Mise en place d'un Réseau Privé Virtuel



Documents pareils
Université Pierre Mendès France U.F.R. Sciences de l Homme et de la Société Master IC²A. TP réseau firewall

Master d'informatique 1ère année. Réseaux et protocoles. Architecture : les bases

ROUTAGE. Répondez aux questions suivantes : (A chaque fois pour XP et pour Debian)

TP réseaux Translation d adresse, firewalls, zonage

Le logiciel Netkit Installation et utilisation

acpro SEN TR firewall IPTABLES

Figure 1a. Réseau intranet avec pare feu et NAT.

Réseau : Interconnexion de réseaux, routage et application de règles de filtrage.

Configuration réseau Basique

Méthode 1 : Mise en place IPSEC

2. MAQUETTAGE DES SOLUTIONS CONSTRUCTIVES. 2.2 Architecture fonctionnelle d un système communicant.

1. Warm up Activity: Single Node

Intérêt du NAT (Network Address Translation) Administration Réseau Niveau routage. Exemple d Intranet. Principe NAT

Travaux Pratiques Introduction aux réseaux IP

TP 1 et 2 de Réseaux en Master 1 Informatique : Assemblage d un réseau, configuration d adresses IP sous Linux et Windows

Arkoon Security Appliances Fast 360

Virtual Private Network WAFA GHARBI (RT4) CYRINE MAATOUG (RT4) BOCHRA DARGHOUTH (RT4) SALAH KHEMIRI (RT4) MARWA CHAIEB (RT3) WIEM BADREDDINE (RT3)

SYSTEME DE GESTION DES ENERGIES EWTS EMBEDDED WIRELESS TELEMETRY SYSTEM

TP SECU NAT ARS IRT ( CORRECTION )

Les Réseaux Privés Virtuels (VPN) Définition d'un VPN

I. Adresse IP et nom DNS

IP & Co. 1. Service DHCP. L'objectif de ce TP est de voir l'ensemble des services élémentaires mis en oeuvre dans les réseaux IP.

Tunnels et VPN. 22/01/2009 Formation Permanente Paris6 86

Administration Réseaux

1 Configuration réseau des PC de la salle TP

LAB : Schéma. Compagnie C / /24 NETASQ

ASR4 Réseaux Département Informatique, IUT Bordeaux 1. DHCP Prénom : Nom : Groupe :

But de cette présentation. Serveur DHCP (Application à CentOS) Cas des machines virtuelles. Schéma de principe. Hainaut P

Redondance de service

Capture, Filtrage et Analyse de trames ETHERNET avec le logiciel Wireshark. Etape 1 : Lancement des machines virtuelles VMWARE et de Wireshark

Configurer ma Livebox Pro pour utiliser un serveur VPN

Présentation sur les VPN

Réalisation d un portail captif d accès authentifié à Internet

Documentation technique OpenVPN

MISE EN PLACE DU FIREWALL SHOREWALL

Département R&T, GRENOBLE TCP / IP

Réseaux. Moyens de sécurisation. Plan. Evolutions topologiques des réseaux locaux

Administration Réseau sous Ubuntu SERVER Serveur DHCP

Sécurité des réseaux IPSec

VPN TLS avec OpenVPN. Matthieu Herrb. 14 Mars 2005

TP 3 Réseaux : Subnetting IP et Firewall

FILTRAGE de PAQUETS NetFilter

Les ACL Cisco. F. Nolot Master 2 Professionnel STIC-Informatique 1

Notice d installation des cartes 3360 et 3365

Plan. Programmation Internet Cours 3. Organismes de standardisation

TR2 : Technologies de l'internet. Chapitre VI. NAT statique et dynamique Overloading (PAT) Overlapping, port Forwarding Serveur Proxy, DMZ

Formation Iptables : Correction TP

Configuration d un Client VPN «TheGreenBow» 1) Création d un compte utilisateur dans la base LDAP Netasq

SQUID Configuration et administration d un proxy

DIFF AVANCÉE. Samy.

