Cryptographie VPN IPsec MASTER INFORMATIQUE I2A Année universitaire 2006-2007 Rapport de TP (Document de 21 pages) Encadrant : Roland AGOPIAN Participants : Chrystophe VERGNAUD Mehdi MAHOUCHI Kevin DONATIEN Frédéric MAURATON Chen LIN Résumé : Le but de ce TP est de mettre en oeuvre une connexion sécurisée avec IPsec entre deux hôtes et de mettre en oeuvre un Réseaux Privé Virtuel (VPN) en utilisant le mode tunnel du protocole IPsec. Centre de Mathématique et d'informatique Technopôle de Château Gombert 39, rue F. Jolliot Curie 13453 Marseille CEDEX 13
Contacts Nom Prénom mél fonction/statut autre information DONATIEN Kevin donatien@capucine.univ-mrs.fr Étudiant M2 FSSI VERGNAUD Chrystophe vergnaud@capucine.univ-mrs.fr Étudiant M2 FSSI MAHOUACHI Mehdi mahouach@capucine.univ-mrs.fr Étudiant M2 FSSI MAURATON Frédéric mauraton@capucine.univ-mrs.fr Étudiant M2 FSSI LIN Chen lin@capucine.univ-mrs.fr Étudiant M2 FSSI Année universitaire 2006-2007 Page 2/21
Suivi du document Nom, prénom Date Version Commentaires Validation Nom, prénom Signature VERGNAUD C. 09/01/2007 0,05 Relecture et correction. DONATIEN Kevin 06/01/2007 0.04 Plan, hôte vers hôte (Windows 2000) mode tunnel Année universitaire 2006-2007 Page 3/21
Table des matières 1. Présentation......5 1.1. Le protocole IPsec......5 1.2. IKE......5 1.3. VPN......6 2. Systèmes et topologie du réseau......7 3. Connexion Point à Point......8 3.1. Configuration du mode hôte vers hôte...8 A. Échange des clés et paramètres IKE...8 3.2. Mise en oeuvre sur Windows 2000...8 A. Verification des paramètre IKE...11 B. Vérification des paramètres AH-ESP...12 4. IPSEC en mode tunnel......13 4.1. Les paramètres du tunnel...13 A. Échange des clés et paramètres IKE...13 B. Filtre des paquets...13 4.2. Windows 2000 server...13 A. Secret partagé...14 B. Définition du mode tunnel...15 C. Définition des sous-protocoles...15 D. Définition des filtres...16 5. Conclusion......17 Année universitaire 2006-2007 Page 4/21
1. Présentation 1.1. Le protocole IPsec IPsec (Internet Protocol Security) est un protocole (couche 3 modèle OSI) permettant le transport de données sécurisées sur un réseau IP. En fonction du sous-protocole choisi, IPsec peut assurer l'authentification et/ou l'intégrité des données. le protocole n 50, ESP (Encapsulating Security Payload), défini dans la RFC 2406 qui fournit l'intégrité et la confidentialité le protocole n 51, AH, (Authentication Header), défini dans la RFC 2402 et qui ne fournit que l'intégrité. La mise en place d'une architecture sécurisée à base d'ipsec est détaillée dans la RFC 2401. Indépendamment des deux sous-protocoles possibles AH/ESP, deux modes de fonctionnement sont possibles : tunnel ou transport. Le mode transport offre une communication point à point sûr. Le mode tunnel offre une communication sûre pour l'ensemble des machines autorisées à emprunter le tunnel vers le réseau distant et ceci de manière transparente pour les utilisateurs. 1.2. IKE IKE ou Internet Key Exchange est un protocole au niveau application. Il est défini dans les RFC 2407 à 2409. IKEv2 est défini dans la RFC 4306. Il utilise le protocole d'échange de clé Diffie-Hellman afin de créer une clé de session partagée, à partir de laquelle est dérivée une clé de cryptographie. L'utilisation d'une méthode à base de clé publique ou un secret prépartagé permet l'authentification des interlocuteurs. Illustration 1: Négociation des algorithmes Année universitaire 2006-2007 Page 5/21
1.3. VPN Un VPN, Virtual Private Network (Réseau Privé Virtuel), est un réseau basé sur l'interconnexion sécurisée de deux réseaux distants en utilisant des connexions existantes non sécurisées (en particulier Internet). Un bon compromis consiste à utiliser Internet comme support de transmission en utilisant un protocole de «tunnelisation», c'est-à-dire en encapsulant les données à transmettre de façon chiffrée. Le réseau ainsi créé est virtuellement privé car il traverse une zone publique mais la sécurisation des transmissions offre un caractère privé à cette interconnexion de réseaux. Le système de VPN permet donc d'obtenir une liaison sécurisée à moindre coût, si ce n'est la mise en œuvre des équipements terminaux. En contrepartie il ne permet pas d'assurer une qualité de service comparable à une ligne louée dans la mesure où le réseau physique est public et donc à débit non garanti. Année universitaire 2006-2007 Page 6/21
