Designing and Deploying Secure VPN’s with IOS FLEXVPN and GETVPN

Designing and Deploying Secure VPN’s with IOS FLEXVPN and GETVPN

Résumé Les grandes entreprises qui déploient IPSec VPN sur les réseaux IP sont confrontées à la grande complexité et le coût élevé de déploiement de plusieurs types de VPN pour répondre aux différents types de besoins de connectivité. Les clients doivent souvent apprendre le déploiement de plusieurs types de VPNs pour gérer les différents types de réseaux. Et une fois une technologie est choisie pour un déploiement, la migration ou l’ajout de nouvelles fonctionnalités pour améliorer le VPN sont souvent évités.

FlexVPN a été créé pour simplifier le déploiement Swip ta View next page des VPNs, pour pâlir solutions et pour cou r t distance, les télétrav C’est dans ce context iement de plusieurs 9 e N : l’accès ? te, t de fin d’études que j’ai effectué au sein de la société Intelcom. Le but de mon projet était d’explorer cette nouvelle technologie VPN, et d’établir un modèle de configuration global qui serait applicable à la situation de chaque client.

La premiere étape à réaliser pour établir un tel modèle était la conception d’une topologie qui couvre différents types de sites distants, nous avons procédé nsuite à la configuration complète de cette topologie. Le présent rapport constitue un compte-rendu de l’ensemble du

Désolé, mais les essais complets ne sont disponibles que pour les utilisateurs enregistrés

Choisissez un plan d'adhésion
travail que j’ai pu réaliser durant la période de ce stage et concourant à la réalisation des objectifs du projet connectivity needs. customers must often learn how to deploy several types ofVPNs in order to handle different networks.

And once a technology is chosen for deployment ,however, changing or adding new features to improve the VPN are often avoided. FlexVPN was created to simplify the deployment of VPN, to lighten the complexity of deploying multiple solutions to cover ll types of VPN remote access, remote workers and site-to-site, It was within this context that my project l’ve done at intelcom comany. My aim was to explore this new VPN technology, and to establish a global model configuration that would meet each customers need.

The first step to be done to establish such a model was to design a topology that covers different types of distant sites, then we proceeded to the final step of configuration of this topology. This report is a summary of all the work was able to achieve during the training period and contributing to the achievement of the project objectives. Table des matières Dédicace Remerciements 2g d’activité . 2. Présentation du projet 11 2. 1. Périmètre du projet Conclusion Chapitre 2 : Etude et analyse de l’existant . 2 Introduction 12 1. Vue d’ensemble sur le protocole Flexvpn . 13 1. 1 Présentation du VPN « Réseau Privé Virtuel 13 1. 2 Fonctionnement d’IKEv2 1. 3 Présentation du FlexVpn 14 1. 4 NHRP « Next Hop Resolution Protocol » . 15 2. Vue d’ensemble sur le protocole GetVpn 18 3. Comparaison entre FlexVpn et GetVpn 19 Chapitre 3 : Réalisation et mise en œuvre — 20 1. Conception de la topologie et outils de travail . 0 21 1. 1 . Conception de la 1. 2. outils utilisés . 1 Figure 3 : Requetes et réponses de résolution NHRP Figure 4 : Apercu du fonctionnement du GETVPN Cisco 4 2g sécurisée, évolutive et administrable de sécurité IP (IPsec) pour les VPN site à site et d’accès distant. Elle prend en charge le cryptage nouvelle génération, les dernières normes cryptographiques et les algorithmes cryptographiques (y compris Internet Key Exchange [IKE] Version 2, Suite B, et Advanced Encryption Standard [AES] 256), ainsi que la méthode AAA (authentication, authorization, accounting).

FlexVPN est un moyen de combiner plusieurs frameworks (crypto maps, EZVPN, DMVPN) en un seul CLI complet ce qui permet plus de flexibilité et offre les moyens d’étendre les fonctionnalités ? l’avenir. Mon projet au sein de « Intelcom Satec Group» vise à concevoir et à proposer une conception et un déploiement de réseaux privés virtuels sécurisés avec IOS FlexVPN. La solution FlexVPN intégrée aux routeurs ASR 1000 offre une sécurité IP (IPsec) et un accès VPN distant évolutifs, fiables et gérables.