ETI/Domo. Français. ETI-Domo Config FR

Sécurité GNU/Linux. Virtual Private Network

Les clés d un réseau privé virtuel (VPN) fonctionnel

II/ Le modèle OSI II.1/ Présentation du modèle OSI(Open Systems Interconnection)

But de cette présentation

TP DNS Utilisation de BIND sous LINUX

Chapitre 2 Machines virtuelles et services

Transmission de données

Mise en place des TPs Réseau en machines virtuelles. Utilisation de VmPlayer

Présentation du modèle OSI(Open Systems Interconnection)

Serveur DHCP et Relais DHCP (sous Linux)

WGW PBX. Guide de démarrage rapide

TP7. DHCP. 1 Comportement en présence d un serveur unique

TP Linux : Firewall. Conditions de réalisation : travail en binôme. Fonctionnement du parefeu Netfilter. I Qu est ce qu'un firewall?

Les réseaux des EPLEFPA. Guide «PfSense»

[ Sécurisation des canaux de communication

V.P.N. sous LINUX. Page 1

1/ Introduction. 2/ Schéma du réseau

Windows Server 2008 Sécurité ADMINISTRATION ET CONFIGURATION DE LA SECURITE OLIVIER D.

TECHNICAL NOTE. Configuration d un tunnel VPN entre un firewall NETASQ et le client VPN. Authentification par clé pré-partagée. Version 7.

Internet Protocol. «La couche IP du réseau Internet»

Table des matières 1 Accès distant sur Windows 2008 Server Introduction...2

TAGREROUT Seyf Allah TMRIM

TP2 - Conguration réseau et commandes utiles. 1 Généralités. 2 Conguration de la machine. 2.1 Commande hostname

TP DHCP et DNS. Université Pierre Mendès France U.F.R. Sciences de l Homme et de la Société Master IC²A

Réseau - VirtualBox. Sommaire

Les possibilités de paramétrage réseau des logiciels de virtualisation sont les suivantes quant à la connexion réseau :

MANIPULATION DE LA TABLE DE ROUTAGE IP. par. G.Haberer, A.Peuch, P.Saadé

Fonctionnement de Iptables. Exercices sécurité. Exercice 1

UFR de Mathématiques et Informatique Année 2009/2010. Réseaux Locaux TP 04 : ICMP, ARP, IP

Spécialiste Systèmes et Réseaux

Bind, le serveur de noms sous Linux

Configuration d'un Réseau Privé Virtuel (RPV ) communément appelé VPN

TP : Introduction à TCP/IP sous UNIX

ultisites S.A. module «services»

Filtrage IP MacOS X, Windows NT/2000/XP et Unix

Connexion à distance. Pour configurer les automates Beckhoff via un PC de programmation VERSION : 1.0 / PH

Logiciel de connexion sécurisée. M2Me_Secure. NOTICE D'UTILISATION Document référence :

Security and privacy in network - TP

Augmenter la portée de votre WiFi avec un répéteur

Les réseaux /24 et x0.0/29 sont considérés comme publics

M2-RADIS Rezo TP13 : VPN

LOSLIER Mathieu. Filière Informatique et Réseau 1 ère année. TP DNS. Responsable : LOHIER Stephane. Chargé de TD : QUIDELLEUR Aurélie

pfsense Manuel d Installation et d Utilisation du Logiciel

TP c Fonctions des listes de contrôle d'accès multiples (TP avancé)

Plan du Travail. 2014/2015 Cours TIC - 1ère année MI 30

Le rôle Serveur NPS et Protection d accès réseau

MAUREY SIMON PICARD FABIEN LP SARI

Sécurité des réseaux Firewalls

Transcription:

Travaux Pratiques Trucs utiles : tail f /var/log/syslog pour tous les logs de la machine et notamment les cartes ethernet d'une machine. /etc/init.d/nom_du_démon (re)start pour le démarrer ou le redémarrer. A chaque changement du fichier de configuration d'un démon, il faut le redémarrer. vérifier qu'un service fonctionne : netstat lun ou netstat ltn (l pour listen serveur, u/t: UDP+/TCP, n : numérique plutôt que nom, ex: 80 ou HTTP) Assigner une adresse IP à une machine : ifconfig eth0 192.168.1.1 netmask 255.255.255.0 But du TP Vous disposez pour cette manipulation de 4 ordinateurs dont 2 (les passerelles) ont des cartes ethernet supplémentaires. Les passerelles créeront un tunnel crypté (VPN) pour relier le côté gauche et le côté droit. Les clients représentent l'extérieur avant l'installation du VPN puis les 2 sous réseaux privés après l'installation du VPN. Simule internet Client gauche Passerelle gauche 1 Passerelle droite 2 Illustration 1: Plan de la maquette Client droit Pourtant, afin de manipuler un peu le routage sur Linux, nous ferons temporairement un tunnel GRE entre les 2 clients. Les passerelles joueront à ce moment là le simple rôle de n'importe quel routeur. La manipulation s'effectuant sur 4 machines, il est préférable que 2 binômes soient simultanément sur la maquette, l'un sur la partie gauche et l'autre sur la partie droite. Il est évident qu'il faut faire évoluer l'ensemble de la manipulation simultanément.

