Firewall VPN

Licence Professionnelle Rseaux, Communications et Ingnierie des Services - Projet Firewall VPN - 2003
Page 1
Universit de Toulon-Var

Licence Professionnelle Rseaux, Communication et
I ngnierie des Systmes

Projet

Mise en place dun pare-feu et dun rseau
priv virtuel

Hassen ABADLI A
Olivier JACQ
Aurlie LAMBI ON TASSON
Fabrice LEFEVRE

Page 2
Copyright ( c) 2003 Hassen ABADLI A, Ol i vier JACQ, Aurl ie LAMBI ON TASSON, Fabrice
LEFEVRE.
Permi ssion est accode de copier, dist ribuer et / ou modi fier ce document sel on les t ermes de
l a Li cence de Document at ion Li bre GNU ( GNU Free Document at ion License) , version 1.1 ou
t out e aut re versi on ul t ri eure publ ie par la Free Soft ware Foundat ion; avec les Sect i ons
I nvarabl es qui sont Tabl e des Mat ires, avec l es Text es de Premi re de Couvert ure qui sont l e
t i t re, et sans l es Text es de Quat rime de Couvert ure. Une copi e de l a prsent e Li cence est
i ncl use sur le sit e ht t p: / / www. ideal x.org/ fr/ doc/ gfdl / gfdl.ht ml # t oc11
Page 3

1 TABLE DES MATIERES

1 TABLE DES MATIERES......................................................................... 3
2 INTRODUCTION.................................................................................. 7
3 ENGLISH ABSTRACT ........................................................................... 8
FIREWALL ...............................................ERREUR ! SI GNET NON DEFI NI .
4 PRESENTATION DU PROJET................................................................ 9
5 ARCHITECTURE ET PRINCIPES DU FIREWALL................................... 10
5.1 Prsentation .................................................................... 10
5.1.1 DMZ ...................................................................................... 10
5.2 Types de firewall ............................................................. 10
5.2.1.1 Le filtrage de paquets ................................................................11
5.2.1.2 Le filtrage dynamique ................................................................11
5.2.1.3 Le filtrage applicatif ...................................................................12
5.3 Aspect normatif en matire de firewall ............................ 12
6 SOLUTIONS ...................................................................................... 13
6.1 Matrielles....................................................................... 13
6.2 Logicielles........................................................................ 13
6.2.1 Windows............................................................................... 13
6.2.2 Autres systme d'exploitation .............................................. 13
6.2.3 GNU/Linux............................................................................ 13
6.2.3.1 Distributions orients firewall ....................................................14
6.2.3.2 Choix d'une distribution.............................................................14
7 DEFINITION D'UNE POLITIQUE DE SECURITE .................................. 15
7.1 Dfinition des ports ouvrir/fermer/forwarder .............. 15
7.2 Aspects juridiques ........................................................... 16
7.2.1 Loi Godfrain .......................................................................... 16
8 MISE EN PLACE................................................................................. 17
8.1 Architecture physique prsente ....................................... 17
8.2 Scurisation de la machine .............................................. 17
8.2.1 Physique............................................................................... 17
Page 4
8.2.1.1 Suppression de l'accs au BIOS..................................................17
8.2.1.2 Suppression de l'accs root la console.....................................18
8.2.1.3 Suppression de l'accs au lecteur de CD.....................................18
8.2.1.4 Suppression de l'arrt de la machine par CTRL-ALT-SUPPR........18
8.2.2 Logique................................................................................. 18
8.2.2.1 Configuration du noyau..............................................................18
9 INTRUSION DETECTION SYSTEMS.................................................... 24
9.1 Solutions existantes ........................................................ 24
9.1.1 Snort..................................................................................... 24
9.1.2 Prelude ................................................................................. 24
9.2 Mise en place .................................. Er reur ! Signet non dfini.
10 TESTS ............................................................................................ 25
10.1 Routage ........................................................................... 25
10.2 Scurit ........................................................................... 25
10.2.1 Outils .................................................................................. 25
10.2.1.1 Ps et lsof ..................................................................................25
10.2.1.2 Nmap .......................................................................................25
10.2.1.3 Nessus : ...................................................................................26
11 ANNEXES ....................................................................................... 30
11.1 Sources............................................................................ 30
11.2 Fichiers de configuration ................................................. 30
11.3 Rfrences....................................................................... 30
VPN................................................................................................. 31
12 PRESENTATION DU PROJET ...................ERREUR ! SI GNET NON DEFI NI .
13 ARCHITECTURE ET PRINCIPE DU VPN............................................ 31
13.1 Authentification............................................................... 31
13.2 Chiffrement...................................................................... 31
13.3 Protocoles et normes....................................................... 31
13.3.1 PPTP (Point to Point Tunneling Protocol)............................ 31
13.3.2 L2F (Layer 2 Forwarding) ................................................... 32
13.3.3 L2TP (Layer 2 Tunneling Protocol)...................................... 32
13.3.4 IPSec .................................................................................. 32
Page 5
13.3.4.1 Authentification .......................................................................33
13.3.4.2 Chiffrement..............................................................................35
13.3.4.3 ISAKMP....................................................................................37
13.3.4.4 Aspect lgislatif........................................................................41
13.4 Solutions matrielles ....................................................... 41
13.5 Solutions logicielles ......................................................... 41
13.5.1 Windows ............................................................................. 41
13.5.2 GNU/Linux.......................................................................... 41
14 MISE EN PLACE.............................................................................. 42
14.1 Installation sur GNU/Linux.............................................. 42
14.1.1 Installation de FreeS/WAN................................................. 42
14.1.2 Mise en place des certificats SSL......................................... 43
14.1.2.1 Prambule concernant SSL et les certificats.............................43
14.1.2.2 Cration de l'autorit de certification.......................................43
14.1.2.3 Gnration du certificat du serveur VPN...................................45
14.1.2.4 Configuration de FreeS/WAN sur la passerelle.........................47
14.1. 2. 4. 1 I psec.secret s . ..... ..... ..... ..... ..... ..... ..... ..... ..... ..... ..... ..... ..... ..... .. 47
14.1. 2. 4. 2 I psec.conf ..... ..... ..... ..... ..... ..... ..... ..... ..... ..... ..... ..... ..... ..... ..... .. 47
14.1.3 Configuration du client........................................................ 48
14.1.3.1 Configuration du client Windows 2000/XP...............................48
14.1. 3. 1. 1 Pr- requis ..... ..... ..... ..... ..... ..... ..... ..... ..... ..... ..... ..... ..... ..... ..... .. 48
14.1. 3. 1. 2 Crat ion du cert ificat RoadWarri or Cert i fi cat e . ..... ..... ..... ..... .. 48
14.1. 3. 1. 3 Mi se en place du cert i fi cat ... ..... ..... ..... ..... ..... ..... ..... ..... ..... ..... .. 49
14.1.3.2 Analyse des trames ..................................................................61
14.1.3.3 Remarques...............................................................................69
14.2 CONCLUSION................................................................... 69
15 TESTS EN POINT A POINT.............................................................. 70
15.1 Tests intrusion................................................................. 70
16 ANNEXES ....................................................................................... 71
16.1 Sources............................................................................ 71
16.2 Fichiers de configuration ................................................. 72
16.3 Rfrences....................................................................... 76
17 ENGLISH ABSTRACT...............................ERREUR ! SI GNET NON DEFI NI .
Page 6
18 CONCLUSION................................................................................. 77

