Configuration d'un tunnel VPN site à site entre des routeurs de la gamme RV et des appareils de sécurité adaptatifs de la gamme ASA 5500

Objectif

La sécurité est essentielle pour protéger la propriété intellectuelle d'une entreprise tout en assurant la continuité des activités et en permettant d'étendre le lieu de travail de l'entreprise aux employés qui ont besoin d'un accès aux ressources de l'entreprise à tout moment et en tout lieu.

Les solutions de sécurité VPN sont de plus en plus importantes pour les petites et moyennes entreprises. Un VPN est un réseau privé construit dans une infrastructure de réseau public, telle que l'Internet mondial. Un VPN étend un réseau privé entre des bureaux géographiquement éloignés. Il permet à un ordinateur hôte d’envoyer et de recevoir des données sur des réseaux publics, car ils faisaient partie intégrante du réseau privé et possédaient toutes les fonctionnalités. Les VPN augmentent la sécurité d'une entreprise distribuée, ce qui permet au personnel de travailler plus facilement depuis différents sites sans compromettre le réseau. Les motivations de l'utilisation du VPN sont les exigences pour « virtualiser » une partie des communications d'une organisation et l'économie des communications.

Il existe différentes topologies VPN : Hub and Spoke, Point-to-point et Full Mesh. Cette astuce porte sur le VPN site à site (point à point), qui fournit une infrastructure Internet permettant d'étendre les ressources réseau aux bureaux distants, aux bureaux à domicile et aux sites de partenaires commerciaux. Tout le trafic entre les sites est chiffré à l'aide du protocole IPsec (IP Security), et les fonctionnalités réseau telles que le routage, la qualité de service (QoS) et la prise en charge de la multidiffusion sont intégrées.

Les routeurs de la gamme Cisco RV fournissent aux petites entreprises des solutions VPN robustes et faciles à gérer. Les appareils de sécurité adaptatifs de la gamme Cisco ASA 5500 aident les entreprises à trouver un équilibre entre sécurité et productivité. Il associe le pare-feu d'inspection dynamique le plus déployé du secteur à des services de sécurité réseau de nouvelle génération complets, notamment : visibilité et contrôle granulaire des applications et des micro-applications, sécurité Web, systèmes de prévention des intrusions (IPS), accès à distance hautement sécurisé, etc.
Ce guide court décrit un exemple de conception pour la création d'un VPN IPsec site à site entre des routeurs de la gamme RV et des appareils de sécurité adaptatifs de la gamme ASA 5500 et fournit des exemples de configuration.

Périphériques pertinents

· Routeurs VPN de la gamme Cisco RV0xx
•Dispositifs de sécurité adaptatifs de la gamme Cisco ASA 5500

Version du logiciel

· 4.2.2.08 [Routeurs VPN de la gamme Cisco RV0xx]

Pré-configuration

L'image suivante présente un exemple d'implémentation d'un tunnel VPN site à site à l'aide d'un routeur de la gamme RV (site distant) et d'un ASA 5500 (bureau central).



Avec cette configuration, un hôte du réseau du site distant 122.166.12.x et un hôte du VLAN 1 du bureau central peuvent communiquer entre eux en toute sécurité.

Fonctionnalités principales

Internet Key Exchange (IKE)

IKE (Internet Key Exchange) est le protocole utilisé pour configurer une association de sécurité (SA) dans la suite de protocoles IPsec. IKE s’appuie sur les protocoles Oakley et ISAKMP (Internet Security Association and Key Management Protocol) et utilise un échange de clés Diffie-Hellman pour configurer un secret de session partagé, à partir duquel les clés cryptographiques sont dérivées. Une stratégie sécurisée pour chaque homologue doit être gérée manuellement.

