SlideShare una empresa de Scribd logo

Tuto vpn

I
ImaneF1990
1 de 15
Descargar para leer sin conexión
Etablir un tunnel VPN entre deux réseaux. L'objectif de créer un tunnel VPN entre deux réseaux est de pouvoir faire communiquer n'importe quel système de l'un des réseau avec l'autre, et ce, en toute sécurité. Dans ce tutoriel seront abordés les notions d'authentification et en particulier le protocole IKE. La configuration des réseaux est la suivante : Unix + Samba PCs PCs INTERNET Postes itinérants Michel MARTIN - 2008 1
Dans la configuration ci-dessus, les systèmes sont hétérogènes. On doit pouvoir accéder aux imprimantes et aux répertoires partagés, ainsi qu'aux applications de gestion. La "Livebox" ne possède pas de fonction VPN et doit être conservée à cause du téléphone. La solution adoptée. Unix + Samba PCs Insertion d'un routeur avec fonction VPN avec IKE entre le réseau et la Livebox. INTERNET Michel MARTIN - 2008 2
Configuration IP des réseaux. Site 1 : réseau 192.168.1.0 192.168.1.1 Netgear fvs318 172.17.2.195 Réseau 172.17.2.0 172.17.2.254 Inventel 2 217.128.162.xxx INTERNET Inventel 1 193.252.169.yyy 172.17.1.2 Réseau 172.17.1.0 172.17.1.1 Netgear fvs114 172.16.1.14 Site 2 : réseau 172.16.1.0 Michel MARTIN - 2008 3
Configuration IP des routeurs. Connecter une station sur la Livebox et connectez vous avec Firefox à l'adresse IP par défaut (192.168.1.1). Effectuez les modifications qui concernent IP. Il faudra faire ces manipulations de façon symétrique pour chaque réseau. Ceci est la page d'accueil de la Livebox et l'adresse IP est une adresse IP fixe donné par le FAI. Modifiez l'adresse IP LAN par rapport au réseau local et activez DHCP. Michel MARTIN - 2008 4
Configuration réseau du routeur (Netgear). Connectez une station sur le routeur (ici Netgear). Paramétrez la connexion Internet (en fait, vers la Livebox) comme suit. Pas de login ni de mot de passe pour accéder en local à la Livebox. Configuration IP du réseau local Le DNS serra en fait la Livebox (DNS cache). Michel MARTIN - 2008 5
Connexion des routeurs. Connectez le port ADSL du routeur Netgear sur un port LAN Connectez votre station à un de la Livebox port LAN du routeur Netgear. Testez vos connexions. En faisant un ping à l'adresse IP du premier routeur puis un ping à l'adresse IP de la Livebox et enfin en vous connectant sur Internet. Si tout fonctionne, alors les connexions et adresses sont bonnes. Michel MARTIN - 2008 6
Configuration du VPN Configuration de la Livebox. IL faut rediriger le port 500 qui correspond à IPSEC vers notre routeur Netgear. En outre il faudra mettre le pare-feu de la livebox au minimum. Michel MARTIN - 2008 7
Configuration du routeur Netgear. Il faut tout d'abord définir une politique IKE. C'est l'adresse IP connecté à la Livebox C'est l'adresse IP Internet de la Livebox distante. Both directions si l'on veut que chaque réseau puisse prendre l'initiative de la connexion. Main mode est le mode d'identification, l'autre mode est "agressive mode". Encryption Algorithm est le mode de cryptage 3DES est ici le plus sécurisé. Authentification Algorithm, ici SHA1 et le plus sécurisé. La méthode est par clé partagée, la même clé est connue des deux routeurs VPN. Voir à la fin du tutoriel les informations complémentaires sur IKE. Michel MARTIN - 2008 8
Configurez la politique VPN Remote VPN Endpoint : C'est le routeur distant (en fait la Livebox distante). IPSec PFS : La découverte d'une clé ne permettra pas de déchiffrer tout le message. ESP Configuration : On définit un algorithme de cryptage et une méthode d'authentification. Michel MARTIN - 2008 9
Test de la connexion. Après avoir fait les manipulations sur les deux sites. On peut se connecter avec http sur le routeur Netgear distant. Cas de Netbios. La case Netbios Enable a été cochée, mais on ne pourra pas voir les machines de l'autre réseau dans un voisinage réseau via un Explorateur Windows ou un Linneighborhood sous Linux. En effet netbios découvre les autre machines par trames de diffusion et celles-ci ne traversent pas les routeurs (dans notre cas on a 4 routeurs). On pourra utiliser les répertoires partagées avec les commandes sous Windows : net use x: 192.168.1.xxxressource ou avec Samba : smbclient –L 192.168.1.xxx pour voir les ressources et smbmount //192.168.1.xxx/ressource /point_de_montage Michel MARTIN - 2008 10
