Infrastructure So A

5/16/2018 Infrastructure So A - slidepdf.com

http://slidepdf.com/reader/full/infrastructure-so-a 1/49

1

Patrick GIRARD - Architectures Réseaux pour les SOA

Nouvelles Architectures RéseauxOrientées Services

ISMIN – 2010

Système d’Information

Patrick Girard

[email protected] / [email protected]

Instructeur Certifié depuis Octobre 2001 – Glasgow LTS - CCAI (CCNA: CSCO10362533) – Copenhague 2001CCNP 1 (BSCI) 7/2004; CCNP2 (ISCWN) 10/2009; CCNP 3 (BCMSN) 8/2005 – Birmingham UCE

Network Security I (NS1) 2/2006 – Birmingham UCENetwork Security II (NS2) 7/2006 - Glasgow LTS

Cisco Airespace Wireless (CAIAM) 3/2006 – Nice/Maidenhead/Amsterdam – DaclemACSE OmniSwitch R6 – 11/2006 - Brest Alcatel University


IAAI : Schéma général

mailto:[email protected]




2


IAAI : Architecture sécurisée

Présentation de l'infrastructure

Sécurité interne et externe

Services AAA (NoCat, Web-auth)

Services DNS, LDAP, DHCP, NTP, Syslog

Service de fichier, SAMBA

Services Mail, Webmail, Web, Web sécurisé

Services VPN en mode tunnel (GRE+IPSEC)

Services VPN en mode client


IAAI : Architecture sécurisée

Les trois zones : Externe, Interne, DMZ

Mise en œuvre des services AAA

Mise en œuvre des services communs

Service de Messagerie IMAP

Service d’accès distant : Extranet, VPN

Mise en œuvre des services auxiliaires

Filtrage d’accès et surveillance desconnexions

Politique antivirale et filtrage de ports(couche 4)

Nomadisme, mobilité, intégration des services



3


Sécurisation Externe

Zone Interne, Externe et DMZ

Contrôle en voie entrante par ACL, Dyn-ACL

Contrôle en voie sortante par NAT, PAT

Services d’Audit

Journalisation, alertes de sécurité, sondes etoutils d’évaluation des vulnérabilités





Contrôle en voie sortante par NAT, PATServices d’Audit




4


Sécurisation Interne

Rappels : Segmentation en VLAN, subnets,routage inter-vlan

VLAN Natif, VLAN d’administration, VLAN fermede serveurs

Filtrage interne : access-lists symétriques etasymétriques, filtrage de ports


Filtrage de

TramesEtiquetagede Trames

Limitation desdomainesde diffusion

Filtrage entreVLANs

Mise en œuvre de la sécurité LAN

Segmentation en VLAN



5





Technologie ad-hoc qui sert à interconnecter descommutateurs (backbone) supportant plusieursVLAN

Place un identificateur unique en tête de chaquetrame qui entre sur le réseau fédérateur(backbone – câblage vertical)

Retire cet identificateur de l’en-tête de tramequand elle entre dans le réseau de distribution(câblage horizontal)

Technologie ad-hoc normalisée en IEE 802.1 q




6


Commutateurs couche 3

Commutateurs 802.1Q – Exemple 24 ports Giga

Ils possèdent un module de routage embarqué

Les interfaces de routage (couche 3) sontvirtuelles (par exemple 4096 sur 3550)

interface vlan 10

ip address 10.10.3.1 255.255.0.0

ip access-group MySecure inLes routes sont en général statiques

ip route 10.10.0.0 255.255.0.0 vlan 10


Intérêt : routage à la vitesse du lien (Giga) par ASICs


Configuration des commutateurs 802.1Q

Configuration des commutateurs L3

int range fa0/1 – 8

switchport access vlan 10



int gi0/1switchport mode trunk



int range fa0/9 – 16switchport access vlan 20

int vlan 10ip address 10.10.10.254 255.255.255.0

int vlan 20

ip address 10.10.20.254 255.255.255.0




7




VLAN Natif, VLAN d’administration, VLANferme de serveurs



Gestion des VLAN

Attaques possibles sur les VLAN Inondation MAC

Double encapsulation

Attaques ARP Attaque Spanning-Tree

=> Absolument RIEN sur le VLAN natif (nontagué – en général VLAN 1)

