Configuration d'un tunnel VPN site à site entre les routeurs de la gamme RV et les appareils de sécurité adaptatifs de la gamme ASA 5500

Objectif

La sécurité est essentielle pour protéger la propriété intellectuelle d'une entreprise tout en assurant la continuité de l'activité et en permettant aux employés qui ont besoin d'un accès aux ressources de l'entreprise à tout moment et en tout lieu d'accéder à l'espace de travail de l'entreprise.

Les solutions de sécurité VPN prennent de plus en plus d'importance pour les petites et moyennes entreprises. Un VPN est un réseau privé construit au sein d'une infrastructure de réseau public, telle qu'Internet global. Un VPN étend un réseau privé entre des bureaux géographiquement séparés. Il permet à un ordinateur hôte d’envoyer et de recevoir des données sur des réseaux publics, car ils faisaient partie intégrante du réseau privé et disposaient de toutes les fonctionnalités. Les VPN augmentent la sécurité d'une entreprise distribuée, ce qui facilite le travail du personnel depuis différents sites sans compromettre le réseau. Les motivations d'utiliser le VPN sont les exigences de « virtualiser » une partie des communications d'une entreprise et l'économie des communications.

Il existe différentes topologies VPN : Concentrateur et rayon, point à point et maillage global. Cette astuce intelligente couvre le VPN site à site (point à point), qui fournit une infrastructure Internet pour étendre les ressources réseau aux bureaux distants, aux bureaux à domicile et aux sites de partenaires commerciaux. Tout le trafic entre les sites est chiffré à l'aide du protocole de sécurité IP (IPsec) et les fonctionnalités réseau telles que le routage, la qualité de service (QoS) et la prise en charge de la multidiffusion sont intégrées.

Les routeurs de la gamme Cisco RV offrent des solutions VPN robustes et faciles à gérer aux petites entreprises soucieuses de leurs coûts. Les appareils de sécurité adaptatifs de la gamme Cisco ASA 5500 aident les entreprises à équilibrer la sécurité et la productivité. Il combine le pare-feu d'inspection dynamique le plus déployé du secteur à des services complets de sécurité réseau de nouvelle génération, notamment : visibilité et contrôle granulaire des applications et des micro-applications, sécurité Web, systèmes de prévention des intrusions (IPS), accès distant hautement sécurisé, etc.
Ce guide court décrit un exemple de conception pour la création d'un VPN IPsec site à site entre des routeurs de la gamme RV et des appliances de sécurité adaptatifs de la gamme ASA 5500 et fournit des exemples de configuration.

Périphériques pertinents

Routeurs VPN · gamme Cisco RV0xx
•Dispositifs de sécurité adaptatifs de la gamme Cisco ASA 5500

Version du logiciel

· 4.2.2.08 [Routeurs VPN de la gamme Cisco RV0xx]

Préconfiguration

L'image suivante présente un exemple de mise en oeuvre d'un tunnel VPN site à site à l'aide d'un routeur de la gamme RV (site distant) et d'un ASA 5500 (bureau principal).



Avec cette configuration, un hôte du réseau de site distant 122.166.12.x et un hôte du VLAN 1 du bureau central peuvent communiquer entre eux en toute sécurité.

Fonctionnalités principales

IKE (Internet Key Exchange)

Internet Key Exchange (IKE) est le protocole utilisé pour configurer une association de sécurité (SA) dans la suite de protocoles IPsec. IKE s'appuie sur le protocole Oakley et le protocole ISAKMP (Internet Security Association and Key Management Protocol), et utilise un échange de clés Diffie-Hellman pour configurer un secret de session partagé, à partir duquel les clés cryptographiques sont dérivées. Une stratégie sécurisée pour chaque homologue doit être gérée manuellement.

Sécurité du protocole Internet (IPSec)

IPsec utilise des services de sécurité cryptographique pour protéger les communications sur les réseaux IP (Internet Protocol). IPsec prend en charge l'authentification des homologues au niveau du réseau, l'authentification de l'origine des données, l'intégrité des données, la confidentialité des données (cryptage) et la protection de relecture. IPSec implique de nombreuses technologies de composants et méthodes de cryptage. Pourtant, le fonctionnement d'IPSec peut être divisé en cinq étapes principales :
Étape 1. « Trafic intéressant » initie le processus IPSec : le trafic est jugé intéressant lorsque la stratégie de sécurité IPSec configurée dans les homologues IPSec démarre le processus IKE.
Étape 2. Phase 1 du protocole IKE : IKE authentifie les homologues IPSec et négocie les SA IKE au cours de cette phase, en mettant en place un canal sécurisé pour négocier les SA IPSec au cours de la phase 2.
Étape 3. IKE phase 2 - IKE négocie les paramètres de SA IPSec et configure les SA IPSec correspondantes dans les homologues.
Étape 4. Transfert de données : les données sont transférées entre homologues IPSec en fonction des paramètres et des clés IPSec stockés dans la base de données SA.
Étape 5. Terminaison du tunnel IPSec : les SA IPSec se terminent par suppression ou par temporisation.

