INTERCONNEXION DE DEUX SITES AVEC OPENSWAN

THEME:

INTERCONNEXION DE DEUX SITES AVEC OPENSWAN

Prsent par: - Fatoumata DIAWARA - Alassane DIALLO

Professeur M. LOH
UAHB M1 STIC 2011/2012 1

INTERCONNEXION DE DEUX SITES AVEC OPENSWAN

PLAN
I. II. III. IV. V. VI. VII. VIII. IX. Introduction VPN Ipsec OPENSWAN Configuration Dmarrage dIpsec Lancement du tunnel Vrification Conclusion
2

INTERCONNEXION DE DEUX SITES AVEC OPENSWAN

Introduction 1/2

Les applications et les systmes distribus font de plus en plus partie intgrante du paysage d'un grand nombre d'entreprises. Ces technologies ont pu se dvelopper grce aux performances toujours plus importantes des rseaux locaux. Mais le succs de ces applications a fait aussi apparatre un de leur obstacle. En effet si les applications distribues deviennent le principal outil du systme d'information de l'entreprise, comment assurer leur accs scuris au sein de structures parfois rparties sur de grandes distances gographiques ?

INTERCONNEXION DE DEUX SITES AVEC OPENSWAN

Introduction 2/2

Concrtement comment une succursale (annexe) d'une entreprise peut-elle accder aux donnes situes sur un serveur de la maison mre distant de plusieurs milliers de kilomtres ? Les Vpn ont commenc tre mis en place pour rpondre ce type de problmatique. Nous verrons ici quelles sont les principales caractristiques des Vpn travers un certain nombre d'utilisation. Nous nous intresserons ensuite aux protocoles permettant leur mise en place.

INTERCONNEXION DE DEUX SITES AVEC OPENSWAN

Le VPN Gnralit
Le but d'un rseau priv virtuel (Virtual Private Network ou VPN) est de fournir aux utilisateurs et administrateurs du systme d'information des conditions d'exploitation, d'utilisation et de scurit travers un rseau public identiques celles disponibles sur un rseau prive . En d'autre terme, on veut regrouper des rseaux privs, spars par un rseau public (internet) en donnant l'illusion l'utilisateur qu'ils ne sont pas spars, et toute en gardant l'aspect scuris qui tait assur par de la coupure logique au rseau internet.

INTERCONNEXION DE DEUX SITES AVEC OPENSWAN

Le VPN Le tunnel
Un tunnel, dans le contexte de rseaux informatiques, est une encapsulation de donnes d'un protocole rseau dans un autre, situ dans la mme couche du modle en couches, ou dans une couche de niveau suprieur. En scurit, on cre souvent des tunnels chiffrs, par exemple avec SSH. Les donnes peuvent alors y circuler sans craindre d'tre coutes. Le tunnel consiste tablir un canal entre 2 points sans se soucier des problmatiques d'interconnexion (de faon transparente).
6

INTERCONNEXION DE DEUX SITES AVEC OPENSWAN

Le VPN Le tunnel

Un tunnel IP s'effectue entre 2 machines, qui jouent le rle de passerelles pour les autres machines de leur rseau respectif. Le tunneling peut rendre des services de diffrents ordres : Chiffrement et dchiffrement des donnes transmises. Compression et dcompression des donnes envoyes dans le tunnel. Offrir l'impression l'utilisateur de travailler en rseau local (voire sur la mme machine)

INTERCONNEXION DE DEUX SITES AVEC OPENSWAN

Le VPN Le tunnel Principe
Un rseau Vpn repose sur un protocole appel "protocole de tunneling". Ce protocole permet de faire circuler les informations de l'entreprise de faon crypte d'un bout l'autre du tunnel. Ainsi, les utilisateurs ont l'impression de se connecter directement sur le rseau de leur entreprise.

INTERCONNEXION DE DEUX SITES AVEC OPENSWAN

Le VPN Le tunnel Fonctionnalits
Il existe 3 types standards d'utilisation des Vpn. VPN daccs : Il est utilis pour permettre des utilisateurs itinrants d'accder au rseau priv. L'utilisateur se sert d'une connexion Internet pour tablir la connexion Vpn. Il existe deux cas: L'utilisateur demande au fournisseur d'accs de lui tablir une connexion crypte vers le serveur distant : il communique avec le NAS (Network Access Server) du fournisseur d'accs et c'est le NAS qui tablit la connexion crypte.
9

