Académique Documents
Professionnel Documents
Culture Documents
PLATEFORME VPN
Dr. Houcemeddine HERMASSI
L’objectif de ce projet est de comparer les différents algorithmes de chiffrement dans un réseau
VPN.Pour permettre l’établissement d’un VPN, on a utilisé un système FREE BSD «PFSENSE », il
permet aussi l’utilisation de nombreux algorithmes de chiffrement tel que DES, 3DES, BLOWFISH,
AES …
Connectez une machine sur la carte réseau de PFSENSE (cote LAN). Ouvrez ensuite votre
navigateur Web, puis entrez http : //192.168.1.1 (dans notre cas).
Coté WAN :
IP : 192.168.3.2
Il faut ensuite configurer l’interface LAN pour y accéder sélectionnez l’onglet suivant :
Afin que notre interface LAN puisse communiquer avec la plage d’adresse WAN
192.168.3.0/24, il faut changer le « Bridge with » en « WAN ».
Routage :
Firewall :
Par défaut le firewall bloque tous le trafic, Dans notre cas ou la simplicité de mise en place
est recherchée, il est possible d’autoriser tous les ports en sortie pour tout les protocoles coté LAN et
coté WAN. Pour un fonctionnement plus sur et mieux maitrise, seuls les ports nécessaires seront
ouverts. Il sera alors nécessaire de faire l’inventaire exhaustif de tous les services nécessaires, ce qui
représente un travail important.
Connectez une machine sur la carte réseau de PFSENSE (cote LAN). Ouvrez ensuite votre
navigateur Web, puis entrez http : //192.168.2.1 (dans notre cas).
Routage :
Firewall :
La configuration du firewall sur PFSENSE Slave est similaire que celle sur Master
IPSEC (Internet Protocol Security) est un ensemble de protocoles (couche 3 modèle OSI) utilisant les
algorithmes permettant le transport de données sécurisées sur un réseau IP. Son objectif est
d’authentifier et de chiffrer les données : le flux ne pourra être compréhensible que par le
destinataire final (chiffrement) et la modification des données par des intermédiaires ne pourra être
possible (intégrité).
Pour ce faire, le tunnel VPN sera établi entre deux PFSENSE comme on dit LAN-to-LAN.
Remplissez les champs généraux suivants (toujours en adaptant avec vos adresses IP) :
Interface : LAN.
Local subnet : LAN subnet (sous réseau LAN de Master-PFSENSE).
Remote subnet : 192.168.2.0/24 (sous réseau LAN de Slave-PFSENSE).
Remote gateway: 192.168.3.1 (@IP WAN Slave-PFSENSE).
Négociation mode : main.
My identifier : My IP address.
Encryption algorithm : 3DES.
Hash Algorithm : SHA1.
DH Key Group : 2.
Lifetime : 28800.
Pre-Shared Key : SELIMRAMZI
Répétez les étapes énoncées précédemment en changeant bien sur les paramètres suivants :
Ainsi, le tunnel IPSEC est établi. PFSENSE permet le filtrage en toute élégance de flux issu du
tunnel sécurisé ce que plusieurs pare-feux ne le permettent pas facilement.
On souhaite autoriser tout type de trafic dans ce VPN : la règle présenté ci-dessous le nous
autorise.
Ici les routes des sous-réseaux apparaissent dans la SPD (Security Policy Database).
Il faut créer de l’activité dans le tunnel IPSEC pour voir apparaitre le SAD (Security Association
Database) qui est une base de données contenant les associations de sécurité.
Dans le résumé du statut IPSEC on voit que le tunnel est bien activé (statut au vert).
4.1. Mesures
L’expérience consiste à injecter des paquets ICMP du LAN 2 (192.168.2.1) vers le LAN 1
(192.168.1.2), le flux sera chiffré selon le type de l’algorithme de chiffrement sélectionné sur
PFSENSE.
Source Destinataire
T1 REQUEST
LATENCE
RTT ----------------------------------------------
T2 ACK
Pour une mesure plus précise, on a envoyé 10 paquets, on obtient 10 RTT différentes à partir
desquelles on calcule la RTT moyenne.
Résultats :
RTTmoyenne = 0.371 ms
Le but de ce scénario est de mesurer la RTT entre nos deux réseaux locaux en passant par le
tunnel IPSEC et comme algorithme de chiffrement le DES (Data Encryption Standard), en envoyant
des paquets ICMP :
Adresse source : 192.168.2.1
Adresse du destinataire : 192.168.1.2
Pour une mesure plus précise, on a envoyé 10 paquets, on obtient 10 RTT différentes à partir
desquelles on calcule la RTT moyenne.
