vpn - cindyph7.files.wordpress.com · web viewvpn signifie virtual private network ou réseau...

ARI _ VPN Guide de Travail

Objectifs(ce que vous allez

apprendre)

Comprendre le principe du VPN.

Prérequis(ce que vous devez déjà savoir et/ou savoir-faire)

Connaître le modèle TCP/IPMaitriser le routage IP

Supports et matériels

(ce que vous utilisez pour travailler)

Packet tracerMachines virtuelles

Consignes de travail

(ce que vous avez à faire)

Lire le document ressources.Réaliser les activités du document de travail

Ressources(ce qui peut vous aider dans

votre travail)Sites et forums internet

Evaluation(comment / quand va-t-on

évaluer vos acquis)-

MDF _ Industrie_IR

ARI _ VPN Guide de Travail

MDF _ Industrie_IR

ARI _ VPN

VPN

Sommaire1 Principes..............................................................................................................................1

1.1 Avantages.....................................................................................................................11.2 Contraintes...................................................................................................................11.3 Réseaux d’acheminement.............................................................................................2

2 Type d’accès VPN..............................................................................................................22.1 D’un site à un autre site :..............................................................................................22.2 VPN client à site...........................................................................................................3

3 Protocoles............................................................................................................................33.1 PPTP.............................................................................................................................33.2 L2F...............................................................................................................................43.3 L2TP.............................................................................................................................43.4 IPSec.............................................................................................................................4

3.4.1 Modes IPSec :.......................................................................................................53.5 MPLS...........................................................................................................................6

3.5.1 Principe de fonctionnement de MPLS..................................................................63.5.2 Commutation par labels........................................................................................63.5.3 Classification des paquets.....................................................................................63.5.4 Utilisation du MPLS pour les VPN......................................................................63.5.5 Routeurs P, Pe et Ce..............................................................................................73.5.6 Routeurs Virtuels : VRF.......................................................................................73.5.7 Sécurité.................................................................................................................7

3.6 SSL...............................................................................................................................84 Comparaison des différentes solutions...............................................................................8

4.1 PPTP.............................................................................................................................84.2 L2TP / IPSec................................................................................................................84.3 VPN-SSL......................................................................................................................84.4 MPLS...........................................................................................................................94.5 Bilan.............................................................................................................................9

5 Activités............................................................................................................................105.1 Questions....................................................................................................................105.2 Packet tracer...............................................................................................................11

6 Correction.........................................................................................................................126.1 Réponses.....................................................................................................................126.2 TP packet tracer..........................................................................................................14

MDF _ Industrie_IR

ARI _ VPN

MDF _ Industrie_IR

ARI _ VPN Document travail

1 Principes

VPN signifie Virtual Private Network ou réseau privé virtuel (RPV). C’est un ensemble de méthodes de transmission sécurisé de l’information entre différents équipements. Ces techniques vont permettre à un ou plusieurs postes distants de communiquer de manière sure, tout en empruntant les infrastructures publiques. Ce type de liaisons est apparu suite à un besoin croissant des entreprises de relier différents sites, et ce de façon simple et économique. Avant l’apparition des VPN, les sociétés devaient utiliser des liaisons transpac, frame relay ou des liaisons loués (ls : liaisons spécialisées).Les techniques de VPN ont démocratisées les liens sécurisés entre site d’entreprise dans un premier temps, ensuite sont apparus les clients VPN destiné aux postes de travail et permettant à un poste nomade d’accéder au système d’information de l’entreprise. On dit souvent d’un VPN qu’il correspond en fait à une interconnexion de réseaux locaux via une technique de « tunnel ». en effet un VPN repose sur un protocole, appelé protocole de tunnelisation, c'est-à-dire un protocole permettant aux données passant d'une extrémité à l'autre du VPN d'être sécurisées par des algorithmes de cryptographie.Le terme tunnel est utilisé pour symboliser le fait qu'entre l'entrée et la sortie du VPN les données sont chiffrées et donc normalement incompréhensibles pour toute personne située entre les deux extrémités du VPN, comme si les données passaient dans un tunnel.Ainsi le principe de tunneling consiste à construire un chemin virtuel après avoir identifié l'émetteur et le destinataire. Par la suite, la source chiffre les données et les achemine en empruntant ce chemin virtuel. Afin d'assurer un accès aisé et peu coûteux aux intranets ou aux extranets d'entreprise, les réseaux privés virtuels d'accès simulent un réseau privé, alors qu'ils utilisent en réalité une infrastructure d'accès partagée, comme Internet.

Les données à transmettre peuvent être prises en charge par un protocole différent d'IP. Dans ce cas, le protocole de tunneling encapsule les données en ajoutant un en-tête. Le tunneling est l'ensemble des processus d'encapsulation, de transmission et de désencapsulation.

