SlideShare une entreprise Scribd logo
1  sur  33
Télécharger pour lire hors ligne
Chapitre 6: Conceptions de
VPN et IPsec
Classe : RSI 31
AU: 2023/2024
2
© 2016 Cisco et/ou ses filiales. Tous droits réservés. Informations
confidentielles de Cisco
Objectifs de ce module
Module 8 : Conceptions de VPN et IPsec
L'objectif du Module:Expliquer comment les VPN et IPsec sont utilisés pour sécuriser la
connectivité de site à site et d'accès distant.
Titre du Rubrique Objectif du Rubrique
Technologie VPN Décrire les avantages de la technologie VPN.
Types de VPN Décrire les différents types de VPN.
IPsec Expliquez comment le cadre IPsec est utilisé pour
sécuriser le trafic réseau.
3
© 2016 Cisco et/ou ses filiales. Tous droits réservés. Informations
confidentielles de Cisco
8.1 Technologie VPN
4
© 2016 Cisco et/ou ses filiales. Tous droits réservés. Informations
confidentielles de Cisco
Technologie VPN
Réseau privé virtuel
• Réseaux privés virtuels (VPN) pour
créer des connexions de réseau privé
de bout en bout.
• Un VPN est virtuel en ce sens qu'il
transporte des informations au sein
d'un réseau privé, mais que ces
informations sont effectivement
transférées via un réseau public.
• Un VPN est privé, dans le sens où le
trafic est chiffré pour assurer la
confidentialité des données pendant
qu'il est transporté à travers le réseau
public.
5
© 2016 Cisco et/ou ses filiales. Tous droits réservés. Informations
confidentielles de Cisco
Technologie VPN
Les Bénéfices de VPN
• Les VPN modernes prennent en charge les fonctionnalités de chiffrement, telles que
les protocoles IPsec (Internet Protocol Security) et SSL (Secure Sockets Layer) pour
sécuriser le trafic réseau entre sites.
• Les principaux avantages des VPN sont présentés dans le tableau:
Bénéfice Description
Réductions
des coûts
Les organisations peuvent utiliser des VPN pour réduire leurs coûts de connectivité
tout en augmentant simultanément la bande passante de connexion à distance.
Sécurité Les protocoles de chiffrement et d'authentification protègent les données contre les
accès non autorisé.
Extensibilité Les VPN permettent aux organisations d'utiliser Internet, ce qui facilite l'ajout de
nouveaux utilisateurs sans ajouter d'infrastructure importante.
Compatibilité Les VPN peuvent être mis en œuvre sur une grande variété d'options de liaison WAN,
y compris les technologies à large bande. Les travailleurs distants peuvent utiliser ces
connexions à haut débit pour accéder en toute sécurité aux réseaux d'entreprise.
6
© 2016 Cisco et/ou ses filiales. Tous droits réservés. Informations
confidentielles de Cisco
Technologie VPN
VPN de site à site et d'accès distant
Un VPN de site à site se termine sur les passerelles VPN. Le trafic VPN n'est crypté
qu'entre les passerelles. Les hôtes internes ne savent pas qu'un VPN est utilisé.
7
© 2016 Cisco et/ou ses filiales. Tous droits réservés. Informations
confidentielles de Cisco
Technologie VPN
VPN de site à site et d'accès distant (suite)
VPN d'accès à distance est créé dynamiquement lorsque cela est nécessaire pour établir
une connexion sécurisée entre un client et un périphérique de terminaison VPN.
8
© 2016 Cisco et/ou ses filiales. Tous droits réservés. Informations
confidentielles de Cisco
Technologie VPN
VPN d'entreprise et de prestataire de service
Les VPN peuvent être gérés et
déployés comme:
• VPN d'entreprise - des solutions
similaires pour sécuriser le trafic
d'entreprise sur l'internet. Les VPN
de site à site et d'accès distant sont
créés et gérés par l'entreprise à
l'aide de VPN IPsec et SSL.
• VPN des prestataires de services
– sont créés et gérés sur le réseau
du fournisseur. Le fournisseur utilise
la commutation d'étiquette
multiprotocole (MPLS) au niveau de
la couche 2 ou de la couche 3 pour
créer des canaux sécurisés entre les
sites d'une entreprise, séparant
efficacement le trafic des autres
clients.
9
© 2016 Cisco et/ou ses filiales. Tous droits réservés. Informations
confidentielles de Cisco
8.2 – Types de VPN
10
© 2016 Cisco et/ou ses filiales. Tous droits réservés. Informations
confidentielles de Cisco
Types de VPN
VPN d'accès à distance
• Les VPN d'accès à distance permettent
aux utilisateurs distants et mobiles de se
connecter en toute sécurité à l'entreprise.
• Les VPN d'accès à distance sont
généralement activés dynamiquement par
l'utilisateur lorsque cela est nécessaire et
peuvent être créés à l'aide d'IPsec ou de
SSL.
• La Connexion VPN sans client - La
connexion est sécurisée à l'aide d'une
connexion SSL par navigateur Web.
• La Connexion VPN basée sur le client -
Le logiciel client VPN tel que Cisco
AnyConnect Secure Mobility Client doit
être installé sur le terminal de l'utilisateur
distant.
11
© 2016 Cisco et/ou ses filiales. Tous droits réservés. Informations
confidentielles de Cisco
Types de VPN
SSL VPNs
SSL utilise l'infrastructure du clé publique et les certificats numériques pour
authentifier les pairs. Le type de méthode VPN mis en œuvre est basé sur les
exigences d'accès des utilisateurs et les processus informatiques de l'organisation.
Le tableau compare les déploiements d'accès à distance IPsec et SSL.
Fonctionnalité IPsec SSL
Application prise en charge Vaste – Toutes les applications basées
sur IP
Limité – Uniquement les applications Web et le
partage de fichiers
Force d'authentification Fort – Authentification bidirectionnelle
avec clés partagées ou certificats
numériques
Modéré - authentification unidirectionnelle ou
bidirectionnelle
Force de chiffrement Fort – Longueurs de clé 56-256 bits Modéré à fort - Longueur des clés 40 - 256 bits
Complexité de la connexion Moyen – Nécessite un client VPN installé
sur un hôte
Faible – Nécessite un navigateur Web sur un
hôte
Option de connexion Limité – Seuls les appareils spécifiques
avec des configurations spécifiques
peuvent se connecter
Vaste – Tout appareil peut se connecter avec un
navigateur Web
12
© 2016 Cisco et/ou ses filiales. Tous droits réservés. Informations
confidentielles de Cisco
Types de VPN
VPN IPSec site à site
• Les VPN de site à site connectent des
réseaux sur un réseau non fiable tel
qu'Internet.
• Les hôtes finaux envoient et reçoivent du
trafic TCP / IP non chiffré normal via une
passerelle VPN.
• La passerelle VPN encapsule et crypte le
trafic sortant d'un site et envoie le trafic
via le tunnel VPN à la passerelle VPN sur
le site cible. La réception de la passerelle
VPN élimine les en-têtes, déchiffre le