Comprendre IKE. Pendant le tutoriel un certain nombre de termes et acronymes sont apparus. IKE SA Parameters, Diffie-Hellman Group, SA life time, IPSec PFS, AH configuration, ESP Authentification, 3DES, SHA-1. Les modes de cryptage et d'authentification. Diffie-Hellman. Méthode de cryptage basé sur le calcul de logarithme discret. Il permet aux deux entités de générer un secret partagé se connaître préalablement. 3DES. Cryptage par découpage du message en blocs, permutation des blocs, OU exclusif, expension. Ces étapes (rondes) sont répétées 16 fois. SHA-1. Méthode de cryptage qui est une fonction de hachage des données. Dans IKE on utilise 3DES pour le cryptage des données et SHA-1 pour le cryptage de l'authentification. IPSec PFS (Perfect Forward Secrecy). PFS est un protocole d'échange de clef selon lequel la découverte du secret utilisé ne permet pas de retrouver les clefs de sessions passées et futures. AH (Authentification Header). Il assure l'intégrité des données quand on est en mode non connecté (et on est en mode non connecté puisque on utilise le protocole UDP). Un champ est ajouté aux données à protéger, il protège également contre le rejeu par un numéro de séquence. ESP (Encapsulating Security Payload). On utilise soit ESP, soit AH. Contrairement à AH ou les données ne sont pas chiffrées, ESP encapsule les données chiffrées et ajoute au debut un numéro de séquence et à la fin des données d'identification. SA Parameters et SA life time. SA (Security Association) est en fait l'ensemble des paramètres de ESP ou de AH. Le SA lifetime est donc le temps de vie des paramètres sans renégociation. Michel MARTIN - 2008 11
Mécanismes IKE. Avant que les messages puissent transiter par le tunnel VPN, IKE va sélectionner le mode de travail et s'assurer de l'identité de l'autre. IKE agit en deux phases. Première phase, main mode ou agressive mode : sélection du type de cryptage, de la méthode d'authentification et pour la génération des clés supplémentaires. 3DES DES 3DES SHA MD5 SHA RSA Pre-shared RSA Signature DH groupe 1 Signature DH groupe 2 DH groupe 2 choix 1 choix 2 Proposition Sélection Valeur Valeur publique DH publique DH Nombre Nombre aléatoire aléatoire Le secret sert à calculer les clés de session pour protéger la suite des échanges. Empreinte/ signature Empreinte/ signature Authentifiacation des Authentifiacation des échanges échanges Le mode agressif combine les 6 messages ci-dessus pour les ramener à trois. On utilise Agressive mode pour les stations itinérantes qui n'ont pas d'adresse fixe. Michel MARTIN - 2008 12
Deuxième phase, quick mode : Cette deuxième phase sert à négocier un ensemble de paramètres de SA, de générer de nouvelles clés et d'identifier le trafic que le SA protègera. ESP ESP Emprein IDEA Blowfish te SHA-1 MD5 Aléa ESP Emprein choix 1 choix 2 IDEA te SHA-1 Aléa Proposition Sélection Michel MARTIN - 2008 13
Pour terminer, on pourra voir les phases d'IKE dans les logs de notre routeur. L'état des connexions. Michel MARTIN - 2008 14
Ceci n'est pas un cryptage 3DES. Sleon une édtue de l'Uvinertisé de Cmabrigde, l'odrre des ltteers dnas un mto n'a pas d'ipmrotncae, la suele coshe ipmrotnate est que la pmeirère et la drenèire soeint à la bnnoe pclae. Et vcioi le txete en cialr. Selon une étude de l'Université de Cambridge, l'ordre des lettres dans un mot n'a pas d'importance, la seule chose importante est que la première et la dernière soient à la bonne place. Sources : Les captures d'écran sont le reflet d'une installation réalisée sur Lyon. Les explications techniques proviennent de Netgear et HSC consultant. Michel MARTIN - 2008 15

