13/05/2014 Dossier VPN VPN. Anthony MANDRON LYCEE LE CASTEL

Documents pareils
Méthode 1 : Mise en place IPSEC

Mise en place d'un Réseau Privé Virtuel

IPsec: Présentation et Configuration

Présentation sur les VPN

DHCPD v3 Installation et configuration

Administration réseau Firewall

Université Pierre Mendès France U.F.R. Sciences de l Homme et de la Société Master IC²A. TP réseau firewall

Formation Iptables : Correction TP

FILTRAGE de PAQUETS NetFilter

Serveur DHCP et Relais DHCP (sous Linux)

Devoir Surveillé de Sécurité des Réseaux

M2-RADIS Rezo TP13 : VPN

Fonctionnement de Iptables. Exercices sécurité. Exercice 1

TP Linux : Firewall. Conditions de réalisation : travail en binôme. Fonctionnement du parefeu Netfilter. I Qu est ce qu'un firewall?

Annexes. OpenVPN. Installation

pare - feu généralités et iptables

Sécurité des réseaux Firewalls

Netfilter & Iptables. Théorie Firewall. Autoriser le trafic entrant d'une connexion déjà établie. Permettre le trafic entrant sur un port spécifique

Rapport du Projet IPv6. Astruc Benoit, Silohian Christophe

Sécurité et Firewall

Réseaux. Moyens de sécurisation. Plan. Evolutions topologiques des réseaux locaux

Le filtrage de niveau IP

TP4 : Firewall IPTABLES

Attribution dynamique des adresses IP

Sécurité GNU/Linux. Iptables : passerelle

acpro SEN TR firewall IPTABLES

2. MAQUETTAGE DES SOLUTIONS CONSTRUCTIVES. 2.2 Architecture fonctionnelle d un système communicant.

Procédure d utilisation et de paramétrage (filtrage) avec IPFIRE

TP DHCP et DNS. Université Pierre Mendès France U.F.R. Sciences de l Homme et de la Société Master IC²A

IP & Co. 1. Service DHCP. L'objectif de ce TP est de voir l'ensemble des services élémentaires mis en oeuvre dans les réseaux IP.

Le rôle Serveur NPS et Protection d accès réseau

Dynamic Host Configuration Protocol

Administration réseau Résolution de noms et attribution d adresses IP

Figure 1a. Réseau intranet avec pare feu et NAT.

Alexis Lechervy Université de Caen. M1 Informatique. Réseaux. Filtrage. Bureau S3-203

Chapitre 2 Rôles et fonctionnalités

Arkoon Security Appliances Fast 360

Mise en œuvre de Rembo Toolkit

07/03/2014 SECURISATION DMZ

Documentation technique OpenVPN

INSTALLATION DEBIAN. Installation par le réseau

Filtrage IP MacOS X, Windows NT/2000/XP et Unix

FACILITER LES COMMUNICATIONS. Le gestionnaire de réseau VPN global de Saima Sistemas

Licence 3 Systèmes et Réseaux II. Chapitre V : Filtrage

SQUID Configuration et administration d un proxy

module Introduction aux réseaux DHCP et codage Polytech / 5

Configuration d un Client VPN «TheGreenBow» 1) Création d un compte utilisateur dans la base LDAP Netasq

Windows Server 2008 Sécurité ADMINISTRATION ET CONFIGURATION DE LA SECURITE OLIVIER D.

TP réseaux Translation d adresse, firewalls, zonage

EPREUVE PRATIQUE DES TECHNIQUES INFORMATIQUES ACTIVITE N 1. Thème de l activité : Configuration d un firewall

LAB : Schéma. Compagnie C / /24 NETASQ

Chapitre I. La couche réseau. 1. Couche réseau 1. Historique de l Internet

Services proposés aux ligues par la M2L Accès Internet Les ligues disposent d'un accès Internet mutualisé que la M2L loue à un prestataire extérieur.

Mise en route d'un Routeur/Pare-Feu

TP SECU NAT ARS IRT ( CORRECTION )

TECHNICAL NOTE. Configuration d un tunnel VPN entre un firewall NETASQ et le client VPN. Authentification par clé pré-partagée. Version 7.