contenu et relaie le paquet vers l'hôte
cible au sein de son réseau privé.
13
© 2016 Cisco et/ou ses filiales. Tous droits réservés. Informations
confidentielles de Cisco
Types de VPN
GRE sur IPsec
• Le protocole GRE (Generic Routing Encapsulation) est un protocole de tunneling
VPN de site à site non sécurisé.
• Un tunnel GRE peut encapsuler divers protocoles de couche réseau ainsi que le
trafic de multidiffusion et de diffusion.
• GRE ne prend pas en charge le cryptage par défaut; et par conséquent, il ne
fournit pas de tunnel VPN sécurisé.
• Un paquet GRE peut être encapsulé dans un paquet IPsec pour le transmettre en
toute sécurité à la passerelle VPN de destination.
• Les VPN IPsec standard (non GRE) ne peuvent créer que des tunnels sécurisés
pour le trafic unicast.
• L'encapsulation de GRE dans IPsec permet de sécuriser les mises à jour du
protocole de routage de multidiffusion via un VPN.
14
© 2016 Cisco et/ou ses filiales. Tous droits réservés. Informations
confidentielles de Cisco
Types de VPN
GRE sur IPsec (suite)
Les termes utilisés pour décrire l'encapsulation du tunnel GRE sur IPsec sont
protocole de passager, protocole de transporteur et protocole de transport.
• Protocole passager - Il est un paquet d'origine qui doit être encapsulé par GRE. Il
peut être un paquet IPv4 ou IPv6, d'une mise à jour de routage, etc.
• Protocole de transporteur - GRE est le protocole de transporteur qui encapsule
le paquet passager d'origine.
• Protocole de transport - Il est un protocole qui sera réellement utilisé pour
transmettre le paquet. Cela peut être IPv4 ou IPv6.
15
© 2016 Cisco et/ou ses filiales. Tous droits réservés. Informations
confidentielles de Cisco
Types de VPN
GRE sur IPsec (suite)
Par exemple, la filiale et le HQ doivent échanger des informations de routage OSPF
sur un VPN IPsec. GRE sur IPsec est utilisé pour prendre en charge le trafic du
protocole de routage sur le VPN IPsec. Plus précisément, les paquets OSPF (c'est-à-
dire le protocole passager) seraient encapsulés par GRE (c'est-à-dire le protocole de
transporteur) et ensuite encapsulés dans un tunnel VPN IPsec.
16
© 2016 Cisco et/ou ses filiales. Tous droits réservés. Informations
confidentielles de Cisco
Types de VPN
VPN multipoints dynamiques
Les VPN IPsec de site à site et GRE sur IPsec ne sont pas suffisants lorsque
l'entreprise ajoute de nombreux autres sites. DMVPN (Dynamic Multipoint VPN) est
une solution logicielle de Cisco qui permet de créer plusieurs VPN de façon simple,
dynamique et évolutive.
• DMVPN simplifie la configuration du tunnel VPN et fournit une option flexible pour
connecter un site central avec les sites distant.
• Il utilise une configuration concentrateur et rayon pour établir une topologie
maillée complète.
• Les sites à rayons établissent des tunnels VPN sécurisés avec le site
concentrateur.
• Chaque site est configuré en utilisant Encapsulation de routage générique
multipoints (mGRE). L'interface de tunnel GRE permet à une interface GRE
unique de prendre en charge dynamiquement plusieurs tunnels IPsec.
• Les sites à rayons peuvent aussi obtenir des informations les uns sur les autres
et construire des tunnels directs entre eux (tunnels à rayons).
17
© 2016 Cisco et/ou ses filiales. Tous droits réservés. Informations
confidentielles de Cisco
Types de VPN
L'interface de tunnel virtuel IPsec
L'interface de tunnel virtuel IPsec (VTI) simplifie le processus de configuration requis
pour prendre en charge plusieurs sites et l'accès à distance.
• Les configurations IPsec VTI sont appliquées à une interface virtuelle au lieu du
mappage statique des sessions IPsec à une interface physique.
• IPsec VTI est capable d'envoyer et de recevoir le trafic crypté IP unicast et
multicast. Par conséquent, les protocoles de routage sont automatiquement pris
en charge sans ayant configurer de tunnels GRE.
• IPsec VTI peut être configuré entre les sites ou dans une topologie en étoile (hub-
to-spoke).
18
© 2016 Cisco et/ou ses filiales. Tous droits réservés. Informations
confidentielles de Cisco
Types de VPN
VPN MPLS prestataires de service
Aujourd'hui, les prestataires de services utilisent MPLS dans leur réseau principal. Le
trafic est transmis via le réseau principal MPLS à l'aide d'étiquettes. Le trafic est
sécurisé car les clients des fournisseurs de services ne peuvent pas voir le trafic de
l'autre.
• MPLS peut fournir aux clients des solutions VPN gérées; par conséquent, la
sécurisation du trafic entre les sites clients est la responsabilité du prestataire de
services.
• Il existe deux types de solutions VPN MPLS prises en charge par les prestataires
de services :
• VPN MPLS de couche 3 - Le prestataire de services participe au routage client en
établissant trunking entre les routeurs du client et les routeurs du prestataire.
• VPN MPLS de couche 2- Le prestataire de services n'est pas impliqué dans le routage du
client. Au lieu de cela, le prestataire déploie un service LAN privé virtuel (VPLS) pour émuler
un segment LAN multi-accès Ethernet sur le réseau MPLS. Aucun routage n'est impliqué. Les
routeurs du client appartiennent effectivement au même réseau à accès multiple.
19
© 2016 Cisco et/ou ses filiales. Tous droits réservés. Informations
confidentielles de Cisco
8.3 IPsec
20
© 2016 Cisco et/ou ses filiales. Tous droits réservés. Informations
confidentielles de Cisco
IPSec
Vidéo – Conceptions IPSec
Cette vidéo présentera les points suivants:
• L'objectif d'IPsec
• Les protocoles de IPSec(AH, ESP, SA, IKE)
21
© 2016 Cisco et/ou ses filiales. Tous droits réservés. Informations
confidentielles de Cisco
IPSec
Les Technologies IPSec
IPsec est un standard IETF qui définit comment un VPN peut être sécurisé
sur des réseaux IP. IPsec protège et authentifie les paquets IP entre la
source et la destination et fournir les fonctions de sécurité essentiels :
• Confidentialité - Utilise des algorithmes de chiffrement pour empêcher les
cybercriminels de lire le contenu des paquets.
• Intégrité - Utilise des algorithmes de hachage pour garantir que les paquets
n'ont pas été modifiés entre la source et la destination.
• Authentification d'origine - Utilise le protocole IKE (Internet Key Exchange)
pour authentifier la source et la destination.
• Diffie-Hellman - Utilisé pour sécuriser l'échange de clés.
22
© 2016 Cisco et/ou ses filiales. Tous droits réservés. Informations
confidentielles de Cisco
IPSec
