Mise en Place Et Securisation D Un VPN Ipsec
Mise en Place Et Securisation D Un VPN Ipsec
THESE PROFESSIONNELLE
Pour l’obtention d’un Diplôme de Mastère Professionnel en Sécurité
des Systèmes d’Information et des Réseaux
(SSIR4)
Réalisé par :
OGOULA NWAPANGA Yannick
Encadré par :
M. Famhi MISSAOUI
&
M. Saidi GHASALI
DEDICACES .............................................................................................................................. 5
REMERCIEMENT ................................................................................................................. 6
INTRODUCTION....................................................................................................................9
Introduction……………………………………………………………………..12
Conclusion…………………………………………………………………..18
Introduction………………………………………………………………....20
1. Principe de fonctionnement……………………………………………....20
2
Juin 2009 MISE EN PLACE ET SECURISATION D’UN VPN IPSEC AVEC DES ROUTEURS
CISCO
a. Fonctionnement………………………………….…..55
b. Architecture VPN Ssl…………………………….…..56
Conclusion...................................................................................................57
Introduction………………………………………...………………………………60
3
Juin 2009 MISE EN PLACE ET SECURISATION D’UN VPN IPSEC AVEC DES ROUTEURS
CISCO
a. Configuration de l’adressage…………………………………..64
b. Configuration d’EIGRP………………………………………65
Conclusion…………………………………………………………………………..77
Glossaire…………………….………………………………………………………78
Bibliographie………………..………………………………………………………82
Web graphie………………………...………………………………………………82
Annexe.........................................................................................................................................83
4
Juin 2009 MISE EN PLACE ET SECURISATION D’UN VPN IPSEC AVEC DES ROUTEURS
CISCO
Dédicace:
5
Juin 2009 MISE EN PLACE ET SECURISATION D’UN VPN IPSEC AVEC DES ROUTEURS
CISCO
Remerciements :
Je tiens tout d’abord à remercier notre créateur le seigneur DIEU pour m’avoir offert la vie
et la santé, car, sans lui rien n’est possible sur cette terre. Je remercie également TIME
UNIVERSITE pour sa structure d’accueil et le dynamisme de son administration, mon encadreur
Monsieur Fahmi MISSAOUI pour son aide et son apport scientifique, Monsieur Saidi
GHAZALI qui m’a permis de manipuler et de configurer des routeurs dans sa structure. Je remercie
également Monsieur Walid CHELBI qui m’a proposé et orienté vers ce sujet.
6
Juin 2009 MISE EN PLACE ET SECURISATION D’UN VPN IPSEC AVEC DES ROUTEURS
CISCO
Figures: Pages :
Figure 1 : Réseau actuel de TIME UNIVERSITE 17
Figure 2 : VPN avec un utilisateur distant 22
Figure 3 : VPN avec deux sites distants 23
Figure 4 : VPN entre l’entreprise et ces clients 24
Figure 5 : Trame PPP 27
Figure 6 : Protocole PPTP 29
Figure 7 : Protocole L2tp 30
Figure 8 : Les différentes couches du protocole de chiffrement AH 32
Figure 9 : Les différentes couches du protocole de chiffrement ESP 34
Figure 10 : Organigramme fonctionnel du protocole appliqué IPsec 37
Figure 11 : Organisation d’IPsec 40
Figure 12 : Réseaux privés virtuels 42
Figure 13 : Extranet 43
Figure 14 : Serveur sensible 44
Figure 15 : Exemples de double utilisation d’IPsec 44-45
Figure 16 : Mode transport 46
Figure 17 : Mode tunnel 46
Figure 18 : Mode de tunnel AH 47
Figure 19 : Mode de tunnel ESP 48
Figure 20 : Mode Nesting 49
Figure 21 : Présentation du protocole Ssl 55
Figure 22 : Echange de données du protocole Ssl 56
Figure 23 : Présentation de l’architecture réseau à réaliser 64
Figure 24 : Adressage du routeur R1 65
Figure 25 : Commandes de la politique de sécurité IKE 67
Figure 26 : Vérification de la configuration d’IPsec du Routeur 1 71
7
Juin 2009 MISE EN PLACE ET SECURISATION D’UN VPN IPSEC AVEC DES ROUTEURS
CISCO
8
Juin 2009 MISE EN PLACE ET SECURISATION D’UN VPN IPSEC AVEC DES ROUTEURS
CISCO
Introduction
La sécurité est un enjeu majeur des technologies numériques modernes. Réseaux
d’infrastructures de télécommunication (GSM, …), réseaux sans fils (Wifi, Bluetooth
etc.), Internet, Systèmes d’information, Routeurs, Ordinateurs, toutes ces entités
présentent des vulnérabilités (failles de sécurité, défaut de conception ou de
configuration, erreur d’utilisation, etc.). Ces systèmes sont attaqués de l’extérieur ou de
l’intérieur par des pirates ludiques, des cyber-terroristes, ou sont la proie d’espionnage
industriel.
Pour être de plus en plus rentable et pour répondre à la demande du marché, les
entreprises créent de plus en plus de succursales. De ce fait, elles favorisent le télétravail
pour plus d’efficacité. Cependant, la communication entre les différents sites distants
exige une certaine sécurité pour le trafic. Ces dernières tendent à une centralisation des
informations (Serveurs mail, serveurs d’application, annuaires, etc.)
Les réseaux locaux ont ainsi pris de l’ampleur. L’une des problématiques a été
l’utilisation des ressources d’un réseau. Local à distance.
• Les lignes louées : liaisons point à point louées par des opérateurs de
télécommunication à une entreprise.
• Les PVC (Permanent Virtual Circuit) : L’opérateur utilise son
infrastructure pour aiguiller les données entres deux sites.
• Les SVC (Switched Virtual Circuit) : Principe identique au PVC mais
ici la connexion est établie à la demande.
• Les connexions téléphoniques.
9
Juin 2009 MISE EN PLACE ET SECURISATION D’UN VPN IPSEC AVEC DES ROUTEURS
CISCO
Notre travail consistera à décrire une architecture qui permettra à des postes
nomades (donc situés sur un point quelconque de l’Internet) d’accéder de manière
sécurisées aux ressources intranet de l’organisme auquel appartient l’utilisateur. Par
l’ensemble des mécanismes qui seront décris tout le long de ce travail, l’utilisateur pourra
ainsi rendre son bureau virtuel et travailler depuis n’importe quel endroit, avec un
niveau de service équivalent à celui qu’il a lorsqu’il est présent physiquement dans les
locaux de son lieu de travail habituel.
10
Juin 2009 MISE EN PLACE ET SECURISATION D’UN VPN IPSEC AVEC DES ROUTEURS
CISCO
Chapitre I :
Présentation de
l’Organisme d’accueil et
Etude de l’existant
11
Juin 2009 MISE EN PLACE ET SECURISATION D’UN VPN IPSEC AVEC DES ROUTEURS
CISCO
Introduction :
TIME est une université crée en 2002, elle est situé au centre ville de Tunis sur la
rue 45, avenue Mohamed V, 1002 Tunis, Tunisie. [1]
• Objectif :
• Agrément :
TME UNIVERSITE est une université privée Tunisienne agrée par l’Etat
Tunisien depuis 2002 en l’application du cadre de la loi relatif à l’enseignement
supérieur, mis en vigueur en Tunisie à partir d’octobre 2001.