Dans ce cadre le rapport ci présent, détaille le déroulement du rojet tout au long de cette période de stage en introduisant d’abord dans le premier chapitre le cadre et les objectifs du stage, pour ensuite présenter une étude bibliographique dans le deuxième chapitre. Elle fournira les notions théoriques nécessaires à la compréhension de notre solution, ainsi, il y aura un aperçu sur FlexVPN, IKEv2, NHRP, suivis de la description de la solution proposée ainsi que sa mise en œuvre dans le troisième chapitre.

Chapitre Contexte eénéral du proie s g solutions technologiques, spécialisée dans les services avancés liés aux nouvelles Technologies de l’Information. Elle a privilégié depuis 1987 la collaboration avec ses clients à travers l’innovation dans les processus, les ressources et les technologies, contribuant ainsi au changement, à la productivité et à la compétitivité dans leur activité. s principes qui régissent nos actions sont les suivants : une base technologique solide et la haute qualification de notre personnel, combinées à une gestion experte des fournisseurs, en veillant constamment à la qualité du produit ou du service, à une innovation permanente, à une longue expérience dans la mise en place de solutions chez plus d’un millier de clients et ? une relation privilégiée avec nos partenaires technologiques, toujours tournés vers le client et avec l’engagement ferme d’offrir des solutions et des services innovateurs adaptés à ses besoins spécifiques.

Notre effectif s’élève actuellement à plus de 1 200 personnes. Société à capital espagnol, Groupe SATEC est aujourd’hui un groupe d’entreprises international activement présent dans sept pays. En complément de son activité principale, le groupe SATEC détient à 100% une entreprise de fourniture de solutions spécifiques, dénommée InterHost et spécifiquement spécialisée ans le domaine des solutions d’ingénierie de centres de données et dhébergement de systèmes d’information. Localisation Groupe SATEC est présent dans six pays : en Espagne, au Portugal à travers sa filiale CONVEX, Consultorla e Integraçào de Systèmes ; au Maroc grâce à sa part majoritaire dans INTELCOM, S. A. ; en Algérie à travers SA TEC Al érie ; en Tunisie à travers SATEC Tunisie et en Angol 6 g SATEC Algérie ; en Tunisie à travers SATEC Tunisie et en Angola. Le Groupe SATEC possède des délégations dans les villes suivantes : Maroc : Rabat, Casablanca et Tanger. Espagne : Madrid, Barcelone, Bilbao, Séville, Valence, Vigo, Las Palmas, Avilés, Tolède, Aranda de Duero, Valladolid et Santander.

Portugal : Lisbonne et Porto. Algérie : Alger et Oran. Tunisie : Tunis. Angola : Luanda. 1 Secteurs d’activité Groupe SATEC est une multinationale espagnole d’intégration de solutions technologiques, spécialisée dans les services avancés associés aux nouvelles technologies de rinformation. Elle privilégie depuis 1987 la collaboration avec ses clients à travers l’innovation dans les processus, les moyens et les technologies, ontribuant ainsi au changement, à la productivité et la compétitivité de ses clients dans leur activité.

Groupe SATEC dispose d’une grande gamme de Solutions et de Services TIC qui couvrent les besoins du Client, recueillent et analysent leurs exigences pour leur développement, leur mise en place et leur maintenance ultérieures. Cette expérience a également servi à offrir des solutions et des services spécifiques ? quelconque secteur d’activité. 2. 1 Périmètre du projet Mon stage de fin d’étude au sein de Intelcom Satec Group a été une opportunité pour appl aissances théorique et

Conception et déploiement de réseaux privés virtuels sécurisés avec IOS FlexVPN et GETVPN. Vu les contraintes de temps et de confidentialité imposés par l’entreprise j’ai du travailler sur l’outil libre GNS3 permettant l’émulation et la simulation des réseaux informatiques, permettant ainsi d’étudier la faisabilité de la solution en fournissant tous les documents nécessaire pour le bon déroulement de cette dernière. Le projet s’articule autour de: Définition et comparaison des deux protocoles Flexvpn et Getvpn.

