Scribd
Importer
60 vues4 pages

Atelier2 IPsec

Transféré par

hamzamouisset08
Copyright
© © All Rights Reserved
Nous prenons très au sérieux les droits relatifs au contenu. Si vous pensez qu’il s’agit de votre contenu, signalez une atteinte au droit d’auteur ici.
Formats disponibles
Téléchargez aux formats PDF, TXT ou lisez en ligne sur Scribd
60 vues4 pages

Atelier2 IPsec

Transféré par

hamzamouisset08
Copyright
© © All Rights Reserved
Nous prenons très au sérieux les droits relatifs au contenu. Si vous pensez qu’il s’agit de votre contenu, signalez une atteinte au droit d’auteur ici.
Formats disponibles
Téléchargez aux formats PDF, TXT ou lisez en ligne sur Scribd

Atelier 1: Configuration d’un VPN IPSec entre deux sites (tunnel Site-to-Site)

Soit le réseau du schéma suivant qui représente l’interconnexion des réseaux de deux entreprises Nord et Sud.

Dans les routeurs Tanger et Agadir nous avons trois interfaces de Loopback dans chaque routeur qui représentent les
machines du réseau interne de l’entreprise.

On considère le réseau entre Rabat et Casa comme réseau public ou les risques de sécurité sont importants. On
souhaite protéger les échanges réseaux contre différentes menaces liées au passage des communications dans un tel
réseau en particulier l’écoute du trafic ou sa modification.

1. Compléter le plan d’adressage en choisissant l’adresse à mettre entre les routeurs


2. Configurer les adresses IP des interfaces et configurer le routage :
• Configurer OSPF entre Rabat et Tanger.
• Les interfaces de Loopback L11, L21 et L31 doivent être visibles dans la table de routage de Rabat
comme routes OSPF.
• Depuis Rabat annoncer une route par défaut vers Tanger en utilisant la commande suivante sous le
contexte OSPF «default information-originate always ». La table de routage de Tanger doit contenir
uniquement les routes directement connectées et une route par défaut OSPF.
• Sur Rabat configurer le protocole RIP sur le réseau Public. Spécifier la version 2 et désactiver l’auto-
summarisation (dans le cantexte RIP faire « no auto-summarization »)
• Sur Rabat, redistribuer les routes OSPF dans RIP avec la métrique 2.

• Sur le routeur Mohamadia configurer l’adressage, et le protocole RIP, version 2 et désactiver l’auto-
summarization.
• A ce stade, vous devez avoir des routes RIP vers les adresses du réseau Nord.

• Configurer OSPF entre Casa et Agadir.


• Les interfaces de Loopback L41, L51 et L61 doivent être visibles dans la table de routage de Casa
comme routes OSPF.
• Depuis Casa annoncer une route par défaut vers Agadir en utilisant la commande suivante sous le
contexte OSPF «default information-originate always ». La table de routage de Agadir doit contenir
uniquement les routes directement connectées et une route par défaut OSPF.
• Sur Casa configurer le protocole RIP sur le réseau Public. Spécifier la version 2 et désactiver l’auto-
summarisation (dans le cantexte RIP faire « no auto-summarization »)
• Sur Casa, redistribuer les routes OSPF dans RIP avec la métrique 2.

• A ce stade, vous devez avoir sur Mohamadia des routes RIP vers les adresses du réseau Sud.

INPT-MIR-ICCN2 1/4 A.BELMEKKI


3. Tester les pings depuis les interfaces de loopback L11, L21, L31 vers les interfaces de loopback de Agadir
L41, L51 et L61.

4. Sur les routeurs Tanger et Agadir activer la connexion a distance par telnet pour qu’on puisse se connecter à
distance sur ces deux routeurs pour administration.

• Tester depuis Tanger la connexion à distance sur une des adresses de Loopback de Agadir en utilisant la
commande « telnet IP-LOOPBACK /source LOOPBACK_SOURCE»

Pour montrer la vulnérabilité de l’accès vers une machine par un protocole non chiffré, utiliser wireshark pour
capturer la communication de ce telnet et chercher dans cette capture le mot de passe utilisé pour cette connexion ainsi
que les commandes utilisées. Pour cela, pointer la souris dasn wireshark sur un des datagrammes de la communication
puis, avec le boutton droit sélectionner « suivre le flux tcp »

Configuration d’un tunnel IPSec :

Dans cette partie on va configurer un tunnel VPN IPSec entre rabat et casa qui va chiffrer les communications
qui transportent la session telnet depuis l’interface L11 de Tanger vers l’41 de agadir.

