Etablir un tunnel VPN entre deux réseaux.



Documents pareils
Tunnels et VPN. 22/01/2009 Formation Permanente Paris6 86

Mise en route d'un Routeur/Pare-Feu

Sécurité des réseaux IPSec

Devoir Surveillé de Sécurité des Réseaux

TECHNICAL NOTE. Configuration d un tunnel VPN entre un firewall NETASQ et le client VPN. Authentification par clé pré-partagée. Version 7.

DFL-210, DFL-800, DFL-1600, DFL-2500 Comment configurer une connexion VPN IPSec site à site

SSL ET IPSEC. Licence Pro ATC Amel Guetat

Windows Server 2008 Sécurité ADMINISTRATION ET CONFIGURATION DE LA SECURITE OLIVIER D.

Mise en place d'un Réseau Privé Virtuel

Configurer ma Livebox Pro pour utiliser un serveur VPN

[ Sécurisation des canaux de communication

Configuration d un Client VPN «TheGreenBow» 1) Création d un compte utilisateur dans la base LDAP Netasq

Tunnels. Plan. Pourquoi? Comment? Qu est-ce? Quelles solutions? Tunnels applicatifs ESIL INFO 2005/2006. Sophie Nicoud

Sécurité GNU/Linux. Virtual Private Network

Le protocole SSH (Secure Shell)

Les réseaux des EPLEFPA. Guide «PfSense»

Arkoon Security Appliances Fast 360

Configuration d'un Réseau Privé Virtuel (RPV ) communément appelé VPN

Les Réseaux Privés Virtuels (VPN) Définition d'un VPN

IPSEC : PRÉSENTATION TECHNIQUE

INSTALLATION D'OPENVPN:

Un équipement (clé USB, disque dur, imprimante, etc.) est connecté au port USB.

1 PfSense 1. Qu est-ce que c est

UltraVNC, UltraVNC SC réglages et configurations

VPN TLS avec OpenVPN. Matthieu Herrb. 14 Mars 2005

Passerelle de Sécurité Internet Guide d installation

Routeur Chiffrant Navista Version Et le protocole de chiffrement du Réseau Privé Virtuel Navista Tunneling System - NTS Version 3.1.

Note technique. Recommandations de sécurité relatives à IPsec 1 pour la protection des flux réseau

Installer une caméra de surveillance

2. MAQUETTAGE DES SOLUTIONS CONSTRUCTIVES. 2.2 Architecture fonctionnelle d un système communicant.

Firewall ou Routeur avec IP statique

SECURIDAY 2013 Cyber War

Virtual Private Network WAFA GHARBI (RT4) CYRINE MAATOUG (RT4) BOCHRA DARGHOUTH (RT4) SALAH KHEMIRI (RT4) MARWA CHAIEB (RT3) WIEM BADREDDINE (RT3)

Information. Communication for the open minded. Siemens Enterprise Communications

PACK SKeeper Multi = 1 SKeeper et des SKubes

1. Présentation de WPA et 802.1X

Réaliser un accès distant sur un enregistreur DVR

Date : NOM Prénom : TP n /5 DISTANT : CONCEPTS ET DIFFÉRENCES

Configuration de l'accès distant

Transmission de données

Le rôle Serveur NPS et Protection d accès réseau

«ASSISTANT SECURITE RESEAU ET HELP DESK»

Fonctionnement de Iptables. Exercices sécurité. Exercice 1

Table des matières 1 Accès distant sur Windows 2008 Server Introduction...2

CONFIGURATION IP. HESTIA FRANCE S.A.S 2, rue du Zécart TEMPLEUVE +33 (0) (0) Site internet:

HAUTE DISPONIBILITÉ DE MACHINE VIRTUELLE AVEC HYPER-V 2012 R2 PARTIE CONFIGURATION OPENVPN SUR PFSENSE

LAB : Schéma. Compagnie C / /24 NETASQ

FORMATIONS

Eric DENIZOT José PEREIRA Anthony BERGER

But de cette présentation

SECURITE DES DONNEES 1/1. Copyright Nokia Corporation All rights reserved. Ver. 1.0

Réseaux Privés Virtuels

Journées MATHRICE "Dijon-Besançon" DIJON mars Projet MySafeKey Authentification par clé USB

