pfe vpn ipsec

5/25/2018 PFE VPN Ipsec

1/41

LOGO

YOUR SITE HERE

Stage de fin de formation

1VPN / IP sec


2/41

LOGO

YOUR SITE HERE

PlanIntroduction

Activits du tibcorsentation de lorganisme daccueilOrganisation internetude de la meilleure architecture

configuration VPN IP secConclusion

Systme informatique du tibcoArchitectures et solutionsprsentation sur VPNConfiguration par commandes

2VPN / IP sec


3/41

LOGO

YOUR SITE HERE3

IntroductionVPN / IP sec


4/41

LOGO

YOUR SITE HERE

Organisme daccueil: tibco Maroc

Tche : tude et implmentation dun VPN IP sec pourfacilite la communication et renforce la scurit des donnes

se voit et toute personne trangre au rseau ne peut accder

l'information transfr entre les deux site tibco (Maroc et

France ) un logiciel de virtualisation VMWARE .

un Simulator GNS3

une IOS dun routeur Cisco c 3640 (compatible avecIPSec)

une meilleure topologie possible. Configuration des routeurs

4

IntroductionPrsentationde lorganismedaccueiltude de lameilleurearchitectureConfigurationVPN IP sec

ConclusionVPN / IP sec


5/41

LOGO

YOUR SITE HERE5

Prsentationde lorganisme daccueilVPN / IP sec


6/41

LOGO

YOUR SITE HERE

Tches et Activits Tibco est cr en 1985 autour des mtiers de la

tlcommunication et de linstallation la maintenance la

construction des sites la supervision et la scuritinformatique.

66

Prsentationde lorganismedaccueiltude de lameilleurearchitectureConfigurationVPN IP sec


Introduction


7/41

LOGO

YOUR SITE HERE7

Ses activits dans les domaines des tlcommunicationset de linformatique ont donc volu dans lobjectif de

fournir une rponse adapte ses clients .donc Le

groupe Tibco est reconnu aujourdhui comme unacteur notable dans la fourniture de services managsauprs des oprateurs et quipementiers tlcoms .

77



Tches et ActivitsIntroduction


8/41

LOGO

YOUR SITE HERE888


Conclusion

Organisation interne

VPN / IP sec

Introduction


9/41

LOGO

YOUR SITE HERE9999



Introduction

Dpartement

informatiques du tibco

Les Taches du service informatique

LesAdministration du rseau.

Coordination des services

Gestion de la scurit du systme informatique

Formation des utilisateurs.

Gestion du parc des machines installes. Dpannage hardware.

Edition des documents en central.

Sauvegarde des donnes et du systme.

Ralise linventaire des matriels et logicielsinformatique.

Les quipes des interventions et de la maintenance


10/41

LOGO

YOUR SITE HERE1010101010



Introduction

Systme informatiques du

tibco

fonctionnalits

Les utilisateurs internes et externes

utilisent le rseau pour accder auxservices publis.

Le rseau est utilis par les services pour

changer des donnes.


11/41

LOGO

YOUR SITE HERE11

tude de laMeilleure architectureVPN / IP sec


12/41

LOGO

YOUR SITE HERE

rchitecture rseau de la socit

1212

Architectures et Solutions

1212



Introduction


13/41

LOGO

YOUR SITE HERE

Systme informatiques du tibco

Stratgie de scurit Pour augmenter la scurit ; le rseau est

dcompos en :

Partie prive : rseau interne.

Partie public : partie visible par lextrieur.

dans cette partie on va implment notre VPN IPsec entre les deux site tibco .

Zone dmilitarise (DMZ) : (serveur web, serveurde messagerie).

1313



Introduction


14/41

LOGO



solution Propose

1414

Prsentationde lorganismedaccueiltude de lameilleurearchitectureMise en placedu PIX 5 5EConclusion

VPN /IP sec

Introduction La socit Tibco dispose deux sites gographiquement loigns(Maroc & France) est amene opter pour une solution facilitantla communication interne et externe. Le rseau priv virtuel(Virtual Privat Network) rpond parfaitement ce besoin en se

reposant sur un mcanisme de tunnel . On parle de rseau privcar seuls les utilisateurs de la socit y ont accs, tandis que leterme virtuel assure la connexion entre les deux rseaux parune liaison non prive : Internet. La scurit de vos donnes sevoit renforce et toute personne trangre au rseau ne peutaccder l'information transfre. Seules les 2 entits situes

l'extrmit du tunnel peuvent dchiffrer les donnes changes.