Sécurité du protocole Internet (IPSec)

IPsec utilise des services de sécurité cryptographiques pour protéger les communications sur les réseaux IP (Internet Protocol). IPsec prend en charge l'authentification d'homologue au niveau du réseau, l'authentification de l'origine des données, l'intégrité des données, la confidentialité des données (chiffrement) et la protection de relecture. IPSec implique de nombreuses technologies de composants et méthodes de cryptage. Cependant, le fonctionnement d'IPSec peut être divisé en cinq étapes principales :
Étape 1. « Trafic intéressant » lance le processus IPSec. Le trafic est considéré comme intéressant lorsque la stratégie de sécurité IPSec configurée dans les homologues IPSec lance le processus IKE.
Étape 2. IKE phase 1 : IKE authentifie les homologues IPSec et négocie les associations de sécurité IKE au cours de cette phase, en configurant un canal sécurisé pour la négociation des associations de sécurité IPSec au cours de la phase 2.
Étape 3. IKE phase 2 : IKE négocie les paramètres des associations de sécurité IPSec et configure les associations de sécurité IPSec correspondantes dans les homologues.
Étape 4. Transfert de données : les données sont transférées entre des homologues IPSec en fonction des paramètres et des clés IPSec stockés dans la base de données SA.
Étape 5. Fin du tunnel IPSec : les associations de sécurité IPSec se terminent par suppression ou par dépassement du délai d'attente.

ISAKMP

Le protocole ISAKMP (Internet Security Association and Key Management Protocol) est utilisé pour négocier le tunnel entre les deux terminaux.  Il définit les procédures d'authentification, de communication et de génération de clé. Il est utilisé par le protocole IKE pour échanger des clés de cryptage et établir la connexion sécurisée.

Conseils de conception

Topologie VPN - Avec un VPN site à site, un tunnel IPsec sécurisé est configuré entre chaque site et chaque autre site. Une topologie multisite est généralement mise en oeuvre sous la forme d'un maillage complet de tunnels VPN site à site (c'est-à-dire que chaque site a établi des tunnels vers tous les autres sites). Si aucune communication n'est nécessaire entre les bureaux distants, une topologie VPN en étoile est utilisée pour réduire le nombre de tunnels VPN (c'est-à-dire que chaque site établit un tunnel VPN uniquement vers le bureau central).
Adressage IP WAN et DDNS - Le tunnel VPN doit être établi entre deux adresses IP publiques. Si les routeurs WAN reçoivent des adresses IP statiques du fournisseur d'accès Internet (FAI), le tunnel VPN peut être mis en oeuvre directement à l'aide d'adresses IP publiques statiques. Cependant, la plupart des petites entreprises utilisent des services Internet haut débit économiques, tels que des modems DSL ou câble, et reçoivent des adresses IP dynamiques de leurs FAI. Dans de tels cas, DDNS peut être utilisé pour mapper l'adresse IP dynamique à un nom de domaine complet (FQDN).
Adressage IP LAN - L'adresse réseau IP LAN privée de chaque site ne doit pas se chevaucher. L'adresse réseau IP LAN par défaut de chaque site distant doit toujours être modifiée.
Authentification VPN - Le protocole IKE est utilisé pour authentifier les homologues VPN lors de l'établissement d'un tunnel VPN. Il existe plusieurs méthodes d’authentification IKE, et la clé pré-partagée est la méthode la plus pratique. Cisco recommande d'appliquer une clé pré-partagée forte.
Cryptage VPN - Pour garantir la confidentialité des données transportées sur le VPN, des algorithmes de cryptage sont utilisés pour crypter la charge utile des paquets IP. DES, 3DES et AES sont trois normes de cryptage courantes. AES est considéré comme le plus sécurisé par rapport aux DES et 3DES. Cisco recommande vivement d'appliquer un cryptage AES-128 bits ou supérieur (par exemple, AES-192 et AES-256). Cependant, plus l'algorithme de cryptage est fort, plus il nécessite de ressources de traitement.

