VPN sous Openswan

(Interconnexion des sites)

Institut Suprieur dInformatique Professeur : M.L

Etudiant master1 R&T : Gilles SAMBA
02 Mars 2012
gillesamba@yahoo.fr

Plan
INTRODUCTION I. VPN

1. Dfinition
2. Principe et types de VPN 3. Avantages et inconvnients

II. Openswan/IPsec
1. Dfinition 2. Les composants IPsec

3. Les services IPsec

4. Les modes dexploitation III. Mise en place (test)

INTRODUCTION
Indniablement, internet est rentr dans nos murs. A travers, ce rseau informatique, tout un monde parallle s'est dvelopp : des sites marchands ont fleuris, les services pour les particuliers comme les guides d'itinraire pour nos voyages nous simplifient bien la vie. Enfin on en vient changer des donnes travers des programmes d'change de fichiers et chatter entre internautes. Nous retiendrons de tout a qu'Internet est un vritable outil de communication.

Mais le problme majeur avec Internet est la scurit. La plupart des protocoles utiliss nont pas t cr pour scuriser les donnes. Ainsi, les donnes traversent des rseaux en clair et peuvent tre intercepts par certains individus.
Pour y remdier, certaines structures mettent en place des technologies pour assurer une protection de leurs donnes quelles transmettent via Internet. Parmi technologies, nous avons des VPN avec des solutions logicielles propritaires ou open-source.

I.VPN
1.Dfinition
VPN (Virtual Private Network) est une technologie qui fournit une communication scurise travers un rseau non scuris. Il est bas sur la technique dite de tunneling qui consiste encapsuler len-tte du paquet et les donnes dun protocole lintrieur du champ de charge dun autre protocole. De cette faon, le paquet encapsul peut traverser des rseaux sans tre identifi

2. Principe et types de VPN

Principe Le VPN consiste construire un chemin virtuel aprs avoir identifi lmetteur et le destinataire. Par la suite, la source chiffre les donnes et les achemine en empruntant ce chemin virtuel. Afin dassurer un accs ais et peu coteux aux intranets ou aux extranets dentreprise, les rseaux privs virtuels daccs simulent un priv, alors quils utilisent en ralit une infrastructure daccs partag (comme internet).

 Types de VPN VPN daccs : utilis pour permettre aux tltravailleurs daccder au rseau de leur entreprise. Lutilisateur se sert dune connexion Internet afin dtablir une liaison scurise. Lintranet VPN : utilis pour relier deux ou plusieurs intranets dune mme entreprise entre eux. Cette technique est galement utilise pour relier des rseaux dentreprise, sans quil soit question dintranet Lextranet VPN : utilise pour la communication entre une entreprise et ses partenaires.

3. Avantages et inconvnients
Avantages Matrise totale des changes de donnes utilisation du rseau public Internet mise en uvre moins leve quavec une liaison scurise. Inconvnients Ncessite une infrastructure logicielle souvent importante ncessit de respecter les rglementations en vigueur sur le chiffrement.

II. Openswan/IPsec
1.Dfinition
Openswan Openswan est le nom dun projet qui implmente le protocole IPsec pour Linux 2.0, 2.2, 2.4 et les 2.6. Ce n'est pas la seule solution, mais il est bas sur la plus ancienne mise en uvre du protocole IPsec pour Linux appele FreeSwan. Il inclut les fonctionnalits de certificats X.509,NAT.

 IPsec IPsec (Internet Protocol Security) a t conu pour scuriser les communications rseau partir de la couche 3 du modle OSI. Il a t conu de manire tre support par Ipv4 et a t intgr dans le protocole Ipv6. IPsec n'est pas un remplaant d'IP mais un complment. Ainsi, il intgre des notions essentielles de scurit au datagramme IP. Sa position dans les couches basses du modle OSI lui permet donc de scuriser tous type d'applications et protocoles rseaux base sur IP sans distinction.

