Niveau : 2ème année cycle d’ingénieur

Filière : Cyber Sécurité et Confiance Numérique

Module : Sécurité des réseaux et des architectures IT

LAB : Configuration et Analyse des VPNs

Site-à-Site et Client-à-Site avec IPsec

Réalisé par :

Hassnae ait ameur

Année universitaire: 2024-2025

Table des matières
1. Introduction aux VPNs ..............................................................................................................3

2. Objectif du TP ...........................................................................................................................3

3. Configuration d'un VPN Site-à-Site avec IPsec sur Cisco Packet Tracer ...................................3

A. Aperçu du réseau......................................................................................................................4

B. Étapes de configuration ............................................................................................................4

1. Installation de Cisco Packet Tracer .......................................................................................4

2. Mise en place du schéma du lab .............................................................................................4

3. Configuration des Routeurs ...................................................................................................5

4. Test de connectivité avec ping ................................................................................................7

5. Activation des modules de sécurité sur R1 et R2 ....................................................................7

6. Configuration d'IPsec sur R1.................................................................................................9

7. Configuration d'IPsec sur Routeur R2 ................................................................................. 15

8. Vérification de la configuration IPsec .................................................................................. 16

9. Test de connectivité entre PC0 et PC1 ................................................................................. 17

10. Analyse du trafic avec un sniffer ........................................................................................ 17

4. Configuration d'un VPN Client-à-Site avec IPsec .................................................................... 18

A. Activation des modules de sécurité sur R0 .............................................................................. 18

B. Configuration des interfaces réseau ........................................................................................ 19

C. Création d'un modèle d'authentification................................................................................. 19

D. Configuration d'ISAKMP et clé pré-partagée ........................................................................ 20

E. Création d'un pool d'adresses IP pour les clients VPN ............................................................ 22

F. Création d'une IPsec SA ......................................................................................................... 22

G. Cointnfiguration du VPN sur le poste client ........................................................................... 24

H. Vérification du fonctionnement du VPN................................................................................. 25

2
 1. Introduction aux VPNs

Qu'est-ce qu'un VPN ?

Un VPN (Virtual Private Network) est une technologie qui crée une connexion sécurisée sur un
réseau non sécurisé, comme Internet. Il chiffre les données pour protéger la confidentialité et
l'intégrité des informations échangées.

Pourquoi utiliser un VPN ?

 Confidentialité des données : Empêche les interceptions de données par des attaquants.
 Intégrité des données : Garantit que les données ne sont pas altérées pendant le transfert.
 Authentification : Vérifie l'identité des utilisateurs et des appareils.

Différence entre VPN Site-à-Site et Client-à-Site

 Site-à-Site VPN : Connecte des réseaux entiers entre eux (ex : réseau du siège avec un
réseau de filiale).
 Client-à-Site VPN : Permet à un utilisateur distant de se connecter au réseau de
l'entreprise (ex : un employé en déplacement qui accède aux ressources internes).

2. Objectif du TP
Ce TP a pour objectif principal d’apprendre à configurer et analyser le fonctionnement des
VPNs (Virtual Private Networks) en utilisant IPsec sur des équipements Cisco dans un
environnement simulé avec Cisco Packet Tracer.

3. Configuration d'un VPN Site-à-Site avec IPsec sur

Cisco Packet Tracer

3
A. Aperçu du réseau

Nous allons configurer un VPN site-à-site entre :

 Site A (Routeur R1)

 Site B (Routeur R2)
 Routeur intermédiaire (ISP - Routeur R0)

Le schéma du réseau est le suivant :

 Site A : [Link]/24
 Site B : [Link]/24
 Lien WAN entre R1 et R0 : [Link]/24
 Lien WAN entre R2 et R0 : [Link]/24

Objectif : Sécuriser le trafic entre les réseaux de Site A et Site B avec IPsec.

B. Étapes de configuration

1. Installation de Cisco Packet Tracer

Télécharge et installe Cisco Packet Tracer sur ton ordinateur pour simuler le réseau.

2. Mise en place du schéma du lab

4
3. Configuration des Routeurs

a) Configuration du Routeur R1 (Site A)

Accède au terminal du routeur R1 et entre les commandes suivantes :

5
b) Configuration du Routeur R0 (ISP)

6
c) Configuration du Routeur R2 (Site B)

4. Test de connectivité avec ping

 Vérifie la connectivité : Utilise ping pour tester la connexion entre :

o R1 ↔ R2 (devrait fonctionner)
o PC0 ↔ PC1 (ne devrait pas fonctionner, car aucun VPN n'est configuré)

5. Activation des modules de sécurité sur R1 et R2

securityk9 : Active les fonctionnalités de sécurité nécessaires pour IPsec.