• Composition :
12
Juin 2009 MISE EN PLACE ET SECURISATION D’UN VPN IPSEC AVEC DES ROUTEURS
CISCO
• Diplôme agrées :
13
Juin 2009 MISE EN PLACE ET SECURISATION D’UN VPN IPSEC AVEC DES ROUTEURS
CISCO
Audit
Audit/Finance
Finance Internationale
Entreprenariat
Marketing
Management des Ressources Humaines
Management de la Chaine Logistique et Achats
Contrôle de Gestion et Système d’Information
Conception et Architecture des Réseaux
Sécurité des Systèmes d’Informatique et des Réseaux
Management de la Qualité*
Ingénieur des Médias*
E-Rédactionnels
14
Juin 2009 MISE EN PLACE ET SECURISATION D’UN VPN IPSEC AVEC DES ROUTEURS
CISCO
Reconnaissance Internationale :
Du fait que les certifications sont le résultat d’un test identique où qu’il se
déroule dans le monde, elles sont garantes d’un titre prouvant une compétence
reconnue au niveau international.
• Partenariat :
• Dispositif de gouvernance :
Conseil d’administration
Conseil scientifique
1/3 enseignants
• Moyens pédagogiques :
Salles d’enseignements
Moyens multimédia
Ordinateurs
Réseau
Connexion Internet
Vidéos projecteurs
Bibliothèque :
2. Etude de l’existant
Le but de notre travail est d’établir une connexion VPN entre le site principal
de TIME UNIVERSITE et son annexe. De ce fait, nous avons fais une étude partielle
de la configuration du réseau actuelle de TIME.
16
Juin 2009 MISE EN PLACE ET SECURISATION D’UN VPN IPSEC AVEC DES ROUTEURS
CISCO
Antenne
WIMAX 7ème étage
Serveur
6ème étage
5ème étage
5ème étage
Armoire
1èr étage
RC
RC
Sous sol
17
Juin 2009 MISE EN PLACE ET SECURISATION D’UN VPN IPSEC AVEC DES ROUTEURS
CISCO
Conclusion :
18
Juin 2009 MISE EN PLACE ET SECURISATION D’UN VPN IPSEC AVEC DES ROUTEURS
CISCO
Chapitre II :
Introduction au VPN
19
Juin 2009 MISE EN PLACE ET SECURISATION D’UN VPN IPSEC AVEC DES ROUTEURS
CISCO
Introduction
Les applications et les systèmes distribués font de plus en plus partie intégrante
du paysage d’un grand nombre d’entreprises. Ces technologies ont pu se développer
grâce aux performances toujours plus importantes des réseaux locaux. Mais le succès de
ces applications a fait aussi apparaître un de leur écueil. En effet si les applications
distribuées deviennent le principal outil du système d’information de l’entreprise,
comment assurer leur accès sécurisé au sein de structures parfois réparties sur de
grandes distances géographiques ? Concrètement comment une succursale d’une
entreprise peut-elle accéder aux données situées sur un serveur de la maison mère
distant de plusieurs milliers de kilomètres ? Les VPN on commencé à être mise en place
pour répondre à ce type de problématique. Mais d’autres problématiques sont apparues
et les VPN ont aujourd’hui pris une place importante dans les réseaux informatique et
l’informatique distribuées. Nous verrons ici quelles sont les principales caractéristiques
des VPN à travers un certain nombre d’utilisation type. Nous nous intéresserons ensuite
aux protocoles permettant leur mise en place.
1. Principe de fonctionnement
Avant de configurer une connexion VPN, nous allons définir ces différents
principes de fonctionnement afin de mieux comprendre son mode de fonctionnement
et de choisir la meilleur méthode adapté à notre projet.
20
Juin 2009 MISE EN PLACE ET SECURISATION D’UN VPN IPSEC AVEC DES ROUTEURS
CISCO
aux intranets ou aux extranets d’entreprise, les réseaux privés virtuels d’accès simulent
un réseau privé, alors qu’ils utilisent en réalité une infrastructure d’accès partagée,
comme Internet.
Les données à transmette peuvent être prises en charge par un protocole
différent d’IP. Dans ce cas, le protocole de tunneling encapsule les données en ajoutant
un en-tête. Le tunneling est l’ensemble des processus d’encapsulation, de transmission et
de dés-encapsulation.
Le VPN d’accès est utilisé pour permettre à des utilisateurs itinérants d’accéder
au réseau privé. L’utilisateur se sert d’une connexion Internet pour établir la connexion
VPN. Il existe deux cas :
• L’utilisateur demande au fournisseur d’accès de lui établir une
connexion cryptée vers le serveur distant : il communique avec NAS
(Network Access Server) du fournisseur d’accès et c’est le NAS qui
établit la connexion cryptée.
• L’utilisateur possède son propre logiciel client pour le VPN auquel cas
il établit directement la communication de manière cryptée vers le
réseau de l’entreprise.
21
Juin 2009 MISE EN PLACE ET SECURISATION D’UN VPN IPSEC AVEC DES ROUTEURS
CISCO
L’intranet VPN est utilisé pour relier au moins deux intranets entre eux. Ce
type de réseau est particulièrement utile au sein d’une entreprise possédant plusieurs
sites distants. Le plus important dans ce type de réseau est de garantir la sécurité et
l’intégrité des données. Certaines données très sensibles peuvent être amenées à transiter
sur le VPN (base de données clients, informations financières…). Des techniques de
22
Juin 2009 MISE EN PLACE ET SECURISATION D’UN VPN IPSEC AVEC DES ROUTEURS
CISCO
cryptographie sont mises en œuvre pour vérifier que les données n’ont pas été altérées.
Il s’agit d’une authentification au niveau paquet pour assurer la validité des données, de
l’identification de leur source ainsi que leur non-répudiation. La plupart des algorithmes
utilisés font appel à des signatures numériques qui sont ajoutées aux paquets. La
confidentialité des données est, elle aussi, basée sur des algorithmes de cryptographie. La
technologie en la matière est suffisamment avancée pour permettre une sécurité quasi
parfaite. Le coût matériel des équipements de cryptage et décryptage ainsi que les limites
légales interdisent l’utilisation d’un codage « infaillible ». Généralement pour la
confidentialité, le codage en lui-même pourra être moyen à faible, mais sera combiné
avec d’autres techniques comme l’encapsulation IP dans IP pour assurer une sécurité
raisonnable.
Une entreprise peut utiliser le VPN pour communiquer avec ses clients et ses
partenaires. Elle ouvre alors son réseau local à ces derniers. Dans ce cadre, il est
fondamental que l’administrateur du VPN puisse tracer les clients sur le réseau et gérer
les droits de chacun sur celui-ci.
23
Juin 2009 MISE EN PLACE ET SECURISATION D’UN VPN IPSEC AVEC DES ROUTEURS
CISCO
24
Juin 2009 MISE EN PLACE ET SECURISATION D’UN VPN IPSEC AVEC DES ROUTEURS
CISCO
Cette partie concerne les protocoles les plus utilisé pour une connexion VPN.
Notre travail consiste à les énumérer et à les expliquer pour pouvoir les appliquer dans
la seconde partie de notre travail.
Nous pouvons classer les protocoles que nous allons étudier en deux
catégories :
Les protocoles de niveau 2 comme PPTP et L2tp.
Les protocoles de niveau 3 comme IPSEC ou Mpls.
25
Juin 2009 MISE EN PLACE ET SECURISATION D’UN VPN IPSEC AVEC DES ROUTEURS
CISCO
PPP (Point to Point Protocol) est un protocole qui permet de transférer des
données sur un lien synchrone ou asynchrone. Il est full duplex et garantit l’ordre
d’arrivée des paquets. Il encapsule les paquets IP, IPX et Netbeui dans des trames PPP,
puis transmet ces paquets encapsulés au travers de la liaison point à point. PPP est
employé généralement entre un client d’accès à distance et un serveur d’accès réseau
(NAS). [3]
2.1.1. Généralités
Une méthode pour encapsuler les datagrammes sur la liaison série. PPP
utilise le format de trame HDLC (High Data Level Control) de l’ISO
(International Standartization Organisation).
Un protocole de contrôle de liaison (LCP- Link Control Protocol) pour
établir, configurer et tester la connexion de liaison de données.