Recomendados

Les Vpn
Les VpnLes Vpn
Les Vpn
medalaa
 
Ccnp securite vpn
Ccnp securite vpnCcnp securite vpn
Ccnp securite vpn
sara ousaoud
 
Vpn
VpnVpn
Vpn
malekoff
 
Vpn
VpnVpn
Vpn
malekoff
 
Vpn site to site avec les équipements JUNIPER
Vpn site to site avec les équipements JUNIPERVpn site to site avec les équipements JUNIPER
Vpn site to site avec les équipements JUNIPER
Hermann Gbilimako
 
VPN - Virtual Private Network
VPN - Virtual Private NetworkVPN - Virtual Private Network
VPN - Virtual Private Network
julienlfr
 
VPN: SSL vs IPSEC
VPN: SSL vs IPSECVPN: SSL vs IPSEC
VPN: SSL vs IPSEC
Sylvain Maret
 
Exemple de configuration de serveur VPN distant avec NAT entrant pour le traf...
Exemple de configuration de serveur VPN distant avec NAT entrant pour le traf...Exemple de configuration de serveur VPN distant avec NAT entrant pour le traf...
Exemple de configuration de serveur VPN distant avec NAT entrant pour le traf...
Regis VPN
 

Recomendados

Les Vpn
Les VpnLes Vpn
Les Vpn
medalaa
 
Ccnp securite vpn
Ccnp securite vpnCcnp securite vpn
Ccnp securite vpn
sara ousaoud
 
Vpn
VpnVpn
Vpn
malekoff
 
Vpn
VpnVpn
Vpn
malekoff
 
Vpn site to site avec les équipements JUNIPER
Vpn site to site avec les équipements JUNIPERVpn site to site avec les équipements JUNIPER
Vpn site to site avec les équipements JUNIPER
Hermann Gbilimako
 
VPN - Virtual Private Network
VPN - Virtual Private NetworkVPN - Virtual Private Network
VPN - Virtual Private Network
julienlfr
 
VPN: SSL vs IPSEC
VPN: SSL vs IPSECVPN: SSL vs IPSEC
VPN: SSL vs IPSEC
Sylvain Maret
 
Exemple de configuration de serveur VPN distant avec NAT entrant pour le traf...
Exemple de configuration de serveur VPN distant avec NAT entrant pour le traf...Exemple de configuration de serveur VPN distant avec NAT entrant pour le traf...
Exemple de configuration de serveur VPN distant avec NAT entrant pour le traf...
Regis VPN
 
vpn
vpnvpn
vpn
fayzerish
 
Prise en Main des équipements JUNIPER
Prise en Main des équipements JUNIPERPrise en Main des équipements JUNIPER
Prise en Main des équipements JUNIPER
Hermann GBILIMAKO
 
Etude et mise en place d’un VPN
Etude et mise en place d’un VPNEtude et mise en place d’un VPN
Etude et mise en place d’un VPN
Charif Khrichfa
 
Les commandes CISCO (routeur)
Les commandes CISCO (routeur)Les commandes CISCO (routeur)
Les commandes CISCO (routeur)
EL AMRI El Hassan
 
Pre sou-edit1
Pre sou-edit1Pre sou-edit1
Pre sou-edit1
Al Ousseynou Gueye
 
Vpn
VpnVpn
Vpn
kwabo
 
Protocoles SSL/TLS
Protocoles SSL/TLSProtocoles SSL/TLS
Protocoles SSL/TLS
Thomas Moegli
 
Openvpn avec un client windows
Openvpn avec un client windows Openvpn avec un client windows
Openvpn avec un client windows
Yaya N'Tyeni Sanogo
 
Tuto VP IPSEC Site-to-site
Tuto VP IPSEC Site-to-siteTuto VP IPSEC Site-to-site
Tuto VP IPSEC Site-to-site
Dimitri LEMBOKOLO
 