INTERCONNEXION DE DEUX SITES AVEC OPENSWAN

Le VPN Le tunnel Fonctionnalits
L'utilisateur possde son propre logiciel client pour le Vpn auquel cas il tablit directement la communication de manire crypte vers le rseau de l'entreprise. Lintranet VPN: Il est utilis pour relier au moins deux intranets entre eux. Ce type de rseau est particulirement utile au sein d'une entreprise possdant plusieurs sites distants. Le plus important dans ce type de rseau est de garantir la scurit et l'intgrit des donnes. Certaines donnes trs sensibles peuvent tre amenes transiter sur le Vpn (base de donnes clients, informations financires...). Des techniques de cryptographie sont mises en
10

INTERCONNEXION DE DEUX SITES AVEC OPENSWAN

Le VPN Le tunnel Fonctionnalits
uvrer pour vrifier que les donnes n'ont pas t altres. Il s'agit d'une authentification au niveau paquet pour assurer la validit des donnes, de l'identification de leur source ainsi que leur non-rpudiation. La plupart des algorithmes utiliss font appel des signatures numriques qui sont ajoutes aux paquets. La confidentialit des donnes est, elle aussi, base sur des algorithmes de cryptographie. Lextranet VPN : Une entreprise peut utiliser le Vpn pour communiquer avec ses clients et ses partenaires. Elle ouvre alors son rseau local ces derniers.
11

INTERCONNEXION DE DEUX SITES AVEC OPENSWAN

Le VPN Le tunnel Caractristiques
Un systme de Vpn doit pouvoir mettre en uvre les fonctionnalits suivantes : Authentification d'utilisateur: Seuls les utilisateurs autoriss doivent pouvoir s'identifier sur le rseau virtuel. Gestion d'adresses: Chaque client sur le rseau doit avoir une adresse prive. Cette adresse prive doit rester confidentielle. Un nouveau client doit pouvoir se connecter facilement au rseau et recevoir une adresse.

12

INTERCONNEXION DE DEUX SITES AVEC OPENSWAN

Le VPN Le tunnel Caractristiques
Cryptage des donnes: Lors de leurs transports sur le rseau public les donnes doivent tre protges par un cryptage efficace. Gestion de cls: Les cls de cryptage pour le client et le serveur doivent pouvoir tre gnres et rgnres. Prise en charge multi protocole: La solution Vpn doit supporter les protocoles les plus utiliss sur les rseaux publics en particulier IP.

13

INTERCONNEXION DE DEUX SITES AVEC OPENSWAN

IPsec
IPsec (Internet Protocol Security) a t conu pour scuriser les communications rseau partir de la couche 3 du modle IPsec n'est pas un remplaant d'IP mais un complment. Ainsi, il intgre des notions essentielles de scurit au datagramme IP. Sa position dans les couches basses du modle OSI lui permet donc de scuriser tous types d'applications et protocoles rseaux base sur IP sans distinction.

14

INTERCONNEXION DE DEUX SITES AVEC OPENSWAN

IPsec

La couche IPsec donne donc les moyens d'assurer : la confidentialit des donnes changes (lutter contre l'analyse du trafic)via le chiffrement, l'authentification des intervenants et des donnes dans la communication, l'intgrit des donnes (hachage), la protection contre le rejoue (remise de paquets dj envoys), le contrle d'accs.

15

INTERCONNEXION DE DEUX SITES AVEC OPENSWAN

OPENSWAN Gnralit
Openswan est une implmentation Open Source du protocole IPsec pour le systme dexploitation Linux.

16

INTERCONNEXION DE DEUX SITES AVEC OPENSWAN

OPENSWAN Mise en uvre
La ralisation fera appel au systme d'exploitation Linux pour sa stabilit et sa scurit et aux logiciels libres, pour leur fiabilit, leur suivi de la part de la communaut (mise jour de scurit) et leur prix de revient rduit (pas de licences propritaires acheter). Mise en place sur chaque site d'un serveur-passerelle avec une distribution Linux (Ubuntu ou Debian ): sur chaque passerelle, on installera 2 cartes rseaux, une avec une adresse publique relie au routeur, ou modem ADSL, lautre en adressage prive relie au Switch principal et aux stations de travail existantes. (Postes de travail Windows ou Linux).
17

INTERCONNEXION DE DEUX SITES AVEC OPENSWAN

OPENSWAN Utilisation
Ce logiciel (openswan) permet de crer un tunnel IPSEC et donc de raliser un rseau priv virtuel (VPN) entre les deux sites.