Plusieurs protocoles de contrôle de réseaux (NCPS- Network Control
Protocol) pour établir et configurer les différents protocoles de couche
réseau.
26
Juin 2009 MISE EN PLACE ET SECURISATION
SEC D’UN VPN IPSEC
PSEC AVEC DES ROUTEU
ROUTEURS
CISCO
27
Juin 2009 MISE EN PLACE ET SECURISATION D’UN VPN IPSEC AVEC DES ROUTEURS
CISCO
Toute connexion PPP commence et finit par une phase dite de « liaison
morte ». Dès qu’un évènement externe indique que la couche physique est prête, la
connexion passe à la phase suivante, à savoir l’établissement de la liaison. Comme PPP
doit être supporté par un grand nombre d’environnements, un protocole spécifique a
été élaboré et intégré à PPP pour toute la phase de connexion ; il s’agit de LCP (Link
Control Protocol). LCP est un protocole utilisé pour établir, configurer, tester, et
terminer la connexion PPP. IL permet de manipuler des tailles variables de paquets et
effectuer un certain nombre de test sur la configuration. Il permet notamment de
détecter un lien bouclé sur lui-même.
La connexion PPP passe ensuite à une phase d’authentification. Cette étape est
facultative et doit être spécifiée lors de la phase précédente.
28
Juin 2009 MISE EN PLACE ET SECURISATION D’UN VPN IPSEC AVEC DES ROUTEURS
CISCO
PPTP est un protocole qui utilise une connexion PPP à travers un réseau IP en
créant un réseau privé virtuel (VPN). Microsoft a implémenté ses propres algorithmes
afin de l’intégrer dans ses versions de Windows. Ainsi, PPTP est une solution très
employée dans les produits VPN commerciaux à cause de son intégration au sein des
systèmes d’exploitation Windows. PPTP est un protocole de niveau 2 qui permet
l’encryptage des données ainsi que leur compression.
Le principe du protocole PPTP est de créer des paquets sous le protocole PPP
et de les encapsuler dans des datagrammes IP. PPTP crée ainsi un tunnel de niveau 3
défini par le protocole GRE (Generic Routing Encapsulation). Le tunnel PPTP se
caractérise par une initialisation du client, une connexion de contrôle entre le client et le
serveur ainsi que la clôture du tunnel par le serveur. Lors de l’établissement de la
connexion, le client effectue d’abord une connexion avec son fournisseur d’accès
Internet. Cette première connexion établie une connexion de type PPP et permet de
faire circuler des données sur Internet. Par la suite, une deuxième connexion dial-up est
établie. Elle permet d’encapsuler les paquets PPP dans des datagrammes IP. C’est cette
deuxième connexion qui forme le tunnel PPTP. Tout trafic client conçu pour Internet
emprunte la connexion physique normale, alors que le trafic conçu pour le réseau privé
distant, passe par la connexion virtuelle de PPTP.
29
Juin 2009 MISE EN PLACE ET SECURISATION D’UN VPN IPSEC AVEC DES ROUTEURS
CISCO
Plusieurs protocoles peuvent être associés à PPTP afin de sécuriser les données
ou de les compresser. On trouve évidement les protocoles développés par Microsoft et
cités précédemment. Ainsi, pour le processus d’identification, il est possible d’utiliser les
protocoles PAP (Password Authentification Protocol) ou MsChap. Pour l’encryptage
des données, il est possible d’utiliser les fonctions de MPPE (Microsoft Point to Point
Encryption). Enfin, une compression de bout en bout peut être réalisée par MPPC
(Microsoft Point to Point Compression). Ces divers protocoles permettent de réaliser
une connexion VPN complète, mais les protocoles suivants permettent un niveau de
performance et de fiabilité bien meilleur.
IPsec est développé par un groupe de travail du même nom à l’IETF (Internet
Engineering Task Force), groupe qui existe depuis 1992. Une première version des
mécanismes proposés a été publiée sous forme de RFC en 1995, sans la partie gestion
des clefs. Une seconde version, qui comporte en plus la définition du protocole de
gestion des clefs IKE, a été publiée en novembre 1998. Mais IPsec reste une norme non
figée qui fait en ce moment même l’objet de multiples Internet drafts, notamment sur la
protection des accès distants. Cette présentation ouvre uniquement les RFC de
novembre 1998.
Pour sécuriser les échanges ayant lieu sur un réseau TCP/IP, il existe plusieurs
approches, en particulier en ce qui concerne le niveau auquel est effectuée la
sécurisation : niveau applicatif (mails chiffrés par exemple), niveau transport (TLS /SSL,
SSH…), ou à l’opposé niveau physique (boîtiers chiffrant toutes les données transitant
par un lien donné). IPsec, quant à lui, vise à sécuriser les échanges au niveau de la
couche réseau.
31
Juin 2009 MISE EN PLACE ET SECURISATION
SEC D’UN VPN IPSEC
PSEC AVEC DES ROUTEU
ROUTEURS
CISCO
L’en-tête
tête AH se compose de 6 champs comme le décrit l’image suivante :
Un des plus importants est sans aucun doute l’ICV (Intégrity Check Val
Value,
« Données d’authentification » ci-dessus)
dessus) qui est le résultat d’un procédé
32
Juin 2009 MISE EN PLACE ET SECURISATION D’UN VPN IPSEC AVEC DES ROUTEURS
CISCO
Ces mécanismes peuvent être utilisés seuls ou combinés pour obtenir les
fonctions de sécurité désirées.
• Confidentialité
• Protection contre l’analyse de trafic
• Intégrité en mode non-connecté (comme AH)
• Authentification des données (comme AH)
• Anti-rejeu (comme AH)
On peut voir tout de suite qu’ESP couvre les services offerts par AH, et on
peut se demander pourquoi AH est utilisé et pourquoi l’on complique ainsi un protocole
qui l’est déjà bien assez. C’est en effet une question qui est d’actualité mais néanmoins il
faut souligner le fait qu’AH offre des services plus complets qu’ESP car il est le seul à
protéger l’en-tête du paquet (en-tête original en mode transport, en-tête IPsec en mode
33
Juin 2009 MISE EN PLACE ET SECURISATION
SEC D’UN VPN IPSEC
PSEC AVEC DES ROUTEU
ROUTEURS
CISCO
L’en-tête
tête se compose de 7 champs (dont 2 optionnels) comme le décrit l’image
suivante :
Le chiffrement sera appliqué aux données utiles jusqu’au champ NEXT inclus
(ce champ contient un identifiant du protocole supérieur, au niveau 4). Comme les
données utiles ne sont pas prédéfinis, leur longueur peut varier grandement et un
pandding assez important
portant est requis. Il est obligatoire et sa longueur est explicitée dans
le champ PAD LEN. Les données d’authentification protègent les données du champ
SPI au champ NEXT inclus ; en cas d’utilisation des 2 mécanismes simultanément, le
chiffrement est effectué
ectué en premier suivi du calcul des données d’intégrité. Cela a pour
résultat d’éviter des attaques par déni de service au chiffrement, ainsi que de permettre
d’effectuer les deux opérations en parallèle (à la réception).
34
Juin 2009 MISE EN PLACE ET SECURISATION D’UN VPN IPSEC AVEC DES ROUTEURS
CISCO
Une association de sécurité IPsec est une « connexion » simplexe qui fournit
des services de sécurité au trafic qu’elle transporte. On peut aussi la considérer comme
une structure de données servant à stocker l’ensemble des paramètres associés à une
communication donnée.