TER Réseau : Routeur Linux 2 Responsable : Anthony Busson

TP 3 Réseaux : Subnetting IP et Firewall

Firewall ou Routeur avec IP statique

Administration Réseaux

Configurer ma Livebox Pro pour utiliser un serveur VPN

Les firewalls libres : netfilter, IP Filter et Packet Filter

avec Netfilter et GNU/Linux

Installation et utilisation d'un certificat

Administration UNIX. Le réseau

Tour d'horizon Bureau client Daemon's Aller plus loin

Linux Firewalling - IPTABLES

Le système GNU/Linux DHCP

Administration Réseau sous Ubuntu SERVER Serveur DHCP

FORMATION WS0803 CONFIGURATION ET DEPANNAGE DE L'INFRASTRUCTURE RESEAU WINDOWS SERVER 2008

Les Réseaux Privés Virtuels (VPN) Définition d'un VPN

Iptables. Table of Contents

II- Préparation du serveur et installation d OpenVpn :

Introduction. Conclusion. Sommaire. 1. Installation de votre routeur Coyote Linux Configuration requise et installation du matériel.

But de cette présentation. Proxy filtrant avec Squid et SquidGuard. Serveur proxy. Serveur proxy. Hainaut P

V.P.N. sous LINUX. Page 1

Sécurité d IPv6. Sécurité d IPv6. Stéphane Bortzmeyer AFNIC bortzmeyer@nic.fr. Stéphane Bortzmeyer AFNIC bortzmeyer@nic.fr

Intérêt du NAT (Network Address Translation) Administration Réseau Niveau routage. Exemple d Intranet. Principe NAT

Surveillance et corrélation de flux réseaux via sondes applicatives embarquées

laposte.net) Ministère de l'éducation nationale Atelier sécurité Rabat RALL 2007

Les réseaux des EPLEFPA. Guide «PfSense»

Environnements informatiques

Table des matières 1 Accès distant sur Windows 2008 Server Introduction...2

Ubuntu Linux Création, configuration et gestion d'un réseau local d'entreprise (3ième édition)

Routeur Chiffrant Navista Version Et le protocole de chiffrement du Réseau Privé Virtuel Navista Tunneling System - NTS Version 3.1.

1. Présentation de WPA et 802.1X

Les réseaux /24 et x0.0/29 sont considérés comme publics

Installation d un serveur AmonEcole

Oléane VPN : Les nouvelles fonctions de gestion de réseaux. Orange Business Services

Rappel: Le routage dans Internet. Contraintes. Environnement et contraintes. La décision dans IP du routage: - Table de routage:

A5.2.3, Repérage des compléments de formation ou d'autoformation

PACK SKeeper Multi = 1 SKeeper et des SKubes

VPN TLS avec OpenVPN. Matthieu Herrb. 14 Mars 2005

[ Sécurisation des canaux de communication

Proxy et reverse proxy. Serveurs mandataires et relais inverses

Sécurité GNU/Linux. FTP sécurisé

Sécuriser son réseau. Sécuriser son réseau Philippe Weill (IPSL/LATMOS) Frédéric Bongat (SSI/GOUV/FR)

titre : CENTOS_CUPS_install&config Système : CentOs 5.7 Technologie : Cups Auteur : Charles-Alban BENEZECH

Transcription:

13/05/2014 Dossier VPN VPN Anthony MANDRON LYCEE LE CASTEL

Table des matières Schéma... 2 Procédure d installation... 2 Mise en œuvre de règles de filtrage... 4 Intégration de services réseaux... 6 ANTHONY MANDRON 1

Schéma Procédure d installation Pour se faire, il faut installer les paquets racoon ipsec-tools pour permettre l'utilisation d'ipsec. L'installation se fait facilement par les dépôts : aptitude install racoon ipsec-tools tcpdump Le paquet tcpdump va permettre la vérification de l'utilisation du protocole esp permettant l'encapsulation des données incorporant le chiffrement. Pour permettre l'utilisation de certificat X509, il faut créer une autorité de certification qui va servir à signer les futurs certificats des deux routeurs VPN : /usr/lib/ssl/misc/ca.pl -newca ANTHONY MANDRON 2

Une fois, l'autorité de certification signée on va pouvoir créer les certificats publics : /usr/lib/ssl/misc/ca.pl -newreq On va pouvoir ensuite signer les certificats avec celui de l'autorité de certificat : /usr/lib/ssl/misc/ca.pl -sign Avant de répéter la manipulation, changer le nom du certificat, de la clé et de la requête de certification. Il faut créer la liste des révocations des certificats afin de pouvoir les rendre non valables. openssl ca -gencrl -out crl.pem Il faut ensuite copier les fichiers des certificats crées, les clés des certificats, l'autorité de certification et la liste de révocation dans le dossier certs de racoon. On va ensuite procéder au hachage du certificat d'autorité et de liste de révocation afin d'assurer leur intégrité et la confidentialité des communications. #Lien entre cacert.pem et hash cd /etc/racoon/certs/ ln -s cacert.pem $(openssl x509 -noout -hash < cacert.pem).0 #Lien entre crl.pem et hash cd /etc/racoon/certs/ ln -s crl.pem $(openssl x509 -noout -hash < cacert.pem).r0 Une fois, les certificats X509 crée, on va pouvoir passer à la configuration d IPSEC. D'abord, il faut configurer le fichier ipsec-tools.conf permettant d'effectuer le tunnel VPN. vim /etc/ipsec-tools.conf flush; spdflush; spdadd adresse_réseau/xx adresse_reseau_distante/xx any -P out ipsec esp/tunnel/lien-lien_distant/require; spdadd adresse_reseau_distante/xx adresse_réseau/xx any -P in ipsec esp/tunnel/lien_distant-lien/require; ANTHONY MANDRON 3

