IV.3. Interconnexion des LANs

Ce serveur aura la tâche de gérer et d'administrer les différents sites de l'Institut supérieure de pour faire valoir l'ordre dans ce système.

IV.3.1. Choix de la technologie

Nous avons choisi la technologie VPN d'Intranet, car ce dernier permet de relier au moins deux intranets de l'Institut supérieure de commerce entre eux. Ce type de réseau est particulièrement utile au sein d'une entreprise possédant plusieurs sites distants. Le plus important dans ce type de réseau est de garantir la sécurité et l'intégrité des données. Certaines données très sensibles peuvent être amenées à transiter sur le VPN (base de données clients, informations financières...).

IV.3.2. Maquette

La figure ci-dessous montre le schéma synoptique d'interconnexion des différents sites de l'Institut supérieure de commerce, mais à titre d'exemple nous avons interconnecté : KANANGA et KINSHASA:

Figure IV.1. Exemple d'interconnexion des sites de l'Institut supérieure de commerce par VPN

IV.3.3. Choix de fournisseur d'accès internet

Nous avons porté notre choix sur le fournisseur d'accès Internet Microcom.

A) Caractéristiques de la connexion Internet24(*)

v Débit 512 Kbit/s : c'est le débit qui permet la connexion VPN de l'Institut supérieure de commerce avec Microcom.

B) Matériels

Pour la connexion dédiée VPN, certains matériels sont fournis par Microcom tels que :

v Routeur CISCO 892, avec ce type de routeur on n'a pas besoin du modem sur la ligne car il est incorporé dans le routeur en option.

Comme les sites de l'Institut supérieur de commerce disposent maintenant d'un réseau informatique et la connexion Internet, passons à la configuration.

C) Présentation de résultats

a) Interface (Cisco Packet)

Figure IV.2 Interface Cisco Packet

D) Commande de configuration du routeur ISC/kga

ü Principe de mise en place du tunnel VPN

La mise en place du tunnel VPN peut paraître complexe, mais il s'agit plutôt d'une tâche qui demande beaucoup de rigueur.

En effet, il va falloir s'assurer qu'aux deux bouts du tunnel la configuration des différents paramètres soit identique. Voici le détail de la configuration sur SITE1:

Activation de ISAKMP (le protocole qui gère l'échange des clés,etc.)

SITE1 (config)# crypto isakmpenable

Création d'une stratégie de négociation des clés et d'établissement de la liaison VPN :

SITE1(config)# crypto isakmp policy 10

SITE1(config-isakmp)# encryption aes

SITE1(config-isakmp)# authentication pre-share SITE1(config-isakmp)# hash sha

SITE1(config-isakmp)# group 2

SITE1(config-isakmp)# lifetime 86400

On crée donc ici une stratégie avec un numéro de séquence 10. Ce numéro indique la priorité de l'utilisation de la stratégie. Plus petit est ce nombre plus la priorité est grande. On définit ensuite les paramètres:

v Encryptage AES

v Authentification par clé pré-partagées

v Algorithme de hachage SHA (valeur par défaut)

Méthode de distribution des clés partagées DH-2 (Algorithme de clé asymétriques Diffie-Hellman1024bits)

Durée de vie 86400 secondes (valeur par défaut)

On définit ensuite si on identifie le routeur par son adresse ou par son hostname (ici l'adresse), l'identification par hostname peut être utile si on fonctionne avec une adresse publique dynamique, ce qui permet d'éviter trop de modifications de configuration en cas de changement d'adresse.

SITE1 (config)# crypto isakmp identity address

On crée ensuite la clé pré-partagée, ici « CiscoLab » qu'on associe avec l'adresse de l'autre bout du tunnel donc 80.2.0.2

SITE1 (config) # crypto isakmp key 0 CiscoLab address 80.2.0.2

Le 0 indiquent qu'on définit la clé en texte clair, en opposition avec une clé déjà cryptée si on la copie d'un « show run » d'un routeur ou l'encryptage des mots de passe sont activé.

