Comment mettre en évidence le cryptage de mon VPN

Comment mettre en évidence le cryptage de mon VPN - Sécurité - Systèmes & Réseaux Pro

Marsh Posté le 26-12-2007 à 14:41:20    

Salut a tous  :hello:  
 
J'ai un projet a réaliser qui consiste a créer un VPN site-à-site avec 2 routeurs Cisco 831. N'y conaissant rien en vpn, je fais tout d'abord une maquette en local avant de mettre en oeuvre le vpn en distant. Un dessin vaut mieux que de longues explications, voici le réseau que j'ai réalisé :
 
http://img411.imageshack.us/img411/1422/vpnwz8.jpg
 
J'ai configuré les 2 routeurs en ligne de commande pour mettre en place le tunnel. J'arrive a pinger d'un routeur vers l'autre mais j'aimerais vérifier le cryptage entre les 2 routeurs. Pour ce faire j'imagine que la seul solution est de mettre un pc avec sniffer entre les 2 routeurs. J'ai essayé avec un switch, mais c'est un switch tout simple donc impossible de faire du miroring de port ni quoi que ce soit: Voici le shéma :  
 
http://img105.imageshack.us/img105/5103/vpn2fn2.jpg
 
Je récupère rien sur le sniffer.
 
Est-ce que si je met un hub à la place du switch je pourrais voir le trafic avec mon sniffer? Sinon, Y a t-il une autre solution pour mettre le  cryptage en évidence?
 
Merci d'avance pour votre aide  ;) .


Message édité par Krapaud le 04-01-2008 à 20:27:24
Reply

Marsh Posté le 26-12-2007 à 14:41:20   

Reply

Marsh Posté le 26-12-2007 à 16:00:48    

humm déjà change ton plan d'adressage parce que la c'est nawak :D
 
par exemple ....
 
sur le routeur 1:
- ETH0 192.168.1.1/24
- ETH1 10.0.0.1/24
 
sur le routeur 2:
- ETH0 192.168.2.1/24
- ETH1 10.0.0.2/24
 
déjà une fois que ça marchera comme ça tu pourras partir sur des bonnes bases ;)
 
et oui il te faut un hub ou switch supportant le port mirroring pour pouvoir sniffer :)

Reply

Marsh Posté le 26-12-2007 à 16:09:42    

Comment qu'il est trop beau ton schéma  :love:  
... oué c'est bon... j'arrête :o

Reply

Marsh Posté le 26-12-2007 à 19:02:30    

alors pour commencer, wireshark ca s'ecrit comme ca ...
Ensuite, tu peux très bien monitorer ton switch.
Il te suffit de faire du spoofing arp, avec un peut de routage et le tour est joué.
Question: quelle est taplateforme pour wireshark? windows? si oui, doanload un tool nommé 'cain' qui inclut un module faisant ca tres bien.
 
Attention: je donne des solutions, et ne suis pas responsable de l'utilisation qu'il fera de cain


Message édité par trictrac le 26-12-2007 à 19:02:57
Reply

Marsh Posté le 26-12-2007 à 22:00:18    

tu peux aussi sniffer le routeur ou sur ton pc.. et +1 pour twins_
ton plan d'adressage est la configuration la plus difficile à réaliser (voir impossible) pour du vpn ipsec!

Reply

Marsh Posté le 04-01-2008 à 12:51:15    

Suite à vos conseils, j'ai revu mon plan d'adressage : http://img232.imageshack.us/img232/396/reseauhj3.jpg
 
Bien sur tous les cable sont des cables croisés. La passerelle du PC1 est 192.168.1.1, celle du PC2 est 192.168.2.1
 
Il y a par contre un souci :
 
-  du routeur1 j'arrive à pinger  les 2 interfaces du Routeur2 mais pas le PC2.
-  du routeur2 j'arrive à pinger les 2 interfaces du Routeur1 mais pas le PC1.
 
-  du PC1 je ping les 2 interfaces du Routeur1 mais pas celles du Routeur2
-  du PC2 je ping les 2 interfaces du Routeur2 mais pas celles du Routeur1
 
Les ping fonctionnent donc de routeur à routeur mais pas de PC a routeur ni de Routeur a PC.
 
J'ai pensé à un problème d'acces-list mais je ne vois pas ou est mon erreur.
 
Voici les configs de mes routeurs:
 
- Routeur 1:
 
http://img138.imageshack.us/img138/8162/rout1zt8.jpg
 
 
- Routeur 2:
 
http://img138.imageshack.us/img138/6673/rout2ii9.jpg


Message édité par vince351 le 04-01-2008 à 17:00:00
Reply

Marsh Posté le 04-01-2008 à 18:33:15    

J'ai réussi a résoudre le problème. Je n'avais pas activer le routage, donc forcément ca marchait pas terrible !
 
Maintenant j'aimerais vérifier que les données soient bien cryptés entre les 2 tunnels, pour ca il me faudrait un hub entre les deux routeurs pour y mettre un pc avec sniffer mais je n'ai qu'un switch (non manageable). Y a t-il un moyen de le faire sans hub ?

Reply

Marsh Posté le 04-01-2008 à 18:37:02    

fait de l'arp spoofing comme l'a suggéré trictrac :jap:

Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed