clésCryptage RSASignatures RSA

pre-sharersa-encrrsa-sig

768-bit Diffie-Hellman

Echange de clésIdentificateur degroupe Diffie-Hellman

768-bit Diffie-Hellman ou1024-bit Diffie-Hellman

1

2

768-bit Diffie-Hellman

ISAKMP - Durée de viedes SAs établies

Toutes valeurs possibles - 86400 secondes ou un jour.

• Définir les paramètres de la IKE policy

Page 87: VPN (Virtual Private Networks)

ccnp_cch 87

Taches de configuration IPSec • Tache 1 - Préparation IKE et IPSec - Paramètres "IKE Policy " (IKE Phase 1)

Paramètre Fiable Très fiableAlgorithme de cryptage DES 3-DESAlgorithme de hachage MD5 SHA-1Méthode d'authentification Pre-Share Cryptage RSA

Signature RSAEchange de clés Diffie-Hellman Groupe 1 Diffie-Hellman Groupe 2Durée de vie SA IKE 86400 seconds Moins de 86400 secondes

• Paramètres de la IKE policy

- Sélectionner une valeur pour chaque paramètre ISAKMP. Il a cinq paramètres à définir dans chaque IKE policy tel que le décrit le tableau ci-dessus.

Page 88: VPN (Virtual Private Networks)

ccnp_cch 88

Taches de configuration IPSec • Tache 1 - Préparation IKE et IPSec - Déterminer IPSec (IKE Phase 2)

Déterminer les détails suivants de la IKE policy phase 2:• Algorithmes et paramètres IPSec pour une sécurité et des performances optimales.• Transformations et si nécessaire Transform set• Détails sur l'extrémité IPSec• Adresse IP et applications à protéger• SAs Manuelles ou initiées par IKE

But: Minimiser les incohérences de configuration.

• Une IPSec policy définit une combinaison de paramètres IPSec utilisés pendant la négociation IPSec.

• La planification de IPSEc IKE phase 2 est une autre étape importante avant de configure IPSec sur un routeur.

Page 89: VPN (Virtual Private Networks)

ccnp_cch 89

Taches de configuration IPSec • Tache 1 - Préparation IKE et IPSec - IPSec Transforms supportés par l'IOS Cisco

Le logiciel IOS Cisco supporte les transformations IPSec suivantes:

CentralA(config)#crypto ipsec transform-set transform set-name

ah-md5 hmac AH - HMAC MD5 transformah-sha hmac AH - HMAC SHA transformesp-3des ESP transform using 3DES(EDE) cipher (168 bits)esp-des ESP transform using DES cipher (56 bits)esp-md5 hmac ESP transform using HMAC - MD5 authesp-sha hmac ESP transform using HMAC - SHA authesp-null ESP transform w/o cipher

Page 90: VPN (Virtual Private Networks)

ccnp_cch 90

Taches de configuration IPSec • Tache 1 - Préparation IKE et IPSec - IPSec Transforms supportés par l'IOS Cisco

CentralA(config)#crypto ipsec transform -set transform set-name

ah-md5 hmac AH - HMAC MD5 transformah-sha hmac AH - HMAC SHA transformesp-3des ESP transform using 3DES(EDE) cipher (168 bits)esp-des ESP transform using DES cipher (56 bits)esp-md5 hmac ESP transform using HMAC - MD5 authesp-sha hmac ESP transform using HMAC - SHA authesp-null ESP transform w/o cipher

• AH (Authentication Header)

- AH est rarement utilisé car l'authentification est maintenant disponible avec les transforms esp-md5-hmac et esp-sha-hmac .

- AH n'est pas compatible avec NAT ou PAT

Page 91: VPN (Virtual Private Networks)

ccnp_cch 91

Taches de configuration IPSec • Tache 1 - Préparation IKE et IPSec - IPSec Transforms supportés par l'IOS Cisco

CentralA(config)#crypto ipsec transform -set transform set-name

ah-md5 hmac AH - HMAC MD5 transformah-sha hmac AH - HMAC SHA transformesp-3des ESP transform using 3DES(EDE) cipher (168 bits)esp-des ESP transform using DES cipher (56 bits)esp-md5 hmac ESP transform using HMAC - MD5 authesp-sha hmac ESP transform using HMAC - SHA authesp-null ESP transform w/o cipher

Transform Descriptionesp-des Transform ESP utilisant DES 56 bits esp-3des Transform ESP utilisant 3DES 168 bits esp-md5-hmac Transform ESP avec l'authentification MD5 HMAC utilisée avec une

transform esp-des ou esp-3des pour fournir l'intégrité des paquets ESPesp-shs-hmac Transform ESP avec l'authentification SHA HMAC utilisée avec une

transform esp-des ou esp-3des pour fournir l'intégrité des paquets ESPesp-null Transform ESP sans cryptage. Peut être utilisée en combinaison avec

esp-md5-hmac ou esp-sha-hmac si on veut l'authentification sans cryptage.