=> Mot de passe sur STP

=> Flood Guard…

=> 802.1X (cf demain)



8




VLAN Natif, VLAN d’administration, VLAN fermede serveurs



Filtrage interneConfiguration des commutateurs L3

Configuration des routeurs (sous-interfaces)

int vlan 10

ip address 10.10.10.254 255.255.255.0

ip access-group MySecureRule10 in

int vlan 20ip address 10.10.20.254 255.255.255.0


int fa0/0.10

encapsulation dot1q 10

ip address 10.10.10.254 255.255.255.0


int fa0/0.20

encapsulation dot1q 20

ip address 10.10.20.254 255.255.255.0




9


Le pare-feu assure en général plusieurs fonctionsqui contribuent à sécuriser le réseau interne pourdes attaques issues de l’extérieur (environ 20%des problèmes)

Routeur

Passerelle filtrante

Translateur d’adresses

Le pare-feu ne sert à rien pour se protéger des

attaques internes

Firewall


Zones : Externe, Interne, DMZ

Un routeur délimite trois types de zones (externe, DMZ,interne)

Chaque zone est associée à un niveau de sécurité : exemplenameif ethernet0 outside security0nameif ethernet1 inside security100nameif ethernet2 DMZ security10

Chaque paquet circulant d’une zone plus sécurisée vers unezone moins sécurisée est autorisé par défaut, sauf mentioncontraire

Chaque paquet circulant d’une zone moins sécurisée vers unezone plus sécurisée est interdit par défaut, sauf mentioncontraire

Les réponses à des connexions d’une zone plus sécurisée versune zone moins sécurisée sont acceptées



10


Le pare-feu est un routeur … configuré pour nerouter que les réseaux pertinents

route outside 0.0.0.0 0.0.0.0 147.94.112.129 1

route inside 10.1.0.0 255.255.0.0 10.254.254.2 1

route inside 10.10.0.0 255.255.0.0 10.254.254.2 1

route inside 10.100.0.0 255.255.0.0 10.254.254.2 1

route inside 10.101.0.0 255.255.0.0 10.254.254.2 1route inside 10.102.0.0 255.255.0.0 10.254.254.2 1

…

Firewall


acl DmztoPix permit udp host Dns host SyslogSrv eq syslogacl DmztoPix permit udp host PicoLibre host SyslogSrv eq syslog

acl DmztoPix permit udp host Web host SyslogSrv eq syslog

access-list OutsidetoPix permit tcp any host WebSrv eq www

access-list OutsidetoPix permit tcp host xx host WebSrv eq ssh

access-list OutsidetoPix permit tcp host xx host WebSrv eq ftp

InsidetoPix

Le pare-feu filtre les paquets qui viennent de l’extérieur …

… de la DMZ …

… et de l’intérieur.

Firewall



11


Le pare-feu filtre les paquets entrants

access-list OutsidetoPix permit tcp any host WebSrv eq wwwaccess-list OutsidetoPix permit tcp host xx host WebSrv eq sshaccess-list OutsidetoPix permit tcp host xx host WebSrv eq ftpaccess-list OutsidetoPix permit tcp any host PicoLibreSrv eq ftp-dataaccess-list OutsidetoPix permit tcp any host PicoLibreSrv eq ftpaccess-list OutsidetoPix permit tcp any host PicoLibreSrv eq sshaccess-list OutsidetoPix permit tcp any host PicoLibreSrv eq wwwaccess-list OutsidetoPix permit tcp any host PicoLibreSrv eq 8080 ...

Le trafic entrant venant de l’extérieur ne peutaccéder qu’aux serveurs de la DMZ et uniquementà travers les protocoles qui correspondent auxservices offerts !