Page 7

2 INTRODUCTION

I nt ernet a suppl ant dans de nombreuses ent reprises la l ocat i on de l ignes spci al ises ou de
l ignes RNI S ddi es aux changes de donnes.

Laccs I nt ernet est devenu en quel ques annes l a pl us bel le port e ouvert e la
communi cat i on et l a gl obali sat i on dun ct , et la pl us bel l e port e ouvert e aux pi rat es
i nformat iques de l aut re. Quand il sagit de la scurit - mme des donnes vit al es de
l ent repri se, t out e lat t ent ion se focal ise sur l admini st rat eur rseau qui se doit auj ourdhui de
mat riser parfai t ement ce suj et .

La scuri sat i on de l accs I nt ernet est devenu un mt ier de spci ali st e car les out i l s et l es
mt hodes ut i l iss par l es pi rat es sont complexes et par consquence les mt hodes et les out il s
de scuri sat i on des rseaux pour les cont rer l e sont galement .

Dans ce domai ne qui approche souvent l es l imit es de l a l gali t , nous avons mi s en avant
au cours de ce proj et l a scuri sat i on de l accs vers l e rseaux I nt ernet dune part , et daut re
part l a mi se en pl ace dun rseau priv virt uel scuri s si mulant deux ent i t s de lent reprise.

Nous nous sommes at t achs voi r les deux ct s de not re passerel le, savoi r la passerel le
vue de lent reprise, qui doit offri r un maxi mum de l i bert et de faci li t s, et daut re part , la
passerell e vue de l ext rieur qui doi t t re un vrit abl e mur de feu qui doi t mal gr t out l aisser
passer cert ai nes informat i ons.

Enfi n, nous avons souhait met t re en avant lut il isat ion de logi ci els l ibres, pour leur
efficaci t sans quival ent dans l e domaine des rseaux, leurs capaci t s de configurat i on hors
du commun, et leur cot nul pour ce proj et : aucun logi ciel sous li cence na t ut i li s, l e cot
de mi se en place du proj et est nul, ( hormi s les hommes/ heures ; - ) .

Page 8

3 ENGLISH ABSTRACT

I nt ernet has recent ly repl aced i n many compani es t he rent of speci ali zed l ines ou I SDN li nes
which were dedi cat ed t o dat a li nks.

The I nt ernet access has become i n a few years t he most open door t o communicat ion and t o
gl obal i zat i on on t he one hand, and t he most open door t o hackers and crackers on t he ot her
hand. When t al king about t he securi t y of t he most valuabl e dat as of a company, al l t he
at t ent i on focuses on t he net work engi neers who have t o perfect l y mast er t his part icular
mat t er.