Explication des Commandes :

1.

7
  Objectif : Cette commande permet d'afficher les fonctionnalités de licence disponibles
sur le routeur.
 Explication :
o Le routeur Cisco utilise des licences pour activer ou désactiver certaines
fonctionnalités. Par exemple, la fonctionnalité securityk9 est nécessaire pour
activer les fonctionnalités de sécurité avancées comme IPsec.
o Cette commande montre quelles fonctionnalités sont actuellement activées ou
désactivées sur le routeur.
o Exemple de sortie :

Ici, securityk9 est disponible mais pas encore activée (Enabled: no).

2.

 Objectif : Cette commande active le module de sécurité securityk9 sur le routeur.

 Explication :
o license boot module est utilisé pour activer un module de licence spécifique sur
le routeur.
o c1900 fait référence au modèle du routeur (dans ce cas, un routeur de la série
1900).
o technology-package securityk9 spécifie que vous souhaitez activer le package
de sécurité (securityk9), qui inclut des fonctionnalités comme IPsec, VPN, etc.
o Pourquoi est-ce nécessaire ?
 Sans cette licence, le routeur ne peut pas utiliser les fonctionnalités de
sécurité avancées nécessaires pour configurer un VPN IPsec.

8
6. Configuration d'IPsec sur R1

ISAKMP Policy : Définit les paramètres de négociation de la sécurité.

Clé pré-partagée pour l'authentification :

IPsec Transform Set pour le chiffrement des données :

ACL pour le trafic chiffré :

Crypto Map :

Application à l'interface externe :

Explication des Commandes:

9
1.

 Objectif : Créer une politique ISAKMP avec un numéro de priorité (dans ce cas, 10).
 Explication :
o crypto isakmp policy est utilisé pour définir une politique ISAKMP.
o Le numéro 10 est un identifiant de priorité. Plus le numéro est bas, plus la
politique a une priorité élevée. Si plusieurs politiques sont configurées, celle avec
le numéro le plus bas sera utilisée en premier.

2.

 Objectif : Définir l'algorithme de chiffrement utilisé pour sécuriser les communications.

 Explication :
o encryption spécifie l'algorithme de chiffrement à utiliser.
o aes 256 indique que l'algorithme AES (Advanced Encryption Standard) avec une
clé de 256 bits sera utilisé.
o Pourquoi AES 256 ?
 AES est un algorithme de chiffrement symétrique très sécurisé et
largement utilisé. Une clé de 256 bits offre un niveau de sécurité élevé.

3.

 Objectif : Définir l'algorithme de hachage utilisé pour l'intégrité des données.

 Explication :
o hash spécifie l'algorithme de hachage à utiliser pour vérifier l'intégrité des
données.
o sha indique que l'algorithme SHA (Secure Hash Algorithm) sera utilisé. Par
défaut, il s'agit de SHA-1, mais des versions plus récentes comme SHA-256
peuvent être utilisées.
o Pourquoi SHA ?
 SHA est un algorithme de hachage sécurisé qui garantit que les données
n'ont pas été altérées pendant la transmission.

10
 4.

 Objectif : Définir la méthode d'authentification utilisée pour établir la communication

sécurisée.
 Explication :
o authentication spécifie la méthode d'authentification.
o pre-share indique que l'authentification se fera à l'aide d'une clé pré-
partagée (pre-shared key, PSK).
o Pourquoi une clé pré-partagée ?
 Une clé pré-partagée est une méthode simple et couramment utilisée pour
l'authentification dans les VPN. Les deux pairs (routeurs) doivent partager
la même clé pour s'authentifier.

5.

 Objectif : Définir le groupe Diffie-Hellman (DH) à utiliser pour l'échange de clés.

 Explication :
o group spécifie le groupe Diffie-Hellman à utiliser.
o 2 indique que le groupe Diffie-Hellman de taille 1024 bits (DH Group 2) sera
utilisé.
o Pourquoi Diffie-Hellman ?
 L'algorithme Diffie-Hellman permet à deux parties de générer une clé
secrète partagée sur un canal non sécurisé. Cela est essentiel pour établir
une communication sécurisée.
o Groupes disponibles :
 Group 1 : 768 bits (moins sécurisé).
 Group 2 : 1024 bits (sécurité moyenne).
 Group 5 : 1536 bits (plus sécurisé).

6.