18

INTERCONNEXION DE DEUX SITES AVEC OPENSWAN

OPENSWAN Rsultats
On peut partir d'une station de travail sur le site A prendre le contrle d'une autre station sur le site B, utiliser les logiciels, accder aux donnes du poste distant de manire scurise, et rciproquement. Les partages sur les serveurs du site B sont galement accessibles. Seul l'affichage du poste distant voyage sur le rseau, ce qui permet d'utiliser des applications exigeantes en ressources (applications, bases de donnes par exemple) avec une rapidit de travail convenable.

19

INTERCONNEXION DE DEUX SITES AVEC OPENSWAN

OPENSWAN Rsultats
On peut partir d'une station de travail sur le site A changer des donnes avec un poste sur le site B de manire scurise. Toutes les donnes partages par les machines B sont accessibles aux machines A, et rciproquement. Un utilisateur sur le site A peut accder l'intranet du site B en utilisant son navigateur, de manire scurise. On peut synchroniser ou sauvegarder la nuit des rpertoires serveurs d'un site l'autre et de manire automatique et scurise.

20

INTERCONNEXION DE DEUX SITES AVEC OPENSWAN

Configuration Installation des paquets ncessaires
Pour dmarrer linstallation, les paquets ppp, xl2tpd, libgmp3-dev, bison, flex et make vous serons ncessaire. Installez-les avec la commande suivante : #sudo apt-get install ppp xl2tpd libgmp3-dev bison flex make

21

INTERCONNEXION DE DEUX SITES AVEC OPENSWAN

Configuration /etc/sysctl.conf
Lutilisation dOpenswan ncessite dintervenir sur certains paramtres du noyau . Afin de rendre ces modifications permanentes, elles sont inscrites dans le fichier /etc/sysctl.conf Ajoutez les lignes suivantes : #Parametres IPSEC net.ipv4.ip_forward=1 net.ipv4.icmp_ignore_bogus_error_responses=1 net.ipv4.conf.all.log_martians=0 net.ipv4.conf.default.rp_filter=0 net.ipv4.conf.default.accept_redirects=0 net.ipv4.conf.default.send_redirects=0 net.ipv4.conf.all.arp_ignore=1 22 net.ipv4.conf.all.arp_announce=2

INTERCONNEXION DE DEUX SITES AVEC OPENSWAN

Configuration /etc/sysctl.conf
La prise en compte des nouveaux paramtres est ralise par la commande : #sysctl p Openswan fournit un outil pour vrifier si tout semble correct au niveau noyau : #ipsec verify

23

INTERCONNEXION DE DEUX SITES AVEC OPENSWAN

Configuration /etc/sysctl.conf

24

INTERCONNEXION DE DEUX SITES AVEC OPENSWAN

Configuration Installation
Ici linstallation dOpenswan est effectue dans une distribution Linux (Ubuntu). Linstallation se fait avec la syntaxe suivante : # sudo apt-get install openswan Configuration pralable Aprs avoir termin le processus dinstallation, on fixe des adresses dans chacune des passerelles de deux rseaux. Une adresse prive pour la connexion au rseau local et une adresse publique pour la connexion linternet
25

INTERCONNEXION DE DEUX SITES AVEC OPENSWAN

Configuration

Architecture du VPN
26

INTERCONNEXION DE DEUX SITES AVEC OPENSWAN

Configuration Plan dadressage
Passerelle left Adresse ip externe :12.34.56.78 Adresse ip interne : 192.168.1.1 Rseau interne :192.168.1.0/24 Passerelle right Adresse ip externe :12.34.56.79 Adresse ip interne :192.168.1.50 Rseau interne :192.168.1.0/24
27

INTERCONNEXION DE DEUX SITES AVEC OPENSWAN

Configuration Fichiers de configuration
La configuration est divise dans deux fichiers : /etc/ipsec.conf /etc/ipsec.secrets NB : les fichiers ipsec.conf doivent tre identiques au niveau des deux serveurs pour un VPN de mode rseau rseau (net-tonet).