Conseils de configuration

Liste de contrôle de préconfiguration
Étape 1. Assurez-vous que l'ASA et le routeur RV sont tous les deux connectés à la passerelle Internet (routeur ou modem FAI).
Étape 2. Mettez le routeur Cisco RV sous tension, puis connectez les ordinateurs internes, les serveurs et les autres périphériques IP au commutateur LAN ou aux ports du commutateur sur le routeur RV.
Étape 3. Faites de même pour le réseau derrière l'ASA. Étape 4. Assurez-vous que les adresses réseau IP LAN sont configurées sur chaque site et qu'elles ne sont pas des sous-réseaux différents. Dans cet exemple, le réseau local du bureau central utilise 192.168.10.0/24,and et celui du site distant 122.166.12.0/24.
Étape 4. Assurez-vous que les ordinateurs et les serveurs locaux peuvent communiquer entre eux et avec le routeur.

Identification de la connexion WAN

Vous devez savoir si votre FAI vous a attribué une adresse IP dynamique ou si vous avez reçu une adresse IP statique. En général, le FAI fournit une adresse IP dynamique, mais vous devez le confirmer pour terminer la configuration.

Configuration du routeur RV042G sur le bureau distant

Étape 1. Connectez-vous à l'interface utilisateur Web et accédez à la section VPN > Gateway to Gateway. Étant donné que nous ajoutons une connexion de réseau local à réseau local, les points d'extrémité seront la passerelle de chaque réseau.



Étape 2. configuration des points d’extrémité locaux et distants sur le routeur
a) Configurez le nom du tunnel pour l'identifier à partir de tout autre tunnel que vous avez déjà configuré.



b) Local Group Setup configure le ou les hôtes locaux à autoriser sur le tunnel VPN. Assurez-vous que vous disposez du sous-réseau et du masque appropriés pour le réseau que vous souhaitez autoriser à traverser le tunnel.



C) Remote Group Setup configure le terminal distant et le trafic réseau que le routeur doit rechercher.  Entrez l'adresse IP statique de la passerelle distante pour établir la connexion dans le champ Gateway IP address.  Entrez ensuite le sous-réseau autorisé sur le VPN à partir du site distant (le réseau local du bureau central).



Étape 3. Configurez les paramètres du tunnel.
a) Vous voudrez configurer une clé pré-partagée pour des résultats optimaux.
Les phases 1 et 2 sont des phases différentes de l'authentification, la phase 1 crée le tunnel initial et commence la négociation, et la phase 2 finalise la négociation de la clé de cryptage et protège la transmission des données une fois le tunnel établi.
b) Le groupe DH correspondra au groupe de politiques crypto isakmp sur l'ASA, que vous verrez dans la section suivante.  Sur l'ASA, la valeur par défaut est le groupe 2, et les versions plus récentes du code ASA nécessitent au moins le groupe DH 2. Le compromis est qu'il s'agit d'un bit plus élevé, ce qui nécessite plus de temps processeur.
c) Phase 1 Encryption (Cryptage de phase 1) définit l'algorithme de cryptage utilisé.  La valeur par défaut sur la série RV est DES, mais la valeur par défaut sur l'ASA sera 3DES. Cependant, il s'agit de normes plus anciennes et elles ne sont pas efficaces dans la mise en oeuvre actuelle.  Le cryptage AES est plus rapide et plus sécurisé, et Cisco recommande au moins AES-128 (ou simplement AES) pour de meilleurs résultats.
d) Phase 1 L’authentification vérifie l’intégrité des paquets.  Les options sont SHA-1 et MD5, et l'une ou l'autre devrait fonctionner car elles produisent des résultats similaires.
La configuration de la phase 2 suit les mêmes règles que la phase 1.  Lors de la configuration des paramètres IPSec, gardez à l'esprit que les paramètres de l'ASA devront CORRESPONDRE à ceux du RV042G. En cas de divergence, les périphériques ne pourront pas négocier la clé de cryptage et la connexion échouera.

