SlideShare une entreprise Scribd logo

VPN site-to-site.pdf

G
gorguindiaye

dddd

Internet
1  sur  42
Télécharger pour lire hors ligne
1 Dr. Ahmed Youssef Khlil Sécurité RX
Problématique et objectif du travail 2  Entreprise multi-sites : est une entreprise qui s'étend au-delà d'un seul local.  Il s'avère nécessaire d'interconnecter les réseaux LANs de ces différentes académies pour constituer un réseau étendu, c’est pour quoi nous avons misé sur l’utilisation du réseau VPN implémenter dans une technologie WAN.
3 Problématique et objectif du travail 3  L'entreprise considère l‘Internet plus stratégique que jamais. Il est dès lors important de la protéger par des mesures appropriées et de détecter au plus tôt les problèmes de sécurité qui pourraient la menacer.  Les réseaux privés virtuels sur Internet sont une alternative intéressante aux réseaux longue distance traditionnels.  Dans ce contexte, on comprend évidemment la nécessité de sécuriser fortement les échanges de données privées qui se transitent par un réseau public.
Qu’est ce que un réseau WAN ? 4 Le réseau WAN est un réseau de transmission de données qui desservent des utilisateurs dans une vaste région géographique et qui utilise la plupart du temps les moyens de transmission fournis par les opérateurs télécom.
Le Réseau Privé Virtuel VPN 5  VPN = Virtual Private Network  Technologie réseau permettant de construire un réseau privé à l'intérieur d'une infrastructure publique.  Privé : les échanges transitant par ce réseau sont confidentiels pour les autres utilisateurs du réseau public.  Virtuel : le réseau privé ainsi créé n'est pas matérialisé par des liens physiques.
Le Réseau Privé Virtuel VPN 6 Un VPN est une infrastructure WAN alternative aux réseaux privés qui utilisent des lignes louées ou des réseaux d'entreprise utilisant Frame Relay, ATM…
Le réseau privé virtuel VPN 7  Protocoles de tunnelisation Le réseau VPN repose sur un protocole appelé « protocole de tunneling ». Ce protocole permet de faire circuler les informations de l’entreprise de façon cryptée d’un bout à l’autre du tunnel. Ainsi, les utilisateurs ont l’impression de se connecter directement sur le réseau de leur entreprise. Le principe de tunnelisation consiste à construire un chemin virtuel après avoir identifié l’émetteur et le destinataire. Par la suite, la source chiffre les données et les achemine en empruntant Ce chemin virtuel.
Le réseau privé virtuel VPN 8 Nous pouvons classer les protocoles de tunnelisation en trois catégories :  Les protocoles de niveau 2 comme PPTP, L2TP et L2F.  Les protocoles de niveau 3 comme IPSec ou MPLS.  Les protocoles de niveau 4 comme SSL et SSH.
Le réseau privé virtuel VPN 9  Un VPN site à site peut être utilisé pour connecter des sites d'entreprise.  Des lignes louées ou une connexion Frame Relay étaient nécessaires mais aujourd'hui toutes les entreprises ont un accès Internet.  Un VPN peut supporter des intranets de l‘entreprise et des extranets des partenaires commerciaux  Les VPNs site à site peuvent être implémenté avec des routeurs Cisco, des pare-feu PIX, des concentrateurs VPN et des machines Linux OpenVPN.
VPN IPSec 10  IPSec protocole de niveau 3  Création de VPN sûr basé forcément sur IP.  Permet de sécuriser les applications mais également toute la couche IP.  Les rôles d’IPSec :  Authentification  Confidentialité  Intégrité  Le contrôle d’accès  La protection contre le rejeu.
IPSec 11  Les modes de fonctionnement d ’IPSec :  Le mode transport est utilisé pour créer une communication entre deux hôtes qui supportent IPSec. Une SA est établie entre les deux hôtes. Les entêtes IP ne sont pas modifiées et les protocoles AH et ESP sont intégrés entre cette entête et l'entête du protocole transporté. Ce mode est souvent utiliser pour sécuriser une connexion Point-To-Point.  Alors que mode tunnel, est utilisé pour encapsuler les datagrammes IP dans IPSec. La SA est appliquée sur un tunnel IP. Ainsi, les entêtes IP originales ne sont pas modifiés et un entête propre à IPSec est crée. Ce mode est souvent utilisé pour créer des tunnels entre réseaux LAN distant. Effectivement, il permet de relier deux passerelles étant capable d'utiliser IPSec sans perturber le trafic IP des machines du réseau qui ne sont donc pas forcément prête à utiliser le protocole IPSec.
IPSec 12  Différence entre ces 2 modes :  Le mode transport protège uniquement le contenu du paquet IP sans toucher à l’en-tête, ce mode n’est utilisable que sur les équipements terminaux (postes clients, serveurs).  Le mode tunnel permet la création de tunnels par “encapsulation” de chaque paquet IP dans un nouveau paquet. Ainsi, la protection porte sur tous les champs des paquets IP arrivant à l’entrée d’un tunnel, y compris sur les champs des en-têtes (adresses source et destination par exemple). Ce mode est celui utilisé par les équipements réseau (routeurs, gardes- barrières...).
IPSec 13  Permet de sécuriser l'échange de données au niveau de la couche réseau.  Basé sur de mécanismes de sécurité :  AH vise à identifier l’identité des extrémités de façon certaine. Il gère: L’intégrité, L’authentification et la protection contre le rejeu Il ne gère pas la confidentialité : les données sont signées mais pas cryptées
IPSec 14  ESP a pour but de chiffrer les données contenues dans un paquet IP, il fournit la confidentialité, l‘intégrité des données et l'authentification de l'origine des données. ESP encapsule les données à protéger.