Firewall


Le pare-feu filtre les paquets issus de la DMZaccess-list DmztoPix permit udp host Dns host SyslogSrv eq syslogaccess-list DmztoPix permit udp host Web host SyslogSrv eq syslogaccess-list DmztoPix permit udp host PicoLibre host SyslogSrv eq syslog

access-list DmztoPix deny udp host Dns 10.0.0.0 255.0.0.0 eq domainaccess-list DmztoPix deny udp host Web 10.0.0.0 255.0.0.0 eq domainaccess-list DmztoPix deny udp host PicoLibre 10.0.0.0 255.0.0.0 eqdomainaccess-list DmztoPix permit udp host Dns any eq domainaccess-list DmztoPix permit udp host Web any eq domainaccess-list DmztoPix permit udp host PicoLibre any eq domainaccess-list DmztoPix deny tcp host Web 10.0.0.0 255.0.0.0 eq wwwaccess-list DmztoPix deny tcp host PicoLibre 10.0.0.0 255.0.0.0 eq wwwaccess-list DmztoPix permit tcp host Web any eq wwwaccess-list DmztoPix permit tcp host PicoLibre any eq www

Les serveurs font le boulot pour l’extérieur pas pour la

zone interne (pas de rebond !).

Firewall



12


Network Address Translation - Principe

Système qui associe une adresse IP (en généralprivée) du réseau interne à une adresse IP (engénéral publique) choisie parmi un pool

d’adresses disponiblesLes machines du réseau interne n’ont jamaisbesoin de toutes accéder à l’Internet en mêmetemps, donc il faut beaucoup moins d’adressespubliques que de machines

Network Address Translation - Objet

Historiquement : Résoudre le problème dumanque d’adresses IP disponibles

Firewall


NAT - Effet

De fait, les adresses internes sont masquées par

le NAT et ne peuvent être connues à l’extérieurDe plus, si les adresses internes sont privéeselles sont « non routables »

Le système enregistre la correspondance adresseréelle / adresse translatée et modifie pour chaquepaquet sortant l’adresse réelle par l’adressetranslatée et pour chaque paquet entrantl’adresse translatée par l’adresse réelle

Les adresses des serveurs publics conserventtoujours la même correspondance (static)

Firewall



13


NAT – Exemple IAAI

global (outside) 1 147.94.112.146-147.94.112.190global (outside) 1 147.94.112.145global (DMZ) 1 192.168.0.50-192.168.0.250nat (inside) 1 10.0.0.0 255.0.0.0 0 0nat (DMZ) 1 192.168.0.0 255.255.255.0 0 0static (DMZ,outside) WebSrv Web netmask 255.255.255.255 0 0static (DMZ,outside) DnsSrv Dns netmask 255.255.255.255 0 0static (DMZ,outside) PicoLibreSrv PicoLibre

netmask 255.255.255.255 0 0static (inside,DMZ) SyslogSrv Syslog

netmask 255.255.255.255 0 0

Firewall


NAT, et la sécurité

Ce dispositif n’a pas été conçu pour sécuriserun réseau, mais se comporte de fait commeun élément de sécurité qui protège le réseauinterne

A l’IAAI il y a du NAT entre le réseau interneet la DMZ entre la DMZ et le réseau externe etentre le réseau interne et le réseau externe

Firewall



14


EXEMPLEBrazil# show xlateGlobal 147.94.112.170 Local 10.100.7.151Global 147.94.112.155 Local 10.10.100.10Global 147.94.112.189 Local 10.100.101.3Global 147.94.112.163 Local 10.10.200.50Global 192.168.0.122 Local 10.100.151.1Global 147.94.112.173 Local 10.100.151.1Global 147.94.112.159 Local 10.100.100.5Global 147.94.112.150 Local 10.10.100.2Global WebSrv Local WebGlobal 147.94.112.169 Local 10.100.100.2

Global 147.94.112.147 Local 10.100.100.1Global 147.94.112.188 Local 10.100.100.9Global 147.94.112.157 Local 10.100.100.11Global 192.168.0.120 Local 10.10.100.1Global 147.94.112.148 Local 10.1.7.2

Firewall

CfgBrazil01.txt









15


ip inspect name SecurePolicy tcpip inspect name SecurePolicy udpip inspect name SecurePolicy icmpip inspect name DMZSecurity tcp

interface FastEthernet0/1ip address 81.255.255.49 255.255.255.240ip access-group Outside inip nat outsideip inspect SecurePolicy out

ip access-list extended Outsidepermit gre host 81.255.255.65 host 81.255.255.49permit gre host 81.255.255.81 host 81.255.255.49permit tcp any host 81.255.255.53 eq www

Nota Bene : prendre un routeur 2811 !

