Vous êtes sur la page 1sur 28
VPN sous Openswan (Interconnexion des sites) Institut Supérieur d’Informatique Professeur : M.LÔ Etudiant master1
VPN sous Openswan
(Interconnexion des sites)
Institut Supérieur d’Informatique
Professeur : M.LÔ
Etudiant master1 R&T : Gilles SAMBA
02 Mars 2012
gillesamba@yahoo.fr
Plan • INTRODUCTION • I. VPN • 1. Définition • 2. Principe et types de
Plan
• INTRODUCTION
• I. VPN
• 1. Définition
• 2. Principe et types de VPN
• 3. Avantages et inconvénients
• II. Openswan/IPsec
• 1. Définition
• 2. Les composants IPsec
• 3. Les services IPsec
• 4. Les modes d’exploitation
• III. Mise en place (test)
INTRODUCTION Indéniablement, internet est rentré dans nos mœurs. A travers, ce réseau informatique, tout un
INTRODUCTION
Indéniablement, internet est rentré dans nos
mœurs. A travers, ce réseau informatique, tout un
monde parallèle s'est développé : des sites
marchands ont fleuris, les services pour les
particuliers comme les guides d'itinéraire pour
nos voyages nous simplifient bien la vie. Enfin on
en vient à échanger des données à travers des
programmes d'échange de fichiers et à «chatter»
entre internautes. Nous retiendrons de tout ça
qu'Internet est un véritable outil de
communication.
Mais le problème majeur avec Internet est la sécurité. La plupart des protocoles utilisés n’ont
Mais le problème majeur avec Internet est la
sécurité. La plupart des protocoles utilisés n’ont
pas été créé pour sécuriser les données. Ainsi,
les données traversent des réseaux en clair et
peuvent être interceptés par certains individus.
Pour y remédier, certaines structures mettent en
place des technologies pour assurer une
protection de leurs données qu’elles
transmettent via Internet. Parmi technologies,
nous avons des VPN avec des solutions
logicielles propriétaires ou open-source.
I.VPN 1.Définition VPN (Virtual Private Network) est une technologie qui fournit une communication sécurisée à
I.VPN
1.Définition
VPN (Virtual Private Network) est une technologie
qui fournit une communication sécurisée à travers
un réseau non sécurisé. Il est basé sur la
technique dite de « tunneling » qui consiste à
encapsuler l’en-tête du paquet et les données d’un
protocole à l’intérieur du champ de charge d’un
autre protocole. De cette façon, le paquet
encapsulé peut traverser des réseaux sans être
identifié
2. Principe et types de VPN  Principe Le VPN consiste à construire un chemin
2. Principe et types de VPN
 Principe
Le VPN consiste à construire un chemin virtuel
après avoir identifié l’émetteur et le destinataire.
Par la suite, la source chiffre les données et les
achemine en empruntant ce chemin virtuel. Afin
d’assurer un accès aisé et peu coûteux aux
intranets ou aux extranets d’entreprise, les
réseaux privés virtuels d’accès simulent un privé,
alors qu’ils utilisent en réalité une infrastructure
d’accès partagé (comme internet).
 Types de VPN VPN d’accès : utilisé pour permettre aux télétravailleurs d’accéder au réseau
 Types de VPN
VPN
d’accès
:
utilisé
pour
permettre
aux
télétravailleurs d’accéder au réseau de leur
entreprise. L’utilisateur se sert d’une connexion
Internet afin d’établir une liaison sécurisée.
L’intranet VPN : utilisé pour relier deux ou
plusieurs intranets d’une même entreprise entre
eux. Cette technique est également utilisée pour
relier des réseaux d’entreprise, sans qu’il soit
question d’intranet
L’extranet VPN : utilisée pour la communication
entre une entreprise et ses partenaires.
3. Avantages et inconvénients  Avantages  Maîtrise totale des échanges de données  utilisation
3. Avantages et inconvénients
 Avantages
 Maîtrise totale des échanges de données
 utilisation du réseau public Internet
 mise en œuvre moins élevée qu’avec une
liaison sécurisée.
 Inconvénients
 Nécessite une infrastructure logicielle souvent
importante
 nécessité de respecter les réglementations en
vigueur sur le chiffrement.
II. Openswan/IPsec 1.Définition  Openswan Openswan est le nom d’un projet qui implémente le protocole
II. Openswan/IPsec
1.Définition
 Openswan
Openswan est le nom d’un projet qui implémente le
protocole IPsec pour Linux 2.0, 2.2, 2.4 et les 2.6.
Ce n'est pas la seule solution, mais il est basé sur
la plus ancienne mise en œuvre du protocole IPsec
pour Linux appelée FreeSwan. Il inclut les
fonctionnalités de certificats X.509,NAT.
 IPsec IPsec (Internet Protocol Security) a été conçu pour sécuriser les communications réseau à
 IPsec
IPsec (Internet Protocol Security) a été conçu pour
sécuriser les communications réseau à partir de la
couche 3 du modèle OSI. Il a été conçu de manière
à être supporté par Ipv4 et a été intégré dans le
protocole Ipv6.
IPsec
n'est
pas
un
remplaçant
d'IP
mais
un
complément. Ainsi, il intègre des notions
essentielles de sécurité au datagramme IP.
Sa position dans les couches basses du modèle OSI
lui permet donc de sécuriser tous type
d'applications et protocoles réseaux basée sur IP
sans distinction.