1.1 Avantages

Sécurité : le VPN assure des communications sécurisée et chiffrées Simplicité : on utilise des infrastructures existantes. Economie : utilise des réseaux publics ou d’opérateurs en tant que média principal de

transport. Le cout est alors bien plus faible qu’une ligne dédiée.

1.2 Contraintes

Le principe du VPN est d’être transparent pour les utilisateurs et pour les applications y ayant accès. On doit donc s’assurer que l’on met en œuvre les fonctions suivantes :

Authentification : seul les utilisateurs ou points d’accès autorisé doivent avoir accès au canal VPN.

Cryptage des données : lors de leur transport sur le réseau public, les données doivent être protégées par un cryptage efficace.

Gestion des clefs : les clés de cryptage pour le client et le serveur doivent être générées et régénérées facilement.

Prise en charge multi-protocole : la solution VPN doit supporter les protocoles les plus courant présents sur les réseaux public et donc en particulier IP.

MDF _ Industrie_IR 1


1.3 Réseaux d’acheminement

Le réseau public est bien évidement internet. Son principal avantage est sa couverture des territoires au niveau mondial pour un cout faible. La qualité de service n’est pas contre pas assurée car le réseau internet en lui-même ne la prévoie pas. Les réseaux public d’opérateurs sont en général dédié à des flux d’entreprise, la qualité de service est en général assuré (et vendue) par l’opérateur. Historiquement les VPN inter-sites sont apparus avec X.25 sur des infrastructures mises en place par les opérateurs, puis X.25 a été remplacé par le relayage de trames (frame relay), l'ATM et le MPLS aujourd'hui.

2 Type d’accès VPN

Il existe deux grandes formes de VPN, de site à site et de client à site.

2.1 D’un site à un autre site :

VPN

Même méthode de codage aux deux extrémités. Chaque routeur doit connaitre l’adresse IP de l’autre extrémité du tunnel. Chaque routeur va avoir un compte et un mot de passe d’accès que doit connaitre l’autre routeur.

L’utilisation de ce type de VPN est : Soit en interne (intranet-vpn) entre des sites de la même entreprise. Dans ce cas tous

les services sont disponibles et la configuration est relativement facile. Soit externe (extranet-vpn) entre deux entreprises. Par exemple un client et son

fournisseur, dans ce cas seuls les services partagés entre les deux entreprises doivent pouvoir accéder au VPN. Exemple : application de gestion de stock, réservation de ressources (billet d’avion, de train), application de paiement, etc...



2.2 VPN client à site

VPN

Le client est souvent un programme installé sur un ordinateur. On configure ce programme avec l’IP du routeur, un compte et un mot de passe créer sur le routeur et enfin le mode de cryptage à utiliser. Cela permet au client de se connecter et ensuite de communiquer sur le réseau local de l’entreprise.L’utilisation qui en est faite correspond à des utilisateurs nomades. Couramment des commerciaux de l’entreprise.

3 Protocoles

Les protocoles utilisés dans le cadre de la mise en place d’un VPN sont de 3 types, suivant le niveau de la couche OSI auquel ils appartiennent.

Les protocoles de niveau 2 comme PPTP ou L2TP Les protocoles de niveau 3 comme IPsec ou MPLS Protocole de couche 4 comme SSL

3.1 PPTP

PPTP (Point-to-point tunneling protocol), en français protocole de tunnel point-à-point, est un protocole de communication qui permet de créer une connexion virtuelle. Ce protocole d'encapsulation PPP sur IP conçu par Microsoft, permettant la mise en place de réseaux privés virtuels (VPN) au-dessus d'un réseau public. Il permet ainsi de créer des trames sous le protocole PPP et de les encapsuler dans un datagramme IP. Ainsi, dans ce mode de connexion, les machines distantes des deux réseaux locaux sont connectées par une connexion point à point (comprenant un système de chiffrement et d'authentification), et le paquet transite au sein d'un datagramme IP.



De cette façon, les données du réseau local (ainsi que les adresses des machines présentes dans l'en-tête du message) sont encapsulées dans un message PPP, qui est lui-même encapsulé dans un message IP.

Ainsi Layer 2 Tunneling Protocol (L2TP) et IPsec sont des protocoles inspirés de PPTP et chargés de le remplacer. Cependant, le protocole PPTP continue d'être utilisé car il est implémenté nativement sur les machines Windows depuis Windows 2000. Toute machine Microsoft est donc capable de mettre en place un tunnel PPTP avec une machine distante sans ajout de mécanisme supplémentaire.

Ce protocole ouvre deux canaux de communication entre le client et le serveur :

un canal de contrôle pour la gestion du lien, qui consiste en une connexion TCP sur le port 1723 du serveur.

un canal de données transportant le trafic (pouvant être chiffré) du réseau privé et utilisant le protocole IP numéro 47, c'est-à-dire, avec le protocole Generic Routing Encapsulation (GRE).