I nt ernet access securit y has become a j ob for special ist s because t ool s and met hods used by
crackers are compl ex and t herefore t ool s and met hods t o count er t hem and assure t he net work
securit y become t he same.

I n t his field cl ose t o law l imi t s, we have worked al ong t hi s proj ect on t he increased securit y
of access needed t o connect t o t he I nt ernet on one hand and on t he ot her one on t he
i mplement at i on of a safe Vi rt ual Pri vat e Net work si mulat i ng t wo subsidi aries of a company.

We have worked on bot h si des of t he gat eway, t he gat eway seen from t he company whi ch
must offer a maxi mum of freedom and facil i t ies, as well as on t he ot her side of t he gat eway
seen from t he I nt ernet , whi ch must be a real wal l of fi re whil e st il l all owing some i nformat ions.

Fi nall y, we wi shed t o highl ight t he use of Open Source Oses and soft wares, for t hei r very
hi gh efficiency in t he net work fiel d, t heir excell ent confi gurat i on capaci t ies and t hei r cost , nul l
for t hi s proj ect : no li censed soft ware was used duri ng t hi s proj ect , j ust men and net works !
Page 9

4 PRESENTATION DU PROJET

LUni versi t , afi n d' amli orer la quali t de sa connect i vit i nt erne et ext erne, de faci li t er le
t ravai l en JURXSZDUH et surt out d' acclrer l es changes de donnes a un besoin i mport ant de
mi se en rseau i nformat i que pour l un de ses bt iment s nouvell ement const ruit .

I l sagit donc de ral iser la connexion d' un rseau de Campus qui sera connect I nt ernet .

Le rseau regroupe 40 ut il isat eurs et 40 ordinat eurs. I l s' agit d' effect uer l ' t ude et la mi se
en pl ace d' un rseau l ocal rpondant aux besoi ns exprims en t ermes de cblage et dl ment s
act ifs.

- Un di sposi t i f logi ci el doi t permet t re de prot ger l e rseau l ocal di nt rusions provenant de
l ext ri eur : t out ce qui nest pas permi s est aut oris. Mise en pl ace sur pl at e- forme
GNU/ Linux, opt i mi sat i on, fi abil isat ion, compt e- rendu des choi x effect us.
- Un di sposi t i f logi ci el doi t permet t re dt abl i r un rseau pri v virt uel ent re deux ent i t s
t ravers I nt ernet .
- Laspect ergonomique ( I HM) pourra t re ral is en deuxi me t emps.
- Le fil t rage et l e rout age logi ci el sera t est et mi s l preuve : compt e- rendu de la
robust esse.

Page 10

5 ARCHITECTURE ET PRINCIPES DU FIREWALL
5.1 PRESENTATION

Le fi rewall est une i nt erface permet t ant de garant ir lint gri t du rseau local, cest dire
daut ori ser la circulat i on des paquet s dans l es sens suivant s :

- Rseau l ocal vers ext rieur ( LAN vers WAN)
- Ext ri eur vers i nt rieur ( WAN vers LAN)
- Accs l a zone dmil i t ari se ( DMZ) , de l ext rieur ou de lint ri eur,

Un syst me pare- feu cont i ent un ensembl e de rgl es prdfi nies permet t ant :

- Soit d' aut oriser uniquement l es communi cat i ons ayant t expl icit ement aut orises
( Tout ce qui n' est pas expli ci t ement aut ori s est i nt erdi t ) .
- Soit d' empcher les changes qui ont t expli ci t ement i nt erdi t s.

Dans t ous l es cas, l e choix de l' une ou l' aut re de ces mt hodes dpend de l a pol it i que de
scurit adopt e par l ' ent it dsirant met t re en oeuvre un fil t rage des communicat ions. La
premi re mt hode est sans nul dout e la plus sre, mai s ell e i mpose t out efoi s une dfini t ion
prci se et cont rai gnant e des besoins en t erme de communicat ion.

5.1.1 DMZ

La DMZ est une zone dmil it ari se qui cont ient normal ement t ous les serveurs de
l ent repri se. Cest une zone mixt e, qui aut orise souvent les accs en provenance de lext rieur
et de l int rieur. Dans des rseaux si mples nhbergeant pas de serveur part i cul ier devant t re
accessibl e depuis l ext ri eur, l a zone DMZ est l ude, ce qui est not re cas.

5.2 TYPES DE FIREWALL

Page 11
On di st i ngue deux t ypes de firewal ls :

Les firewal ls l ogici el s sont i nst al ls gnral ement sur des serveurs de firewal l part icul i ers,
comport ant gnral ement 3 i nt erfaces Et hernet permet t ant le raccordement de la DMZ, du LAN
et du WAN. Le l ogi ci el effect uant l e fil t rage est impl ant soit sur un serveur ddi , sous un
syst me dexpl oit at i on comme GNU/ Linux, BSD,

Les firewal ls mat riel s sont en fait des fi rewall s l ogiciel s mi niat uri ss dans des boit i ers
assurant les mmes fonct ions que les fi rewall s logi ci els.