IPSec 15  ISAKMP Un protocol cadre qui définit le format des charge utiles, les mécanismes d'implémentation d'un protocole d'échange de clés et la négociation d'une sa.  IKE Un protocole orienté connexion chargé de négocier la connexion. Avant qu'une transmission IPSec puisse être possible, IKE est utilisé pour authentifier les deux extrémités d'un tunnel sécurisé en échangeant des clés partagées.
IPSec 16  Algorithmes de cryptage symétrique (ou chiffrement):  DES, AES, 3DES.  Algorithmes d'Authentification (ou de hachage):  HMAC-MD5.  HMAC-SHA .
17 Nous devons configurer et tester la connectivité entre les deux sites avant d’implémenter la sécurité Mise en œuvre (1/2)
Mise en œuvre (2/2) 18  Etant donné la complexité de mise en place et de configuration d’IPSEC, nous allons aborder uniquement la méthode concernant la configuration pour les routeurs Cisco et en utilisant comme méthode d’authentification les clefs pré-partagées.  Tout d’abord il faut s’assurer que le routeur en question dispose de cette option pour cela il suffit de taper en mode configuration « crypto» si la commande validé alors le routeur fait l’IPSec sinon il faut télécharger Cisco IOS version 12.4(20)T1-Advenced IP services.  Pour le mettre en place on a choisi de configurer le routeur DK en mode commande et le routeur SLT en mode graphique.
Les étapes de mise en place d’IPSec 19 La mise en place d’IPSec s’effectue en six étapes : 1 - Définir la politique ISAKMP 2 - Créer une transform-set 3 - Créer la clef partagée 4 - Mettre en place les ACLs 5 - Créer une crypto map 6 - Appliqué la crypto map sur l’interface de sortie
1) La configuration en mode commande du routeur Dakar 20
La politique ISAKMP 21 1 - Définir la politique ISAKMP en précisant :  Le numéro de la politique  La méthode d’authentification des équipements  L’algorithme de chiffrement utilisé  L’algorithme de hachage pour créer des empreintes  Le groupe Diffie-Hellman pour l’échange de clef Dakar (config)# crypto isakmp policy 10 Dakar (config-isakmp)# authentication pre-share Dakar (config-isakmp)# encryption 3des Dakar (config-isakmp)# hash sha Dakar (config-isakmp)# group 5 Dakar (config-isakmp)# lifetime 64000
La création de la transform-set 22 2 - Création de la Transform-set en donnant : Le nom de la transform set l’algorithme de chiffrement l’algorithme de hachage pour la création d’empreinte le mode à utilisé Dakar (config)#crypto ipsec transform-set TRAN1 esp-3des esp-sha-hmac
Le secret partagé 23 3 - Création de la clef partagée Dakar (config)#crypto isakmp key 6 sidi address 192.168.1.1 Avec 192.168.1.1 l’adresse du site SLT distant .
Les contrôles accès 24 4 - Mise en place des ACLs Le trafic a chiffré qui peut/doit emprunter le VPN, nous allons autoriser le trafic depuis le site DK vers le site SLT. Dakar (config)#access-list 101 permit ip 10.10.10.0 0.0.0.255 10.20.20.0 0.0.0.255
La configuration de la Crypto map 25 5 - Créer une crypto map avec : Un nom qui sera le nom de notre crypto map l’adresse de notre(s) correspondant(s) Le (s) nom (s) de la transform-set associé l’ACL qui lui est associé Dakar (config)#crypto map CRYPTOVPN 10 ipsec-isakmp Dakar (config-crypto-map)#set peer 192.168.1.1 Dakar (config-crypto-map)#set transform-set TRAN1 Dakar (config-crypto-map)# match address 101
L’application de la crypto map 26 6 - Appliqué la crypto map sur l’interface de sortie. Dakar (config)#interface serial 0/0/0 Dakar (config-if)#crypto map CRYPTOVPN
2) La configuration en mode graphique du routeur SLT 27
L’accès à notre routeur 28  La configuration en mode graphique via l’utilitaire SDM SLT(config)#username youssef privilege 15 password 0 passer On active le serveur http avec : SLT(config)#ip http server On précise aussi que l’authentification sur ce serveur utilisera ce compte locale : SLT(config)#ip http authentication local On tape URL :http://adresse-interface dans notre cas : 10.20.20.1
Les informations à propos de notre routeur 29
Mise en place de VPN site à site 30
La configuration étape par étape 31
La connexion VPN et l’authentification 32
Les paramètres du tunnel 33
La transformation des données 34
Le flux à protégé par le tunnel 35
La crypto map 36
Test de connectivité 37
L’état du trafic 38
Le statut de VPN 39
Le rapport VPN 40
Conclusion et perspectives 41 IPSec est un système très complet qui peut répondre à beaucoup de besoins en matière de sécurité et s’adapter à de nombreuses situations. Sa conception en fait un système très sûr et sa nature de norme garantit l’interopérabilité entre les équipements de différents fournisseurs. on a pu se rendre compte des limites de ce protocole et en particulier, de trois d’entre elles.  Premièrement, lorsque l’on rajoute un site qui doit communiquer avec le site central, il est nécessaire de modifier la configuration de ce site central. Cela présente non seulement un problème pratique de maintenance (intégrer une modification conséquente dans la configuration d’un équipement en production), la configuration du site central peut devenir illisible à partir de quelques dizaines de sites distants.
Conclusion et perspectives 42  Deuxièmement: pour relier un nombre N de sites, nous devons configurer N(N-1)/2 tunnels, et modifier les configurations de N routeurs. Pour palier à ces deux problèmes nous recommandons d’utiliser Les VPNs IPSec multipoints dynamiques (Dynamic Multipoint VPN, DMVPN) qui permettent de déployer rapidement un grand nombre de sites de manière sécurisée.  Troisièmement: si nous avons plus de dix sites, il est recommandé d’utiliser l’authentification par certificats numériques en mettant en place un serveur de certificats qui va générer des certificats aux routeurs. Nous pouvons aussi installer un serveur radius pour gérer la base de données des accès.