Les détails du protocole PPTP sont documentés dans la RFC 2637.Mais on peut retenir les points suivant :

L’authentification dans PPP peut être faite par les protocoles PAP (Password Authentication Protocol, non sécurisé) ou CHAP (Challenge-Handshake Authentication Protocol, sécurisé)

MS-CHAP est la version Microsoft du protocole CHAP. elle est utilisé par PPTP.Ce protocole existe en deux versions :

MS-CHAPv1, défini par la RFC 2433, et MS-CHAPv2, défini par la RFC 2759.

MS-CHAPv2 a été introduit dans le système d'exploitation Microsoft Windows 2000. Le support de MS-CHAPv1 a été retiré sous Microsoft Windows Vista.

3.2 L2FLayer 2 Forwarding quasi obsolète, remplacé par L2TP.

3.3 L2TP

L2TP (Layer 2 Tunneling Protocol) est l'aboutissement des travaux de l'IETF (RFC 3931) pour faire converger les fonctionnalités de PPTP et L2F. Il s'agit ainsi d'un protocole de niveau 2 s'appuyant sur PPP. Il permet donc l’encapsulation des trames PPP au niveau de la couche 2, dans par exemple du Frame Relay ou de l’ATM, et en couche 3 donc dans de l’IP. Au niveau de la couche 4 le port UDP utilisé en standard est le 1701.L'équipement qui initie le tunnel est appelé LAC (L2TP Access Concentrator) et l'équipement qui termine le tunnel est appelé LNS (L2TP Network Server).L2TP n’intègre pas de notion de chiffrement en standard. Le tunnel est créé mais les données qui circulent ne sont pas cryptées.

3.4 IPSecLes techniques IPSec ont été développé au départ pour IPv6. Par la suite elles ont été adaptées à IPv4. Son objectif est d'authentifier et de chiffrer les données : le flux ne pourra être compréhensible que par le destinataire final (chiffrement) et la modification des données par des intermédiaires ne pourra être possible (intégrité).



IPSec est souvent un composant de VPN, il est à l'origine de son aspect sécurité (canal sécurisé ou tunneling).Lors de l’établissement de la connexion IPSec :

Echange des clefs :Ouverture d’un canal d'échange de clés, sur une connexion UDP depuis et vers le port 500 (ISAKMP pour Internet Security Association and Key Management Protocol). Une association de sécurité (SA) est l'établissement d'information de sécurité partagée entre deux entités de réseau pour soutenir la communication protégée. Les SA rassemblent ainsi l'ensemble des informations sur le traitement à appliquer aux paquets IP (les protocoles AH et/ou ESP, mode tunnel ou transport, les algorithmes de sécurité utilisés par les protocoles, les clés utilisées,...). ISAKMP est défini comme un cadre pour établir, négocier, modifier et supprimer des SA entre deux parties.Le protocole IKE (Internet Key Exchange) est chargé de négocier la connexion. Avant qu'une transmission IPSec puisse être possible, IKE est utilisé pour authentifier les deux extrémités d'un tunnel sécurisé en échangeant des clés partagées.

Transfert des données :Un ou plusieurs canaux de données par lesquels le trafic du réseau privé est véhiculé, deux protocoles sont possibles : le protocole no 51, AH, (Authentication Header) fournit l'intégrité et

l'authentification. AH authentifie les paquets en les signant, ce qui assure l'intégrité de l'information. Une signature unique est créée pour chaque paquet envoyé et empêche que l'information soit modifiée.

le protocole no 50, ESP (Encapsulating Security Payload) fournit également l'intégrité mais aussi la confidentialité par l'entremise de la cryptographie.

3.4.1 Modes IPSec :

Le mode transport prend un flux de niveau transport (couche de niveau 4 du modèle OSI) et réalise les mécanismes de signature et de chiffrement puis transmet les données à la couche IP. Dans Ce mode, l'insertion de la couche IPSec est transparente entre TCP et IP. TCP envoie ses données vers IPSec comme il les enverrait vers IPv4.

L'inconvénient de Ce mode réside dans le fait que l'en-tête extérieur est produit par la couche IP c'est-à-dire sans masquage d'adresse. De plus, le fait de terminer les traitements par la couche IP ne permet pas de garantir la non-utilisation des options IP potentiellement dangereuses. L'intérêt de ce mode réside dans une relative facilité de mise en œuvre.

Dans le mode tunnel, les données envoyées par l'application traversent la pile de protocole jusqu'à la couche IP incluse, puis sont envoyées vers le module IPSec. L'encapsulation IPSec en mode tunnel permet le masquage d'adresses. Le mode tunnel est utilisé entre deux passerelles de sécurité (routeur, firewall, ...) alors que le mode transport se situe entre deux hôtes.



3.5 MPLSLe protocole MPLS est un brillant rejeton du "tout IP". Il se présente comme une solution aux problèmes de routage des datagrammes IP véhiculés sur Internet. Le but premier est de fournir une commutation de trame/paquet plus rapide que le routage classique.