ISAKMP

Le protocole ISAKMP (Internet Security Association and Key Management Protocol) permet de négocier le tunnel entre les deux points d'extrémité.  Il définit les procédures d'authentification, de communication et de génération de clés et est utilisé par le protocole IKE pour échanger des clés de chiffrement et établir la connexion sécurisée.

Conseils de conception

Topologie VPN - Avec un VPN site à site, un tunnel IPsec sécurisé est configuré entre chaque site et tous les autres sites. Une topologie multisite est généralement mise en oeuvre sous forme de maillage complet de tunnels VPN site à site (c'est-à-dire que chaque site a établi des tunnels vers tous les autres sites). Si aucune communication n'est nécessaire entre les bureaux distants, une topologie VPN en étoile est utilisée pour réduire le nombre de tunnels VPN (c'est-à-dire que chaque site établit un tunnel VPN uniquement vers le bureau central).
Adressage IP WAN et DDNS : le tunnel VPN doit être établi entre deux adresses IP publiques. Si les routeurs WAN reçoivent des adresses IP statiques du fournisseur d'accès à Internet (FAI), le tunnel VPN peut être mis en oeuvre directement à l'aide d'adresses IP publiques statiques. Cependant, la plupart des petites entreprises utilisent des services Internet haut débit économiques tels que DSL ou modem câble et reçoivent des adresses IP dynamiques de leurs FAI. Dans de tels cas, DDNS peut être utilisé pour mapper l'adresse IP dynamique à un nom de domaine complet (FQDN).
Adressage IP LAN : l'adresse réseau IP LAN privée de chaque site ne doit pas comporter de chevauchement. L'adresse réseau IP LAN par défaut de chaque site distant doit toujours être modifiée.
Authentification VPN - Le protocole IKE est utilisé pour authentifier les homologues VPN lors de l'établissement d'un tunnel VPN. Il existe différentes méthodes d'authentification IKE et la clé pré-partagée est la méthode la plus pratique. Cisco recommande l'application d'une clé forte prépartagée.
Cryptage VPN - Pour garantir la confidentialité des données transportées sur le VPN, des algorithmes de chiffrement sont utilisés pour chiffrer la charge utile des paquets IP. DES, 3DES et AES sont trois normes de cryptage courantes. AES est considéré comme le plus sécurisé par rapport aux DES et 3DES. Cisco recommande vivement l'application d'un cryptage AES-128 bits ou supérieur (par exemple, AES-192 et AES-256). Cependant, plus l'algorithme de chiffrement est fort, plus il a besoin de ressources de traitement.

Conseils de configuration

Liste de contrôle de préconfiguration
Étape 1. Assurez-vous que l'ASA et le routeur RV sont tous deux connectés à la passerelle Internet (routeur ou modem du FAI).
Étape 2. Allumez le routeur Cisco RV, puis connectez les ordinateurs, serveurs et autres périphériques IP internes au commutateur LAN ou aux ports de commutation du routeur RV.
Étape 3. Faites de même pour le réseau derrière l'ASA. Étape 4. Assurez-vous que les adresses réseau IP LAN sont configurées sur chaque site et qu’elles sont des sous-réseaux indifférents. Dans cet exemple, le réseau local du bureau central utilise 192.168.10.0/24,and et le réseau local du site distant utilise 122.166.12.0/24.
Étape 4. Assurez-vous que les PC et les serveurs locaux sont en mesure de communiquer entre eux et avec le routeur.

Identification de la connexion WAN

Vous devez savoir si votre FAI attribue une adresse IP dynamique ou si vous avez reçu une adresse IP statique. Généralement, le FAI donne une adresse IP dynamique, mais vous devez confirmer cette adresse pour terminer la configuration.

Configuration du routeur RV042G sur le site distant

Étape 1. Connectez-vous à l'interface utilisateur Web et accédez à la section VPN > Gateway to Gateway. Puisque nous ajoutons une connexion LAN à LAN, les points d'extrémité seront la passerelle de chaque réseau.



Étape 2. configuration des points d’extrémité locaux et distants sur le routeur
a) Configurez le nom du tunnel pour l'identifier à partir de tous les autres tunnels que vous avez peut-être déjà configurés.



b) La configuration du groupe local configure le ou les hôtes locaux à autoriser sur le tunnel VPN. Assurez-vous que vous disposez du sous-réseau et du masque appropriés pour le réseau que vous souhaitez autoriser sur le tunnel.



