epreuve e4 : conception et maintenance de solution...

NATHAN VIDAL--FAGES

SESSION 2019

Epreuve E4 : Conception et maintenance de solution informatiques

PROJET 2 : MISE EN PLACE D’UN TUNNEL VPN SITE A SITE IPSEC

NATHAN VIDAL--FAGES

BTS Services Informatiques aux Organisations

Option Solutions d’Infrastructure, Systemes et Reseaux

Document technique

NATHAN VIDAL--FAGES

Table des matières

Introduction _______________________________________________________________ 4

Description de l’entreprise _______________________________________________________ 4

Nature de l’activité : _____________________________________________________________ 5

Environnements : _______________________________________________________________ 5

Schéma réseau : ________________________________________________________________ 5

Les différents protocole VPN : _____________________________________________________ 6

Algorithme d’authentification _____________________________________________________ 6

Protocole de sécurité ____________________________________________________________ 7

Algorithme de cryptage __________________________________________________________ 7

Diffie-Hellman (DH) _____________________________________________________________ 8

Configuration du routeur principale de la société GSB ______________________________ 9

Creation d’une sécurité __________________________________________________________ 9

Creation d’une police ___________________________________________________________ 10

Création d’une sécurité du tunel IPsec: _____________________________________________ 12

Creation de la police du tunel IPsec sur le routeur principal ____________________________ 13

Configuration du routeur distant ______________________________________________ 14

Post-configuration _____________________________________________________________ 14

Configuration de la sécurité ______________________________________________________ 15

Creation du tunel IPsec sur le routeur distant _______________________________________ 16

Conclusion ________________________________________________________________ 18

NATHAN VIDAL--FAGES

Tables des illustrations :

Figure 1 - Logo ______________________________________________________________________________ 4 Figure 2 - Shéma reseau ______________________________________________________________________ 5 Figure 3 –Présentation des choix de la sécurité ____________________________________________________ 9 Figure 4 – Choix des paramètre de sécurité _______________________________________________________ 9 Figure 5 – Ajout des paraèmtres de sécurités _____________________________________________________ 10 Figure 6 – Création de la police ________________________________________________________________ 10 Figure 7 – Paramètre de la police ______________________________________________________________ 11 Figure 8 – Validation de la creation de la police ___________________________________________________ 11 Figure 9 -Creation d’une sécurité du tunnel VPN __________________________________________________ 12 Figure 10 - Creation de la police de sécurité ______________________________________________________ 12 Figure 11 – Création de la sécurité _____________________________________________________________ 13 Figure 12 - Choix des paramètres du tunnel ______________________________________________________ 13 Figure 13 - Validation du tunnel VPN sur le routeur principale _______________________________________ 14 Figure 14 - Mise à jour Routeur distant _________________________________________________________ 14 Figure 15 - Lan _____________________________________________________________________________ 14 Figure 16 - Configuration DHCP _______________________________________________________________ 14 Figure 17 – Configuration d’une police IKE _______________________________________________________ 15 Figure 18 – Création de la police sur le routeur distant _____________________________________________ 15 Figure 19 – Validation de la sécurité sur routeur distant ____________________________________________ 16 Figure 20 – Creation du tunnel VPN distant ______________________________________________________ 16 Figure 21 – Paramètre du tunnel VPN distant ____________________________________________________ 17 Figure 22 – Validation du tunnel VPN distant _____________________________________________________ 17