3.5.1 Principe de fonctionnement de MPLS

Le principe de base de MPLS est la commutation de labels. Ces labels, simples nombres entiers, sont insérés entre les en-têtes de niveaux 2 et 3, les routeurs permutant alors ces labels tout au long du réseau jusqu'à destination, sans avoir besoin de consulter l'entête IP et leur table de routage.

3.5.2 Commutation par labels

Cette technique de commutation par labels est appelée Label Swapping. MPLS permet de définir des piles de labels (label stack), dont l'intérêt apparaîtra avec les VPN. Les routeurs réalisant les opérations de label swapping sont appelés LSR pour Label Switch Routers.

Les routeurs MPLS situés à la périphérie du réseau (Edge LSR), qui possèdent à la fois des interfaces IP traditionnelles et des interfaces connectées au backbone MPLS, sont chargés d'imposer ou de retirer les labels des paquets IP qui les traversent. Les routeurs d'entrée, qui imposent les labels, sont appelés Ingress LSR, tandis que les routeurs de sortie, qui retirent les labels, sont appelés Egress LSR.

3.5.3 Classification des paquets

A l'entrée du réseau MPLS, les paquets IP sont classés dans des Fec (Forwarding Equivalent Classes). Des paquets appartenant à une même Fec suivront le même chemin et auront la même méthode de forwarding. Typiquement, les Fec sont des préfixes IP appris par l'Igp tournant sur le backbone MPLS, mais peuvent aussi être définis par des informations de QoS (Quality of Services). La classification des paquets s'effectue à l'entrée du backbone MPLS, par les Ingress LSR. A l'intérieur du backbone MPLS, les paquets sont label-switchés, et aucune reclassification des paquets n'a lieu. Chaque LSR affecte un label local, qui sera utilisé en entrée, pour chacune de ses Fec et le propage à ses voisins. Les LSR voisins sont appris grâce à l'Igp. L'ensemble des LSR utilisés pour une Fec, constituant un chemin à travers le réseau, est appelé Label Switch Path (LSP). Il existe un LSP pour chaque Fec et les LSP sont unidirectionnels. Si on reprend le schéma précèdent on a une partie de la LSP : ..,4,8,5,3,..

3.5.4 Utilisation du MPLS pour les VPN

Pour satisfaire les besoins des opérateurs de services VPN, la gestion de VPN-IP à l'aide des protocoles MPLS a été définie dans une spécification référencée Rfc 2547. Des tunnels sont créés entre des routeurs MPLS de périphérie appartenant à l'opérateur et dédiés à des groupes fermés d'usagers particuliers, qui constituent des VPN. Dans l'optique MPLS/VPN, un VPN est un ensemble de sites placés sous la même autorité administrative, ou groupés suivant un intérêt particulier.



3.5.5 Routeurs P, Pe et Ce

Une terminologie particulière est employée pour désigner les routeurs (en fonction de leur rôle) dans un environnement MPLS / VPN :P (Provider) : ces routeurs, composant le cœur du backbone MPLS, n'ont aucune connaissance de la notion de VPN. Ils se contentent d'acheminer les données grâce à la commutation de labels.Pe (Provider Edge) : ces routeurs sont situés à la frontière du backbone MPLS et ont par définition une ou plusieurs interfaces reliées à des routeurs clients.Ce (Customer Edge) : ces routeurs appartiennent au client et n'ont aucune connaissance des VPN ou même de la notion de label. Tout routeur « traditionnel » peut être un routeur Ce, quel que soit son type ou la version d'OS utilisée.

Le schéma ci-dessus montre l'emplacement de ces routeurs dans une architecture MPLS :

3.5.6 Routeurs Virtuels : VRF

La notion même de VPN implique l'isolation du trafic entre sites clients n'appartenant pas aux mêmes VPN. Pour réaliser cette séparation, les routeurs Pe ont la capacité de gérer plusieurs tables de routage grâce à la notion de Vrf (VPN Routing and Forwarding). Une Vrf est constituée d'une table de routage, d'une Fib (Forwarding Information Base) et d'une table Cef spécifiques, indépendantes des autres Vrf et de la table de routage globale. Chaque Vrf est désignée par un nom (par ex. RED, GREEN, etc.) sur les routeurs Pe. Les noms sont affectés localement et n'ont aucune signification vis-à-vis des autres routeurs.

Chaque interface de Pe, reliée à un site client, est rattachée à une Vrf particulière. Lors de la réception de paquets IP sur une interface client, le routeur Pe procède à un examen de la table de routage de la Vrf à laquelle est rattachée l'interface et donc ne consulte pas sa table de routage globale. Cette possibilité d'utiliser plusieurs tables de routage indépendantes permet de gérer un plan d'adressage par sites, même en cas de recouvrement d'adresses entre VPN différents.