Attention: Ne jamais utiliser esp-null dans un environnement de production car lesflux de données ne seront pas protégés.

Page 92: VPN (Virtual Private Networks)

ccnp_cch 92

Taches de configuration IPSec • Tache 1 - Préparation IKE et IPSec - IPSec Transforms supportés par l'IOS Cisco

CentralA(config)#crypto ipsec transform -set transform set-name

ah-md5 hmac AH - HMAC MD5 transformah-sha hmac AH - HMAC SHA transformesp-3des ESP transform using 3DES(EDE) cipher (168 bits)esp-des ESP transform using DES cipher (56 bits)esp-md5 hmac ESP transform using HMAC - MD5 authesp-sha hmac ESP transform using HMAC - SHA authesp-null ESP transform w/o cipher

Type de Transform Combinaisons autoriséesTransform AHEn choisir une

• ah-md5-hmac-AH avec MD5 (variante HMAC) algorithme d'authentification• ah-SHA-hmac-AH avec SHA (variante HMAC) algorithme d'authentification

Transform ESPTransform

• esp-des-ESP avec DES-56bits algorithme de cryptage• esp-3des-ESP avec DES-168bits algorithme de cryptage • esp-null-null algorithme de cryptage

ESP AuthentificationTransformEn choisir une

• esp-md5-hmac-ESP avec MD5 (variante HMAC) algorithme d'authentification• esp-sha-hmac-ESP avec SHA (variante HMAC) algorithme d'authentification

Compression IPTransform

• compression comp-lzs-ip avec l'algorithme LZS.

• L'IOS Cisco empêche l'entrée de combinaisons invalides ou non-autorisées.

Page 93: VPN (Virtual Private Networks)

ccnp_cch 93

Taches de configuration IPSec • Tache 1 - Préparation IKE et IPSec - Exemple IPSec Policy

Host A Host B

Routeur A Routeur B

E0/1 172.30.1.2

Internet

E0/1 172.30.2.2

Policy Host A Host BTransform set ESP-DES, Tunnel ESP-DES, TunnelPeer hostname RouteurB RouteurAPeer IP address 172.30.2.2 172.30.1.2Hosts à crypter 10.0.1.3 10.0.2.3Type de trafic à crypter TCP TCPEtablissement des SAs ipsec-isakmp ipsec-isakmp

• La figure ci-dessus montre un exemple des details de la politique de cryptage IPSec qui sera utilisée dans les exmples dee ce document.

10.0.1.3 10.0.2.3

Page 94: VPN (Virtual Private Networks)

ccnp_cch 94

Taches de configuration IPSec • Tache 1 - Préparation IKE et IPSec - Identifier les extrémités IPSec

Serveur CA

CiscoPIX Pare-feu

Utilisateur distantavec le client VPN Cisco

Autres constructeursvoisins IPSec

Concentrateur VPN Cisco

Routeur Cisco

• Un point important pour déterminer la politique IPSec est l'identification l'extrémité IPSec avec laquelle le routeur Cisco va communiquer.

• L'extrémité doit supporter IPSec tel qu'il est spécifié dans les RFCs supportés par l'IOS Cisco.

Page 95: VPN (Virtual Private Networks)

ccnp_cch 95

Taches de configuration IPSec • Tache 1 - Préparation IKE et IPSec - Etape 3 : Vérifier la configuration courante

Host A Host B

Routeur A Routeur B

E0/1 172.30.1.2

Internet

E0/1 172.30.2.2

Routeur# show running-config

• Affiche la configuration courante pour voir les policies IPSec existantes

Routeur# show crypto isakmp policy

• Affiche les policies IKE phase 1 par défaut et configurées

Routeur# show crypto map• Affiche les crypto maps configurées

Routeur# show crypto ipsec transform-set• Affiche les "transforms set"configurés

Page 96: VPN (Virtual Private Networks)

ccnp_cch 96

RouterA#show crypto isakmp policyDefault protection suiteencryption algorithm: DES - Data Encryption Standard (56 bit keys)hash algorithm: Secure Hash Standardauthentication method: Rivest-Shamir-Adleman SignatureDiffie-Hellman Group: #1 (768 bit)lifetime: 86400 seconds, no volume limit

Taches de configuration IPSec • Tache 1 - Préparation IKE et IPSec - Etape 3 : Vérifier la configuration courante