Contrôle en voie entrante









16





Contrôle en voie sortante par NAT, PAT

Services d’Audit







Journalisation, alertes de sécurité, sondeset outils d’évaluation des vulnérabilités



17


Architecture sécurisée







Filtrage d’accès et surveillance des

connexionsPolitique antivirale et filtrage de ports(couche 4)



Authentification, Autorisation, Comptabilité

Radius : Remote Address Dial-In User Service Authentification & Autorisation couplés

UDP, non connecté

Client NAS <- Connexion Cryptée (shared key) -> Serveur AAA

Mode négocié : PAP, CHAP, EAP MS-CHAP, rlogin…

TACACS+ Authentification, Autorisation, Comptabilité découplés

TCP

Client NAS <- Connexion Cryptée (shared key) -> Serveur AAA

Mode négocié : PAP, CHAP, EAP MS-CHAP, rlogin, KERBEROS…

KERBEROS Authentification

Client <- crypté (shared key) -> NAS <- crypté (shared key) -> Kerberos

UDP, non connecté

Mode Kerberos (peut être intégré au login : transparent)

Système de Single Sign On (SSO)

Notions de Royaumes et Domaines




18













Services communs

Service de fichiers

=> Partage, groupes de travail, collaboratif

=> Comptes mobiles

=> Nomadisme (extranet, ftp, accès VPN)

=> Sauvegarde



19













Utilisateur

MTA

Utilisateur

UA

MTA MTA

UAP2 : RFC 822 / MIME

P1: SMTP

P3: POP / IMAP


Mail Transport Agent

User Agent



20


POP

Post Office Protocol

Protocole de retrait de message entre UA etMTA

Les messages sont retirés du serveur etchargés dans des répertoires locaux

L’utilisateur cependant peut choisir de laisserune copie du message sur le serveur

Avantages : le serveur a besoin d’un espace

disque suffisant pour enregistrer les messagesle temps qu’ils soient retirés.

Inconvénients : tout se passe sur la machine locale

Si le débit de connexion est faible et s’il y a beaucoup demessages …


IMAP

Internet Message Access Protocol (1986)

Protocole de retrait de message entre UA etMTA

Le serveur est un serveur de fichiers

L’utilisateur consulte les messages, mais ne lescharge pas en local

Inconvénients : Le serveur doit être un « vrai » serveur de fichiers, car il

enregistre et conserve les messages de tous les utilisateurs.

Il faut organiser les « boîtes » avec plusieurs types d’ utilisateurset des modérateurs :

> Ceux qui peuvent lire, écrire et effacer les messages> Ceux qui peuvent lire et écrire les messages> Ceux qui peuvent seulement lire les messages



21


IMAP

Avantages :Rapidité de la consultation (seuls les en têtes sont transférés pourconsultation en local)

Idéal pour partager des messages : l’utilisateur peut s’abonner àdes « boîtes », selon ses droits.Exemple : [email protected] est un boîte que tous les utilisateurspeuvent lire (un ou plusieurs modérateurs peuvent effacer).

Un message est envoyé à [email protected], c’est une invitation à unesoirée avec un plan et une photographie attachés. Il pèse 452Ko.

Il y a 164 personnes dans la liste « tous ».Avec POP il est envoyé à tous les membres de la « liste tous ».Le serveur doit donc enregistrer 75 Mo de données (164 fois lamême chose).Avec IMAP, LE message est déposé dans la « boîte tous »(=452Ko).


Relais de messagerie

Dépose de message d’un serveur à un autre, ou à partir du mêmeserveur.