Mise en place d'un vpn site à site avec pfsense
Mise en place d'un vpn site à site avec pfsenseMise en place d'un vpn site à site avec pfsense
Mise en place d'un vpn site à site avec pfsense
Pape Moussa SONKO
 
Cours- Sécurité des réseaux
Cours- Sécurité des réseaux Cours- Sécurité des réseaux
Cours- Sécurité des réseaux
Yassmina AGHIL
 
Rapport mise en place d'un sevrer VPN .
Rapport mise en place d'un sevrer VPN . Rapport mise en place d'un sevrer VPN .
Rapport mise en place d'un sevrer VPN .
Mouad Lousimi
 
Pfsense
PfsensePfsense
Pfsense
Glen La Legende Vivante
 
Rapport projet
Rapport projetRapport projet
Rapport projet
Khadija Dija
 
Trunk VoiP Asterisk strongsawn openvpn
Trunk VoiP Asterisk strongsawn openvpnTrunk VoiP Asterisk strongsawn openvpn
Trunk VoiP Asterisk strongsawn openvpn
Yaya N'Tyeni Sanogo
 
Authentification TLS/SSL sous OpenVPN
Authentification TLS/SSL sous OpenVPNAuthentification TLS/SSL sous OpenVPN
Authentification TLS/SSL sous OpenVPN
Ismail Rachdaoui
 
Version Final Presentation
Version Final PresentationVersion Final Presentation
Version Final Presentation
Bedreddine Zarrouk
 
VPN WINDOWS LINUX OPENVPN
VPN WINDOWS LINUX OPENVPNVPN WINDOWS LINUX OPENVPN
VPN WINDOWS LINUX OPENVPN
Manuel Cédric EBODE MBALLA
 
Firewall opensource et gestion de configuration pour l'infrastructure
Firewall opensource et gestion de configuration pour l'infrastructureFirewall opensource et gestion de configuration pour l'infrastructure
Firewall opensource et gestion de configuration pour l'infrastructure
Johan Moreau
 
Ccna4
Ccna4Ccna4
Ccna4
CONNECT Tunisia
 
Mise en place d’un serveur radius
Mise en place d’un serveur radiusMise en place d’un serveur radius
Mise en place d’un serveur radius
Jeff Hermann Ela Aba
 
Wi fi-radius
Wi fi-radiusWi fi-radius
Wi fi-radius
Moïse Guilavogui
 

Más contenido relacionado

La actualidad más candente

Cours- Sécurité des réseaux
Cours- Sécurité des réseaux Cours- Sécurité des réseaux
Cours- Sécurité des réseaux
Yassmina AGHIL
 

La actualidad más candente (20)

vpn
vpnvpn
vpn
 
Prise en Main des équipements JUNIPER
Prise en Main des équipements JUNIPERPrise en Main des équipements JUNIPER
Prise en Main des équipements JUNIPER
 
Etude et mise en place d’un VPN
Etude et mise en place d’un VPNEtude et mise en place d’un VPN
Etude et mise en place d’un VPN
 
Les commandes CISCO (routeur)
Les commandes CISCO (routeur)Les commandes CISCO (routeur)
Les commandes CISCO (routeur)
 
Pre sou-edit1
Pre sou-edit1Pre sou-edit1
Pre sou-edit1
 
Vpn
VpnVpn
Vpn
 
Protocoles SSL/TLS
Protocoles SSL/TLSProtocoles SSL/TLS
Protocoles SSL/TLS
 
Openvpn avec un client windows
Openvpn avec un client windows Openvpn avec un client windows
Openvpn avec un client windows
 
Tuto VP IPSEC Site-to-site
Tuto VP IPSEC Site-to-siteTuto VP IPSEC Site-to-site
Tuto VP IPSEC Site-to-site
 
Mise en place d'un vpn site à site avec pfsense
Mise en place d'un vpn site à site avec pfsenseMise en place d'un vpn site à site avec pfsense
Mise en place d'un vpn site à site avec pfsense
 
Cours- Sécurité des réseaux
Cours- Sécurité des réseaux Cours- Sécurité des réseaux
Cours- Sécurité des réseaux
 
Rapport mise en place d'un sevrer VPN .
Rapport mise en place d'un sevrer VPN . Rapport mise en place d'un sevrer VPN .
Rapport mise en place d'un sevrer VPN .
 