NATHAN VIDAL--FAGES 4

Introduction

Figure 1 - Logo

Description de l’entreprise

- Le secteur d'activité L’industrie pharmaceutique est un secteur très lucratif dans lequel le mouvement de fusion acquisition est très fort. Les regroupements de laboratoires ces dernières années ont donné naissance à des entités gigantesques au sein desquelles le travail est longtemps resté organisé selon les anciennes structures. Des déboires divers récents autour de médicaments ou molécules ayant entraîné des complications médicales ont fait s'élever des voix contre une partie de l'activité des laboratoires : la visite médicale, réputée être le lieu d' arrangements entre l'industrie et les praticiens, et tout du moins un terrain d'influence opaque. - L'entreprise Le laboratoire Galaxy Swiss Bourdin (GSB) est issu de la fusion entre le géant américain Galaxy (spécialisé dans le secteur des maladies virales dont le SIDA et les hépatites) et le conglomérat européen Swiss Bourdin (travaillant sur des médicaments plus conventionnels), lui même déjà union de trois petits laboratoires . En 2009, les deux géants pharmaceutiques ont uni leurs forces pour créer un leader de ce secteur industriel. L'entité Galaxy Swiss Bourdin Europe a établi son siège administratif à Paris. Le siège social de la multinationale est situé à Philadelphie, Pennsylvanie, aux Etats-Unis.


Environnement technologique :

- Un switch de niveau 3, Cisco SG300-10 - Un routeur TP-LINK TL-ER6020 - Un routeur TL-R600VPN - Un Windows server 2016 avec un controleur de domaine - Une machine sur Windows 10 - Une autre manchine sur machine sur Windows 7

Schéma réseau :

Figure 2 - Shéma reseau

Nature de l’activité :

Contexte : Pour répondre aux besoins de l’entreprise GSB, après la mise en place un contrôleur de domaine sous Windows Server 2016 R2. L’entreprise souhaite etendre son réseau avec un de ses sites distant pour donner un accées sécurisé au réseau principal.

Objectifs : - Modifier un routeur existant - Installer un routeur - Créer la liaison VPN


Les différents protocol VPN :

- L2F(Layer Two Forwarding) qui est un protocole de niveau 2 développé par Cisco, Northern Telecom et Shiva. A noter qu’il est désormais obsolète.

- PPTP (Point-to-Point Tunneling Protocol) qui est aussi un protocole de niveau 2 développé par Microsoft, 3Com, Ascend, US Robotics et ECI Telematics.

- L2TP (Layer Two Tunneling Protocol), protocole de niveau 2 s’appuyant sur PPP, et qui fait converger les fonctionnalités de PPTP et L2F.

- GRE (Generic Routing Encapsulation), développé par Cisco, mais qui est souvent remplacé par L2TP.

- IPSec , un protocole de niveau 3, issu des travaux de l’ IETF(Internet Engineering Task Force, groupe participant à l’élaboration des standards Internet). Il permet de transporter des données chiffrées pour les réseaux IP.

- SSL (Secure Sockets Layer), quant à lui, offre une très bonne solution de tunnelisation. L'avantage de cette solution est de permettre l'utilisation d'un navigateur Web comme client VPN : on peut accéder à ce type de VPN avec un navigateur web via «https» . Dans les faits, il permet aux utilisateurs de mettre en place une connexion sécurisée au réseau depuis n’importe quel navigateur Web.

Algorithme d’authentification

- MD5 (message digest 5) : L'algorithme MD5, pour Message Digest 5, est une fonction de hachage cryptographique qui permet d'obtenir l'empreinte numérique d'un fichier (on parle souvent de message). Il a été inventé par Ronald Rivest en 1991. Si l'algorithme MD5 présente un intérêt historique important, il est aujourd'hui considéré comme dépassé et absolument impropre à toute utilisation en cryptographie ou en sécurité

- SHA-1 (Secure Hash Algorithm) : est un algorithme de hachage utilisé par les autorités de certification pour signer certificats et CRL (certificate revocation list). Introduit en 1993 par la NSA avec le SHA0, il est utilisé pour générer des condensats uniques (donc pour "hacher") de fichiers. Comme toute solution cryptographique, le SHA se doit d'évoluer en même temps que les capacités de calcul de nos ordinateurs et éviter de devenir vulnérable. Il existe donc plusieurs versions de SHA : SHA0 (obsolète puisque totalement vulnérable), SHA1 (actuellement le plus utilisé), SHA2 (qui nous intéresse) et enfin le tout dernier SHA3 né en 2012.


Protocole de sécurité

- ESP (Encapsulating Security Payload) : Le protocole ESP assure, en plus des fonctions réalisées par AH, la confidentialité des données et la protection partielle contre l’analyse du trafic, dans le cas du mode tunnel. C’est pour ces raisons que ce protocole est le plus largement employé.