C) Remote Group Setup (Configuration du groupe distant) configure le trafic réseau et le point de terminaison distants que le routeur doit rechercher.  Entrez l'adresse IP statique de la passerelle distante pour établir la connexion dans le champ d'adresse IP de la passerelle.  Saisissez ensuite le sous-réseau autorisé sur le VPN à partir du site distant (le réseau local du bureau central).



Étape 3. Configurez les paramètres du tunnel.
a) Vous devez configurer une clé pré-partagée pour obtenir des résultats optimaux.
Les phases 1 et 2 représentent différentes phases d’authentification, la phase 1 crée le tunnel initial et commence la négociation, et la phase 2 finalise la négociation de clé de chiffrement et protège la transmission des données une fois le tunnel établi.
b) Le groupe DH correspondra au groupe de stratégies crypto isakmp sur l'ASA, que vous verrez dans la section suivante.  Sur l'ASA, la valeur par défaut est Group 2, et les versions plus récentes du code ASA nécessitent au moins DH Group 2.  Le compromis est qu'il s'agit d'un bit plus élevé et qu'il faut donc plus de temps processeur.
c) Le chiffrement de phase 1 définit l’algorithme de chiffrement utilisé.  La valeur par défaut sur la série RV est DES, mais la valeur par défaut sur l'ASA est 3DES.  Cependant, il s'agit de normes plus anciennes et elles ne sont pas efficaces dans leur mise en oeuvre actuelle.  Le cryptage AES est plus rapide et plus sécurisé, et Cisco recommande au moins AES-128 (ou simplement AES) pour des résultats optimaux.
d) L’authentification de phase 1 vérifie l’intégrité des paquets.  Les options sont SHA-1 et MD5, et elles doivent fonctionner car elles produisent des résultats similaires.
La configuration de la phase 2 suit les mêmes règles que la phase 1.  Lors de la configuration des paramètres IPSec, gardez à l'esprit que les paramètres de l'ASA doivent CORRESPONDRE à ceux du RV042G.  S'il y a des divergences, les périphériques ne pourront pas négocier la clé de chiffrement et la connexion échouera.

Note: Veillez à enregistrer les paramètres avant de quitter cette page !

Configuration de l'ASA 5500 au bureau principal (CLI)

Note: Veillez à utiliser la commande “ write mem ” souvent pour éviter de perdre des configurations. Tout d'abord, voici les interfaces que nous avons configurées sur l'ASA.  Les vôtres peuvent différer, donc assurez-vous de modifier les configurations en conséquence.



Étape 1. Configuration de la gestion du chiffrement (ISAKMP)
La première étape sera la mise en place de la politique ISAKMP, qui est utilisée pour négocier le cryptage du tunnel.  Cette configuration doit être IDENTIQUE sur les deux points d'extrémité.  Vous allez configurer les paramètres de chiffrement pour qu'ils correspondent à la phase 1 de la configuration RV.



Étape 2. Sélection du trafic
C'est la même chose que pour le groupe de sécurité local et distant sur le routeur RV042G.  Sur l'ASA, nous utilisons des listes d'accès pour définir ce que le réseau juge “ trafic intéressant ” autoriser sur le VPN.
Configurez d'abord les objets réseau pour le site distant et le site local :



Configurez ensuite la liste d'accès pour utiliser ces objets :



Vous pouvez également utiliser les sous-réseaux eux-mêmes, mais dans les implémentations plus grandes, il est plus facile d'utiliser des objets et des groupes d'objets.
Étape 3. Configuration du tunnel IPSec (authentification de phase 2)
Nous allons configurer ici le ” du jeu de transformation “ et le groupe de tunnels, qui va configurer l'authentification de phase 2.  Si vous configurez la Phase-2 pour qu'elle soit différente de la Phase-1, vous aurez un jeu de transformation différent.  Ici esp-aes définit le cryptage et esp-sha-hmac définit le hachage.
La commande tunnel-group configure les informations de tunnel spécifiques à la connexion, comme la clé pré-partagée.  Utilisez l'adresse IP publique de l'homologue distant comme nom de groupe de tunnels.



Étape 4. Configuration de Crypto Map
Maintenant, nous devons appliquer la configuration des phases 1 et 2 à une ” de crypto-carte “ qui permettra à l'ASA d'établir le VPN et d'envoyer le trafic correct.  Pensez à cela comme à relier les éléments du VPN.



Étape 5. Vérifier l’état du VPN
Enfin, vérifiez les points d'extrémité pour vous assurer que la connexion VPN est active et fonctionne.  La connexion n'apparaîtra pas seule, vous devrez transmettre le trafic afin que l'ASA puisse le détecter et tenter d'établir la connexion. Sur l'ASA, utilisez la commande “ show crypto isakmpsa ” pour afficher l'état.



Sur le routeur RV42G, accédez à la page VPN > Summary et vérifiez l'état.

