Ce document aborde la mise en œuvre et la sécurité des réseaux privés virtuels (VPN) utilisant la technologie IPsec pour connecter des sites distants d'une entreprise. Il décrit les protocoles de tunnelisation, les étapes de configuration d'un VPN site à site sur des routeurs Cisco, ainsi que les défis et recommandations pour une gestion efficace des VPN dans un environnement multi-sites. Enfin, le texte souligne l'importance de systèmes sécurisés et propose des solutions pour améliorer la scalabilité et la gestion des configurations.

1. 1
Dr. Ahmed Youssef Khlil
Sécurité RX

2. Problématique et objectif du travail
2
 Entreprise multi-sites : est une entreprise qui s'étend
au-delà d'un seul local.
 Il s'avère nécessaire d'interconnecter les réseaux LANs
de ces différentes académies pour constituer un réseau
étendu, c’est pour quoi nous avons misé sur l’utilisation
du réseau VPN implémenter dans une technologie
WAN.

3. 3
Problématique et objectif du travail
3
 L'entreprise considère l‘Internet plus stratégique que
jamais. Il est dès lors important de la protéger par des
mesures appropriées et de détecter au plus tôt les
problèmes de sécurité qui pourraient la menacer.
 Les réseaux privés virtuels sur Internet sont une
alternative intéressante aux réseaux longue distance
traditionnels.
 Dans ce contexte, on comprend évidemment la
nécessité de sécuriser fortement les échanges de
données privées qui se transitent par un réseau public.

4. Qu’est ce que un réseau WAN ?
4
Le réseau WAN est un réseau de transmission de données qui desservent des utilisateurs dans une vaste région géographique et qui utilise la plupart du temps les moyens de transmission fournis par les opérateurs télécom.

5. Le Réseau Privé Virtuel VPN
5
 VPN = Virtual Private Network
 Technologie réseau permettant de construire un réseau privé à
l'intérieur d'une infrastructure publique.
 Privé : les échanges transitant par ce réseau sont confidentiels
pour les autres utilisateurs du réseau public.
 Virtuel : le réseau privé ainsi créé n'est pas matérialisé par des
liens physiques.

6. Le Réseau Privé Virtuel VPN
6
Un VPN est une infrastructure WAN alternative aux
réseaux privés qui utilisent des lignes louées ou des
réseaux d'entreprise utilisant Frame Relay, ATM…

7. Le réseau privé virtuel VPN
7
 Protocoles de tunnelisation
Le réseau VPN repose sur un protocole appelé « protocole de
tunneling ». Ce protocole permet de faire circuler les
informations de l’entreprise de façon cryptée d’un bout à
l’autre du tunnel. Ainsi, les utilisateurs ont l’impression de se
connecter directement sur le réseau de leur entreprise.
Le principe de tunnelisation consiste à construire un chemin
virtuel après avoir identifié l’émetteur et le destinataire. Par la
suite, la source chiffre les données et les achemine en
empruntant Ce chemin virtuel.

8. Le réseau privé virtuel VPN
8
Nous pouvons classer les protocoles de tunnelisation en trois
catégories :
 Les protocoles de niveau 2 comme PPTP, L2TP et L2F.
 Les protocoles de niveau 3 comme IPSec ou MPLS.
 Les protocoles de niveau 4 comme SSL et SSH.

9. Le réseau privé virtuel VPN
9
 Un VPN site à site peut être utilisé pour connecter des sites
d'entreprise.
 Des lignes louées ou une connexion Frame Relay étaient
nécessaires mais aujourd'hui toutes les entreprises ont un
accès Internet.
 Un VPN peut supporter des intranets de l‘entreprise et des
extranets des partenaires commerciaux
 Les VPNs site à site peuvent être implémenté avec des
routeurs Cisco, des pare-feu PIX, des concentrateurs VPN et
des machines Linux OpenVPN.

10. VPN IPSec
10
 IPSec protocole de niveau 3
 Création de VPN sûr basé forcément sur IP.
 Permet de sécuriser les applications mais également toute la
couche IP.
 Les rôles d’IPSec :
 Authentification
 Confidentialité
 Intégrité
 Le contrôle d’accès
 La protection contre le rejeu.