Recommandé

Etude et mise en place d’un VPN
Etude et mise en place d’un VPNEtude et mise en place d’un VPN
Etude et mise en place d’un VPNCharif Khrichfa
 
Rapport mise en place d'un sevrer VPN .
Rapport mise en place d'un sevrer VPN . Rapport mise en place d'un sevrer VPN .
Rapport mise en place d'un sevrer VPN .Mouad Lousimi
 
Vulnérabilités de vo ip et sécurisation
Vulnérabilités de vo ip et sécurisationVulnérabilités de vo ip et sécurisation
Vulnérabilités de vo ip et sécurisationMoustapha Mbow
 
VPN - Virtual Private Network
VPN - Virtual Private NetworkVPN - Virtual Private Network
VPN - Virtual Private Networkjulienlfr
 
Vpn
VpnVpn
Vpnkwabo
 
Mise en place d'un système de messagerie sécurisée pour une PME/PMI
Mise en place d'un système de messagerie sécurisée pour une PME/PMIMise en place d'un système de messagerie sécurisée pour une PME/PMI
Mise en place d'un système de messagerie sécurisée pour une PME/PMIPapa Cheikh Cisse
 
Mise en place de la solution d’authentification Radius sous réseau LAN câblé
Mise en place de la solution d’authentification Radius sous réseau LAN câbléMise en place de la solution d’authentification Radius sous réseau LAN câblé
Mise en place de la solution d’authentification Radius sous réseau LAN câbléCharif Khrichfa
 
Mise en place d’un système de détection
Mise en place d’un système de détectionMise en place d’un système de détection
Mise en place d’un système de détectionManassé Achim kpaya
 

Recommandé

Etude et mise en place d’un VPN
Etude et mise en place d’un VPNEtude et mise en place d’un VPN
Etude et mise en place d’un VPNCharif Khrichfa
 
Rapport mise en place d'un sevrer VPN .
Rapport mise en place d'un sevrer VPN . Rapport mise en place d'un sevrer VPN .
Rapport mise en place d'un sevrer VPN .Mouad Lousimi
 
Vulnérabilités de vo ip et sécurisation
Vulnérabilités de vo ip et sécurisationVulnérabilités de vo ip et sécurisation
Vulnérabilités de vo ip et sécurisationMoustapha Mbow
 
VPN - Virtual Private Network
VPN - Virtual Private NetworkVPN - Virtual Private Network
VPN - Virtual Private Networkjulienlfr
 
Vpn
VpnVpn
Vpnkwabo
 
Mise en place d'un système de messagerie sécurisée pour une PME/PMI
Mise en place d'un système de messagerie sécurisée pour une PME/PMIMise en place d'un système de messagerie sécurisée pour une PME/PMI
Mise en place d'un système de messagerie sécurisée pour une PME/PMIPapa Cheikh Cisse
 
Mise en place de la solution d’authentification Radius sous réseau LAN câblé
Mise en place de la solution d’authentification Radius sous réseau LAN câbléMise en place de la solution d’authentification Radius sous réseau LAN câblé
Mise en place de la solution d’authentification Radius sous réseau LAN câbléCharif Khrichfa
 
Mise en place d’un système de détection
Mise en place d’un système de détectionMise en place d’un système de détection
Mise en place d’un système de détectionManassé Achim kpaya
 
Sécurité Réseau à Base d'un Firewall Matériel (fortigate)
Sécurité Réseau à Base d'un Firewall Matériel (fortigate)Sécurité Réseau à Base d'un Firewall Matériel (fortigate)
Sécurité Réseau à Base d'un Firewall Matériel (fortigate)Sakka Mustapha
 
Mise En Place d'une Solution de Supervision Réseau
Mise En Place d'une Solution de Supervision Réseau Mise En Place d'une Solution de Supervision Réseau
Mise En Place d'une Solution de Supervision Réseau Yaya N'Tyeni Sanogo
 
Mise en place d’un OpenVPN sous PfSense
Mise en place d’un OpenVPN sous PfSenseMise en place d’un OpenVPN sous PfSense
Mise en place d’un OpenVPN sous PfSenseLaouali Ibrahim bassirou Been Makao
 
Mise en place d'un reseau securise par Cisco ASA
Mise en place d'un reseau securise par Cisco ASAMise en place d'un reseau securise par Cisco ASA
Mise en place d'un reseau securise par Cisco ASAOusmane BADJI
 
Presentation pfe ingenieur d etat securite reseau et systemes
Presentation pfe ingenieur d etat securite reseau et systemesPresentation pfe ingenieur d etat securite reseau et systemes
Presentation pfe ingenieur d etat securite reseau et systemesHicham Moujahid
 
Tuto VP IPSEC Site-to-site
Tuto VP IPSEC Site-to-siteTuto VP IPSEC Site-to-site
Tuto VP IPSEC Site-to-siteDimitri LEMBOKOLO
 
projet sur le vpn presentation
projet sur le vpn presentationprojet sur le vpn presentation
projet sur le vpn presentationManuel Cédric EBODE MBALLA
 
Mise en place d'un vpn site à site avec pfsense
Mise en place d'un vpn site à site avec pfsenseMise en place d'un vpn site à site avec pfsense
Mise en place d'un vpn site à site avec pfsensePape Moussa SONKO
 
Alphorm.com Formation Certification NSE4 : Fortinet Fortigate Security 6.x
Alphorm.com Formation Certification NSE4 : Fortinet Fortigate Security 6.xAlphorm.com Formation Certification NSE4 : Fortinet Fortigate Security 6.x
Alphorm.com Formation Certification NSE4 : Fortinet Fortigate Security 6.xAlphorm
 
mis en place dun vpn site à site
mis en place dun vpn site à site mis en place dun vpn site à site
mis en place dun vpn site à site Manuel Cédric EBODE MBALLA
 