• Commande : show crypto isakmp policy

• Utilisez la commande show crypto isakmp policy pour examiner les policies IKE

Page 97: VPN (Virtual Private Networks)

ccnp_cch 97

RouterA#show crypto mapCrypto Map "mymap" 10 ipsec-isakmpPeer = 172.30.2.2Extended IP access list 102access-list 102 permit ip host 172.30.1.2 host 172.30.2.2Current peer: 172.30.2.2Security association lifetime: 4608000 kilobytes/3600 secondsPFS (Y/N): NTransform sets={ mine, }

Taches de configuration IPSec • Tache 1 - Préparation IKE et IPSec - Etape 3 : Vérifier la configuration courante

• Commande : show crypto map

• La commande show crypto map est très utile pour examiner les crypto maps déjà configurées.

Page 98: VPN (Virtual Private Networks)

ccnp_cch 98

RouterA#show crypto ipsec transform-set mine Transform set mine: { esp-des }will negotiate = { Tunnel, },

Taches de configuration IPSec • Tache 1 - Préparation IKE et IPSec - Etape 3 : Vérifier la configuration courante

• Commande : show crypto map

• Utilisez la commande show crypto ipsec transform-set mine pour examiner les transform sets déjà configurés.

• Utilisez les transform sets déjà configurés pour gagner une configuration plus rapide.

Page 99: VPN (Virtual Private Networks)

ccnp_cch 99

Taches de configuration IPSec • Tache 1 - Préparation IKE et IPSec - Etape 4 : Vérifier le fonctionnement du réseau

Serveur CA

CiscoPIX Pare-feu

Utilisateur distantavec le client VPN Cisco

Autres constructeursvoisins IPSec

Concentrateur VPN Cisco

Cisco Routeur B172.30.2.2

Cisco Routeur B172.30.1.2

RouteurA#ping 172.30.1.2

Page 100: VPN (Virtual Private Networks)

ccnp_cch 100

Taches de configuration IPSec • Tache 1 - Préparation IKE et IPSec - Etape 5: Assurez-vous que les ACLs sont compatibles avec IPSec

Site 1 Site 2

Routeur A Routeur B

E0/1 172.30.1.2

Internet

E0/1 172.30.2.2

IKEAHESP

RouterA#show access-listsaccess-list 102 permit ah host 172.30.2.2 host 172.30.1.2access-list 102 permit esp host 172.30.2.2 host 172.30.1.2access-list 102 permit udp host 172.30.2.2 host 172.30.1.2 eq isakmp

• Assurez-vous que les protocoles 50, 51 et UDP port 500 ne sont pas bloqués sur les interfaces utilisées par IPSec.

Page 101: VPN (Virtual Private Networks)

ccnp_cch 101

Taches de configuration IPSec • Tache 2 - Configurer IKE

Tache 1 - Préparer IPSecTache 2 - Configurer IKE • Etape 1 - Valider ou dévalider IKE - crypto isakmp enable • Etape 2 - Créer les IKE policies - crypto isakmp policy • Etape 3 - Configurer ISAKMP - crypto isakmp identity • Etape 4 - Configurer les Pre-shared clés - crypto isakmp key • Etape 5 - Vérifier la configuration IKE - show crypto isakmp policy Tache 3 - Configurer IPSecTache 4 - Tester et Vérifier IPSec

Page 102: VPN (Virtual Private Networks)

ccnp_cch 102

Taches de configuration IPSec • Tache 2 - Configurer IKE - Etape 1: Valider IKE

RouteurA(config)# [no] crypto isakmp enable

RouteurA(config)#crypto isakmp enable

• Cette commande valide ou dévalide globalement IKE sur un routeur• IKE est validé par défaut• IKE est validé globalement pour toutes les interfaces du routeur• Une liste ce controle d'accès peut être utilisée pour bloquer IKE sur une interface particulière.

10.0.1.3

Routeur A Routeur B

172.30.1.2

Internet

172.30.2.210.0.2.3

Host A Host B

Page 103: VPN (Virtual Private Networks)

ccnp_cch 103

Taches de configuration IPSec • Tache 2 - Configurer IKE - Etape 2: Créer les "IKE Policies"

10.0.1.3

Routeur A Routeur B

172.30.1.2

Internet

172.30.2.210.0.2.3

Host A Host B

RouteurA(config)#crypto isakmp policy priority

RouteurA(config)#crypto isakmp policy 110

• Définit une policy IKE qui est un ensemble de paramètres utilisés lors de la négociation IKE.• Enchaine sur le mode de commande isakmp

• L'étape majeure suivante dans la configuration die ISAKMP est de définir une suite de policies ISAKMP.

• Le but de cette définition est d'établir une liaison ISAKMP entre deux extrémités IPSec.