WGW PBX. Guide de démarrage rapide

Université de Reims Champagne Ardenne. HTTPS, SSL, SSH, IPSEC et SOCKS. Présenté par : BOUAMAMA Mohamed Nadjib AZIZ Xerin

Guide de l'utilisateur vcloud Director


Dossier de réalisation d'un serveur DHCP et d'un Agent-Relais SOMMAIRE. I. Principe de fonctionnement du DHCP et d'un Agent-Relais

Contrôle de la DreamBox à travers un canal SSH

Mise en œuvre d une Gateway HTTP/HTTPS avec un serveur de Présentation en DMZ

Routeurs de Services Unifiés DSR-1000N DSR-500N DSR-250N

StoneGate Firewall/VPN

NETASQ CLIENT VPN IPSEC GUIDE UTILISATEUR

Les RPV (Réseaux Privés Virtuels) ou VPN (Virtual Private Networks)

acpro SEN TR firewall IPTABLES

ADMINISTRATION, GESTION ET SECURISATION DES RESEAUX

TP réseaux Translation d adresse, firewalls, zonage

TR2 : Technologies de l'internet. Chapitre VII. Serveur DHCP Bootp Protocole, Bail Relais DHCP

Sauvegardes par Internet avec Rsync

Services TCP/IP : Authentification, partage de fichier et d'imprimante dans un domaine Microsoft

pfsense Manuel d Installation et d Utilisation du Logiciel

Authentification sur réseau sans-fil Utilisation d un serveur radius Expérience du CENBG

VIDEO SURVEILLANCE SV82400 SV82500 SV82600 Type de panne cause Que faire? VIDEO SURVEILLANCE IPSV87050 VIDEO SURVEILLANCE IPSV87050 SERR1

Basculement de connexions Internet

Bibliographie. Gestion des risques

Le routeur de la Freebox explications et configuration

Sécurisation des communications

Adonya Sarl Organisme de Formation Professionnelle 75 Avenue Niel PARIS, France

Réseaux. Moyens de sécurisation. Plan. Evolutions topologiques des réseaux locaux

M1101a Cours 4. Réseaux IP, Travail à distance. Département Informatique IUT2, UPMF 2014/2015

Installation d'un serveur DHCP sous Windows 2000 Serveur

VIDÉOSURVEILLANCE. Procédures de paramétrage des différentes box du marché

Figure 1a. Réseau intranet avec pare feu et NAT.

Les clés d un réseau privé virtuel (VPN) fonctionnel

Résolution des problèmes de connexion XDMCP aux hôtes UNIX et Linux

Ubuntu Linux Création, configuration et gestion d'un réseau local d'entreprise (3ième édition)

ACTION PROFESSIONNELLE N 4. Fabien SALAMONE BTS INFORMATIQUE DE GESTION. Option Administrateur de Réseaux. Session Sécurité du réseau

Protocoles DHCP et DNS

Créer son réseau personnel

//////////////////////////////////////////////////////////////////// Administration systèmes et réseaux

Services Réseaux - Couche Application. TODARO Cédric

CONVENTION d adhésion au service. EDUROAM de Belnet

Logiciel de connexion sécurisée. M2Me_Secure. NOTICE D'UTILISATION Document référence :

DISTANT ACESS. Emna TRABELSI (RT3) Chourouk CHAOUCH (RT3) Rabab AMMAR (RT3) Rania BEN MANSOUR (RT3) Mouafek BOUZIDI (RT3)

But de cette présentation. Contrôleur de domaine avec Samba (rédigé pour Ubuntu Server) Introduction. Samba: principes

ASA/PIX : Exemple de configuration d'adressage IP statique pour client VPN IPSec avec CLI et ASDM

Téléinformatique. Chapitre V : La couche liaison de données dans Internet. ESEN Université De La Manouba

Présenté par : Ould Mohamed Lamine Ousmane Diouf

Réseaux Privés Virtuels Virtual Private Networks

Transcription:

Etablir un tunnel VPN entre deux réseaux. L'objectif de créer un tunnel VPN entre deux réseaux est de pouvoir faire communiquer n'importe quel système de l'un des réseau avec l'autre, et ce, en toute sécurité. Dans ce tutoriel seront abordés les notions d'authentification et en particulier le protocole IKE. La configuration des réseaux est la suivante : Unix + Samba PCs PCs INTERNET Postes itinérants Michel MARTIN - 2008 1

