VPN IPsec. MASTER INFORMATIQUE I2A Année universitaire Rapport de TP (Document de 21 pages)

Documents pareils
SSL ET IPSEC. Licence Pro ATC Amel Guetat

Sécurité des réseaux IPSec

Tunnels et VPN. 22/01/2009 Formation Permanente Paris6 86

Windows Server 2008 Sécurité ADMINISTRATION ET CONFIGURATION DE LA SECURITE OLIVIER D.

TECHNICAL NOTE. Configuration d un tunnel VPN entre un firewall NETASQ et le client VPN. Authentification par clé pré-partagée. Version 7.

Organisation du parcours M2 IR Les unités d enseignements (UE) affichées dans la partie tronc commun sont toutes obligatoires, ainsi que le stage et

Les Réseaux Privés Virtuels (VPN) Définition d'un VPN

Mise en route d'un Routeur/Pare-Feu

Note technique. Recommandations de sécurité relatives à IPsec 1 pour la protection des flux réseau

Arkoon Security Appliances Fast 360

Configurer ma Livebox Pro pour utiliser un serveur VPN

Description des UE s du M2

PACK SKeeper Multi = 1 SKeeper et des SKubes

Le protocole SSH (Secure Shell)

2. MAQUETTAGE DES SOLUTIONS CONSTRUCTIVES. 2.2 Architecture fonctionnelle d un système communicant.

Rapport de stage Stage de fin d études IUT Réseaux et Télécommunications

Ces deux machines virtuelles seront installées sous VMWARE WORKSTATION.

Parcours en deuxième année

Tunnels. Plan. Pourquoi? Comment? Qu est-ce? Quelles solutions? Tunnels applicatifs ESIL INFO 2005/2006. Sophie Nicoud

Réseaux Privés Virtuels Virtual Private Networks

Devoir Surveillé de Sécurité des Réseaux

Sécurité GNU/Linux. Virtual Private Network

Sécurisation du réseau

le nouveau EAGLEmGuard est arrivé. Dissuasion maximum pour tous les pirates informatiques:

IPSEC : PRÉSENTATION TECHNIQUE

Mettre en place un accès sécurisé à travers Internet

OneAccess 16xx EAD Ethernet Access Device / 1.0 / AH / Public

Figure 1a. Réseau intranet avec pare feu et NAT.

Fiche descriptive de module

Recueil de données trafic Module d intercommunication MI2 Évolutions récentes et traitements quotidiens

SECURIDAY 2013 Cyber War

Utilisation des ressources informatiques de l N7 à distance

Présentation du modèle OSI(Open Systems Interconnection)

Table des matières 1 Accès distant sur Windows 2008 Server Introduction...2

Intérêt du NAT (Network Address Translation) Administration Réseau Niveau routage. Exemple d Intranet. Principe NAT

DFL-210, DFL-800, DFL-1600, DFL-2500 Comment configurer une connexion VPN IPSec site à site

Virtual Private Network WAFA GHARBI (RT4) CYRINE MAATOUG (RT4) BOCHRA DARGHOUTH (RT4) SALAH KHEMIRI (RT4) MARWA CHAIEB (RT3) WIEM BADREDDINE (RT3)

Positionnement produit

Mise en place d'un Réseau Privé Virtuel

Réseaux Privés Virtuels

Module 8 : Protection du trafic réseau à l'aide de la sécurité IPSec et de certificats

Bibliographie. Gestion des risques

1 PfSense 1. Qu est-ce que c est

SÉCURITÉ RÉSEAUX/INTERNET, SYNTHÈSE

1.Introduction - Modèle en couches - OSI TCP/IP

acpro SEN TR firewall IPTABLES

ECTS CM TD TP. 1er semestre (S3)

NOTIONS DE RESEAUX INFORMATIQUES

LAB : Schéma. Compagnie C / /24 NETASQ

Eric DENIZOT José PEREIRA Anthony BERGER

StoneGate Firewall/VPN

Un équipement (clé USB, disque dur, imprimante, etc.) est connecté au port USB.