11
  Objectif : Définir la durée de vie de l'association de sécurité (SA).
 Explication :
o lifetime spécifie la durée de vie de l'association de sécurité en secondes.
o 86400 indique que la SA expirera après 86 400 secondes (soit 24 heures).
o Pourquoi définir une durée de vie ?
 La durée de vie d'une SA garantit que les clés de chiffrement sont
régulièrement renouvelées, ce qui améliore la sécurité. Après expiration,
une nouvelle SA est négociée.

7.

 Objectif : Configurer une clé pré-partagée pour l'authentification ISAKMP.

 Explication :
o crypto isakmp key est la commande utilisée pour définir une clé pré-partagée.
o Cette clé est utilisée pour authentifier les deux routeurs (pairs) qui établissent une
connexion sécurisée via IPsec.
o vpnuser est la clé pré-partagée (mot de passe) qui sera utilisée pour
l'authentification.
o Cette clé doit être identique sur les deux routeurs (pairs) qui établissent la
connexion VPN.
o address [Link] indique que la clé pré-partagée vpnuser sera utilisée pour
authentifier le routeur dont l'adresse IP est [Link].

8.

 Objectif : Créer un ensemble de transformations (transform-set) pour IPsec.

 Explication :
o crypto ipsec transform-set est la commande utilisée pour définir un ensemble de
transformations.
o Un transform-set regroupe les algorithmes de chiffrement et d'authentification qui
seront utilisés pour sécuriser les données dans le tunnel VPN.

12
 o myset est le nom donné à cet ensemble de transformations. Vous pouvez choisir
n'importe quel nom, mais il doit être unique pour chaque transform-set sur le
routeur.
o esp-aes spécifie que l'algorithme de chiffrement AES (Advanced Encryption
Standard) sera utilisé dans le cadre du protocole ESP (Encapsulating Security
Payload).
o Options disponibles :
 esp-aes : Utilise AES avec une clé de 128 bits par défaut.
 esp-aes 192 : Utilise AES avec une clé de 192 bits.
 esp-aes 256 : Utilise AES avec une clé de 256 bits (le plus sécurisé).
o Dans cette commande, esp-aes utilise AES avec une clé de 128 bits par défaut.
o esp-sha-hmac spécifie que l'algorithme de hachage SHA (Secure Hash
Algorithm) sera utilisé pour l'authentification HMAC (Hash-based Message
Authentication Code) dans le cadre du protocole ESP.
o Options disponibles :

 esp-md5-hmac : Utilise MD5 pour l'authentification HMAC (moins

sécurisé).
 esp-sha-hmac : Utilise SHA-1 pour l'authentification HMAC.
 esp-sha256-hmac : Utilise SHA-256 pour l'authentification HMAC (plus
sécurisé).

9.

 Objectif : La commande est utilisée pour créer une liste de contrôle d'accès
(ACL) sur un routeur . Cette ACL définit le trafic réseau qui sera autorisé à passer
à travers le VPN IPsec. Dans ce cas, elle permet au trafic entre les
réseaux [Link]/24 et [Link]/24 d'être chiffré et transmis via le tunnel
VPN.
 Explication :

o access-list est la commande utilisée pour créer ou modifier une ACL.

13
 o Le numéro 100 est l'identifiant de l'ACL. Les ACLs standard utilisent des
numéros entre 1 et 99, tandis que les ACLs étendues utilisent des numéros
entre 100 et 199.
o permit est utilisé pour autoriser le trafic qui correspond aux conditions
définies dans l'ACL.

10.

 Objectif : Créer une crypto map avec un nom et un numéro de séquence.

 Explication :
o crypto map est la commande utilisée pour créer ou modifier une crypto map.
o mymap est le nom de la crypto map. Vous pouvez choisir n'importe quel nom,
mais il doit être unique pour chaque crypto map sur le routeur.
o 10 est le numéro de séquence de la crypto map. Si vous avez plusieurs entrées
dans la même crypto map, vous pouvez utiliser des numéros de séquence pour les
organiser (par exemple, 10, 20, 30, etc.).
o ipsec-isakmp indique que cette crypto map utilisera IPsec avec ISAKMP pour
établir le tunnel VPN.
o Pourquoi une crypto map ?
 Une crypto map regroupe tous les éléments nécessaires pour configurer un
VPN IPsec, tels que les transform-sets, les pairs, et les ACLs. Elle est
ensuite appliquée à une interface pour activer le VPN.

11.

 Objectif : Spécifier l'adresse IP du pair (routeur distant) avec lequel le tunnel VPN sera
établi.
 Explication :
o set peer est utilisé pour définir l'adresse IP du pair (routeur distant) avec lequel le
tunnel VPN sera établi.
o [Link] est l'adresse IP du pair (dans ce cas, R2).