Pfsense
PfsensePfsense
Pfsense
 
Rapport projet
Rapport projetRapport projet
Rapport projet
 
Trunk VoiP Asterisk strongsawn openvpn
Trunk VoiP Asterisk strongsawn openvpnTrunk VoiP Asterisk strongsawn openvpn
Trunk VoiP Asterisk strongsawn openvpn
 
Authentification TLS/SSL sous OpenVPN
Authentification TLS/SSL sous OpenVPNAuthentification TLS/SSL sous OpenVPN
Authentification TLS/SSL sous OpenVPN
 
Version Final Presentation
Version Final PresentationVersion Final Presentation
Version Final Presentation
 
VPN WINDOWS LINUX OPENVPN
VPN WINDOWS LINUX OPENVPNVPN WINDOWS LINUX OPENVPN
VPN WINDOWS LINUX OPENVPN
 
Firewall opensource et gestion de configuration pour l'infrastructure
Firewall opensource et gestion de configuration pour l'infrastructureFirewall opensource et gestion de configuration pour l'infrastructure
Firewall opensource et gestion de configuration pour l'infrastructure
 
Ccna4
Ccna4Ccna4
Ccna4
 

Destacado

Firewalls
FirewallsFirewalls
Firewalls
c0r3war
 
Guide pfsense
Guide pfsenseGuide pfsense
Guide pfsense
r_sadoun
 
Cours linux complet
Cours linux completCours linux complet
Cours linux complet
aubin82
 

Destacado (20)

Mise en place d’un serveur radius
Mise en place d’un serveur radiusMise en place d’un serveur radius
Mise en place d’un serveur radius
 
Wi fi-radius
Wi fi-radiusWi fi-radius
Wi fi-radius
 
Les Firewalls / Sécurité informatique
Les Firewalls / Sécurité informatiqueLes Firewalls / Sécurité informatique
Les Firewalls / Sécurité informatique
 
Firewalls
FirewallsFirewalls
Firewalls
 
Firewall
FirewallFirewall
Firewall
 
pfSense Installation Slide
pfSense Installation SlidepfSense Installation Slide
pfSense Installation Slide
 
Réseau sans fil technologie wi-fi
Réseau sans fil technologie wi-fiRéseau sans fil technologie wi-fi
Réseau sans fil technologie wi-fi
 
Installation et Configuration de Pfsense
Installation et Configuration de PfsenseInstallation et Configuration de Pfsense
Installation et Configuration de Pfsense
 
Free radius
Free radiusFree radius
Free radius
 
Mise en place du Firewall IPCop
Mise en place du Firewall IPCopMise en place du Firewall IPCop
Mise en place du Firewall IPCop
 
Splunk
SplunkSplunk
Splunk
 
Linux sécurité informatique cours Jean-Antoine Moreau
Linux sécurité informatique cours Jean-Antoine MoreauLinux sécurité informatique cours Jean-Antoine Moreau
Linux sécurité informatique cours Jean-Antoine Moreau
 
05c reseaux-sans-fil
05c reseaux-sans-fil05c reseaux-sans-fil
05c reseaux-sans-fil
 
Guide pfsense
Guide pfsenseGuide pfsense
Guide pfsense
 
Formation - WiFi
Formation - WiFiFormation - WiFi
Formation - WiFi
 
Introduction à la sécurité informatique
Introduction à la sécurité informatiqueIntroduction à la sécurité informatique
Introduction à la sécurité informatique
 
Firewall hébergé : protégez votre réseau d'entreprise !
Firewall hébergé : protégez votre réseau d'entreprise !Firewall hébergé : protégez votre réseau d'entreprise !
Firewall hébergé : protégez votre réseau d'entreprise !
 