Installation et configuration d'un système de Détection d'intrusion (IDS)
Installation et configuration d'un système de Détection d'intrusion (IDS)Installation et configuration d'un système de Détection d'intrusion (IDS)
Installation et configuration d'un système de Détection d'intrusion (IDS)Charif Khrichfa
 
Projet administration-sécurité-réseaux
Projet administration-sécurité-réseauxProjet administration-sécurité-réseaux
Projet administration-sécurité-réseauxRabeb Boumaiza
 
Mise en place d'un système de messagerie sécurisée pour une PME/PMI
Mise en place d'un système de messagerie sécurisée pour une PME/PMIMise en place d'un système de messagerie sécurisée pour une PME/PMI
Mise en place d'un système de messagerie sécurisée pour une PME/PMIPapa Cheikh Cisse
 
Ccnp securite vpn
Ccnp securite vpnCcnp securite vpn
Ccnp securite vpnsara ousaoud
 
Rapport de base de données gaci cui
Rapport de base de données gaci cuiRapport de base de données gaci cui
Rapport de base de données gaci cuiIdir Gaci
 
IDS,SNORT ET SÉCURITÉ RESEAU
IDS,SNORT ET SÉCURITÉ RESEAUIDS,SNORT ET SÉCURITÉ RESEAU
IDS,SNORT ET SÉCURITÉ RESEAUCHAOUACHI marwen
 
mémoire de projet de fin d'études
mémoire de projet de fin d'études mémoire de projet de fin d'études
mémoire de projet de fin d'études MortadhaBouallagui
 
Implementation d'un portail captif cas de pfsense produit par bamba bamoussa
Implementation d'un portail captif cas de pfsense produit par bamba bamoussa Implementation d'un portail captif cas de pfsense produit par bamba bamoussa
Implementation d'un portail captif cas de pfsense produit par bamba bamoussa Bamoussa Bamba
 
05 01 open-vpn
05 01 open-vpn05 01 open-vpn
05 01 open-vpnNoël
 
Vpn
VpnVpn
Vpnmalekoff
 
Les Vpn
Les VpnLes Vpn
Les Vpnmedalaa
 
configuration vpn-ipsec-routeur
configuration vpn-ipsec-routeur configuration vpn-ipsec-routeur
configuration vpn-ipsec-routeurJULIOR MIKALA
 

Contenu connexe

Tendances

Sécurité Réseau à Base d'un Firewall Matériel (fortigate)
Sécurité Réseau à Base d'un Firewall Matériel (fortigate)Sécurité Réseau à Base d'un Firewall Matériel (fortigate)
Sécurité Réseau à Base d'un Firewall Matériel (fortigate)Sakka Mustapha
 
Mise En Place d'une Solution de Supervision Réseau
Mise En Place d'une Solution de Supervision Réseau Mise En Place d'une Solution de Supervision Réseau
Mise En Place d'une Solution de Supervision Réseau Yaya N'Tyeni Sanogo
 
Mise en place d'un reseau securise par Cisco ASA
Mise en place d'un reseau securise par Cisco ASAMise en place d'un reseau securise par Cisco ASA
Mise en place d'un reseau securise par Cisco ASAOusmane BADJI
 
Presentation pfe ingenieur d etat securite reseau et systemes
Presentation pfe ingenieur d etat securite reseau et systemesPresentation pfe ingenieur d etat securite reseau et systemes
Presentation pfe ingenieur d etat securite reseau et systemesHicham Moujahid
 
Mise en place d'un vpn site à site avec pfsense
Mise en place d'un vpn site à site avec pfsenseMise en place d'un vpn site à site avec pfsense
Mise en place d'un vpn site à site avec pfsensePape Moussa SONKO
 
Alphorm.com Formation Certification NSE4 : Fortinet Fortigate Security 6.x
Alphorm.com Formation Certification NSE4 : Fortinet Fortigate Security 6.xAlphorm.com Formation Certification NSE4 : Fortinet Fortigate Security 6.x
Alphorm.com Formation Certification NSE4 : Fortinet Fortigate Security 6.xAlphorm
 
Installation et configuration d'un système de Détection d'intrusion (IDS)
Installation et configuration d'un système de Détection d'intrusion (IDS)Installation et configuration d'un système de Détection d'intrusion (IDS)
Installation et configuration d'un système de Détection d'intrusion (IDS)Charif Khrichfa
 
Projet administration-sécurité-réseaux
Projet administration-sécurité-réseauxProjet administration-sécurité-réseaux
Projet administration-sécurité-réseauxRabeb Boumaiza
 
Mise en place d'un système de messagerie sécurisée pour une PME/PMI
Mise en place d'un système de messagerie sécurisée pour une PME/PMIMise en place d'un système de messagerie sécurisée pour une PME/PMI
Mise en place d'un système de messagerie sécurisée pour une PME/PMIPapa Cheikh Cisse
 
Rapport de base de données gaci cui
Rapport de base de données gaci cuiRapport de base de données gaci cui
Rapport de base de données gaci cuiIdir Gaci
 
IDS,SNORT ET SÉCURITÉ RESEAU
IDS,SNORT ET SÉCURITÉ RESEAUIDS,SNORT ET SÉCURITÉ RESEAU
IDS,SNORT ET SÉCURITÉ RESEAUCHAOUACHI marwen
 
mémoire de projet de fin d'études
mémoire de projet de fin d'études mémoire de projet de fin d'études
mémoire de projet de fin d'études MortadhaBouallagui
 