2. Systèmes et topologie du réseau Les mises en oeuvre de la connexion point à point IPsec et du VPN IPsec sont réalisées avec l'architecture ci-dessous. PC1 R1 R2 PC2.2.1.1.2.1.2 192.168.1.0/24 10.0.0.0/24 192.168.2.0/24 Dessin 1: Topologie Le réseau 10.0.0.0/24 représente un réseau non fiable tel que Internet. Les réseaux 192.168.1.0 et 192.168.2.0 représentent des réseaux privés. PC1, PC2, R1 et R2 sont des PC équipés de l'os «Windows 2000 server». R1 et R2 servent de passerelle respectivement à PC1 et PC2. Année universitaire 2006-2007 Page 7/21
3. Connexion Point à Point Cette partie a pour but la mise en oeuvre d'une communication sécurisée entre les machines PC1 et PC2 en utilisant le mode transport d'ipsec. 3.1. Configuration du mode hôte vers hôte Les paramètres de base d'ipsec : Mode ipsec : transport Sous-protocole IPsec : AH+ESP algorithmes de chiffrement (pour ESP): 3DES algorithme de hachage (pour AH et ESP) : SHA-1 En complément de ces paramètres il faut définir les paramètres IKE afin de déterminer comment les clés de sessions sont échangées. Il faut définir les règles de filtrage qui seront appliquées aux paquets (par exemple seules les requêtes SQL seront transmises dans le tunnel) A. Échange des clés et paramètres IKE secret partagé : toto algorithmes de chiffrement : 3DES ou DES algorithme de hachage : MD5 ou SHA-1 3.2. Mise en oeuvre sur Windows 2000 Chacune de ces étapes doit être réalisée sur les deux machines. Année universitaire 2006-2007 Page 8/21
Illustration 2: Accès à la fenêtre «Stratégie de sécurité locale» Dans un premier temps on créé une stratégie de sécurité : Illustration 3: Table des stratégies de sécurité Remarque: Sous «Windows XP Pro» il est possible d'ouvrir cette fenêtre avec la commande «secpol.msc». Année universitaire 2006-2007 Page 9/21
Une fois la fenêtre ouverte il faut créer une nouvelle stratégie de sécurité en faisant un clic droit dans la partie droite de la fenêtre. L'assistant de création impose de renseigner la méthode d'authentification (IKE) des machines. Pour simplifier la tâche nous utilisons un secret partagé «toto». Illustration 4: Secret partagé Une fois la règle créée avec l'assistant, il faut s'assurer que les paramètres par défaut respectent notre configuration. Année universitaire 2006-2007 Page 10/21
A. Verification des paramètre IKE Illustration 5: Accès aux paramètres avancés IKE Une fois dans les paramètres avancés, il faut accéder aux méthodes d'authentification (chiffrement et intégrité) IKE. Illustration 6: Accès aux protocoles utilisés par IKE Il faut ensuite définir quelle stratégie IKE nous souhaitons proposer. Année universitaire 2006-2007 Page 11/21
Il est impératif que le client et le serveur disposent des mêmes combinaisons. Sans accord sur les algorithmes à utiliser, la session IPSEC ne pourra pas démarrer. Illustration 7: Méthodes IKE disponibles B. Vérification des paramètres AH-ESP Par défaut, windows propose une liste de méthodes de sécurité par défaut, il est préférable de supprimer les méthodes superflues et redéfinir une méthode manuellement (ici SHA-1 pour AH et ESP et 3DES pour ESP). Illustration 8: paramètres AH et ESP Année universitaire 2006-2007 Page 12/21
