CCNP Security CCNP security 642-637 Younes CUEROUANI Formateur Consultant IT Cisco Security 2 Security Device Man Cisco Router and S outil de gestion de périphériques convivi securité or 17 Sni* to View Cisco SDM) est un rer des fonctions de Cisco IOS et des connexions r seau par l’intermédiaire d’une interface utilisateur graphique Web extrêmement intuitive.
SDM peut résider dans la mémoire du routeur ou sur votre PC SDM simplifie la configuration des routeurs en terme de sécurité en utilisant des assistants intelligents pour permettre aux utilisateurs de éployer, configurer et surveiller, rapidement et facilement, l’accès aux routeurs Cisco SDM contient : An access control list (ACL) editor, A VPN crypto map editor, A Cisco IOS utilisent des lignes louées ou des réseaux d’entreprise utilisant Fame Relay d entreprise ou ATM 4 Présentation des VPN Un VPN transporte du trafic privé sur un réseau public en utilisant du cryptage et des tunnels pour obtenir: • La confidentialité des données • L’intégrité des données • L’authentification des utilisateurs L authentification • Les VPNs fournissent trois fonctions essentielles: Confidentialité (cryptage) – L’émetteur peut crypter les paquets avant de les L émetteur transmettre dans le réseau. Par ce moyen, si la communication est interceptée les données pourront pas être lues lues. ntégrité des données – Le récepteur peut vérifier si les données n’ont pas été altérées lors de leur passage dans le réseau. paquet, Authentification – Le récepteur peut authentifier la source du paquet garantissant et certifiant la source de l’information. PAG » 7 d’évolutivité que des architectures WAN classiques 6 Conventionnel Site Central Frame Relay Internet Réseau Frame Relay Tunnel VPN Site distant RI la Confidentialité, l’Intégrité et l’Authentification. • Le cryptage des données et le protocole IPSec permettent aux données de traverser Internet avec la même sécurité que sur un réseau prlvé. Présentation des VPN- unneling et cryptage Message Crypté Infos Cryptage Décryptage • Un tunnel est une connexion point à point virtuelle • un tunnel transporte un protocole à l’intérieur d’un autre • Le cryptage transforme les informations en texte chiffré • Le décryptage restore les informations à partir du texte chiffré ?? Bien que Internet ait offert de nouvelles opportunités aux entreprises, il a aussi cree une grande dépendance des réseaux et un besoin de protection contre une grande variété de menaces sur la sécurité sécurité. • La fonction principale d’un VPN est d’offrir cette protection avec du cryptage au travers d’un tunnel d un tunnel. 13 des entités non autorisées et qu elles non-autorisées l’encapsulation multi-protocole si cela est nécessaire. 10 • Le cryptage assure que le message pourra pas être lu et compris uniquement par le receveur • L cryptage t Le ransforme une information en un texte chiffré sans ti tt hiff é signification sous sa forme cryptée. communication de manière cryptée vers le réseau de l’entreprise.
VPN initié par le client Accès Distants Clients DSL Cable pop Télétravailleur POP Mobile Extranet Business VPNs Accès distant sont une extension des réseaux d’accès distants par appel. • Les VPNs Accès distant peuvent se terminer sur des équipements frontaux tels que les routeurs Cisco, les pare-feu PIX ou les concentrateurs VPN. • Les clients accès distant peuvent être des routeurs Cisco et des lients VPN Cisco Cisco. 14 • Cryptage/Décryptage e cryptage est un processus qui transforme une information en un texte chiffré qui pourra pas êt I ou utilisé par d utilisateurs non-autorisés. être lu tili é des tili t – Le décryptage restore le texte chiffré en information originale qui pourra être lue et utilisée par le receveur receveur. 7 VPN – Termes clés • Cryptosystème Système qui réalise le cryptage/décryptage, l’authentification utilisateur, le hachage, et I processus dié h PAGF70F17 l’aboutissement des travaux de l’IETF pour aire converger les fonctionnalités de PPTP et L2F. Il s’agit ainsi d’un protocole de niveau 2 s’appuyant sur PPP s appuyant ppp. IPSec est un protocole de niveau 3, issu des travaux de l’IETF, permettant de transporter des données chiffrées pour les réseaux IP Cl SSLJTLS offre une très bonne solution de Tunneling. 20 Le protocole IPSec Cl Les protocoles de tunneling IPSec est un protocole qui vise à sécuriser l’échange de données au niveau de la couche réseau. IPSec se base sur deux mécanismes : Cl AH, pour Authentification Header vise à assurer l’intégrité et ‘authenticité des datagrammes IP.
Il ne fournit par contre aucune confidentialité : les données fournie set transmises par ce « protocole » ne sont pas cryptés protocole cryptés. Cl ESP, pour Encapsulating Security Payload peut aussi permettre l’authentification des donnees mais est principalement utilisé pour le cryptage des informations. Bien qu indépendants qu’indépendants ces deux mécanismes sont toujours utilisés conjointement. Le protocole IKE permet de gérer les échanges ou les associations entre protocoles de sécurité 21 PAGF (RADIUS) 22 IPSec – Protocoles et éléments clés AH (Authentication Header) – Protocole de sécurité qui fournit l’authentification, l’intégrité des données et un service optionnel de détection d’intrusion. ournit l’intégrité et l’ th tifi ti it l’i té ité t l’authentification. AH authentifie les paquets en les signant, ce qui assure l’intégrité de l’information. U sgnature unique est créée pour chaque paquet envoyé et Une i t éé h ét empêche que l’information soit modifiée ESP (Ancapsulation Security payload) – Protocole de sécurité qui fournit la confidentialité, I ntégrité anal d’échange de clés, sur une connexion UDP depuis et vers le port 500 – Le protocole IKE (Internet Key Exchange) est chargé de négocier la connexion. Avant qu’une transmission IPsec puisse être possible, IKE est utilisé pour authentifier les deux extrémités d’un tunnel sécurisé en échangeant des clés partagées. 5 La gestion des clefs pour IPSec : ISAKMP et IKE D ISAKMP (Internet Security Association and Key Management Protocol) ISAKMP a pour rôle la négociation, l’établissement, la modification et la suppression des associations de sécurité et de leurs attributs. Il pose les bases construire divers protocoles de gestion des clefs et plus généralement des associations de é ité (Security A d sécurité (S it Association). i ti) L ensemble L’ensemble de ces traitements se font en deux étapes appelées phase 1 et phase 2 Cl Phase 1 : un certain nombre de paramètres de sécurité propres à ISAKMP sont mis en place afin d’établir entre les deux tiers un canal protégé place, d établir n Phase 2 : ce canal est utilisé pour négocier les associations de sécurité pour les mécanismes de sécurité que lion souhaite utiliser (AH et ESP par exemple)
