SlideShare une entreprise Scribd logo

chapitre 6 vpn (1).pptx

Télécharger en tant que PPTX, PDF
W
WiemAssadi

cour vpn

Formation
1  sur  33
Chapitre 6: Conceptions de VPN et IPsec Classe : RSI 31 AU: 2023/2024
2 © 2016 Cisco et/ou ses filiales. Tous droits réservés. Informations confidentielles de Cisco Objectifs de ce module Module 8 : Conceptions de VPN et IPsec L'objectif du Module:Expliquer comment les VPN et IPsec sont utilisés pour sécuriser la connectivité de site à site et d'accès distant. Titre du Rubrique Objectif du Rubrique Technologie VPN Décrire les avantages de la technologie VPN. Types de VPN Décrire les différents types de VPN. IPsec Expliquez comment le cadre IPsec est utilisé pour sécuriser le trafic réseau.
3 © 2016 Cisco et/ou ses filiales. Tous droits réservés. Informations confidentielles de Cisco 8.1 Technologie VPN
4 © 2016 Cisco et/ou ses filiales. Tous droits réservés. Informations confidentielles de Cisco Technologie VPN Réseau privé virtuel • Réseaux privés virtuels (VPN) pour créer des connexions de réseau privé de bout en bout. • Un VPN est virtuel en ce sens qu'il transporte des informations au sein d'un réseau privé, mais que ces informations sont effectivement transférées via un réseau public. • Un VPN est privé, dans le sens où le trafic est chiffré pour assurer la confidentialité des données pendant qu'il est transporté à travers le réseau public.
5 © 2016 Cisco et/ou ses filiales. Tous droits réservés. Informations confidentielles de Cisco Technologie VPN Les Bénéfices de VPN • Les VPN modernes prennent en charge les fonctionnalités de chiffrement, telles que les protocoles IPsec (Internet Protocol Security) et SSL (Secure Sockets Layer) pour sécuriser le trafic réseau entre sites. • Les principaux avantages des VPN sont présentés dans le tableau: Bénéfice Description Réductions des coûts Les organisations peuvent utiliser des VPN pour réduire leurs coûts de connectivité tout en augmentant simultanément la bande passante de connexion à distance. Sécurité Les protocoles de chiffrement et d'authentification protègent les données contre les accès non autorisé. Extensibilité Les VPN permettent aux organisations d'utiliser Internet, ce qui facilite l'ajout de nouveaux utilisateurs sans ajouter d'infrastructure importante. Compatibilité Les VPN peuvent être mis en œuvre sur une grande variété d'options de liaison WAN, y compris les technologies à large bande. Les travailleurs distants peuvent utiliser ces connexions à haut débit pour accéder en toute sécurité aux réseaux d'entreprise.
6 © 2016 Cisco et/ou ses filiales. Tous droits réservés. Informations confidentielles de Cisco Technologie VPN VPN de site à site et d'accès distant Un VPN de site à site se termine sur les passerelles VPN. Le trafic VPN n'est crypté qu'entre les passerelles. Les hôtes internes ne savent pas qu'un VPN est utilisé.
7 © 2016 Cisco et/ou ses filiales. Tous droits réservés. Informations confidentielles de Cisco Technologie VPN VPN de site à site et d'accès distant (suite) VPN d'accès à distance est créé dynamiquement lorsque cela est nécessaire pour établir une connexion sécurisée entre un client et un périphérique de terminaison VPN.
8 © 2016 Cisco et/ou ses filiales. Tous droits réservés. Informations confidentielles de Cisco Technologie VPN VPN d'entreprise et de prestataire de service Les VPN peuvent être gérés et déployés comme: • VPN d'entreprise - des solutions similaires pour sécuriser le trafic d'entreprise sur l'internet. Les VPN de site à site et d'accès distant sont créés et gérés par l'entreprise à l'aide de VPN IPsec et SSL. • VPN des prestataires de services – sont créés et gérés sur le réseau du fournisseur. Le fournisseur utilise la commutation d'étiquette multiprotocole (MPLS) au niveau de la couche 2 ou de la couche 3 pour créer des canaux sécurisés entre les sites d'une entreprise, séparant efficacement le trafic des autres clients.
9 © 2016 Cisco et/ou ses filiales. Tous droits réservés. Informations confidentielles de Cisco 8.2 – Types de VPN
10 © 2016 Cisco et/ou ses filiales. Tous droits réservés. Informations confidentielles de Cisco Types de VPN VPN d'accès à distance • Les VPN d'accès à distance permettent aux utilisateurs distants et mobiles de se connecter en toute sécurité à l'entreprise. • Les VPN d'accès à distance sont généralement activés dynamiquement par l'utilisateur lorsque cela est nécessaire et peuvent être créés à l'aide d'IPsec ou de SSL. • La Connexion VPN sans client - La connexion est sécurisée à l'aide d'une connexion SSL par navigateur Web. • La Connexion VPN basée sur le client - Le logiciel client VPN tel que Cisco AnyConnect Secure Mobility Client doit être installé sur le terminal de l'utilisateur distant.
11 © 2016 Cisco et/ou ses filiales. Tous droits réservés. Informations confidentielles de Cisco Types de VPN SSL VPNs SSL utilise l'infrastructure du clé publique et les certificats numériques pour authentifier les pairs. Le type de méthode VPN mis en œuvre est basé sur les exigences d'accès des utilisateurs et les processus informatiques de l'organisation. Le tableau compare les déploiements d'accès à distance IPsec et SSL. Fonctionnalité IPsec SSL Application prise en charge Vaste – Toutes les applications basées sur IP Limité – Uniquement les applications Web et le partage de fichiers Force d'authentification Fort – Authentification bidirectionnelle avec clés partagées ou certificats numériques Modéré - authentification unidirectionnelle ou bidirectionnelle Force de chiffrement Fort – Longueurs de clé 56-256 bits Modéré à fort - Longueur des clés 40 - 256 bits Complexité de la connexion Moyen – Nécessite un client VPN installé sur un hôte Faible – Nécessite un navigateur Web sur un hôte Option de connexion Limité – Seuls les appareils spécifiques avec des configurations spécifiques peuvent se connecter Vaste – Tout appareil peut se connecter avec un navigateur Web
12 © 2016 Cisco et/ou ses filiales. Tous droits réservés. Informations confidentielles de Cisco Types de VPN VPN IPSec site à site • Les VPN de site à site connectent des réseaux sur un réseau non fiable tel qu'Internet. • Les hôtes finaux envoient et reçoivent du trafic TCP / IP non chiffré normal via une passerelle VPN. • La passerelle VPN encapsule et crypte le trafic sortant d'un site et envoie le trafic via le tunnel VPN à la passerelle VPN sur le site cible. La réception de la passerelle VPN élimine les en-têtes, déchiffre le contenu et relaie le paquet vers l'hôte cible au sein de son réseau privé.
13 © 2016 Cisco et/ou ses filiales. Tous droits réservés. Informations confidentielles de Cisco Types de VPN GRE sur IPsec • Le protocole GRE (Generic Routing Encapsulation) est un protocole de tunneling VPN de site à site non sécurisé. • Un tunnel GRE peut encapsuler divers protocoles de couche réseau ainsi que le trafic de multidiffusion et de diffusion. • GRE ne prend pas en charge le cryptage par défaut; et par conséquent, il ne fournit pas de tunnel VPN sécurisé. • Un paquet GRE peut être encapsulé dans un paquet IPsec pour le transmettre en toute sécurité à la passerelle VPN de destination. • Les VPN IPsec standard (non GRE) ne peuvent créer que des tunnels sécurisés pour le trafic unicast. • L'encapsulation de GRE dans IPsec permet de sécuriser les mises à jour du protocole de routage de multidiffusion via un VPN.
14 © 2016 Cisco et/ou ses filiales. Tous droits réservés. Informations confidentielles de Cisco Types de VPN GRE sur IPsec (suite) Les termes utilisés pour décrire l'encapsulation du tunnel GRE sur IPsec sont protocole de passager, protocole de transporteur et protocole de transport. • Protocole passager - Il est un paquet d'origine qui doit être encapsulé par GRE. Il peut être un paquet IPv4 ou IPv6, d'une mise à jour de routage, etc. • Protocole de transporteur - GRE est le protocole de transporteur qui encapsule le paquet passager d'origine. • Protocole de transport - Il est un protocole qui sera réellement utilisé pour transmettre le paquet. Cela peut être IPv4 ou IPv6.
15 © 2016 Cisco et/ou ses filiales. Tous droits réservés. Informations confidentielles de Cisco Types de VPN GRE sur IPsec (suite) Par exemple, la filiale et le HQ doivent échanger des informations de routage OSPF sur un VPN IPsec. GRE sur IPsec est utilisé pour prendre en charge le trafic du protocole de routage sur le VPN IPsec. Plus précisément, les paquets OSPF (c'est-à- dire le protocole passager) seraient encapsulés par GRE (c'est-à-dire le protocole de transporteur) et ensuite encapsulés dans un tunnel VPN IPsec.
16 © 2016 Cisco et/ou ses filiales. Tous droits réservés. Informations confidentielles de Cisco Types de VPN VPN multipoints dynamiques Les VPN IPsec de site à site et GRE sur IPsec ne sont pas suffisants lorsque l'entreprise ajoute de nombreux autres sites. DMVPN (Dynamic Multipoint VPN) est une solution logicielle de Cisco qui permet de créer plusieurs VPN de façon simple, dynamique et évolutive. • DMVPN simplifie la configuration du tunnel VPN et fournit une option flexible pour connecter un site central avec les sites distant. • Il utilise une configuration concentrateur et rayon pour établir une topologie maillée complète. • Les sites à rayons établissent des tunnels VPN sécurisés avec le site concentrateur. • Chaque site est configuré en utilisant Encapsulation de routage générique multipoints (mGRE). L'interface de tunnel GRE permet à une interface GRE unique de prendre en charge dynamiquement plusieurs tunnels IPsec. • Les sites à rayons peuvent aussi obtenir des informations les uns sur les autres et construire des tunnels directs entre eux (tunnels à rayons).