Implementation d'un portail captif cas de pfsense produit par bamba bamoussa
Implementation d'un portail captif cas de pfsense produit par bamba bamoussa Implementation d'un portail captif cas de pfsense produit par bamba bamoussa
Implementation d'un portail captif cas de pfsense produit par bamba bamoussa Bamoussa Bamba
 
05 01 open-vpn
05 01 open-vpn05 01 open-vpn
05 01 open-vpnNoël
 

Tendances (20)

Sécurité Réseau à Base d'un Firewall Matériel (fortigate)
Sécurité Réseau à Base d'un Firewall Matériel (fortigate)Sécurité Réseau à Base d'un Firewall Matériel (fortigate)
Sécurité Réseau à Base d'un Firewall Matériel (fortigate)
 
Mise En Place d'une Solution de Supervision Réseau
Mise En Place d'une Solution de Supervision Réseau Mise En Place d'une Solution de Supervision Réseau
Mise En Place d'une Solution de Supervision Réseau
 
Mise en place d’un OpenVPN sous PfSense
Mise en place d’un OpenVPN sous PfSenseMise en place d’un OpenVPN sous PfSense
Mise en place d’un OpenVPN sous PfSense
 
Mise en place d'un reseau securise par Cisco ASA
Mise en place d'un reseau securise par Cisco ASAMise en place d'un reseau securise par Cisco ASA
Mise en place d'un reseau securise par Cisco ASA
 
Presentation pfe ingenieur d etat securite reseau et systemes
Presentation pfe ingenieur d etat securite reseau et systemesPresentation pfe ingenieur d etat securite reseau et systemes
Presentation pfe ingenieur d etat securite reseau et systemes
 
Tuto VP IPSEC Site-to-site
Tuto VP IPSEC Site-to-siteTuto VP IPSEC Site-to-site
Tuto VP IPSEC Site-to-site
 
projet sur le vpn presentation
projet sur le vpn presentationprojet sur le vpn presentation
projet sur le vpn presentation
 
Mise en place d'un vpn site à site avec pfsense
Mise en place d'un vpn site à site avec pfsenseMise en place d'un vpn site à site avec pfsense
Mise en place d'un vpn site à site avec pfsense
 
Alphorm.com Formation Certification NSE4 : Fortinet Fortigate Security 6.x
Alphorm.com Formation Certification NSE4 : Fortinet Fortigate Security 6.xAlphorm.com Formation Certification NSE4 : Fortinet Fortigate Security 6.x
Alphorm.com Formation Certification NSE4 : Fortinet Fortigate Security 6.x
 
mis en place dun vpn site à site
mis en place dun vpn site à site mis en place dun vpn site à site
mis en place dun vpn site à site
 
Installation et configuration d'un système de Détection d'intrusion (IDS)
Installation et configuration d'un système de Détection d'intrusion (IDS)Installation et configuration d'un système de Détection d'intrusion (IDS)
Installation et configuration d'un système de Détection d'intrusion (IDS)
 
Projet administration-sécurité-réseaux
Projet administration-sécurité-réseauxProjet administration-sécurité-réseaux
Projet administration-sécurité-réseaux
 
Mise en place d'un système de messagerie sécurisée pour une PME/PMI
Mise en place d'un système de messagerie sécurisée pour une PME/PMIMise en place d'un système de messagerie sécurisée pour une PME/PMI
Mise en place d'un système de messagerie sécurisée pour une PME/PMI
 
Ccnp securite vpn
Ccnp securite vpnCcnp securite vpn
Ccnp securite vpn
 
Rapport de base de données gaci cui
Rapport de base de données gaci cuiRapport de base de données gaci cui
Rapport de base de données gaci cui
 
IDS,SNORT ET SÉCURITÉ RESEAU
IDS,SNORT ET SÉCURITÉ RESEAUIDS,SNORT ET SÉCURITÉ RESEAU
IDS,SNORT ET SÉCURITÉ RESEAU
 
mémoire de projet de fin d'études
mémoire de projet de fin d'études mémoire de projet de fin d'études
mémoire de projet de fin d'études
 
Implementation d'un portail captif cas de pfsense produit par bamba bamoussa
Implementation d'un portail captif cas de pfsense produit par bamba bamoussa Implementation d'un portail captif cas de pfsense produit par bamba bamoussa
Implementation d'un portail captif cas de pfsense produit par bamba bamoussa
 
05 01 open-vpn
05 01 open-vpn05 01 open-vpn
05 01 open-vpn
 
Vpn
VpnVpn
Vpn
 

Similaire à VPN site-to-site.pdf

configuration vpn-ipsec-routeur
configuration vpn-ipsec-routeur configuration vpn-ipsec-routeur
configuration vpn-ipsec-routeurJULIOR MIKALA
 
Configuration d'un VP IPSEC CISCO
Configuration d'un VP IPSEC CISCOConfiguration d'un VP IPSEC CISCO
Configuration d'un VP IPSEC CISCOsaqrjareh
 
Reseaux Avancés Tunnel_Niveaux347.pdf
Reseaux Avancés Tunnel_Niveaux347.pdfReseaux Avancés Tunnel_Niveaux347.pdf
Reseaux Avancés Tunnel_Niveaux347.pdfSergeAKUE
 
chapitre 6 vpn (1).pptx
chapitre 6 vpn (1).pptxchapitre 6 vpn (1).pptx
chapitre 6 vpn (1).pptxWiemAssadi
 
Socket tcp ip client server on langace c
Socket tcp ip client server on langace c Socket tcp ip client server on langace c
Socket tcp ip client server on langace c mouad Lousimi
 
vpn-site-a-site-avec-des-routeurs-cisco
vpn-site-a-site-avec-des-routeurs-cisco vpn-site-a-site-avec-des-routeurs-cisco
vpn-site-a-site-avec-des-routeurs-ciscoCamara Assane
 