Dans les deux, cas, les pare- feu ut il isent t rois t echnol ogies de fi l t rage possi bles :

5.2.1.1 Le filtrage de paquets

Le fonct ionnement des syst mes pare- feu, hist oriquement assur par l es rout eurs, est bas
sur l e princi pe du fil t rage de paquet s I P, c' est - - dire sur l ' anal yse des en- t t es des paquet s I P
( aussi appel s GDWDJUDPPHV) changs ent re deux machi nes.

Ainsi , l orsqu' une machine de l ' ext rieur se connect e une machine du rseau l ocal , et vi ce-
versa, l es paquet s de donnes passant par l e fi rewall cont iennent l es en- t t es sui vant s, qui
sont anal yss par l e fi rewall :

- l ' adresse I P de la machi ne met t rice,
- l ' adresse I P de la machi ne rcept rice,
- l e t ype de prot ocole ut i l is dans l e paquet ( TCP, UDP, I CMP) ,
- l e numro de port ( numro associ un service ou une appli cat i on rseau) .

Les adresses I P cont enues dans les paquet s permet t ent d' i dent ifi er la machine met t ri ce et
l a machi ne ci ble, t andi s que l e t ype de paquet et l e numro de port donnent une i ndicat ion sur
l e t ype de servi ce ut i li s. Lorsque l e fi l t rage est bas sur l es adresses I P on parl e de fi lt rage par
adresse ( address fi l t ering) , t andi s que l e t erme de fi lt rage par prot ocol e ( prot ocol fil t ering) est
ut i li s l orsque l e t ype de paquet s et l e port sont analyss.

Cert ains port s sont associs des servi ce courant s ( l es port s 25/ 110 sont gnral ement
associ s au courri er l ect ronique, l e port 80 au prot ocol e ht t p, et c) et ne sont pas forcment
bl oqus suivant l es serveurs hbergs dans l a DMZ. Tout efoi s, nous recommandons vi vement
de bl oquer t ous l es port s qui ne sont pas indi spensabl es.

5.2.1.2 Le filtrage dynamique

Le fonct ionnement en fi lt rage dynami que ne s' at t ache qu' examiner l es paquet s I P. Or, de
nombreux servi ces ( FTP par exempl e) i ni t i ent une connexion sur un port st at i que, mai s ouvrent
dynami quement ( c' est - - dire de manire al at oire) un port afin d' t abl i r une session ent re la
machine fai sant offi ce de serveur et l a machine cl i ent e. Ai nsi, i l est i mpossibl e de prvoi r l es
port s l aisser passer ou int erdire. Pour y remdier, l ' ent reprise Check point a brevet un
syst me de fil t rage dynamique de paquet s ( le t erme angl o- saxon exact t ant st at eful packet
i nspect i on ) , bas sur l' inspect i on des couches 3 et 4 du modl e OSI , permet t ant d' effect uer
un sui vi des t ransact ions ent re l e cli ent et le serveur et donc d' assurer l a bonne ci rculat i on des
donnes de la session en cours.
Page 12

Si l e fil t rage dynamique est plus performant que l e fi lt rage de paquet s basi que, i l ne prot ge
pas pour aut ant de fail les appli cat i ves, c' est - - dire les fai ll es l ies aux l ogiciel s, reprsent ant la
part l a plus i mport ant e des ri sques en t erme de scuri t .

La t echnologi e de fi l t rage dynamique est implant e dans de nombreux fi rewall s.

5.2.1.3 Le filtrage applicatif

Le fi lt rage appl icat if permet , comme son nom l' i ndi que, de fi lt rer les communi cat i ons
appli cat i on par appli cat i on. Le fil t rage appli cat i f suppose donc une bonne connai ssance des
appli cat i ons prsent es sur vot re rseau, et not amment de l a mani re dont ell e st ruct ure l es
donnes changes ( port s, ) .

Un fi rewal l effect uant un fi lt rage appl i cat i f est appel gnral ement passerel le appli cat i ve,
car i l permet de rel ayer des i nformat i ons ent re deux rseaux en effect uant un fil t rage fi n au
ni veau du cont enu des paquet s changs. I l s' agi t donc d' un disposi t if performant assurant une
bonne prot ect ion du rseau, pour peu qu' il soit correct ement admini st r. En cont repart i e une
anal yse fine des donnes appl icat ives requiert une grande pui ssance de cal cul et se t raduit
donc souvent par un ral ent issement des communicat ions, chaque paquet devant t re finement
anal ys.

5.3 ASPECT NORMATIF EN MATIERE DE FIREWALL

I l nexist e pas de RFC concernant l es fi rewall . En revanche, l I SO a dfi ni des normes de
scurit qui sappli quent la dfini t ion des poli t iques de scurit au sein dun rseau
i nformat ique.