Page 104: VPN (Virtual Private Networks)

ccnp_cch 104

Taches de configuration IPSec • Tache 2 - Configurer IKE - Etape 2: Créer les "IKE Policies" avec la commande crypto isakmp

10.0.1.3

Routeur A Routeur B

172.30.1.2

Internet

172.30.2.210.0.2.3

Host A Host B

Policy 110DESMD5

Pre-Share86400

RouteurA(config)#crypto isakmp policy priority

• Définit les paramètres dans la policy 110

RouteurA(config)#crypto isakmp policy 110RouteurA(config-isakmp)#authentication pre-shareRouteurA(config-isakmp)#encryption des RouteurA(config-isakmp)#group1RouteurA(config-isakmp)#hash md5RouteurA(config-isakmp)#lifetime 86400

• La commande isakmp policy invoque le mode de configuration ISAKMP (config-isakmp) dans lequel les paramètres ISAKMP sont configurés.

Page 105: VPN (Virtual Private Networks)

ccnp_cch 105

Taches de configuration IPSec • Tache 2 - Configurer IKE - Etape 2: Créer les "IKE Policies" avec la commande crypto isakmp

Mot-clé Valeurs acceptées Valeurs par défaut

Description

des DES-CBC 56 bits des Algorithme de cryptageshamd5

SHA-1(variante HMAC)MD5 (variante HMAC)

sha Intégrité du message

rsa-sigrsa-encrpre-share

Signatures RSACryptage RSALcés "pre-shared"

rsa-sig Méthode d'authentificationd'une extrémité

12

Diffie-Hellman 768 bitsDiffie-Hellman 1024 bits

1 Paramètres d'échange de clés.

- Toutes valeurs possiblesen secondes

86400 secondes(un jour)

• Si un de ces paramètres n'est pas spécifié pour la policy, la valeur par défaut sera utilisée pour ce paramètre.

Page 106: VPN (Virtual Private Networks)

ccnp_cch 106

Taches de configuration IPSec • Tache 2 - Configurer IKE - Etape 2: "IKE Policy négotiation"

10.0.1.3

Routeur A Routeur B

172.30.1.2

Internet

172.30.2.210.0.2.3

Host A Host B

• crypto isakmp policy 100 - hash md5 - authentication pre-share • crypto isakmp policy 200 - hash sha - authentication rsa-sig• crypto isakmp policy 300 - authentication pre-share

• crypto isakmp policy 100 - hash md5 - authentication pre-share • crypto isakmp policy 200 - hash sha - authentication rsa-sig• crypto isakmp policy 300 - authentication pre-share

Les deux premières policies peuvent être négociées avec succès par la troisième

• Une correspondance est trouvée quand les deux policies des deux extrémités contiennent les mêmes paramères pour le cryptage, l'authentification, le hachage et diffie-Hellman et quand la policy de l'extrémité distante spécifie une durée de vie égale ou inférieure à la policy locale.

Page 107: VPN (Virtual Private Networks)

ccnp_cch 107

Taches de configuration IPSec • Tache 2 - Configurer IKE - Etape 3: Configurer ISAKMP Identity

10.0.1.3

Routeur A Routeur B

172.30.1.2

Internet

172.30.2.210.0.2.3

Host A Host B

routeur(config)#crypto isakmp identity {address | hostname}

• Les extrémités IPSec s'authentifient mutuellement pendant la négociation ISAKMP en utilisant les clés "pre-shared" et l'identité ISAKMP.

• L'identité ISAKMP peut être l'adresse IP de l'interface du routeur ou le nom de host.

• L'IOS Cisco utilise l'identité par adresse IP par défaut.

address Fixe l'identité ISAKMP avec l'adresse IP de l'interface qui est utilisée pourcommuniquer avec l'extrémité distante durant la négociation ISAKMP.Cette méthode est utilisée quand il y a une seule interface utilisée et que l'adresse IP est connue.

hostname Fixe l'identité ISAKMP avec le nom de host concaténé avec le nom de domaine. Cette méthode doit être utilisée s'il y a plusieurs interfaces utilisées pour lanégociation ISAKMP ou si l'adresse IP de l'interface n'est pas connue.( adresse affectée dynamiquement)

Page 108: VPN (Virtual Private Networks)

ccnp_cch 108

Taches de configuration IPSec • Tache 2 - Configurer IKE - Etape 4: Configurer les "pre-shared keys"

10.0.1.3

Routeur A Routeur B

172.30.1.2

Internet10.0.2.3

Host A Host B

172.30.2.2Pre-shared cléCisco1234

routeur(config)#crypto isakmp key keystring hostname hostname

routeur(config)#crypto isakmp key keystring address peer-address

routeur(config)#crypto isakmp key Cisco1234 address 171.30.2.2

• Configurez une clé d'authentification "pre-shared" avec la commande crypto isakmp key en mode de configuration global.