- PPTP (Le protocole AH assure l’intégrité des données en mode non connecté et l’authentification de l’origine des datagrammes IP sans chiffrement des données . Son principe est d’ajouter un bloc au datagramme IP. Une partie de ce bloc servira à l’authentification, tandis qu’une autre partie, contenant un numéro de séquence, assurera la protection contre le rejeu. ➔ AH est approprié lorsque la confidentialité n’est pas requise ou n’est pas

permise.

Algorithme de cryptage

- DES : Le D.E.S. (ou Data Encryption Standard) naît en 1975 suite à une requête d'I.B.M. en 1960 pour son programme de recherche sur le chiffrement informatique. Au début, les spécialistes de la N.S.A. (National Security Agency, le service de sécurité intérieure américain) se cassent les dents dessus donc I.B.M. est contraint de l'utiliser sous une forme plus simple que prévu. L'utilisation du D.E.S. se généralise alors peu à peu dans les administrations américaines. Depuis, le D.E.S. est remis à niveau tous les 5 ans environ pour faire face à la puissance croissante des ordinateurs qui le mettent en péril. Il s'agit d'un système de chiffrement symétrique par blocs de 64 bits, dont 8 bits (un octet) servent de test de parité (pour vérifier l'intégrité de la clé). Chaque bit de parité de la clé (1 tous les 8 bits) sert à tester un des octets de la clé par parité impaire, c'est-à-dire que chacun des bits de parité est ajusté de façon à avoir un nombre impair de '1' dans l'octet à qui il appartient. La clé possède donc une longueur « utile » de 56 bits, ce qui signifie que seuls 56 bits servent réellement dans l'algorithme.

- 3DS : Le Triple DES (aussi appelé 3DES) est un algorithme de chiffrement symétrique par bloc, enchaînant 3 applications successives de l'algorithme DES sur le même bloc de données de 64 bits, avec 2 ou 3 clés DES différentes..

- AES (Advanced Encryption Standard) : Ce faisant, l'AES remplace le DES (choisi comme standard dans les années 1970) qui de nos jours devenait obsolète, car il utilisait des clefs de 56 bits seulement. L'AES a été adopté par le NIST (National Institute of Standards and Technology) en 2001. De plus, son utilisation est très pratique car il consomme peu de mémoire et n'étant pas basé sur un schéma de Feistel, sa complexité est moindre et il est plus facile à mettre en œuvre.


L'algorithme prend en entrée un bloc de 128 bits (16 octets), la clé fait 128, 192 ou 256 bits. Les 16 octets en entrée sont permutés selon une table définie au préalable. Ces octets sont ensuite placés dans une matrice de 4x4 éléments et ses lignes subissent une rotation vers la droite. L'incrément pour la rotation varie selon le numéro de la ligne. Une transformation linéaire est ensuite appliquée sur la matrice, elle consiste en la multiplication binaire de chaque élément de la matrice avec des polynômes issus d'une matrice auxiliaire,

Diffie-Hellman (DH)

Permet à deux appareils d’établir un secret partagé sur unenon sécurisé réseau. En terme deVPN il est utilisé dans la partie en configuration IKE ou Phase1 de la configuration du tunnel VPN.

- Groupe Diffie-Hellman 1 : Module 768 bits




Configuration du routeur principal de la société GSB

Le routeur TL-ER6020 se trouve déjà dans l’infrastructure de la société GSB, pour la creation

de la liaison, il est necessaire de modifier certains paramètres.

Creation d’une sécurité

Après connexion sur le routeur, dans le menu VPN -> IKE -> IKE Proposal.

Figure 3 –Présentation des choix de la sécurité

Il est necessaire de donner un nom à notre police.

Plusieurs paraèmetres sont possibles.

Pour ma part, je choisis les plus solides aux Crackages selon les propositions disponibles sur ce

routeur

Pour L’authentification : SHA1

Pour l’encrytion : AES256

Le groupe : DH5

Figure 4 – Choix des paramètre de sécurité


Sauvegarde des paramètres de sécurité.