Le protocole RADIUS Remote Authentication Dial-In User Service

Les Protocoles de sécurité dans les réseaux WiFi. Ihsane MOUTAIB & Lamia ELOFIR FM05

Installation d'un serveur DHCP sous Windows 2000 Serveur

VPN TLS avec OpenVPN. Matthieu Herrb. 14 Mars 2005

[ Sécurisation des canaux de communication

Le rôle Serveur NPS et Protection d accès réseau

M1101a Cours 4. Réseaux IP, Travail à distance. Département Informatique IUT2, UPMF 2014/2015

Module 8 : Planification d'ipsec et résolution des problèmes

Sécurité et Firewall

Préparation à la certification LPIC-1 "Junior Level Linux Certification"

Tutorial VPN. Principales abréviations

VPN IP security Protocol

Présentation Internet

DISTANT ACESS. Emna TRABELSI (RT3) Chourouk CHAOUCH (RT3) Rabab AMMAR (RT3) Rania BEN MANSOUR (RT3) Mouafek BOUZIDI (RT3)

TR2 : Technologies de l'internet. Chapitre VI. NAT statique et dynamique Overloading (PAT) Overlapping, port Forwarding Serveur Proxy, DMZ

Approfondissement Technique. Exia A5 VPN

Votre Réseau est-il prêt?

Configuration d un Client VPN «TheGreenBow» 1) Création d un compte utilisateur dans la base LDAP Netasq

Les formations. Administrateur Systèmes et Réseaux. ENI Ecole Informatique

LP ASUR - Sécurité. Introduction à la Sécurité des Systèmes d'information. Florent Autréau - florent@mataru.com 28 Avril 2013

SYSTEME DE GESTION DES ENERGIES EWTS EMBEDDED WIRELESS TELEMETRY SYSTEM

Spécialiste Systèmes et Réseaux

Druais Cédric École Polytechnique de Montréal. Résumé

Technicien Supérieur de Support en Informatique

Introduction. Adresses

Configuration des VLAN

Procédure d utilisation et de paramétrage (filtrage) avec IPFIRE

Pare-feu VPN sans fil N Cisco RV120W

VoIP et "NAT" VoIP et "NAT" 1/ La Traduction d'adresse réseau. 1/ La traduction d'adresse réseau. 1/ La traduction d'adresse réseau

Administration Avancée de Réseaux d Entreprises (A2RE)

COMMUNIQUER EN CONFIANCE

Les RPV (Réseaux Privés Virtuels) ou VPN (Virtual Private Networks)

TP réseaux Translation d adresse, firewalls, zonage

CONVENTION d adhésion au service. EDUROAM de Belnet

SECURITE DES DONNEES 1/1. Copyright Nokia Corporation All rights reserved. Ver. 1.0

DSCG : UE5 - Management des Systèmes d'information CARTE HEURISTIQUE...1 ARCHITECTURE PHYSIQUE...2

II/ Le modèle OSI II.1/ Présentation du modèle OSI(Open Systems Interconnection)

Information. Communication for the open minded. Siemens Enterprise Communications

Installation d un serveur HTTP (Hypertext Transfer Protocol) sous Débian 6

Les réseaux de campus. F. Nolot

Tutorial créer une machine virtuell.doc Page 1/9

Partie II PRATIQUE DES CPL

Université de Reims Champagne Ardenne. HTTPS, SSL, SSH, IPSEC et SOCKS. Présenté par : BOUAMAMA Mohamed Nadjib AZIZ Xerin

Firewall Net Integrator Vue d ensemble

Transcription:

Cryptographie VPN IPsec MASTER INFORMATIQUE I2A Année universitaire 2006-2007 Rapport de TP (Document de 21 pages) Encadrant : Roland AGOPIAN Participants : Chrystophe VERGNAUD Mehdi MAHOUCHI Kevin DONATIEN Frédéric MAURATON Chen LIN Résumé : Le but de ce TP est de mettre en oeuvre une connexion sécurisée avec IPsec entre deux hôtes et de mettre en oeuvre un Réseaux Privé Virtuel (VPN) en utilisant le mode tunnel du protocole IPsec. Centre de Mathématique et d'informatique Technopôle de Château Gombert 39, rue F. Jolliot Curie 13453 Marseille CEDEX 13