Préparation d’un environnement de test Flexvpn en utilisant GNS3. Préparation des scénarios de Tests. Déroulement des tests Flexvpn : Site to site. Hub and Spoke. Hub and Spoke avec tests de redondance En option : Rajout de la QOS. A répéter la méthodologie pour CetVPN. Les objectifs fixés dès le début du stage sont . D’Approfondir nos connaissances sur un certain nombre de technologies en suivant un plan d’étude qui nous a été remis. La conception d’une solution de sécurité suivant les contraintes imposées par l’équipe et le client.

Rédaction d’une proposition technique suivant les standards Intelcom en la matière. Respecter les délais imposés l’équipe et le client. Participer activement à la mise en œuvre de la solution. Ce chapitre introductif a été consacré essentiellement à la présentation de l’environn quel mon projet de 1. Vue d’ensemble sur le protocole FlexVpn Réseau Privé Virtuel permet de sécuriser des données transitant d’un point A à un point B. Ils fonctionnent aussi bien sur les données passant par le biais d’internet ainsi que sur les réseaux des entreprises.

L’entité réseau privé virtuel est un regroupement de trois sous- ensembles qui ont chacun leur importance et qu’il convient ‘analyser réseau : c’est un ensemble d’ordinateurs (y compris les périphériques qui y sont connectés) reliés ensemble par des canaux électroniques de communication, qui leur permettent d’échanger des informations entre eux, privé : ensemble de techniques de chiffrement visant à empêcher quiconque autre que le destinataire des éléments émis de pouvoir analyser et utiliser les renseignements fournis.

On entend également fournir une notion d’authentification, virtuel : procédé logiciel octroyant la capacité de s’émanciper des contraintes physiques. Ici, on s’appuiera sur les possibilités de TCP/IP. Le réseau VPN fait disparaitre la complexité habituellement associée à la notion de chiffrement des communications au- dessus des infrastructures IP. Il correspond à un nouveau type de VPN pour lequel la notion de tunnels VPN disparait. Et ceci tout en conservant la technologie sous-jacente IPsec et les services de chiffrement qu’elle fournit.

IPsec « Internet Protocol Security est un ensemble de protocoles qui permet de sécuriser les communications IP. Il fournit la confidentialité ainsi que l’intégrité des données nvoyées et permet l’authentification mutuelle entre les partic participants de la communication. Ces services sont assurés par le maintien d’un état partagé entre la source et la destination. Cet état défini entre autres les services spécifiques fournis aux paquets, les algorithmes de chiffrement utilisés par ces services et les clés utilisées par ces algorithmes.

L’approche la plus simple pour cet échange préalable est la gestion manuelle, qui consiste à laisser l’administrateur configurer manuellement chaque équipement utilisant IPsec avec les paramètres appropriés. Si cette approche s’avère relativement pratique dans un environnement statique et de petite taille, elle ne convient plus pour un réseau de taille importante, donc, la mise en place d’un état partagé manuellement passe difficilement l’échelle.

Des protocoles dynamiques sont donc nécessaires. IKEv2 est un de ces protocoles. 1. 2 Présentation d’IKEv2 IKEv2 est utilisé pour établir une connexion IPsec entre deux pairs. Cette connexion est appelée une association de sécurité (SA). Il existe deux types de SA : la IKE_SA et la CHILD SA. La IKE_SA est la première SA à être créée. Il s’agit de la SA où le secret partagé sur Diffie-Hellman, le cryptage et les algorithmes de hachage sont négociés.

La CHILD_SA est l’association de sécurité où le trafic réseau est envoyé. Toutes les communications IKE consistent en des paires de messages : une demande suivie par une réponse. Chaque paire représente un «échange». Si la réponse n’est pas reçue dans un certain intervalle de temporisation, le demandeur doit réémettre la demande ou abandonner la connexion. Figurel : Les échanges IKEv2 IKEv2 a deux phases initiales de né ociation qui permettent d’établir une association d 0 9