3.5.7 Sécurité

La séparation des flux entre clients sur des routeurs mutualisés supportant MPLS est assurée par le fait que seul la découverte du réseau se fait au niveau de la couche 3 et qu'ensuite le routage des paquets est effectué en s'appuyant uniquement sur le mécanisme des labels (intermédiaire entre la couche 2 et la couche 3).Le niveau de sécurité est le même que celui de Frame Relay avec les Dlci au niveau 2.Le déni de service est en général effectué au niveau 3 (IP). Ici, les paquets seront quand même routés jusqu'au destinataire au travers du réseau MPLS en s'appuyant sur les LSP.


http://www.frameip.com/routage/

http://www.frameip.com/routage/


On remarquera qu’à aucun moment on ne parle dans MPLS du cryptage. Il s’agit souvent d’une fonctionnalité supplémentaire ajoutée par le client sur ses routeurs CE ou vendu par le fournisseur de MPLS-VPN.

3.6 SSL

L’idée est simple utilisé un navigateur web et les protocoles https/ftps. L’utilisation est destinée aux communications clients à sites. L’équipement cherchant à se connecter doit simplement disposer d’un navigateur internet. Une infrastructure de certificats doit être mise en place.

4 Comparaison des différentes solutions 4.1 PPTPAvantage :

Intégration dans l’environnement Windows. Facilité de mise en place des authentifications.

Inconvénient : Faiblesse dans la génération des clefs de session (attaque force brute). Identification des paquets non implémentées sur les versions anciennes (attaque

spoofing).

4.2 L2TP / IPSecAvantage :

Robustesse de la sécurité. Facilité de mise en œuvre. Diversité de l’offre logicielle et matérielle. Cout

Inconvénient : Obligation pour les équipements d’être compatible IPSec. Identification des équipements mais pas des utilisateurs d’où une surcouche pour les

VPN client à site. Charge de calcul IPSec. Pas de notion de QoS (pas de ToIP ou Vidéo sur IP assurées)

4.3 VPN-SSLAvantage :

Simplicité Rapidité Cout

Inconvénient : Gestion des certificats Gestion des mises à jour/ version modifiées du navigateur. Besoin d’applet java pour les applications non nativement web.

4.4 MPLS



Avantage : Débits car sur le réseau opérateur. Garantie de service Gestion par l’opérateur

Inconvénient : Cout Dépendance à l’opérateur Couverture géographique

4.5 Bilan

Chaque technique à ses avantages et ses inconvénients. Tout va dépendre en fait de l’utilisation et des contraintes de l’entreprise. Les VPN site à site vont plutôt se baser sur des infrastructures et une sécurité fortes. Alors que les VPN clients à site vont demander de la flexibilité et une facilité de mise en œuvre. Ce qui amène souvent à faire cohabiter différentes technologies.

Si on compare MPLS et IPSec, on obtient ceci :

MPLS IPSecQualité de service Permet d'attribuer des priorités au trafic par le biais de

classes de serviceLe transfert se faisant sur l'Internet public, permet seulement un service "best effort"

Coût Inférieur à celui des réseaux Frame Relay et Atm mais supérieur à celui des autres VPN IP. Faible grâce au transfert via le domaine Internet public

Sécurité Comparable à la sécurité offerte par les réseaux Atm et Frame Relay existants.

Sécurité totale grâce à la combinaison de certificats numériques et de Pki pour l'authentification ainsi qu'à une série d'options de cryptage, trIPle DES et AES notamment

Applications compatibles

Toutes les applications, y compris les logiciels d'entreprise vitaux exigeant une qualité de service élevée et une faible latence et les applications en temps réel (vidéo et voix sur IP)

Accès à distance et nomade sécurisé. Applications sous IP, notamment courrier électronique et Internet. Inadapté au trafic en temps réel ou à priorité élevée

Etendue Dépend du réseau MPLS du fournisseur de services Très vaste puisque repose sur l'accès à Internet

Evolutivité

Evolutivité élevée puisque n'exige pas une interconnexion d'égal à égal entre les sites et que les déploiements standards peuvent prendre en charge plusieurs dizaines de milliers de connexions par VPN

Les déploiements les plus vastes exigent une planification soigneuse pour répondre notamment aux problèmes d'interconnexion site à site et de peering

Frais de gestion du réseau Aucun traitement exigé par le routage Traitements supplémentaires pour le cryptage et le

décryptageVitesse de déploiement

Le fournisseur de services doit déployer un routeur MPLS en bordure de réseau pour permettre l&148;accès client Possibilité d'utiliser l'infrastructure du réseau IP existant

Prise en charge par le client Non requise. Le MPLS est une technologie réseau Logiciels ou matériels client requis


ARI _ VPN Document de Travail

5 Activités

5.1 Questions

Que signifie VPN ?Virtual Private Network

Pourquoi parle-t-on de tunnel dans le cadre d’un VPN ? Car c’est un réseau privé virtuel. Les données sont cryptées par un protocole de bout en bout, donc on ne peut entrer ou sortir que par les extrémités.

