Rapport du Projet IPv6. Astruc Benoit, Silohian Christophe

Transcription

1 Rapport du Projet IPv6 Astruc Benoit, Silohian Christophe 3 mars 2005

2 Table des matières Introduction Polytech Lille Présentation de l école Présentation du service Informatique IPv IPv6, c est quoi? Système d adressage Mobilité Sécurité Les atouts d IPv Le réseau IPv6 à Polytech Lille La sécurité sur le réseau Principes de la sécurité Algorithmes de chiffrement Les différents services de sécurité Les attaques classiques La sécurité appliquée pour IPv Les extensions de sécurité Associations et polices de sécurité Déroulement du Projet Chronologie Travaux préliminaires Mise en place du matériel Prise de contact IPv Travaux réalisés Définition des besoins Setkey Racoon

3 TABLE DES MATIÈRES Isakmpd FreeS/WAN IPsec en noyau Protocole de déploiement Installer le dernier noyau Installer les outils gérant IPsec Conclusion 26 Références 28 Glossaire 29 Annexes 32 Script d installation Fichier de configuration automatique de setkey (ipsec.policy). 34 Fichier de configuration de racoon (racoon.conf) Fichier de lancement de racoon (/etc/init.d/racoon) Fichier de configuration manuelle de setkey isakmpd.conf RFC3513 : Inversion du u bit Liste de site accessibles en IPv

4 Introduction Depuis sa création en 1973, le protocole IP(Internet Protocol) est devenu le protocole standard en matière de communication réseau. Aujourd hui, toutes les machines connectées à Internet utilisent IP. Mais au vu de l accroissement de plus en plus important du nombre de machines relié à Internet, le nombre d adresses IP disponibles a diminué de façon considérable. C est pour palier à ce problème qu est né en 1992 l IPv6 (l actuelle génération est appelé IPv4). En effet, grâce à un système d adressage sur 128 bits, le nombre d adresse disponible est multiplié par C est l IETF(Internet Engineering Task Force), l un des organismes de standardisation de l Internet qui est chargé de définir le nouveau protocole. En plus d y apporter l augmentation du nombre d adresses disponibles, l IETF a décidé d apporter un certain nombre d améliorations au protocole comme par exemple, la mobilité ou la sécurité, inexistantes en IPv4. A l heure actuelle, IPv6 n est qu en phase de déploiement. Même si le protocole est déjà en place, l instauration des adresses privées en IPv4 a ralentit l essor d IPv6. Ce sont essentiellement les asiatiques et les européens qui développent le plus de réseaux IPv6, étant donné que les américains sont loin d avoir épuisé toutes leurs adresses IPv4. Parmi les organismes qui ont jugé indispensable de déployer ce protocole, on retrouve l école Polytech Lille. Si IPv6 est implanté et fonctionnel, il n est pas encore sécurisé. Et c est dans cette optique de sécurisation des communications que Xavier Redon nous a demandé de travailler. Le but du projet est de pouvoir établir des communications authentifiées et chiffrées sur tout le réseau de l école, entre serveurs, entre machines clientes et serveurs et entre machines clientes. Dans ce développement, après avoir présenté l école et son service informatique, nous allons expliquer ce qu est IPv6, ses atouts et ce qui existe déjà à Polytech Lille. Nous détaillerons ensuite tout ce qui concerne la sécurité sur le réseau. Et pour finir, nous commenterons nos travaux. En espérant que la lecture de ce document vous inspire en vue de sécuriser vos propre réseaux. 3

5 Chapitre 1 Polytech Lille 1.1 Présentation de l école L école Polytechnique Universitaire de Lille (Polytech Lille) est une école d ingénieur implantée sur le centre universitaire scientifique de Villeneuve d Ascq. Autrefois appelée EUDIL (École Universitaire D Ingénieur de Lille), l école a été fondé en Aujourd hui, Polytech Lille possède 8 départements d enseignements, tous touchant à des domaines différents : IMA : Informatique, Mesure, Automatique. ITEC : Instrumentation Technique Et Commerciale. GIS : Génie Informatique et Statistique. GTGC : Génie Thermique, Génie Civile. CM : Construction Mécanique. SM : Sciences des matériaux. IAAL : Institut Agro-Alimentaire de Lille qui avant, était une école indépendante et qui a fusionné avec l EUDIL pour donner Polytech Lille. IESP : Ingénieur d Exploitation des Systèmes de Production. Uniquement reservé aux formations continues ayant une expérience professionnel d au moins 3 ans. Chaque département à la possibilité de délivrer le diplome d Ingénieur par la voie de la formation continue. A ces 8 départements s ajoute également 3 Masters : Cost Engineering. Design Stratégique. Génie de l eau. 4