22



Envoie d’un message vers un autre domaine : NON car relaisouvert.



Envoie d’un message vers un autre domaine : OUIsi l’émetteur est authentifié (SMTP AUTH).

Ainsi, un spammer ne peut utiliser le service pour envoyer desmessages vers d’autres domaines.

Cela évite au serveur de messagerie de se retrouver en « listenoire ».



23


Service WebMail

Envoie d’un message vers un autre domaine : OUIcar l’émetteur se connecte sur un service WebMail

Un spammer ne peut utiliser le service pour envoyer desmessages vers d’autres domaines, car il doit s’authentifier.

Le texte du message transite via HTTP de l’utilisateur au serveurWebMail, puis via SMTP de ce serveur vers le serveur destinateur.

=> le service ne peut être assimilé à un relais ouvert.

HTTP


Architecture service mail iaai

Exim associé à des modules antivirus et anti-spam

Cyrus avec un module PAM (Plugable Auth. Module)



24













Extranet, VPN

Extranet Connexion aux ressources internes via un portail sécurisé

Accès https

Services ftp, mail, Webmail

VPN Client installé sur la station de travail de l’utilisateur

Notion de groupe, mot de passe de groupe

La connexion est configurée pour aboutir sur une PasserelleApplicative - Terminal Server (RPC)

- ou XDMCP

Les fichiers de configuration sont publiés sur le site (accèsrestreint)

Le terminateur VPN est configuré



25














Boot PXE Bios verrouillé – Seul boot possible : sur réseau

Service DHCP

Nom de la machine – Adresse MAC – Adresse IP dans LDAP

Service ePolicy

Première action de la machine : mise à jour des signatures

Service Ghost

Les images des différentes configurations sont conservées

En cas de problème : écrasement de m’image courante

=> Redémarrage de la machine en 25 minutes environ



26













Access ListsMise en œuvre de la sécurité LAN

Filtrage d’accès

Une ACL est une règle de filtrage définie sur une interface derouteur ou (switch L3) qui opère sur les couches 3 et 4

Chaque paquet entrant est comparé avec les conditions de larègle : si elles sont vérifiées, la commande associée à la règleest exécutée, sinon le paquet est comparée à l’ACL suivante.Si aucune ACL n’a « matché », le paquet est rejeté.

Les conditions peuvent être de différents types :adresse source (ACL simple)adresse source et/ou adresse destinationport …

Les actions sont permit ou deny (ou log, limitation detrafic…)

L’ACL est appliquée à une interface et une direction : in ou

out (Firewall : toujours in)



27


Algorithmede filtrage

Access ListsMise en œuvre de la

sécurité LAN

Filtrage d’accès



Bits de Masque

générique

Access Lists

Filtrage d’accès



28


Liste de Contrôle d’Accès standard (1-99)Host 172.167.12.49 = 172.167.12.49 0.0.0.0

any = 0.0.0.0 255.255.255.255

Permettre l'acheminement du trafic du réseau d'origine 172.16.0.0

access-list 1 permit 172.16.0.0 0.0.255.255

"deny any" implicite -> (access-list 1 deny 0.0.0.0 255.255.255.255)

interface ethernet 0ip access-group 1 out

interface ethernet 1ip access-group 1 out

Refuser un hôte particulier

access-list 2 deny host 172.16.4.13access-list 2 permit 0.0.0.0 255.255.255.255

"deny any" implicite -> (access-list 2 deny 0.0.0.0 255.255.255.255)

interface ethernet 0ip access-group 2 in

Filtrage d’accès


Liste de Contrôle d’Accès Étendues (100-199)

Filtrage d’accès



29


Refuser l'acheminement via E0 du trafic Telnet issu duréseau 172.16.4.0 et autoriser l'acheminement de toutautre trafic

access-list 101 deny tcp 172.16.4.0 0.0.0.255 any eq 23access-list 101 permit ip any any"deny any any" implicite -> (access-list 101 deny ip

0.0.0.0 255.255.255.2550.0.0.0 255.255.255.255)

interface ethernet 0ip access-group 101 in

Liste de Contrôle d’Accès Étendues (100-199)