Sécurité réseau wifi - clusir drôme ardèche - mars 2012
Sécurité réseau wifi - clusir drôme ardèche - mars 2012Sécurité réseau wifi - clusir drôme ardèche - mars 2012
Sécurité réseau wifi - clusir drôme ardèche - mars 2012
 
Cours linux complet
Cours linux completCours linux complet
Cours linux complet
 
Les Technologies Sans Fil (expliquées aux néophytes)
Les Technologies Sans Fil (expliquées aux néophytes) Les Technologies Sans Fil (expliquées aux néophytes)
Les Technologies Sans Fil (expliquées aux néophytes)
 

Similar a Tuto vpn

TD_complet_reseau__CISCO__Packet Tracer.pdf
TD_complet_reseau__CISCO__Packet Tracer.pdfTD_complet_reseau__CISCO__Packet Tracer.pdf
TD_complet_reseau__CISCO__Packet Tracer.pdf
Ines Ben Hassine
 

Similar a Tuto vpn (20)

VPN site-to-site.pdf
VPN site-to-site.pdfVPN site-to-site.pdf
VPN site-to-site.pdf
 
Vpn
VpnVpn
Vpn
 
vpn-site-a-site-avec-des-routeurs-cisco
vpn-site-a-site-avec-des-routeurs-cisco vpn-site-a-site-avec-des-routeurs-cisco
vpn-site-a-site-avec-des-routeurs-cisco
 
Câblage, installation et paramétrage d’un réseau informatique.pdf
Câblage, installation et paramétrage d’un réseau informatique.pdfCâblage, installation et paramétrage d’un réseau informatique.pdf
Câblage, installation et paramétrage d’un réseau informatique.pdf
 
TD_complet_reseau__CISCO__Packet Tracer.pdf
TD_complet_reseau__CISCO__Packet Tracer.pdfTD_complet_reseau__CISCO__Packet Tracer.pdf
TD_complet_reseau__CISCO__Packet Tracer.pdf
 
Mini guide technique du réseau pour animateurs epn
Mini guide technique du réseau pour animateurs epnMini guide technique du réseau pour animateurs epn
Mini guide technique du réseau pour animateurs epn
 
Ccna1
Ccna1Ccna1
Ccna1
 
IPsec
IPsecIPsec
IPsec
 
C4 Réseaux : Couche reseau
C4 Réseaux : Couche reseauC4 Réseaux : Couche reseau
C4 Réseaux : Couche reseau
 
Réseau MiNET - intro newbies
Réseau MiNET - intro newbiesRéseau MiNET - intro newbies
Réseau MiNET - intro newbies
 
configuration vpn-ipsec-routeur
configuration vpn-ipsec-routeur configuration vpn-ipsec-routeur
configuration vpn-ipsec-routeur
 
Exonet adressagei pv6
Exonet adressagei pv6Exonet adressagei pv6
Exonet adressagei pv6
 
Virtual Private Network Virtual Private Network
Virtual Private Network Virtual Private NetworkVirtual Private Network Virtual Private Network
Virtual Private Network Virtual Private Network
 
réseaux
réseauxréseaux
réseaux
 
ccna1-3.pdf
ccna1-3.pdfccna1-3.pdf
ccna1-3.pdf
 
T pwifi
T pwifiT pwifi
T pwifi
 
Les sockets.pptx
Les sockets.pptxLes sockets.pptx
Les sockets.pptx
 
Deploiement_Lora_exo.pdf
Deploiement_Lora_exo.pdfDeploiement_Lora_exo.pdf
Deploiement_Lora_exo.pdf
 
resume-theorique-m201-v2-0-6308e052ede7e (1).pdf
resume-theorique-m201-v2-0-6308e052ede7e (1).pdfresume-theorique-m201-v2-0-6308e052ede7e (1).pdf
resume-theorique-m201-v2-0-6308e052ede7e (1).pdf
 