Nous aurons 3 étapes dans le TP, mise en place de la communication d'un bout à l'autre, ensuite création d'un tunnel non crypté entre les 2 machines d'extrémité, puis enfin construction d'un tunnel crypté entre les deux passerelles. Attention il vous appartient de bien évaluer si les interfaces sont eth0 ou eth1 et laquelle choisir. En effet le schéma de la figure ci dessous est uniquement un schéma de principe que vous devez compléter. I. Préliminaires 1. Câblage et définition du réseau On va utiliser des machines debian car il faut être super utilisateur pour faire ces manipulations. Reproduire le schéma ci-dessous. Sur les passerelles, vous devez créer une deuxième interface réseau en utilisant la seconde carte physique dans Virtualbox. Pour voir si la carte est bien câblée, il faut faire un tail -f /var/log/syslog sur la machine physique. Il faut relier les machines des bords aux passerelles avec des câbles croisés. Pour la liaison passerelle-passerelle, utilisez le switch de la salle, c'est-à-dire la prise IUT. Adressage : pour éviter des problèmes, stoppez le démon networkmanager qui risque de changer vos configurations : /etc/init.d/network-manager stop Il est possible que cela "efface vos interfaces". Dans ce cas, faites un ip link set eth0 up et ip link set eth1 up pour les faire réapparaitre. Utiliser des adresses en 192.168.*.* pour les réseaux d'extrémité. Respectez le choix des adresses ci-dessous!!! Rappel : pour assigner une adresse ifconfig eth0 192.168.0.4 netmask 255.255.255.0 (.1 ) [1 11.111.1 ] (.111 ) (. 1xy) [ 10. 4. 110. ] (. 1uv) (.111) [111.111.1] (.1) eth0 ou 1 1 1 11 eth0 ➀ eth1 netc eth1 ➁ eth0 net2 eth0 ou 1 Afin que les passerelles puissent transmettre les paquets de chaque côté, il faut autoriser la recopie sur les interfaces en passant la commande : echo 1 > /proc/sys/net/ipv4/ip_forward Page 2 / 9

Important : pour débugger les problèmes de communications vous : (i)lancez un ping sur une des machines (ii) faites des tcpdump sur les interfaces successives, de proche en proche entre la source et la destination. Ex : tcpdump i eth0 n 'icmp' ( n pour éviter les résolutions DNS). Sur les clients il faut définir une route par défaut: route add -net default gw 192.168.x.254 Il faut ajouter sur les passerelles, une route vers le réseau distant qui n'est pas connue a priori. Sur la passerelle de gauche ➀ route add -net 192.168.2.0 netmask 255.255.255.0 gw 10.4.110.1uv Sur la passerelle de droite ➁ route add -net 192.168.1.0 netmask 255.255.255.0 gw 10.4.110.1xy (Ces commandes peuvent être mises dans le fichier interfaces en les préfixant par up. Ne pas oublier de mettre la commande qui enlève la route dans le cas où on désactive l'interface (préfixe down, voir man interfaces). ) Afin d'éviter que le noyau refuse les relations avec des machines qui n'ont pas d'entrées DNS, appliquer la commande : echo 0 > /proc/sys/net/ipv4/conf/all/rp_filter Tester la communication entre les différentes machines. Cela doit fonctionner entre les deux clients. II. Construction d'un tunnel Il est impératif que la communication fonctionne a priori, sinon il ne sera plus possible de déterminer sans tout annuler. Les modifications à effectuer ne le sont que sur les 2 clients : on crée le tunnel entre euxdeux. Attention on utilise des adresses privées, ce qui ici ne gène pas, mais n'est pas utilisable ailleurs. A gauche (réseau 1) : ip tunnel add lien mode gre remote 192.168.2.1 local 192.168.1.1 ttl 255 ip link set lien up ip addr add 192.168.3.1 dev lien ip route add 192.168.4.0/24 dev lien A droite (réseau 2) : Travaux pratiques TRC8 DUT R&T Info Réseaux Page 3 / 9