Remarque : veillez à enregistrer les paramètres avant de quitter cette page !

Configuration de l'ASA 5500 au niveau du bureau central (CLI)

Remarque : veillez à utiliser souvent la commande « write mem » pour éviter de perdre des configurations. Tout d'abord, voici les interfaces que nous avons configurées sur l'ASA.  Les vôtres peuvent différer, alors assurez-vous de modifier les configurations en conséquence.



Étape 1. Configuration de la gestion du chiffrement (ISAKMP)
La première étape consiste à configurer la politique ISAKMP, qui est utilisée pour négocier le chiffrement du tunnel.  Cette configuration doit être IDENTIQUE sur les deux terminaux.  C'est ici que vous allez configurer les paramètres de cryptage pour qu'ils correspondent à la phase 1 de la configuration RV.



Étape 2. Sélection du trafic
Il s'agit du même groupe de sécurité local et distant sur le RV042G. Sur l'ASA, nous utilisons des listes d'accès pour définir ce que le réseau considère comme du « trafic intéressant » à autoriser sur le VPN.
Configurez d'abord les objets réseau pour le site distant et le site local :



Configurez ensuite la liste de contrôle d’accès pour utiliser ces objets :



Vous pouvez également utiliser les sous-réseaux eux-mêmes, mais dans des implémentations plus importantes, il est plus facile d'utiliser des objets et des groupes d'objets.
Étape 3. Configuration du tunnel IPSec (authentification de phase 2)
Ici, nous allons configurer le « Transform Set » et le groupe de tunnels, qui va configurer l'authentification de Phase-2.  Si vous configurez Phase-2 pour qu'elle soit différente de Phase-1, vous aurez un jeu de transformation différent.  Ici, esp-aes définit le chiffrement et esp-sha-hmac le hachage.
La commande tunnel-group configure les informations de tunnel spécifiques à la connexion, comme la clé pré-partagée.  Utilisez l'adresse IP publique de l'homologue distant comme nom du groupe de tunnels.



Étape 4. Configuration de la carte de chiffrement
Nous devons maintenant appliquer les configurations de Phase 1 et de Phase 2 à une « crypto-carte » qui permettra à l'ASA d'établir le VPN et d'envoyer le trafic correct.  Imaginez que cela consiste à relier les différents éléments du VPN.



Étape 5. Vérification de l'état VPN
Enfin, vérifiez les terminaux pour vous assurer que la connexion VPN est opérationnelle.  La connexion ne s'établit pas toute seule, vous devez transmettre le trafic afin que l'ASA puisse le détecter et tenter d'établir la connexion. Sur l'ASA, utilisez la commande « show crypto isakmpsa » pour afficher l'état.



Sur le RV42G, accédez à la page VPN > Summary et vérifiez l'état.

Autre scénario : plusieurs sous-réseaux sur le réseau

Ne paniquez pas. Ce processus peut sembler extrêmement compliqué lorsque vous configurez le réseau, mais vous avez déjà effectué la partie difficile ci-dessus. La configuration du VPN pour plusieurs sous-réseaux nécessite une configuration supplémentaire, mais très peu de complexité supplémentaire (sauf si votre schéma de sous-réseau est étendu). L'exemple que nous avons utilisé pour cette section utilise 2 sous-réseaux sur chaque site. La topologie du réseau mise à jour est très similaire :

Configuration du routeur RV042G

Comme précédemment, nous allons commencer par configurer le routeur RV042G. Le routeur RV042G ne peut pas configurer plusieurs sous-réseaux sur un seul tunnel. Nous devons donc ajouter une entrée supplémentaire pour le nouveau sous-réseau. Cette section traite uniquement de la configuration VPN pour plusieurs sous-réseaux, et non d'une configuration supplémentaire pour ceux-ci.
Étape 1. Configuration du premier tunnel
Nous utiliserons la même configuration pour chaque tunnel que pour l'exemple de sous-réseau unique.  Comme précédemment, vous configurez ceci en allant à VPN > Gateway to Gateway et en ajoutant un nouveau tunnel, ou si vous utilisez un tunnel existant allez à la page VPN > Summary et modifiez le tunnel existant.
a) Configurez le nom du tunnel, mais changez-le puisque nous aurons plus d'un changement de nom pour être plus descriptif.