2. Les composants IPsec  Protocoles de sécurité  Authentification header(AH)  Encapsulation Security Payload
2. Les composants IPsec
 Protocoles de sécurité
 Authentification header(AH)
 Encapsulation Security Payload (ESP)
 Protocole d’échange de clefs
 Internet Key exchange (IKE)
• NETKEY
• KLIPS
 Base de données internes
 Security Policy Database (SPD)
 Security Association Database (SAD)
3. Les services IPsec  Services de sécurité offerts par IPSEC :  Authentification des
3. Les services IPsec
 Services de sécurité offerts par IPSEC :
 Authentification des extrémités
 Confidentialité des données échangées
 Authenticité des données
 Intégrité des données échangées
 Protection contre les écoutes et analyses de
trafic
 Protection contre le re-jeu
3. Les mode d’exploitation IPsec  Deux mode  Transport : protège juste les données
3. Les mode d’exploitation IPsec
 Deux mode
 Transport : protège juste les données
transportées
• Insertion transparente entre TCP/IP
• Pas de masquage d’adresse
• facilité de mise en œuvre
• Sécurisé de bout en bout les échanges
entre deux utilisateurs
 Mode Tunnel • Insertion après IP • Encapsulation des datagrammes IP dans d’autres datagrammes
 Mode Tunnel
• Insertion après IP
• Encapsulation des datagrammes IP dans
d’autres datagrammes IP
• Masquage d’adresse
• Utilisé quand au moins une des deux
extrémités d’IPSEC se comporte comme une
passerelle.
III. Mise en place (test)  Logiciels  Debian 4.3.5 avec pour noyau 2.6.32-5-686 pour
III. Mise en place (test)
 Logiciels
 Debian 4.3.5 avec pour noyau 2.6.32-5-686
pour les deux serveurs.
 Windows XP pour le test.
• Installation (pour les serveurs)
 Deux fichiers à utiliser (de manière basique)
• /etc/ipsec.conf : contient la configuration des
connexions.
• /etc/ipsec.secrets : contient un secret partagé ou une
clé RSA. Les droits de ce fichier doivent être 600.
• Vérification (après installation)
• Vérification (après installation)
Pour modifier les lignes marquées [Failed], on édite le fichier : /etc/sysctl.conf en dé-commentant et
Pour modifier les lignes marquées [Failed], on édite le fichier :
/etc/sysctl.conf en dé-commentant et ajoutant.
Puis, on recharge le fichier /etc/sysctl.conf
Après ces modifications, on redémarre le service ipsec et on vérifie le noyau.
Après ces modifications, on redémarre le service ipsec et
on vérifie le noyau.
• Génération de clés • La génération de clés doit se faire sur les deux
• Génération de clés
• La génération de clés doit se faire sur les deux passerelles.
La clé générée sera mis dans le fichier /etc/ipsec.secrets.
• Sur les deux passerelles, on a les clés suivantes
• Configuration Le fichier de configuration d’IPsec est : /etc/ipsec.conf et les paramètres à insérer
• Configuration
Le fichier de configuration d’IPsec est : /etc/ipsec.conf et les
paramètres à insérer sont les suivants :
Paramètres
Significations
Left
Adresse IP publique
Leftsubnet
Adresse réseau 1
Leftid
FQDN du réseau (optionnel)
Leftrsasigkey
La clé public RSA générée pour le réseau 1
Leftnexthop
La route publique pour atteindre le réseau 2
Right
Adresse IP publique
Rightsubnet
Adresse réseau 2
Rightid
FQDN du réseau (optionnel)
Rightrsasigkey
La clé générée pour le réseau 2
Rightnexthop
La route publique pour atteindre le réseau 1
Sur chaque passerelle, on fixe nos adresses LAN et WAN dans le fichier /etc/network/interfaces •
Sur chaque passerelle, on fixe nos adresses LAN et WAN dans
le fichier /etc/network/interfaces
• Il faut disposer des deux clés sur le même serveur.
On édite le fichier /etc/ipsec.conf en ajoutant notre VPN dont le nom est de connexion
On édite le fichier /etc/ipsec.conf en ajoutant notre VPN dont
le nom est de connexion est net-to-net
Ensuite, on envoi ce fichier de configuration sur l’autre serveur  On redémarre le service
Ensuite, on envoi ce fichier de configuration sur l’autre serveur
 On redémarre le service IPsec sur chaque serveur.
 On établit ensuite la connexion.
L’avant dernière ligne nous indique que la connexion
(SA) établie est en mode tunnel
Nous faisons un test de ping (avec un PC Windows) vers pour voir si la
Nous faisons un test de ping (avec un PC Windows) vers pour
voir si la liaison entre les deux serveurs est sécurisée.
On observe le trafic sur l’un des serveurs. On constate que la communication entre les
On observe le trafic sur l’un des serveurs.
On constate que la communication entre les deux
serveurs est sécurisée.
• Pour la mise en place d’un NAT, on utilise la commande iptables : iptables
• Pour
la
mise
en place
d’un NAT,
on utilise
la
commande iptables :
iptables -t nat - A POSTROUTING –o eth0 –s
@réseau1/masque -j MASQUERADE
• Pour enlever
le NAT
pour les paquets VPN, on
utilise toujours la commande iptables
iptables
-t
nat –A POSTROUTING –o eth0
–s
@réseau1/masque
-d
\ ! @réseau2/masque
-j
MASQUERADE
Ce tutoriel nous a permis d’avoir une petite idée sur ce qu’est un VPN et
Ce tutoriel nous a permis d’avoir une petite idée
sur ce qu’est un VPN et comment le mettre en
place dans un environnement de tests similaire
à un environnement réel à quelque exception
près en utilisant une solution open-source
(Openswan/IPsec).
Mais pouvez avoir plus amples informations sur
certains forum et en lisant certains documents.
Merci pour votre attention! gillesamba@yahoo.fr
Merci pour votre attention!
gillesamba@yahoo.fr