Chapitre 6 - Protocoles TCP/IP, UDP/IP
Chapitre 6 - Protocoles TCP/IP, UDP/IPChapitre 6 - Protocoles TCP/IP, UDP/IP
Chapitre 6 - Protocoles TCP/IP, UDP/IPTarik Zakaria Benmerar
 
Virtual Private Network
Virtual Private NetworkVirtual Private Network
Virtual Private Networkmalekoff
 
Securité des réseaux mobiles de nouvelle génération ngn
Securité des réseaux mobiles de nouvelle génération ngnSecurité des réseaux mobiles de nouvelle génération ngn
Securité des réseaux mobiles de nouvelle génération ngnIntissar Dguechi
 

Similaire à VPN site-to-site.pdf (20)

Les Vpn
Les VpnLes Vpn
Les Vpn
 
configuration vpn-ipsec-routeur
configuration vpn-ipsec-routeur configuration vpn-ipsec-routeur
configuration vpn-ipsec-routeur
 
Pfsense
PfsensePfsense
Pfsense
 
vpn
vpnvpn
vpn
 
Configuration d'un VP IPSEC CISCO
Configuration d'un VP IPSEC CISCOConfiguration d'un VP IPSEC CISCO
Configuration d'un VP IPSEC CISCO
 
Reseaux Avancés Tunnel_Niveaux347.pdf
Reseaux Avancés Tunnel_Niveaux347.pdfReseaux Avancés Tunnel_Niveaux347.pdf
Reseaux Avancés Tunnel_Niveaux347.pdf
 
IPsec
IPsecIPsec
IPsec
 
chapitre 6 vpn (1).pptx
chapitre 6 vpn (1).pptxchapitre 6 vpn (1).pptx
chapitre 6 vpn (1).pptx
 
Les sockets.pptx
Les sockets.pptxLes sockets.pptx
Les sockets.pptx
 
Etude de la WIFI sur NS2
Etude de la WIFI sur NS2Etude de la WIFI sur NS2
Etude de la WIFI sur NS2
 
Protocoles SSL/TLS
Protocoles SSL/TLSProtocoles SSL/TLS
Protocoles SSL/TLS
 
Socket tcp ip client server on langace c
Socket tcp ip client server on langace c Socket tcp ip client server on langace c
Socket tcp ip client server on langace c
 
Vpn
VpnVpn
Vpn
 
vpn-site-a-site-avec-des-routeurs-cisco
vpn-site-a-site-avec-des-routeurs-cisco vpn-site-a-site-avec-des-routeurs-cisco
vpn-site-a-site-avec-des-routeurs-cisco
 
Chapitre 6 - Protocoles TCP/IP, UDP/IP
Chapitre 6 - Protocoles TCP/IP, UDP/IPChapitre 6 - Protocoles TCP/IP, UDP/IP
Chapitre 6 - Protocoles TCP/IP, UDP/IP
 
Vpn
VpnVpn
Vpn
 
Virtual Private Network
Virtual Private NetworkVirtual Private Network
Virtual Private Network
 
Securité des réseaux mobiles de nouvelle génération ngn
Securité des réseaux mobiles de nouvelle génération ngnSecurité des réseaux mobiles de nouvelle génération ngn
Securité des réseaux mobiles de nouvelle génération ngn
 
voip
voipvoip
voip
 
VPN (3).pptx
VPN (3).pptxVPN (3).pptx
VPN (3).pptx
 

Plus de gorguindiaye

Cours SSI - Copie.pptx
Cours SSI - Copie.pptxCours SSI - Copie.pptx
Cours SSI - Copie.pptxgorguindiaye
 
Cours SSI - Copie (1).pptx
Cours SSI - Copie (1).pptxCours SSI - Copie (1).pptx
Cours SSI - Copie (1).pptxgorguindiaye
 
Cours SSI - Copie.pptx
Cours SSI - Copie.pptxCours SSI - Copie.pptx
Cours SSI - Copie.pptxgorguindiaye
 
Cours SSI - Copie (1).pptx
Cours SSI - Copie (1).pptxCours SSI - Copie (1).pptx
Cours SSI - Copie (1).pptxgorguindiaye
 
Cours SSI - Copie (1).pptx
Cours SSI - Copie (1).pptxCours SSI - Copie (1).pptx
Cours SSI - Copie (1).pptxgorguindiaye
 

Plus de gorguindiaye (7)

QCM_TSHOOT.pdf
QCM_TSHOOT.pdfQCM_TSHOOT.pdf
QCM_TSHOOT.pdf
 
Module 02_FR.pdf
Module 02_FR.pdfModule 02_FR.pdf
Module 02_FR.pdf
 
Cours SSI - Copie.pptx
Cours SSI - Copie.pptxCours SSI - Copie.pptx
Cours SSI - Copie.pptx
 
Cours SSI - Copie (1).pptx
Cours SSI - Copie (1).pptxCours SSI - Copie (1).pptx
Cours SSI - Copie (1).pptx
 
Cours SSI - Copie.pptx
Cours SSI - Copie.pptxCours SSI - Copie.pptx
Cours SSI - Copie.pptx
 
Cours SSI - Copie (1).pptx
Cours SSI - Copie (1).pptxCours SSI - Copie (1).pptx
Cours SSI - Copie (1).pptx
 
Cours SSI - Copie (1).pptx
Cours SSI - Copie (1).pptxCours SSI - Copie (1).pptx
Cours SSI - Copie (1).pptx
 