Scénario alternatif : Plusieurs sous-réseaux sur le réseau

Ne paniquez pas. Ce processus peut sembler extrêmement compliqué lorsque vous configurez le réseau, mais vous avez déjà effectué la partie la plus difficile ci-dessus. La configuration du VPN pour plusieurs sous-réseaux nécessite une configuration supplémentaire, mais très peu de complexité supplémentaire (sauf si votre schéma de sous-réseau est étendu). L'exemple que nous avons utilisé pour cette section utilise 2 sous-réseaux sur chaque site. La topologie de réseau mise à jour est très similaire :

Configuration du routeur RV042G

Comme avant, nous configurerons d'abord le RV042G. Le routeur RV042G ne peut pas configurer plusieurs sous-réseaux sur un seul tunnel. Nous devons donc ajouter une entrée supplémentaire pour le nouveau sous-réseau. Cette section couvre uniquement la configuration VPN pour plusieurs sous-réseaux, et non aucune configuration supplémentaire pour eux.
Étape 1. Configuration du premier tunnel
Nous utiliserons la même configuration pour chaque tunnel que pour l’exemple de sous-réseau unique.  Comme précédemment, vous pouvez le configurer en accédant à VPN > Gateway to Gateway et en ajoutant un nouveau tunnel, ou si vous utilisez un tunnel existant, accédez à la page VPN > Summary et modifiez le tunnel existant.
a) Configurez le nom du tunnel, mais modifiez-le car nous aurons plus d'un changement de nom pour être plus descriptif.



b) Ensuite, nous allons configurer le groupe local, comme auparavant.  Configurez cette option pour un seul des sous-réseaux nécessitant un accès.  Nous aurons une entrée de tunnel pour 122.166.12.x et une autre pour le sous-réseau 122.166.13.x.



c) Maintenant, configurez le site distant, en suivant à nouveau la même procédure que ci-dessus.



d) Enfin, configurez les paramètres de chiffrement.  Souvenez-vous de ces paramètres car vous voulez qu'ils soient identiques sur les deux tunnels que nous configurons.



Étape 2. Configuration du deuxième tunnel
Maintenant que le sous-réseau 1 est configuré pour le tunnel VPN, nous devons passer à VPN > Gateway to Gateway et ajouter un second tunnel.  Cette deuxième entrée sera configurée à peu près de la même manière que la première, mais avec les sous-réseaux secondaires de chaque site. 
a) Veillez à lui donner un nom distinctif afin de savoir quelle connexion il est.



b) Utilisez le deuxième sous-réseau comme groupe de ” de sécurité locale “.



C) Et utilisez le deuxième sous-réseau distant comme groupe de ” de sécurité à distance “.



d) Configurez le chiffrement pour les phases 1 et 2 de la même manière que pour le premier tunnel.

Configuration de l'ASA

Nous allons maintenant modifier la configuration sur l'ASA.  Cette configuration est incroyablement simple.  Vous pouvez utiliser la même configuration que ci-dessus, car elle utilise tous les mêmes paramètres de chiffrement, avec seulement une modification mineure.  Nous devons marquer le trafic supplémentaire comme “ ” intéressant pour que le pare-feu l'envoie via le VPN.   Puisque nous utilisons une liste d'accès afin d'identifier le trafic intéressant, tout ce que nous devons faire est de modifier cette liste d'accès.
Étape 1.  Pour commencer, supprimez l'ancienne liste d'accès, afin que nous puissions modifier les objets dans l'ASA.  Utilisez la forme “ no ” de la commande pour supprimer des configurations dans l'interface de ligne de commande.
Étape 2.  Une fois la liste de contrôle d’accès supprimée, nous voulons créer de nouveaux objets pour les nouveaux sous-réseaux concernés (en supposant que vous n’ayez pas déjà configuré ces sous-réseaux).  Nous voulons aussi les rendre plus descriptives.
Basé sur notre configuration VLAN ci-dessous :



Nous avons besoin d'un groupe d'objets pour le réseau interne principal (192.168.10.x) et le réseau d'ingénierie (192.168.20.x).  Configurez les objets réseau comme suit :



Étape 3.  Maintenant que les objets réseau concernés ont été configurés, nous pouvons configurer la liste d'accès pour marquer le trafic approprié.  Vous voulez vous assurer que vous avez une entrée de liste d'accès pour les deux réseaux derrière l'ASA aux deux sous-réseaux distants.  Le résultat final devrait ressembler à ceci.



Étape 4.  Maintenant, comme nous avons supprimé l'ancienne liste d'accès, nous devons la réappliquer à la crypto-carte en utilisant la même commande qu'auparavant :

Vérifier la connexion

Et c'est tout ! Votre tunnel devrait être opérationnel maintenant. Lancez la connexion et vérifiez l'état à l'aide de la commande “ show crypto isakmpsa ” sur l'ASA.



Sur la série RV, l'état s'affiche dans la page VPN > Summary.