35
Juin 2009 MISE EN PLACE ET SECURISATION D’UN VPN IPSEC AVEC DES ROUTEURS
CISCO
D’autre part, IPv6 n’est pas destiné à supporter une gestion des clefs « en
bande », c'est-à-dire où les données relatives à la gestion des clefs seraient transportées à
l’aide d’un en-tête IPv6 distinct. Au lieu de cela on utilise un système de gestion des clefs
dit « hors bande » où les données relatives à la gestion des clefs sont transportées par un
protocole de couche supérieure tel que UDP ou TCP. Ceci permet le découplage clair
du mécanisme de gestion des clefs et des autres mécanismes de sécurité. Il est ainsi
possible de substituer une méthode de gestion des clefs à une autre sans avoir à modifier
les implémentations des autres mécanismes de sécurité.
36
Juin 2009 MISE EN PLACE ET SECURISATION
SEC D’UN VPN IPSEC
PSEC AVEC DES ROUTEU
ROUTEURS
CISCO
Figure 10:
10 Organigramme fonctionnel du protocole appliqué
pliqué IPsec
37
Juin 2009 MISE EN PLACE ET SECURISATION D’UN VPN IPSEC AVEC DES ROUTEURS
CISCO
Les 3 méthodes présentent des points communs, notamment (et c’est logique)
au niveau fonctionnel. Les premiers échanges permettent de définir l’association de
sécurité. La deuxième catégorie d’échanges permet d’établir le secret partagé. La
troisième et dernière section du handshake permet d’authentifier les parties et de valider
tous les échanges précédents (et SKEYID par la même occasion).
• Chiffrement : DES en mode CBC (avec test sur les valeurs de clés afin
d’éliminer toute clé dite faible ou semi-faible)
• Hachage : MD5 et SHA-1
• Diffie-Hellman
38
Juin 2009 MISE EN PLACE ET SECURISATION D’UN VPN IPSEC AVEC DES ROUTEURS
CISCO
• Chiffrement : 3DES
• Hachage : Tiger
• DSA, RSA
d. Politique de sécurité
Les protections offertes par IPsec sont basées sur des choix définis dans une
« Base de Donnée de politique de sécurité » (Security Policy Database, SPD). Cette base
de données est établie et maintenue par un utilisateur, un administrateur système ou une
application mise en place par ceux-ci. Elle permet de décider, pour chaque paquet, s’il se
verra apporter des services de sécurité, s’il sera autorisé à passer outre ou sera rejeté.
Il y a deux SPD par interfaces, une pour le trafic entrant, l’autre pour le trafic
sortant. Chaque entrée de ces SPD précise un traitement à appliquer au paquet pour
lequel la règle s’applique (quand le critère de sélection ou le sélecteur est vrai) ; ces
traitements sont DROP (jette), BYPASS (laisse passer) ou IPsec PROCESS (traitement
avec IPsec). Ce dernier cas précise en outre les paramètres propres à IPsec tel que
l’algorithme.
Tout comme les règles d’un pare-feu ou encore les SAs vues précédemment,
les sélecteurs sont les suivants :
Le schéma ci-dessous
dessous représente tous les éléments présentés ci
ci-dessus (en
bleu), leurs positions et leurs interactions.
• Trafic sortant
Lorsque la « couche » IPsec reçoit des données à envoyer, elle
commence par consulter la base de données des politiques de sécurité
(SPD) pour
pour savoir comment traiter ces données. Si cette base lui
40
Juin 2009 MISE EN PLACE ET SECURISATION D’UN VPN IPSEC AVEC DES ROUTEURS
CISCO
41
Juin 2009 MISE EN PLACE ET SECURISATION D’UN VPN IPSEC AVEC DES ROUTEURS
CISCO
sécurisation lien par lien comme de bout en bout. Trois configurations de base son
possibles :
La première situation est celle où l’on désire relier des réseaux privés distants
par l’intermédiaire d’un réseau non fiable, typiquement Internet. Les deux passerelles de
sécurité permettent ici d’établir un réseau privé virtuel. Les matériels impliqués sont les
passerelles de sécurités en entrée/sortie des différents réseaux (routeurs, gardes-
barrières, boîtiers dédiés). Cette configuration nécessite donc l’installation et la
configuration d’IPsec sur chacun de ces équipements afin de protéger les échanges de
données entre les différents sites.
42
Juin 2009 MISE EN PLACE ET SECURISATION D’UN VPN IPSEC AVEC DES ROUTEURS
CISCO
43
Juin 2009 MISE EN PLACE ET SECURISATION D’UN VPN IPSEC AVEC DES ROUTEURS
CISCO
Dans les deux premières situations, l’approche choisie était orientée vers la
protection du réseau de l’entreprise dans son ensemble. On peut également vouloir
utiliser IPsec pour protéger l’accès à une machine donnée. Par exemple, si un serveur
contient des données sensibles que seul un nombre réduit de personnes (internes ou
externes à l’entreprise) doit pouvoir consulter, IPsec permet de mettre en œuvre un
contrôle d’accès fort et un chiffrement des données pendant leur transfert sur le réseau.
Les matériels impliqués dans ce type de configuration sont le serveur et les machines de
toutes les personnes devant accéder aux données.
IPsec rend la sécurisation possible quelles que soient les applications utilisées
pour accéder au serveur.
44
Juin 2009 MISE EN PLACE ET SECURISATION D’UN VPN IPSEC AVEC DES ROUTEURS
CISCO
Dans les exemples ci-dessus, la première association peut servir à assurer les
services de sécurité requis par la politique de sécurité externe (authentification et
confidentialité par exemple), et la seconde à assurer les services requis par la politique de
sécurité interne (authentification vis-à-vis de l’hôte final par exemple).
b. Mode de fonctionnement
Pour chacun des mécanismes de sécurité d’IPsec, il existe trois modes : le mode
transport, le mode tunnel et le mode Nesting.
45
Juin 2009 MISE EN PLACE ET SECURISATION
SEC D’UN VPN IPSEC
PSEC AVEC DES ROUTEU
ROUTEURS
CISCO
En mode tunnel,
tunnel l’en-tête
tête IP est également protégé (authentification, intégrité
et/ou confidentialité) et remplacé par un nouvel en-tête.
en tête. Ce nouvel en
en-tête sert à
transporter le paquet jusqu’à
jusqu la fin du tunnel, où l’en-tête
tête original est rétabli. Le mode
tunnel est donc utilisable à la fois sur des équipements terminaux et sur des passerelles
de sécurité. Ce mode permet d’assurer une protection plus importante contre l’analyse
du trafic, car ill masque les adresses de l’expéditeur et du destinataire final.
46
Juin 2009 MISE EN PLACE ET SECURISATION
SEC D’UN VPN IPSEC
PSEC AVEC DES ROUTEU
ROUTEURS
CISCO
Le mode de tunnel IPsec est utile pour protéger le trafic entre les différents
réseaux, lorsque le trafic doit passer par un réseau intermédiaire non approuvé. Le mode
de tunnel est principalement utilisé pour assurer l’interopérabilité avec les passerelles et
systèmes terminaux qui ne prennent pas en charge les connexions L2TP/IPsec ou
PPTP. Nous pouvons
ns utiliser le mode de tunnel dans les configurations suivantes :
Mode de tunnel AH :
47
Juin 2009 MISE EN PLACE ET SECURISATION
SEC D’UN VPN IPSEC
PSEC AVEC DES ROUTEU
ROUTEURS
CISCO
La charge utile ESP tout entière est ensuite encapsulée dans le nouvel en-tête
en
de tunnel, qui n’est pas crypté. Les informations de ce nouvel en-tête
en de tunnel sont
utilisées uniquement pour router le paquet de sa source vers le point de terminaison du
tunnel.
Si le paquet est transmis via un réseau public, il est routé vers l’adresse IP de la
passerelle pour l’intranet récepteur. La passerelle décrypte
décrypte le paquet, supprime l’en
l’en-tête
ESP et utilise l’en-tête
tête IP d’origine pour router le paquet vers l’ordinateur de destination
dans l’intranet.
48
Juin 2009 MISE EN PLACE ET SECURISATION
SEC D’UN VPN IPSEC
PSEC AVEC DES ROUTEU
ROUTEURS
CISCO
Le mode Nesting est hybride puisqu’il utilise les 2 modes cité précédemment.