11. IPSec
11
 Les modes de fonctionnement d ’IPSec :
 Le mode transport est utilisé pour créer une communication entre
deux hôtes qui supportent IPSec. Une SA est établie entre les deux
hôtes. Les entêtes IP ne sont pas modifiées et les protocoles AH et
ESP sont intégrés entre cette entête et l'entête du protocole
transporté. Ce mode est souvent utiliser pour sécuriser une
connexion Point-To-Point.
 Alors que mode tunnel, est utilisé pour encapsuler les datagrammes
IP dans IPSec. La SA est appliquée sur un tunnel IP.
Ainsi, les entêtes IP originales ne sont pas modifiés et un entête
propre à IPSec est crée. Ce mode est souvent utilisé pour créer des
tunnels entre réseaux LAN distant. Effectivement, il permet de relier
deux passerelles étant capable d'utiliser IPSec sans perturber le trafic
IP des machines du réseau qui ne sont donc pas forcément prête à
utiliser le protocole IPSec.

12. IPSec
12
 Différence entre ces 2 modes :
 Le mode transport protège uniquement le contenu du paquet IP sans
toucher à l’en-tête, ce mode n’est utilisable que sur les équipements
terminaux (postes clients, serveurs).
 Le mode tunnel permet la création de tunnels par “encapsulation” de
chaque paquet IP dans un nouveau paquet. Ainsi, la protection porte sur
tous les champs des paquets IP arrivant à l’entrée d’un tunnel, y compris
sur les champs des en-têtes (adresses source et destination par exemple).
Ce mode est celui utilisé par les équipements réseau (routeurs, gardes-
barrières...).

13. IPSec
13
 Permet de sécuriser l'échange de données au niveau de la couche réseau.
 Basé sur de mécanismes de sécurité :
 AH vise à identifier l’identité des extrémités de façon certaine. Il gère:
L’intégrité, L’authentification et la protection contre le rejeu
Il ne gère pas la confidentialité : les données sont signées mais pas cryptées

14. IPSec
14
 ESP a pour but de chiffrer les données contenues dans un paquet IP, il
fournit la confidentialité, l‘intégrité des données et l'authentification de
l'origine des données.
ESP encapsule les données à protéger.

15. IPSec
15
 ISAKMP
Un protocol cadre qui définit le format des charge utiles, les mécanismes
d'implémentation d'un protocole d'échange de clés et la négociation d'une
sa.
 IKE
Un protocole orienté connexion chargé de négocier la connexion. Avant
qu'une transmission IPSec puisse être possible, IKE est utilisé pour
authentifier les deux extrémités d'un tunnel sécurisé en échangeant des
clés partagées.

16. IPSec
16
 Algorithmes de cryptage symétrique (ou chiffrement):
 DES, AES, 3DES.
 Algorithmes d'Authentification (ou de hachage):
 HMAC-MD5.
 HMAC-SHA .

17. 17
Nous devons configurer et tester la connectivité entre les deux sites
avant d’implémenter la sécurité
Mise en œuvre (1/2)

18. Mise en œuvre (2/2)
18
 Etant donné la complexité de mise en place et de configuration d’IPSEC,
nous allons aborder uniquement la méthode concernant la configuration
pour les routeurs Cisco et en utilisant comme méthode
d’authentification les clefs pré-partagées.
 Tout d’abord il faut s’assurer que le routeur en question dispose de cette
option pour cela il suffit de taper en mode configuration « crypto» si la
commande validé alors le routeur fait l’IPSec sinon il faut télécharger
Cisco IOS version 12.4(20)T1-Advenced IP services.
 Pour le mettre en place on a choisi de configurer le routeur DK en mode
commande et le routeur SLT en mode graphique.

19. Les étapes de mise en place d’IPSec
19
La mise en place d’IPSec s’effectue en six étapes :
1 - Définir la politique ISAKMP
2 - Créer une transform-set
3 - Créer la clef partagée
4 - Mettre en place les ACLs
5 - Créer une crypto map
6 - Appliqué la crypto map sur l’interface de sortie

20. 1) La configuration en mode commande du
routeur Dakar
20

21. La politique ISAKMP
21
1 - Définir la politique ISAKMP en précisant :
 Le numéro de la politique
 La méthode d’authentification des équipements
 L’algorithme de chiffrement utilisé
 L’algorithme de hachage pour créer des empreintes
 Le groupe Diffie-Hellman pour l’échange de clef
Dakar (config)# crypto isakmp policy 10
Dakar (config-isakmp)# authentication pre-share
Dakar (config-isakmp)# encryption 3des
Dakar (config-isakmp)# hash sha
Dakar (config-isakmp)# group 5
Dakar (config-isakmp)# lifetime 64000