Contacts Nom Prénom mél fonction/statut autre information DONATIEN Kevin donatien@capucine.univ-mrs.fr Étudiant M2 FSSI VERGNAUD Chrystophe vergnaud@capucine.univ-mrs.fr Étudiant M2 FSSI MAHOUACHI Mehdi mahouach@capucine.univ-mrs.fr Étudiant M2 FSSI MAURATON Frédéric mauraton@capucine.univ-mrs.fr Étudiant M2 FSSI LIN Chen lin@capucine.univ-mrs.fr Étudiant M2 FSSI Année universitaire 2006-2007 Page 2/21

Suivi du document Nom, prénom Date Version Commentaires Validation Nom, prénom Signature VERGNAUD C. 09/01/2007 0,05 Relecture et correction. DONATIEN Kevin 06/01/2007 0.04 Plan, hôte vers hôte (Windows 2000) mode tunnel Année universitaire 2006-2007 Page 3/21

Table des matières 1. Présentation......5 1.1. Le protocole IPsec......5 1.2. IKE......5 1.3. VPN......6 2. Systèmes et topologie du réseau......7 3. Connexion Point à Point......8 3.1. Configuration du mode hôte vers hôte...8 A. Échange des clés et paramètres IKE...8 3.2. Mise en oeuvre sur Windows 2000...8 A. Verification des paramètre IKE...11 B. Vérification des paramètres AH-ESP...12 4. IPSEC en mode tunnel......13 4.1. Les paramètres du tunnel...13 A. Échange des clés et paramètres IKE...13 B. Filtre des paquets...13 4.2. Windows 2000 server...13 A. Secret partagé...14 B. Définition du mode tunnel...15 C. Définition des sous-protocoles...15 D. Définition des filtres...16 5. Conclusion......17 Année universitaire 2006-2007 Page 4/21

1. Présentation 1.1. Le protocole IPsec IPsec (Internet Protocol Security) est un protocole (couche 3 modèle OSI) permettant le transport de données sécurisées sur un réseau IP. En fonction du sous-protocole choisi, IPsec peut assurer l'authentification et/ou l'intégrité des données. le protocole n 50, ESP (Encapsulating Security Payload), défini dans la RFC 2406 qui fournit l'intégrité et la confidentialité le protocole n 51, AH, (Authentication Header), défini dans la RFC 2402 et qui ne fournit que l'intégrité. La mise en place d'une architecture sécurisée à base d'ipsec est détaillée dans la RFC 2401. Indépendamment des deux sous-protocoles possibles AH/ESP, deux modes de fonctionnement sont possibles : tunnel ou transport. Le mode transport offre une communication point à point sûr. Le mode tunnel offre une communication sûre pour l'ensemble des machines autorisées à emprunter le tunnel vers le réseau distant et ceci de manière transparente pour les utilisateurs. 1.2. IKE IKE ou Internet Key Exchange est un protocole au niveau application. Il est défini dans les RFC 2407 à 2409. IKEv2 est défini dans la RFC 4306. Il utilise le protocole d'échange de clé Diffie-Hellman afin de créer une clé de session partagée, à partir de laquelle est dérivée une clé de cryptographie. L'utilisation d'une méthode à base de clé publique ou un secret prépartagé permet l'authentification des interlocuteurs. Illustration 1: Négociation des algorithmes Année universitaire 2006-2007 Page 5/21

1.3. VPN Un VPN, Virtual Private Network (Réseau Privé Virtuel), est un réseau basé sur l'interconnexion sécurisée de deux réseaux distants en utilisant des connexions existantes non sécurisées (en particulier Internet). Un bon compromis consiste à utiliser Internet comme support de transmission en utilisant un protocole de «tunnelisation», c'est-à-dire en encapsulant les données à transmettre de façon chiffrée. Le réseau ainsi créé est virtuellement privé car il traverse une zone publique mais la sécurisation des transmissions offre un caractère privé à cette interconnexion de réseaux. Le système de VPN permet donc d'obtenir une liaison sécurisée à moindre coût, si ce n'est la mise en œuvre des équipements terminaux. En contrepartie il ne permet pas d'assurer une qualité de service comparable à une ligne louée dans la mesure où le réseau physique est public et donc à débit non garanti. Année universitaire 2006-2007 Page 6/21