Les Technologies IPSec (suite)
• IPsec n'est lié à aucune règle spécifique
pour des communications sécurisées.
• IPsec permet d'intégrer facilement les
nouvelles technologies de sécurité sans
mettre à jour les standards IPsec
existantes.
• Les emplacements ouverts dans la
structure IPsec illustrés dans la figure
peuvent être remplis avec n'importe quel
choix disponibles pour cette fonction
IPsec pour créer une association de
sécurité (SA) unique.
23
© 2016 Cisco et/ou ses filiales. Tous droits réservés. Informations
confidentielles de Cisco
IPSec
Encapsulation du protocole IPsec
Le choix de l'encapsulation du protocole
IPsec est le premier élément principale
du structure.
• IPsec encapsule les paquets à l'aide
de l'en-tête d'authentification (AH) ou
du protocole de sécurité
d'encapsulation (ESP).
• Le choix de AH ou ESP détermine
quels autres blocs de construction
sont disponibles.
• AH n'est approprié que lorsque la
confidentialité n'est pas requise ou
autorisée.
• ESP fournit la confidentialité et
l'authentification.
24
© 2016 Cisco et/ou ses filiales. Tous droits réservés. Informations
confidentielles de Cisco
Confidentialité IPSec
Le degré de confidentialité
dépend de l'algorithme de
cryptage et de la longueur de la
clé utilisée dans l'algorithme de
cryptage.
Le nombre de possibilités
d'essayer de pirater la clé est
fonction de la longueur de la clé -
plus la clé est courte, plus il est
facile de la casser.
25
© 2016 Cisco et/ou ses filiales. Tous droits réservés. Informations
confidentielles de Cisco
Confidentialité IPSec (suite)
Les algorithmes de cryptage mis en
évidence dans la figure sont tous des
cryptosystèmes à clé symétrique:
• DES utilise une clé de 56 bits.
• 3DES utilise trois clés de chiffrement
56 bits indépendantes par bloc 64
bits.
• AES propose trois longueurs de clé
différentes: 128 bits, 192 bits et 256
bits.
• SEAL est un chiffrement de flux, ce
qui signifie qu'il crypte les données
en continuant plutôt que de crypter
des blocs de données. SEAL utilise
une clé de 160 bits.
26
© 2016 Cisco et/ou ses filiales. Tous droits réservés. Informations
confidentielles de Cisco
Intégrité IPSec
• L'intégrité des données signifie que
les données n'ont pas été modifiées
en transit.
• Une méthode pour prouver l'intégrité
des données est requise.
• Le code d'authentification de
message haché (HMAC) est un
algorithme d'intégrité des données
qui garantit l'intégrité du message à
l'aide d'une valeur de hachage.
• Message-Digest 5 (MD5) utilise une
clé secrète partagée de 128 bits.
• L'algorithme de hachage sécurisé
(SHA) utilise une clé secrète de 160
bits.
27
© 2016 Cisco et/ou ses filiales. Tous droits réservés. Informations
confidentielles de Cisco
Authentification IPsec
Il existe deux méthodes
d'authentification homologue IPsec:
1. Clé pré-partagée (PSK) - La valeur
(PSK) est entrée manuellement dans
chaque homologue.
• Facile à configurer manuellement
• Ne s'étend pas bien
• Doit être configuré sur chaque homologue
2. Rivest, Shamir et Adleman (RSA) -
l'authentification utilise des certificats
numériques pour authentifier les
homologues.
• Chaque homologue doit authentifier son
homologue opposé avant que le tunnel
soit considéré comme sécurisé.
28
© 2016 Cisco et/ou ses filiales. Tous droits réservés. Informations
confidentielles de Cisco
IPSec
Échange de clé sécurisé avec Diffie - Hellman
DH permet à deux pairs IPsec d'établir une
clé secrète partagée sur un canal non
sécurisé.
Les variations de l'échange de clés DH
sont spécifiées en tant que groupes DH:
• Les groupes DH 1, 2 et 5 ne doivent plus
être utilisés.
• Les groupes DH 14, 15 et 16 utilisent des
tailles de clé plus grandes avec
respectivement 2048 bits, 3072 bits et 4096
bits
• Les groupes DH 19, 20, 21 et 24 avec des
tailles de clé respectives de 256 bits, 384
bits, 521 bits et 2048 bits prennent en
charge la cryptographie à courbe elliptique
(ECC), ce qui réduit le temps nécessaire
pour générer des clés.
29
© 2016 Cisco et/ou ses filiales. Tous droits réservés. Informations
confidentielles de Cisco
IPSec
Vidéo – Transport IPsec et mode tunnel
Cette vidéo expliquera le processus du paquet IPv4 avec ESP en mode
transport et en mode tunnel.
30
© 2016 Cisco et/ou ses filiales. Tous droits réservés. Informations
confidentielles de Cisco
8.4 Module pratique et
questionnaire
31
© 2016 Cisco et/ou ses filiales. Tous droits réservés. Informations
confidentielles de Cisco
Module pratique et questionnaire
Qu'est-ce que j'ai appris dans ce module?
• Un VPN est privé, dans le sens où le trafic est chiffré pour assurer la confidentialité des
données pendant qu'il transite sur le réseau public.
• Les avantages des VPN sont les économies de coûts, la sécurité, l'évolutivité et la
compatibilité.
• Les VPN d'accès à distance permettent aux utilisateurs distants et mobiles de se connecter
en toute sécurité à l'entreprise en créant un tunnel crypté. Les VPN d'accès à distance
peuvent être créés en utilisant IPsec ou SSL.
• Les VPN de site à site sont utilisés pour connecter des réseaux sur un réseau non fiable tel
qu'Internet.
• Dans un VPN de site à site, les hôtes finaux envoient et reçoivent le trafic TCP / IP non
chiffré normal par un périphérique de terminaison VPN. Le périphérique de terminaison VPN
est généralement appelé une passerelle VPN.
• GRE est un protocole de tunneling VPN de site à site non sécurisé.
• DMVPN est une solution logicielle Cisco pour créer facilement des VPN multiples,
dynamiques et évolutifs.
• Tel que DMVPN ,IPsec VTI simplifie le processus de configuration requis pour prendre en
charge plusieurs sites et accès à distance.
32
© 2016 Cisco et/ou ses filiales. Tous droits réservés. Informations
confidentielles de Cisco
Module pratique et questionnaire
Qu'est-ce que j'ai appris dans ce module? (suite)
• IPsec protège et authentifie les paquets IP entre la source et la destination.
• IPsec peut protéger le trafic de la couche 4 à la couche 7.
• En utilisant le structure IPsec, IPsec fournit la confidentialité, l'intégrité, l'authentification
d'origine et Diffie-Hellman.
• IPsec encapsule les paquets en utilisant AH ou ESP.
• Le degré de confidentialité dépend de l'algorithme de cryptage et de la longueur de la clé
utilisée dans l'algorithme de cryptage.
• DH permet à deux pairs d'établir une clé secrète partagée qu'ils seuls connaissent, même
s'ils communiquent sur un canal non sécurisé.
chapitre 6 vpn (1).pptx