17 © 2016 Cisco et/ou ses filiales. Tous droits réservés. Informations confidentielles de Cisco Types de VPN L'interface de tunnel virtuel IPsec L'interface de tunnel virtuel IPsec (VTI) simplifie le processus de configuration requis pour prendre en charge plusieurs sites et l'accès à distance. • Les configurations IPsec VTI sont appliquées à une interface virtuelle au lieu du mappage statique des sessions IPsec à une interface physique. • IPsec VTI est capable d'envoyer et de recevoir le trafic crypté IP unicast et multicast. Par conséquent, les protocoles de routage sont automatiquement pris en charge sans ayant configurer de tunnels GRE. • IPsec VTI peut être configuré entre les sites ou dans une topologie en étoile (hub- to-spoke).
18 © 2016 Cisco et/ou ses filiales. Tous droits réservés. Informations confidentielles de Cisco Types de VPN VPN MPLS prestataires de service Aujourd'hui, les prestataires de services utilisent MPLS dans leur réseau principal. Le trafic est transmis via le réseau principal MPLS à l'aide d'étiquettes. Le trafic est sécurisé car les clients des fournisseurs de services ne peuvent pas voir le trafic de l'autre. • MPLS peut fournir aux clients des solutions VPN gérées; par conséquent, la sécurisation du trafic entre les sites clients est la responsabilité du prestataire de services. • Il existe deux types de solutions VPN MPLS prises en charge par les prestataires de services : • VPN MPLS de couche 3 - Le prestataire de services participe au routage client en établissant trunking entre les routeurs du client et les routeurs du prestataire. • VPN MPLS de couche 2- Le prestataire de services n'est pas impliqué dans le routage du client. Au lieu de cela, le prestataire déploie un service LAN privé virtuel (VPLS) pour émuler un segment LAN multi-accès Ethernet sur le réseau MPLS. Aucun routage n'est impliqué. Les routeurs du client appartiennent effectivement au même réseau à accès multiple.
19 © 2016 Cisco et/ou ses filiales. Tous droits réservés. Informations confidentielles de Cisco 8.3 IPsec
20 © 2016 Cisco et/ou ses filiales. Tous droits réservés. Informations confidentielles de Cisco IPSec Vidéo – Conceptions IPSec Cette vidéo présentera les points suivants: • L'objectif d'IPsec • Les protocoles de IPSec(AH, ESP, SA, IKE)
21 © 2016 Cisco et/ou ses filiales. Tous droits réservés. Informations confidentielles de Cisco IPSec Les Technologies IPSec IPsec est un standard IETF qui définit comment un VPN peut être sécurisé sur des réseaux IP. IPsec protège et authentifie les paquets IP entre la source et la destination et fournir les fonctions de sécurité essentiels : • Confidentialité - Utilise des algorithmes de chiffrement pour empêcher les cybercriminels de lire le contenu des paquets. • Intégrité - Utilise des algorithmes de hachage pour garantir que les paquets n'ont pas été modifiés entre la source et la destination. • Authentification d'origine - Utilise le protocole IKE (Internet Key Exchange) pour authentifier la source et la destination. • Diffie-Hellman - Utilisé pour sécuriser l'échange de clés.
22 © 2016 Cisco et/ou ses filiales. Tous droits réservés. Informations confidentielles de Cisco IPSec Les Technologies IPSec (suite) • IPsec n'est lié à aucune règle spécifique pour des communications sécurisées. • IPsec permet d'intégrer facilement les nouvelles technologies de sécurité sans mettre à jour les standards IPsec existantes. • Les emplacements ouverts dans la structure IPsec illustrés dans la figure peuvent être remplis avec n'importe quel choix disponibles pour cette fonction IPsec pour créer une association de sécurité (SA) unique.
23 © 2016 Cisco et/ou ses filiales. Tous droits réservés. Informations confidentielles de Cisco IPSec Encapsulation du protocole IPsec Le choix de l'encapsulation du protocole IPsec est le premier élément principale du structure. • IPsec encapsule les paquets à l'aide de l'en-tête d'authentification (AH) ou du protocole de sécurité d'encapsulation (ESP). • Le choix de AH ou ESP détermine quels autres blocs de construction sont disponibles. • AH n'est approprié que lorsque la confidentialité n'est pas requise ou autorisée. • ESP fournit la confidentialité et l'authentification.
24 © 2016 Cisco et/ou ses filiales. Tous droits réservés. Informations confidentielles de Cisco Confidentialité IPSec Le degré de confidentialité dépend de l'algorithme de cryptage et de la longueur de la clé utilisée dans l'algorithme de cryptage. Le nombre de possibilités d'essayer de pirater la clé est fonction de la longueur de la clé - plus la clé est courte, plus il est facile de la casser.
25 © 2016 Cisco et/ou ses filiales. Tous droits réservés. Informations confidentielles de Cisco Confidentialité IPSec (suite) Les algorithmes de cryptage mis en évidence dans la figure sont tous des cryptosystèmes à clé symétrique: • DES utilise une clé de 56 bits. • 3DES utilise trois clés de chiffrement 56 bits indépendantes par bloc 64 bits. • AES propose trois longueurs de clé différentes: 128 bits, 192 bits et 256 bits. • SEAL est un chiffrement de flux, ce qui signifie qu'il crypte les données en continuant plutôt que de crypter des blocs de données. SEAL utilise une clé de 160 bits.
26 © 2016 Cisco et/ou ses filiales. Tous droits réservés. Informations confidentielles de Cisco Intégrité IPSec • L'intégrité des données signifie que les données n'ont pas été modifiées en transit. • Une méthode pour prouver l'intégrité des données est requise. • Le code d'authentification de message haché (HMAC) est un algorithme d'intégrité des données qui garantit l'intégrité du message à l'aide d'une valeur de hachage. • Message-Digest 5 (MD5) utilise une clé secrète partagée de 128 bits. • L'algorithme de hachage sécurisé (SHA) utilise une clé secrète de 160 bits.
27 © 2016 Cisco et/ou ses filiales. Tous droits réservés. Informations confidentielles de Cisco Authentification IPsec Il existe deux méthodes d'authentification homologue IPsec: 1. Clé pré-partagée (PSK) - La valeur (PSK) est entrée manuellement dans chaque homologue. • Facile à configurer manuellement • Ne s'étend pas bien • Doit être configuré sur chaque homologue 2. Rivest, Shamir et Adleman (RSA) - l'authentification utilise des certificats numériques pour authentifier les homologues. • Chaque homologue doit authentifier son homologue opposé avant que le tunnel soit considéré comme sécurisé.
28 © 2016 Cisco et/ou ses filiales. Tous droits réservés. Informations confidentielles de Cisco IPSec Échange de clé sécurisé avec Diffie - Hellman DH permet à deux pairs IPsec d'établir une clé secrète partagée sur un canal non sécurisé. Les variations de l'échange de clés DH sont spécifiées en tant que groupes DH: • Les groupes DH 1, 2 et 5 ne doivent plus être utilisés. • Les groupes DH 14, 15 et 16 utilisent des tailles de clé plus grandes avec respectivement 2048 bits, 3072 bits et 4096 bits • Les groupes DH 19, 20, 21 et 24 avec des tailles de clé respectives de 256 bits, 384 bits, 521 bits et 2048 bits prennent en charge la cryptographie à courbe elliptique (ECC), ce qui réduit le temps nécessaire pour générer des clés.
29 © 2016 Cisco et/ou ses filiales. Tous droits réservés. Informations confidentielles de Cisco IPSec Vidéo – Transport IPsec et mode tunnel Cette vidéo expliquera le processus du paquet IPv4 avec ESP en mode transport et en mode tunnel.
30 © 2016 Cisco et/ou ses filiales. Tous droits réservés. Informations confidentielles de Cisco 8.4 Module pratique et questionnaire
31 © 2016 Cisco et/ou ses filiales. Tous droits réservés. Informations confidentielles de Cisco Module pratique et questionnaire Qu'est-ce que j'ai appris dans ce module? • Un VPN est privé, dans le sens où le trafic est chiffré pour assurer la confidentialité des données pendant qu'il transite sur le réseau public. • Les avantages des VPN sont les économies de coûts, la sécurité, l'évolutivité et la compatibilité. • Les VPN d'accès à distance permettent aux utilisateurs distants et mobiles de se connecter en toute sécurité à l'entreprise en créant un tunnel crypté. Les VPN d'accès à distance peuvent être créés en utilisant IPsec ou SSL. • Les VPN de site à site sont utilisés pour connecter des réseaux sur un réseau non fiable tel qu'Internet. • Dans un VPN de site à site, les hôtes finaux envoient et reçoivent le trafic TCP / IP non chiffré normal par un périphérique de terminaison VPN. Le périphérique de terminaison VPN est généralement appelé une passerelle VPN. • GRE est un protocole de tunneling VPN de site à site non sécurisé. • DMVPN est une solution logicielle Cisco pour créer facilement des VPN multiples, dynamiques et évolutifs. • Tel que DMVPN ,IPsec VTI simplifie le processus de configuration requis pour prendre en charge plusieurs sites et accès à distance.
32 © 2016 Cisco et/ou ses filiales. Tous droits réservés. Informations confidentielles de Cisco Module pratique et questionnaire Qu'est-ce que j'ai appris dans ce module? (suite) • IPsec protège et authentifie les paquets IP entre la source et la destination. • IPsec peut protéger le trafic de la couche 4 à la couche 7. • En utilisant le structure IPsec, IPsec fournit la confidentialité, l'intégrité, l'authentification d'origine et Diffie-Hellman. • IPsec encapsule les paquets en utilisant AH ou ESP. • Le degré de confidentialité dépend de l'algorithme de cryptage et de la longueur de la clé utilisée dans l'algorithme de cryptage. • DH permet à deux pairs d'établir une clé secrète partagée qu'ils seuls connaissent, même s'ils communiquent sur un canal non sécurisé.
chapitre 6 vpn (1).pptx