2. Systèmes et topologie du réseau Les mises en oeuvre de la connexion point à point IPsec et du VPN IPsec sont réalisées avec l'architecture ci-dessous. PC1 R1 R2 PC2.2.1.1.2.1.2 192.168.1.0/24 10.0.0.0/24 192.168.2.0/24 Dessin 1: Topologie Le réseau 10.0.0.0/24 représente un réseau non fiable tel que Internet. Les réseaux 192.168.1.0 et 192.168.2.0 représentent des réseaux privés. PC1, PC2, R1 et R2 sont des PC équipés de l'os «Windows 2000 server». R1 et R2 servent de passerelle respectivement à PC1 et PC2. Année universitaire 2006-2007 Page 7/21

3. Connexion Point à Point Cette partie a pour but la mise en oeuvre d'une communication sécurisée entre les machines PC1 et PC2 en utilisant le mode transport d'ipsec. 3.1. Configuration du mode hôte vers hôte Les paramètres de base d'ipsec : Mode ipsec : transport Sous-protocole IPsec : AH+ESP algorithmes de chiffrement (pour ESP): 3DES algorithme de hachage (pour AH et ESP) : SHA-1 En complément de ces paramètres il faut définir les paramètres IKE afin de déterminer comment les clés de sessions sont échangées. Il faut définir les règles de filtrage qui seront appliquées aux paquets (par exemple seules les requêtes SQL seront transmises dans le tunnel) A. Échange des clés et paramètres IKE secret partagé : toto algorithmes de chiffrement : 3DES ou DES algorithme de hachage : MD5 ou SHA-1 3.2. Mise en oeuvre sur Windows 2000 Chacune de ces étapes doit être réalisée sur les deux machines. Année universitaire 2006-2007 Page 8/21

Illustration 2: Accès à la fenêtre «Stratégie de sécurité locale» Dans un premier temps on créé une stratégie de sécurité : Illustration 3: Table des stratégies de sécurité Remarque: Sous «Windows XP Pro» il est possible d'ouvrir cette fenêtre avec la commande «secpol.msc». Année universitaire 2006-2007 Page 9/21

Une fois la fenêtre ouverte il faut créer une nouvelle stratégie de sécurité en faisant un clic droit dans la partie droite de la fenêtre. L'assistant de création impose de renseigner la méthode d'authentification (IKE) des machines. Pour simplifier la tâche nous utilisons un secret partagé «toto». Illustration 4: Secret partagé Une fois la règle créée avec l'assistant, il faut s'assurer que les paramètres par défaut respectent notre configuration. Année universitaire 2006-2007 Page 10/21

A. Verification des paramètre IKE Illustration 5: Accès aux paramètres avancés IKE Une fois dans les paramètres avancés, il faut accéder aux méthodes d'authentification (chiffrement et intégrité) IKE. Illustration 6: Accès aux protocoles utilisés par IKE Il faut ensuite définir quelle stratégie IKE nous souhaitons proposer. Année universitaire 2006-2007 Page 11/21

Il est impératif que le client et le serveur disposent des mêmes combinaisons. Sans accord sur les algorithmes à utiliser, la session IPSEC ne pourra pas démarrer. Illustration 7: Méthodes IKE disponibles B. Vérification des paramètres AH-ESP Par défaut, windows propose une liste de méthodes de sécurité par défaut, il est préférable de supprimer les méthodes superflues et redéfinir une méthode manuellement (ici SHA-1 pour AH et ESP et 3DES pour ESP). Illustration 8: paramètres AH et ESP Année universitaire 2006-2007 Page 12/21

