Différences

Ci-dessous, les différences entre deux révisions de la page.

--- activiteipsec [2021/12/05 21:52]
techer.charles_educ-valadon-limoges.fr
+++ activiteipsec [2021/12/05 23:26] (Version actuelle)
techer.charles_educ-valadon-limoges.fr
@@ Ligne 7: / Ligne 7: @@
 La suite de ce document est réalisé dans l'environnement mis en place avec VirtualBox.
-===== Configurer le tunnel =====
+===== Définir la politique de filtrage =====
-  * Depuis l'interface d'administration du SNS accédez au menu **VPN ⇒ VPN IPsec > onglet POLITIQUE DE CHIFFREMENT – TUNNELS** ;
+Réactiver la politique de filtrage **(10) Pass All**.
+===== Configurer le tunnel IPsec avec une clé partagée sur le premier SNS=====
+  * Depuis l'interface d'administration du SNS de l'un des extrémités du tunnel , accédez au menu **VPN ⇒ VPN IPsec > onglet POLITIQUE DE CHIFFREMENT – TUNNELS** ;
   * Dans la rubrique **SITE À SITE (GATEWAY – GATEWAY)**, cliquez sur **Ajouter ⇒ Tunnel site à site**.
-{{ :vpn_01.png?400 |}}
+{{ :vpn_01.png |}}
   * l'assistant de création du tunnel VPN IPsec permet de renseigner les principaux paramètres :
   * les extrémités de trafic (objet réseaux local et objet réseau distant)
   * l’extrémité de tunnel distante (le correspondant).
-{{ :vpn_02.png?400 |}}
+{{ :vpn_02.png |}}
-Si le correspondant n’existe pas, il faut le créer en cliquant sur le lien **Créer un correpondant IKEv2**  qui sera utilisé pour la négociation du tunnel.
+Si le correspondant n’existe pas, il faut le créer en cliquant sur le lien **Créer un correspondant IKEv2**  qui sera utilisé pour la négociation du tunnel.
-{{ :vpn_03.png?400 |}}
+{{ :vpn_03.png |}}
   * L'assistant de création du correspondant permet de renseigner les paramètres du correspondant :
-    * la passerelle distante,
+    * la passerelle distante en renseignant l’objet machine qui porte l’adresse IP du correspondant.
-    * le nom et la version IKE (1 ou 2). Par défaut, la version IKE 2 est utilisée à partir de la version 4.2.4.
+    * la clé partagée (PSK)
-    * Le champ Passerelle distante permet de renseigner l’objet machine qui porte l’adresse IP du correspondant.
+{{ :vpn_05.png |}}
+  * La dernière étape liste les paramètres renseignés et permet éventuellement d’ajouter une passerelle de secours.
+  * Cliquez sur **Terminer**, on retourne sur l’assistant de création du tunnel VPN.
+{{ :vpn_06.png |}}
+  * Sur la page de l'assistant de création du tunnel VPN, cliquez sur **Terminer**.
+Le tunnel VPN IPsec est ajouté sur une ligne distincte de la politique.
+Un résumé détaillé des paramètres de configuration peut être affiché en cliquant sur le pictogramme représentant un oeil.
+{{ :vpn_07.png |}}
+  * Cliquez sur **Enregistrer** pour créer le tunnel VPN et activer la politique.
+===== Profils de chiffrement =====
+  * Le profil de chiffrement phase 1 appelé également profil IKE est configuré au niveau du correspondant.
+  * Le profil de chiffrement phase 2, appelé profil IPSEC est configuré au niveau du tunnel VPN.
+{{ :vpn_08.png |}}
+Pour les deux phases, il existe trois profils préconfigurés :
+  * StrongEncryption,
+  * GoodEncryption
+  * Mobile.
+L’onglet **PROFILS DE CHIFFREMENT** du menu **VPN ⇒ VPN IPSec** permet de :
+  * Consulter et de modifier la configuration des profils préconfigurés,
+  * Définir les profils qui seront utilisés par défaut lors de l’ajout des tunnels,
+  * Créer de nouveaux profils phase 1 et phase 2 personnalisés.
+{{ :vpn_09.png |}}
+<WRAP center round todo>
+**A faire :**
+Configurez le tunnel VPN IPsec avec ces profils de chiffrement par défaut en configurant le SNS de l'autre extrémité du tunnel
+</WRAP>
+===== Fonction Keepalive =====
+La fonction Keepalive permet de maintenir le tunnel disponible en envoyant un paquet UDP à destination du réseau distant sur le port numéro 9, avec une certaine fréquence.
+Cela provoque la négociation initiale du tunnel, puis ses renégociations périodiques.
+Elle permet de configurer la fréquence en secondes avec laquelle les paquets UDP sont envoyés.