Recommandé

Ccnp securite vpn
Ccnp securite vpnCcnp securite vpn
Ccnp securite vpnsara ousaoud
 
Pfsense
PfsensePfsense
PfsenseGlen La Legende Vivante
 
VPN site-to-site.pdf
VPN site-to-site.pdfVPN site-to-site.pdf
VPN site-to-site.pdfgorguindiaye
 
Etude et mise en place d’un VPN
Etude et mise en place d’un VPNEtude et mise en place d’un VPN
Etude et mise en place d’un VPNCharif Khrichfa
 
Les Vpn
Les VpnLes Vpn
Les Vpnmedalaa
 
VPN (3).pptx
VPN (3).pptxVPN (3).pptx
VPN (3).pptxNabilTouj1
 
Vpn
VpnVpn
Vpnkwabo
 
VPN WINDOWS LINUX OPENVPN
VPN WINDOWS LINUX OPENVPNVPN WINDOWS LINUX OPENVPN
VPN WINDOWS LINUX OPENVPNManuel Cédric EBODE MBALLA
 

Recommandé

Ccnp securite vpn
Ccnp securite vpnCcnp securite vpn
Ccnp securite vpnsara ousaoud
 
Pfsense
PfsensePfsense
PfsenseGlen La Legende Vivante
 
VPN site-to-site.pdf
VPN site-to-site.pdfVPN site-to-site.pdf
VPN site-to-site.pdfgorguindiaye
 
Etude et mise en place d’un VPN
Etude et mise en place d’un VPNEtude et mise en place d’un VPN
Etude et mise en place d’un VPNCharif Khrichfa
 
Les Vpn
Les VpnLes Vpn
Les Vpnmedalaa
 
VPN (3).pptx
VPN (3).pptxVPN (3).pptx
VPN (3).pptxNabilTouj1
 
Vpn
VpnVpn
Vpnkwabo
 
VPN WINDOWS LINUX OPENVPN
VPN WINDOWS LINUX OPENVPNVPN WINDOWS LINUX OPENVPN
VPN WINDOWS LINUX OPENVPNManuel Cédric EBODE MBALLA
 
Rapport mise en place d'un sevrer VPN .
Rapport mise en place d'un sevrer VPN . Rapport mise en place d'un sevrer VPN .
Rapport mise en place d'un sevrer VPN .Mouad Lousimi
 
ITN_Module_17.pdf
ITN_Module_17.pdfITN_Module_17.pdf
ITN_Module_17.pdfsirinejlassi1
 
Webinar Nebula du 14/03/2017
Webinar Nebula du 14/03/2017Webinar Nebula du 14/03/2017
Webinar Nebula du 14/03/2017Zyxel France
 
Vpn formation-deployer-des-solutions-vpn-avec-les-produits-cisco-asa
Vpn formation-deployer-des-solutions-vpn-avec-les-produits-cisco-asaVpn formation-deployer-des-solutions-vpn-avec-les-produits-cisco-asa
Vpn formation-deployer-des-solutions-vpn-avec-les-produits-cisco-asaCERTyou Formation
 
Cloud video surveillance business model
Cloud video surveillance business modelCloud video surveillance business model
Cloud video surveillance business modelPersonal Interactor
 
Supervision réseaux métro ethernet et cloudification
Supervision réseaux métro ethernet et cloudificationSupervision réseaux métro ethernet et cloudification
Supervision réseaux métro ethernet et cloudificationsahar dridi
 
Vpn
VpnVpn
VpnZakaria Loubeidi
 
vpn-site-a-site-avec-des-routeurs-cisco
vpn-site-a-site-avec-des-routeurs-cisco vpn-site-a-site-avec-des-routeurs-cisco
vpn-site-a-site-avec-des-routeurs-ciscoCamara Assane
 
Tp Wireless Local Area Network Kais Mabrouk 2011
Tp Wireless Local Area Network Kais Mabrouk 2011Tp Wireless Local Area Network Kais Mabrouk 2011
Tp Wireless Local Area Network Kais Mabrouk 2011mabrouk
 
Projet reseau-de-kherfallah-ipm-2010-2011
Projet reseau-de-kherfallah-ipm-2010-2011Projet reseau-de-kherfallah-ipm-2010-2011
Projet reseau-de-kherfallah-ipm-2010-2011Boubaker KHERFALLAH
 