Contenu connexe

Similaire à chapitre 6 vpn (1).pptx

Rapport mise en place d'un sevrer VPN .
   Rapport mise en place d'un sevrer VPN .   Rapport mise en place d'un sevrer VPN .
Rapport mise en place d'un sevrer VPN .Mouad Lousimi
 
Webinar Nebula du 14/03/2017
Webinar Nebula du 14/03/2017Webinar Nebula du 14/03/2017
Webinar Nebula du 14/03/2017Zyxel France
 
Vpn formation-deployer-des-solutions-vpn-avec-les-produits-cisco-asa
Vpn formation-deployer-des-solutions-vpn-avec-les-produits-cisco-asaVpn formation-deployer-des-solutions-vpn-avec-les-produits-cisco-asa
Vpn formation-deployer-des-solutions-vpn-avec-les-produits-cisco-asaCERTyou Formation
 
Cloud video surveillance business model
Cloud video surveillance business modelCloud video surveillance business model
Cloud video surveillance business modelPersonal Interactor
 
Supervision réseaux métro ethernet et cloudification
Supervision réseaux métro ethernet et cloudificationSupervision réseaux métro ethernet et cloudification
Supervision réseaux métro ethernet et cloudificationsahar dridi
 
vpn-site-a-site-avec-des-routeurs-cisco
 vpn-site-a-site-avec-des-routeurs-cisco vpn-site-a-site-avec-des-routeurs-cisco
vpn-site-a-site-avec-des-routeurs-ciscoCamara Assane
 
Tp Wireless Local Area Network Kais Mabrouk 2011
Tp Wireless Local Area Network Kais Mabrouk 2011Tp Wireless Local Area Network Kais Mabrouk 2011
Tp Wireless Local Area Network Kais Mabrouk 2011mabrouk
 
Projet reseau-de-kherfallah-ipm-2010-2011
Projet reseau-de-kherfallah-ipm-2010-2011Projet reseau-de-kherfallah-ipm-2010-2011
Projet reseau-de-kherfallah-ipm-2010-2011Boubaker KHERFALLAH
 
Aerohive - Sécuriser et simplifier l’accès Wi-Fi avec Private Psk
Aerohive - Sécuriser et simplifier l’accès Wi-Fi avec Private PskAerohive - Sécuriser et simplifier l’accès Wi-Fi avec Private Psk
Aerohive - Sécuriser et simplifier l’accès Wi-Fi avec Private Pskppuichaud
 
Reseaux Avancés Tunnel_Niveaux347.pdf
Reseaux Avancés Tunnel_Niveaux347.pdfReseaux Avancés Tunnel_Niveaux347.pdf
Reseaux Avancés Tunnel_Niveaux347.pdfSergeAKUE
 
Ignite 2018 - nouveautés sécurité et réseau (Laurent Yin)
Ignite 2018 - nouveautés sécurité et réseau (Laurent Yin)Ignite 2018 - nouveautés sécurité et réseau (Laurent Yin)
Ignite 2018 - nouveautés sécurité et réseau (Laurent Yin)AZUG FR
 
configuration vpn-ipsec-routeur
 configuration vpn-ipsec-routeur configuration vpn-ipsec-routeur
configuration vpn-ipsec-routeurJULIOR MIKALA
 
Weos tunnel ssl hôte à site
Weos   tunnel ssl hôte à siteWeos   tunnel ssl hôte à site
Weos tunnel ssl hôte à siteFabian Vandendyck
 
1-12_Introduction_aux_reseaux_de_stockage_SAN.pdf
1-12_Introduction_aux_reseaux_de_stockage_SAN.pdf1-12_Introduction_aux_reseaux_de_stockage_SAN.pdf
1-12_Introduction_aux_reseaux_de_stockage_SAN.pdfDilanTiobou
 
offresphinxvision-121116101328-phpapp02.ppt
offresphinxvision-121116101328-phpapp02.pptoffresphinxvision-121116101328-phpapp02.ppt
offresphinxvision-121116101328-phpapp02.pptPawachMetharattanara
 
Lunch & Learn : La tête dans les nuages? La vérité sur le Cloud pour les PME !
Lunch & Learn : La tête dans les nuages? La vérité sur le Cloud pour les PME !Lunch & Learn : La tête dans les nuages? La vérité sur le Cloud pour les PME !
Lunch & Learn : La tête dans les nuages? La vérité sur le Cloud pour les PME !Aurelium
 
Spedge formation-mettre-en-oeuvre-des-services-reseaux-avances-cisco-next-gen...
Spedge formation-mettre-en-oeuvre-des-services-reseaux-avances-cisco-next-gen...Spedge formation-mettre-en-oeuvre-des-services-reseaux-avances-cisco-next-gen...
Spedge formation-mettre-en-oeuvre-des-services-reseaux-avances-cisco-next-gen...CERTyou Formation
 

Similaire à chapitre 6 vpn (1).pptx (20)

Rapport mise en place d'un sevrer VPN .
   Rapport mise en place d'un sevrer VPN .   Rapport mise en place d'un sevrer VPN .
Rapport mise en place d'un sevrer VPN .
 
ITN_Module_17.pdf
ITN_Module_17.pdfITN_Module_17.pdf
ITN_Module_17.pdf
 
Webinar Nebula du 14/03/2017
Webinar Nebula du 14/03/2017Webinar Nebula du 14/03/2017
Webinar Nebula du 14/03/2017
 
Vpn formation-deployer-des-solutions-vpn-avec-les-produits-cisco-asa
Vpn formation-deployer-des-solutions-vpn-avec-les-produits-cisco-asaVpn formation-deployer-des-solutions-vpn-avec-les-produits-cisco-asa
Vpn formation-deployer-des-solutions-vpn-avec-les-produits-cisco-asa
 
Cloud video surveillance business model
Cloud video surveillance business modelCloud video surveillance business model
Cloud video surveillance business model
 
Supervision réseaux métro ethernet et cloudification
Supervision réseaux métro ethernet et cloudificationSupervision réseaux métro ethernet et cloudification
Supervision réseaux métro ethernet et cloudification
 
Vpn
VpnVpn
Vpn
 
vpn-site-a-site-avec-des-routeurs-cisco
 vpn-site-a-site-avec-des-routeurs-cisco vpn-site-a-site-avec-des-routeurs-cisco
vpn-site-a-site-avec-des-routeurs-cisco
 
Tp Wireless Local Area Network Kais Mabrouk 2011
Tp Wireless Local Area Network Kais Mabrouk 2011Tp Wireless Local Area Network Kais Mabrouk 2011
Tp Wireless Local Area Network Kais Mabrouk 2011
 
Projet reseau-de-kherfallah-ipm-2010-2011
Projet reseau-de-kherfallah-ipm-2010-2011Projet reseau-de-kherfallah-ipm-2010-2011
Projet reseau-de-kherfallah-ipm-2010-2011
 
Aerohive - Sécuriser et simplifier l’accès Wi-Fi avec Private Psk
Aerohive - Sécuriser et simplifier l’accès Wi-Fi avec Private PskAerohive - Sécuriser et simplifier l’accès Wi-Fi avec Private Psk
Aerohive - Sécuriser et simplifier l’accès Wi-Fi avec Private Psk
 
Reseaux Avancés Tunnel_Niveaux347.pdf
Reseaux Avancés Tunnel_Niveaux347.pdfReseaux Avancés Tunnel_Niveaux347.pdf
Reseaux Avancés Tunnel_Niveaux347.pdf
 
Ignite 2018 - nouveautés sécurité et réseau (Laurent Yin)
Ignite 2018 - nouveautés sécurité et réseau (Laurent Yin)Ignite 2018 - nouveautés sécurité et réseau (Laurent Yin)
Ignite 2018 - nouveautés sécurité et réseau (Laurent Yin)
 
configuration vpn-ipsec-routeur
 configuration vpn-ipsec-routeur configuration vpn-ipsec-routeur
configuration vpn-ipsec-routeur
 