28

INTERCONNEXION DE DEUX SITES AVEC OPENSWAN

Configuration Fichier /etc/ipsec.secrets
Dans la solution propose dans ce guide, lauthentification IPSec repose sur une clef partage entre les deux serveurs .Cest dans le fichier /etc/ipsec.secrets que nous dfinissons la valeur de la clef partage. #vi /etc/ipsec.secrets Ajouter sur la dernire ligne ladresse IP publique de votre serveur et votre clef partage

29

INTERCONNEXION DE DEUX SITES AVEC OPENSWAN

Configuration Fichier /etc/ipsec.secrets Pour la passerelle left :
left-addresseip right-addresseip PSK "cl entre guillemets Soit : 12.34.56.78 12.34.56.79: PSK "maclefpartagee"

30

INTERCONNEXION DE DEUX SITES AVEC OPENSWAN

Configuration Fichier /etc/ipsec.secrets Pour la passerelle left :

31

INTERCONNEXION DE DEUX SITES AVEC OPENSWAN

Configuration Fichier /etc/ipsec.secrets Pour la passerelle right:
right-addresseip left-addresseip PSK "cl entre guillemets Soit : 12.34.56.79 12.34.56.78: PSK "maclefpartagee"

32

INTERCONNEXION DE DEUX SITES AVEC OPENSWAN

Configuration Fichier /etc/ipsec.secrets Pour la passerelle right:

33

INTERCONNEXION DE DEUX SITES AVEC OPENSWAN

Configuration Fichier /etc/ipsec.conf

Doit tre identique au niveau des deux serveurs pour un VPN de mode rseau rseau (net-to-net).

34

INTERCONNEXION DE DEUX SITES AVEC OPENSWAN

Configuration Fichier /etc/ipsec.conf

35

INTERCONNEXION DE DEUX SITES AVEC OPENSWAN

Configuration Dmarrage dIPsec
Sur les deux machines, il faut relancer le service ipsec : #service ipsec restart

36

INTERCONNEXION DE DEUX SITES AVEC OPENSWAN

Configuration Dmarrage d IPsec

37

INTERCONNEXION DE DEUX SITES AVEC OPENSWAN

Configuration Lancement du tunnel

Pour lancer la connexion on utilise la syntaxe suivante: #ipsec auto --up net-to-net Attention: cette commande doit tre lance sur les deux serveurs simultanment

38

INTERCONNEXION DE DEUX SITES AVEC OPENSWAN

Configuration Lancement du tunnel

La ligne IPsec SA established, mindique que tout est bon .

39

INTERCONNEXION DE DEUX SITES AVEC OPENSWAN

Configuration

Si le masquerading a t activ avec le firewall, il faudrait lenlever pour les paquets concernant les passerelles. Exemple sur passerelle Left : #iptables -t nat -A POSTROUTING -o eth0 -s 192.168.1.0/24 -j MASQUERADE Sera remplac par : #iptables -t nat -A POSTROUTING -o eth0 - 192.168.1.0/24 d \! 192.168.1.0/24 -j MASQUERADE On fera la mme chose sur la passerelle Right.
40

INTERCONNEXION DE DEUX SITES AVEC OPENSWAN

Vrification

Nous allons lancer un ping pour voir si les deux interfaces internes se voient. Du cot de la passerelle left , tentons de pinger linterface du rseau interne de la passerelle right soit le 192.168.1.50

Nous voyons que le ping passe

41

INTERCONNEXION DE DEUX SITES AVEC OPENSWAN

Vrification
Faisons de mme du cot de la passerelle right en pingant le 192.168.1.1

La requte ping passe ici aussi

42

INTERCONNEXION DE DEUX SITES AVEC OPENSWAN

Vrification

Au niveau de la passerelle Right , je regarde les changes entre les deux Serveurs VPN afin de dterminer si le trafic est vu aux deux extrmits du tunnel

43

INTERCONNEXION DE DEUX SITES AVEC OPENSWAN

Vrification

44

INTERCONNEXION DE DEUX SITES AVEC OPENSWAN

Vrification
Nous voyons que les donnes sont bien chiffrs (ESP) entre les passerelles pour ce qui concerne les changes de deux rseaux accessibles par la passerelle.

45

INTERCONNEXION DE DEUX SITES AVEC OPENSWAN

Conclusion
A travers ce projet, nous avons vu un aperu des diffrentes possibilits afin de dployer un VPN, et particulirement la solution que reprsente IPSec. Le VPN a pris une dimension proportionnelle au dveloppement d'internet. A l'origine pour dployer les rseaux privs, une nouvelle utilisation voit le jour aujourd'hui avec l'arrive des technologies sans fil. En effet, ds la premire mise en place du 802.11 (WIFI), on nous a dmontr ses failles en matire de confidentialit et de scurit.. Un risque parmi d'autres, est de voir ses donnes transitant dans le rseau tre lues par un homme du milieu . Ses problmes de scurit sont une grande problmatique quand des donnes sensibles sont communiques. Les solutions VPN offre une possibilit de garantir cette scurit et on peut alors penser la possibilit d'allier le confort d'utilisation d'un rseau sans fil la scurit des donnes qu'on transmet 46