Page 13

6 SOLUTIONS DE FIREWALL EXISTANTES

6.1 MATERIELLES

Les solut i ons mat ri ell es exist ant es sont gnralement de deux t ypes :

- La premi ere est l impl ment at i on dun fi rewall au sei n dun rout eur effect uant l accs
I nt ernet . Ce rout eur est gnralement de t ype St at eful Packet I nspect i on . La
configurat ion de ce genre de rout eurs est parfoi s assez l imi t e, et plus t endue dans
daut res cas o on peut dfi ni r plus prci sment l es rgl es de rout age. Dans cet t e
cat gori e ent rent les principaux rout eurs SOHO prsent s sur l e march : Net gear, ZyXel ,
Net opi a...
- La seconde consi st e int grer au sein dun l ment di st i nct du rout eur une pl at eforme
de cal cul base de mi croprocesseur RI SC ou de t ype I nt el, qui ut i l ise un syst me
dexploi t at ion permet t ant la configurat ion de rgles de fi l t rage avances. Ces
configurat ions reposent gnralement sur GNU/ Li nux ou des syst mes X/ BSD.

6.2 LOGICIELLES

Nous avons spar l es solut i ons l ogiciel les par syst me dexpl oit at i on.

6.2.1 Windows

De nombreuses impl ment at i ons commerci ales exi st ent pour Windows . On dist ingue t roi s
t ypes de fi lt rage de paquet s :

- l es firewal ls dit s personnels, t ype ZoneAlarm , Nort on Fi rewall , Keri o par
exempl e,
- l es sol ut ions i ncl uses dans Wi ndows 2000 ou Windows XP ( fil t rage de paquet
nat if ) ,

Ces deux t ypes de solut i ons ne prsent ent pas t out es l es fi nesses de fi l t rage possibl es sur
des fi rewal l s di gnes de ce nom.

- des sol ut i ons professi onnell es comme ...

6.2.2 Autres systmes d'exploitation

Un des syst mes dexploi t at ion les plus priss pour la qual it du code et la fi abil it de son
pare- feu est BSD. Daut res impl ment at i ons de fi rewall exist ent , sur plat eformes Sun, HP,
mme sur Mac ; - )

6.2.3 GNU/Linux

Page 14
Sous GNU/ Li nux, et quel le que soit la di st ribut i on, l e rle de firewal l est rempl i par l e noyau
GNU/ Linux l ui- mme, dans lequel les opt i ons de fi lt rage de paquet s doivent t re mises en
pl ace. Dans l es versions de noyaux 2.2, l e fi lt rage t ait effect u par ipchai ns. A part i r des
noyaux 2.4, on ut i l ise Net fi l t er et l a commande ipt abl es qui remplacent i pchains.

Le support Net fi lt er doit t re compi l dans le noyau, et l a commande ipchai ns doit t re
prsent e et disponibl e sur l e syst me.

6.2.3.1 Distributions orients firewall

Coyot e, LRP, MNF, Bast il le, OpenWall , Ast aro, Bering, SLI S... i l exist e des di zai nes de
di st ribut i ons spci ali ses dans l a gest i on de rseau et dans l a scurit des rseaux
i nformat iques par fi lt rage. La pl upart de ces dist ri but ions i ncluent des out i ls graphi ques
scuriss de confi gurat i on des rgl es de pare- feu. Nous avons eu loccasi on de t est er MNF,
dont nous avons t udi les rgles de pare- feu.

6.2.3.2 Choix d'une distribution

Aprs avoi r rfl chi , et dans un but de format ion vi dent , pl ut t que de cder la faci li t dune
mi se en place la souri s, nous avons choisi deffect uer la mi se en place du fi rewall par nous-
mmes afi n de mi eux comprendre son fonct ionnement .

Page 15

7 DEFINITION D'UNE POLITIQUE DE SECURITE

On l oubl ie souvent , mais la mi se en pl ace dun pare- feu nest quune t ape dans la
scurisat ion du rseau i nformat ique de lent reprise. Un pare- feu nest en aucun cas synonyme
de scuri t absol ue. I l doit prendre pl ace ct daut res out i l s de scuri sat i on des rseaux.

La dfini t ion dune pol it i que de scuri t informat ique ne sinvent e pas en deux secondes. Cest
une l ongue rflexion que l e responsable du syst me i nformat i que doit mener conj oint ement
avec les responsabl es de l ent repri se. I l exist e des mt hodes t rs pousses permet t ant de
mener bi en cet t e t ude, on peut not amment se report er aux t udes en l a mat i re de ...
( FEROS, ...)

Concernant l e fi rewal l , nous avons l i mit not re t ude l a dfini t ion des port s ut i l iss au sein
de l ent repri se.

7.1 DEFINITION DES PORTS A
OUVRIR/FERMER/FORWARDER

Cli ent - > Serveur

ssh
i psec

Cli ent - > I nt ernet

ft p
pop
smt p
i map
nnt p
ht t p
domai n

Serveur - > I nt ernet

i psec
domai n

I nt ernet - > Serveur

i psec
domai n

I nt ernet - > Cl i ent

Aucun, en t hori e. En principe, t out e rponse une connexion TCP ini t ie par le cl ient .
Page 16
7.2 ASPECTS JURIDIQUES

I l nous a paru int ressant de rappeler quelques aspect s j uri di ques concernant la mi se en pl ace
dune pol it i que de scuri t en rappel ant les risques quencourent l es personnes souhait ant
accder frauduleusement au rseau de lent reprise.

