TP Configuration Tunnel IPSEC

Rappels

Ø  IPSec est un standard de l'IETF qui emploie des mécanismes de chiffrement de niveau 3 (réseau) afin d'assurer :

• l'authentification (signature)
• la confidentialité (chiffrement) et
• l'intégrité des données (hashage)

Ø  Il existe 2 modes de fonctionnement pour IPSec:

• mode tunnel = dans ce cas on ajoute à la fois les entêtes ESP/AH mais aussi une nouvelle entête IP
• mode transport =seule l'entête ESP/AH est ajoutée ; les adresses IPs sont conservées intactes et non chiffrées

Ø  Internet Key Exchange permet la négociation des paramètres de sécurité et l'établissement des clés authentifiées ; il utilise udp/500.

Ø  Lors de la négociation, le peer qui initie l'IKE envoie ses paramètres de sécurité et la machine d'en face doit chercher un matche parmi les siens. Il choisit par ordre de priorité les paramètres communs pour le chiffrement, le hash, l'authentification et les paramètres Diffie-Hellman.

• Diffie-Hellman : protocole de génération de clé partagée. Il ne permet pas de vérifier l'identité de chaque paire, donc il est vulnérable à une attaque de type man-in-the-middle.
• ESP (Encapsulating Security Payload) permet le chiffrement, l'authentification et l'intégrité des données ; IP proto n°50
• AH (Authentication Header) est un mécanisme d'authentification et d'intégrité des données ; IP proto n°51

Ø  Un tunnel IPSEC se monte en deux phase, appelées phases IKE:

• phase 1 : permet d’établir une session ISAKMP, qui va utiliser le protocole Diffie Hellman pour échanger une clé qui va servir à chiffrer les données transitant par ce tunnel ISAKMP.
• phase 2 : permet d’utiliser le tunnel ISAKMP afin d’échanger de manière sécurisée les paramètres pour le tunnel IPSEC.

Mode Tunnel

1) Configurer le protocole de routage EIGRP sur les routeurs R1 et R3

2) Configuration ISAKMP ( phase 1 )

Pour configurer ISAKMP, utiliser les commandes suivantes:

!activer ISAKMP

R1(config)#crypto isakmp enable

!Créer une politique ISAKMP: Plus petit est le nombre,

!plus prioritaire est la politique

!Il faut que les deux paires aient une politique avec les même paramètres

R1(config)#crypto isakmp policy 100

R1(config-isakmp)#authentication pre-share

R1(config-isakmp)#exit

!Renseigner le mot de passe pour la session ISAKMP pour le pair distant

R1(config)#crypto isakmp key 6 isakmpPassword address 44.0.0.6

3) Effectuer la même chose sur R2 (en remplaçant l’ip dans la commande crypto isakmp key)

4) Configuration IPSEC ( phase 2 )

Trois étapes:

·         Création d’un transform set, indiquant les protocoles de sécurité à utiliser: AH Pour l’authentification, ESP pour le cryptage et/ou l’authentification. On peut utiliser AH, AH+ ESP ou ESP seulement.

·         Création d’une access-list identifiant le trafic à chiffrer. Le trafic permis pas cette ACL sera chiffré dans le tunnel IPSEC, le reste non…

·         Création d’une crypto-map spécifiant le pair distant, le transform set, et l’access list.

Commandes Sur R1:

!Définition d'un transform set sans chiffrement

R1(config)# crypto ipsec transform-set IPSECSET ah-md5-hmac esp-3des

R1(cfg-crypto-trans)#tunnel mode

R1(cfg-crypto-trans)#exit

!Creation de l'ACL

R1(config)# ip access-list extended cryptoacl

!uniquement le traffic entre mes 2 sites, à adapter selon ce qu'on veut chiffrer

R1(config-ext-nacl)#permit ip 192.168.2.0 0.0.0.255 192.168.3.0 0.0.0.255

R1(config-ext-nacl)#exit

!creation d'une crypto map pour ipsec + isakmp.

!Le numero 1 permets d'avoir plusieurs paramètes dans une même crypto map

!Cela permet d'avoir par exemple plusieurs tunnels depuis une interface car

!on ne peut avoir plus d'une crypto map par interface

R1(config)# crypto map ipsecmap 1 ipsec-isakmp

R1(config-crypto-map)# set peer 44.0.0.6

R1(config-crypto-map)# set transform-set IPSECSET

R1(config-crypto-map)# match address cryptoacl

R1(config-crypto-map)#exit

R1(config)#int S1/0

!application de la crypto map

R1(config-if)# crypto map ipsecmap

R1(config-if)#exit

5) Même chose sur R2 en changeant l’adresse IP du peer, et en permutant les adresses source et destination dans l'ACL

6) Faire un PING entre R1 et R2, en ayant bien les adresses sources des réseaux 192.168.1.0, le trafic va être sécurisé via IPSEC (utilisation de AH).

7) A faire aussi sur R2

8) Faire une capture du trafic. faire un ping et décrie la nouvelle encapsulation.