Donc notre topolgie sera realis sur le simulateur GNS 3


15/41

LOGO

YOUR SITE HERE15

GNS3 (Graphical Network Simulator) est un simulateur de rseau

graphique qui permet l'mulation des des rseaux complexes. Vous

connaissez peut-tre avec VMWare ou Virtual Box qui sont utilisespour muler les diffrents systmes d'exploitation dans un

environnement virtuel. Ces programmes vous permettent d'excuter

plusieurs systmes d'exploitation tels que Windows ou Linux dans un

environnement virtuel. GNS3 permet le mme type de d'mulation

l'aide de Cisco Internetwork Operating Systems. Il vous permet

dexcuter un IOS Cisco dans un environnement virtuel sur votre

ordinateur

1515151515

Architectures et SolutionsGNS3

1515


ConclusionVPN /IP sec


16/41

LOGO

YOUR SITE HERE1616

Utilis le lien http://www.gns3.net. Pour accder au page de

tlchargement et cliquer sur le bouton vert ( Download )

1616161616


1616




17/41

LOGO



1717



Aprs linstallation Vous verrez la fentre principale

de GNS3.


18/41

LOGO



1818



Introduction Configuration GNS3GNS3, dans sa configuration, a besoin de lancer un serveur dynamips en arrireplan. Ce qui ncessite lexcution dune tape incontournable avant le

commencement de ralis dune maquette.


19/41

LOGO



1919



IntroductionConfiguration GNS3

Aprs cette premire tape vient une deuxime du mme ordre dimportance, prsent, on aura besoin des IOS Cisco afin de les monter ensuite sur des routeursCisco. Pour cela dans GNS3, cliquez sur diter Images IOS et hyperviseurs.


20/41

LOGO



2020




Une fentre vous permettant d'ajouter des IOS s'ouvre. Pour notre projet on abesoin de IOS dun routeur Cisco compatible de VPN IP sec

20202020202020


2020





21/41

LOGO

YOUR SITE HERE212121212121212121


2121




21212121212121


2121




Dans GNS3 faire glisser et dposer un routeur partir du menude gauche, puis un nuage, travers lequel gns3 sera connect un hte Vmware


22/41

LOGO

YOUR SITE HERE22222222222222222222


2222




22222222222222


2222




Et Pour que gns3 sera connect un hte Vmware,clic Bouton droit surle nuage et slectionner Configure

Depuis lOnglet NIO Ethernet choisissez la carte rseau qui est prcdemment

attribu lhte dans VirtualBox et cliquer sur Add.


23/41

LOGO

YOUR SITE HERE23232323232323232323


2323




23232323232323


2323



Introduction

cette schma dcrit un exemple dune maquette ralis sur

simulateur GNS3.Le rseau VPN quon veut raliser est entre les deux routeurs

R1 et R2, ce qui implique que la configuration va se faire sur les

interfaces serial 0/0 des deux routeur.

Vue densemble sur la topologie.


24/41

LOGO



2424



Introduction VPN concept et definitionQuest ce quun VPN ?Network :

Un VPN permet dinterconnecterdes sites distants => Rseau

Private :

Un VPN est rserv un groupe dusagersdtermins parauthentification.Les donnes sont changs de manire masque au yeux desautres par cryptage => Priv

Virtual :

Un VPN repose essentiellement sur des lignes partags etnon ddies .Il nestpas rellement dtermin.Il est construit par dessus unrseau public essentiellement.Il sagitdun rseau priv construit par dessus un rseaupublic (Internet).


25/41

LOGO

YOUR SITE HERE252525252525252525


2525



Introduction VPN concept et definitionLes rseaux privs virtuels (VPN : Virtual PrivateNetwork) permettent l'utilisateur de crer unchemin virtuel scuris entre une source et unedestination.

Principe :TunnellingServices : cryptage des donnes,authentification des deux extrmits communicanteset intgrit des donnes.

VPN est une collection de technologies appliques aurseau public, Internet, pour fournir les besoins dun

rseau priv

Analogie : VPN fournit des services commesil y avait une ligne de tlcommunications prive et

propre lentreprise


26/41

LOGO

YOUR SITE HERE26262626262626262626


2626



Introduction Le protocol IP sec :-IP sec protocole de niveau 3-Cration de VPN sr bas forcment sur IP-Permet de scuris les applications mais galement toute lacouche IP

Les rles d IP sec :

Authentification

Confidentialit : Personne ncoute la communication.

Intgrit : Les donnes reues nont pas t modifies pendantla transmission.