6 CHAPITRE 1. POLYTECH LILLE 5 Polytech Lille fait partie de deux réseaux d écoles d ingénieur. Le premier, créé en est le réseau Eiffel. Ce réseau regroupait à sa création trois écoles d ingénieurs : en plus de l EUDIL, on y trouvait l ISIM Montpellier (aujourd hui devenu Polytech Montpellier) et le CUST de Clermont-Ferrand. Puis par la suite, l ISTG de Grenoble (devenu depuis Polytech Grenoble) est venu s y adjoindre. Le second réseau est le réseau Polytech qui se développe de plus en plus dans toute la France. En plus de Lille, Nantes, Marseille, Montpellier, Grenoble, Orléan et Tours en font partie. 1.2 Présentation du service Informatique L école posséde un parc informatique de grande ampleur. Plus de 600 postes sont connectés en réseau. Pour maintenir ce parc, l école possède un service informatique composé de six personnes : Jean-Michel Duthilleul : enseignant et co-responsable du service Xavier Redon (notre tuteur) : enseignant et co-responsable du service Patrick Menager : ingénieur Juliette Loiseleux : ingénieur (80%) Dominique François : technicien Dominique Golpart : technicien (50%) Le service informatique a pour but : D installer systèmes d exploitation et logiciels sur chaque machine. D effectuer la maintenance du matériel. De gérer les comptes des étudiants et du personnel. De controler le bon fonctionnement d un réseau qui comprend plus de 10 serveurs, environ 150 kilomètres de câbles, 2 routeurs, 60 commutateurs. De gérer le service de messagerie (création des listes de diffusion, controle anti-virus des pièces jointes, etc). De gérer tous ce qui concerne l accès à Internet. C est ce même service informatique qui a décidé de mettre en place le protocole IPv6 sur le réseau de l établissement. Aujourd hui, c est dans le cadre du développement du réseau que avons été chargé de sécuriser ce protocole.

7 Chapitre 2 IPv6 2.1 IPv6, c est quoi? Ce chapitre n a pas pour but de tout expliquer sur IPv6. Il existe des livres [2] qui font cela très bien... en 430 pages. Nous irons donc à l essentiel en expliquant les changements les plus visibles et les plus important. Le protocole IPv6 a été mis en place dans le but de remplacer le protocole IPv4 dont le nombre d adresse disponible commence à s essoufler. C est ce changement qui est le plus visible aux yeux des utilisateurs. Donc, pour bien comprendre IPv6, faut d abord comprendre son système d adressage. Nous poursuivrons par la mobilité et la sécurité qui n existait pas sur IPv Système d adressage Si l adresse IPv4 est codée sur 32 bits, exprimée en décimal et subdivisée en 4, chaque subdivision étant séparé par un., l adresse IPv6 est elle codée sur 128 bits, exprimée en hexadécimal et subdivisée en 8, chaque subdivision étant séparé par un :. Adresse IPv4 : Adresse IPv6 : 2001:660:4401:6004:74ff:fe14:e2 A la différence d IPv4 où toutes les valeurs de l adresse doivent être saisies, IPv6 accepte de raccourcir l adresse en cas de 0 successifs. Ainsi, l adresse fe80:0:0:0:208:74ff:fe14:e2 pourra s écrire fe80::208:74ff:fe14:e2. Cette abréviation :: ne peut se retrouver qu une fois dans toute l adresse. Ceci afin d éviter toute confusion. L adresse fe80:0:0:20:0:0:ff18:82ab ne pourra pas s écrire fe80::20::ff18:82ab car on ne sait pas dans ce cas-là 6