Le but de ce scénario est de mesurer la RTT entre nos deux réseaux locaux en passant par le
tunnel IPSEC et comme algorithme de chiffrement le 3DES (Triple Data Encryption Standard), en
envoyant des paquets ICMP :
Adresse source : 192.168.2.1
Adresse du destinataire : 192.168.1.2
Pour une mesure plus précise, on a envoyé 10 paquets, on obtient 10 RTT différentes à partir
desquelles on calcule la RTT moyenne.
Le but de ce scénario est de mesurer la RTT entre nos deux réseaux locaux en passant par le
tunnel IPSEC et comme algorithme de chiffrement le AES-256 (Advanced Encryption Standard), en
envoyant des paquets ICMP :
Adresse source : 192.168.2.1
Adresse du destinataire : 192.168.1.2
Pour une mesure plus précise, on a envoyé 10 paquets, on obtient 10 RTT différentes à partir
desquelles on calcule la RTT moyenne.
Le but de ce scénario est de mesurer la RTT entre nos deux réseaux locaux en passant par le
tunnel IPSEC et comme algorithme de chiffrement le BLOWFISH, en envoyant des paquets ICMP :
Adresse source : 192.168.2.1
Adresse du destinataire : 192.168.1.2
Pour une mesure plus précise, on a envoyé 10 paquets, on obtient 10 RTT différentes à partir
desquelles on calcule la RTT moyenne.
Type de Sans
DES 3DES AES Blowfish
l’algorithme chiffrement
Taille de la clé
- 64 192 256 448
(Bits)
Latence
moyenne 0.185 0.240 0.242 0.247 0.257
(ms)
D’après les mesures obtenues, pour l’envoi des paquets de même taille avec des algorithmes
de chiffrement différents, on constate que plus la taille de la clé de l’algorithme testé est longue plus
la latence est élevée, mais cette différence de temps se mesure en millièmes de seconde, elle est
négligeable devant l’importance de la taille de la clé de l’algorithme choisi vu que plus la taille est
grande plus la sécurité est assurée car le cassage devient difficile voir impossible à réaliser.
Citons l’exemple de l’AES-128 (Advanced Encryption Standard) qui est beaucoup plus robuste
que le DES (Data Encryption Standard) : la même méthode permettant de craquer une clé DES à 56
bits en 1 seconde, mettrais 149 trillion d'années pour craquer une clé AES à 128 bits.
4. Conclusion
L'algorithme de chiffrement joue un rôle important aussi bien au niveau de la sécurité que des
performances. Dans le cas de configurations réseaux importantes, le choix d'un algorithme devient
judicieux.
- Débranchez les câbles réseau de votre futur firewall PFSENSE (ils seront rebranches
plus tard).
Ensuite vient la configuration des interfaces réseau. Choisissez quelle interface sera
le LAN et l'autre le WAN.
A la question « enter the LAN interface name or ‘a’ for auto-detection», taper « a ».
Ne faites pas « Entrer » pour le moment, mais branchez votre câble réseau sur votre carte
réseau destinée au LAN (dans notre exemple: lnc0). Ensuite, vous pouvez faire « Entrer ».
Faites de même pour la carte réseau qui sera reliée au WAN (dans notre exemple lnc1) :
Si nécessaire, nous allons voir comment formater le disque dur, pour cela allez sur
« Format this Disk », sinon vous pouvez sauter l'étape en allant sur « Skip this step »:
Configuration :
PFSENSE est en marche. Nous allons maintenant passer à la configuration.
Dans ce chapitre, nous configurons à titre d'exemple la machine Master-PFSENSE du
schéma de principe.
Pour avoir le clavier français, taper 8) Shell puis « kbdcontrol –l fr.iso.kbd »
Pour une configuration permanente, il faudra placer la ligne dans le service « shellcmd » qu’il
est possible d’ajouter a partir des packages disponibles.
Ensuite, il faut changer l'IP sur la carte réseau LAN (réseau admin) de PFSENSE.
Pour cela, dans le menu, tapez le choix 2 (« Set LAN IP address »). Entrez l'adresse IP
correspondante a votre LAN ainsi que le masque (24 en général) :