La configuration d’un tunnel IPSec passe par les étapes suivantes :

Etape 1 : Configuration du protocole d’échange de clé dans notre cas ISAKMP (phase 1)
Etape 2 : Configuration du tunnel IPSec ( la phase 2 de ISAKMP, la sélection du trafic concerné et la Crypto
Map)

Etape 1 : Configuration du protocole d’échange de clé dans notre cas ISAKMP (phase 1)

Définir la politique de la phase 1 de ISAKMP

Rabat(config)# crypto isakmp policy 1


Rabat(config-isakmp)# encryption 3des
Rabat(config-isakmp)# hash md5
Rabat(config-isakmp)# authentication pre-share
Rabat(config-isakmp)# group 2
Rabat(config-isakmp)# lifetime 86400

Définir le secret partagé entre les deux sites

Rabat(config)# crypto isakmp key NORD-SUD address 196.2.3.66

Etape 2 : Configuration du tunnel IPSec ( la phase 2 de ISAKMP, la sélection du trafic concerné et la Crypto
Map)

Dans cette étape, il faut configurer l’ACL pour séléctionner le trafic, Les paramètres de chiffrement de session et de
hachage, Créer une crypto Map et appliquer cette Map dans l’interface extrémité du tunnel.

• Création de l’ACL
On sélectionne le trafic qui sera concerné par le passage dans le tunnel IPSec

INPT-MIR-ICCN2 2/4 A.BELMEKKI


Rabat(config)# ip access-list extended VPN-NORD-SUD
Rabat(config-ext-nacl)# permit ip host 172.16.1.1 host 192.168.4.1

• Création de la politique de la phase 2 (spécifier les protocole de chiffrement et hachage et le mode de IPsec

Ici, on spécifie les algorithme qui seront utilisé et le mode Ipsec, ESP ou AH. Dans notre cas il sera ESP

Rabat(config)# crypto ipsec transform-set TRANS-NORD-SUD esp-3des esp-md5-hmac

• Création de la crypto MAP

Dans la crypto map on y intègre tout les paramètres qui concernent le tunnel Ipsec à créer

Rabat(config)# crypto map MAP-NORD-SUD 10 ipsec-isakmp


Rabat(config-crypto-map)# set peer 196.2.3.66
Rabat(config-crypto-map)# set transform-set TRANS-NORD-SUD
Rabat(config-crypto-map)# match address VPN-NORD-SUD

• Appliquer la MAP créé dans l’interface du routeur

Rabat(config)# interface FastEthernet1/0


Rabat(config-in)# crypto map MAP-NORD-SUD

La configuration complète.

5. Sur le routeur Rabat : 6. Sur le routeur Casa :


crypto isakmp policy 1 crypto isakmp policy 1
encr 3des encr 3des
hash md5 hash md5
authentication pre-share authentication pre-share
group 2 group 2
crypto isakmp key NORD-SUD address 196.1.2.1
!
crypto isakmp key NORD-SUD address 196.2.3.66 !
! crypto ipsec transform-set TRANS-NORD-SUD esp-3des
! esp-md5-hmac
crypto ipsec transform-set TRANS-NORD-SUD esp-3des !
esp-md5-hmac crypto map MAP-NORD-SUD 10 ipsec-isakmp
! set peer 196.1.2.1
crypto map MAP-NORD-SUD 10 ipsec-isakmp set transform-set TRANS-NORD-SUD
set peer 196.2.3.66 match address VPN-NORD-SUD
set transform-set TRANS-NORD-SUD !
match address VPN-NORD-SUD interface FastEthernet0/0
ip address 10.3.4.1 255.255.255.252
interface FastEthernet0/0 !
ip address 10.1.2.6 255.255.255.252 interface FastEthernet1/0
! ip address 196.2.3.66 255.255.255.240
interface FastEthernet1/0 crypto map MAP-NORD-SUD
ip address 196.1.2.1 255.255.255.240 !
crypto map MAP-NORD-SUD ip access-list extended VPN-NORD-SUD

INPT-MIR-ICCN2 3/4 A.BELMEKKI


! permit ip host 192.168.4.1 host 172.16.1.1
ip access-list extended VPN-NORD-SUD
permit ip host 172.16.1.1 host 192.168.4.1
!

7. Vérifier le fonctionnement du VPN Ipsec


Lancer wireshark pour ecouter dans le réseau public
Lancer une connexion par telnet vers L41 de Agadir depuis l’interface L11 de Tanger
Essayer, une fois connecter à Agadir, de trouver le mot de passe utilisé pour la session comme est ce que nous
avons fait dans 4)
Analyser la structure du datagramme IP capturer et trouver les adresse IP source et destination

8. Afficher sur rabat et casa l’état du tunnel avec la commande « show crypto session » « show crypto isakmp »

9. Refaire la manipulation pour utiliser le mode AH pour la communication entre les interfaces L21 et L51.
10. Faire la capture de ce trafic et comparer les deux datagramme IP ceux de Ipses en module tunnel et esp et
ceux en mode AH.

INPT-MIR-ICCN2 4/4 A.BELMEKKI

Vous aimerez peut-être aussi