User Tools

Site Tools


informatique:cisco:ipsec

Differences

This shows you the differences between two versions of the page.

Link to this comparison view

Both sides previous revision Previous revision
Next revision
Previous revision
informatique:cisco:ipsec [2013/04/10 12:02]
pteu [Définition de la crypto map]
informatique:cisco:ipsec [2013/10/14 22:44] (current)
Line 59: Line 59:
   * **RRI** (Reverse Route Injection) : une route statique est créé sur le serveur Cisco Easy VPN pour l'IP interne de chaque client VPN. Cela permet de les injecter ensuite dans l'IGP.   * **RRI** (Reverse Route Injection) : une route statique est créé sur le serveur Cisco Easy VPN pour l'IP interne de chaque client VPN. Cela permet de les injecter ensuite dans l'IGP.
  
-Méthodes d'​authentification :+**Méthodes d'​authentification** :
   * couple nom d'​utilisateur/​mot de passe   * couple nom d'​utilisateur/​mot de passe
   * OTP (One Time Password)   * OTP (One Time Password)
Line 66: Line 66:
   * certificats numériques   * certificats numériques
  
-Algorithmes de chiffrements symétriques : on utilise la même clé pour chiffrer et déchiffrer+**Algorithmes de chiffrements symétriques** : on utilise la même clé pour chiffrer et déchiffrer
   * DES (Data Encryption Standard) ; vulnérable car basé sur des clés de 56 bits   * DES (Data Encryption Standard) ; vulnérable car basé sur des clés de 56 bits
   * 3DES (3 chiffrements DES à la suite)   * 3DES (3 chiffrements DES à la suite)
   * AES (Advanced Encryption Standard) ; clés de 128, 192 ou 256 bits   * AES (Advanced Encryption Standard) ; clés de 128, 192 ou 256 bits
  
-Algorithmes de chiffrement asymétriques : paire de clés publique et privée+**Algorithmes de chiffrement asymétriques** : paire de clés publique et privée
   * RSA (Rivest Shamir Adleman) ; on peut utiliser différentes longueurs de clés ; il est recommandé aujourd'​hui d'​utiliser des clés de 1024, 2048 ou 4096 bit (parano)   * RSA (Rivest Shamir Adleman) ; on peut utiliser différentes longueurs de clés ; il est recommandé aujourd'​hui d'​utiliser des clés de 1024, 2048 ou 4096 bit (parano)
  
-Méthodes de hashage :+**Méthodes de hashage** :
   * HMAC (Hash-based Message Encryption Code)   * HMAC (Hash-based Message Encryption Code)
   * MD5 (Message Digest 5)   * MD5 (Message Digest 5)
Line 82: Line 82:
 ====PKI==== ====PKI====
  
-PKI (Public Key Infrastructure) est un sytème ​servant à authentifier une clé publique d'une entité. Elle repose sur une relation de confiance entre une autorité de certification (**CA** pour Certificate Authority) et la personne qui cherche l'​authenticité d'une clé publique.+**PKI** (Public Key Infrastructure) est un système ​servant à authentifier une clé publique d'une entité. Elle repose sur une relation de confiance entre une autorité de certification (**CA** pour //Certificate Authority//) et la personne qui cherche l'​authenticité d'une clé publique.
  
 ====NAT Traversal==== ====NAT Traversal====
Line 97: Line 97:
 ====Définition de la policy ISAKMP==== ====Définition de la policy ISAKMP====
  
-On y définit le type d'​authentification,​ l'​algorithme de hash, l'​algorithme de chiffrement et le groupe Diffie-Hellman.+(Phase 1) 
  
-  crypto isakmp policy ​1 +Les politiques ISAKMP sont définies globalement et donc utilisables par tous les tunnels configurés sur le routeur. Leur utilisation se fait séquentiellement,​ par ordre croissant, en fonction de leur priorité ("1" dans l'​exemple qui suit). Dès qu'une politique matche celle du peer, c'est elle qui est utilisée.
-   ​authentication pre-shared +
-   hash sha +
-   ​encryption aes 128 +
-   group 2+
  
-Le "​1"​ désigne la priorité interne au routeur = on peut créer plusieurs politiques ISAKMP sur un même routeurs'il a le choix il prendra la valeur la plus faible (1).+On y définit le type d'​authentification,​ l'​algorithme de hashagel'algorithme de chiffrement et le groupe Diffie-Hellman.
  
-Puis on indique la clé partagée ​avec l'​adresse du bout du tunnel (IP du peer). +<code bash> 
-  crypto isakmp key LaCleSecrete address 172.16.171.2+crypto isakmp policy 1 
 + ​authentication pre-shared 
 + hash sha 
 + ​encryption aes 128 
 + group 2 
 +</​code>​ 
 + 
 +Puis on indique la clé partagée ​ainsi que l'​adresse du bout du tunnel (IP du peer). 
 +<code bash> 
 +crypto isakmp key LaCleSecrete address 172.16.171.2 
 +</​code>​
  
 ====Définition de la crypto map==== ====Définition de la crypto map====
  
-Définition du ''​transform-set''​ qui spécifie la politique de sécurité d'​IPsec (algorithme de chiffrement + d'​authentification + mode IPSec (transport ou tunnel, tunnel par défaut)) :+Définition du ''​transform-set''​ qui spécifie la politique de sécurité d'​IPsec (algorithme de chiffrement + d'​authentification + autres paramètres facultatifs) :
 <code bash> <code bash>
-crypto ipsec transform-set ​Aes_sha+crypto ipsec transform-set ​TS-aes_sha
  ​esp-aes 128 esp-sha-hmac  ​esp-aes 128 esp-sha-hmac
 + !
 + ! paramètre facultatifs
  mode transport  mode transport
 </​code>​ </​code>​
Line 124: Line 132:
  set peer 172.16.171.2  set peer 172.16.171.2
  match address 101  match address 101
- set transform-set ​Aes_sha+ set transform-set ​TS-aes_sha
  set pfs group2  set pfs group2
 </​code>​ </​code>​
  
-Définition de l'​access-list qui spécifie quel trafic sera envoyé dans le tunnel.+Définition de l'​access-list qui spécifie quel trafic sera envoyé dans le tunnel ​(= domaine de chiffrement).
 <code bash> <code bash>
 access-list 101 permit ip 10.1.1.0 0.0.0.255 10.2.2.0 0.0.0.255 access-list 101 permit ip 10.1.1.0 0.0.0.255 10.2.2.0 0.0.0.255
Line 135: Line 143:
 ====Appliquer la crypto map sur une interface==== ====Appliquer la crypto map sur une interface====
  
-  ​interface se0/0 +<code bash> 
-   ​ip address 172.16.171.1 255.255.255.0 +interface se0/0 
-   ​crypto map VPN_To_R2+ ip address 172.16.171.1 255.255.255.0 
 + ​crypto map VPN_To_R2 
 +</​code>​
  
  
informatique/cisco/ipsec.txt · Last modified: 2013/10/14 22:44 (external edit)