Weos tunnel ssl hôte à site
Weos   tunnel ssl hôte à siteWeos   tunnel ssl hôte à site
Weos tunnel ssl hôte à site
 
1-12_Introduction_aux_reseaux_de_stockage_SAN.pdf
1-12_Introduction_aux_reseaux_de_stockage_SAN.pdf1-12_Introduction_aux_reseaux_de_stockage_SAN.pdf
1-12_Introduction_aux_reseaux_de_stockage_SAN.pdf
 
offresphinxvision-121116101328-phpapp02.ppt
offresphinxvision-121116101328-phpapp02.pptoffresphinxvision-121116101328-phpapp02.ppt
offresphinxvision-121116101328-phpapp02.ppt
 
Silver-Peak - Partner.pptx
Silver-Peak - Partner.pptxSilver-Peak - Partner.pptx
Silver-Peak - Partner.pptx
 
Lunch & Learn : La tête dans les nuages? La vérité sur le Cloud pour les PME !
Lunch & Learn : La tête dans les nuages? La vérité sur le Cloud pour les PME !Lunch & Learn : La tête dans les nuages? La vérité sur le Cloud pour les PME !
Lunch & Learn : La tête dans les nuages? La vérité sur le Cloud pour les PME !
 
Spedge formation-mettre-en-oeuvre-des-services-reseaux-avances-cisco-next-gen...
Spedge formation-mettre-en-oeuvre-des-services-reseaux-avances-cisco-next-gen...Spedge formation-mettre-en-oeuvre-des-services-reseaux-avances-cisco-next-gen...
Spedge formation-mettre-en-oeuvre-des-services-reseaux-avances-cisco-next-gen...
 

Dernier

L'Unité de Spiritualité Eudiste se joint à toute l'Église Universelle et en p...
L'Unité de Spiritualité Eudiste se joint à toute l'Église Universelle et en p...L'Unité de Spiritualité Eudiste se joint à toute l'Église Universelle et en p...
L'Unité de Spiritualité Eudiste se joint à toute l'Église Universelle et en p...Unidad de Espiritualidad Eudista
 
M2i Webinar - CPF 2024 : une stratégie pour booster les performances RH
M2i Webinar - CPF 2024 : une stratégie pour booster les performances RHM2i Webinar - CPF 2024 : une stratégie pour booster les performances RH
M2i Webinar - CPF 2024 : une stratégie pour booster les performances RHM2i Formation
 
Aux origines de la sociologie : du XIXème au début XX ème siècle
Aux origines de la sociologie : du XIXème au début XX ème siècleAux origines de la sociologie : du XIXème au début XX ème siècle
Aux origines de la sociologie : du XIXème au début XX ème siècleAmar LAKEL, PhD
 
0234567778999876554345678898765566.15.ppt
0234567778999876554345678898765566.15.ppt0234567778999876554345678898765566.15.ppt
0234567778999876554345678898765566.15.pptessiben
 
Newsletter SPW Agriculture en province du Luxembourg du 10-04-24
Newsletter SPW Agriculture en province du Luxembourg du 10-04-24Newsletter SPW Agriculture en province du Luxembourg du 10-04-24
Newsletter SPW Agriculture en province du Luxembourg du 10-04-24BenotGeorges3
 
Chana Orloff.pptx Sculptrice franco-ukranienne
Chana Orloff.pptx Sculptrice franco-ukranienneChana Orloff.pptx Sculptrice franco-ukranienne
Chana Orloff.pptx Sculptrice franco-ukranienneTxaruka
 
Bibdoc 2024 - Sobriete numerique en bibliotheque et centre de documentation.pdf
Bibdoc 2024 - Sobriete numerique en bibliotheque et centre de documentation.pdfBibdoc 2024 - Sobriete numerique en bibliotheque et centre de documentation.pdf
Bibdoc 2024 - Sobriete numerique en bibliotheque et centre de documentation.pdfAtelier Canopé 37 - Tours
 
La Base unique départementale - Quel bilan, au bout de 5 ans .pdf
La Base unique départementale - Quel bilan, au bout de 5 ans .pdfLa Base unique départementale - Quel bilan, au bout de 5 ans .pdf
La Base unique départementale - Quel bilan, au bout de 5 ans .pdfbdp12
 
Bibdoc 2024 - Les intelligences artificielles en bibliotheque.pdf
Bibdoc 2024 - Les intelligences artificielles en bibliotheque.pdfBibdoc 2024 - Les intelligences artificielles en bibliotheque.pdf
Bibdoc 2024 - Les intelligences artificielles en bibliotheque.pdfAtelier Canopé 37 - Tours
 
Copilot your everyday AI companion- OFFICE 365-
Copilot your everyday AI companion- OFFICE 365-Copilot your everyday AI companion- OFFICE 365-
Copilot your everyday AI companion- OFFICE 365-Majida Antonios, M.Ed.
 
Calendrier de la semaine du 8 au 12 avril
Calendrier de la semaine du 8 au 12 avrilCalendrier de la semaine du 8 au 12 avril
Calendrier de la semaine du 8 au 12 avrilfrizzole
 

Dernier (12)

L'Unité de Spiritualité Eudiste se joint à toute l'Église Universelle et en p...
L'Unité de Spiritualité Eudiste se joint à toute l'Église Universelle et en p...L'Unité de Spiritualité Eudiste se joint à toute l'Église Universelle et en p...
L'Unité de Spiritualité Eudiste se joint à toute l'Église Universelle et en p...
 
M2i Webinar - CPF 2024 : une stratégie pour booster les performances RH
M2i Webinar - CPF 2024 : une stratégie pour booster les performances RHM2i Webinar - CPF 2024 : une stratégie pour booster les performances RH
M2i Webinar - CPF 2024 : une stratégie pour booster les performances RH
 
Aux origines de la sociologie : du XIXème au début XX ème siècle
Aux origines de la sociologie : du XIXème au début XX ème siècleAux origines de la sociologie : du XIXème au début XX ème siècle
Aux origines de la sociologie : du XIXème au début XX ème siècle
 
Bulletin des bibliotheques Burkina Faso mars 2024
Bulletin des bibliotheques Burkina Faso mars 2024Bulletin des bibliotheques Burkina Faso mars 2024
Bulletin des bibliotheques Burkina Faso mars 2024
 
0234567778999876554345678898765566.15.ppt
0234567778999876554345678898765566.15.ppt0234567778999876554345678898765566.15.ppt
0234567778999876554345678898765566.15.ppt
 
Newsletter SPW Agriculture en province du Luxembourg du 10-04-24
Newsletter SPW Agriculture en province du Luxembourg du 10-04-24Newsletter SPW Agriculture en province du Luxembourg du 10-04-24
Newsletter SPW Agriculture en province du Luxembourg du 10-04-24
 
Chana Orloff.pptx Sculptrice franco-ukranienne
Chana Orloff.pptx Sculptrice franco-ukranienneChana Orloff.pptx Sculptrice franco-ukranienne
Chana Orloff.pptx Sculptrice franco-ukranienne
 