Qu’est-ce qu’un réseau d’infrastructure publique ? C’est Internet. Géré par les Fournisseurs d’Accès Internet.

Citer les deux grands types de VPN existant.

Les VPN site à site et VPN client à site.

Trouver des exemples pour chacun de ces deux types. Pour le VPN site à site : Quand une entreprise veut se connecter à une machine d’une branche de son entreprise se trouvant sur un lieu distant.Pour le VPN client à site : Se connecter de chez soi au réseau de l’entreprise.

Quels sont les avantages des VPN ?Cela permet d’accéder au donner de son entreprise lorsque l’on n’est pas au bureau, de manière sécurisé.

Quelles contraintes doit-on prendre ne compte lors d’un projet de mise en place d’un VPN ? Mettre en œuvre l’authentification, le cryptage à utliser, les clé et les protocoles quel est le débit de la connexion en fonction de l’utilisation qu’on va avoir,

Pourquoi la prise en charge multi protocoles est-elle importante pour un VPN ? Faire passer de l’IP, et les protocoles pour avoir les mêmes services que le réseau qu’on veut accéder (le but du VPN).

Les protocoles de tunnel appartiennent à diverses couches OSI, remplir le tableau ci-dessous :

Couche OSI Protocole(s) Données impactéesCouche 2 PPTP, L2TP Trame

Couche 3 IPsec

Couche 4 SSL

« Ppp (Point to Point Protocol) est un protocole qui permet de transférer des données sur un lien synchrone ou asynchrone. Il est full duplex et garantit l'ordre d'arrivée des



paquets. Il encapsule les paquets IP, IPx et Netbeui dans des trames Ppp, puis transmet ces paquets encapsulés au travers de la liaison point à point. Ppp est employé généralement entre un client d'accès à distance et un serveur d'accès réseau (Nas). » PPP sert de support à certain des protocoles de tunnel. Pourquoi ?

Si je désire établir un VPN PPTP quels sont les ports que je vais devoir ouvrir sur l’interface externe de mon pare-feu ?

Sur le port 1723 du serveur et le protocole IP numéro 47

Même question avec L2TP.UDP 1701

Quels sont les deux modes de transport IPSec ? précisez dans quel cas ils sont utilisés

Mode transport et mode tunnelLe mode tunnel est utilisé entre deux passerelles de sécurité (routeur, firewall, ...) alors que le mode transport se situe entre deux hôtes.

Avec MPLS les paquets suivent un chemin particulier entre les routeurs PE, on qualifie ce chemin d’unidirectionnel. Qu’est-ce que cela signifie dans le cas d’un échange VPN entre deux sites ?

5.2 Packet tracer

On vous demande de reproduire le schéma de réseau ci-dessus. Vous utiliserez des cartes wic 2T pour créer la liaison série. PC0 : 192.168.0.1 /24Router1 : fa0/0 192.168.0.254 /24 Se0/0/0 10.0.0.1/8 clock rate 4000000Router2 : fa0/0 192.168.1.254 /24 se0/0/0 10.0.0.2/8PC1 : 192.168.1.1

Une fois la configuration faite, vous vérifierez que les équipements communiquent bien entre eux sur les liens directs (i.e. PC0/router 1, router1 /router2, Router2/PC1).Enfin vous ferez le routage afin que PC 0 et PC1 discutent. Faire une simulation avec un filtrage uniquement sur ICMP.Ensuite configuration du VPN

Ceci est la configuration du routeur 1, en gras ce qui fait fonctionner et sécurise le VPN, à vous de reproduire cette configuration !

Router#sh run !hostname Router!crypto isakmp policy 1

hash md5 authentication pre-share!crypto isakmp key cisco123 address 10.0.0.2!



crypto ipsec transform-set test esp-des esp-md5-hmac

!crypto map testmap 1 ipsec-isakmp set peer 10.0.0.2 set transform-set test match address 115!ip name-server 0.0.0.0!interface FastEthernet0/0 ip address 192.168.0.254 255.255.255.0 duplex auto speed auto!interface FastEthernet0/1 no ip address duplex auto speed auto shutdown

!interface Serial0/0/0 ip address 10.0.0.1 255.0.0.0 clock rate 4000000 crypto map testmap!interface Vlan1 no ip address shutdown!ip classlessip route 0.0.0.0 0.0.0.0 10.0.0.2 !access-list 115 permit ip 192.168.0.0 0.0.0.255 !line con 0line vty 0 4 login!end

Évidement à reproduire ensuite sur le router 2 en adaptant les adresses. (i.e. 10.0.0.2 deviens 10.0.0.1, 192.168.0.0 deviens 192.168.1.0 etc...)

Faire un test de ping entre PC1 et PC2.


ARI _ VPN Correction Commentée

6 Correction6.1 Réponses

Que signifie VPN ?

Virtual Private Network , Réseau Privé Virtuel en français.