Filtrage d’accès


Place desACLs

Refuser l’acheminement des donnéesdu routeur A vers le routeur D

Règle : placerle filtre au

plus près del’émetteur

Filtrage d’accès



30


Signification de l’ access-list :

access-list 101 permit tcp 134.14.112.64 0.0.0.31

134.14.112.128 0.0.0.31eq 23 established

access-list 101 deny ip 134.14.112.64 0.0.0.31134.14.112.128 0.0.0.31

access-list 101 permit ip anyany

ACLs - Exercice

Filtrage d’accès


Signification de l’ access-list :access-list 101 permit tcp 134.14.112.64 0.0.0.31 134.14.112.128 0.0.0.31

eq 23 establishedaccess-list 101 deny ip 134.14.112.64 0.0.0.31 134.14.112.128 0.0.0.31access-list 101 permit ip any any

Le masque générique est00000000.00000000.00000000.00011111 = 0.0.0.31

Tous les bits à « 0 » sont testés, donc seuls les 5 derniers bits du dernier octetd’adresse peuvent avoir des valeurs indifférentes.Nous avons visiblement à faire avec un réseau classe B subneté sur 27 bits, dontles sous-réseaux 134.14.112.64 et 134.14.112.128 sont filtrés par l’ACL.

Première ligne : tout le trafic TCP / TELNET (port 23) est autorisé entre le réseau134.14.112.64 et le réseau 134.14.112.128 s’il est déjà établi (established),c'est-à-dire si le paquet est une réponse à une connexion établie précédemment.Deuxième ligne : tout autre trafic entre le réseau 134.14.112.64 et le réseau134.14.112.128 est interdit.Troisième ligne : tous les autres trafics sont autorisés.(Ligne implicite : tous les autres trafics sont interdits.)

ACLs – Exercice - Solution

Il s’agit d’un filtrage asymétrique entre deux réseaux

Filtrage d’accès



31




















Filtrage d’accès et surveillance desconnexions

Politique antivirale et filtrage de ports(couche 4)




32


Architecture IAAIServicescomplets

pour 165 Stations deTravail, 14Serveurs,2 Firewalls,2 SwitchsL3, 10Switchs L2

Réseaux WIFI &Invités

PAS deNAC, PAS de 802.1X

PAS deCryptage


Compléments de cours

Couche d'accès : fournit des connexions auxhôtes sur un réseau Ethernet local.

Couche de distribution : permet d'interconnecter

les petits réseaux locaux.Couche principale : connexion haut débit entreles périphériques de la couche de distribution.



33


Le groupe de protocoles

Start

Web AuthIPSecL2TP

NoneStatic WEP802.1xWPAWPA2

OKDHCP

Layer 3

Layer 2

Le groupe de protocoles Layer 2 / Layer 3 pourl’authentification


EAP

802.1x

WPA WPA2

WEP TKIP AES

Session Key

TLS

Microsoft

TTLS

Funk

PEAP

Microsoft/Cisco/RSA

Encryption

Authentication

CertificateCredentials

Username/Password

Other

Future

Future

Le contexte 802.1x

Protocole d’Authentification Extensible



34


PKI – Distribution de clés publiques

CertificateAuthority (CA)