On va pouvoir configurer racoon avec les certificats crées précédemment. vim /etc/racoon/racoon.conf path certificate "/etc/racoon/certs"; remote $remip { exchange_mode main; certificate_type x509 "IPSECcert.pem" "IPSECkey.pem"; verify_cert on; my_identifier asn1dn; peers_identifier asn1dn; proposal { encryption_algorithm 3des; hash_algorithm md5; authentication_method rsasig; dh_group modp1024; } } sainfo anonymous { pfs_group modp768; encryption_algorithm 3des; authentication_algorithm hmac_md5; compression_algorithm deflate; } Pour prendre en compte les changements, il faut d'abord redémarrer le service setkey puis le service racoon sur les deux machines. service setkey restart ; service racoon restart Mise en œuvre de règles de filtrage Une fois, le tunnel VPN fonctionnel, il est primordial de mettre en œuvre des règles de filtrage pour garantir la sécurité des transactions entre les 2 extrémités du VPN. IPtables est un outil qui va permettre de les mettre en œuvre. Dans un premier temps, on va vider les données existantes. ANTHONY MANDRON 4

## On vide les règles iptables. iptables -F ## On supprime toutes les chaînes utilisateurs. iptables -X ## On supprime tout le trafic entrant. iptables -P INPUT DROP ## On supprimer tout le trafic sortant. iptables -P OUTPUT DROP ## On supprimer le forward. iptables -P FORWARD DROP On va ensuite autoriser le trafic sur l'interface de bouclage lo. ## On accepte la boucle locale en entrée. iptables -I INPUT -i lo -j ACCEPT iptables -A OUTPUT -o lo -j ACCEPT On va ensuite mettre en place un système de traçabilité sur les chaines INPUT et FORWARD pour permettre d'effectuer des diagnostiques. ## On log les paquets en entrée. iptables -A INPUT -j LOG ## On log les paquets forward. iptables -A FORWARD -j LOG O n va ensuite autoriser les différents protocoles du tunnel IPSEC. En l'occurence, on aura l'esp et l ISAKMP. ANTHONY MANDRON 5

## Permettre les connexions relatives au tunnel IPsec iptables -A INPUT -p udp --dport isakmp -m comment --comment ipsec -j ACCEPT iptables -A OUTPUT -p udp --sport isakmp -m comment --comment ipsec -j ACCEPT iptables -A FORWARD -p udp --dport isakmp -m comment --comment ipsec -j ACCEPT iptables -A FORWARD -p udp --sport isakmp -m comment --comment ipsec -j ACCEPT iptables -A INPUT -p esp -j ACCEPT iptables -A OUTPUT -p esp -j ACCEPT iptables -A FORWARD -p esp -j ACCEPT Pour des raisons de test, on peut aussi autoriser le protocole ICMP pour effectuer des tests de fonctionnement du VPN avec les règles de filtrage. ## Permettre les connexions des autres protocoles autorisés iptables -A INPUT -p icmp -j ACCEPT iptables -A OUTPUT -p icmp -j ACCEPT iptables -A FORWARD -p icmp -j ACCEPT Intégration de services réseaux Afin de permettre la mise en production informatique de l'agence, il est important d'installer un serveur DHCP en local et un serveur DNS faisant office de relais. Le serveur DNS principal est situé sur le site principal de GSB. La mise en place de cette infrastructure est nécessaire afin de permettre l'accès aux services hébergés sur le site principal. On va d'abord installer le serveur DHCP qui sera installé sur le routeur VPN. aptitude install isc-dhcp-server On va ensuite modifier le fichier de configuration du serveur DHCP. vim /etc/dhcp/dhcpd.conf ANTHONY MANDRON 6

subnet 172.16.128.0 netmask 255.255.255.0 { range 172.16.128.10 172.16.128.30; option domain-name-servers 172.16.0.6, 172.16.0.1; option domain-name "gsb.lan"; option routers 172.16.128.254; option broadcast-address 172.16.128.255; default-lease-time 86400; max-lease-time 604800; } ANTHONY MANDRON 7

2024 © DocPlayer.fr Politique de confidentialité | Conditions de service | Feed-back