7.2.1 Loi Godfrain n88-19 du 5 janvier 1988 relative la fraude
informatique

La l i st e ci- aprs donne un aperu des mot ifs de condamnat i on du droit franais ainsi que l es
pei nes pnal es encourues, qui ne compt ent donc pas l es vent uels dommages et i nt rt s qui
pourraient devoi r t re demands par l a part ie ayant subit le dommage.

- Accs ou mai nt ien fraudul eux dans un syst me i nformat i que : 2 mois 1 an de pri son, 2
000 50 000 francs d' amende.
- Accs ou maint i en fraudul eux dans un syst me i nformat ique avec dommages
i nvol ont aires : modificat ion ou suppression de donnes, alt rat i on du fonct i onnement du
syst me : 2 mois 2 ans de prison, 10 000 100 000 francs d' amende.
- Ent rave vol ont aire au fonct i onnement d' un syst me i nformat i que : 3 moi s 3 ans de
prison, 10 000 100 000 francs d' amende.
- I nt roduct ion, suppressi on, modi fi cat i on i nt ent ionnell es de donnes : 3 mois 3 ans de
prison, 2 000 500 000 francs d' amende.
- Suppressi on, modi fi cat i on i nt ent i onnell es du mode de t rait ement , des t ransmi ssions de
donnes : 3 mois 3 ans de prison, 2 000 500 000 francs d' amende.
- Fal si fi cat i on de document informat i que, usage de document fal si fi : 1 an 5 ans de
prison, 20 000 2 000 000 francs d' amende.

Page 17

8 MISE EN PLACE DU FIREWALL

8.1 ARCHITECTURE PHYSIQUE PRESENTE

- Serveur passerel l e/ firewal l

2 cart es rseaux, 128 Mo de RAM
Adresse I P 1 : 192. 168.0.83 ( i nt erface sre)
Adresse I P 2 : 192. 168.0.84 ( i nt erface non sre)
Passerel le daccs I nt ernet : 192.168.0.29

- Cli ent princi pal

1 cart e rseau, 128 Mo de RAM
Adresse I P : 192. 168.0.3

- Cli ent secondaire ( pour t est s)

1 cart e rseau, 128 Mo de RAM
Adresse I P : 192. 168.0.2

8.2 ARCHITECTURE LOGIQUE PRSENTE

Sur le serveur : GNU/ Linux di st ri but i on RedHat 8.0
Sur le cl ient pri ncipal : Wi ndows 2000
Sur le cl ient secondaire : GNU/ Li nux dist ribut i on RedHat 8. 0

8.3 SECURISATION DE LA MACHINE

Dans le cadre du proj et , on ne si nt resse qu l a scurisat ion de la machine passerel le.

8.3.1 Physique

En product i on, la machi ne assurant l es fonct i ons de firewal l doit t re pl ace dans un endroit
sr dont l accs est rserv aux seules personnes habi li t es. Les prot ect i ons habi t uel l es cont re
l e vol , l effract i on, l i ncendi e, l es dgt s des eaux, et une ali ment at ions l ect ri que secourue
doi vent t re prvues.

8.3.1.1 Suppression de l'accs au BIOS

Mi se en pl ace dun mot de passe scuri s ( supri eur 8 caract res) et non t rivi al.

Page 18
8.3.1.2 Suppression de l'accs root la console

Suppressi on de l accs l a disquet t e

Suppressi on des fichi ers / dev/ fd et / dev/ floppy

8.3.1.3 Suppression de l'accs au lecteur de CD

Suppressi on des fichi ers / dev/ cdrom et / dev/ hd non ut i les

8.3.1.4 Suppression de l'arrt de la machine par CTRL-ALT-SUPPR

Gnral ement , suivant l es di st ri but ions, il s suffi t de comment er l a l igne sui vant e :

# Trap CTRL-ALT-DELETE
#ca::ctrlaltdel:/sbin/shutdown -t3 -r now

La combi nai son de t ouches CTRL- ALT- SUPPR ne sera pl us effect i ve

8.3.2 Logique

Port s, di sques, kernel, l il o, processus act i fs, packages i nst al ls, mise en pl ace de quot as pour
vi t er l es dbordement s de l ogs, mi ses j our de packages, du noyau.

8.3.2.1 Configuration du noyau

I l faut ensuit e sassurer que le noyau support e bien Net fil t er. Cel a peut se vrifier en vri fiant
que l es l i gnes sui vant es sont bien prsent es l ors de la squence de boot :

I p_connt rack ( 4095 bucket s, 32760 max)
I p_t ables : ( c) 2000 Net fi lt er core t eam

Pour vri fier leur prsence, on ut i li se l a commande dmesg | grep i p_connt rack et dmesg | grep
i pt abl es, qui doi vent renvoyer des li gnes proches de cell es ci - dessus.