Il s’agit bien d’encapsulerr de l’IPSec dans de l’IPsec.
49
Juin 2009 MISE EN PLACE ET SECURISATION D’UN VPN IPSEC AVEC DES ROUTEURS
CISCO
Dénis de services
50
Juin 2009 MISE EN PLACE ET SECURISATION D’UN VPN IPSEC AVEC DES ROUTEURS
CISCO
Interception de données
La possibilité de pouvoir lire des données chiffrées est l’un des risques les plus
importants à considérer, mais doit être considéré en fonction du contexte.
S’il est impossible de garantir la confidentialité des données sur une durée
importante (de l’ordre de plusieurs années), ce risque reste généralement important.
La plupart des données n’ont en effet qu’une durée d’intérêt assez limitée dans
le temps de l’ordre de la seconde (voire moins) pour les données courantes (le seul
intérêt de déchiffrer ces données est de pouvoir les modifier à la volée), à une durée de
vie de l’ordre de quelques jours pour des données « modérément sensibles ».
Cependant, certaines données peuvent avoir une durée de validité (donc une
durée de confidentialité nécessaire) nettement plus importante. On peut par exemple
citer des données bancaires, des données sur une société, ou tout autre donnée qui peut
être exploitable à postériori sur une durée importante.
Il existe également des données encore plus délicates à traiter, comme par
exemple les données médicales, lorsque la durée de confidentialité nécessaire pour ces
données dépasse largement les durées de « solidité » de tous les algorithmes symétriques
connus et utilisés à ce jour.
Il est donc important, pour évaluer le risque réel d’une interception de
données, de tenir compte de la durée de vie de la donnée, et de la comparer au temps
nécessaire à l’attaque.
Ici encore, il faut tenir compte du contexte, des prés requis à l’attaque, et
comparer en particulier la durée d’intérêt de l’accès.
51
Juin 2009 MISE EN PLACE ET SECURISATION D’UN VPN IPSEC AVEC DES ROUTEURS
CISCO
b. Problèmes de déploiements
Tout déploiement de tunnels IPSec, quelle que soit l’implémentation, reste facile
`a affaiblir avec une mauvaise configuration. Il est alors important pour les
administrateurs de connaitre tous ces pièges courants pour pouvoir aisément les éviter.
52
Juin 2009 MISE EN PLACE ET SECURISATION D’UN VPN IPSEC AVEC DES ROUTEURS
CISCO
Il est évident qu’un tunnel IPSec dont la clé pré-partagée ou une clé privée de
certificat est facilement accessible présente un niveau de sécurité quasi nul pour toute
personne pouvant disposer de ce secret et capable d’intercepter le trafic IPSec.
A la suite de cette étude, nous pouvons dire qu'IPsec est un système très
complet qui peut répondre à beaucoup de besoins en matière de sécurité et s’adapter à
53
Juin 2009 MISE EN PLACE ET SECURISATION D’UN VPN IPSEC AVEC DES ROUTEURS
CISCO
Récemment arrivé dans le monde des VPN, les VPN à base de Ssl présente
une alternative séduisante face aux technologies contraignantes que sont les VPN
présentés jusqu’ici. Les VPN Ssl présente en effet le gros avantage de ne pas nécessiter
du côté client plus qu’un navigateur Internet classique. En effet le protocole Ssl utilisé
pour la sécurisation des échanges commerciaux sur Internet est implémenté en standard
dans les navigateurs modernes. [6]
Ssl est un protocole de couche 4 (niveau transport) utilisé par une application
pour établir un canal de communication sécurisé avec une autre application.
54
Juin 2009 MISE EN PLACE ET SECURISATION D’UN VPN IPSEC AVEC DES ROUTEURS
CISCO
a. Fonctionnement
De nombreux paramètres sont échangés durant cette phase : type de clé, valeur
de la clé, algorithme de chiffrage.
55
Juin 2009 MISE EN PLACE ET SECURISATION D’UN VPN IPSEC AVEC DES ROUTEURS
CISCO
56
Juin 2009 MISE EN PLACE ET SECURISATION D’UN VPN IPSEC AVEC DES ROUTEURS
CISCO
Conclusion :
Nous avons détaillé dans cette première partie les différents types de VPN et
leur mode de fonctionnement.
Nous avons choisi IPsec parce que c’est un protocole qui est développé pour
fournir un service de sécurité à base de cryptographie, permettant de garantir
l'authentification, l'intégrité, le contrôle d'accès et la confidentialité des données.
Dans la partie qui va suivre nous allons mettre en œuvre et réaliser un réseau
privé virtuel IPsec avec des routeurs CISCO en se servant de tout ce qui à été dicté au
préalable.
57
Juin 2009 MISE EN PLACE ET SECURISATION D’UN VPN IPSEC AVEC DES ROUTEURS
CISCO
58
Juin 2009 MISE EN PLACE ET SECURISATION D’UN VPN IPSEC AVEC DES ROUTEURS
CISCO
Chapitre III :
Mise en œuvre et
Réalisation.
59
Juin 2009 MISE EN PLACE ET SECURISATION D’UN VPN IPSEC AVEC DES ROUTEURS
CISCO
Introduction :
Après l’analyse théorique de notre sujet, nous allons passer à la partie pratique,
c'est-à-dire la réalisation d’un VPN site à site. Avant de réalisé notre réseau privé virtuel,
nous allons tout d’abord définir les différentes étapes de mise en œuvre.
Déterminer les types de media qui seront utilisés par les utilisateurs distants
pour accéder au réseau de l’entreprise.
Définir les groupes d’utilisateurs : les utilisateurs peuvent être définis soit dans
un annuaire existant, soit dans une base propre à la solution VPN choisie. La création
d’utilisateurs et de groupes s’applique surtout au cas des VPN Client Site. Dans ce cas
l’authentification d’un utilisateur est très importante pour limiter le risque d’intrusion.
Définir les règles d’accès : le VPN doit être configuré pour filtrer les flux à
l’aide de règles :
60
Juin 2009 MISE EN PLACE ET SECURISATION D’UN VPN IPSEC AVEC DES ROUTEURS
CISCO
Concernant les VPN Site à Site : le filtrage par adresse au réseau IP est
possible ;
Concernant les VPN Client Site : le filtrage par utilisateur est possible
(par le biais d’un nom d’utilisateur, certificat…)
Les règles définies au cours de cette phase doivent être liées aux documents de
sécurité. Les modifications apportées doivent être écrites et vérifiées régulièrement.
Déterminer le produit VPN qui sera utilisé pour la mise en place du VPN. Ce
choix sera opéré entre produits VPN : matériel, logiciel, Firewall ou mélange des trois.
Ce choix doit tenir compte des critères suivants : protocoles supportés, support de
serveur d’authentification, capacité d’exporter les clés de chiffrement.
Dans le cas où les sites à connecter utilisent des plages d’adresses IP qui se
recoupent, il est indispensable de remédier à ce problème en homogénéisant le
plan d’adressage.
Vérifier la synchronisation horaire, si les passerelles VPN ne sont pas
synchronisés à la minute près (voir la seconde) le tunnel peut tomber. En effet,
les protections anti-rejeu provoquent cette chute car la passerelle distante refuse
les trames reçues si l’heure d’émission de ces dernières est trop en décalage avec
l’heure locale du système.
61
Juin 2009 MISE EN PLACE ET SECURISATION D’UN VPN IPSEC AVEC DES ROUTEURS
CISCO
La première solution pour résoudre tous ces problèmes de NAT est de ne pas
utiliser cette technologie entre des équipements utilisant IPSec. La deuxième solution
repose sur l’encapsulation dans une trame UDP de chaque trame IPSec émise.