Bibdoc 2024 - Sobriete numerique en bibliotheque et centre de documentation.pdf
Bibdoc 2024 - Sobriete numerique en bibliotheque et centre de documentation.pdfBibdoc 2024 - Sobriete numerique en bibliotheque et centre de documentation.pdf
Bibdoc 2024 - Sobriete numerique en bibliotheque et centre de documentation.pdf
 
La Base unique départementale - Quel bilan, au bout de 5 ans .pdf
La Base unique départementale - Quel bilan, au bout de 5 ans .pdfLa Base unique départementale - Quel bilan, au bout de 5 ans .pdf
La Base unique départementale - Quel bilan, au bout de 5 ans .pdf
 
Bibdoc 2024 - Les intelligences artificielles en bibliotheque.pdf
Bibdoc 2024 - Les intelligences artificielles en bibliotheque.pdfBibdoc 2024 - Les intelligences artificielles en bibliotheque.pdf
Bibdoc 2024 - Les intelligences artificielles en bibliotheque.pdf
 
Copilot your everyday AI companion- OFFICE 365-
Copilot your everyday AI companion- OFFICE 365-Copilot your everyday AI companion- OFFICE 365-
Copilot your everyday AI companion- OFFICE 365-
 
Calendrier de la semaine du 8 au 12 avril
Calendrier de la semaine du 8 au 12 avrilCalendrier de la semaine du 8 au 12 avril
Calendrier de la semaine du 8 au 12 avril
 