Pourquoi parle-t-on de tunnel dans le cadre d’un VPN ?

On parle de tunnel car le VPN utilise un protocole permettant aux données passant d'une extrémité à l'autre du VPN d'être sécurisées par des algorithmes de cryptographie. Les données sont donc comme dans un tunnel, illisible pour l’extérieur.

Qu’est-ce qu’un réseau d’infrastructure publique ?

Il s’agit d’un réseau Wan de communication longue distance, utilisable par un nombre important de structures (entreprise, université, …). Exemple internet en est un. Le réseau France télécom pro (orange) aussi.

Citer les deux grands types de VPN existant.

Point à site et site à site.

Trouver des exemples pour chacun de ces deux types.

Point à site : Commercial qui se connecte au réseau d’entreprise depuis chez un client. Terminaux cartes bleues IP chez un commerçant.Blackberry

Site à site : Les différents sites de la MDFLes agences bancaires avec le siège.

Quels sont les avantages des VPN ?

Simplicité, sécurité, économie.

Quelles contraintes doit-on prendre ne compte lors d’un projet de mise en place d’un VPN ?

Authentification, Cryptage des données, Gestion des clefs, Prise en charge multi-protocoleQuels débits je désire obtenir, en relation avec l’utilisation faite par l’entreprise.

Pourquoi la prise en charge multi protocoles est-elle importante pour un VPN ?

On doit pouvoir faire passer de l’IP, mais aussi du netbios, voir d’autres protocoles (AS400 par exemple)

Les protocoles de tunnel appartiennent à diverses couches OSI, remplir le tableau ci-dessous :



Couche OSI Protocole(s) Données impactées4 SSL segment

3 IPSec, MPLS paquet

2 PPTP, L2TP Trame

« Ppp (Point to Point Protocol) est un protocole qui permet de transférer des données sur un lien synchrone ou asynchrone. Il est full duplex et garantit l'ordre d'arrivée des paquets. Il encapsule les paquets IP, IPx et Netbeui dans des trames Ppp, puis transmet ces paquets encapsulés au travers de la liaison point à point. Ppp est employé généralement entre un client d'accès à distance et un serveur d'accès réseau (Nas). » PPP sert de support à certain des protocoles de tunnel. Pourquoi ?

Il est employé car il permet de créer le tunnel entre deux points d’accès. Il ne fournit pas de méthodes de cryptage ou de protection il est donc utilisé en « partenariat » avec d’autre protocoles.

Si je désire établir un VPN PPTP quels sont les ports que je vais devoir ouvrir sur l’interface externe de mon pare-feu ?

TCP 1723 et aussi le type IP n°47

Même question avec L2TP.

UDP 1701

Quels sont les deux modes de transport IPSec ? précisez dans quel cas ils sont utilisés

Mode transport et mode tunnel

Avec MPLS les paquets suivent un chemin particulier entre les routeurs PE, on qualifie ce chemin d’unidirectionnel. Qu’est-ce que cela signifie dans le cas d’un échange VPN entre deux sites ?

Cela signifie qu’au moment de la création du tunnel (vlan) MPLS le chemin de A vers B est déterminé précisément (LS_PATH) et qu’un autre itinéraire est déterminé de B vers A. celui-ci peut-être (et sera dans la plupart des cas) différent.

6.2 TP packet tracer

Voici la totalité des commandes à taper dans la console routeur du routeur1 :(En gras les commentaires)