VPN site-to-site.pdf

  • 1. 1 Dr. Ahmed Youssef Khlil Sécurité RX
  • 2. Problématique et objectif du travail 2  Entreprise multi-sites : est une entreprise qui s'étend au-delà d'un seul local.  Il s'avère nécessaire d'interconnecter les réseaux LANs de ces différentes académies pour constituer un réseau étendu, c’est pour quoi nous avons misé sur l’utilisation du réseau VPN implémenter dans une technologie WAN.
  • 3. 3 Problématique et objectif du travail 3  L'entreprise considère l‘Internet plus stratégique que jamais. Il est dès lors important de la protéger par des mesures appropriées et de détecter au plus tôt les problèmes de sécurité qui pourraient la menacer.  Les réseaux privés virtuels sur Internet sont une alternative intéressante aux réseaux longue distance traditionnels.  Dans ce contexte, on comprend évidemment la nécessité de sécuriser fortement les échanges de données privées qui se transitent par un réseau public.
  • 4. Qu’est ce que un réseau WAN ? 4 Le réseau WAN est un réseau de transmission de données qui desservent des utilisateurs dans une vaste région géographique et qui utilise la plupart du temps les moyens de transmission fournis par les opérateurs télécom.
  • 5. Le Réseau Privé Virtuel VPN 5  VPN = Virtual Private Network  Technologie réseau permettant de construire un réseau privé à l'intérieur d'une infrastructure publique.  Privé : les échanges transitant par ce réseau sont confidentiels pour les autres utilisateurs du réseau public.  Virtuel : le réseau privé ainsi créé n'est pas matérialisé par des liens physiques.
  • 6. Le Réseau Privé Virtuel VPN 6 Un VPN est une infrastructure WAN alternative aux réseaux privés qui utilisent des lignes louées ou des réseaux d'entreprise utilisant Frame Relay, ATM…
  • 7. Le réseau privé virtuel VPN 7  Protocoles de tunnelisation Le réseau VPN repose sur un protocole appelé « protocole de tunneling ». Ce protocole permet de faire circuler les informations de l’entreprise de façon cryptée d’un bout à l’autre du tunnel. Ainsi, les utilisateurs ont l’impression de se connecter directement sur le réseau de leur entreprise. Le principe de tunnelisation consiste à construire un chemin virtuel après avoir identifié l’émetteur et le destinataire. Par la suite, la source chiffre les données et les achemine en empruntant Ce chemin virtuel.
  • 8. Le réseau privé virtuel VPN 8 Nous pouvons classer les protocoles de tunnelisation en trois catégories :  Les protocoles de niveau 2 comme PPTP, L2TP et L2F.  Les protocoles de niveau 3 comme IPSec ou MPLS.  Les protocoles de niveau 4 comme SSL et SSH.
  • 9. Le réseau privé virtuel VPN 9  Un VPN site à site peut être utilisé pour connecter des sites d'entreprise.  Des lignes louées ou une connexion Frame Relay étaient nécessaires mais aujourd'hui toutes les entreprises ont un accès Internet.  Un VPN peut supporter des intranets de l‘entreprise et des extranets des partenaires commerciaux  Les VPNs site à site peuvent être implémenté avec des routeurs Cisco, des pare-feu PIX, des concentrateurs VPN et des machines Linux OpenVPN.
  • 10. VPN IPSec 10  IPSec protocole de niveau 3  Création de VPN sûr basé forcément sur IP.  Permet de sécuriser les applications mais également toute la couche IP.  Les rôles d’IPSec :  Authentification  Confidentialité  Intégrité  Le contrôle d’accès  La protection contre le rejeu.
  • 11. IPSec 11  Les modes de fonctionnement d ’IPSec :  Le mode transport est utilisé pour créer une communication entre deux hôtes qui supportent IPSec. Une SA est établie entre les deux hôtes. Les entêtes IP ne sont pas modifiées et les protocoles AH et ESP sont intégrés entre cette entête et l'entête du protocole transporté. Ce mode est souvent utiliser pour sécuriser une connexion Point-To-Point.  Alors que mode tunnel, est utilisé pour encapsuler les datagrammes IP dans IPSec. La SA est appliquée sur un tunnel IP. Ainsi, les entêtes IP originales ne sont pas modifiés et un entête propre à IPSec est crée. Ce mode est souvent utilisé pour créer des tunnels entre réseaux LAN distant. Effectivement, il permet de relier deux passerelles étant capable d'utiliser IPSec sans perturber le trafic IP des machines du réseau qui ne sont donc pas forcément prête à utiliser le protocole IPSec.
  • 12. IPSec 12  Différence entre ces 2 modes :  Le mode transport protège uniquement le contenu du paquet IP sans toucher à l’en-tête, ce mode n’est utilisable que sur les équipements terminaux (postes clients, serveurs).  Le mode tunnel permet la création de tunnels par “encapsulation” de chaque paquet IP dans un nouveau paquet. Ainsi, la protection porte sur tous les champs des paquets IP arrivant à l’entrée d’un tunnel, y compris sur les champs des en-têtes (adresses source et destination par exemple). Ce mode est celui utilisé par les équipements réseau (routeurs, gardes- barrières...).
  • 13. IPSec 13  Permet de sécuriser l'échange de données au niveau de la couche réseau.  Basé sur de mécanismes de sécurité :  AH vise à identifier l’identité des extrémités de façon certaine. Il gère: L’intégrité, L’authentification et la protection contre le rejeu Il ne gère pas la confidentialité : les données sont signées mais pas cryptées
  • 14. IPSec 14  ESP a pour but de chiffrer les données contenues dans un paquet IP, il fournit la confidentialité, l‘intégrité des données et l'authentification de l'origine des données. ESP encapsule les données à protéger.
  • 15. IPSec 15  ISAKMP Un protocol cadre qui définit le format des charge utiles, les mécanismes d'implémentation d'un protocole d'échange de clés et la négociation d'une sa.  IKE Un protocole orienté connexion chargé de négocier la connexion. Avant qu'une transmission IPSec puisse être possible, IKE est utilisé pour authentifier les deux extrémités d'un tunnel sécurisé en échangeant des clés partagées.