Si l es commandes ent res font apparat re que le noyau ne propose pas de support de Net fil t er,
i l faut alors l e recompi ler :

Cd / usr/ src/ li nux
Make mrproper
Make menuconfig
Page 19

Dans le menu Net worki ng Opt ions, cocher Net work Packet Fil t ering en dur ( * ) et dans Net fi lt er
Configurat ion, on choi si t alors l es opt i ons qui nous i nt resse.

La compi lat i on en dur permet au firewal l de fonct ionner mme si pour une raison ou une aut re
un des modules a t modi fi , manque ou nest pas charg, crant ai nsi une fai ll e de scuri t .

Dans le cas o pl usi eurs machi nes sont prsent es sur le rseau, i l faut act i ver lopt ion Ful l NAT
et l a sous opt i on Masquerade Target support .

8.3.2.2 Installation des rgles

Pour faci li t er la mi se en pl ace des rgles, nous avons opt pour l cri t ure dun script cri t en
bash shel l. I l est t out fai t possi ble denvi sager par l a suit e lcri t ure dune I HM pl us
sympat hi que en bash, en C. Nous avons prfr vi t er l ut il isat ion de l angages t els que PHP,
REBOL, Java, ... afi n dvi t er l a mi se en pl ace dun serveur graphique t ype X11 ou dun serveur
Web et des modul es associ s qui sont aut ant de fail l es pot ent i ell es de scurit et de vei l le
t echnol ogique assurer.

Rappel des synt axes :

iptables N : cre une nouvell e chane
iptables X : suppri me une chane vi de
iptables P : changement de poli t ique par dfaut dune chane
iptables Z : remet zro les compt eurs doct et s et de paquet s ayant t ravers l a chane
iptables A : aj out e une rgle en fin de chane
iptables I : aj out e une nouvell e rgle l a posi t ion donne
iptables R : rempl ace une rgl e donne dans une chane
iptables D : efface une rgle dans une chane

Mi se en pl ace des rgl es

#!/bin/sh
#
# Definit les interfaces utilisees
#
INTERNAL=eth0
EXTERNAL=eth1
#
# Effacement de toutes les regles precedentes
#
echo "Effacement de la configuration precedente"
iptables -F
iptables -F INPUT
iptables -F OUTPUT
iptables -F FORWARD
#
# On efface les chanes vides !
#
iptables -X
#
# Activation du masquerading
#
echo "Activation du Masquerading"
iptables -t nat -A POSTROUTING -o EXTERNAL -j MASQUERADE
Page 20
#

# Creation des differentes chaines
#
echo "Creation des chaines"
# Creation de la chaine trafic interne => externe
#
iptables -X INT_EXT
iptables -N INT_EXT
#
# Creation de la chaine trafic externe => interne
#
iptables -X EXT_INT
iptables -N EXT_INT
#
# Creation dune chaine speciale pour le suivi dactivite etrange...
#
iptables -X log-and-drop
iptables -N log-and-drop
#
# Creation dune chaine specifique pour le suivi des ICMP
#
iptables -X icmp-acc
iptables -N icmp-acc
#
# Definit la politique de la chaine log and drop
#
iptables -A log-and-drop -j LOG --log-prefix "drop"
iptables -A log-and-drop -j DROP
#
# Elimination des paquets ayant tous les flags actives ainsi
# que ce ceux nayant aucun flag active
#
iptables -A FORWARD -p tcp --tcp-flags ALL ALL -j log-and-drop
iptables -A FORWARD -p tcp --tcp-flags ALL NONE -j log-and-drop
#
# Blocage des adresses en provenance de multicasts et des classes
# dadresses privees
# Si on veut etre un peu parano, lattaque vient de lexterieur et on bloque
aussi
#
echo "Interdiction des classes dadresses privees"
iptables -A FORWARD -i EXTERNAL -s 0.0.0.0/7 -j log-and-drop
#
Page 21
# Les paquets provenant de connexions deja etablies sont acceptees
#
echo "Autorisation des sessions valides etablies"
iptables -A FORWARD -m state --state INVALID -j log-and-drop
iptables -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
#
# On ignore tous les autres paquets
#
iptables -A FORWARD -j log-and-drop
#
# Types ICMP acceptes
#
echo "Gestion des ICMP"
iptables -A icmp-acc -p icmp --icmp-type destination-unreachable -j ACCEPT
iptables -A icmp-acc -p icmp --icmp-type source-quench -j ACCEPT
iptables -A icmp-acc -p icmp --icmp-type time-exceeded -j ACCEPT
iptables -A icmp-acc -p icmp --icmp-type echo-request -j ACCEPT
iptables -A icmp-acc -p icmp --icmp-type echo-reply -j ACCEPT
iptables -A icmp-acc -j log-and-drop
#
# Definit les regles appliquees de lexterieur vers linterieur
#
# Acceptation des ports SMTP, SSH et DNS et cest tout (et encore ?)
#
echo "Politique Exterieur -> Interieur"
iptables -A EXT_INT -p tcp --dport smtp -j ACCEPT
iptables -A EXT_INT -p icmp -j icmp-acc
iptables -A EXT_INT -j log-and-drop
iptables -A EXT_INT -p tcp --dport ssh -j ACCEPT
iptables -A EXT_INT -i EXTERNAL -p tcp --dport 80 -j DROP
#
# Il faudra penser a definir les ports 500/UDP, ESP 50 et AH 51 pour IPSEC, voir
pour ISAKMP/IKE
#
# Definit les regles appliquees de linterieur vers lexterieur
#
# On accepte mail, ssh, DNS, http et telnet (pourquoi pas), ainsi que ftp
#
echo "Politique Interieur -> Exterieur"
iptables -A INT_EXT -p tcp --dport smtp -j ACCEPT
iptables -A INT_EXT -p tcp --sport smtp -j ACCEPT
iptables -A INT_EXT -p tcp --dport ftp -j ACCEPT
iptables -A INT_EXT -p tcp --sport ftp -j ACCEPT
iptables -A INT_EXT -p tcp --dport domain -j ACCEPT
iptables -A INT_EXT -p udp --dport domain -j ACCEPT
iptables -A INT_EXT -p tcp --dport ssh -j ACCEPT
iptables -A INT_EXT -p tcp --dport www -j ACCEPT
iptables -A INT_EXT -p tcp --dport https -j ACCEPT
iptables -A INT_EXT -p tcp --dport telnet -j ACCEPT
iptables -A INT_EXT -p icmp -j icmp-acc
iptables -A INT_EXT -p tcp -j log-and-drop
#
# Il faut definir des chaines pour la machine elle-meme
#
echo "Etablissement des regles pour le serveur"
iptables -X FIREWALL_EXT