Aerohive - Sécuriser et simplifier l’accès Wi-Fi avec Private Psk
Aerohive - Sécuriser et simplifier l’accès Wi-Fi avec Private PskAerohive - Sécuriser et simplifier l’accès Wi-Fi avec Private Psk
Aerohive - Sécuriser et simplifier l’accès Wi-Fi avec Private Pskppuichaud
 
Reseaux Avancés Tunnel_Niveaux347.pdf
Reseaux Avancés Tunnel_Niveaux347.pdfReseaux Avancés Tunnel_Niveaux347.pdf
Reseaux Avancés Tunnel_Niveaux347.pdfSergeAKUE
 
Ignite 2018 - nouveautés sécurité et réseau (Laurent Yin)
Ignite 2018 - nouveautés sécurité et réseau (Laurent Yin)Ignite 2018 - nouveautés sécurité et réseau (Laurent Yin)
Ignite 2018 - nouveautés sécurité et réseau (Laurent Yin)AZUG FR
 
configuration vpn-ipsec-routeur
configuration vpn-ipsec-routeur configuration vpn-ipsec-routeur
configuration vpn-ipsec-routeurJULIOR MIKALA
 
Weos tunnel ssl hôte à site
Weos tunnel ssl hôte à siteWeos tunnel ssl hôte à site
Weos tunnel ssl hôte à siteFabian Vandendyck
 
1-12_Introduction_aux_reseaux_de_stockage_SAN.pdf
1-12_Introduction_aux_reseaux_de_stockage_SAN.pdf1-12_Introduction_aux_reseaux_de_stockage_SAN.pdf
1-12_Introduction_aux_reseaux_de_stockage_SAN.pdfDilanTiobou
 
offresphinxvision-121116101328-phpapp02.ppt
offresphinxvision-121116101328-phpapp02.pptoffresphinxvision-121116101328-phpapp02.ppt
offresphinxvision-121116101328-phpapp02.pptPawachMetharattanara
 
Silver-Peak - Partner.pptx
Silver-Peak - Partner.pptxSilver-Peak - Partner.pptx
Silver-Peak - Partner.pptxblackmambaettijean
 
Lunch & Learn : La tête dans les nuages? La vérité sur le Cloud pour les PME !
Lunch & Learn : La tête dans les nuages? La vérité sur le Cloud pour les PME !Lunch & Learn : La tête dans les nuages? La vérité sur le Cloud pour les PME !
Lunch & Learn : La tête dans les nuages? La vérité sur le Cloud pour les PME !Aurelium
 
Spedge formation-mettre-en-oeuvre-des-services-reseaux-avances-cisco-next-gen...
Spedge formation-mettre-en-oeuvre-des-services-reseaux-avances-cisco-next-gen...Spedge formation-mettre-en-oeuvre-des-services-reseaux-avances-cisco-next-gen...
Spedge formation-mettre-en-oeuvre-des-services-reseaux-avances-cisco-next-gen...CERTyou Formation
 
A3iFormations, organisme de formations certifié qualiopi.
A3iFormations, organisme de formations certifié qualiopi.A3iFormations, organisme de formations certifié qualiopi.
A3iFormations, organisme de formations certifié qualiopi.Franck Apolis
 
Formation M2i - Comprendre les neurosciences pour développer son leadership
Formation M2i - Comprendre les neurosciences pour développer son leadershipFormation M2i - Comprendre les neurosciences pour développer son leadership
Formation M2i - Comprendre les neurosciences pour développer son leadershipM2i Formation
 

Contenu connexe

Similaire à chapitre 6 vpn (1).pptx

Rapport mise en place d'un sevrer VPN .
Rapport mise en place d'un sevrer VPN . Rapport mise en place d'un sevrer VPN .
Rapport mise en place d'un sevrer VPN .Mouad Lousimi
 
Webinar Nebula du 14/03/2017
Webinar Nebula du 14/03/2017Webinar Nebula du 14/03/2017
Webinar Nebula du 14/03/2017Zyxel France
 
Vpn formation-deployer-des-solutions-vpn-avec-les-produits-cisco-asa
Vpn formation-deployer-des-solutions-vpn-avec-les-produits-cisco-asaVpn formation-deployer-des-solutions-vpn-avec-les-produits-cisco-asa
Vpn formation-deployer-des-solutions-vpn-avec-les-produits-cisco-asaCERTyou Formation
 
Cloud video surveillance business model
Cloud video surveillance business modelCloud video surveillance business model
Cloud video surveillance business modelPersonal Interactor
 
Supervision réseaux métro ethernet et cloudification
Supervision réseaux métro ethernet et cloudificationSupervision réseaux métro ethernet et cloudification
Supervision réseaux métro ethernet et cloudificationsahar dridi
 
vpn-site-a-site-avec-des-routeurs-cisco
vpn-site-a-site-avec-des-routeurs-cisco vpn-site-a-site-avec-des-routeurs-cisco
vpn-site-a-site-avec-des-routeurs-ciscoCamara Assane
 
Tp Wireless Local Area Network Kais Mabrouk 2011
Tp Wireless Local Area Network Kais Mabrouk 2011Tp Wireless Local Area Network Kais Mabrouk 2011
Tp Wireless Local Area Network Kais Mabrouk 2011mabrouk
 
Projet reseau-de-kherfallah-ipm-2010-2011
Projet reseau-de-kherfallah-ipm-2010-2011Projet reseau-de-kherfallah-ipm-2010-2011
Projet reseau-de-kherfallah-ipm-2010-2011Boubaker KHERFALLAH
 
Aerohive - Sécuriser et simplifier l’accès Wi-Fi avec Private Psk
Aerohive - Sécuriser et simplifier l’accès Wi-Fi avec Private PskAerohive - Sécuriser et simplifier l’accès Wi-Fi avec Private Psk
Aerohive - Sécuriser et simplifier l’accès Wi-Fi avec Private Pskppuichaud
 
Reseaux Avancés Tunnel_Niveaux347.pdf
Reseaux Avancés Tunnel_Niveaux347.pdfReseaux Avancés Tunnel_Niveaux347.pdf
Reseaux Avancés Tunnel_Niveaux347.pdfSergeAKUE
 
Ignite 2018 - nouveautés sécurité et réseau (Laurent Yin)
Ignite 2018 - nouveautés sécurité et réseau (Laurent Yin)Ignite 2018 - nouveautés sécurité et réseau (Laurent Yin)
Ignite 2018 - nouveautés sécurité et réseau (Laurent Yin)AZUG FR
 
configuration vpn-ipsec-routeur
configuration vpn-ipsec-routeur configuration vpn-ipsec-routeur
configuration vpn-ipsec-routeurJULIOR MIKALA
 
Weos tunnel ssl hôte à site
Weos tunnel ssl hôte à siteWeos tunnel ssl hôte à site
Weos tunnel ssl hôte à siteFabian Vandendyck
 
1-12_Introduction_aux_reseaux_de_stockage_SAN.pdf
1-12_Introduction_aux_reseaux_de_stockage_SAN.pdf1-12_Introduction_aux_reseaux_de_stockage_SAN.pdf
1-12_Introduction_aux_reseaux_de_stockage_SAN.pdfDilanTiobou
 
offresphinxvision-121116101328-phpapp02.ppt
offresphinxvision-121116101328-phpapp02.pptoffresphinxvision-121116101328-phpapp02.ppt
offresphinxvision-121116101328-phpapp02.pptPawachMetharattanara
 
Lunch & Learn : La tête dans les nuages? La vérité sur le Cloud pour les PME !
Lunch & Learn : La tête dans les nuages? La vérité sur le Cloud pour les PME !Lunch & Learn : La tête dans les nuages? La vérité sur le Cloud pour les PME !
Lunch & Learn : La tête dans les nuages? La vérité sur le Cloud pour les PME !Aurelium
 
Spedge formation-mettre-en-oeuvre-des-services-reseaux-avances-cisco-next-gen...
Spedge formation-mettre-en-oeuvre-des-services-reseaux-avances-cisco-next-gen...Spedge formation-mettre-en-oeuvre-des-services-reseaux-avances-cisco-next-gen...
Spedge formation-mettre-en-oeuvre-des-services-reseaux-avances-cisco-next-gen...CERTyou Formation
 

Similaire à chapitre 6 vpn (1).pptx (20)

Rapport mise en place d'un sevrer VPN .
Rapport mise en place d'un sevrer VPN . Rapport mise en place d'un sevrer VPN .
Rapport mise en place d'un sevrer VPN .
 