8 CHAPITRE 2. IPV6 7 combien de 0 successifs se trouvent à chaque abréviation. Une telle adresse pourra donc s écrire de deux manières différentes : fe80::20:0:0:ff18:82ab ou fe80:0:0:20::ff18:82ab. L écriture du préfixe est par contre identique à IPv4. En IPv4, pour éviter d écrire tout le masque réseau, ce qui est souvent fastidieux ( ), l abréviation /24 a fait son apparition. Cette abréviation signifie que les 24 premiers bits du masque sont à 1 et les autres à 0. Vu la taille importante des adresses IPv6, cette abréviation s est vite montré indispensable car au lieu de taper ffff:ffff:ffff:ffff:0:0:0:0, mettre /64 à la fin de l adresse se révèle bien plus pratique. Pour éviter l ambiguïtée du symbole : qui est aussi utilisé pour spécifier le numéro du port dans une URL, les symboles [ ] devront entourer l adresse afin de bien distinguer adresse et port ; :ambiguïté :ici, on comprend parfaitement que l on souhaite accéder à l adresse 2001:1234:5678::1 par le port Il n existe pas un mais trois types d adresses. Les types d adresses sont : Adresse unicast Adresse multicast Adresse anycast L adresse unicast est l adresse la plus simple car elle désigne une machine unique. Un paquet envoyé à cette adresse n arrivera qu à une seule interface. A cette adresse unicast existe deux type d adresses : Adresse lien local (adresse réseau privé, non routable sur Internet) Adresse lien global (adresse routable sur Internet) Une machine possède donc deux adresses IPv6 : une locale au réseau qui a pour préfixe fe80::/10 (c est à dire toutes les adresses comprise entre fe80 : : et fe8c : : non inclu) et qui a une durée de vie illimitée, et une adresse globale routable sur Internet qui a pour prefixe 2000::/3 (c est à dire toutes les adresses comprises entre 2000:: et 4000:: non inclu). A ces deux types d adresses que toutes les machines possèdent (sauf celles non connectées à Internet qui n ont que l adresse locale), il existe d autres types d adresses unicast : Adresse indeterminée (::) qui est utilisée uniquement pendant l initialisation du protocole. Adresse de bouclage (::1) équivalente à l adresse en IPv4 (adresse localhost) Adresse IPv4 mappée de la forme ::ffff:a:b:c:d où a:b:c:d est

9 CHAPITRE 2. IPV6 8 l adresse IPv4 de la machine. Ce type d adresse peut également s écrire sous la forme ::ffff:xxxx:yyyy où XXXX:YYYY est la version hexadécimale de a:b:c:d. Cette adresse sert à communiquer en IPv4 avec une machine IPv4 tout en restant dans une famille d adresse IPv6. Adresse IPv4 compatible sous la forme ::a:b:c:d ou ::XXXX:YYYY avec a:b:c:d, l adresse IPv4 de la machine et XXXX:YYYY son écriture hexadécimale. Cette adresse sert à communiquer avec une machine IPv6 par le biais d un tunnel IPv6/IPv4. Le deuxième type d adresse est l adresse multicast. Elle est équivalente à une adresse broadcast en IPv4, c est à dire une adresse qui définit un groupe d interface. Envoyer un paquet à une adresse multicast revient à envoyer un paquet à toutes les machines du réseau. Ce type d adresse a pour préfixe ff00::/8. Enfin, la dernière, l adresse anycast définit aussi un groupe d interface. Mais à la différence de l adresse multicast, le paquet envoyé n arrivera qu à une machine du réseau. Il est vrai que les adresses IPv6 sont beaucoup plus longues que les adresses IPv4 et donc, plus fastidieuses à taper. Mais le système d autoconfiguraton des machines simplifie grandement la tache. Le mécanisme est très simple. Prenons le cas d une configuration pour une adresse locale. L autoconfiguration de l adresse se fait à partir de l adresse MAC de la carte (autrement dit, son adresse physique) et en y rajoutant un préfixe. Illustrons ceci par un exemple : prenons une machine qui possède comme adresse MAC 00-0c-29-c2-52-ff notée sur 48 bits. Le mécanisme d autoconfiguration va d abord ajouter les bits 0xfffe à partir du 24e bit de l adresse MAC. On obtient un mot de 64 bits 00-0c-29-ff-fe-c2-52-ff. La seconde manipulation consiste à inverser le 7e bit du premier octet afin de respecter la RFC3513[7] décrivant le mécanisme EUI On obtient donc un nouveau mot de 64 bits 02-0c-29-ff-fe-c2-52-ff. Réécrivons ce mot à la manière IPv6 : 020c:29ff:fec2:52ff. Pour finir, il est ajouté à ce mot de 64 bits, un autre mot de 64 bits qui est le prefixe des adresses locales (fe80 : :/64). Résultat : sans que l utilisateur n ait à configurer quoi que ce soit, sa machine a déjà une adresse locale qui est fe80::20c:29ff:fec2:52ff. Le mécanisme est à peu près similaire pour les adresses globales, en ce qui concerne les 64 derniers bits. 1 Pour plus de détails consulter l annexe : 4.4.2