CA’s private key

Nom d’utilisateur

Clé publique

Informations CA

Signature du CA

CertificatX.509 de PC 1

CACert

CA’s public key

PC 2

Serial Number

Dates de validité2

1

3

Hash &Comparaison

4

Vérification d’identité


PKI – Vérification d’identité



35


PKI – Transmission de données

PC 2

Cryptage avec laclé publique de

PC1

PC 1

Décryptageavec la cléprivée de

PC1

(*&dg9SV#.s16%&rs05n`~g

(*&dg9SV#.s16%&rs05n`~g

Messagesecret …

PC 2 utilise PKI pour transmettre vers PC1 …

Transmission ducertificat de PC2et des données

cryptées

Réception desdonnées

cryptées et

vérification ducertificat de PC2

Messagesecret …

Enveloppe cachetée


EAP-TLS Digital Certificates

ServerX.509

Certificate

CAX.509

Certificate

CAX.509

Certificate

CA

RADIUS

ClientX.509

Certificate



36


EAP-PEAP-MSCHAPv2 Digital Certificates

ServerX.509

Certificate

CAX.509

Certificate

CAX.509

Certificate

CA

RADIUS

Username/

Password


EAP-PEAP-MSCHAPv2

Open Authentication

Association

AAA

MSCHAPv2 Exchange

EAP Request IdentityEAP Request Identity Response

Request EAP-PEAP & Certificate Presentation

TLS Negotiation Start

TLS Negotiation Done

Response EAP-PEAP

EAP Request Authentication Type

EAP Request Authentication Type Response

MSCHAPv2 Exchange Success

Data

Authentication orRADIUS/EAP

Server

Supplicant orClient

Request Connection

EAP Request Identity

EAP Request Identity ResponseTLS Tunnel

Authenticator orController



37


Compléments de cours


Couche de distribution : permetd'interconnecter les petits réseaux locaux.

Couche principale : connexion haut débit entreles périphériques de la couche de distribution.


IPSec

Complexe ! De nombreux protocoles

De nombreux concepts

Pourquoi ? C’est un mécanisme de négociation…

… pas un procédé de sécurité

Adapté de IPv6 sur IPv4

Conséquence De nombreux réglages & configurations

et une certaine incrédulité quand cela marche.



38


IPSec – Les protocoles

AH - Authentication Header ?

ESP - Encapsulating Security Payload ?

MD5, SHA1 – Message Digest, SecureHash ?

DES, 3DES, AES – Data EncryptionStandard ?

IKE, ISAKMP… - Internet Key Exchange

?



AH - Authentication Header Authentification

ESP - Encapsulating Security Payload ?




?



39




ESP - Encapsulating Security Payload Cryptage (+ Authentification optionnelle)




?





MD5, SHA1 – Message Digest, SecureHash Algorithmes de hachage



?



40






DES, 3DES, AES – Data EncryptionStandard Algorithmes de cryptage


?








Gestion de l’échange de clés



41








Gestion de l’échange de clés


IPSec – Les modes

Mode Transport Les données sont cryptées

Les informations IP ne sont pas cryptées

PC1 -------- PC2

Mode Tunnel Les données ET les informations IP sont

cryptées

PC1 <-> Routeur 1 -- Routeur 2 <-> PC2

Mode principal et mode agressif Dans la phase 1 négociation ISAKMP le mode

agressif divise le nombre d’étapes par 2



42


Isakmp & IKE

Internet Security Association and KeyManagement Protocol

IKE Phase 1 <=> La Security Association ISAKMP

IKE Phase 2 <= > Les SA AH et ESP

Security Association Algorithme de chiffrement

Algorithme d’authentification

Clé de session partagée

Une SA dans chaque sens !

Chaque SA est identifiée par Security Parameter Index etIP du partenaire


IPSec – Paquet IP

Champs du paquet IPv4 TOS, drapeaux (flg) et décalage fragment peuvent changer

Durée de vie (TTL) décroît à chaque passage de routeur

=> Contrôle d’en tête (Header Checksum) changeVers Hlen

flg

Données Transportées

Adresse IP Destination

RemplissageOptions (éventuelles)

TTL Protocole C ontrôle d'en Tête

Adresse IP Source

TOS Longueur Totale

Identification Décalage frag.



43


IPSec – Paquet IP

Champs du paquet IPv4 TOS, drapeaux (flg) et décalage fragment peuvent changer

Durée de vie (TTL) décroît à chaque passage de routeur

=> Contrôle d’en tête (Header Checksum) change

Vers Hlen

flg





Adresse IP Source

TOS Longueur Totale


Les champs variables ne sont pas pris en comptepar la fonction de hachage.


