jeudi 24 avril 2014

TP Configuration Tunnel IPSEC

Rappels
Ø  IPSec est un standard de l'IETF qui emploie des mécanismes de chiffrement de niveau 3 (réseau) afin d'assurer :
  • l'authentification (signature)
  • la confidentialité (chiffrement) et
  • l'intégrité des données (hashage)

Ø  Il existe 2 modes de fonctionnement pour IPSec:
  • mode tunnel = dans ce cas on ajoute à la fois les entêtes ESP/AH mais aussi une nouvelle entête IP
  • mode transport =seule l'entête ESP/AH est ajoutée ; les adresses IPs sont conservées intactes et non chiffrées

Ø  Internet Key Exchange permet la négociation des paramètres de sécurité et l'établissement des clés authentifiées ; il utilise udp/500.

Ø  Lors de la négociation, le peer qui initie l'IKE envoie ses paramètres de sécurité et la machine d'en face doit chercher un matche parmi les siens. Il choisit par ordre de priorité les paramètres communs pour le chiffrement, le hash, l'authentification et les paramètres Diffie-Hellman.
  • Diffie-Hellman : protocole de génération de clé partagée. Il ne permet pas de vérifier l'identité de chaque paire, donc il est vulnérable à une attaque de type man-in-the-middle.
  • ESP (Encapsulating Security Payload) permet le chiffrement, l'authentification et l'intégrité des données ; IP proto n°50
  • AH (Authentication Header) est un mécanisme d'authentification et d'intégrité des données ; IP proto n°51
Ø  Un tunnel IPSEC se monte en deux phase, appelées phases IKE:
  • phase 1 : permet d’établir une session ISAKMP, qui va utiliser le protocole Diffie Hellman pour échanger une clé qui va servir à chiffrer les données transitant par ce tunnel ISAKMP.
  • phase 2 : permet d’utiliser le tunnel ISAKMP afin d’échanger de manière sécurisée les paramètres pour le tunnel IPSEC.


Mode Tunnel


1) Configurer le protocole de routage EIGRP sur les routeurs R1 et R3
2) Configuration ISAKMP ( phase 1 )
Pour configurer ISAKMP, utiliser les commandes suivantes:
!activer ISAKMP
R1(config)#crypto isakmp enable
!Créer une politique ISAKMP: Plus petit est le nombre,
!plus prioritaire est la politique
!Il faut que les deux paires aient une politique avec les même paramètres
R1(config)#crypto isakmp policy 100
R1(config-isakmp)#authentication pre-share
R1(config-isakmp)#exit
!Renseigner le mot de passe pour la session ISAKMP pour le pair distant
R1(config)#crypto isakmp key 6 isakmpPassword address 44.0.0.6
3) Effectuer la même chose sur R2 (en remplaçant l’ip dans la commande crypto isakmp key)

4) Configuration IPSEC ( phase 2 )

Trois étapes:
·         Création d’un transform set, indiquant les protocoles de sécurité à utiliser: AH Pour l’authentification, ESP pour le cryptage et/ou l’authentification. On peut utiliser AH, AH+ ESP ou ESP seulement.
·         Création d’une access-list identifiant le trafic à chiffrer. Le trafic permis pas cette ACL sera chiffré dans le tunnel IPSEC, le reste non…
·         Création d’une crypto-map spécifiant le pair distant, le transform set, et l’access list.
Commandes Sur R1:
!Définition d'un transform set sans chiffrement
R1(config)# crypto ipsec transform-set IPSECSET ah-md5-hmac esp-3des
R1(cfg-crypto-trans)#tunnel mode
R1(cfg-crypto-trans)#exit
!Creation de l'ACL
R1(config)# ip access-list extended cryptoacl
!uniquement le traffic entre mes 2 sites, à adapter selon ce qu'on veut chiffrer
R1(config-ext-nacl)#permit ip 192.168.2.0 0.0.0.255 192.168.3.0 0.0.0.255
R1(config-ext-nacl)#exit
!creation d'une crypto map pour ipsec + isakmp.
!Le numero 1 permets d'avoir plusieurs paramètes dans une même crypto map
!Cela permet d'avoir par exemple plusieurs tunnels depuis une interface car
!on ne peut avoir plus d'une crypto map par interface
R1(config)# crypto map ipsecmap 1 ipsec-isakmp
R1(config-crypto-map)# set peer 44.0.0.6
R1(config-crypto-map)# set transform-set IPSECSET
R1(config-crypto-map)# match address cryptoacl
R1(config-crypto-map)#exit
R1(config)#int S1/0
!application de la crypto map
R1(config-if)# crypto map ipsecmap
R1(config-if)#exit
 

5) Même chose sur R2 en changeant l’adresse IP du peer, et en permutant les adresses source et destination dans l'ACL

6) Faire un PING entre R1 et R2, en ayant bien les adresses sources des réseaux 192.168.1.0, le trafic va être sécurisé via IPSEC (utilisation de AH).
7) A faire aussi sur R2
8) Faire une capture du trafic. faire un ping et décrie la nouvelle encapsulation.
 


Aucun commentaire:

Enregistrer un commentaire