Activité 6

Mise en place d’IPSec

Contexte

Afin de relier ma baie serveurs et le reste de mon architecture pour le dossier E6, il me fallait une solution pour éviter de passer par un câble de 30m que nous n’avions pas à disposition. J’ai donc choisi d’utiliser IPSec, qui permet de faire un tunnel virtuel sécurisé pour relier deux réseaux entre eux sans être directement connectés l’un à l’autre

Objectif et enjeux

L’objectif était de permettre aux appareils de l’installation principale de pouvoir accéder aux services présents sur les serveurs présent sur un autre réseau, sans ouvrir ce réseau sur l’exterieur afin de le protéger des potentielles intrusions.

Compétences

  • Gestion de réseaux
  • Commandes Cisco
  • Connaissances des routeurs Cisco

Déscription de la situation de travail

La configuration de la salle de cours ne me permettant pas un branchement direct avec les serveurs que j’utilise pour héberger les divers services de mon infrastructure, j’ai choisi de lier ceux-ci au gros de mon installation en utilisant IPSec, qui permet de faire une passerelle sécurisée entre deux réseaux en passant par un réseau tiers.

Cette connexion se fait grâce à un échange de clefs que l’on créé d’abord sur chaque routeur :

Routeur1(config)#crypto isakmp enable
Routeur1(config)#crypto isakmp policy 10
Routeur1(config-isakmp)# encryption aes
Routeur1(config-isakmp)# authentication pre-share
Routeur1(config-isakmp)# hash sha
Routeur1(config-isakmp)# group 2
Routeur1(config-isakmp)# lifetime 86400
Routeur1(config-isakmp)#exit
Routeur1(config)# crypto isakmp key CLESECRETE address 192.168.3.15

 

On choisit ensuite la méthode de chiffrement et d’authentification des données, ici il s’agira respectivement d’ esp-aes et d’ esp-sha-hmac . Cette methode sera nommée ici VPNCONNEX.

Routeur1(config)#crypto ipsec transform-set VPNCONNEX esp-aes esp-sha-hmac

Routeur1(config)#crypto ipsec security-association lifetime seconds 86400

Ensuite on créé une liste de contrôle d’accès (nommé « VPN » ici) qui permettra au traffic de passer d’un bout du tunnel à l’autre.

Routeur1(config)#ip access-list extended VPN

Routeur1(config-ext-nacl)#permit ip 10.70.0.0 0.0.255.255 10.70.71 0.0.255.255

Routeur1(config-ext-nacl)#exit

Je créé ensuite une carte de chiffrement nommée CARTEVPN :

Routeur1(config)#crypto map CARTEVPN 10 ipsec-isakmp

Routeur1(config-crypto-map)# match address VPN

Routeur1(config-crypto-map)#set peer 192.168.3.16

Routeur1(config-crypto-map)#set transform-set VPNCONNEX

Routeur1(config-crypto-map)#exit

Routeur1(config)# interface Gi 8

Routeur1(config-if)#crypto map CARTEVPN

Routeur1(config-if)#do wr

 

Le même processus est ensuite appliqué sur le deuxième routeur et le tunnel est prêt.

Conclusion

Les tunnels IPSec sont très utiles pour relier deux réseaux distants, mais nécessitent une bonne compréhension des protocoles de chiffrement. Cependant, une fois mis en, place, ils permettent une transmission sécurisée des informations entre deux réseaux distants, à la manière d’un VPN grand public.