pteuz Wiki

User Tools

Site Tools

You are here: start » informatique » cisco » ipsec
Trace:
informatique:cisco:ipsec

Differences

This shows you the differences between two versions of the page.

Link to this comparison view

Both sides previous revisionPrevious revision
Next revision		Previous revision
Last revisionBoth sides next revision
informatique:cisco:ipsec [2012/11/03 00:01] – modification externe 127.0.0.1informatique:cisco:ipsec [2013/04/18 14:43] pteu
Line 59: Line 59:
   * **RRI** (Reverse Route Injection) : une route statique est créé sur le serveur Cisco Easy VPN pour l'IP interne de chaque client VPN. Cela permet de les injecter ensuite dans l'IGP.   * **RRI** (Reverse Route Injection) : une route statique est créé sur le serveur Cisco Easy VPN pour l'IP interne de chaque client VPN. Cela permet de les injecter ensuite dans l'IGP.
  
-Méthodes d'authentification :+**Méthodes d'authentification** :
   * couple nom d'utilisateur/mot de passe   * couple nom d'utilisateur/mot de passe
   * OTP (One Time Password)   * OTP (One Time Password)
Line 66: Line 66:
   * certificats numériques   * certificats numériques
  
-Algorithmes de chiffrements symétriques : on utilise la même clé pour chiffrer et déchiffrer+**Algorithmes de chiffrements symétriques** : on utilise la même clé pour chiffrer et déchiffrer
   * DES (Data Encryption Standard) ; vulnérable car basé sur des clés de 56 bits   * DES (Data Encryption Standard) ; vulnérable car basé sur des clés de 56 bits
   * 3DES (3 chiffrements DES à la suite)   * 3DES (3 chiffrements DES à la suite)
   * AES (Advanced Encryption Standard) ; clés de 128, 192 ou 256 bits   * AES (Advanced Encryption Standard) ; clés de 128, 192 ou 256 bits
  
-Algorithmes de chiffrement asymétriques : paire de clés publique et privée+**Algorithmes de chiffrement asymétriques** : paire de clés publique et privée
   * RSA (Rivest Shamir Adleman) ; on peut utiliser différentes longueurs de clés ; il est recommandé aujourd'hui d'utiliser des clés de 1024, 2048 ou 4096 bit (parano)   * RSA (Rivest Shamir Adleman) ; on peut utiliser différentes longueurs de clés ; il est recommandé aujourd'hui d'utiliser des clés de 1024, 2048 ou 4096 bit (parano)
  
-Méthodes de hashage :+**Méthodes de hashage** :
   * HMAC (Hash-based Message Encryption Code)   * HMAC (Hash-based Message Encryption Code)
   * MD5 (Message Digest 5)   * MD5 (Message Digest 5)
Line 82: Line 82:
 ====PKI==== ====PKI====
  
-PKI (Public Key Infrastructure) est un sytème servant à authentifier une clé publique d'une entité. Elle repose sur une relation de confiance entre une autorité de certification (**CA** pour Certificate Authority) et la personne qui cherche l'authenticité d'une clé publique.+**PKI** (Public Key Infrastructure) est un système servant à authentifier une clé publique d'une entité. Elle repose sur une relation de confiance entre une autorité de certification (**CA** pour //Certificate Authority//) et la personne qui cherche l'authenticité d'une clé publique.
  
 ====NAT Traversal==== ====NAT Traversal====
Line 97: Line 97:
 ====Définition de la policy ISAKMP==== ====Définition de la policy ISAKMP====
  
-On y définit le type d'authentification, l'algorithme de hash, l'algorithme de chiffrement et le groupe Diffie-Hellman.+(Phase 1) 
  
-  crypto isakmp policy 1 +Les politiques ISAKMP sont définies globalement et donc utilisables par tous les tunnels configurés sur le routeur. Leur utilisation se fait séquentiellement, par ordre croissant, en fonction de leur priorité ("1" dans l'exemple qui suit). Dès qu'une politique matche celle du peer, c'est elle qui est utilisée.
-   authentication pre-shared +
-   hash sha +
-   encryption aes 128 +
-   group 2+
  
-Le "1" désigne la priorité interne au routeur = on peut créer plusieurs politiques ISAKMP sur un même routeurs'il a le choix il prendra la valeur la plus faible (1).+On y définit le type d'authentification, l'algorithme de hashagel'algorithme de chiffrement et le groupe Diffie-Hellman.
  
-Puis on indique la clé partagée avec l'adresse du bout du tunnel (IP du peer). +<code bash> 
-  crypto isakmp key LaCleSecrete address 172.16.171.2+crypto isakmp policy 1 
 + authentication pre-shared 
 + hash sha 
 + encryption aes 128 
 + group 2 
 +</code> 
 + 
 +Puis on indique la clé partagée ainsi que l'adresse du bout du tunnel (IP du peer). 
 +<code bash> 
 +crypto isakmp key LaCleSecrete address 172.16.171.2 
 +</code>
  
 ====Définition de la crypto map==== ====Définition de la crypto map====
  
-Définition du ''transform-set'' qui spécifie la politique de sécurité d'IPsec (algorithme de chiffrement + d'authentification + mode IPSec (transport ou tunnel, tunnel par défaut)) :+Définition du ''transform-set'' qui spécifie la politique de sécurité d'IPsec (algorithme de chiffrement + d'authentification + autres paramètres facultatifs) :
 <code bash> <code bash>
-crypto ipsec transform-set Aes_sha+crypto ipsec transform-set TS-aes_sha
  esp-aes 128 esp-sha-hmac  esp-aes 128 esp-sha-hmac
 + !
 + ! paramètre facultatifs
  mode transport  mode transport
 </code> </code>
Line 124: Line 132:
  set peer 172.16.171.2  set peer 172.16.171.2
  match address 101  match address 101
- set transform-set Aes_sha+ set transform-set TS-aes_sha 
 + set pfs group2
 </code> </code>
  
-Définition de l'access-list qui spécifie quel trafic sera envoyé dans le tunnel.+Définition de l'access-list qui spécifie quel trafic sera envoyé dans le tunnel (= domaine de chiffrement).
 <code bash> <code bash>
 access-list 101 permit ip 10.1.1.0 0.0.0.255 10.2.2.0 0.0.0.255 access-list 101 permit ip 10.1.1.0 0.0.0.255 10.2.2.0 0.0.0.255
Line 134: Line 143:
 ====Appliquer la crypto map sur une interface==== ====Appliquer la crypto map sur une interface====
  
-  interface se0/0 +<code bash> 
-   ip address 172.16.171.1 255.255.255.0 +interface se0/0 
-   crypto map VPN_To_R2+ ip address 172.16.171.1 255.255.255.0 
 + crypto map VPN_To_R2 
 +</code>
  
  
informatique/cisco/ipsec.txt · Last modified: 2013/10/14 20:44 by 127.0.0.1