Toip slide
Toip slideToip slide
Toip slide
 

Tuto vpn

  • 1. Etablir un tunnel VPN entre deux réseaux. L'objectif de créer un tunnel VPN entre deux réseaux est de pouvoir faire communiquer n'importe quel système de l'un des réseau avec l'autre, et ce, en toute sécurité. Dans ce tutoriel seront abordés les notions d'authentification et en particulier le protocole IKE. La configuration des réseaux est la suivante : Unix + Samba PCs PCs INTERNET Postes itinérants Michel MARTIN - 2008 1
  • 2. Dans la configuration ci-dessus, les systèmes sont hétérogènes. On doit pouvoir accéder aux imprimantes et aux répertoires partagés, ainsi qu'aux applications de gestion. La "Livebox" ne possède pas de fonction VPN et doit être conservée à cause du téléphone. La solution adoptée. Unix + Samba PCs Insertion d'un routeur avec fonction VPN avec IKE entre le réseau et la Livebox. INTERNET Michel MARTIN - 2008 2
  • 3. Configuration IP des réseaux. Site 1 : réseau 192.168.1.0 192.168.1.1 Netgear fvs318 172.17.2.195 Réseau 172.17.2.0 172.17.2.254 Inventel 2 217.128.162.xxx INTERNET Inventel 1 193.252.169.yyy 172.17.1.2 Réseau 172.17.1.0 172.17.1.1 Netgear fvs114 172.16.1.14 Site 2 : réseau 172.16.1.0 Michel MARTIN - 2008 3
  • 4. Configuration IP des routeurs. Connecter une station sur la Livebox et connectez vous avec Firefox à l'adresse IP par défaut (192.168.1.1). Effectuez les modifications qui concernent IP. Il faudra faire ces manipulations de façon symétrique pour chaque réseau. Ceci est la page d'accueil de la Livebox et l'adresse IP est une adresse IP fixe donné par le FAI. Modifiez l'adresse IP LAN par rapport au réseau local et activez DHCP. Michel MARTIN - 2008 4
  • 5. Configuration réseau du routeur (Netgear). Connectez une station sur le routeur (ici Netgear). Paramétrez la connexion Internet (en fait, vers la Livebox) comme suit. Pas de login ni de mot de passe pour accéder en local à la Livebox. Configuration IP du réseau local Le DNS serra en fait la Livebox (DNS cache). Michel MARTIN - 2008 5
  • 6. Connexion des routeurs. Connectez le port ADSL du routeur Netgear sur un port LAN Connectez votre station à un de la Livebox port LAN du routeur Netgear. Testez vos connexions. En faisant un ping à l'adresse IP du premier routeur puis un ping à l'adresse IP de la Livebox et enfin en vous connectant sur Internet. Si tout fonctionne, alors les connexions et adresses sont bonnes. Michel MARTIN - 2008 6
  • 7. Configuration du VPN Configuration de la Livebox. IL faut rediriger le port 500 qui correspond à IPSEC vers notre routeur Netgear. En outre il faudra mettre le pare-feu de la livebox au minimum. Michel MARTIN - 2008 7
  • 8. Configuration du routeur Netgear. Il faut tout d'abord définir une politique IKE. C'est l'adresse IP connecté à la Livebox C'est l'adresse IP Internet de la Livebox distante. Both directions si l'on veut que chaque réseau puisse prendre l'initiative de la connexion. Main mode est le mode d'identification, l'autre mode est "agressive mode". Encryption Algorithm est le mode de cryptage 3DES est ici le plus sécurisé. Authentification Algorithm, ici SHA1 et le plus sécurisé. La méthode est par clé partagée, la même clé est connue des deux routeurs VPN. Voir à la fin du tutoriel les informations complémentaires sur IKE. Michel MARTIN - 2008 8
  • 9. Configurez la politique VPN Remote VPN Endpoint : C'est le routeur distant (en fait la Livebox distante). IPSec PFS : La découverte d'une clé ne permettra pas de déchiffrer tout le message. ESP Configuration : On définit un algorithme de cryptage et une méthode d'authentification. Michel MARTIN - 2008 9
  • 10. Test de la connexion. Après avoir fait les manipulations sur les deux sites. On peut se connecter avec http sur le routeur Netgear distant. Cas de Netbios. La case Netbios Enable a été cochée, mais on ne pourra pas voir les machines de l'autre réseau dans un voisinage réseau via un Explorateur Windows ou un Linneighborhood sous Linux. En effet netbios découvre les autre machines par trames de diffusion et celles-ci ne traversent pas les routeurs (dans notre cas on a 4 routeurs). On pourra utiliser les répertoires partagées avec les commandes sous Windows : net use x: 192.168.1.xxxressource ou avec Samba : smbclient –L 192.168.1.xxx pour voir les ressources et smbmount //192.168.1.xxx/ressource /point_de_montage Michel MARTIN - 2008 10