+===== Règles du pare-feu implicites=====
+Lors de la création du tunnel VPN IPsec site-à-site, des règles implicites sont ajoutées automatiquement pour autoriser la réception du trafic constituant un tunnel VPN IPSec : les ports UDP/500, UDP/4500 et le protocole ESP.
+Ces règles ne concernent que les flux entrants car les flux sortants sont déjà couverts par les règles flux implicites du firewall.
+{{ :vpn_10.png |}}
+===== Règles du pare-feu explicites=====
+Le trafic autorisé entre les usagers du tunnel doit être explicitement défini par des règles de filtrage :
+  * La première règle permet l’initiation de connexions à partir du réseau local Network_in et à destination du réseau distant LAN_IN_B.
+  * La deuxième règle permet, quant à elle, l’initiation de connexions à partir du réseau distant LAN_IN_B à destination du réseau local Network_in. La directive via Tunnel VPN IPSec a été ajoutée à la source de cette règle pour s’assurer que le trafic du réseau distant provient bien du tunnel VPN IPSec.
+<WRAP center round info>
+**NOTE :** ces règles sont très permissives puisqu’elles ne spécifient pas de flux particuliers. En situation réelle, il convient de définir une politique de filtrage qui décrit strictement les flux à autoriser afin de couvrir rigoureusement les communications nécessaires entre les différentes machines des deux sites.
+</WRAP>
+{{ :vpn_11.png |}}
+===== Les logs de la négociation IKE =====
+Le menu LOGS ⇒ VPN affiche les évènements relatifs au déroulement de la négociation IKE.
+Les extrémités de trafic qui ont provoqué les négociations et pour lesquelles le tunnel est disponible apparaissent explicitement sur la ligne de log concernant la négociation de phase 2.
+Dans le cadre d’un diagnostic, en particulier en cas de message d’erreur ou d’avertissement, il est essentiel de relever la phase de négociation pour laquelle les messages sont rapportés.
+Davantage d’informations, plus techniques, peuvent être affichées en cliquant sur la flèche qui se trouve dans l’en-tête de colonnes, puis sélectionnant les colonnes supplémentaires souhaitées.
+{{ :vpn_12.png |}}
+===== Supervision des tunnels VPN IPsec =====
+Le menu **Supervision ⇒ Tunnels VPN IPSec** permet de visualiser la politique VPN IPSec active sur le firewall.
+Lorsque l’option **Masquer les tunnels établis pour afficher uniquement les politiques présentant des problèmes** est cochée, seules les politiques qui n'ont pas de tunnels négociés s’affichent.
+{{ :vpn_13.png |}}
+En dessous, la section **Tunnels** permet, de superviser les tunnels disponibles.
+L’âge actuel des SA et les algorithmes retenus lors des négociations apparaissent.
+La colonne État peut afficher trois valeurs :
+  * **Larval* : le tunnel est en cours de négociation,
+  * **Mature** : la négociation des SA de phase 2 a abouti et le tunnel est opérationnel,
+  * **Dying** : les SA de phase 2 ont atteint 80 % de leurs durées de vie.
+{{ :vpn_14.png |}}
+====== Activité complémentaire 1 ======
+Créez les profils de chiffrement suivants :
+  * IKE Phase 1 : Diffie-Hellman (DH15 MODP), Durée de vie maximum (21600s), algorithme d’authentification (sha2_512) et algorithme de chiffrement (AES 256bits).
+  * IPSEC Phase 2 : PFS (DH15 MODP), durée de vie (3600s), algorithme d’authemtificatiom (hmac_sha512) et algorithme de chiffrement (AES 256bits).
+Appliquez vos nouveaux profils de chiffrement sur votre VPN. Puis vérifiez que tout fonctionne correctement.
+====== Activité complémentaire 2 ======
+Configure un tunnel VPN IPsec avec des certificats de votre autorité de certification.
+====== Activité complémentaire 3 ======
+Créez les profils de chiffrement suivants :
+Réalisez l’interconnexion de ces mêmes réseaux, mais en configurant des tunnels basés sur des VTI avec au choix du routage statique ou par politique (PBR).
+Documentation Stormshield sur les {{ :stormshield_vpn_ipsec_vti.pdf |tunnels VPN IPsec par VTI}}. :

Les cours du BTS SIO

Outils pour utilisateurs

Outils du site

Différences

Outils de la page