22. La création de la transform-set
22
2 - Création de la Transform-set en donnant :
Le nom de la transform set
l’algorithme de chiffrement
l’algorithme de hachage pour la création d’empreinte
le mode à utilisé
Dakar (config)#crypto ipsec transform-set TRAN1 esp-3des esp-sha-hmac

23. Le secret partagé
23
3 - Création de la clef partagée
Dakar (config)#crypto isakmp key 6 sidi address 192.168.1.1
Avec 192.168.1.1 l’adresse du site SLT distant .

24. Les contrôles accès
24
4 - Mise en place des ACLs
Le trafic a chiffré qui peut/doit emprunter le VPN, nous allons autoriser le trafic
depuis le site DK vers le site SLT.
Dakar (config)#access-list 101 permit ip 10.10.10.0 0.0.0.255 10.20.20.0 0.0.0.255

25. La configuration de la Crypto map
25
5 - Créer une crypto map avec :
Un nom qui sera le nom de notre crypto map
l’adresse de notre(s) correspondant(s)
Le (s) nom (s) de la transform-set associé
l’ACL qui lui est associé
Dakar (config)#crypto map CRYPTOVPN 10 ipsec-isakmp
Dakar (config-crypto-map)#set peer 192.168.1.1
Dakar (config-crypto-map)#set transform-set TRAN1
Dakar (config-crypto-map)# match address 101

26. L’application de la crypto map
26
6 - Appliqué la crypto map sur l’interface de sortie.
Dakar (config)#interface serial 0/0/0
Dakar (config-if)#crypto map CRYPTOVPN

27. 2) La configuration en mode graphique du
routeur SLT
27

28. L’accès à notre routeur
28
 La configuration en mode graphique via l’utilitaire SDM
SLT(config)#username youssef privilege 15 password 0 passer
On active le serveur http avec : SLT(config)#ip http server
On précise aussi que l’authentification sur ce serveur utilisera ce compte locale :
SLT(config)#ip http authentication local
On tape URL :http://adresse-interface dans notre cas : 10.20.20.1

29. Les informations à propos de notre routeur
29

30. Mise en place de VPN site à site
30

31. La configuration étape par étape
31

32. La connexion VPN et l’authentification
32

33. Les paramètres du tunnel
33

34. La transformation des données
34

35. Le flux à protégé par le tunnel
35

36. La crypto map
36

37. Test de connectivité
37

38. L’état du trafic
38

39. Le statut de VPN
39

40. Le rapport VPN
40

41. Conclusion et perspectives
41
IPSec est un système très complet qui peut répondre à beaucoup
de besoins en matière de sécurité et s’adapter à de nombreuses
situations. Sa conception en fait un système très sûr et sa nature
de norme garantit l’interopérabilité entre les équipements de
différents fournisseurs.
on a pu se rendre compte des limites de ce protocole et en
particulier, de trois d’entre elles.
 Premièrement, lorsque l’on rajoute un site qui doit communiquer
avec le site central, il est nécessaire de modifier la configuration
de ce site central. Cela présente non seulement un problème
pratique de maintenance (intégrer une modification conséquente
dans la configuration d’un équipement en production), la
configuration du site central peut devenir illisible à partir de
quelques dizaines de sites distants.

42. Conclusion et perspectives
42
 Deuxièmement: pour relier un nombre N de sites, nous devons
configurer N(N-1)/2 tunnels, et modifier les configurations de N
routeurs.
Pour palier à ces deux problèmes nous recommandons d’utiliser Les
VPNs IPSec multipoints dynamiques (Dynamic Multipoint VPN,
DMVPN) qui permettent de déployer rapidement un grand nombre
de sites de manière sécurisée.
 Troisièmement: si nous avons plus de dix sites, il est recommandé
d’utiliser l’authentification par certificats numériques en mettant en
place un serveur de certificats qui va générer des certificats aux
routeurs. Nous pouvons aussi installer un serveur radius pour gérer
la base de données des accès.