Ce document détaille la configuration du routeur pour établir un tunnel VPN IPSec à partir d'un PC fonctionnant sous Windows 2000/XP doté d'un Client VPN .
Pour cette configuration, il y aura un routeur Cisco à administrer et un PC de gestion. Le PC de gestion aura l'adresse IP 192.168.45.67 et le routeur Cisco sera administré grâce à son interface avec l'adresse IP 192.168.45.100. Voir Figure
 |
| Configuration du réseau |
Paramètres des politiques de sécurité
La politique de sécurité IKE phase 1 ou une SA ISAKMP avec les paramètres suivants:
- Triple-DES comme algorithme de chiffrement
- SHA-1 comme algorithme de hachage
- groupe 5 Diffie-Hellman comme groupe d'authentification
- clé partagée comme méthode d'authentification
- Triple-DES comme algorithme de chiffrement
- SHA-1 comme algorithme de hachage
- Transport comme mode du tunnel
Configuration des paramètres de IPsec sur le routeur Cisco
Les commandes suivantes permettent de définir la politique de sécurité IKE phase 1 de priorité 20 ou une SA ISAKMP avec comme 3-DES comme algorithme de chiffrement, SHA-1 comme algorithme de hachage, clé partagée comme méthode d'authentification et le group 5 comme groupe d'authentification Diffie-Hellman.
router#config
t
router(config)# crypto
isakmp policy 20
router(config-isakmp)#
encr 3des
router(config-isakmp)#
hash sha
router(config-isakmp)#
authentication pre-share
router(config-isakmp)#
group 5
router(config-isakmp)#
exit
router(config)#
router(config)#crypto isakmp key 0 thepassphrase address 192.168.45.67
Les commandes suivantes définissent IKE phase 2 en donnant la transform-set nommé admin_3des destiné à la crypto map ultérieure avec esp-3des comme algorithme de chiffrement et esp-sha-hmac comme algorithme d'authenfication et transport comme mode du tunnel
router(config)# crypto ipsec transform-set
admin_3des esp-3des esp-sha-hmac
router(cfg-config-trans)# mode transport
router(cfg-config-trans)# exit
router(config)#
Enfin, une crypto map doit être créé et ensuite appliquée à l'interface appropriée du routeur. La crypto map utilise une ACL pour indiquer que le trafic sortant doit être crypté. Ce sera le trafic du routeur vers le PC de gestion.L' ACL est crée par la commande:
router(config)# access-list 192 permit ip host 192.168.45.100 host 192.168.45.67
On lance la procédure de création d'une crypto map de priorité 10 nommée ADMIN_MAP avec une politique de gestion automatique des clés en trois phases:
- set peer donne le correspondant
- set transform-set admin_3des donne le transform-set associé à la crypto map
- match address 192 donne le trafic à chiffrer déterminé par l'ACL 192
router(config)#
crypto map ADMIN_MAP 10 ipsec-isakmp
router(config-crypto-map)# set peer 192.168.45.67
router(config-crypto-map)# set transform-set admin_3des
router(config-crypto-map)#
match address 192
router(config-crypto-map)# exit
router(config)#
La crypto map est appliquée sur l'interface appropriée du routeur grâce aux commandes suivantes:
router(config)# interface fastethernet 0/1
router(config-if)# crypto map ADMIN_MAP
router(config-if)# exit
router(config)#
exit
router#
Cela fournira une connexion sécurisée pour l'administration du routeur en utilisant, par exemple, une connexion telnet.
Source:SNAC/NSA
Aucun commentaire:
Enregistrer un commentaire
Nom
Prénom