62
Juin 2009 MISE EN PLACE ET SECURISATION D’UN VPN IPSEC AVEC DES ROUTEURS
CISCO
L’architecture définie doit être maintenant mise en œuvre dans le cadre d’une
maquette ou d’un pilote pour valider l’interaction entre les composants. Il s’agit alors de
faire cohabiter les composants de la nouvelle architecture avec ceux de l’ancienne. Ces
tests se feront par le biais d’un groupe pilote.
Nous vous avons démontré les étapes de mise en œuvre d’un VPN. Nous
allons poursuivre en mettant en pratique les éléments mentionnés ci-dessus. La partie
qui va suivre est l’aboutissement pratique de tout ce que nous avons mentionné au
préalable.
63
Juin 2009 MISE EN PLACE ET SECURISATION D’UN VPN IPSEC AVEC DES ROUTEURS
CISCO
Nous allons maintenant établir une connexion VPN site à site à l’aide de trois
routeurs CISCO IOS CLI et un Switch selon la figure ci-dessous. Nous allons
également faire un Loopback, qui est une méthode permettant de se connecter sur la
machine locale exactement comme s’il s’agissait d’une machine distante. Cela permet de
tester et d’employer un logiciel client-serveur sur une seule machine. [8]
a. Configuration de l’Adressage
Pour établir notre connexion VPN nous allons tout d’abord configurer les trois
routeurs en commençant par l’adressage. Nous avons configuré les interfaces de
réalimentation et les interfaces séries avec les adresses montrées dans la figure ci dessus.
64
Juin 2009 MISE EN PLACE ET SECURISATION D’UN VPN IPSEC AVEC DES ROUTEURS
CISCO
b. Configuration d’EIGRP
65
Juin 2009 MISE EN PLACE ET SECURISATION D’UN VPN IPSEC AVEC DES ROUTEURS
CISCO
IPsec est un cadre des standards ouverts développés par l'Internet Engineering
Task Force (IETF). Il fournit la sécurité pour la transmission des informations sensibles
au-dessus des réseaux non protégés tels que l'Internet. IPsec agit à la couche réseau,
protégeant et authentifiant des paquets d'IP entre les dispositifs participants d'IPsec,
comme des routeurs de Cisco. Puisqu'IPsec est un cadre, il nous permet d'échanger des
protocoles de sécurité pendant que de nouvelles technologies (algorithmes de chiffrage y
compris) sont développées. Il y a deux éléments de configuration centraux à l'exécution
d'un VPN IPsec:
La méthode d'échange utilisée par IKE est d'abord employée pour passer et
valider des politiques d'IKE entre les peers. Puis, l'échange de peers et les politiques
d'IPsec pour l'authentification et le chiffrage du trafic de données. La politique d'IKE
commande l'authentification, l'algorithme de chiffrage, et la méthode d'échange de clef
employée pour les propositions d'IKE qui sont envoyées et reçues par les points finaux
d'IPsec. La politique d'IPsec est employée pour chiffrer le trafic de données envoyé par
le tunnel du VPN. IKE devra être activé pour qu’IPsec travail. IKE est activé par défaut
sur des images d'IOS avec les ensembles cryptographiques de dispositif. S'il est désactivé
pour quelque raison, vous pouvez l’activer avec la commande suivante : crypto isakmp
enable.
66
Juin 2009 MISE EN PLACE ET SECURISATION D’UN VPN IPSEC AVEC DES ROUTEURS
CISCO
Puisque nous avons choisi des clefs partagées pour notre méthode
d'authentification dans la politique d'IKE, nous devons configurer une clef sur chaque
routeur correspondant à l'autre point final du VPN.
67
Juin 2009 MISE EN PLACE ET SECURISATION D’UN VPN IPSEC AVEC DES ROUTEURS
CISCO
Pour créer un IPsec Transform Set, nous avons utilisé la syntaxe suivante
crypto ipsec transform-set et ensuite nous avons regardé les différents paramètres
disponibles. Pour R1 et R3, nous avons crée un ensemble de Transform Set avec
l’étiquette 50 et utilisé un ESP Transform avec un AES 256 puis, encapsulé le protocole
de sécurité (ESP) et la fonction de hachage SHA et pour finir un en-tête
d’authentification utilisant SHA.
ce scénario, le trafic que nous voulons chiffrer est le trafic allant du réseau de
réalimentation de R1 au réseau de réalimentation de R3, ou vice versa. Ces listes d'accès
sont en partance utilisé sur les interfaces de point final de VPN, ainsi nous les
configurons en conséquence. La configuration de la liste d'accès de R1 devra être
reflétée exactement sur R3 pour que ceci travaille correctement.
Maintenant que nous avons créé tous ces petits modules de configuration,
nous pouvons les réunir dans une crypto map. Une crypto map est une cartographie de
ce trafic d'associés assortissant une liste d'accès (comme celle que nous avons créée plus
tôt) à un pair et à de divers arrangements d'IKE et d'IPsec.
Pour créer une crypto map, nous devons utiliser la commande de configuration
globale, crypto map name sequence-num type pour accéder au mode de configuration des
crypto maps.
Utiliser un type d'ipsec-isakmp, signifie qu'IKE sera employé pour établir des
associations de sécurité d'IPsec. Dans des circonstances normales, nous pouvons
employer ce mode, par opposition au type ipsec-manual. Si ipsec-manual est
employé, IKE ne sera pas employé pour configurer l'association de sécurité d'IPsec
(SA). Nous avons nommé la crypto carte « MYMAP, » et employez 10 comme numéro
de séquence. Ensuite nous sommes entrés dans le mode de configuration de la crypto
map du routeur R1. En faisant ceci, la crypto map sera créer et cette commande lancera
un avertissement qu’une pair est saturer avant que la crypto map soit considérée valide
et peut être activement appliqué.
69
Juin 2009 MISE EN PLACE ET SECURISATION D’UN VPN IPSEC AVEC DES ROUTEURS
CISCO
Puis, utiliser la commande Match address acces-list pour spécifier quelle liste
d’accès définira le trafique à chiffrer.
Après avoir tout configuré, nous allons vérifier la configuration d’IPsec. Pour
ce faire, nous allons vérifier les commandes tapées au préalable dont celle concernant la
politique de sécurité d’ISAKMP. Nous avons utilisé la commande show crypto
isakmp policy. Et pour la vérification nous allons utiliser la commande show crypto
ipses transform-set sur les routeurs R1 et R3. Et nous avons eu ce résultat :
L’utilisation de la commande show crypto map sert à voir quelles sont les
crypto map utilisé dans le routeur. Le rendement de la commande show ne changera
pas si le trafic intéressant va à travers la connexion.
Cette vérification de l’opération d’IPsec va nous montrer s’il n’y a pas d’erreur
de syntaxe et si les connexions sont bien établies.
70
Juin 2009 MISE EN PLACE ET SECURISATION D’UN VPN IPSEC AVEC DES ROUTEURS
CISCO
Si nous employons la commande show crypto ipsec sa, elle montrera que SA
est inutilisée entre R1 et R3. Notons le nombre de paquets envoyés à travers et le
manque de toutes les associations de sécurité énumérées vers le fond du rendement.
71
Juin 2009 MISE EN PLACE ET SECURISATION D’UN VPN IPSEC AVEC DES ROUTEURS
CISCO
Après analyse, nous avons remarqué qu’aucune association de sécurité (SA) n’a
été négociée. Comment faire pour forcer le protocole IPsec à négocier leur association
de sécurité ?
Nous allons essayer d’apporté une réponse et une solution dans le prochain
point en lançant le débogage.
72
Juin 2009 MISE EN PLACE ET SECURISATION D’UN VPN IPSEC AVEC DES ROUTEURS
CISCO
Pour remédier à tous ces problèmes et difficultés rencontrés, nous avons lancé
la phase de débogage en utilisant certaines commandes. Ensuite, nous avons essayé de
les interpréter pour enfin finir par les résoudre.