2. Les composants IPsec

Protocoles de scurit Authentification header(AH) Encapsulation Security Payload (ESP) Protocole dchange de clefs Internet Key exchange (IKE)
NETKEY KLIPS

Base de donnes internes Security Policy Database (SPD) Security Association Database (SAD)

3. Les services IPsec

Services de scurit offerts par IPSEC : Authentification des extrmits Confidentialit des donnes changes Authenticit des donnes Intgrit des donnes changes Protection contre les coutes et analyses de trafic Protection contre le re-jeu

3. Les mode dexploitation IPsec

Deux mode Transport : protge juste les donnes transportes Insertion transparente entre TCP/IP Pas de masquage dadresse facilit de mise en uvre Scuris de bout en bout les changes entre deux utilisateurs

 Mode Tunnel Insertion aprs IP Encapsulation des datagrammes IP dans dautres datagrammes IP Masquage dadresse Utilis quand au moins une des deux extrmits dIPSEC se comporte comme une passerelle.

III. Mise en place (test)

Logiciels Debian 4.3.5 avec pour noyau 2.6.32-5-686 pour les deux serveurs. Windows XP pour le test.

Installation (pour les serveurs)

Deux fichiers utiliser (de manire basique) /etc/ipsec.conf : contient la configuration des connexions. /etc/ipsec.secrets : contient un secret partag ou une cl RSA. Les droits de ce fichier doivent tre 600.

 Vrification (aprs installation)

Pour modifier les lignes marques [Failed], on dite le fichier : /etc/sysctl.conf en d-commentant et ajoutant. Puis, on recharge le fichier /etc/sysctl.conf

Aprs ces modifications, on redmarre le service ipsec et on vrifie le noyau.

 Gnration de cls

La gnration de cls doit se faire sur les deux passerelles. La cl gnre sera mis dans le fichier /etc/ipsec.secrets. Sur les deux passerelles, on a les cls suivantes

 Configuration
Le fichier de configuration dIPsec est : /etc/ipsec.conf et les paramtres insrer sont les suivants :
Paramtres Left Leftsubnet Leftid Leftrsasigkey Leftnexthop Right Rightsubnet Rightid Rightrsasigkey Rightnexthop Adresse IP publique Adresse rseau 1 FQDN du rseau (optionnel) La cl public RSA gnre pour le rseau 1 La route publique pour atteindre le rseau 2 Adresse IP publique Adresse rseau 2 FQDN du rseau (optionnel) La cl gnre pour le rseau 2 La route publique pour atteindre le rseau 1 Significations

Sur chaque passerelle, on fixe nos adresses LAN et WAN dans le fichier /etc/network/interfaces

Il faut disposer des deux cls sur le mme serveur.

On dite le fichier /etc/ipsec.conf en ajoutant notre VPN dont le nom est de connexion est net-to-net

Ensuite, on envoi ce fichier de configuration sur lautre serveur

On redmarre le service IPsec sur chaque serveur. On tablit ensuite la connexion.

Lavant dernire ligne nous indique que la connexion (SA) tablie est en mode tunnel

Nous faisons un test de ping (avec un PC Windows) vers pour voir si la liaison entre les deux serveurs est scurise.

On observe le trafic sur lun des serveurs.

On constate que la communication entre les deux serveurs est scurise.

 Pour la mise en place dun NAT, on utilise commande iptables : iptables -t nat - A POSTROUTING o eth0 @rseau1/masque -j MASQUERADE Pour enlever le NAT pour les paquets VPN, utilise toujours la commande iptables iptables -t nat A POSTROUTING o eth0 @rseau1/masque -d \ ! @rseau2/masque MASQUERADE

la
s on s -j

Ce tutoriel nous a permis davoir une petite ide sur ce quest un VPN et comment le mettre en place dans un environnement de tests similaire un environnement rel quelque exception prs en utilisant une solution open-source (Openswan/IPsec). Mais pouvez avoir plus amples informations sur certains forum et en lisant certains documents.

Merci pour votre attention!

gillesamba@yahoo.fr