  • 16. IPSec 16  Algorithmes de cryptage symétrique (ou chiffrement):  DES, AES, 3DES.  Algorithmes d'Authentification (ou de hachage):  HMAC-MD5.  HMAC-SHA .
  • 17. 17 Nous devons configurer et tester la connectivité entre les deux sites avant d’implémenter la sécurité Mise en œuvre (1/2)
  • 18. Mise en œuvre (2/2) 18  Etant donné la complexité de mise en place et de configuration d’IPSEC, nous allons aborder uniquement la méthode concernant la configuration pour les routeurs Cisco et en utilisant comme méthode d’authentification les clefs pré-partagées.  Tout d’abord il faut s’assurer que le routeur en question dispose de cette option pour cela il suffit de taper en mode configuration « crypto» si la commande validé alors le routeur fait l’IPSec sinon il faut télécharger Cisco IOS version 12.4(20)T1-Advenced IP services.  Pour le mettre en place on a choisi de configurer le routeur DK en mode commande et le routeur SLT en mode graphique.
  • 19. Les étapes de mise en place d’IPSec 19 La mise en place d’IPSec s’effectue en six étapes : 1 - Définir la politique ISAKMP 2 - Créer une transform-set 3 - Créer la clef partagée 4 - Mettre en place les ACLs 5 - Créer une crypto map 6 - Appliqué la crypto map sur l’interface de sortie
  • 20. 1) La configuration en mode commande du routeur Dakar 20
  • 21. La politique ISAKMP 21 1 - Définir la politique ISAKMP en précisant :  Le numéro de la politique  La méthode d’authentification des équipements  L’algorithme de chiffrement utilisé  L’algorithme de hachage pour créer des empreintes  Le groupe Diffie-Hellman pour l’échange de clef Dakar (config)# crypto isakmp policy 10 Dakar (config-isakmp)# authentication pre-share Dakar (config-isakmp)# encryption 3des Dakar (config-isakmp)# hash sha Dakar (config-isakmp)# group 5 Dakar (config-isakmp)# lifetime 64000
  • 22. La création de la transform-set 22 2 - Création de la Transform-set en donnant : Le nom de la transform set l’algorithme de chiffrement l’algorithme de hachage pour la création d’empreinte le mode à utilisé Dakar (config)#crypto ipsec transform-set TRAN1 esp-3des esp-sha-hmac
  • 23. Le secret partagé 23 3 - Création de la clef partagée Dakar (config)#crypto isakmp key 6 sidi address 192.168.1.1 Avec 192.168.1.1 l’adresse du site SLT distant .
  • 24. Les contrôles accès 24 4 - Mise en place des ACLs Le trafic a chiffré qui peut/doit emprunter le VPN, nous allons autoriser le trafic depuis le site DK vers le site SLT. Dakar (config)#access-list 101 permit ip 10.10.10.0 0.0.0.255 10.20.20.0 0.0.0.255
  • 25. La configuration de la Crypto map 25 5 - Créer une crypto map avec : Un nom qui sera le nom de notre crypto map l’adresse de notre(s) correspondant(s) Le (s) nom (s) de la transform-set associé l’ACL qui lui est associé Dakar (config)#crypto map CRYPTOVPN 10 ipsec-isakmp Dakar (config-crypto-map)#set peer 192.168.1.1 Dakar (config-crypto-map)#set transform-set TRAN1 Dakar (config-crypto-map)# match address 101
  • 26. L’application de la crypto map 26 6 - Appliqué la crypto map sur l’interface de sortie. Dakar (config)#interface serial 0/0/0 Dakar (config-if)#crypto map CRYPTOVPN
  • 27. 2) La configuration en mode graphique du routeur SLT 27
  • 28. L’accès à notre routeur 28  La configuration en mode graphique via l’utilitaire SDM SLT(config)#username youssef privilege 15 password 0 passer On active le serveur http avec : SLT(config)#ip http server On précise aussi que l’authentification sur ce serveur utilisera ce compte locale : SLT(config)#ip http authentication local On tape URL :http://adresse-interface dans notre cas : 10.20.20.1
  • 29. Les informations à propos de notre routeur 29
  • 30. Mise en place de VPN site à site 30
  • 31. La configuration étape par étape 31
  • 32. La connexion VPN et l’authentification 32
  • 33. Les paramètres du tunnel 33
  • 34. La transformation des données 34
  • 35. Le flux à protégé par le tunnel 35
  • 39. Le statut de VPN 39
  • 41. Conclusion et perspectives 41 IPSec est un système très complet qui peut répondre à beaucoup de besoins en matière de sécurité et s’adapter à de nombreuses situations. Sa conception en fait un système très sûr et sa nature de norme garantit l’interopérabilité entre les équipements de différents fournisseurs. on a pu se rendre compte des limites de ce protocole et en particulier, de trois d’entre elles.  Premièrement, lorsque l’on rajoute un site qui doit communiquer avec le site central, il est nécessaire de modifier la configuration de ce site central. Cela présente non seulement un problème pratique de maintenance (intégrer une modification conséquente dans la configuration d’un équipement en production), la configuration du site central peut devenir illisible à partir de quelques dizaines de sites distants.
  • 42. Conclusion et perspectives 42  Deuxièmement: pour relier un nombre N de sites, nous devons configurer N(N-1)/2 tunnels, et modifier les configurations de N routeurs. Pour palier à ces deux problèmes nous recommandons d’utiliser Les VPNs IPSec multipoints dynamiques (Dynamic Multipoint VPN, DMVPN) qui permettent de déployer rapidement un grand nombre de sites de manière sécurisée.  Troisièmement: si nous avons plus de dix sites, il est recommandé d’utiliser l’authentification par certificats numériques en mettant en place un serveur de certificats qui va générer des certificats aux routeurs. Nous pouvons aussi installer un serveur radius pour gérer la base de données des accès.