Pour observer des paquets sur le fil nous allons utiliser Wireshark, qui est un
logiciel libre d’analyse de protocole, ou « paquet sniffer », utilisé dans le dépannage et
l’analyse de réseaux informatiques. Pour ce faire, nous avons tout d’abord configuré une
73
Juin 2009 MISE EN PLACE ET SECURISATION D’UN VPN IPSEC AVEC DES ROUTEURS
CISCO
session sur le commutateur et ouvert Wireshark sur un centre serveur attaché au port de
destination. Nous avons utilisé le centre serveur que nous avons utilisé pour SDM parce
que nous n'avons plus besoin de lui pour configurer le VPN.
Figure 28: Données du paquet détaillées sur la corde de Telnet envoyée par R1
74
Juin 2009 MISE EN PLACE ET SECURISATION D’UN VPN IPSEC AVEC DES ROUTEURS
CISCO
Figure 29: Données du paquet détaillées sur le trafic de retour de Telnet par R3
Basé sur ce rendement, nous pouvons voir à quel point il est facile pour
quelqu'un qui est dans le chemin des données sensibles au trafic des textes non codés ou
en clairs.
Commençons en réappliquant les cryptos maps que nous avons enlevées plus
tôt sur R1 et R3.
75
Juin 2009 MISE EN PLACE ET SECURISATION D’UN VPN IPSEC AVEC DES ROUTEURS
CISCO
Figure 30: Données du paquet détaillées sur la corde chiffrée de Telnet envoyée par R1
La suite de chiffrage fournie par IPsec fixe avec succès des données par
l'authentification, le chiffrage, et les services de donnée-intégrité.
76
Juin 2009 MISE EN PLACE ET SECURISATION D’UN VPN IPSEC AVEC DES ROUTEURS
CISCO
Conclusion :
Au sortir de notre étude sur les VPN IPsec, nous pouvons conclure en disant
qu’ils sont très avantageux par leur forte identification des correspondants,
l’encapsulation qui s’opère au niveau IP, et les protocoles sont normalisés par L’IETF.
Ils répondent également à tous les critères de sécurité informatique qui sont :
Malgré ses qualités, nous avons remarqué qu’un VPN IPsec est très complexe à
mettre en œuvre car son déploiement nécessite des connaissances en IPsec. Nous avons
eu certains problèmes d’implémentation (Bugs, et problème d’interopérabilité), des
problèmes de routage d’ESP et AH qui sont difficilement compatible avec le NAT ou
sont parfois bloqués par des routeurs.
En définitif, nous dirons qu’à l’issu de notre étude sur les réseaux privé virtuel,
et des difficultés rencontré lors de la réalisation de notre travail, c'est-à-dire, la possibilité
de manipuler et de configurer de vrais routeurs à plein temps, que les VPN IPsec sont
des réseaux d’avenir fiables, qui demandent beaucoup d’expériences en configuration et
un énorme sens pratique quant à la leur réalisation.
77
Juin 2009 MISE EN PLACE ET SECURISATION D’UN VPN IPSEC AVEC DES ROUTEURS
CISCO
Glossaire
A.
Anti-rejeu : Consiste assuré qu’un message licite ne peut être réémis, cette fois-ci de
façon illicite par une personne malveillante.
C.
CLI : (Command Line Interpreter) : Interpréteur de ligne de commande servant d’interface,
recevant et interprétant les commandes envoyées en mode texte par l’utilisateur.
E.
EIGRP : (Anglais : Enhanced Interior Gateway Routing Protocol) est un protocole de routage
développé par Cisco à partir de leur protocole original IGRP. EIGRP est un protocole
de routage hybride IP, avec une optimisation permettant de minimiser l'instabilité de
routage due aussi bien au changement de topologie qu'à l'utilisation de la bande passante
et la puissance du processeur du routeur.
Certaines de ces optimisations sont basées sur le Diffusing Update Algorithm (DUAL)
développé par SRI, qui garantit l'absence de boucle. En particulier, DUAL évite
les « sauts à l'infini ».
H.
Hachage: (Fonction de hachage) : Mécanisme permettant de calculer l'adresse physique
d'une donnée à partir de la valeur de la clé.
I.
IKE : (Internet Key Exchange): Protocole d’échange de clés de cryptage utilisé par IPsec.
IKE permet de changer le cryptage dynamique par changement de clé de cryptage à
intervalles réguliers, cela offre une grande confidentialité que le système à clé manuelle.
78
Juin 2009 MISE EN PLACE ET SECURISATION D’UN VPN IPSEC AVEC DES ROUTEURS
CISCO
IPSec : (Internet Protocol Security) : L'IPSec vise à sécuriser les échanges au niveau de la
couche réseau du protocole IP. Pour cela l'IPSec a recours à l'association de sécurité et
fait appel aux mécanismes AH et ESP qui possèdent tous les deux leur propre clé
d'encryptage.
ISAKMP : (Internet Security Association and Key Management Protocol) : est un protocole
utilisé par le module IKE (Internet Key Exchange) lors de la sécurisation du trafic IP via
IPSec. Il est chargé de négocier les Associations de Sécurité (AS) entre deux ordinateurs
voulant communiquer. Par exemple, si deux ordinateurs requièrent une méthode
d'authentification différente (Kerberos et certificats), ISAKMP ne pourra pas
créer d'association de sécurité. ISAKMP permet évidemment de modifier ou de
supprimer des Associations de Sécurité.
L.
LAN : (Local Area Network) : Réseau local : Réseau situé dans une zone réduite ou dans
un environnement commun, tels qu'un immeuble ou un bloc d'immeubles. Un réseau
local devient une partie d'un réseau étendu lorsqu'une liaison est établie (via des
modems, routeur distants, lignes téléphoniques, satellites ou une connexion hertzienne)
avec un gros système, un réseau de données public (Internet par exemple) ou un autre
réseau local.
P.
Pare-feu : (Firewall) Serveur conçu pour protéger du piratage informatique un réseau
connecté Internet. Ce serveur permet d'assurer la sécurité des informations internes au
réseau local en filtrant les entrée et en contrôlant les sorties selon une procédure
automatique bien établie.
R.
79
Juin 2009 MISE EN PLACE ET SECURISATION D’UN VPN IPSEC AVEC DES ROUTEURS
CISCO
Routeur : Outil logiciel ou matériel pour diriger les données à travers un réseau. Il s'agit
souvent d'une passerelle entre plusieurs serveurs pour que les utilisateurs accèdent
facilement à toutes les ressources proposées sur le réseau. Le routeur désigne également
une interface entre deux réseaux utilisant des protocoles différents.
S.
Serveur : Ordinateur dédié à l'administration d'un réseau informatique. Il gère l'accès
aux ressources et aux périphériques et les connexions des différents utilisateurs. Il est
équipé d'un logiciel de gestion de réseau : un serveur de fichiers prépare la place
mémoire pour des fichiers, un serveur d'impression gère et exécute les sorties sur
imprimantes du réseau, enfin un serveur d’applications rend disponible sur son disque
dur les programmes pouvant être appelés à travers le réseau
Ssl: (Secure Socket Layers): Protocole de sécurisation développé par Netscape permettant
de chiffrer des informations sensibles à partir d'un navigateur internet standard, sans
recours à un logiciel de cryptage spécifique. C'est le standard le plus communément
utilisé à l'heure actuelle pour protéger les transactions électroniques sur Internet.
T.
Telnet : (Terminal Network, Telecommunication Network, ou Teletype Network) est
un protocole réseau utilisé sur tout réseau supportant le protocole TCP/IP. Il appartient
à la couche session du modèle OSI et à la couche application du modèle ARPA. Il est
normalisé par l'IEFTF. Selon, l'IEF, le but du protocole Telnet est de fournir un moyen
de communication très généraliste, bidirectionnel et orienté octet.