• Cette clé doit être configurée chaque fois que des clés "pre-shared" sont spécifiées dans policy ISAKMP.

Page 109: VPN (Virtual Private Networks)

ccnp_cch 109

RouterB(config)#crypto isakmp key cisco1234 address 172.30.1.1RouterB(config)#crypto isakmp policy 110RouterB(config-isakmp)#hash md5 RouterB(config-isakmp)#authentication pre-share

RouterA(config)#crypto isakmp key cisco1234 address 172.30.2.1RouterA(config)#crypto isakmp policy 110RouterA(config-isakmp)#hash md5 RouterA(config-isakmp)#authentication pre-share

Taches de configuration IPSec • Tache 2 - Configurer IKE - Etape 4: Configurer les "pre-shared keys"

10.0.1.3

Routeur A Routeur B

172.30.1.2

Internet10.0.2.3

Host A Host B

172.30.2.2Pre-shared cléCisco1234

Page 110: VPN (Virtual Private Networks)

ccnp_cch 110

RouterA#show crypto isakmp policyProtection suite of priority 110encryption algorithm: DES - Data Encryption Standard (56 bit keys).hash algorithm: Message Digest 5authentication method: Pre-Shared KeyDiffie-Hellman group: #1 (768 bit)lifetime: 86400 seconds, no volume limitDefault protection suiteencryption algorithm: DES - Data Encryption Standard (56 bit keys).hash algorithm: Secure Hash Standardauthentication method: Rivest-Shamir-Adleman SignatureDiffie-Hellman group: #1 (768 bit)lifetime: 86400 seconds, no volume limit

Taches de configuration IPSec • Tache 2 - Configurer IKE - Etape 5: Vérifier la configuration IKE

10.0.1.3

Routeur A Routeur B

172.30.1.2

Internet

172.30.2.210.0.2.3

Host A Host B

Page 111: VPN (Virtual Private Networks)

ccnp_cch 111

Taches de configuration IPSec • Tache 3 - Configurer IPSec

Tache 1 - Préparer IPSecTache 2 - Configurer IKETache 3 - Configurer IPSec • Etape 1 - Configurer les "transform suites" - crypto ipsec transform-set • Etape 2 - Configurer les durées de vie globales des IPSec SAs - crypto ipsec security-association lifetime • Etape 3 - Créer les crypto ACLs utilisant les listes d'accès étendues - crypto map • Etape 4 - Configurer les crypto maps IPSec • Etape 5 - Appliquer les crypto maps aux interfaces - crypto map map-name Tache 4 - Tester et Vérifier IPSec

Page 112: VPN (Virtual Private Networks)

ccnp_cch 112

Taches de configuration IPSec • Tache 3 - Configurer IPSec Etape 1: Configurer les "transforms set"

10.0.1.3

Routeur A Routeur B

172.30.1.2

Internet

172.30.2.210.0.2.3

Host A Host B

Routeur(config)#crypto ipsec transform-set transform-set-name transform1[transform2 [transform2 [transform3]]Routeur(cfg-crypto-trans)#

RouteurA(config)#crypto ipsec transform-set mine des

esp-desTunnel

Mine

• Un "transform set" est une combinaison de transforms individuels IPSec qui promulgue une politique de sécurité pour le trafic.

• Durant la négociation ISAKMP IPSec SA qui se produit dans IKE phase 2 en mode rapide, les extrémités agréent l'utilisation d'un "transform set" pour protéger un flux de trafic particulier.

Page 113: VPN (Virtual Private Networks)

ccnp_cch 113

Taches de configuration IPSec • Tache 3 - Configurer IPSec Etape 1: "transform set negotiation"

10.0.1.3

Routeur A Routeur B

172.30.1.2

Internet

172.30.2.210.0.2.3

Host A Host B

transform-set 10 esp-3des tunnel

transform-set 40 esp-3des tunnel

transform-set 20 esp-3des, esp-md5-hmac tunnel

transform-set 50 esp-3des, ah-sha-hmac tunnel

transform-set 60 esp-3des, esp-sha-hmac tunnel

transform-set 30 esp-3des, esp-sha-hmac tunnel OK

• Les "transform sets" sont négociés durant IKE phase 2 en mode quick en utilisant des transform sets dejà configurés.

• Plusieurs transform sets peuvent être configurés avant de spécifier un plusieurs transform sets dans une crypto map.

• Configurez les "transforms" du plus sécurisé au moins sécurisé comme l"indique la policy.• Le transform set défini dans la crypto map est utilisé dans la négociation IPSec SA pour protéger le flux spécifié dans l'ACL de la crypto map.