10 CHAPITRE 2. IPV Mobilité Une avance importante de l IPv6 est le concept de mobilité. En IPv4 lorsqu on déplaçe un équipement doté d une adresse IP 2 que nous nommerons par la suitemobile, il est nécessaire de reconfigurer son adresse IP manuellement et il n existe alors plus aucun lien entre son ancienne adresse et la nouvelle. La seule façon pour le mobile de communiquer avec son réseau d origine est alors de créer un réseau privé virtuel (VPN :Virtual Private Network). Une solution qui est loin d être facile à mettre en oeuvre. En IPv6 un mobile aura un réseau mère et une adresse mère. L objectif de la mobilité est de faire en sorte que le mobile soit toujours joignable à son adresse mère quel que soit le réseau auquel il est connecté. Cela est réalisé de la façon suivante : lorsque le mobile est connecté à un sousréseau étranger il obtient, avec les mécanismes d autoconfiguration d IPv6, une adresse temporaire. Il contacte alors un routeur situé sur son sous-réseau mère et lui indique l association de son adresse mère et de son adresse temporaire. A partir de ce moment-là le routeur devient l agent mère du mobile et fera office de proxy, il interceptera tous les paquets destinés à l adresse mère du mobile et les tunnellera à son adresse temporaire Sécurité Ce chapitre ne détaillera pas toute la partie sécurité. Nous parlerons uniquement de la couche IPsec d IPv6. Tout ce qui touche à la sécurité dans un réseau sera détaillé dans la seconde partie. Lors de la mise en place de ce protocole, l IAB (Internet Architecture Board) a demandé à ce qu IPv6 possède une couche sécurité, non présente en IPv4. Cette couche de sécurité (IPsec) doit permettre de sécuriser plus facilement les réseaux de manière plus légère alors que sur IPv4, la plupart des systèmes courants n implémentent rien à ce niveau-là. L IETF a décidé d inclure dans les fonctionnalités d IPsec trois services indispensables pour protéger les données contre des attaques telles que l usurpation d identité (IP spoofing) et l écoute du traffic sur un réseau (IP sniffing) : La confidentialité des données. L intégrité des données. 2 tel qu un ordinateur portable, mais cela pourrait aussi être un téléphone portable ou n importe quel équipement réseau embarqué à bord d un avion, d un bateau, d une voiture...