27/41

LOGO

YOUR SITE HERE2727272727272727272727


2727



IntroductionLes protocoles utiliss par IPSec :

Authentication header (AH):Authentification et intgrit des donnes.

Entte ajoute comportant une signature

Appliqu a tout type de VPN.

Encapsulating Security Payload (ESP):- La confidentialit des donnes;

- L'authentification de l'origine des donnes;

- La protection (retransmission )

- L'intgrit des donnes (sans connexion, par paquet).

Internet Key Exchange (IKE):IKE est utilis pour authentifier les deux extrmits d'un tunnelscuris en changeantdes cls partages :

-mthodes d'authentification,

- mthodes de chiffrement,

-cls d'utilisation + temps d'utilisation

- change intelligent et sr des cls.
http://fr.wikipedia.org/wiki/Tunnel_(r%C3%A9seau_informatique)http://fr.wikipedia.org/wiki/Tunnel_(r%C3%A9seau_informatique)


28/41

LOGO

YOUR SITE HERE282828282828282828282828


2828



IntroductionPour qulle raison on a choisie IP sec comme protocol:

Implmenter un rseau VPN au sein dun tablissement ncessite le choix dun protocole

bien prcis qui va subvenir aux exigences des personnes qui vont lutiliser plus tard.Dans le cas tibco , et comme a tait dj signaler , lentreprise veut que son rseau interne

devienne indpendant . Pour cela le choix sest orient vers limplmentation dun VPN

utilisant le protocole IPSEC. Ceci nest pas fait de faon arbitraire mais avec des raisons

justifis pour lentreprise. Le point essentiel dans cela cest que pour implmenter ce type

de rseau il suffit dans un premier temps de se procurer le matriel ncessaire ralisant unetelle fonction, deuximement il faut se mettre daccord avec les collaborateurs de lautre

extrmit sur les diffrents paramtres concernant la configuration dIPSEC (les protocoles

de cryptage, les cls IKE/ ISAKMP).

Alors que pour raliser le mme rseau en se basant sur le protocole MPLS par exemple ilfaut en premier temps pass par loprateur qui intgre la technologie MPLS dans son

rseau, donc il faut le payer pour que lentreprise profite de cette technologie. Or, a

demande un budget norme.A prsent lentreprise a eu recours un VPN utilisant le protocole IPSEC pour scuriser sontrafic.


29/41

LOGO

YOUR SITE HERE

29

Configuration

VPN / IP sec


30/41

LOGO

YOUR SITE HERE

Configuration par

commandes

3030


Conclusion26 Fvrier 2008

Introduction

On va commenc tout d'abord par laffectation des adresses IP

aux inter face du R1 et R2


31/41

LOGO

YOUR SITE HERE

Configuration par commandes

Avant de commenc la configuration.ce qui concerne la cl prpartage (Pre-shared key) on va mettre une cl commune sur les deuxrouteurs pour quils puissent sauthentifier entre eux.Diffie-Helman est un protocole qui va permettre lchange de la cl dechiffrement de manire scurise (sans envoyer la cl explicitement sur le

rseau).Donc la configuration passer par deux phases principales : IKE Phase 1 etIKE phase 2.

IKEest utilis pour authentifier les deux extrmits d'un tunnel scuris enchangeant des cls partages

Pour faire simple dans lIKE de phase 1 nous allons configurer les

politiques IKE (mthode de chiffrement, dure de vie, mthode dintgrit)

3131



Introduction


32/41

LOGO

YOUR SITE HERE

32

Cration de notre politique IKE pour la phase 1

R1(config)#crypto isakmp policy 100R1(config-isakmp)#encryption aes 128R1(config-isakmp)#group 2

R1(config-isakmp)#hash shaR(config-isakmp)#lifetime 86400R1 (config-isakmp)#exit

Cration de cl pr-partag

Nous dfinissons la cl pr-partage : VpnK3! ainsi que ladresseIP du routeur distant avec lequel on communique:

R1(config)#crypto isakmp key VpnK3! address 212.217.1.2.

3232


3232



Introduction configuration


33/41

LOGO

YOUR SITE HERE

33

Nous allons configurer le VPN sur le routeur R1 afin depermettre ltablissement dune liaison avec R2 .