Page 114: VPN (Virtual Private Networks)

ccnp_cch 114

Taches de configuration IPSec • Tache 3 - Configurer IPSec Etape 2: Configurer les durées de vies globales des SA IPSec

10.0.1.3

Routeur A Routeur B

172.30.1.2

Internet

172.30.2.210.0.2.3

Host A Host B

Routeur(config)#crypto ipsec security-association lifetime { seconds seconds|kilobytes kilobytes}

RouteurA(config)# crypto ipsec security-association lifetime 86400

• Les durées de vie des SAs IPSec sont négociées dans IKE phase2

• Les durées de vie des SAs IPSec dans les crypto map outrepassent les durées de vie globales des SAs IPSec.

Page 115: VPN (Virtual Private Networks)

ccnp_cch 115

Taches de configuration IPSec • Tache 3 - Configurer IPSec Etape 2: But des "Crypto ACLs"

10.0.1.3

Routeur A

172.30.1.2

Internet

Host A

Traficsortant

Traficentrant

CryptageNon IPsec

Autorise IPSec crypté

Elimine IPSecnon-crypté

Non IPSec

• Les listes d'accès en sortie indiquent quel flux de données doit être protégé par IPSec

• Les listes d'accès en entrée filtrent et élimine le trafic qui aurait du être protégé par IPSec.

Page 116: VPN (Virtual Private Networks)

ccnp_cch 116

Taches de configuration IPSec • Tache 3 - Configurer IPSec Etape 3: Créer "Crypto ACLs" avec les listes d'accès étendues

10.0.1.3

Routeur A Routeur B

172.30.1.2

Internet

172.30.2.210.0.2.3

Host A Host B

10.0.1.0 10.0.2.0

Routeur(config)#access-list access-list-number [dynamic dynamic-name[timeou-minutes]] {deny | permit} protocol source source-wildcarddestination destination-wildcard [precedence precedence] [tos tos] [log]

• Les crypto ACLs identifie quel trafic doit protégé (crypté)

RouteurA(config)#access-list 110 permit tcp 10.0.1.0 0.0.0.25510.0.2.0 0.0.0.255

Cryptage

Page 117: VPN (Virtual Private Networks)

ccnp_cch 117

Taches de configuration IPSec • Tache 3 - Configurer IPSec Etape 3: Configurer "Crypto ACLs" avec des extrémités symétriques

10.0.1.3

Routeur A Routeur B

172.30.1.2

Internet

172.30.2.210.0.2.3

Host A Host B

RouteurA(config)#access-list 101 permit tcp 10.0.1.0 0.0.0.255 10.0.2.0 0.0.0.255

RouteurB(config)#access-list 101 permit tcp 10.0.2.0 0.0.0.255 10.0.1.0 0.0.0.255

Page 118: VPN (Virtual Private Networks)

ccnp_cch 118

Taches de configuration IPSec • Tache 3 - Configurer IPSec Etape 3: But des "Crypto maps"

Les crypto maps relient les différentes parties configurées pour IPSec dont:

• Le trafic devant être protégé par IPSec et un ensemble de SAs • L'adresse locale à utiliser pour le trafic IPSEc

• L'adesse de destination du trafic protégé par IPSec

• Le type IPSec à appliquer à ce trafic

• La méthode d'établissement des SAs, soit manuellement soit avec RSA

• D'autres paramètres nécessaires pour définir une SA IPSec

Page 119: VPN (Virtual Private Networks)

ccnp_cch 119

Taches de configuration IPSec • Tache 3 - Configurer IPSec Etape 3: Paramètres des "Crypto maps"

10.0.1.3

Routeur A Routeur B

172.30.1.2

Internet

172.30.2.210.0.2.3

Host A Host B

Trafic cryptéInterface ou

sous-interface de routeur

Les crypto maps définissent:• La liste d'accès à utiliser• Les extrémités distantes du VPN• Les transforms sets utilisés• La méthode de gestion des clés• La durée de vie des associations de sécurité

Page 120: VPN (Virtual Private Networks)

ccnp_cch 120

Taches de configuration IPSec • Tache 3 - Configurer IPSec Etape 4: Configurer les "Crypto maps" IPSec

10.0.1.3

Routeur A Routeur B

172.30.1.2

Internet

172.30.2.210.0.2.3

Host A Host B

Routeur(config)#crypto map map-name seq-num ipsec-manual

Routeur(config)#crypto map map-name seq-num ipsec-isakmp [dynamicdynamic-map-name]

RouteurA(config)#crypto map mymap 110 ipsec-isakmp

• Un numéro de séquence différent par extrémité• De multiples extrémités peuvent être spécifiées dans un seule crypto map pour redondance• Une crypto map par interface