ITN_Module_17.pdf
ITN_Module_17.pdfITN_Module_17.pdf
ITN_Module_17.pdf
 
Webinar Nebula du 14/03/2017
Webinar Nebula du 14/03/2017Webinar Nebula du 14/03/2017
Webinar Nebula du 14/03/2017
 
Vpn formation-deployer-des-solutions-vpn-avec-les-produits-cisco-asa
Vpn formation-deployer-des-solutions-vpn-avec-les-produits-cisco-asaVpn formation-deployer-des-solutions-vpn-avec-les-produits-cisco-asa
Vpn formation-deployer-des-solutions-vpn-avec-les-produits-cisco-asa
 
Cloud video surveillance business model
Cloud video surveillance business modelCloud video surveillance business model
Cloud video surveillance business model
 
Supervision réseaux métro ethernet et cloudification
Supervision réseaux métro ethernet et cloudificationSupervision réseaux métro ethernet et cloudification
Supervision réseaux métro ethernet et cloudification
 
Vpn
VpnVpn
Vpn
 
vpn-site-a-site-avec-des-routeurs-cisco
vpn-site-a-site-avec-des-routeurs-cisco vpn-site-a-site-avec-des-routeurs-cisco
vpn-site-a-site-avec-des-routeurs-cisco
 
Tp Wireless Local Area Network Kais Mabrouk 2011
Tp Wireless Local Area Network Kais Mabrouk 2011Tp Wireless Local Area Network Kais Mabrouk 2011
Tp Wireless Local Area Network Kais Mabrouk 2011
 
Projet reseau-de-kherfallah-ipm-2010-2011
Projet reseau-de-kherfallah-ipm-2010-2011Projet reseau-de-kherfallah-ipm-2010-2011
Projet reseau-de-kherfallah-ipm-2010-2011
 
Aerohive - Sécuriser et simplifier l’accès Wi-Fi avec Private Psk
Aerohive - Sécuriser et simplifier l’accès Wi-Fi avec Private PskAerohive - Sécuriser et simplifier l’accès Wi-Fi avec Private Psk
Aerohive - Sécuriser et simplifier l’accès Wi-Fi avec Private Psk
 
Reseaux Avancés Tunnel_Niveaux347.pdf
Reseaux Avancés Tunnel_Niveaux347.pdfReseaux Avancés Tunnel_Niveaux347.pdf
Reseaux Avancés Tunnel_Niveaux347.pdf
 
Ignite 2018 - nouveautés sécurité et réseau (Laurent Yin)
Ignite 2018 - nouveautés sécurité et réseau (Laurent Yin)Ignite 2018 - nouveautés sécurité et réseau (Laurent Yin)
Ignite 2018 - nouveautés sécurité et réseau (Laurent Yin)
 
configuration vpn-ipsec-routeur
configuration vpn-ipsec-routeur configuration vpn-ipsec-routeur
configuration vpn-ipsec-routeur
 
Weos tunnel ssl hôte à site
Weos tunnel ssl hôte à siteWeos tunnel ssl hôte à site
Weos tunnel ssl hôte à site
 
1-12_Introduction_aux_reseaux_de_stockage_SAN.pdf
1-12_Introduction_aux_reseaux_de_stockage_SAN.pdf1-12_Introduction_aux_reseaux_de_stockage_SAN.pdf
1-12_Introduction_aux_reseaux_de_stockage_SAN.pdf
 
offresphinxvision-121116101328-phpapp02.ppt
offresphinxvision-121116101328-phpapp02.pptoffresphinxvision-121116101328-phpapp02.ppt
offresphinxvision-121116101328-phpapp02.ppt
 
Silver-Peak - Partner.pptx
Silver-Peak - Partner.pptxSilver-Peak - Partner.pptx
Silver-Peak - Partner.pptx
 
Lunch & Learn : La tête dans les nuages? La vérité sur le Cloud pour les PME !
Lunch & Learn : La tête dans les nuages? La vérité sur le Cloud pour les PME !Lunch & Learn : La tête dans les nuages? La vérité sur le Cloud pour les PME !
Lunch & Learn : La tête dans les nuages? La vérité sur le Cloud pour les PME !
 
Spedge formation-mettre-en-oeuvre-des-services-reseaux-avances-cisco-next-gen...
Spedge formation-mettre-en-oeuvre-des-services-reseaux-avances-cisco-next-gen...Spedge formation-mettre-en-oeuvre-des-services-reseaux-avances-cisco-next-gen...
Spedge formation-mettre-en-oeuvre-des-services-reseaux-avances-cisco-next-gen...
 

Dernier

A3iFormations, organisme de formations certifié qualiopi.
A3iFormations, organisme de formations certifié qualiopi.A3iFormations, organisme de formations certifié qualiopi.
A3iFormations, organisme de formations certifié qualiopi.Franck Apolis
 
Formation M2i - Comprendre les neurosciences pour développer son leadership
Formation M2i - Comprendre les neurosciences pour développer son leadershipFormation M2i - Comprendre les neurosciences pour développer son leadership
Formation M2i - Comprendre les neurosciences pour développer son leadershipM2i Formation
 
systeme expert_systeme expert_systeme expert
systeme expert_systeme expert_systeme expertsysteme expert_systeme expert_systeme expert
systeme expert_systeme expert_systeme expertChristianMbip
 
7 PPT sue le project de fin d'étude.pptx
7 PPT sue le project de fin d'étude.pptx7 PPT sue le project de fin d'étude.pptx
7 PPT sue le project de fin d'étude.pptxrababouerdighi
 
Fondation Louis Vuitton. pptx
Fondation Louis Vuitton. pptxFondation Louis Vuitton. pptx
Fondation Louis Vuitton. pptxTxaruka
 
Saint Georges, martyr, et la lègend du dragon.pptx
Saint Georges, martyr, et la lègend du dragon.pptxSaint Georges, martyr, et la lègend du dragon.pptx
Saint Georges, martyr, et la lègend du dragon.pptxMartin M Flynn
 
Présentation_ Didactique 1_SVT (S4) complet.pptx
Présentation_ Didactique 1_SVT (S4) complet.pptxPrésentation_ Didactique 1_SVT (S4) complet.pptx
Présentation_ Didactique 1_SVT (S4) complet.pptxrababouerdighi
 
Evaluation du systeme d'Education. Marocpptx
Evaluation du systeme d'Education. MarocpptxEvaluation du systeme d'Education. Marocpptx
Evaluation du systeme d'Education. MarocpptxAsmaa105193
 
666148532-Formation-Habilitation-ELECTRIQUE-ENTREPRISE-MARS-2017.pptx
666148532-Formation-Habilitation-ELECTRIQUE-ENTREPRISE-MARS-2017.pptx666148532-Formation-Habilitation-ELECTRIQUE-ENTREPRISE-MARS-2017.pptx
666148532-Formation-Habilitation-ELECTRIQUE-ENTREPRISE-MARS-2017.pptxSAID MASHATE
 
Cours SE Le système Linux : La ligne de commande bash - IG IPSET
Cours SE Le système Linux : La ligne de commande bash - IG IPSETCours SE Le système Linux : La ligne de commande bash - IG IPSET
Cours SE Le système Linux : La ligne de commande bash - IG IPSETMedBechir
 
Cours SE Gestion des périphériques - IG IPSET
Cours SE Gestion des périphériques - IG IPSETCours SE Gestion des périphériques - IG IPSET
Cours SE Gestion des périphériques - IG IPSETMedBechir
 
Guide Final de rédaction de mémoire de fin d'étude
Guide Final de rédaction de mémoire de fin d'étudeGuide Final de rédaction de mémoire de fin d'étude
Guide Final de rédaction de mémoire de fin d'étudeBenamraneMarwa
 
Annie Ernaux Extérieurs. pptx. Exposition basée sur un livre .
Annie Ernaux Extérieurs. pptx. Exposition basée sur un livre .Annie Ernaux Extérieurs. pptx. Exposition basée sur un livre .
Annie Ernaux Extérieurs. pptx. Exposition basée sur un livre .Txaruka
 

Dernier (15)

A3iFormations, organisme de formations certifié qualiopi.
A3iFormations, organisme de formations certifié qualiopi.A3iFormations, organisme de formations certifié qualiopi.
A3iFormations, organisme de formations certifié qualiopi.
 