  • 11. Comprendre IKE. Pendant le tutoriel un certain nombre de termes et acronymes sont apparus. IKE SA Parameters, Diffie-Hellman Group, SA life time, IPSec PFS, AH configuration, ESP Authentification, 3DES, SHA-1. Les modes de cryptage et d'authentification. Diffie-Hellman. Méthode de cryptage basé sur le calcul de logarithme discret. Il permet aux deux entités de générer un secret partagé se connaître préalablement. 3DES. Cryptage par découpage du message en blocs, permutation des blocs, OU exclusif, expension. Ces étapes (rondes) sont répétées 16 fois. SHA-1. Méthode de cryptage qui est une fonction de hachage des données. Dans IKE on utilise 3DES pour le cryptage des données et SHA-1 pour le cryptage de l'authentification. IPSec PFS (Perfect Forward Secrecy). PFS est un protocole d'échange de clef selon lequel la découverte du secret utilisé ne permet pas de retrouver les clefs de sessions passées et futures. AH (Authentification Header). Il assure l'intégrité des données quand on est en mode non connecté (et on est en mode non connecté puisque on utilise le protocole UDP). Un champ est ajouté aux données à protéger, il protège également contre le rejeu par un numéro de séquence. ESP (Encapsulating Security Payload). On utilise soit ESP, soit AH. Contrairement à AH ou les données ne sont pas chiffrées, ESP encapsule les données chiffrées et ajoute au debut un numéro de séquence et à la fin des données d'identification. SA Parameters et SA life time. SA (Security Association) est en fait l'ensemble des paramètres de ESP ou de AH. Le SA lifetime est donc le temps de vie des paramètres sans renégociation. Michel MARTIN - 2008 11
  • 12. Mécanismes IKE. Avant que les messages puissent transiter par le tunnel VPN, IKE va sélectionner le mode de travail et s'assurer de l'identité de l'autre. IKE agit en deux phases. Première phase, main mode ou agressive mode : sélection du type de cryptage, de la méthode d'authentification et pour la génération des clés supplémentaires. 3DES DES 3DES SHA MD5 SHA RSA Pre-shared RSA Signature DH groupe 1 Signature DH groupe 2 DH groupe 2 choix 1 choix 2 Proposition Sélection Valeur Valeur publique DH publique DH Nombre Nombre aléatoire aléatoire Le secret sert à calculer les clés de session pour protéger la suite des échanges. Empreinte/ signature Empreinte/ signature Authentifiacation des Authentifiacation des échanges échanges Le mode agressif combine les 6 messages ci-dessus pour les ramener à trois. On utilise Agressive mode pour les stations itinérantes qui n'ont pas d'adresse fixe. Michel MARTIN - 2008 12
  • 13. Deuxième phase, quick mode : Cette deuxième phase sert à négocier un ensemble de paramètres de SA, de générer de nouvelles clés et d'identifier le trafic que le SA protègera. ESP ESP Emprein IDEA Blowfish te SHA-1 MD5 Aléa ESP Emprein choix 1 choix 2 IDEA te SHA-1 Aléa Proposition Sélection Michel MARTIN - 2008 13
  • 14. Pour terminer, on pourra voir les phases d'IKE dans les logs de notre routeur. L'état des connexions. Michel MARTIN - 2008 14
  • 15. Ceci n'est pas un cryptage 3DES. Sleon une édtue de l'Uvinertisé de Cmabrigde, l'odrre des ltteers dnas un mto n'a pas d'ipmrotncae, la suele coshe ipmrotnate est que la pmeirère et la drenèire soeint à la bnnoe pclae. Et vcioi le txete en cialr. Selon une étude de l'Université de Cambridge, l'ordre des lettres dans un mot n'a pas d'importance, la seule chose importante est que la première et la dernière soient à la bonne place. Sources : Les captures d'écran sont le reflet d'une installation réalisée sur Lyon. Les explications techniques proviennent de Netgear et HSC consultant. Michel MARTIN - 2008 15