Dans la configuration ci-dessus, les systèmes sont hétérogènes. On doit pouvoir accéder aux imprimantes et aux répertoires partagés, ainsi qu'aux applications de gestion. La "Livebox" ne possède pas de fonction VPN et doit être conservée à cause du téléphone. La solution adoptée. Unix + Samba PCs Insertion d'un routeur avec fonction VPN avec IKE entre le réseau et la Livebox. INTERNET Michel MARTIN - 2008 2

Configuration IP des réseaux. Site 1 : réseau 192.168.1.0 192.168.1.1 Netgear fvs318 Réseau 172.17.2.0 172.17.2.195 172.17.2.254 Inventel 2 217.128.162.xxx INTERNET Inventel 1 193.252.169.yyy Réseau 172.17.1.0 172.17.1.2 172.17.1.1 Netgear fvs114 172.16.1.14 Site 2 : réseau 172.16.1.0 Michel MARTIN - 2008 3

Configuration IP des routeurs. Connecter une station sur la Livebox et connectez vous avec Firefox à l'adresse IP par défaut (192.168.1.1). Effectuez les modifications qui concernent IP. Il faudra faire ces manipulations de façon symétrique pour chaque réseau. Ceci est la page d'accueil de la Livebox et l'adresse IP est une adresse IP fixe donné par le FAI. Modifiez l'adresse IP LAN par rapport au réseau local et activez DHCP. Michel MARTIN - 2008 4

Configuration réseau du routeur (Netgear). Connectez une station sur le routeur (ici Netgear). Paramétrez la connexion Internet (en fait, vers la Livebox) comme suit. Pas de login ni de mot de passe pour accéder en local à la Livebox. Configuration IP du réseau local Le DNS serra en fait la Livebox (DNS cache). Michel MARTIN - 2008 5

Connexion des routeurs. Connectez le port ADSL du routeur Netgear sur un port LAN de la Livebox Connectez votre station à un port LAN du routeur Netgear. Testez vos connexions. En faisant un ping à l'adresse IP du premier routeur puis un ping à l'adresse IP de la Livebox et enfin en vous connectant sur Internet. Si tout fonctionne, alors les connexions et adresses sont bonnes. Michel MARTIN - 2008 6

Configuration du VPN Configuration de la Livebox. IL faut rediriger le port 500 qui correspond à IPSEC vers notre routeur Netgear. En outre il faudra mettre le pare-feu de la livebox au minimum. Michel MARTIN - 2008 7

Configuration du routeur Netgear. Il faut tout d'abord définir une politique IKE. C'est l'adresse IP connecté à la Livebox C'est l'adresse IP Internet de la Livebox distante. Both directions si l'on veut que chaque réseau puisse prendre l'initiative de la connexion. Main mode est le mode d'identification, l'autre mode est "agressive mode". Encryption Algorithm est le mode de cryptage 3DES est ici le plus sécurisé. Authentification Algorithm, ici SHA1 et le plus sécurisé. La méthode est par clé partagée, la même clé est connue des deux routeurs VPN. Voir à la fin du tutoriel les informations complémentaires sur IKE. Michel MARTIN - 2008 8

Configurez la politique VPN Remote VPN Endpoint : C'est le routeur distant (en fait la Livebox distante). IPSec PFS : La découverte d'une clé ne permettra pas de déchiffrer tout le message. ESP Configuration : On définit un algorithme de cryptage et une méthode d'authentification. Michel MARTIN - 2008 9

Test de la connexion. Après avoir fait les manipulations sur les deux sites. On peut se connecter avec http sur le routeur Netgear distant. Cas de Netbios. La case Netbios Enable a été cochée, mais on ne pourra pas voir les machines de l'autre réseau dans un voisinage réseau via un Explorateur Windows ou un Linneighborhood sous Linux. En effet netbios découvre les autre machines par trames de diffusion et celles-ci ne traversent pas les routeurs (dans notre cas on a 4 routeurs). On pourra utiliser les répertoires partagées avec les commandes sous Windows : net use x: \\192.168.1.xxx\ressource ou avec Samba : smbclient L 192.168.1.xxx pour voir les ressources et smbmount //192.168.1.xxx/ressource /point_de_montage Michel MARTIN - 2008 10