b) Ensuite, nous allons configurer le groupe local, comme précédemment.  Configurez cette option pour UN seul des sous-réseaux nécessitant un accès.  Nous aurons une entrée de tunnel pour 122.166.12.x et une autre pour le sous-réseau 122.166.13.x.



c) Configurez à présent le site distant, toujours en suivant la même procédure que ci-dessus.



d) Enfin, configurez les paramètres de cryptage.  N'oubliez pas ces paramètres car vous souhaiterez qu'ils soient identiques sur les deux tunnels que nous configurons.



Étape 2. Configuration du deuxième tunnel
Maintenant que le sous-réseau 1 est configuré pour le tunnel VPN, nous devons accéder à VPN > Gateway to Gateway et ajouter un second tunnel.  Cette deuxième entrée sera configurée de la même manière que la première, mais avec les sous-réseaux secondaires de chaque site. 
a) Veillez à lui donner un nom distinctif afin de savoir de quelle connexion il s'agit.



b) Utilisez le deuxième sous-réseau comme groupe « Sécurité locale ».



C) Et utilisez le deuxième sous-réseau distant comme groupe « Sécurité à distance ».



d) Configurez le cryptage pour les phases 1 et 2 de la même manière que pour le premier tunnel.

Configuration de l'ASA

Nous allons maintenant modifier la configuration sur l'ASA.  Cette configuration est incroyablement simple.  Vous pouvez utiliser la même configuration que ci-dessus, car elle utilise tous les mêmes paramètres de cryptage, avec seulement une modification mineure.  Nous devons marquer le trafic supplémentaire comme « intéressant » pour que le pare-feu l'envoie sur le VPN.   Puisque nous utilisons une liste d'accès afin d'identifier le trafic intéressant, tout ce que nous avons à faire est de modifier cette liste d'accès.
Étape 1.  Pour commencer, supprimez l'ancienne liste de contrôle d'accès, afin de pouvoir modifier les objets dans l'ASA.  Utilisez la forme « no » de la commande pour supprimer des configurations dans l'interface de ligne de commande.
Étape 2.  Une fois la liste de contrôle d’accès supprimée, nous voulons créer de nouveaux objets pour les nouveaux sous-réseaux concernés (en supposant que vous ne l’ayez pas déjà fait lors de la configuration de ces sous-réseaux).  Nous voulons aussi les rendre plus descriptives.
Sur la base de notre configuration VLAN ci-dessous :



Nous avons besoin d'un groupe d'objets pour le réseau interne principal (192.168.10.x) et le réseau d'ingénierie (192.168.20.x).  Configurez les objets réseau comme suit :



Étape 3.  Maintenant que les objets réseau pertinents ont été configurés, nous pouvons configurer la liste de contrôle d’accès pour marquer le trafic approprié.  Vous voulez vous assurer que vous avez une entrée de liste d'accès pour les deux réseaux derrière l'ASA vers les deux sous-réseaux distants.  Le résultat final devrait ressembler à ceci.



Étape 4.  Maintenant, comme nous avons supprimé l'ancienne liste d'accès, nous devons la réappliquer à la crypto-carte en utilisant la même commande que précédemment :

Vérifier la connexion

Et c'est tout ! Votre tunnel devrait être opérationnel maintenant. Lancez la connexion et vérifiez l'état à l'aide de la commande « show crypto isakmpsa » sur l'ASA.



Sur la série RV, l'état s'affiche dans la page VPN > Summary.