Cration dun ACl tendue permettant ltablissement dun tunnel

Les ACL sont des fonctions appliques chaque paquet IP transitant travers le routeur et qui ont pour paramtres :

l'adresse IP de l'metteur du paquet

l'adresse IP du destinataire du paquet

le type du paquet (tcp, udp, icmp, ip)

le port de destination du paquet

3333


3333





34/41

LOGO

YOUR SITE HERE

3434

crer une Access List qui va slectionner le trafic crypter :

R1(config)#ip access-list extended IPSECACLR1(config-ext-nacl)#permit ahp host 212.217.1.3 host

212.217.1.2R1(config-ext-nacl)#permit esp host 212.217.1.3 host212.217.1.2R1(config-ext-nacl)#permit udp host 212.217.1.3 host212.217.1.2 eq isakmp

R1(config-ext-nacl)#exit

3434


3434





35/41

LOGO

YOUR SITE HERE

353535

Dans lIKE de phase 2 nous allons configurer les politique de scurit

IPSec (protocole esp, vrifier le type de liaison) afin davoir un

IPSec Security Association.ecurity Association

Cration de notre politique IPSec pour la phase 2

Nous dfinissons notre transform-set pour ltablissement duneliaison IPSec

R1(config)#crypto ipsec transform-set IPSECSET

esp-aes 128 esp-sha-hmac

3535


3535





36/41

LOGO

YOUR SITE HERE

36363636

R1(config)#ip access-list extended CRYPTOACLR1(config-ext-nacl)#permit ip 192.168.1.0 0.0.0.255 192.168.2.00.0.0.255R1(config-ext-nacl)#exit

Cration de la crypto MAP :Nous crons la crypto map qui dfinit le chemin quemprunte notre

tunnel avec : la politique IPSec, la crypto ACL, le transform-setpour la politique IPSec et ladresse IP du routeur distant avec

lequel on veut communiquer.

R1(config)#crypto map IPSECMAP 100 ipsec-isakmp

R1(config-crypto-map)#set peer 212.217.1.2R1(config-crypto-map)#set transform-set IPSECSETR1(config-crypto-map)#match address CRYPTOACLR1(config-crypto-map)#exit

3636


3636





37/41

LOGO

YOUR SITE HERE

373737


3737

IntroductionPrsentationde lorganismedaccueiltude de lameilleurearchitectureMise en placedu PIX 5 5EConclusion

VPN / IP sec

configurationApplication de notre crypto map et de lACLpour autoriser le tunnel

sur linterface de sortie s0/0 :On application la crypto-map et lACL qui autorise ltablissement duVPN

R1(config)#interface s0/0R1(config-if)#crypto map IPSECMAP

R1(config-if)#ip access-group IPSECACL outR1(config-if)#exit

. La configuration est la mme sur le routeur R2 (tibco France) lexception de :

Dans lACL IPSECACL on doit inverser ladresse IP de lhte source

et de lhte de destination

Dans la dfinition du transform-set on doit changer ladresse du peeren mettant ladresse IP de R1

Dans lACL CRYPTOACL on doit inverser le rseau source et le

rseau de destination

Dans la crypto map on doit mettre comme adresse du peer ladresse IPde R1


38/41

LOGO

YOUR SITE HERE

38



39/41

LOGO

YOUR SITE HERE

3939


Nous venons travers de ce billet voir le principe dun VPN et surtout comment

configurer un VPN IP sec de type Site-to-site sur un quipement Cisco. R 3640.Et on a prcis la dfinition dun VPN en gnrale que cest un rseau priv construit

au sein d'une infrastructure de rseau public, tel que LInternet global. Les entreprises

peuvent utiliser un VPN pour connecter en toute scurit des Bureaux et des utilisateursdistants par le biais d'un accs Internet tiers et peu coteux, plutt que Par le biais deliaisons WAN ddies coteuses ou de liaisons d'accs longue distance. Il est vuComme une extension des rseaux locaux et prserve la scurit logique que l'on peutavoir Lintrieur d'un rseau local. Il correspond en fait une interconnexion de

rseaux locaux via une Technique de tunnel .Un rseau priv virtuel (VPN) est dfini comme une connectivit rseau dploye surune infrastructure partage avec les mmes politiques de scurit que sur un rseaupriv.

en utilisant du cryptage et des tunnels pour obtenir:

La confidentialit des donnes.

L'intgrit des donnes.

L'authentification des utilisateurs.VPN / IP sec

Introduction


40/41

LOGO

YOUR SITE HERE

404040


VPN / IP sec

Introduction

Donc le stage est un lment primordial dans la formation, il consiste lepoint de dpart pour la russite de toute carrire tant donn quil

prsente pour le stagiaire une multitude davantage.


41/41

LOGO

YOUR SITE HERE

pfe vpn ipsec

Documents