ip tunnel add lien mode gre remote 192.168.1.1 local 192.168.2.1 ttl 255 ip link set lien up ip addr add 192.168.4.1 dev lien ip route add 192.168.3.0/24 dev lien lien 3.1 tunnel lien 4.1 eth0 1.1 eth0 2.1 Client gauche Passerelle gauche 1 Passerelle droite 2 Illustration 2: Plan du tunnel Client droit Explications des différentes commandes : on crée le lien (interface virtuelle que l'on appelle lien) de type tunnel en mode GRE entre les 2 adresses qui fonctionnent normalement. on active le lien on lui donne une adresse on route le trafic vers l'adresse distante par le lien nouvellement créé. Vérifier sur les clients que le ping fonctionne toujours. ping 192.168.1.1 ping 192.168.2.1 Maintenant on passe dans le tunnel: ping 192.168.3.1 ping 192.168.4.1 Expliquer en regardant avec wireshark sur une passerelle, la différence entre les 2 modes. Wireshark peut aussi aider sur les clients. Après la vérification, ne pas enlever le tunnel. Cela pourait être fait en appliquant les commandes de création, mais dans l'ordre inverse, en substituant del à add et down à up. Il est préférable de le laisser pour bien assimiler le fonctionnement des tunnels au cours du TP. III. Mise en place du VPN On va utiliser IPSEC entre les 2 passerelles. Nous utilisons ici la version native présente dans le noyau avec les outils BSD. Nous verrons 2 façons de mettre en œuvre IPSEC : tout Page 4 / 9

d'abord en partageant un secret initial manuellement, puis pour automatiser l'échange de clés, nous utiliserons le démon racoon. 1. Mise en œuvre manuelle Récupérer les fichiers metvpnmanu110-tunnel.sh et metvpnmanu111- tunnel.sh. Il faudra adapter les adresses IP de ces fichiers. Prenez le 110 pour la passerelle qui dessert le réseau 192.168.1.0/24 et le 111 pour le 192.168.2.0/24. Ils peuvent être récupérés à l adresse http://kheops.unice.fr/~mathieu/acces/rt LP/RT LP U6/TravPrat/. IPSEC peut avoir 2 fonctions : l'encryptage (par ESP) et d'authentification (par AH) des paquets transmis. Il y a aussi 2 modes : le mode transport et le mode tunnel qui lui, encapsule les paquets avec une nouvelle entête IP. Nous travaillerons dans un premier temps en transport. Il est nécessaire d installer les utilitaires de manipulation des configurations IPSEC. # apt-get install ipsec-tools racoon Les explications ci après correspondent aux commandes des fichiers que vous avez téléchargés voir listing 1 ci dessous. a) Les Associations de Sécurité Il faut définir une «association de sécurité» (SA) pour chaque liaison orientée et pour chaque fonctionnalité. Par exemple sur la passerelle gauche : add 10.4.110.1xy 10.4.110.1uv ah 15700 -A hmac-md5 1234567890123456 où on décrit la liaison entre.1xy vers.1uv pour AH un entête d'authentification qui peut être signé avec hmac-md5 et le secret 1234567890123456 De même pour le cryptage ESP on aurait add 10.4.110.1xy 10.4.110.1uv esp 15701 -E 3des-cbc 1234567890123456789012 Tunnel crypté eth0 1.1 eth0 2.1 Client gauche Passerelle gauche 1 Passerelle droite 2 Client droit les nombres 15700 et 15701 sont des SPI (Security Parameter Index) qui repèrent les instructions. Travaux pratiques TRC8 DUT R&T Info Réseaux Page 5 / 9

