VPN

Protocole IPSec

Auteur

Noël NICOLAS

Date

7 mars 2018

Commentaires

3

VPN

Le protocole IPsec permet de transporter des informations de manière sécurisées à partir de la couche 3 du modèle OSI.
Pour ce faire, il a à sa disposition plusieurs standards de chiffrement : AES, DES, SHA, MD5, DH.

IPsec = Internet Protocol Security

– Protocole normalisé RFC 4301.
– Protocole de niveau 3.
– Créé pour IPv6, adapté à l’IPv4.
– Utilise le protocole IKE (Internet Key Echange) – UDP 500.

But :

Confidentialité
Information compréhensible uniquement par le destinataire final.
Intégrité
Une personne tierce ne peut modifier la donnée.
Authentification
Le destinataire de l’information doit tout d’abord être authentifié au prêt de l’émetteur.
Antireplay
Nos paquets ne peuvent être dupliqués par un tiers.

Standards supportés


AESAdvanced Encryption Standard
DESData Encryption Standard
SHASecure Hash Algorithm
MD5Message digest algorithm 5
DHDiffie-Hellman

Recommandations CISCO :

– Évitez DES, 3DES, MD5 et les groupes DH 1, 2 et 5.
– Utilisez AES, SHA et les groupes DH 14 ou plus.

Fonctionnement


IKE – Phase 1


Cette première phase va nous permettre de générer une clé de chiffrement de manière sécurisée qui va nous servir pour AH et ESP et ce grâce au Diffie-Hellman.

But :

Authentification
Le destinataire de l’information doit tout d’abord être authentifié au prêt de l’émetteur

Cette authentification se doit d’être robuste, pour cela nous allons rajouté les couches Confidentialité et Intégrité.

IPSEC - IKE Phase 1
IKE Phase 1

R1(config)# crypto isakmp policy [Numéro de policy]
R1(config-isakmp)# encryption aes-256
R1(config-isakmp)# authentication pre-share
R1(config-isakmp)# group 7
R1(config-isakmp)# hash sha

Création de la pre-share-key :

R1(config)# crypto isakmp key [pre-share-key] address [@IP Destinataire]

IKE – Phase 2


Le but de cette phase est de transporter les données de nos clients de manière sécurisée.

But :

Confidentialité
Information compréhensible uniquement par le destinataire final.
Intégrité
Une personne tierce ne peut modifier la donnée.

Pour assurer la partie Confidentialité de la donnée, nous avons deux protocoles disponibles :

AH
ESP

Pour assurer la partie Intégrité de la donnée, nous allons utiliser le HASH ( soit par MD5 , soit par SHA )

Protocole AH (Authentication Header)

AH Transform :

– ah-md5-hmac
– ah-sha-hmac

Protocole ESP (Encapsulating Security Payload)

ESP Encryption :

– esp-gcm
– esp-gmac

– esp-aes (Algorithme d’encryption de 128-bit)
– esp-aes192 (Algorithme d’encryption de 192-bit)
esp-aes256 (Algorithme d’encryption de 256-bit)

– esp-des 
– esp-3des

– esp-null

ESP Authentication :

– esp-md5-hmac
– esp-sha-hmac

R1(config)# crypto ipsec transform-set [Nom] [encryption] [authentification]
R1(cfg-crypto-trans)# mode [ Transport | Tunnel ]

Il existe deux modes IPsec :

Transport
Tunnel

Le mode Transport va chiffrer les couches supérieures à la couche 3 et va conserver les en-têtes IP de notre paquet.
Le mode Tunnel va modifier les adresses IP Source et Destination de notre paquet comme le ferais un tunnel GRE.

Et là, une question vous vient à l’esprit :

Question : Quelle est la différence entre GRE over IPsec et un Tunnel IPsec ?
Réponse : Un tunnel GRE over IPsec prend en compte les flux multicast, contrairement à un tunnel IPsec.

soit

R1(config)# crypto ipsec transform-set Finger esp-aes256 esp-sha-hmac
R1(cfg-crypto-trans)# mode transport 
R1(cfg-crypto-trans)# exit

À cette étape, nous venons de finir de dire à nos équipements comment chiffrer nos paquets. Il nous reste plus qu’à leur dire où chiffrer !

Mise en application


Pour mettre en application notre chiffrement, deux façons de faire :

Envie d’en découvrir plus ?

Devenez membre Gold ou Platinium de FingerInTheNet et accédez à l’intégralité des cours et à des contenus exclusifs !

A votre rythme, Réponse prioritaire aux questions sur les cours

Contenus Exclusifs, accès aux articles avancés

Réductions sur les cours spéciaux ou personnalisés

Essayez pour seulement 1€

Expert Réseau
11 ans d’expérience
CCNP Routing and Switching
Fondateur de FingerInTheNet

Les commentaires sont fermés.

%d blogueurs aiment cette page :