On a maintenant terminé la configuration de la partie qui gère la négociation des clés etc. La deuxième partie consiste à définir comment les données seront cryptées. Tout d'abord on crée la méthode de cryptage (transform-set) que l'on nomme VPNSET.

SITE1 (config)# crypto ipsectransform-set VPNSET esp-aes esp-sha-hmac.

Esp-aes est la méthode de cryptage, esp-sha-hmac est la méthode d'authentification. On définit ensuite la durée de vie de la clé de cryptage :

SITE1 (config) # crypto ipsec security-association lifetime kilobytes 4096

La durée de vie est ici limitée par un volume en kilobytes (4096), on peut également définir une durée de vie en secondes (ex:cryptoipsecsecurity-association lifetime seconds 3600).

Il faut maintenant créer une accès-list qui servira à identifier le traffic à traiter par le tunnel VPN. Pour SITE1, ce sera letraffic originaire de 192.168.1.1/24 à destination de 192.168.1.10/24. (Ce sera l'inverse pour SITE2). On crée donc une access-list étendue:

( SITE1(config)# ip access-list extended VPN

" SITE1 (config-ext-nacl)# permit ip 192.168.1.1 0.0.0.255 192.168.0.1 0.0.0.192

Reste maintenant à créer une Crypto-map dont le but est de rassembler les différents éléments configurés pour pouvoir les appliquer enfin à une interface.

" SITE1 (config)# crypto map VPNMAP 10 ipsec-isakmp

( SITE1(config-crypto-map)# match address VPN

( SITE1(config-crypto-map)# set peer 80.2.0.2

( SITE1(config-crypto-map)# set transform-set VPNSET

On a donc créé ici une Crypto-map nommée VPNMAP dans laquelle on intègre une séquence 10 (une seule crypto-map par interface, mais on peut ajouter plusieurs maps en leur indiquant des numéros de séquence différents), avec les paramètres suivants:

Activée pour le trafic correspondant à l'access-list VPN Destination du tunnel 80.2.0.2

Cryptage selon le transform-set VPNSET

La dernière étape consiste à appliquer cette cryptomap à l'interface WAN de SITE1.

( SITE1 (config)# interface serial 0/0

( SITE1(config-if)# crypto map VPNMAP

(SITE est prêt. Reste à faire l'équivalent sur SITE2. "

Parmi les points important, SITE2 soit avoir une stratégie isakmp identique à celle de SITE1 et l'access-list qui identifie le trafic à traiter par le tunnel VPN est inversée d'un point de vue de la source et de la destination.

( SITE2 (config)# crypto isakmp enable

( SITE2(config)# crypto isakmp policy 10

( SITE2 (config-isakmp)# encryption aes

( SITE2(config-isakmp)# authentication pre-share

( SITE2 (config-isakmp)# hash sha

( SITE2 (config-isakmp)# group 2

( SITE2 (config-isakmp)# lifetime 86400

( SITE2(config)# crypto isakmp identity address

( SITE2(config)# crypto isakmp key 0 CiscoLab address 80.1.0.2

( SITE2 (config)# crypto ipsec transform-set VPNSET esp-aesespsha-hmac

( SITE2(config)# crypto ipsec security-association lifetime kilobytes 4096

" SITE2(config)# ip access-list extended VPN

" SITE2(config-ext-nacl)# permit ip 192.168.0.1.255 192.168.1.1 0.0.0.255

" SITE2 (config)# crypto map VPNMAP 10 ipsec-isakmp

" SITE2(config-crypto-map)# match address VPN

" SITE2(config-crypto-map)# set peer 80.1.0.2

" SITE2(config-crypto-map)# set transform-set VPNSET

" SITE2 (config)# interface serial 0/0

" SITE2(config-if)# crypto map VPNMAP

* ²⁴ http://www.microm.com, consulté le 17 juillet 2021 à 15 heures 12'.