b) Les Politiques de Sécurité On a vu comment mettre la liaison en œuvre avec les commandes SA. Il faut maintenant définir ce que nous voulons faire, c'est la Politique de Sécurité (SP). spadd 10.4.110.1xy 10.4.110.1uv any -P out ipsec esp/transport//require ah/transport//require; Cette instruction appliquée sur.1xy (.110), indique que pour la liaison de.1uv (.110) vers.1uv (.111) tout doit être crypté (ESP) et authentifié (AH). Rien n'est mis en place pour l'autre direction. #!/usr/sbin/setkey f # Ne pas oublier les commandes en shell # route add net 192.168.2.0 netmask 255.255.255.0 gw 10.4.110.111 # echo "1" /proc/sys/net/ipv4/ip_forward # On efface tout flush; spdflush; # AH add 10.4.110.110 10.4.110.111 ah 15700 m tunnel A hmac md5 "1234567890123456"; add 10.4.110.111 10.4.110.110 ah 24500 m tunnel A hmac md5 "1234567890123456"; # ESP add 10.4.110.110 10.4.110.111 esp 15701 m tunnel E 3des cbc "123456789012345678901234"; add 10.4.110.111 10.4.110.110 esp 24501 m tunnel E 3des cbc "123456789012345678901234"; # Les politiques de sécurité : seuls les in et out changent entre les 2 passerelles spdadd 192.168.1.1/24 192.168.2.1/24 any P out ipsec esp/tunnel/10.4.110.110 10.4.110.111/require ah/tunnel/10.4.110.110 10.4.110.111/require; spdadd 192.168.2.1/24 192.168.1.1/24 any P in ipsec esp/tunnel/10.4.110.111 10.4.110.110/require ah/tunnel/10.4.110.111 10.4.110.110/require; Listing 1 : c) On active le VPN Fichier metvpnmanu110 tunnel.sh Il faut maintenant tout mettre ensemble. ATTENTION il faut faire évoluer les passerelles de gauche et de droite en même temps. Appliquer les 2 exécutables sur chacune des passerelles. Vérifier la présence des SA puis des SP par les commandes : setkey -D setkey -DP Page 6 / 9

Vérifier que la communication passe entre les 2 passerelles puis entre les 2 clients. Contrôler avec wireshark ou tcpdump que la communication est cryptée entre les passerelles. 2. Mise en œuvre automatique : racoon Le principe est simple : les SA seront automatisées mais c'est nous qui décidons de la politique. C'est donc nous qui définirons les SP. Le fichier /etc/racoon/racoon.conf sera complètement standard et le même sur les 2 machines (en cas il est accessible à l'adresse http://kheops.unice.fr/~mathieu/acces/rt LP/RT LP U6/TravPrat/racoon.conf). On doit encore utiliser les fichiers metvpnmanu1xy.sh dans lesquels on commente les parties qui concernent SA tant pour ESP que pour AH. Il reste à configurer sur chacune des passerelles les fichiers psk.txt. Sur 10.4.110.110 il faut 10.4.110.111 password et sur 10.4.110.111 10.4.110.110 password Attention ces fichiers doivent avoir la protection 060 pour que racoon veuille bien les prendre en compte. Il ne reste plus qu'à vérifier que cela fonctionne : activer les politiques de sécurité, activer racoon et regarder ce qui passe. Attention: il faut laisser passer le protocole UDP port 500 entre les passerelles, ce qui est effectif si nous n avons pas activé de parefeu. Imprimé le 20 mars 2013 Travaux pratiques TRC8 DUT R&T Info Réseaux Page 7 / 9

Notation du TP Noms du binôme : date : I. Préliminaires 1. Câblage et définition du réseau Plan de numérotation: Configuration des interfaces: Ping entre clients: II. Construction d'un tunnel Mise en place du lien Test du lien: explication des éléments et du routage. III. Mise en place du VPN 1. Mise en œuvre manuelle a) Les Associations de Sécurité b) Les Politiques de Sécurité c) On active le VPN La réalisation fonctionne On montre les trames cryptées par wireshark Avec de l'aide 2. Mise en œuvre automatique : racoon Configuration effectuée La réalisation fonctionne Avec de l'aide Travaux pratiques TRC8 DUT R&T Info Réseaux Page 9 / 9

2024 © DocPlayer.fr Politique de confidentialité | Conditions de service | Feed-back