Formation M2i - Comprendre les neurosciences pour développer son leadership
Formation M2i - Comprendre les neurosciences pour développer son leadershipFormation M2i - Comprendre les neurosciences pour développer son leadership
Formation M2i - Comprendre les neurosciences pour développer son leadership
 
systeme expert_systeme expert_systeme expert
systeme expert_systeme expert_systeme expertsysteme expert_systeme expert_systeme expert
systeme expert_systeme expert_systeme expert
 
Pâques de Sainte Marie-Euphrasie Pelletier
Pâques de Sainte Marie-Euphrasie PelletierPâques de Sainte Marie-Euphrasie Pelletier
Pâques de Sainte Marie-Euphrasie Pelletier
 
7 PPT sue le project de fin d'étude.pptx
7 PPT sue le project de fin d'étude.pptx7 PPT sue le project de fin d'étude.pptx
7 PPT sue le project de fin d'étude.pptx
 
Fondation Louis Vuitton. pptx
Fondation Louis Vuitton. pptxFondation Louis Vuitton. pptx
Fondation Louis Vuitton. pptx
 
Saint Georges, martyr, et la lègend du dragon.pptx
Saint Georges, martyr, et la lègend du dragon.pptxSaint Georges, martyr, et la lègend du dragon.pptx
Saint Georges, martyr, et la lègend du dragon.pptx
 
Présentation_ Didactique 1_SVT (S4) complet.pptx
Présentation_ Didactique 1_SVT (S4) complet.pptxPrésentation_ Didactique 1_SVT (S4) complet.pptx
Présentation_ Didactique 1_SVT (S4) complet.pptx
 
Evaluation du systeme d'Education. Marocpptx
Evaluation du systeme d'Education. MarocpptxEvaluation du systeme d'Education. Marocpptx
Evaluation du systeme d'Education. Marocpptx
 
666148532-Formation-Habilitation-ELECTRIQUE-ENTREPRISE-MARS-2017.pptx
666148532-Formation-Habilitation-ELECTRIQUE-ENTREPRISE-MARS-2017.pptx666148532-Formation-Habilitation-ELECTRIQUE-ENTREPRISE-MARS-2017.pptx
666148532-Formation-Habilitation-ELECTRIQUE-ENTREPRISE-MARS-2017.pptx
 
Evaluación Alumnos de Ecole Victor Hugo
Evaluación Alumnos de Ecole Victor HugoEvaluación Alumnos de Ecole Victor Hugo
Evaluación Alumnos de Ecole Victor Hugo
 
Cours SE Le système Linux : La ligne de commande bash - IG IPSET
Cours SE Le système Linux : La ligne de commande bash - IG IPSETCours SE Le système Linux : La ligne de commande bash - IG IPSET
Cours SE Le système Linux : La ligne de commande bash - IG IPSET
 
Cours SE Gestion des périphériques - IG IPSET
Cours SE Gestion des périphériques - IG IPSETCours SE Gestion des périphériques - IG IPSET
Cours SE Gestion des périphériques - IG IPSET
 
Guide Final de rédaction de mémoire de fin d'étude
Guide Final de rédaction de mémoire de fin d'étudeGuide Final de rédaction de mémoire de fin d'étude
Guide Final de rédaction de mémoire de fin d'étude
 
Annie Ernaux Extérieurs. pptx. Exposition basée sur un livre .
Annie Ernaux Extérieurs. pptx. Exposition basée sur un livre .Annie Ernaux Extérieurs. pptx. Exposition basée sur un livre .
Annie Ernaux Extérieurs. pptx. Exposition basée sur un livre .
 