11 CHAPITRE 2. IPV6 10 L authentification de l origine des données. Pour mettre en place ces services, l IETF a défini deux nouvelles extensions IP de sécurité dans la RFC1752[9] qui sont les extensions AH (Authentication Header ou en-tête d authentification) et ESP (Encapsulation Security Payload ou extension de confidentialité). Les deux extensions offrent les services d authentification, d intégrité ainsi que la detection de rejeu. L AH offre en plus le service de non répudiation (non dissimulation d identité). L ESP offre quand à lui la confidentialité des données et du flux. La protection des communications grâce à ces deux extensions permet de communiquer : Directement d une machine à l autre. Entre deux machines passant par des passerelles tels qu un routeur ou un pare-feu. Entre une machine et une ou plusieurs passerelles. Deux modes permettent d établir ces communications : Le mode transport qui protège la charge utile des paquets. Ce mode n est utilisable que sur des équipements terminaux. Le mode tunnel qui protège tous les paquets en les faisant passer par un tunnel IP. Malgrès tout ce qui a été mis en place dans le but de sécuriser les réseaux, IPsec n est pas exempt de critiques. La principale étant la diminution des performances du réseau en terme de débit à cause notamment des opérations de chiffrements et déchiffrements des communications mais également des opérations de générations et de vérifications d identité lourdes en temps de calcul. Il existe d autres lacunes mais qui seront expliquées dans la partie II consacrée entièrement à la sécurité. 2.2 Les atouts d IPv6 IPv6 n a pas été mis en place dans le seul but de proposer un protocole supplémentaire. Il doit, à terme, remplacer le protocole actuel IPv4. l IETF, ne souhaitant pas faire une photocopie de l actuel protocole, a créé l IPv6 dans le but de combler les lacunes d IPv4. La principale lacune étant le nombre d adresses routables sur Internet. Comme à la base, IPv4 n avait pour but d interconnecter qu une petite centaine de machines, les 2 32 adresses étaient largement suffisantes. Avec le développement d Internet, ce n est plus le cas. IPv6 résout le problème en proposant adresses possible soit environ 1500 machines connectées au mètre carré de planete, océans inclut.

12 CHAPITRE 2. IPV6 11 La seconde amélioration porte sur la taille des tables de routage qui, en IPv4, sont vite devenues disproportionnées à cause du développement du nombre de réseaux sur l Internet. Ce développement rend la maintenance des tables de plus en plus complexe. Pour résoudre ce problème des tables de routage, une solution d agrégation de réseaux contigus en un seul préfixe a été mis en place. C est le CIDR (Classless Inter Domain Routing). Le CIDR permet d établir une structuration hiérarchique de l adressage. Cette solution a été intégrée dans les protocoles de routage ce qui permet de router des ensemble de réseaux de manière plus aisée. Le CIDR devait, dans un premier temps, être mis en place pour IPv4. Mais la petite taille des adresses ne permettait pas une bonne structuration, sans compter que de nombreuses adresses sont allouées depuis plusieurs années. En IPv6, ces problèmes sont résolu car : Dès le début le plan d adressage est hiérarchique, éliminant les longs préfixes. Les sites multi-domiciliés posséderont autant d adresses que de fournisseurs, permettant ainsi de garantir une agrégation. Des mécanismes de renumérotation automatique permettent aux sites de changer facilement de préfixe quand cela est nécessaire. Si pour l instant le plan d adressage le plus adapté est le plan hiérachique, d autres règles pourrait voir le jour (par exemple coordonnées géographiques). L IETF veut en fait imposer une certaine rigueur concernant l allocation des adresses IPv6 afin d éviter le problème que connait actuellement IPv4 : des tables de routage beaucoup trop volumineuses. Grâce à l IPv6, l IETF a réussi à résoudre les deux problèmes majeurs de l IPv4 : le manque d adresse et l explosion des tables de routage. Mais aussi à améliorer le protocole en y rajoutant les fonctions d autoconfiguration des terminaux (rien de concret à l heure actuelle pour l autoconfiguration des routeurs), de mobilité et de sécurité. L autoconfiguration des machines est un formidable atout pour tout les réseaux non administrés tels que dans les PME/PMI ou chez les particuliers. D après le cahier des charges qui a été fixé par l IESG (Internet Engineering Steering Group) lors de la création de l IPng (IP new generation), IPv6 est capable : D adresser au moins un milliard de réseaux. De proposer un plan de transition sans jour J. De prendre en compte à terme la mobilité, la réservation de ressources, les hauts débits, etc.

