1 – Introduction
Poursuivons notre discussion sur les tunnels GRE. Si vous n’avez pas lu l’article lié au GRE, je vous recommande de jeter un coup d’œil à l’article « Étape par étape: Comprendre les tunnels du GRE ».
Dans cette section, nous allons améliorer la topologie que nous avons construite dans le post précédent, en ajoutant une couche de sécurité avec IPSec.
Pour rappel, nous avons déjà mis en place l’infrastructure suivante:
- Un tunnel GRE simple entre la branche-1 et la branche-2 avec leur interface série respective comme points de terminaison.
Pourquoi utiliser GRE sur IPSec au lieu de tunnels IPSec purs?
L’utilisation de tunnels GRE aux côtés d’IPSec présente plusieurs avantages, principalement parce qu’IPSec ne prend pas en charge le trafic autre que l’unicast. Cela peut entraîner des problèmes si vous prévoyez d’utiliser des services nécessitant un tel type de trafic, tels que des protocoles de routage tels que OSPF ou EIGRP.
Grâce au processus d’encapsulation GRE, le trafic de diffusion et de multidiffusion est encapsulé dans un paquet monodiffusion qui peut être traité par IPSec, ce qui rend le routage dynamique possible entre des pairs séparés par une zone réseau non sécurisée.
Vous pouvez simplement être prêt à implémenter IPSec si vous souhaitez bénéficier des atouts de GRE et êtes soucieux de la confidentialité (n’oubliez pas que GRE ne chiffre pas le trafic). De plus, les tunnels GRE offrent un niveau de résilience plus élevé que les keepalives IKE.
Inconvénients
Bien sûr, il y a plusieurs inconvénients à utiliser ce type de solution, considérez ce qui suit avant de mettre la main sur des choses techniques:
- L’utilisation de GRE consomme de la bande passante et impacte les performances. L’ajout d’un chiffrement peut encore plus modifier les ressources de traitement et augmenter la latence du réseau. Assurez-vous que votre infrastructure le soutiendra.
- Les entrées ACL doivent être maintenues manuellement, ce qui peut devenir fastidieux pour les moyennes et grandes entreprises.
- L’utilisation de tunnels Point à point GRE-over-IPSec ne s’adapte pas bien. Si vous prévoyez d’ajouter plusieurs sites distants, envisagez d’implémenter d’autres solutions telles que DMVPN, qui construit dynamiquement des tunnels entre des pairs distants tout en réduisant les tâches de gestion administrative.
2- Implémentation
Remarque: Afin de bénéficier des fonctionnalités cryptographiques IPSec, assurez-vous que votre version IOS les prend en charge. Vous pouvez utiliser l’outil Cisco Feature Navigator afin d’obtenir une liste complète des fonctionnalités prises en charge à http://www.cisco.com/go/fn
IKE Phase 1
Les options IPSec utilisées par les communications efficaces sont définies dans un ensemble de transformations. Dans cet exemple de configuration, nous utilisons à la fois AH et ESP avec AES pour le chiffrement et SHA pour les contrôles d’intégrité respectifs:
Branche- 1 | Branche-2 |
crypto ipsec transform-set STRONG ah-sha-hmac esp-aes 256 esp-sha-hmac carte cryptographique IPSEC_MAP 10 ipsec-isakmp liste d’accès IP étendue IPSEC_ACL Interface Série0/0 |
crypto ipsec transform-set STRONG ah-sha-hmac esp-aes 256 esp-sha-hmac carte crypto IPSEC_MAP 10 ipsec-isakmp liste d’accès IP étendue IPSEC_ACL Interface Serial0/1 |
Le trafic intéressant qui doit être chiffré à travers le tunnel est le trafic qui correspond à IPSEC_ACL. Maintenant, nous pouvons simplement regrouper toutes les options du tunnel dans une crypto-carte, en définissant l’adresse homologue distante et le trafic qui doit être crypté par quelle transformée spécifique. La stratégie ISAKMP n’est pas spécifiée dans la crypto-carte car elle est liée à la phase 1 d’ISAKMP et négociée en fonction de la configuration de chaque point de terminaison.
L’IPSEC_ACL doit être mis en miroir entre les 2 points de terminaison. En termes d’ordre, le trafic que vous devez chiffrer doit être accepté de l’autre côté. En conséquence, il suffit de basculer les sections source et destination pour chaque entrée sur les deux routeurs. Vous remarquerez que nous faisons correspondre le trafic sortant de l’interface physique : nous spécifions GRE comme type de trafic et les adresses source/destination du Tunnel
Enfin, la crypto-carte est appliquée sur l’interface physique. Notez que l’application de la carte sur l’interface Tunnel peut ne pas fonctionner comme prévu.
Le message de journal suivant doit être déclenché :
%CRYPTO-6-ISAKMP_ON_OFF : ISAKMP est ACTIVÉ
Vérification
Vous pouvez vérifier et dépanner les SA de phase 1 et 2 en émettant ‘show crypto isakmp sa’ et ‘show crypto ipsec sa’, respectivement.
Branche-1 (ISAKMP)
Branche-1 # afficher crypto isakmp sa
IPv4 Crypto ISAKMP SA
état de l’emplacement de conn-id d’état src dst
203.0.0.6 203.0.0.2 QM_IDLE 1001 0 ACTIF
IPv6 Crypto ISAKMP SA
La deuxième commande peut aider à surveiller le nombre de paquets parcourus le tunnel:
Branche-1 (IPSec, extrait)
Branche-1 # afficher crypto ipsec sa
interface: Serial0/0
Balise de carte crypto: IPSEC_MAP, addr local 203.0.0.2
vrf protégé: (aucun)
ident local(addr/mask/prot/port): (203.0.0.2/255.255.255.255/47/0)
ident distant (addr/mask/prot/port): (203.0.0.6/255.255.255.255/47/0)
current_peer 203.0.0.6 port 500
PERMIS, flags = {origin_is_acl,}
# pkts encapsule: 4, #pkts encrypte: 4, # pkts digest: 4
# pkts décapsule: 4, # pkts décrypte: 4, # pkts vérifie: 4
# pkts compressé: 0, # pkts décompressé: 0
# pkts non compressé: 0 , #pkts compr. échec : 0
# pkts non décompressés : 0, # échec de la décompression des pkts : 0
# erreurs d’envoi 1, # erreurs de recv 0
Si nous regardons à quoi ressemblent les paquets:
Notez que le ping de 10.0.1.1 à 10.0.2.1 se déplace vers sa destination en tant que paquet encapsulé authentifié (AH) et chiffré (ESP) selon les paramètres configurés ci-dessus.
Remarque: Un trafic intéressant doit être généré avant que le tunnel ne soit pleinement opérationnel. Si vous travaillez sur un environnement de laboratoire, vous pouvez snif le trafic ISAKMP et observer le fonctionnement du processus d’échange.
Cet article a pour but de partager les connaissances. Si vous trouvez quelque chose qui manque, ou qui devrait être amélioré, je serais heureux d’ajouter ces informations.