chapitre 6 vpn (1).pptx

  • 1. Chapitre 6: Conceptions de VPN et IPsec Classe : RSI 31 AU: 2023/2024
  • 2. 2 © 2016 Cisco et/ou ses filiales. Tous droits réservés. Informations confidentielles de Cisco Objectifs de ce module Module 8 : Conceptions de VPN et IPsec L'objectif du Module:Expliquer comment les VPN et IPsec sont utilisés pour sécuriser la connectivité de site à site et d'accès distant. Titre du Rubrique Objectif du Rubrique Technologie VPN Décrire les avantages de la technologie VPN. Types de VPN Décrire les différents types de VPN. IPsec Expliquez comment le cadre IPsec est utilisé pour sécuriser le trafic réseau.
  • 3. 3 © 2016 Cisco et/ou ses filiales. Tous droits réservés. Informations confidentielles de Cisco 8.1 Technologie VPN
  • 4. 4 © 2016 Cisco et/ou ses filiales. Tous droits réservés. Informations confidentielles de Cisco Technologie VPN Réseau privé virtuel • Réseaux privés virtuels (VPN) pour créer des connexions de réseau privé de bout en bout. • Un VPN est virtuel en ce sens qu'il transporte des informations au sein d'un réseau privé, mais que ces informations sont effectivement transférées via un réseau public. • Un VPN est privé, dans le sens où le trafic est chiffré pour assurer la confidentialité des données pendant qu'il est transporté à travers le réseau public.
  • 5. 5 © 2016 Cisco et/ou ses filiales. Tous droits réservés. Informations confidentielles de Cisco Technologie VPN Les Bénéfices de VPN • Les VPN modernes prennent en charge les fonctionnalités de chiffrement, telles que les protocoles IPsec (Internet Protocol Security) et SSL (Secure Sockets Layer) pour sécuriser le trafic réseau entre sites. • Les principaux avantages des VPN sont présentés dans le tableau: Bénéfice Description Réductions des coûts Les organisations peuvent utiliser des VPN pour réduire leurs coûts de connectivité tout en augmentant simultanément la bande passante de connexion à distance. Sécurité Les protocoles de chiffrement et d'authentification protègent les données contre les accès non autorisé. Extensibilité Les VPN permettent aux organisations d'utiliser Internet, ce qui facilite l'ajout de nouveaux utilisateurs sans ajouter d'infrastructure importante. Compatibilité Les VPN peuvent être mis en œuvre sur une grande variété d'options de liaison WAN, y compris les technologies à large bande. Les travailleurs distants peuvent utiliser ces connexions à haut débit pour accéder en toute sécurité aux réseaux d'entreprise.
  • 6. 6 © 2016 Cisco et/ou ses filiales. Tous droits réservés. Informations confidentielles de Cisco Technologie VPN VPN de site à site et d'accès distant Un VPN de site à site se termine sur les passerelles VPN. Le trafic VPN n'est crypté qu'entre les passerelles. Les hôtes internes ne savent pas qu'un VPN est utilisé.
  • 7. 7 © 2016 Cisco et/ou ses filiales. Tous droits réservés. Informations confidentielles de Cisco Technologie VPN VPN de site à site et d'accès distant (suite) VPN d'accès à distance est créé dynamiquement lorsque cela est nécessaire pour établir une connexion sécurisée entre un client et un périphérique de terminaison VPN.
  • 8. 8 © 2016 Cisco et/ou ses filiales. Tous droits réservés. Informations confidentielles de Cisco Technologie VPN VPN d'entreprise et de prestataire de service Les VPN peuvent être gérés et déployés comme: • VPN d'entreprise - des solutions similaires pour sécuriser le trafic d'entreprise sur l'internet. Les VPN de site à site et d'accès distant sont créés et gérés par l'entreprise à l'aide de VPN IPsec et SSL. • VPN des prestataires de services – sont créés et gérés sur le réseau du fournisseur. Le fournisseur utilise la commutation d'étiquette multiprotocole (MPLS) au niveau de la couche 2 ou de la couche 3 pour créer des canaux sécurisés entre les sites d'une entreprise, séparant efficacement le trafic des autres clients.
  • 9. 9 © 2016 Cisco et/ou ses filiales. Tous droits réservés. Informations confidentielles de Cisco 8.2 – Types de VPN
  • 10. 10 © 2016 Cisco et/ou ses filiales. Tous droits réservés. Informations confidentielles de Cisco Types de VPN VPN d'accès à distance • Les VPN d'accès à distance permettent aux utilisateurs distants et mobiles de se connecter en toute sécurité à l'entreprise. • Les VPN d'accès à distance sont généralement activés dynamiquement par l'utilisateur lorsque cela est nécessaire et peuvent être créés à l'aide d'IPsec ou de SSL. • La Connexion VPN sans client - La connexion est sécurisée à l'aide d'une connexion SSL par navigateur Web. • La Connexion VPN basée sur le client - Le logiciel client VPN tel que Cisco AnyConnect Secure Mobility Client doit être installé sur le terminal de l'utilisateur distant.
  • 11. 11 © 2016 Cisco et/ou ses filiales. Tous droits réservés. Informations confidentielles de Cisco Types de VPN SSL VPNs SSL utilise l'infrastructure du clé publique et les certificats numériques pour authentifier les pairs. Le type de méthode VPN mis en œuvre est basé sur les exigences d'accès des utilisateurs et les processus informatiques de l'organisation. Le tableau compare les déploiements d'accès à distance IPsec et SSL. Fonctionnalité IPsec SSL Application prise en charge Vaste – Toutes les applications basées sur IP Limité – Uniquement les applications Web et le partage de fichiers Force d'authentification Fort – Authentification bidirectionnelle avec clés partagées ou certificats numériques Modéré - authentification unidirectionnelle ou bidirectionnelle Force de chiffrement Fort – Longueurs de clé 56-256 bits Modéré à fort - Longueur des clés 40 - 256 bits Complexité de la connexion Moyen – Nécessite un client VPN installé sur un hôte Faible – Nécessite un navigateur Web sur un hôte Option de connexion Limité – Seuls les appareils spécifiques avec des configurations spécifiques peuvent se connecter Vaste – Tout appareil peut se connecter avec un navigateur Web
  • 12. 12 © 2016 Cisco et/ou ses filiales. Tous droits réservés. Informations confidentielles de Cisco Types de VPN VPN IPSec site à site • Les VPN de site à site connectent des réseaux sur un réseau non fiable tel qu'Internet. • Les hôtes finaux envoient et reçoivent du trafic TCP / IP non chiffré normal via une passerelle VPN. • La passerelle VPN encapsule et crypte le trafic sortant d'un site et envoie le trafic via le tunnel VPN à la passerelle VPN sur le site cible. La réception de la passerelle VPN élimine les en-têtes, déchiffre le contenu et relaie le paquet vers l'hôte cible au sein de son réseau privé.
  • 13. 13 © 2016 Cisco et/ou ses filiales. Tous droits réservés. Informations confidentielles de Cisco Types de VPN GRE sur IPsec • Le protocole GRE (Generic Routing Encapsulation) est un protocole de tunneling VPN de site à site non sécurisé. • Un tunnel GRE peut encapsuler divers protocoles de couche réseau ainsi que le trafic de multidiffusion et de diffusion. • GRE ne prend pas en charge le cryptage par défaut; et par conséquent, il ne fournit pas de tunnel VPN sécurisé. • Un paquet GRE peut être encapsulé dans un paquet IPsec pour le transmettre en toute sécurité à la passerelle VPN de destination. • Les VPN IPsec standard (non GRE) ne peuvent créer que des tunnels sécurisés pour le trafic unicast. • L'encapsulation de GRE dans IPsec permet de sécuriser les mises à jour du protocole de routage de multidiffusion via un VPN.
  • 14. 14 © 2016 Cisco et/ou ses filiales. Tous droits réservés. Informations confidentielles de Cisco Types de VPN GRE sur IPsec (suite) Les termes utilisés pour décrire l'encapsulation du tunnel GRE sur IPsec sont protocole de passager, protocole de transporteur et protocole de transport. • Protocole passager - Il est un paquet d'origine qui doit être encapsulé par GRE. Il peut être un paquet IPv4 ou IPv6, d'une mise à jour de routage, etc. • Protocole de transporteur - GRE est le protocole de transporteur qui encapsule le paquet passager d'origine. • Protocole de transport - Il est un protocole qui sera réellement utilisé pour transmettre le paquet. Cela peut être IPv4 ou IPv6.
  • 15. 15 © 2016 Cisco et/ou ses filiales. Tous droits réservés. Informations confidentielles de Cisco Types de VPN GRE sur IPsec (suite) Par exemple, la filiale et le HQ doivent échanger des informations de routage OSPF sur un VPN IPsec. GRE sur IPsec est utilisé pour prendre en charge le trafic du protocole de routage sur le VPN IPsec. Plus précisément, les paquets OSPF (c'est-à- dire le protocole passager) seraient encapsulés par GRE (c'est-à-dire le protocole de transporteur) et ensuite encapsulés dans un tunnel VPN IPsec.
  • 16. 16 © 2016 Cisco et/ou ses filiales. Tous droits réservés. Informations confidentielles de Cisco Types de VPN VPN multipoints dynamiques Les VPN IPsec de site à site et GRE sur IPsec ne sont pas suffisants lorsque l'entreprise ajoute de nombreux autres sites. DMVPN (Dynamic Multipoint VPN) est une solution logicielle de Cisco qui permet de créer plusieurs VPN de façon simple, dynamique et évolutive. • DMVPN simplifie la configuration du tunnel VPN et fournit une option flexible pour connecter un site central avec les sites distant. • Il utilise une configuration concentrateur et rayon pour établir une topologie maillée complète. • Les sites à rayons établissent des tunnels VPN sécurisés avec le site concentrateur. • Chaque site est configuré en utilisant Encapsulation de routage générique multipoints (mGRE). L'interface de tunnel GRE permet à une interface GRE unique de prendre en charge dynamiquement plusieurs tunnels IPsec. • Les sites à rayons peuvent aussi obtenir des informations les uns sur les autres et construire des tunnels directs entre eux (tunnels à rayons).