Page 121: VPN (Virtual Private Networks)

ccnp_cch 121

Taches de configuration IPSec • Tache 3 - Configurer IPSec Etape 4: Exemple de ommandes crypto map

10.0.1.3

Routeur ARouteur B

172.30.1.2

Internet

172.30.2.2

10.0.2.3

Host A Host B

172.30.3.2Routeur C

RouteurA(config)#map mymap 110 ipsec-isakmpRouteurA(config-crypto-map)#match address 110RouteurA(config-crypto-map)#set peer 172.30.2.2RouteurA(config-crypto-map)#set peer 172.30.3.2RouteurA(config-crypto-map)#set pfs group1RouteurA(config-crypto-map)#set transform-set mineRouteurA(config-crypto-map)#set security association lifetime 86400

Page 122: VPN (Virtual Private Networks)

ccnp_cch 122

Taches de configuration IPSec • Tache 3 - Configurer IPSec Etape 5: Appliquer les "Crypto maps" aux interfaces

10.0.1.3

Routeur A Routeur B

172.30.1.2

Internet

172.30.2.210.0.2.3

Host A Host B

Routeur(config-if)#crypto map map-name

RouteurA(config)#interface ethernet0/1RouteurA(config-if)#crypto map mymap

mymap

Page 123: VPN (Virtual Private Networks)

ccnp_cch 123

Taches de configuration IPSec • Tache 3 - Configurer IPSec Etape 5: Exemples de configuration IPSec

10.0.1.3

Routeur A Routeur B

172.30.1.2

Internet

172.30.2.210.0.2.3

Host A Host B

RouteurB#show running-configcrypto ipsec transform-set mineesp-des!crypto map mymap 10 ipsec-isakmpset peer 172.30.1.2set transform-set minematch address 110!interface Ethernet0/1 ip address 172.30.2.2 255.255.255.0 no ip directed broadcast crypto map mymap!access-list 110 permit tcp 10.0.2.00.0.0.255 10.0.1.0 0.0.0.255

RouteurA#show running-configcrypto ipsec transform-set mineesp-des!crypto map mymap 10 ipsec-isakmpset peer 172.30.2.2set transform-set minematch address 110!interface Ethernet0/1 ip address 172.30.1.2 255.255.255.0 no ip directed broadcast crypto map mymap!access-list 110 permit tcp 10.0.1.00.0.0.255 10.0.2.0 0.0.0.255

Page 124: VPN (Virtual Private Networks)

ccnp_cch 124

Taches de configuration IPSec • Tache 4 - Tester et vérifier IPSec

Tache 1 - Préparation pour IKE et IPSecTache 2 - Configurer IKETache 3 - Configurer IPSecTache 4 - Tester et Vérifier IPSec • Affiche les policies IKE configurées - show crypto isakmp policy ( show isakmp policy sur un PIX) • Affiche les transform sets configurés - show crypto ipsec transform-set • Affiche les associations de sécurité - show crypto isakmp sa (show isakmp sa sur un PIX) • Affiche l'état courant des SAs IPSec - show crypto ipsec sa • Affiche les crypto maps configurés - show crypto map • Valide debug pour les évènements IPSec - debug crypto ipsec • Valide debug pour les évènements ISAKMP - debug crypto isakmp

Page 125: VPN (Virtual Private Networks)

ccnp_cch 125

Taches de configuration IPSec • Tache 4 - Tester et vérifier IPSec - Commande show crypto isakmp policy

10.0.1.3

Routeur A Routeur B

172.30.1.2

Internet

172.30.2.210.0.2.3

Host A Host B

RouteurA#show crypto isakmp policyProtection suite of priority 110 encryption algorithm: DES - Data Encryption Standard (56 bit keys). hash algorithm: Message Digest 5 authentication method: pre-share Diffie-Hellmen-group: #1 (768bit) Lifetime: 86400 seconds, no volume limitDefault protection suite encryption algorithm: DES - Data Encryption Standard (56 bit keys). hash algorithm: Secure Hash Standard authentication method: Rivest-Shamir-Adleman Signature Diffie-Hellmen-group: #1 (768bit) Lifetime: 86400 seconds, no volume limit

Page 126: VPN (Virtual Private Networks)

ccnp_cch 126

Taches de configuration IPSec • Tache 4 - Tester et vérifier IPSec - Commande show crypto ipsec transform-set

10.0.1.3

Routeur A Routeur B

172.30.1.2

Internet

172.30.2.210.0.2.3

Host A Host B

RouteurA#show crypto ipsec transform-set Transform set mine: { esp-des} will negotiate = {Tunnel, },