chapitre 6 vpn (1).pptx

  • 1. Chapitre 6: Conceptions de VPN et IPsec Classe : RSI 31 AU: 2023/2024
  • 2. 2 © 2016 Cisco et/ou ses filiales. Tous droits réservés. Informations confidentielles de Cisco Objectifs de ce module Module 8 : Conceptions de VPN et IPsec L'objectif du Module:Expliquer comment les VPN et IPsec sont utilisés pour sécuriser la connectivité de site à site et d'accès distant. Titre du Rubrique Objectif du Rubrique Technologie VPN Décrire les avantages de la technologie VPN. Types de VPN Décrire les différents types de VPN. IPsec Expliquez comment le cadre IPsec est utilisé pour sécuriser le trafic réseau.
  • 3. 3 © 2016 Cisco et/ou ses filiales. Tous droits réservés. Informations confidentielles de Cisco 8.1 Technologie VPN
  • 4. 4 © 2016 Cisco et/ou ses filiales. Tous droits réservés. Informations confidentielles de Cisco Technologie VPN Réseau privé virtuel • Réseaux privés virtuels (VPN) pour créer des connexions de réseau privé de bout en bout. • Un VPN est virtuel en ce sens qu'il transporte des informations au sein d'un réseau privé, mais que ces informations sont effectivement transférées via un réseau public. • Un VPN est privé, dans le sens où le trafic est chiffré pour assurer la confidentialité des données pendant qu'il est transporté à travers le réseau public.
  • 5. 5 © 2016 Cisco et/ou ses filiales. Tous droits réservés. Informations confidentielles de Cisco Technologie VPN Les Bénéfices de VPN • Les VPN modernes prennent en charge les fonctionnalités de chiffrement, telles que les protocoles IPsec (Internet Protocol Security) et SSL (Secure Sockets Layer) pour sécuriser le trafic réseau entre sites. • Les principaux avantages des VPN sont présentés dans le tableau: Bénéfice Description Réductions des coûts Les organisations peuvent utiliser des VPN pour réduire leurs coûts de connectivité tout en augmentant simultanément la bande passante de connexion à distance. Sécurité Les protocoles de chiffrement et d'authentification protègent les données contre les accès non autorisé. Extensibilité Les VPN permettent aux organisations d'utiliser Internet, ce qui facilite l'ajout de nouveaux utilisateurs sans ajouter d'infrastructure importante. Compatibilité Les VPN peuvent être mis en œuvre sur une grande variété d'options de liaison WAN, y compris les technologies à large bande. Les travailleurs distants peuvent utiliser ces connexions à haut débit pour accéder en toute sécurité aux réseaux d'entreprise.
  • 6. 6 © 2016 Cisco et/ou ses filiales. Tous droits réservés. Informations confidentielles de Cisco Technologie VPN VPN de site à site et d'accès distant Un VPN de site à site se termine sur les passerelles VPN. Le trafic VPN n'est crypté qu'entre les passerelles. Les hôtes internes ne savent pas qu'un VPN est utilisé.
  • 7. 7 © 2016 Cisco et/ou ses filiales. Tous droits réservés. Informations confidentielles de Cisco Technologie VPN VPN de site à site et d'accès distant (suite) VPN d'accès à distance est créé dynamiquement lorsque cela est nécessaire pour établir une connexion sécurisée entre un client et un périphérique de terminaison VPN.
  • 8. 8 © 2016 Cisco et/ou ses filiales. Tous droits réservés. Informations confidentielles de Cisco Technologie VPN VPN d'entreprise et de prestataire de service Les VPN peuvent être gérés et déployés comme: • VPN d'entreprise - des solutions similaires pour sécuriser le trafic d'entreprise sur l'internet. Les VPN de site à site et d'accès distant sont créés et gérés par l'entreprise à l'aide de VPN IPsec et SSL. • VPN des prestataires de services – sont créés et gérés sur le réseau du fournisseur. Le fournisseur utilise la commutation d'étiquette multiprotocole (MPLS) au niveau de la couche 2 ou de la couche 3 pour créer des canaux sécurisés entre les sites d'une entreprise, séparant efficacement le trafic des autres clients.
  • 9. 9 © 2016 Cisco et/ou ses filiales. Tous droits réservés. Informations confidentielles de Cisco 8.2 – Types de VPN
  • 10. 10 © 2016 Cisco et/ou ses filiales. Tous droits réservés. Informations confidentielles de Cisco Types de VPN VPN d'accès à distance • Les VPN d'accès à distance permettent aux utilisateurs distants et mobiles de se connecter en toute sécurité à l'entreprise. • Les VPN d'accès à distance sont généralement activés dynamiquement par l'utilisateur lorsque cela est nécessaire et peuvent être créés à l'aide d'IPsec ou de SSL. • La Connexion VPN sans client - La connexion est sécurisée à l'aide d'une connexion SSL par navigateur Web. • La Connexion VPN basée sur le client - Le logiciel client VPN tel que Cisco AnyConnect Secure Mobility Client doit être installé sur le terminal de l'utilisateur distant.
  • 11. 11 © 2016 Cisco et/ou ses filiales. Tous droits réservés. Informations confidentielles de Cisco Types de VPN SSL VPNs SSL utilise l'infrastructure du clé publique et les certificats numériques pour authentifier les pairs. Le type de méthode VPN mis en œuvre est basé sur les exigences d'accès des utilisateurs et les processus informatiques de l'organisation. Le tableau compare les déploiements d'accès à distance IPsec et SSL. Fonctionnalité IPsec SSL Application prise en charge Vaste – Toutes les applications basées sur IP Limité – Uniquement les applications Web et le partage de fichiers Force d'authentification Fort – Authentification bidirectionnelle avec clés partagées ou certificats numériques Modéré - authentification unidirectionnelle ou bidirectionnelle Force de chiffrement Fort – Longueurs de clé 56-256 bits Modéré à fort - Longueur des clés 40 - 256 bits Complexité de la connexion Moyen – Nécessite un client VPN installé sur un hôte Faible – Nécessite un navigateur Web sur un hôte Option de connexion Limité – Seuls les appareils spécifiques avec des configurations spécifiques peuvent se connecter Vaste – Tout appareil peut se connecter avec un navigateur Web
  • 12. 12 © 2016 Cisco et/ou ses filiales. Tous droits réservés. Informations confidentielles de Cisco Types de VPN VPN IPSec site à site • Les VPN de site à site connectent des réseaux sur un réseau non fiable tel qu'Internet. • Les hôtes finaux envoient et reçoivent du trafic TCP / IP non chiffré normal via une passerelle VPN. • La passerelle VPN encapsule et crypte le trafic sortant d'un site et envoie le trafic via le tunnel VPN à la passerelle VPN sur le site cible. La réception de la passerelle VPN élimine les en-têtes, déchiffre le contenu et relaie le paquet vers l'hôte cible au sein de son réseau privé.
  • 13. 13 © 2016 Cisco et/ou ses filiales. Tous droits réservés. Informations confidentielles de Cisco Types de VPN GRE sur IPsec • Le protocole GRE (Generic Routing Encapsulation) est un protocole de tunneling VPN de site à site non sécurisé. • Un tunnel GRE peut encapsuler divers protocoles de couche réseau ainsi que le trafic de multidiffusion et de diffusion. • GRE ne prend pas en charge le cryptage par défaut; et par conséquent, il ne fournit pas de tunnel VPN sécurisé. • Un paquet GRE peut être encapsulé dans un paquet IPsec pour le transmettre en toute sécurité à la passerelle VPN de destination. • Les VPN IPsec standard (non GRE) ne peuvent créer que des tunnels sécurisés pour le trafic unicast. • L'encapsulation de GRE dans IPsec permet de sécuriser les mises à jour du protocole de routage de multidiffusion via un VPN.
  • 14. 14 © 2016 Cisco et/ou ses filiales. Tous droits réservés. Informations confidentielles de Cisco Types de VPN GRE sur IPsec (suite) Les termes utilisés pour décrire l'encapsulation du tunnel GRE sur IPsec sont protocole de passager, protocole de transporteur et protocole de transport. • Protocole passager - Il est un paquet d'origine qui doit être encapsulé par GRE. Il peut être un paquet IPv4 ou IPv6, d'une mise à jour de routage, etc. • Protocole de transporteur - GRE est le protocole de transporteur qui encapsule le paquet passager d'origine. • Protocole de transport - Il est un protocole qui sera réellement utilisé pour transmettre le paquet. Cela peut être IPv4 ou IPv6.
  • 15. 15 © 2016 Cisco et/ou ses filiales. Tous droits réservés. Informations confidentielles de Cisco Types de VPN GRE sur IPsec (suite) Par exemple, la filiale et le HQ doivent échanger des informations de routage OSPF sur un VPN IPsec. GRE sur IPsec est utilisé pour prendre en charge le trafic du protocole de routage sur le VPN IPsec. Plus précisément, les paquets OSPF (c'est-à- dire le protocole passager) seraient encapsulés par GRE (c'est-à-dire le protocole de transporteur) et ensuite encapsulés dans un tunnel VPN IPsec.
  • 16. 16 © 2016 Cisco et/ou ses filiales. Tous droits réservés. Informations confidentielles de Cisco Types de VPN VPN multipoints dynamiques Les VPN IPsec de site à site et GRE sur IPsec ne sont pas suffisants lorsque l'entreprise ajoute de nombreux autres sites. DMVPN (Dynamic Multipoint VPN) est une solution logicielle de Cisco qui permet de créer plusieurs VPN de façon simple, dynamique et évolutive. • DMVPN simplifie la configuration du tunnel VPN et fournit une option flexible pour connecter un site central avec les sites distant. • Il utilise une configuration concentrateur et rayon pour établir une topologie maillée complète. • Les sites à rayons établissent des tunnels VPN sécurisés avec le site concentrateur. • Chaque site est configuré en utilisant Encapsulation de routage générique multipoints (mGRE). L'interface de tunnel GRE permet à une interface GRE unique de prendre en charge dynamiquement plusieurs tunnels IPsec. • Les sites à rayons peuvent aussi obtenir des informations les uns sur les autres et construire des tunnels directs entre eux (tunnels à rayons).