13 CHAPITRE 2. IPV Le réseau IPv6 à Polytech Lille Même si IPv6 est loin d être finalisé, l école Polytech Lille a décidé d anticiper en déployant ce protocole au sein de son réseau. Le préfixe IPv6 du réseau de l école est 2001:660:4401:60/56. Le réseau est subdivisé en sous réseaux dont les adresses sont de la forme 2001:660:4401:600x/60 où x est le numéro du vlan. Il est possible pour n importe quel étudiant de se connecter, en IPv6, sur une autre machine de l école en exécutant la commande : ssh -6 nom de la machine.escaut.net D autres services sont accessibles en IPv6 : Accès à Internet (service HTTP : HyperText Transfert Protocol), uniquement bien sûr aux sites accessibles en IPv6 (Ex : etc). Accès au service d envoi de mail (service SMTP Simple Mail Transfert Protocol) par le biais du serveur de messagerie douaisis. Connexion à celui-ci en IPv6 et envoi du mail en IPv6. Accès au service FTP (File Transfert Protocol) par l adresse ftp.polytechlille.fr. Etablissement de communication TCP (Transmission Control Protocol), UDP (User Datagram Protocol) et ICMP6 (Internet Control Message Protocol). Tous les services disponibles en IPv4 ne sont pas encore disponible en IPv6. Certains n y passerons jamais (Ex : Telnet). D autres pourraient être amenés à y passer, dans la mesure du possible (Ex : Le service d impression). Si les administrateurs réseaux ont mis en place IPv6, ils n ont pas encore touché à la couche de sécurité IPsec. C est à dire que tout ce qui circule en IPv6 sur le réseau est en clair. Nous afficherons dans le chapitre quatre de ce rapport les tests que nous avons effectué, notamment sur le service SMTP où, grâce au logiciel Ethereal disponible sur tous les systèmes d exploitations, nous avons pu visualiser en clair le message que nous avons envoyé.

14 Chapitre 3 La sécurité sur le réseau 3.1 Principes de la sécurité Algorithmes de chiffrement Chiffrement symétrique L une des deux familles d algorithmes de chiffrement. Dans cette catégorie les deux entités connaissent et utilisent le même secret comme clé de chiffrement et de déchiffrement. L avantage de ces algorithmes est la rapidité à laquelle s effectue le chiffrement et le déchiffrement. La phase délicate est celle de l échange de la clé de chiffrement. Chiffrement asymétrique Dans cette deuxième famille d algorithmes de chiffrement, chaque correspondant utilise une paire de clé. Une clé publique servant à chiffrer les messages que l on veut lui envoyer et une clé privée qui lui sert à déchiffrer les messages que l on lui envoie. Il n y a alors plus besoin d échanger de clé. L inconvénient de ces algorithmes est que leur temps de calcul est plus important que celui des algorithmes symétriques Les différents services de sécurité En matière de réseau lorsqu on parle de sécurité il faut distinguer un grand nombre de services différents : La confidentialité des données, sans doute la première à laquelle on pense. Réalisée par chiffrement à clé symétrique pour des raisons de performances. Cette clé, appelée clé de session, est alors fréquemment 13

15 CHAPITRE 3. LA SÉCURITÉ SUR LE RÉSEAU 14 utilisée et doit donc avoir une faible durée de vie, une deuxième clé étant utilisée pour négocier les nouvelles clés. La confidentialité du flux de données, qui vise non plus seulement à garantir la confidentialité des données mais également à interdire l accès à toute information sur ces données (quantité d informations échangées, fréquences, etc.) qui pourrait être déduites par analyse du trafic. L authentification de l origine des données, qui doit garantir que les données reçues proviennent bien de l emetteur déclaré. L intégrité des données, qui garantit que les données reçues n ont pas été modifiées durant leur transport. La non répudiation, qui doit être capable de prouver que des données ont bien été reçues ou envoyées en cas de litige. La prévention contre le rejeu de données, qui doit détecter si les données reçues ne l ont pas déjà été par le passé. Afin d assurer ces services de sécurité on utilise des mécanismes qui sont généralement basés sur le partage de clés secrètes. Ce qui implique de mettre en oeuvre un protocole d échange de clés. Ces protocoles d échange de clé vérifient généralement tout ou partie des propriétés suivantes : Celle dite deperfect Forward Secrecy garantit que la découverte d une des clés de longue durée (celles utilisées pour échanger les clés de sessions) ne permet pas à un assaillant de déchiffrer les messages chiffrés par les clés de session générées auparavant. La protection de l identité (Identity Protection), assure qu aucune information sur les partenaires en communication ne pourra être déduite par observation de leurs échanges sur le réseau Les attaques classiques Au niveau IP, trois attaques classiques sont réalisables : l IP sniffing, qui consiste pour un intrus à écouter le trafic passant sur le réseau afin d obtenir des informations intéressantes (mots de passe, contenu de courriels, etc.). l IP spoofing, qui consiste à usurper l identité d un équipement. l IP flooding, qui consiste à inonder un équipement de paquets IP, le rendant incapable de répondre aux requêtes légitimes (et laissant le champ libre à un intrus pour une attaque par IP spoofing).