Comprendre IKE. Pendant le tutoriel un certain nombre de termes et acronymes sont apparus. IKE SA Parameters, Diffie-Hellman Group, SA life time, IPSec PFS, AH configuration, ESP Authentification, 3DES, SHA-1. Les modes de cryptage et d'authentification. Diffie-Hellman. Méthode de cryptage basé sur le calcul de logarithme discret. Il permet aux deux entités de générer un secret partagé se connaître préalablement. 3DES. Cryptage par découpage du message en blocs, permutation des blocs, OU exclusif, expension. Ces étapes (rondes) sont répétées 16 fois. SHA-1. Méthode de cryptage qui est une fonction de hachage des données. Dans IKE on utilise 3DES pour le cryptage des données et SHA-1 pour le cryptage de l'authentification. IPSec PFS (Perfect Forward Secrecy). PFS est un protocole d'échange de clef selon lequel la découverte du secret utilisé ne permet pas de retrouver les clefs de sessions passées et futures. AH (Authentification Header). Il assure l'intégrité des données quand on est en mode non connecté (et on est en mode non connecté puisque on utilise le protocole UDP). Un champ est ajouté aux données à protéger, il protège également contre le rejeu par un numéro de séquence. ESP (Encapsulating Security Payload). On utilise soit ESP, soit AH. Contrairement à AH ou les données ne sont pas chiffrées, ESP encapsule les données chiffrées et ajoute au debut un numéro de séquence et à la fin des données d'identification. SA Parameters et SA life time. SA (Security Association) est en fait l'ensemble des paramètres de ESP ou de AH. Le SA lifetime est donc le temps de vie des paramètres sans renégociation. Michel MARTIN - 2008 11

Mécanismes IKE. Avant que les messages puissent transiter par le tunnel VPN, IKE va sélectionner le mode de travail et s'assurer de l'identité de l'autre. IKE agit en deux phases. Première phase, main mode ou agressive mode : sélection du type de cryptage, de la méthode d'authentification et pour la génération des clés supplémentaires. 3DES SHA RSA Signature DH groupe 2 DES MD5 Pre-shared DH groupe 1 3DES SHA RSA Signature DH groupe 2 choix 1 choix 2 Proposition Sélection Valeur publique DH Nombre aléatoire Valeur publique DH Nombre aléatoire Le secret sert à calculer les clés de session pour protéger la suite des échanges. Empreinte/ signature Authentifiacation des échanges Empreinte/ signature Authentifiacation des échanges Le mode agressif combine les 6 messages ci-dessus pour les ramener à trois. On utilise Agressive mode pour les stations itinérantes qui n'ont pas d'adresse fixe. Michel MARTIN - 2008 12

Deuxième phase, quick mode : Cette deuxième phase sert à négocier un ensemble de paramètres de SA, de générer de nouvelles clés et d'identifier le trafic que le SA protègera. ESP IDEA SHA-1 ESP Blowfish MD5 Emprein te Aléa choix 1 Proposition choix 2 ESP IDEA SHA-1 Sélection Emprein te Aléa Michel MARTIN - 2008 13

Pour terminer, on pourra voir les phases d'ike dans les logs de notre routeur. L'état des connexions. Michel MARTIN - 2008 14

Ceci n'est pas un cryptage 3DES. Sleon une édtue de l'uvinertisé de Cmabrigde, l'odrre des ltteers dnas un mto n'a pas d'ipmrotncae, la suele coshe ipmrotnate est que la pmeirère et la drenèire soeint à la bnnoe pclae. Et vcioi le txete en cialr. Selon une étude de l'université de Cambridge, l'ordre des lettres dans un mot n'a pas d'importance, la seule chose importante est que la première et la dernière soient à la bonne place. Sources : Les captures d'écran sont le reflet d'une installation réalisée sur Lyon. Les explications techniques proviennent de Netgear et HSC consultant. Michel MARTIN - 2008 15

2024 © DocPlayer.fr Politique de confidentialité | Conditions de service | Feed-back