  • 17. 17 © 2016 Cisco et/ou ses filiales. Tous droits réservés. Informations confidentielles de Cisco Types de VPN L'interface de tunnel virtuel IPsec L'interface de tunnel virtuel IPsec (VTI) simplifie le processus de configuration requis pour prendre en charge plusieurs sites et l'accès à distance. • Les configurations IPsec VTI sont appliquées à une interface virtuelle au lieu du mappage statique des sessions IPsec à une interface physique. • IPsec VTI est capable d'envoyer et de recevoir le trafic crypté IP unicast et multicast. Par conséquent, les protocoles de routage sont automatiquement pris en charge sans ayant configurer de tunnels GRE. • IPsec VTI peut être configuré entre les sites ou dans une topologie en étoile (hub- to-spoke).
  • 18. 18 © 2016 Cisco et/ou ses filiales. Tous droits réservés. Informations confidentielles de Cisco Types de VPN VPN MPLS prestataires de service Aujourd'hui, les prestataires de services utilisent MPLS dans leur réseau principal. Le trafic est transmis via le réseau principal MPLS à l'aide d'étiquettes. Le trafic est sécurisé car les clients des fournisseurs de services ne peuvent pas voir le trafic de l'autre. • MPLS peut fournir aux clients des solutions VPN gérées; par conséquent, la sécurisation du trafic entre les sites clients est la responsabilité du prestataire de services. • Il existe deux types de solutions VPN MPLS prises en charge par les prestataires de services : • VPN MPLS de couche 3 - Le prestataire de services participe au routage client en établissant trunking entre les routeurs du client et les routeurs du prestataire. • VPN MPLS de couche 2- Le prestataire de services n'est pas impliqué dans le routage du client. Au lieu de cela, le prestataire déploie un service LAN privé virtuel (VPLS) pour émuler un segment LAN multi-accès Ethernet sur le réseau MPLS. Aucun routage n'est impliqué. Les routeurs du client appartiennent effectivement au même réseau à accès multiple.
  • 19. 19 © 2016 Cisco et/ou ses filiales. Tous droits réservés. Informations confidentielles de Cisco 8.3 IPsec
  • 20. 20 © 2016 Cisco et/ou ses filiales. Tous droits réservés. Informations confidentielles de Cisco IPSec Vidéo – Conceptions IPSec Cette vidéo présentera les points suivants: • L'objectif d'IPsec • Les protocoles de IPSec(AH, ESP, SA, IKE)
  • 21. 21 © 2016 Cisco et/ou ses filiales. Tous droits réservés. Informations confidentielles de Cisco IPSec Les Technologies IPSec IPsec est un standard IETF qui définit comment un VPN peut être sécurisé sur des réseaux IP. IPsec protège et authentifie les paquets IP entre la source et la destination et fournir les fonctions de sécurité essentiels : • Confidentialité - Utilise des algorithmes de chiffrement pour empêcher les cybercriminels de lire le contenu des paquets. • Intégrité - Utilise des algorithmes de hachage pour garantir que les paquets n'ont pas été modifiés entre la source et la destination. • Authentification d'origine - Utilise le protocole IKE (Internet Key Exchange) pour authentifier la source et la destination. • Diffie-Hellman - Utilisé pour sécuriser l'échange de clés.
  • 22. 22 © 2016 Cisco et/ou ses filiales. Tous droits réservés. Informations confidentielles de Cisco IPSec Les Technologies IPSec (suite) • IPsec n'est lié à aucune règle spécifique pour des communications sécurisées. • IPsec permet d'intégrer facilement les nouvelles technologies de sécurité sans mettre à jour les standards IPsec existantes. • Les emplacements ouverts dans la structure IPsec illustrés dans la figure peuvent être remplis avec n'importe quel choix disponibles pour cette fonction IPsec pour créer une association de sécurité (SA) unique.
  • 23. 23 © 2016 Cisco et/ou ses filiales. Tous droits réservés. Informations confidentielles de Cisco IPSec Encapsulation du protocole IPsec Le choix de l'encapsulation du protocole IPsec est le premier élément principale du structure. • IPsec encapsule les paquets à l'aide de l'en-tête d'authentification (AH) ou du protocole de sécurité d'encapsulation (ESP). • Le choix de AH ou ESP détermine quels autres blocs de construction sont disponibles. • AH n'est approprié que lorsque la confidentialité n'est pas requise ou autorisée. • ESP fournit la confidentialité et l'authentification.
  • 24. 24 © 2016 Cisco et/ou ses filiales. Tous droits réservés. Informations confidentielles de Cisco Confidentialité IPSec Le degré de confidentialité dépend de l'algorithme de cryptage et de la longueur de la clé utilisée dans l'algorithme de cryptage. Le nombre de possibilités d'essayer de pirater la clé est fonction de la longueur de la clé - plus la clé est courte, plus il est facile de la casser.
  • 25. 25 © 2016 Cisco et/ou ses filiales. Tous droits réservés. Informations confidentielles de Cisco Confidentialité IPSec (suite) Les algorithmes de cryptage mis en évidence dans la figure sont tous des cryptosystèmes à clé symétrique: • DES utilise une clé de 56 bits. • 3DES utilise trois clés de chiffrement 56 bits indépendantes par bloc 64 bits. • AES propose trois longueurs de clé différentes: 128 bits, 192 bits et 256 bits. • SEAL est un chiffrement de flux, ce qui signifie qu'il crypte les données en continuant plutôt que de crypter des blocs de données. SEAL utilise une clé de 160 bits.
  • 26. 26 © 2016 Cisco et/ou ses filiales. Tous droits réservés. Informations confidentielles de Cisco Intégrité IPSec • L'intégrité des données signifie que les données n'ont pas été modifiées en transit. • Une méthode pour prouver l'intégrité des données est requise. • Le code d'authentification de message haché (HMAC) est un algorithme d'intégrité des données qui garantit l'intégrité du message à l'aide d'une valeur de hachage. • Message-Digest 5 (MD5) utilise une clé secrète partagée de 128 bits. • L'algorithme de hachage sécurisé (SHA) utilise une clé secrète de 160 bits.
  • 27. 27 © 2016 Cisco et/ou ses filiales. Tous droits réservés. Informations confidentielles de Cisco Authentification IPsec Il existe deux méthodes d'authentification homologue IPsec: 1. Clé pré-partagée (PSK) - La valeur (PSK) est entrée manuellement dans chaque homologue. • Facile à configurer manuellement • Ne s'étend pas bien • Doit être configuré sur chaque homologue 2. Rivest, Shamir et Adleman (RSA) - l'authentification utilise des certificats numériques pour authentifier les homologues. • Chaque homologue doit authentifier son homologue opposé avant que le tunnel soit considéré comme sécurisé.
  • 28. 28 © 2016 Cisco et/ou ses filiales. Tous droits réservés. Informations confidentielles de Cisco IPSec Échange de clé sécurisé avec Diffie - Hellman DH permet à deux pairs IPsec d'établir une clé secrète partagée sur un canal non sécurisé. Les variations de l'échange de clés DH sont spécifiées en tant que groupes DH: • Les groupes DH 1, 2 et 5 ne doivent plus être utilisés. • Les groupes DH 14, 15 et 16 utilisent des tailles de clé plus grandes avec respectivement 2048 bits, 3072 bits et 4096 bits • Les groupes DH 19, 20, 21 et 24 avec des tailles de clé respectives de 256 bits, 384 bits, 521 bits et 2048 bits prennent en charge la cryptographie à courbe elliptique (ECC), ce qui réduit le temps nécessaire pour générer des clés.
  • 29. 29 © 2016 Cisco et/ou ses filiales. Tous droits réservés. Informations confidentielles de Cisco IPSec Vidéo – Transport IPsec et mode tunnel Cette vidéo expliquera le processus du paquet IPv4 avec ESP en mode transport et en mode tunnel.
  • 30. 30 © 2016 Cisco et/ou ses filiales. Tous droits réservés. Informations confidentielles de Cisco 8.4 Module pratique et questionnaire
  • 31. 31 © 2016 Cisco et/ou ses filiales. Tous droits réservés. Informations confidentielles de Cisco Module pratique et questionnaire Qu'est-ce que j'ai appris dans ce module? • Un VPN est privé, dans le sens où le trafic est chiffré pour assurer la confidentialité des données pendant qu'il transite sur le réseau public. • Les avantages des VPN sont les économies de coûts, la sécurité, l'évolutivité et la compatibilité. • Les VPN d'accès à distance permettent aux utilisateurs distants et mobiles de se connecter en toute sécurité à l'entreprise en créant un tunnel crypté. Les VPN d'accès à distance peuvent être créés en utilisant IPsec ou SSL. • Les VPN de site à site sont utilisés pour connecter des réseaux sur un réseau non fiable tel qu'Internet. • Dans un VPN de site à site, les hôtes finaux envoient et reçoivent le trafic TCP / IP non chiffré normal par un périphérique de terminaison VPN. Le périphérique de terminaison VPN est généralement appelé une passerelle VPN. • GRE est un protocole de tunneling VPN de site à site non sécurisé. • DMVPN est une solution logicielle Cisco pour créer facilement des VPN multiples, dynamiques et évolutifs. • Tel que DMVPN ,IPsec VTI simplifie le processus de configuration requis pour prendre en charge plusieurs sites et accès à distance.
  • 32. 32 © 2016 Cisco et/ou ses filiales. Tous droits réservés. Informations confidentielles de Cisco Module pratique et questionnaire Qu'est-ce que j'ai appris dans ce module? (suite) • IPsec protège et authentifie les paquets IP entre la source et la destination. • IPsec peut protéger le trafic de la couche 4 à la couche 7. • En utilisant le structure IPsec, IPsec fournit la confidentialité, l'intégrité, l'authentification d'origine et Diffie-Hellman. • IPsec encapsule les paquets en utilisant AH ou ESP. • Le degré de confidentialité dépend de l'algorithme de cryptage et de la longueur de la clé utilisée dans l'algorithme de cryptage. • DH permet à deux pairs d'établir une clé secrète partagée qu'ils seuls connaissent, même s'ils communiquent sur un canal non sécurisé.