4. IPSEC en mode tunnel Cette partie a pour but la mise en oeuvre d'un VPN basé sur un tunnel IPSEC. IPsec est donc utilisé en mode tunnel entre R1 et R2. Le réseau privé sera consistué de PC1 et PC2. Le réseau 10.0.0.0 représentera un réseau non fiable (comme Internet). Avant de mettre en oeuvre le tunnel, il faut vérifier que les réseaux à mettre en relation communiquent, ceci implique que le routage a été configuré correctement. Deuxièmement, quelque soit le système utilisé, il faut rassembler les points essentiels de configuration d'ipsec, il est ensuite assez simple d'aller chercher les informations qui nous intéressent dans une documentation. 4.1. Les paramètres du tunnel Les paramètres de base d'ipsec : Mode ipsec : tunnel Sous-protocole IPsec : ESP algorithmes de chiffrement (pour ESP): 3DES algorithme de hachage (pour AH et ESP) : SHA-1 En complément de ces paramètres il faut définir les paramètres IKE afin de déterminer comment les clés de sessions sont échangées. Il faut définir les règles de filtrage qui seront appliquées aux paquets (par exemple seules les requêtes SQL seront transmises dans le tunnel) A. Échange des clés et paramètres IKE secret partagé : toto algorithmes de chiffrement : 3DES ou DES algorithme de hachage : MD5 ou SHA-1 B. Filtre des paquets Flux 192.168.1.0 vers 192.168.2.0, fin de tunnel : 10.0.0.2, tout trafic ip. Flux 192.168.2.0 vers 192.168.1.0, fin de tunnel : 10.0.0.1, tout trafic ip. 4.2. Windows 2000 server Pour les serveurs, la configuration se fait sous forme de tube. Le tunnel possède une seule direction : l'entrée vers la sortie. Il faudra donc deux tunnels si l'on souhaite une communication bi-directionnelle. Année universitaire 2006-2007 Page 13/21

Il faut créer une nouvelle stratégie de sécurité. A. Secret partagé Illustration 9: Nouvelle stratégie de sécurité Comme dans une connexion host to host on spécifie un secret partagé. Illustration 10: Secret partagé Année universitaire 2006-2007 Page 14/21

B. Définition du mode tunnel Une fois la règle créée il faut indiquer que la règle doit fonctionner en mode tunnel. Il faut spécifier quelle sera l'adresse de la carte réseau (du réseau non fiable) la plus proche du destinataire du paquet (fin du tunnel) afin d'indiquer qu'il faut désencapsuler les données. Comme nous avons deux flux, il faut définir deux bouts de tunnel : 10.0.0.1 et 10.0.0.2 Illustration 11: Définition du bout du tunnel C. Définition des sous-protocoles Il faut définir les sous-protocoles AH ou ESP dans les actions de filtrage de la règle. Une liste permet de proposer différentes combinaisons pour garantir l'intégrité et/ou la confidentialité du tunnel. Année universitaire 2006-2007 Page 15/21

Illustration 12: Création d'un nouvelle règle de sécurité sur IP Illustration 13: AH ou ESP D. Définition des filtres Le filtre permet de définir les adresses utilisant le VPN. Il permet, de plus, de définir quels protocoles sont authorisés à traverser le tunnel. Grâce à ces filtres, il est possible de remplir des fonctions basiques de pare-feu (filtrage de port et d'adresse). Illustration 14: Définition d'un flux Année universitaire 2006-2007 Page 16/21

5. Conclusion Ipsec est une solution efficace pour réaliser une communication sécurisée entre machines distantes au travers d'un réseau non-fiable. La mise en oeuvre sous windows demande une bonne connaissance du protocole afin de ne pas se perdre dans les multiples paramètres de configuration et supprimer les multiples options inutiles définies par défaut. Quelque soit l'utilisation d'ipsec (en mode tunnel ou transport), il faut d'abord s'assurer que le routage est correctement assuré entre les machines distantes. Année universitaire 2006-2007 Page 17/21

Bibliographie et liens Année universitaire 2006-2007 Page 18/21

Index alphabétique IKE......5 tunnelisation...6 Année universitaire 2006-2007 Page 19/21

Index des illustrations Illustration 1: Négociation des algorithmes...5 Illustration 2: Accès à la fenêtre «Stratégie de sécurité locale»...9 Illustration 3: Table des stratégies de sécurité...9 Illustration 4: Secret partagé...10 Illustration 5: Accès aux paramètres avancés IKE...11 Illustration 6: Accès aux protocoles utilisés par IKE...11 Illustration 7: Méthodes IKE disponibles...12 Illustration 8: paramètres AH et ESP...12 Illustration 9: Nouvelle stratégie de sécurité...14 Illustration 10: Secret partagé...14 Illustration 11: Définition du bout du tunnel...15 Illustration 12: Création d'un nouvelle règle de sécurité sur IP...16 Illustration 13: AH ou ESP...16 Illustration 14: Définition d'un flux...16 Année universitaire 2006-2007 Page 20/21

ANNEXES Année universitaire 2006-2007 Page 21/21

2024 © DocPlayer.fr Politique de confidentialité | Conditions de service | Feed-back