Router>Router>Router>enaRouter#conf t Enter configuration commands, one per line. End with CNTL/Z.Router(config)#hostname routeur1 changement du nom de routeurrouteur1(config)#int fa0/0 accès interface fa0/0 ou est branché le câble vers PC0routeur1(config-if)#ip address 192.168.0.254 255.255.255.0routeur1(config-if)#no shut Activation de l’interface%LINK-5-CHANGED: Interface FastEthernet0/0, changed state to up%LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/0, changed state to uprouteur1(config-if)#exitrouteur1(config)#int serial 0/0/0 accès interface s0/0/0 de type série entre les deux routeursrouteur1(config-if)#ip address 10.0.0.1 255.0.0.0routeur1(config-if)#clock rate 400? Il faut un clock rate, cela permet la synchronisation<300-4000000> entre les 2 routeurs (pas besoin en réel car il y aurait un modem )routeur1(config-if)#clock rate 4000000 routeur1(config-if)#no shut%LINK-5-CHANGED: Interface Serial0/0/0, changed state to downrouteur1(config-if)#exitrouteur1(config)#ip route 0.0.0.0 0.0.0.0 10.0.0.2 définition de la route par défaut, tout est envoyé à 10.0.0.2 (routeur 2)routeur1(config)#exitrouteur1#%SYS-5-CONFIG_I: Configured from console by consoleRouteur1#copy run start sauvegarde de la configuration.Destination filename [startup-config]? Building configuration...[OK]routeur1#routeur1(config)#crypto isakmp policy 1 on définit une stratégie de cryptage, elle porte le numéro 1 routeur1(config-isakmp)#hash md5 routeur1(config-isakmp)#authentication pre-share routeur1(config-isakmp)#exitrouteur1(config)#crypto isakmp key cisco123 address 10.0.0.2 on définit la clef de cryptagerouteur1(config)#crypto ipsec transform-set test esp-des esp-md5-hmac on définit la methode de cryptage IPSec nommée testrouteur1(config)#crypto map testmap 1 ipsec-isakmp on définit testmap une correspondance utilisant la stratégie 1 en IPSec% NOTE: This new crypto map will remain disabled until a peer and a valid access list have been configured.routeur1(config-crypto-map)#set peer 10.0.0.2 on l’envoie sur 10.0.0.2routeur1(config-crypto-map)#set transform-set test on le crypte en utilisant testrouteur1(config-crypto-map)#match address 115 il faut qu’il corresponde au critères de la règle d’accès 115routeur1(config-crypto-map)#exitrouteur1(config)#int s0/0/0routeur1(config-if)#crypto map testmap sur l’interface série on utilise la correspondance testmap pour crypter *Jan 3 07:16:26.785: %CRYPTO-6-ISAKMP_ON_OFF: ISAKMP is ONrouteur1(config-if)#exitrouteur1(config)#access-list 115 permit ip 192.168.0.0 0.0.0.255 192.168.1.0 0.0.0.255routeur1(config)#exit la règle d’accès 115 autorise IP de 192.168.0.x vers 192.168.1.x , le reste est interditrouteur1#%SYS-5-CONFIG_I: Configured from console by console

routeur1#routeur1#copy run startDestination filename [startup-config]? Building configuration...[OK]routeur1#

Pour le routeur 2 cela donne (en gras les nom des règles et correspondances)

Router>Router>ena



Router#conf t Enter configuration commands, one per line. End with CNTL/Z.Router (config)#hostname routeur2routeur2 (config)#int fa0/0routeur2 (config-if)#ip addrouteur2 (config-if)#ip address 192.168.1.254 255.255.255.0routeur2 (config-if)#no shut routeur2 (config-if)# exit %LINK-5-CHANGED: Interface FastEthernet0/0, changed state to up

%LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/0, changed state to uprouteur2 (config)#int serial 0/0/0routeur2(config-if)#ip address 10.0.0.2 255.0.0.0routeur2(config-if)#no shut routeur2(config-if)#%LINK-5-CHANGED: Interface Serial0/0/0, changed state to uprouteur2(config-if)#exitrouteur2(config)#ip route 0.0.0.0 0.0.0.0 10.0.0.1routeur2(config)#exitrouteur2#%SYS-5-CONFIG_I: Configured from console by consolerouteur2#copy %LINEPROTO-5-UPDOWN: Line protocol on Interface Serial0/0/0, changed state to uprun start Destination filename [startup-config]? Building configuration...[OK]routeur2#ping 10.0.0.1Type escape sequence to abort.Sending 5, 100-byte ICMP Echos to 10.0.0.1, timeout is 2 seconds:!!!!!Success rate is 100 percent (5/5), round-trip min/avg/max = 16/28/32 msrouteur2#conf t Enter configuration commands, one per line. End with CNTL/Z.routeur2(config)#crypto isakmp policy 1routeur2(config-isakmp)#hash md5 routeur2(config-isakmp)#authentication pre-share routeur2(config-isakmp)#exitrouteur2(config)#crypto isakmp key cisco123 address 10.0.0.1routeur2(config)#crypto ipsec transform-set testR2 esp-des esp-md5-hmac routeur2(config)#crypto map testmapR2 1 ipsec-isakmp % NOTE: This new crypto map will remain disabled until a peer and a valid access list have been configured.routeur2(config-crypto-map)#set peer 10.0.0.1routeur2(config-crypto-map)#set transform-set testR2routeur2(config-crypto-map)#match address 118routeur2(config-crypto-map)#exitrouteur2(config)#int s0/0/0routeur2(config-if)#crypto map testmapR2*Jan 3 07:16:26.785: %CRYPTO-6-ISAKMP_ON_OFF: ISAKMP is ONrouteur2(config-if)#exitrouteur2(config)#access-list 118 permit 192.168.1.0 0.0.0.255 192.168.0.0 0.0.0.255 oups j’ai oublié un truc et ^ l’IOS me le dis% Invalid input detected at '^' marker.

routeur2(config)#access-list 118 permit ip 192.168.1.0 0.0.0.255 192.168.0.0 0.0.0.255routeur2(config)#exit routeur2# copy run start%SYS-5-CONFIG_I: Configured from console by consoleDestination filename [startup-config]? Building configuration...[OK]routeur2#


vpn - cindyph7.files.wordpress.com · web viewvpn signifie virtual private network ou réseau...

Documents