4. IPSEC en mode tunnel Cette partie a pour but la mise en oeuvre d'un VPN basé sur un tunnel IPSEC. IPsec est donc utilisé en mode tunnel entre R1 et R2. Le réseau privé sera consistué de PC1 et PC2. Le réseau 10.0.0.0 représentera un réseau non fiable (comme Internet). Avant de mettre en oeuvre le tunnel, il faut vérifier que les réseaux à mettre en relation communiquent, ceci implique que le routage a été configuré correctement. Deuxièmement, quelque soit le système utilisé, il faut rassembler les points essentiels de configuration d'ipsec, il est ensuite assez simple d'aller chercher les informations qui nous intéressent dans une documentation. 4.1. Les paramètres du tunnel Les paramètres de base d'ipsec : Mode ipsec : tunnel Sous-protocole IPsec : ESP algorithmes de chiffrement (pour ESP): 3DES algorithme de hachage (pour AH et ESP) : SHA-1 En complément de ces paramètres il faut définir les paramètres IKE afin de déterminer comment les clés de sessions sont échangées. Il faut définir les règles de filtrage qui seront appliquées aux paquets (par exemple seules les requêtes SQL seront transmises dans le tunnel) A. Échange des clés et paramètres IKE secret partagé : toto algorithmes de chiffrement : 3DES ou DES algorithme de hachage : MD5 ou SHA-1 B. Filtre des paquets Flux 192.168.1.0 vers 192.168.2.0, fin de tunnel : 10.0.0.2, tout trafic ip. Flux 192.168.2.0 vers 192.168.1.0, fin de tunnel : 10.0.0.1, tout trafic ip. 4.2. Windows 2000 server Pour les serveurs, la configuration se fait sous forme de tube. Le tunnel possède une seule direction : l'entrée vers la sortie. Il faudra donc deux tunnels si l'on souhaite une communication bi-directionnelle. Année universitaire 2006-2007 Page 13/21
Il faut créer une nouvelle stratégie de sécurité. A. Secret partagé Illustration 9: Nouvelle stratégie de sécurité Comme dans une connexion host to host on spécifie un secret partagé. Illustration 10: Secret partagé Année universitaire 2006-2007 Page 14/21
B. Définition du mode tunnel Une fois la règle créée il faut indiquer que la règle doit fonctionner en mode tunnel. Il faut spécifier quelle sera l'adresse de la carte réseau (du réseau non fiable) la plus proche du destinataire du paquet (fin du tunnel) afin d'indiquer qu'il faut désencapsuler les données. Comme nous avons deux flux, il faut définir deux bouts de tunnel : 10.0.0.1 et 10.0.0.2 Illustration 11: Définition du bout du tunnel C. Définition des sous-protocoles Il faut définir les sous-protocoles AH ou ESP dans les actions de filtrage de la règle. Une liste permet de proposer différentes combinaisons pour garantir l'intégrité et/ou la confidentialité du tunnel. Année universitaire 2006-2007 Page 15/21
Illustration 12: Création d'un nouvelle règle de sécurité sur IP Illustration 13: AH ou ESP D. Définition des filtres Le filtre permet de définir les adresses utilisant le VPN. Il permet, de plus, de définir quels protocoles sont authorisés à traverser le tunnel. Grâce à ces filtres, il est possible de remplir des fonctions basiques de pare-feu (filtrage de port et d'adresse). Illustration 14: Définition d'un flux Année universitaire 2006-2007 Page 16/21
5. Conclusion Ipsec est une solution efficace pour réaliser une communication sécurisée entre machines distantes au travers d'un réseau non-fiable. La mise en oeuvre sous windows demande une bonne connaissance du protocole afin de ne pas se perdre dans les multiples paramètres de configuration et supprimer les multiples options inutiles définies par défaut. Quelque soit l'utilisation d'ipsec (en mode tunnel ou transport), il faut d'abord s'assurer que le routage est correctement assuré entre les machines distantes. Année universitaire 2006-2007 Page 17/21
Bibliographie et liens Année universitaire 2006-2007 Page 18/21
Index alphabétique IKE......5 tunnelisation...6 Année universitaire 2006-2007 Page 19/21
Index des illustrations Illustration 1: Négociation des algorithmes...5 Illustration 2: Accès à la fenêtre «Stratégie de sécurité locale»...9 Illustration 3: Table des stratégies de sécurité...9 Illustration 4: Secret partagé...10 Illustration 5: Accès aux paramètres avancés IKE...11 Illustration 6: Accès aux protocoles utilisés par IKE...11 Illustration 7: Méthodes IKE disponibles...12 Illustration 8: paramètres AH et ESP...12 Illustration 9: Nouvelle stratégie de sécurité...14 Illustration 10: Secret partagé...14 Illustration 11: Définition du bout du tunnel...15 Illustration 12: Création d'un nouvelle règle de sécurité sur IP...16 Illustration 13: AH ou ESP...16 Illustration 14: Définition d'un flux...16 Année universitaire 2006-2007 Page 20/21
ANNEXES Année universitaire 2006-2007 Page 21/21