16 CHAPITRE 3. LA SÉCURITÉ SUR LE RÉSEAU 15 L IP flooding étant trés difficile à contrer, l IETF s est concentré sur les deux autres attaques. C est ce que nous allons voir dans la section La sécurité appliquée pour IPv Les extensions de sécurité Afin de lutter contre l IP sniffing et l IP spoofing, l IETF, a défini deux nouvelles extensions IP de sécurité [RFC1752] : L extension d authentification (Authentication Header ou AH), qui rend les services d authentification, intégrité et optionnellement de détection de rejeux, voire de non-répudiation. L extension de confidentialité (Encapsulating Security Payload ou ESP), qui peut rendre les services de confidentialité, intégrité, authentification et détection de rejeux. Elle garantit de plus de façon limitée la confidentialitée du flux. Chacune de ses deux extensions peut être utilisée selon deux modes de protection : Le mode transport protège la charge utile du paquet et certains champs de son en-tête. Le mode tunnel protège tous les champs du paquet initial, qui est encapsulé dans un nouveau paquet donc certains champs sont protégés. On peut alors assurer trois types de protection : de bout en bout, entre les deux stations communicantes, auquel cas ce sont les stations qui gèrent les extensions de sécurité. sur des segments de réseaux seulement, auquel cas un équipement de chaque coté du tunnel (le mode transport ne peut pas être utilisé dans ce cas) est chargé de gérer les extensions de sécurité : c est la passerelle de sécurité. entre une station et une passerelle de sécurité Associations et polices de sécurité La base des communications sécurisées en IPv6 est l association de sécurité (Security Association ou SA). Elle contient l ensemble des informations nécessaires à l établissement de ces communications. Une SA est identifiée de façon unique par un triplet comprenant un indice de paramètre de sécurité (Security Parameters Index ou SPI), l adresse du destinataire et le protocole de sécurité (AH ou ESP). Elle est unidirectionnelle, il faut donc deux SA pour

17 CHAPITRE 3. LA SÉCURITÉ SUR LE RÉSEAU 16 qu une communication bidirectionnelle soit établie. Une association de sécurité contient entre autre les paramètres suivants : l algorithme d authentification, les clés de chiffrement,les paramètres de synchronisation... utilisés pour générer l extension choisie. la durée de vie de la SA, qui doit être régulièrement renouvelée afin d éviter que des clés de chiffrement ne soient utilisées trop longtemps. le mode du protocole IPsec : tunnel ou transport. L ensemble des SA est contenu dans une base de donnée appelée le SAD (Security Association Database). Le choix de la SA à appliquer s effectue en fonction des polices de sécurité définies sur la machine. L ensemble de ces polices de sécurité est regroupé dans un SPD(Security Policy Database). Lorsqu un paquet IP doit être émis, la pile IP va vérifier dans le SPD si une politique de sécurité doit s appliquer à ce paquet. Le cas échéant la pile IP ira chercher dans le SAD la SA correspondante.

18 Chapitre 4 Déroulement du Projet 4.1 Chronologie semaine 46 : Réunion avec M. Redon pour spécifier le travail à fournir. Découverte du matériel de maquette, recherche de documentation sur IPv6 et lecture des RFCs. semaine 47 : Installation d une Debian et passage des deux postes à un noyau semaine 48 : Tests sur IPv6, capture de trames. semaine 49 : Pas d avancement dans le projet du fait du travail à fournir pour le dossier technique. semaine 50 : Documentation sur IPsec, premiers essais infructueux de chiffrement semaine 51 : Premiers tests réussis de chiffrement entre les deux machines de maquette, en configuration manuelle. semaine 52 : Vacances de Noël. semaine 01 : Vacances de Noël. semaine 02 : Déménagement pour cause de changement de vlan dans la salle Titenka (le nouveau vlan ne permettant pas l accès au réseau IPv6 de l école). Installation en Titus. semaine 03 : Découverte de racoon semaine 04 : Multiples tests avec racoon sur noyau et semaine 05 : Passage au noyau 2.6.2, premiers essais réussis de communication avec racoon. semaine 06 : Test de isakmpd. semaine 07 : Test de FreeSwan. Réalisation du script de déploiement de racoon. semaine 08 : Rédaction du rapport. Test du noyau