IPSec – Paquet IP

Champs Protocole Indique le type de protocole de l’en tête suivant

Par exemple : Protocole

DonnéesVers Hlen

flg





Adresse IP Source

TOS Longueur Totale




44


IPSec – Paquet IP

Champs Protocole Indique le type de protocole de l’en tête suivant

Par exemple : Protocole = TCPDonnées = Segment TCP

Vers Hlen

flg

TOS Longueur Totale


TTL TCP Contrôle d'en Tête

Adresse IP Source



Segment TCP


IPSec – En tête AH

Champs de l’en tête AH Suivant : protocole suivant (en tête suivant) Longueur (mots de 32 bits) de l’en tête AH (+ condensat) – 2 Réservé : 16 bits à zéro

SPI : Security Parameters Index – Identifiant de « session » Numéro de séquence : identification de chaque paquet Données d’authentification : « condensat » produit par la

fonction de hachage choisie

Suivant Long AH Réservé

SPI - Identifiant

Numéro de séquence

Données d'authentificationCondensat (Hash) produit par hachage



45


AH en Mode Transport


AH en Mode Tunnel



46


ESP en Mode Transport

Vers Hlen

flg

En-queue ESP

Authentification ESP

A u t h e n t i f i é

TOS Longueur Totale


TTL ESP Contrôle d'en Tête

Adresse IP Source


Options (éventuelles) Rempl issage

Segment TCP Crypté

En tête ESP

ESP peut aussi être utilisé en mode TunnelESP et AH peuvent être combinés


Configuration IPSEC Clés partagées

R(cfg)# crypto isakmp enable

R(cfg)# crypto isakmp policy 110 ;Isakmp priority

R(cfg-isakmp)# authentication pre-share

R(cfg-isakmp)# encryption aes ;IKE encrytion

R(cfg-isakmp)# group 2 ;Diffie-HellmanR(cfg-isakmp)# hash sha ;Hash algorithm => exit

R(cfg)# crypto isakmp key MonPasse address 172.30.2.2

R(cfg)# crypto ipsec transform-set MonSet esp-aes esp-sha-hmac

R(cfg)# crypto map MaMap 10 ipsec-isakmp

R(cfg-crypto-map)# match address TrafficPrive

R(cfg-crypto-map)# set transform-set MonSet

R(cfg-crypto-map)# set peer 172.30.2.2 => exit

R(cfg)# interface FAstEthernet 0/1

R(cfg-interface )# crypto map MaMap



47


Couche principale (Backbone)


Couche de distribution : permet d'interconnecterles petits réseaux locaux.

Couche principale : connexion haut débit entreles périphériques de la couche de distribution.


Tunnels GRE

Generic Routing Encapsulation

IP sur IP

Configurationint tunnel 0

tunnel source s0/0/0

tunnel destination 147.94.112.131

ip address 10.33.102.1 255.255.255.0

int tunnel 1

tunnel source s0/0/0

tunnel destination 147.94.112.137

ip address 10.33.103.1 255.255.255.0

Configuration

R(cfg)# access-list TrafficPrive permit gre host 172.30.1.1

host 172.30.2.2



48


Sécurisation des Tunnels GRE

Configuration

# ip extended access-list TrafficPrive

permit gre host 147.94.112.129 host 147.94.112.137


A vos claviersConfigurer le scenario suivant




A vos claviersConfigurer le scenario suivant

Votre opérateur vous a donné le réseau : 147.94.112.128 / 28

Configurez les routeurs opérateurs (centraux) – Procotole EIGRP

Configurez les routeurs Paris, Lyon et Marseille – Protocole OSPF area 0

Service de Firewall sur le routeur Paris avec Zone Interne et DMZ

Service DHCP centralisé sur le serveur DHCP de la DMZ

Service NTP – Serveur Routeur Paris (Stratum 3)

Service syslog (serveur en zone interne)

Service DNS Interne (Zone Interne) et Externe (DMZ)

Service AAA Radius

Service Web (DMZ)

Tunnel GRE Paris <-> Marseille & Tunnel GRE Paris <-> Lyon

Sécurisation des tunnels en IPSEC – clés partagés : Intech

Sécurité interne : 20 -> 10 et 30 -> 10 interdits,

10 autorisé partout, 20<->30 autorisé

Documents

Infrastructure So A