Figure 5 – Ajout des paraèmtres de sécurités

Creation d’une police

Pour créer une police,c’est dans le menu VPN -> IKE -> IKE Policy

Le Internet Key Exchange (IKE) est un protocole utilisé pour mettre en place les informations de

sécurité partagées dans IPsec.

Choix de la première police IKE (il est possible d’en mettre plusieur)

Sa Lifetime : La période à passer avant d’établir une nouvelle association de sécurité.

DPD : choisir d’activer/désactiver la fonction DPD (Dead Peer Detect). Si elle est activée, le

paramètre IKE peut envoyer une demande DPD pour vérifier si la sécurité IKE est toujours

disponible.

Figure 6 – Création de la police


Choix d’un nom de la police.

Choix de la sécurité (précedement crée).

Durée de connexion du tunel avant réactualisation.

Figure 7 – Paramètre de la police

Validation de la creation de la police.

Figure 8 – Validation de la creation de la police


Création d’une sécurité du tunel IPsec:

Pour la creation d’un tunel VPN, il faut se rendre dans VPN -> IPsec -> IPsec Proposal.

Figure 9 -Creation d’une sécurité du tunnel VPN

Il est necessaire de donner un nom à notre sécurité.

Plusieurs paraèmetre sont possible.

Pour ma part, je choisis les plus solides aux Crackages selon les propositions disponibles sur ce

routeur.

Le protocol : IPsec ESP

Pour L’authentification : SHA1

Pour l’encrytion : AES256

Figure 10 - Creation de la police de sécurité


Validation de la creation de la police de sécurité.

Figure 11 – Création de la sécurité

Creation de la police du tunel IPsec sur le routeur principal

Creation du tunnel VPN avec la police de sécurité créer precedement.

Figure 12 - Choix des paramètres du tunnel


Validation de la creation du tunnel

Figure 13 - Validation du tunnel VPN sur le routeur principale

Configuration du routeur distant

Post-configuration

Verrification des mises à jour du routeur

Figure 14 - Mise à jour Routeur distant

Paramètre IP coté LAN et DHCP

Le DHCP pouvait etre deployer par le serveur GSB du site principal, mais en cas de coupure du

VPN, plus aucune adresse IP sera distribué. Pour palier ce problème, j’ai activer le serveur

DHCP sur le routeur, le serveur DNS principal et bien celui de GSB.

Figure 15 - Lan

Figure 16 - Configuration DHCP


Configuration de la sécurité

Creation d’une sécurité et d’une police sur le routeur distant.

IPsec VPN > IKE

Figure 17 – Configuration d’une police IKE

Choix d’un Nom de la sécurité

Il est necessaire de mettre les mêmes paramètres que le routeur principale.

Figure 18 – Création de la police sur le routeur distant


Validation de la police de sécurité

Figure 19 – Validation de la sécurité sur routeur distant

Creation du tunel IPsec sur le routeur distant

Creation du tunnel VPN : IPsec VPN > IPsec

Figure 20 – Creation du tunnel VPN distant


Creation du tunnel VPN, il est necessaire de mettre les même paramètres de sécurité que le

routeur principale.

Nom de la politique : choix du nom de la politique IPsec.

Sous-réseau local : le sous-réseau local (RL) et le masque.

Sous-réseau à distance : le sous-réseau et le masque des pairs.

Figure 21 – Paramètre du tunnel VPN distant

Validation du tunnel VPN du routeur distant.

Figure 22 – Validation du tunnel VPN distant


Conclusion

Avec ce projet, nous vous avons montré les démarches pour étendre le réseau GSB vers un

site distant de manière sécurisée.

Ces démarches comprennent l’installation et configuration de nouveaux routeurs pour

permettre la mise en place d’un tunnel VPN de type site à site. Ce tunnel VPN permet l’accès

aux ressources et services présents sur le contrôleur de domaine du site principal, tel que les

serveurs DNS, DHCP, de fichiers et les stratégies de groupe (GPO).

Il est possible de créer une trentaine de tunnels VPN.

epreuve e4 : conception et maintenance de solution...

Documents