lanti rejeu permet dignorer des anciens paquets des paquets dont le n de

Lanti rejeu permet dignorer des anciens paquets des

This preview shows page 14 - 17 out of 27 pages.

l'anti-rejeu : permet d'ignorer des anciens paquets (des paquets dont le n° de séquence est antérieur à un certain seuil) déjà reçus, s'ils sont retransmis à nouveau. Le tunnel VPN IPsec site-à-site peut s’établir entre le FW et n’impor te quel équipement compatible VPN IPsec. La négociation du tunnel s’effe ctue avec le protocole ISAKMP ( Internet Security Association Key Management Protocol ), appelé également IKE ( Internet Key Exchange ), qui existe actuellement en 2 versions : IKEv1 (dépréciée) et IKEv2 . Le protocole IKE est transmis en UDP sur le port 500 (et 4500 si extrémité dans réseau translaté). Une fois le tunnel établi entre les 2 équipements, les extrémités de trafic correspondantes aux réseaux privés peuvent communiquer via le protocole ESP ( Encapsulating Security Payload ) qui assure la confidentialité et l’intégrité des données . Le protocole ESP est encapsulé directement dans un paquet IP.
Image of page 14
TP5 Authentification VPN IPsec VPN SSL/TLS Page 15 Durant l’authe ntification , chaque extrémité vérifie l’ide ntité de l’aut re. Les identités pouvant représenter une extrémité de tunnel sont : - l’ @ IP de l’interface externe « Firewall_out » si elle est configurée avec 1 @ IP fixe, - un FQDN dans le cas où 1 extrémité ne possède pas d’ @ IP fixe. En fonction de la méthode d’authe ntification utilisée, l’ide ntité est associée à : - une clé pré-partagée PSK ( Pre-Shared Key ) : chaque extrémité fera la preuve q u’elle détient la PSK commune. - une PKI ( Public Key Infrastructure ) : chaque extrémité présentera un certificat numérique X509 qui sera signé par une autorité de confiance pour l’aut re correspondant. La négociation IKE pour l’ établissement d’un tunnel VPN IPsec se déroule en 2 phases : - phase 1 : les 2 extrémités de tunnels négocient un profil de chiffrement phase 1 qui contient les algorithmes de chiffrement/authentification et la durée de vie du tunnel. Et les 2 extrémités s’authentifient avec une clé pré-partagée ou les certificats . Un tunnel d’administration , appelé ISAKMP-SA (Internet Security Association Key Management Protocol Security Association) dans IKEv1 et PARENT-SA dans IKEv2, est établi entre les 2 extrémités. Ce tunnel permet la négociation de la phase 2 qui sera entièrement chiffrée grâce à la clé de phase 1 . - phase 2 : durant cette phase les 2 extrémités négocient le profil de chiffrement phase 2 et les extrémités de trafic qui pourront communiquer via le tunnel VPN IPsec. Chaque canal utilise sa propre clé de chiffrement . Elles sont appelées ESP-SA1 et ESP- SA2 en IKEv1 et CHILD-SA1 et CHILD-SA2 en IKEv2. Ainsi chaque extrémité possédera une paire de clés : une pour chiffrer les données transmises et l’aut re pour déchiffrer les données reçues .
Image of page 15
TP5 Authentification VPN IPsec VPN SSL/TLS Page 16 B. Comment configurer un tunnel VPN IPsec site-à-site ? La config d’u n tunnel VPN IPsec site-a-site s’effe ctue depuis le menu VPN > VPN IPsec > onglet POLITIQUE DE CHIFFREMENT TUNNELS > onglet SITE À SITE (GATEWAY GATEWAY), en cliquant sur Ajouter > Tunnel site à site : Un assistant s’affi
Image of page 16
Image of page 17

You've reached the end of your free preview.

Want to read all 27 pages?

  • Spring '20
  • Management, site web, LOGICIEL, MOT DE PASSE, Chiffrement, Certificat électronique

What students are saying

  • Left Quote Icon

    As a current student on this bumpy collegiate pathway, I stumbled upon Course Hero, where I can find study resources for nearly all my courses, get online help from tutors 24/7, and even share my old projects, papers, and lecture notes with other students.

    Student Picture

    Kiran Temple University Fox School of Business ‘17, Course Hero Intern

  • Left Quote Icon

    I cannot even describe how much Course Hero helped me this summer. It’s truly become something I can always rely on and help me. In the end, I was not only able to survive summer classes, but I was able to thrive thanks to Course Hero.

    Student Picture

    Dana University of Pennsylvania ‘17, Course Hero Intern

  • Left Quote Icon

    The ability to access any university’s resources through Course Hero proved invaluable in my case. I was behind on Tulane coursework and actually used UCLA’s materials to help me move forward and get everything together on time.

    Student Picture

    Jill Tulane University ‘16, Course Hero Intern

Stuck? We have tutors online 24/7 who can help you get unstuck.
A+ icon
Ask Expert Tutors You can ask You can ask You can ask (will expire )
Answers in as fast as 15 minutes
A+ icon
Ask Expert Tutors