14
12.

 Objectif : Associer un transform-set à la crypto map.

 Explication :
o set transform-set est utilisé pour spécifier l'ensemble de transformations
(transform-set) qui sera utilisé pour chiffrer et authentifier le trafic VPN.
o myset est le nom du transform-set que vous avez précédemment configuré.

13.

 Objectif : Associer une ACL à la crypto map pour identifier le trafic à chiffrer.
 Explication :
o match address est utilisé pour spécifier l'ACL qui définit le trafic à chiffrer et à
transmettre via le tunnel VPN.
o 100 est le numéro de l'ACL que vous avez précédemment configurée.
o Cette commande associe l'ACL 100 à la crypto map, ce qui signifie que le trafic
correspondant à cette ACL sera chiffré et transmis via le tunnel VPN.

14.

 Objectif : Appliquer la crypto map mymap à l'interface GigabitEthernet0/0.

 Explication :
o crypto map mymap est la commande utilisée pour appliquer une crypto map à
une interface.
o mymap est le nom de la crypto map que vous avez précédemment configurée.

7. Configuration d'IPsec sur Routeur R2

La configuration sur R2 est très similaire à celle de R1, mais avec quelques différences dans les
adresses IP et les ACL. Voici les étapes à suivre :

ISAKMP Policy : Définir les paramètres de négociation de sécurité pour IPsec.

15
 Clé pré-partagée : Doit être la même que celle de R1 pour établir la connexion
sécurisée.

IPsec Transform Set : Spécifie le chiffrement et l'authentification des données.

ACL pour définir le trafic à chiffrer :

Crypto Map : Pour regrouper toutes les configurations précédentes.

Application de la Crypto Map à l'interface externe

8. Vérification de la configuration IPsec

Après avoir configuré IPsec sur R1 et R2, il est important de vérifier que le tunnel VPN
fonctionne correctement. Utilise les commandes suivantes :

16
 Vérifier l'état de l'association ISAKMP :

Vérifier l'état de l'association IPsec :

Si tout fonctionne correctement, tu devrais voir l'état QM_IDLE avec le statut ACTIVE,
indiquant que le tunnel VPN est établi et opérationnel.

9. Test de connectivité entre PC0 et PC1

Après avoir configuré le VPN site-à-site, fais un ping entre les PC dans les réseaux des deux sites
:

 Depuis PC0 (Site A) → PC1 (Site B)

 Depuis PC1 (Site B) → PC0 (Site A)

Si le VPN fonctionne correctement, le ping devrait réussir.

Si le VPN ne fonctionne pas, active les logs de débogage pour voir où ça bloque :

Fais un ping entre les réseaux protégés et observe les erreurs qui s’affichent.

10. Analyse du trafic avec un sniffer

Pour vérifier que le trafic est bien chiffré :

 Place un sniffer entre le Routeur R1 et le Routeur ISP (R0).

17
  Active le mode simulation dans Cisco Packet Tracer.
 Fais un ping entre PC0 et PC1 et observe les paquets qui transitent.
 Les paquets doivent être chiffrés (pas de données en clair visibles).

4. Configuration d'un VPN Client-à-Site avec IPsec

Un VPN Client-à-Site permet à un utilisateur distant de se connecter au réseau interne de

l'entreprise via un tunnel sécurisé.
Dans ce TP, le client se connecte au Routeur R0 qui agit comme un serveur VPN.

A. Activation des modules de sécurité sur R0

Comme pour R1 et R2, il faut activer les modules de sécurité :

18
B. Configuration des interfaces réseau

Configure les interfaces réseau sur R0 pour gérer le trafic VPN :

C. Création d'un modèle d'authentification

Pour authentifier les utilisateurs distants qui se connectent au VPN :

Explication des Commandes :

1.

 Objectif : Activer le modèle AAA sur le routeur.

 Explication :
o aaa new-model est la commande utilisée pour activer le framework AAA sur le
routeur.
o Pourquoi activer AAA ?
 AAA permet de centraliser la gestion de l'authentification, de l'autorisation
et de la comptabilité (Accounting) des utilisateurs. Cela améliore la
sécurité et la gestion des accès au routeur.

19
2.

 Objectif : Configurer une méthode d'authentification pour les connexions au routeur.