RouteurA#show crypto isakmp sadest src state conn-id slot172.30.2.2 172.30.1.2 QM_IDLE 47 5

• Affiche les associations de sécurité ISAKMP

• Affiche les transforms sets courants et définis

Page 127: VPN (Virtual Private Networks)

ccnp_cch 127

Taches de configuration IPSec • Tache 4 - Tester et vérifier IPSec - Commande show crypto ipsec sa

10.0.1.3

Routeur A Routeur B

172.30.1.2

Internet

172.30.2.210.0.2.3

Host A Host B

RouteurA#show crypto ipsec sainterface: Ethernet0/1 Crypto map tag: mymap, local addr. 172.30.1.2 local ident (addr/mask/prot/port): (172.30.1.2/255.255.255.255/0/0) remote ident (addr/mask/prot/port): (172.30.2.2/255.255.255.255/0/0) Current peer: 172.30.2.2 PERMIT, flags={origin_is_acl} #pkts encaps: 21, #pkts encrypt: 21, #pkts digest 0 #send errors 0 #rec errors 0 Local crypto endpt: 172.30.1.2, remote crypto endpt: 172.30.2.2

Page 128: VPN (Virtual Private Networks)

ccnp_cch 128

Taches de configuration IPSec • Tache 4 - Tester et vérifier IPSec - Commande show crypto map

10.0.1.3

Routeur A Routeur B

172.30.1.2

Internet

172.30.2.210.0.2.3

Host A Host B

RouteurA#show crypto mapCrypto Map "mymap" 10 ipsec-isakmp Peer - 172.30.2.2 Extended IP access list 202 Acces-list 102 permit ip host 172.30.1.2 host 172.30.2.2 Current peer: 172.30.2.2 Security association lifetime: 4608000 kilobytes/3600 seconds PFS (Y/N) : N Transform sets={ mine, }

Page 129: VPN (Virtual Private Networks)

ccnp_cch 129

Taches de configuration IPSec • Tache 4 - Tester et vérifier IPSec - Commandes clear

Routeur# clear crypto saRouteur# clear crypto sa peer <IP address | peer name> Routeur# clear crypto sa map <map name>Routeur# clear crypto sa entry <destination address protocol spi>

• Efface les associations de sécurité IPSec dans la base de données du routeur

PIX# clear [crypto] ipsec saPIX# clear [crypto] ipsec sa peer <IP address | peer name> PIX# clear [crypto] ipsec sa map <map name>PIX# clear [crypto] ipsec sa entry <destination address protocol spi>

• Efface les associations de sécurité IPSec ou IKE sur un PIX

Page 130: VPN (Virtual Private Networks)

ccnp_cch 130

Taches de configuration IPSec • Tache 4 - Tester et vérifier IPSec - Commandes debug crypto

Routeur#debug crypto ipsec

Routeur#debug crypto isakmp

• Affiche les messages debug pour tous les évènements IPSec

• Affiche les messages debug pour tous les évènements ISAKMP

Page 131: VPN (Virtual Private Networks)

ccnp_cch 131

Taches de configuration IPSec • Tache 4 - Tester et vérifier IPSec - Commandes debug crypto

RouteurA#debug crypto ipsecCrypto IPSEC debugging is onRouteurA#debug crypto isakmpCrypto ISAKMp debugging is onRouteurA#*Feb 20 08:08:06.556 PST: IPSEC(sa-request): , (key eng. msg.) src= 172.30.1.2, dest= 172.30.2.2, src_proxy= 10.0.1.0/255.255.255.0/0/0 (type=4), dest_proxy= 10.0.2.0/255.255.255.0/0/0 (type=4), protocol= ESP, transform= esp-des esp-md5-hmac , lifedur= 3600s and 4608000kb, spi= 0x0(0), conn-id= 0, keysize=0, flags=0x4004! Le trafic interessant entre Site1 et Site2 active ISAKMP Main Mode.*Feb 20 08:08:06.556 PST: ISAKMP (4): beginning Main Mode exchange

Page 132: VPN (Virtual Private Networks)

ccnp_cch 132

Taches de configuration IPSec • Tache 4 - Tester et vérifier IPSec - Messages d'erreur du système de cryptage pour ISAKMP

%CRYPTO-6-IKMP_SA_NOT_AUTH: Cannot accept Quick Mode exchange from%151 is SA is not authenticated!

%CRYPTO-6-IKMP_SA_NOT_OFFERED: Remote peer %151 responded withattribute [chars] not offered or changed

• Message d'erreur indiquant que la SA ISAKMP avec l'extrémité distante n'a pas été authentifiée.

• Message d'erreur indiquant une erreur de protection des négociations entre les extrémités ISAKMP.