19 CHAPITRE 4. DÉROULEMENT DU PROJET 18 semaine 09 : Soutenance. 4.2 Travaux préliminaires Mise en place du matériel Dans le cadre de ce projet, nous avons dans un premier temps utilisé deux ordinateurs, reliés au réseau de l école, sur lesquels nous avons installé une distribution de GNU/Linux Debian[8] Sid 1. Cette distribution possédait un noyau 2.2. Or, pour pouvoir travailler en IPv6, il était nécessaire d utiliser un noyau plus récent. Nous avons donc téléchargé, décompressé, configuré et compilé le dernier noyau Linux en date. Pendant la première moitiée du projet, il s agissait d une version de test du noyau 2.6 (2.6-test9) en attendant qu arrive la version définitive (2.6.0). Notre choix s est porté sur le noyau 2.6 et non le 2.4 car le noyau 2.6 intègre en natif l IPsec alors que pour le 2.4, qui est le noyau qui est installé sur toutes les machines de TP de l école, il faut appliquer un patch pour avoir IPsec. En plus de ces deux ordinateurs, nous avons utilisé nos ordinateurs portables personnels : un ibook d Apple avec le système d exploitation Mac OS X 10.2 et une autre machine sous Windows XP afin de voir si il est possible, avec des machines extérieures, d établir des communications chiffrées. Par la suite, notre configuration a évolué après la mi-projet. Au point de vue matériel, nous avons récupéré une troisième machine, sur laquelle nous avons également installé une distribution Debian et le noyau 2.6. Nous avons relié nos trois machines de test à un concentrateur(hub) 10 Mbits afin d avoir une configuration similaire aux salles de TP (où toutes les machines d une même salle sont reliées à un concentrateur). Nous avons continué d utiliser l ibook sur lequel nous avons installé la version de Mac OS X 10.3, plus adaptée que la 10.2 à la gestion de l IPv6. Quand à l autre ordinateur portable, un problème matériel nous a contraint à cesser nos tests avec. Au point de vue logiciel, nous avons fait évoluer le noyau à chaque fois qu une nouvelle version était disponible sur Internet et nous avons upgrader nos modules afin que ces derniers soient le plus à jour possible. 1 Il existe en permanence trois versions de Debian : stable, testing et unstable. Sid est le nom de code de l actuelle version unstable

20 CHAPITRE 4. DÉROULEMENT DU PROJET Prise de contact IPv6 Fig. 4.1 Capture d une trame RIPng Au commencement de notre projet, nous n avions aucune connaissances sur le protocole IPv6. Nous connaissions son existence, nous savions qu IPv6 posséde un espace d adressage plus important qu IPv4 et c est tout. Il nous a donc fallu une phase d apprentissage du protocole. Cette phase a tout d abord commencé par une recherche de documentation sur le protocole. Même si Internet fut notre principale source, nous avons également trouvé notre bonheur dans la presse spécialisée[3]. Lors de notre premier entretien avec notre tuteur, celui-ci nous a conseillé de réaliser tous les tests possibles permis à l école (voir Chapitre I/C sur l implémentation d IPv6 à Polytech Lille). Le premier des tests réalisés était de capturer quelques trames IPv6 circulant sur le réseau. Des trames RIPng (Routing Information Protocol New Generation) sont envoyées périodiquement par le routeur afin que celui-ci mette à jour sa table de routage. Grâce au logiciel Ethereal, nous avons pu décortiquer ces trames et en visualiser le contenu sur la figure 4.1, page 19 Nous avons ensuite généré nos propre trames grâce aux outils ping6 et traceroute6, les équivalents de ping et traceroute pour IPv6. Ces outils permettent notamment de détecter si une machine est bien présente sur le réseau. La machine qui envoie le ping envoie une trame du type ICMP6 (Internet Control Message Protocol 6) vers la machine recherchée. Si celle-ci existe, elle renverra un autre message ICMP6, comme un accusé de reception. Toujours