 Explication :
o aaa authentication login est la commande utilisée pour configurer l'authentification
des utilisateurs qui se connectent au routeur (par exemple, via SSH, Telnet, ou la
console).
o list1 est le nom de la liste d'authentification. Vous pouvez créer plusieurs listes
avec des noms différents pour appliquer des méthodes d'authentification
différentes à différents types de connexions.
o local indique que l'authentification sera effectuée localement, c'est-à-dire en
utilisant la base de données d'utilisateurs locale du routeur.

3.

 Objectif : Configurer une méthode d'autorisation pour les connexions réseau (par
exemple, les connexions VPN).
 Explication :
o aaa authorization network est la commande utilisée pour configurer l'autorisation
des utilisateurs qui accèdent à des services réseau, tels que les connexions VPN.
o list2 est le nom de la liste d'autorisation. Vous pouvez créer plusieurs listes avec
des noms différents pour appliquer des méthodes d'autorisation différentes à
différents services.

4.

 Objectif : Créer un utilisateur local avec un nom d'utilisateur et un mot de passe.

D. Configuration d'ISAKMP et clé pré-partagée

ISAKMP Policy : Définit les paramètres de négociation de sécurité pour IPsec.

20
 Clé pré-partagée pour l'authentification :

Explication des Commandes :

1.

 Objectif : Créer un groupe de clients VPN avec un nom spécifique.

 Explication :
o crypto isakmp client configuration group est la commande utilisée pour créer un
groupe de clients VPN.
o ccn est le nom du groupe. Vous pouvez choisir n'importe quel nom, mais il doit
être unique pour chaque groupe sur le routeur.

2.

 Objectif : Définir une clé pré-partagée pour l'authentification des clients VPN.

3.

 Objectif : Spécifier un pool d'adresses IP qui sera attribué aux clients VPN.

21
E. Création d'un pool d'adresses IP pour les clients VPN

Définit une plage d'adresses IP à attribuer dynamiquement aux clients VPN :

F. Création d'une IPsec SA

IPsec Transform Set : Définit le chiffrement et l'authentification des données.

Crypto Map :

Explication des commandes :

1.

 Objectif : Créer une crypto map dynamique avec un nom et un numéro de séquence.
 Explication :
o crypto dynamic-map est la commande utilisée pour créer une crypto map
dynamique.
o map1 est le nom de la crypto map dynamique. Vous pouvez choisir n'importe
quel nom, mais il doit être unique pour chaque crypto map sur le routeur.

22
 o 10 est le numéro de séquence de la crypto map dynamique.
o Pourquoi une crypto map dynamique ?

 Une crypto map dynamique est utilisée pour gérer les connexions VPN
avec des clients dont les adresses IP ne sont pas connues à l'avance (par
exemple, les clients VPN distants). Elle permet de créer des associations
de sécurité (SA) dynamiques.

2.

 Objectif : Configurer la crypto map pour répondre aux demandes de configuration

d'adresse IP des clients VPN.
 Explication :
o crypto map map2 client configuration address respond est la commande utilisée
pour indiquer que le routeur doit répondre aux demandes de configuration
d'adresse IP des clients VPN.
o Pourquoi cette commande ?
 Lorsqu'un client VPN se connecte, il peut demander une adresse IP au
routeur. Cette commande permet au routeur de répondre à cette demande
en attribuant une adresse IP à partir du pool configuré.
o Cette commande configure la crypto map map2 pour répondre aux demandes de
configuration d'adresse IP des clients VPN.

3.

 Objectif : Associer une liste d'authentification à la crypto map pour authentifier les
clients VPN.
 Explication :
o crypto map map2 client authentication list list1 est la commande utilisée pour
spécifier la liste d'authentification qui sera utilisée pour authentifier les clients
VPN.

23
4.

 Objectif : Associer une liste d'autorisation à la crypto map pour autoriser les clients
VPN.
 Explication :
o crypto map map2 isakmp authorization list lest la commande utilisée pour
spécifier la liste list2 d'autorisation qui sera utilisée pour autoriser les clients
VPN.

5.

 Objectif : la commande utilisée pour associer une crypto map dynamique (map1) à une
crypto map statique (map2).

Application à l'interface externe :

G. Cointnfiguration du VPN sur le poste client

 Utilise un PC Client dans Cisco Packet Tracer.

 Configure-le pour utiliser les informations suivantes :
o Adresse du serveur VPN : [Link]
o Nom du groupe : ccn
o Clé pré-partagée : ccn123
o Nom d'utilisateur : admin
o Mot de passe : admin

24
H. Vérification du fonctionnement du VPN

 Depuis le client, fais un ping vers le réseau interne (ex : [Link]).

 Sur le Routeur R0, vérifie l'état du tunnel :

25
26