C’est aussi une commande permettant de créer une session Telnet sur une machine
distante. Cette commande a d'abord été disponible sur les systèmes Unix, puis elle est
apparue sur la plupart des systèmes d’exploitation.
80
Juin 2009 MISE EN PLACE ET SECURISATION D’UN VPN IPSEC AVEC DES ROUTEURS
CISCO
V.
VPN: (Virtual Private Network): Représente une connexion de type IP via Internet
permettant aux employés d’une entreprise de se connecter au réseau local de leur
entreprise.
81
Juin 2009 MISE EN PLACE ET SECURISATION D’UN VPN IPSEC AVEC DES ROUTEURS
CISCO
Bibliographie
GUISSE Madina. Thèse professionnelle : Mastère professionnelle en Sécurité
des Systèmes d’Information et Réseaux. Année universitaire 2008/2009
Mise en place d’un réseau sécurisé et centres des visites techniques des
véhicules. [3]
Yvan Vanhullebus
Joe Habraken
Joe Casad
Web graphie
http://www.time.ens.tn/html/accueil.htm [1]
http://www.frameip.com/vpn/[2]
http://www.frameip.com/ipsec/ [4]
http://www.frameip.com/vpn/#4.1_-_Vpn-Ssl,_une_nouveaut%C3%A9_marketing
[6]
http://technet.microsoft.com/fr-fr/library/cc737154(WS.10).aspx [7]
http://systemi.itpro.fr/Dossiers-par-Theme/suivante/2/22/020302513-Vulnerabilites-
connues.htm#R3
http://www.erasme.org/VPNs-IPsec-multipoints-dynamiques,367
82
Juin 2009 MISE EN PLACE ET SECURISATION D’UN VPN IPSEC AVEC DES ROUTEURS
CISCO
Annexe
Résumé sur les VPN :
1. Propriétés :
2. Avantages et Inconvénients :
Avantages Inconvénients
-Coût faible -Compétences requises pour la mise en
œuvre
-Mise en œuvre plus rapide -Performances non garanties
-Sécurité assurée par le chiffrement
-Pas de dépendance à la sécurité du FAI
-Plus flexible en cas d’évolution et de
nouvelles implantations
-Accès nomade aisé grâce à l’Internet haut
débit
83
Juin 2009 MISE EN PLACE ET SECURISATION D’UN VPN IPSEC AVEC DES ROUTEURS
CISCO
a. Solutions Logicielles
CheckPoint : Produit commercial, vaste gamme, implémentation de
IPsec, SSl, équilibrage de charge.
Microsoft : Solution intégrée à ses produits, implémentation de IPsec,
PPTP, L2TP, configuration complexe hors d’un domaine Windows
OpenVPN : produit Open Source, implémentation de SSl/TLS,
portablité étendu (Linux, OpenBSD, Free BSD, Mac OS X, Solaris,
W2000/2003/XP), interopérabilité étendue
Openswan : Produit Open Source, implémentation IPsec pour Linux,
interopérabilité avec W2000/XP, CheckPoint
Racoon : Produit Open Source, implémentation IPsec pour Linux, Unix
Hamachi : Version de base gratuite, utilise les serveurs du fournisseur
du logiciel pour établir un VPN. Version pour Windows, Linux, Mac OS
X
b. Solutions matérielles
Nokia : Vaste gamme de boitiers prêt à configurer, prix très élevé, client
VPN sur téléphone portable
Cisco : Convergence des réseaux voix, vidéo, données à travers un VPN
Nortel : Tout-en-un VPN/pare-feu/serveur DNS et DHCP.
84
Juin 2009 MISE EN PLACE ET SECURISATION D’UN VPN IPSEC AVEC DES ROUTEURS
CISCO
Première étape de la mise en place d’un VPN, l’étude des besoins doit
permettre de mettre en avant le nombre d’utilisateurs potentiels du lien VPN, les
applications concernées et le débit maximum consommé. Il est généralement plus
prudent de prévoir un matériel évolutif au cas où l’utilisateur réelle du lien donnerait lieu
à la de nouveaux besoins et à une autre surconsommation de la bande passante.
85
Juin 2009 MISE EN PLACE ET SECURISATION D’UN VPN IPSEC AVEC DES ROUTEURS
CISCO
Pour des utilisateurs fervents de mobilité, un VPN Ssl offrira des fonctions
intéressantes, comme le fait de pouvoir accéder à ses applications à partir d’un simple
navigateur, sans installation d’un client. Il existe un autre type de VPN, le VPN
opérateur, qui dans ce cas, c’est l’opérateur télécom qui se charge du choix de la
technologie, elle est donc transparente pour l’utilisateur.
Selon le trafic engendré, le client aura parfois intérêt à s’orienter vers une
architecture centralisée, où les différents points VPN se relient à un site central, pour
lequel il faudra augmenter le débit de la ligne. Cependant, cette architecture permet de
simplifier l’administration et la configuration de la solution. Dans le cas d’un site éclaté,
des ajustements peuvent être faits en termes de débits mais le nombre d’équipements et
86
Juin 2009 MISE EN PLACE ET SECURISATION D’UN VPN IPSEC AVEC DES ROUTEURS
CISCO
Pour cela, la première étape consiste à s’assurer que les deux équipements en
bout de ligne disposent des mêmes algorithmes de chiffrement. La bonne démarche
consiste à prendre les deux équipements à les configurer à l’identique : soit en clé
partagée, soit en clé unique. Il faut alors vérifier que les deux équipements disposent de
la même clé pour dialoguer puis on installe un PC au premier réseau et un deuxième PC
au second réseau. Il suffit alors de vérifier que la communication s’effectue sans
problème.
Les boîtiers d’entrées de gammes peuvent rapidement saturer dès lors que
l’entreprise multiplie les tunnels VPN. En montant en gamme, les boîtiers intègrent des
fonctions de compression et d’accélération de flux qui règlent ces problèmes. La
limitation porte alors principalement sur la bande passante disponible. Pour un lien
VPN, il faut être particulièrement attentif à cette notion de bande passante car le débit
montant d’un lien représente le débit descendant de l’autre. Il convient donc de ne pas
sous-estimer l’un par rapport à l’autre.
Le lien VPN doit faire l’objet de toutes les attention parce qu’il sert pour des
applications de plus en plus critiques, en particulier : prévoir une liaison Internet de
secours, au cas où le réseau du fournisseur principal tomberait, disposer des boîtiers
VPN équipés d’une liaison de secours.
87
Juin 2009 MISE EN PLACE ET SECURISATION D’UN VPN IPSEC AVEC DES ROUTEURS
CISCO
Pour prévenir une chute d’un lien VPN, il est essentiel de bien définir la qualité
de service du lien, c'est-à-dire d’organiser les priorités des différents flux, notamment
pour les applications nécessitant une forte interaction avec l’utilisateur.
Parce qu’il peut être volé, et être accessible par tous ou presque, l’ordinateur
portable est un élément particulièrement dangereux car il peut engendrer une intrusion
sur le réseau de l’entreprise par le biais du VPN. Il se pose alors la question de
l’authentification. Avec une clé unique, de type calculatrice ou un serveur Radius, la
connexion gagne d’une part en sécurité. Mais cette mesure ne suffit généralement pas
pour des documents très confidentiels.
Une fois en place, le lien VPN doit être entretenu, soit par le prestataire, soit
par les équipes informatiques internes. Pour éviter le gaspillage, le monitoring des flux et
une gestion des priorités doit s’adapter aux différents usages et aux remontées des
utilisateurs. Outre la gestion de la bande passante et des équipements, l’administrateur
devra mettre en place des journaux de sécurité et surveiller par le biais d’alertes
lorsqu’une connexion suspecte s’établit sur un lien VPN. Des audits peuvent mettre en
exergue ce type de problème.
88