  • 17. 17 © 2016 Cisco et/ou ses filiales. Tous droits réservés. Informations confidentielles de Cisco Types de VPN L'interface de tunnel virtuel IPsec L'interface de tunnel virtuel IPsec (VTI) simplifie le processus de configuration requis pour prendre en charge plusieurs sites et l'accès à distance. • Les configurations IPsec VTI sont appliquées à une interface virtuelle au lieu du mappage statique des sessions IPsec à une interface physique. • IPsec VTI est capable d'envoyer et de recevoir le trafic crypté IP unicast et multicast. Par conséquent, les protocoles de routage sont automatiquement pris en charge sans ayant configurer de tunnels GRE. • IPsec VTI peut être configuré entre les sites ou dans une topologie en étoile (hub- to-spoke).
  • 18. 18 © 2016 Cisco et/ou ses filiales. Tous droits réservés. Informations confidentielles de Cisco Types de VPN VPN MPLS prestataires de service Aujourd'hui, les prestataires de services utilisent MPLS dans leur réseau principal. Le trafic est transmis via le réseau principal MPLS à l'aide d'étiquettes. Le trafic est sécurisé car les clients des fournisseurs de services ne peuvent pas voir le trafic de l'autre. • MPLS peut fournir aux clients des solutions VPN gérées; par conséquent, la sécurisation du trafic entre les sites clients est la responsabilité du prestataire de services. • Il existe deux types de solutions VPN MPLS prises en charge par les prestataires de services : • VPN MPLS de couche 3 - Le prestataire de services participe au routage client en établissant trunking entre les routeurs du client et les routeurs du prestataire. • VPN MPLS de couche 2- Le prestataire de services n'est pas impliqué dans le routage du client. Au lieu de cela, le prestataire déploie un service LAN privé virtuel (VPLS) pour émuler un segment LAN multi-accès Ethernet sur le réseau MPLS. Aucun routage n'est impliqué. Les routeurs du client appartiennent effectivement au même réseau à accès multiple.
  • 19. 19 © 2016 Cisco et/ou ses filiales. Tous droits réservés. Informations confidentielles de Cisco 8.3 IPsec
  • 20. 20 © 2016 Cisco et/ou ses filiales. Tous droits réservés. Informations confidentielles de Cisco IPSec Vidéo – Conceptions IPSec Cette vidéo présentera les points suivants: • L'objectif d'IPsec • Les protocoles de IPSec(AH, ESP, SA, IKE)
  • 21. 21 © 2016 Cisco et/ou ses filiales. Tous droits réservés. Informations confidentielles de Cisco IPSec Les Technologies IPSec IPsec est un standard IETF qui définit comment un VPN peut être sécurisé sur des réseaux IP. IPsec protège et authentifie les paquets IP entre la source et la destination et fournir les fonctions de sécurité essentiels : • Confidentialité - Utilise des algorithmes de chiffrement pour empêcher les cybercriminels de lire le contenu des paquets. • Intégrité - Utilise des algorithmes de hachage pour garantir que les paquets n'ont pas été modifiés entre la source et la destination. • Authentification d'origine - Utilise le protocole IKE (Internet Key Exchange) pour authentifier la source et la destination. • Diffie-Hellman - Utilisé pour sécuriser l'échange de clés.
  • 22. 22 © 2016 Cisco et/ou ses filiales. Tous droits réservés. Informations confidentielles de Cisco IPSec Les Technologies IPSec (suite) • IPsec n'est lié à aucune règle spécifique pour des communications sécurisées. • IPsec permet d'intégrer facilement les nouvelles technologies de sécurité sans mettre à jour les standards IPsec existantes. • Les emplacements ouverts dans la structure IPsec illustrés dans la figure peuvent être remplis avec n'importe quel choix disponibles pour cette fonction IPsec pour créer une association de sécurité (SA) unique.
  • 23. 23 © 2016 Cisco et/ou ses filiales. Tous droits réservés. Informations confidentielles de Cisco IPSec Encapsulation du protocole IPsec Le choix de l'encapsulation du protocole IPsec est le premier élément principale du structure. • IPsec encapsule les paquets à l'aide de l'en-tête d'authentification (AH) ou du protocole de sécurité d'encapsulation (ESP). • Le choix de AH ou ESP détermine quels autres blocs de construction sont disponibles. • AH n'est approprié que lorsque la confidentialité n'est pas requise ou autorisée. • ESP fournit la confidentialité et l'authentification.
  • 24. 24 © 2016 Cisco et/ou ses filiales. Tous droits réservés. Informations confidentielles de Cisco Confidentialité IPSec Le degré de confidentialité dépend de l'algorithme de cryptage et de la longueur de la clé utilisée dans l'algorithme de cryptage. Le nombre de possibilités d'essayer de pirater la clé est fonction de la longueur de la clé - plus la clé est courte, plus il est facile de la casser.
  • 25. 25 © 2016 Cisco et/ou ses filiales. Tous droits réservés. Informations confidentielles de Cisco Confidentialité IPSec (suite) Les algorithmes de cryptage mis en évidence dans la figure sont tous des cryptosystèmes à clé symétrique: • DES utilise une clé de 56 bits. • 3DES utilise trois clés de chiffrement 56 bits indépendantes par bloc 64 bits. • AES propose trois longueurs de clé différentes: 128 bits, 192 bits et 256 bits. • SEAL est un chiffrement de flux, ce qui signifie qu'il crypte les données en continuant plutôt que de crypter des blocs de données. SEAL utilise une clé de 160 bits.
  • 26. 26 © 2016 Cisco et/ou ses filiales. Tous droits réservés. Informations confidentielles de Cisco Intégrité IPSec • L'intégrité des données signifie que les données n'ont pas été modifiées en transit. • Une méthode pour prouver l'intégrité des données est requise. • Le code d'authentification de message haché (HMAC) est un algorithme d'intégrité des données qui garantit l'intégrité du message à l'aide d'une valeur de hachage. • Message-Digest 5 (MD5) utilise une clé secrète partagée de 128 bits. • L'algorithme de hachage sécurisé (SHA) utilise une clé secrète de 160 bits.
  • 27. 27 © 2016 Cisco et/ou ses filiales. Tous droits réservés. Informations confidentielles de Cisco Authentification IPsec Il existe deux méthodes d'authentification homologue IPsec: 1. Clé pré-partagée (PSK) - La valeur (PSK) est entrée manuellement dans chaque homologue. • Facile à configurer manuellement • Ne s'étend pas bien • Doit être configuré sur chaque homologue 2. Rivest, Shamir et Adleman (RSA) - l'authentification utilise des certificats numériques pour authentifier les homologues. • Chaque homologue doit authentifier son homologue opposé avant que le tunnel soit considéré comme sécurisé.
  • 28. 28 © 2016 Cisco et/ou ses filiales. Tous droits réservés. Informations confidentielles de Cisco IPSec Échange de clé sécurisé avec Diffie - Hellman DH permet à deux pairs IPsec d'établir une clé secrète partagée sur un canal non sécurisé. Les variations de l'échange de clés DH sont spécifiées en tant que groupes DH: • Les groupes DH 1, 2 et 5 ne doivent plus être utilisés. • Les groupes DH 14, 15 et 16 utilisent des tailles de clé plus grandes avec respectivement 2048 bits, 3072 bits et 4096 bits • Les groupes DH 19, 20, 21 et 24 avec des tailles de clé respectives de 256 bits, 384 bits, 521 bits et 2048 bits prennent en charge la cryptographie à courbe elliptique (ECC), ce qui réduit le temps nécessaire pour générer des clés.
  • 29. 29 © 2016 Cisco et/ou ses filiales. Tous droits réservés. Informations confidentielles de Cisco IPSec Vidéo – Transport IPsec et mode tunnel Cette vidéo expliquera le processus du paquet IPv4 avec ESP en mode transport et en mode tunnel.
  • 30. 30 © 2016 Cisco et/ou ses filiales. Tous droits réservés. Informations confidentielles de Cisco 8.4 Module pratique et questionnaire
  • 31. 31 © 2016 Cisco et/ou ses filiales. Tous droits réservés. Informations confidentielles de Cisco Module pratique et questionnaire Qu'est-ce que j'ai appris dans ce module? • Un VPN est privé, dans le sens où le trafic est chiffré pour assurer la confidentialité des données pendant qu'il transite sur le réseau public. • Les avantages des VPN sont les économies de coûts, la sécurité, l'évolutivité et la compatibilité. • Les VPN d'accès à distance permettent aux utilisateurs distants et mobiles de se connecter en toute sécurité à l'entreprise en créant un tunnel crypté. Les VPN d'accès à distance peuvent être créés en utilisant IPsec ou SSL. • Les VPN de site à site sont utilisés pour connecter des réseaux sur un réseau non fiable tel qu'Internet. • Dans un VPN de site à site, les hôtes finaux envoient et reçoivent le trafic TCP / IP non chiffré normal par un périphérique de terminaison VPN. Le périphérique de terminaison VPN est généralement appelé une passerelle VPN. • GRE est un protocole de tunneling VPN de site à site non sécurisé. • DMVPN est une solution logicielle Cisco pour créer facilement des VPN multiples, dynamiques et évolutifs. • Tel que DMVPN ,IPsec VTI simplifie le processus de configuration requis pour prendre en charge plusieurs sites et accès à distance.
  • 32. 32 © 2016 Cisco et/ou ses filiales. Tous droits réservés. Informations confidentielles de Cisco Module pratique et questionnaire Qu'est-ce que j'ai appris dans ce module? (suite) • IPsec protège et authentifie les paquets IP entre la source et la destination. • IPsec peut protéger le trafic de la couche 4 à la couche 7. • En utilisant le structure IPsec, IPsec fournit la confidentialité, l'intégrité, l'authentification d'origine et Diffie-Hellman. • IPsec encapsule les paquets en utilisant AH ou ESP. • Le degré de confidentialité dépend de l'algorithme de cryptage et de la longueur de la clé utilisée dans l'algorithme de cryptage. • DH permet à deux pairs d'établir une clé secrète partagée qu'ils seuls connaissent, même s'ils communiquent sur un canal non sécurisé.