TP Sécurité des réseaux - IPSEC IKEv2

Structure du réseau

Configuration

Configuration de base

  1. Définir les réseaux :
    Les réseaux de gauche et de droite seront de classe C.
    Les deux réseaux du milieu seront de classe C privé et minimaux.
  2. Mettre en place du routage RIPv2 sur l’ensemble du réseau.
  3. Configurer deux switches (celui de gauche et celui au milieu) pour permettre une vision via wireshark des paquets
  4. Un PC doit être serveur http et l'autre client http. Créer un mini site web sur les deux serveurs http. Faites une requête et observez en http les données qui passent via les sniffers. On voit les données en clair

Tous les hôtes doivent pouvoir s’envoyer des paquets ICMP entre eux.

Configuration d’IKEv2 - Phase 1

Le tunnel site à site sera configuré au niveau des routeurs 881 qui seront les passerelles.

  1. Configurer les pre-shared keys.
    Aide : On commence par utiliser la commande crypto ikev2 keyring <nom_du_keyring>.
  2. Configurer les propositions IKEv2. Elles contiennent les algorithmes et groupes Diffie-Hellman nécessaires à la négociation du tunnel de phase 1.
    Les algorithmes de chiffrement sur le réseau de gauche seront AES-CBC-128 puis AES-CBC-256. A droite, on configure AES-CBC-256 puis AES-CBC-128.
    Pour l’algorithme d’intégrité et le groupe DH, on utilise SHA256 et le groupe 19 des deux côtés.
    Aide : On commence par utiliser la commandecrypto ikev2 proposal <nom_de_la_proposal>.
  3. Configurer la police IKEv2.
    Aide : On commence par utiliser la commande crypto ikev2 policy <nom_de_la_policy>
  4. Configurer le profil IKEv2.
    Aide : On commence par utiliser la commande crypto ikev2 profile <nom_du_profile>.
  5. Configurer une ACL.
    Mettre en place une ACL qui permet d'identifier le trafic qui passera par le tunnel IPSEC.

Configuration d’IKEv2 - Phase 2

  1. Configurer le transform set.
    On utilisera des deux côtés les algorithmes ESP-AES 256 et ESP-SHA256-HMAC.
  2. Configurer la crypto map.
    On commence par utiliser la commande crypto map <nom_de_la_crypto_map> <id_de_la_crypto_map> ipsec-isakmp
    a) Configurer l’adresse du peer, le transform-set ainsi que le profil à utiliser.
    b) Activer le PFS avec un groupe DH 19.
  3. Affecter la crypto map à l’interface de sortie des routeurs 881.

Test du VPN

A ce point, le tunnel IPsec est prêt à l’emploi. Pour le démarrer, il faut que du trafic “intéressant” soit envoyé en direction du réseau du peer.

  1. Envoyer un ping d’un réseau à l’autre pour vérifier le bon fonctionnement du tunnel.
  2. Utiliser la commande show crypto session pour voir les associations de sécurité utilisées.
  3. Utiliser la commande show crypto ikev2 sa pour voir les paramètres négociés pour le tunnel de phase 1.
    L’algorithme de chiffrement n’est pas le même en fonction du réseau ayant initié la connexion. On peut tester ce comportement en supprimant manuellement les tunnels avec la commande clear crypto session des deux côtés et en initiant le tunnel à partir de l’autre réseau.
  4. Vérifier que les paquets sont chiffrés avec un session monitor au niveau du switch entre les routeurs 881 et 2811, mais en clair sur le réseau interne.