Ce qui nous donne, aprs un i pt ables L n :

[root@portzic init.d]# iptables -L n -v
Chain INPUT (policy ACCEPT)
target prot opt source destination
FIREWALL_EXT all -- 0.0.0.0/0 0.0.0.0/0
Page 22
FIREWALL_INT all -- 0.0.0.0/0 0.0.0.0/0

Chain FORWARD (policy ACCEPT)
log-and-drop tcp -- 0.0.0.0/0 0.0.0.0/0 tcp
flags:0x3F/0x3F
log-and-drop tcp -- 0.0.0.0/0 0.0.0.0/0 tcp
flags:0x3F/0x00
log-and-drop all -- 0.0.0.0/7 0.0.0.0/0
log-and-drop all -- 2.0.0.0/8 0.0.0.0/0
log-and-drop all -- 5.0.0.0/8 0.0.0.0/0
log-and-drop all -- 10.0.0.0/8 0.0.0.0/0
log-and-drop all -- 23.0.0.0/8 0.0.0.0/0
log-and-drop all -- 27.0.0.0/8 0.0.0.0/0
log-and-drop all -- 31.0.0.0/8 0.0.0.0/0
log-and-drop all -- 67.0.0.0/8 0.0.0.0/0
log-and-drop all -- 68.0.0.0/6 0.0.0.0/0
log-and-drop all -- 72.0.0.0/5 0.0.0.0/0
log-and-drop all -- 80.0.0.0/4 0.0.0.0/0
log-and-drop all -- 96.0.0.0/3 0.0.0.0/0
log-and-drop all -- 127.0.0.0/8 0.0.0.0/0
log-and-drop all -- 128.0.0.0/16 0.0.0.0/0
log-and-drop all -- 128.66.0.0/16 0.0.0.0/0
log-and-drop all -- 169.254.0.0/16 0.0.0.0/0
log-and-drop all -- 172.16.0.0/12 0.0.0.0/0
log-and-drop all -- 191.255.0.0/16 0.0.0.0/0
log-and-drop all -- 192.0.0.0/16 0.0.0.0/0
log-and-drop all -- 192.168.0.0/16 0.0.0.0/0
log-and-drop all -- 197.0.0.0/8 0.0.0.0/0
log-and-drop all -- 201.0.0.0/8 0.0.0.0/0
log-and-drop all -- 204.152.64.0/23 0.0.0.0/0
log-and-drop all -- 224.0.0.0/3 0.0.0.0/0
log-and-drop all -- 224.0.0.0/4 0.0.0.0/0
log-and-drop all -- 0.0.0.0/0 0.0.0.0/0 state INVALID
ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 state
RELATED,ESTABLISHED
log-and-drop all -- 0.0.0.0/0 0.0.0.0/0

Chain OUTPUT (policy ACCEPT)

Chain EXT_INT (0 references)
ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:25
icmp-acc icmp -- 0.0.0.0/0 0.0.0.0/0
log-and-drop all -- 0.0.0.0/0 0.0.0.0/0

Chain EXT_TO_INT (0 references)

Chain FIREWALL_EXT (1 references)
icmp-acc icmp -- 0.0.0.0/0 0.0.0.0/0
ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp spt:22
log-and-drop all -- 0.0.0.0/0 0.0.0.0/0

Chain FIREWALL_INT (1 references)
icmp-acc icmp -- 0.0.0.0/0 0.0.0.0/0
ACCEPT all -- 0.0.0.0/0 0.0.0.0/0

Chain INT_EXT (0 references)
Page 23
ACCEPT udp -- 0.0.0.0/0 0.0.0.0/0 udp dpt:53
icmp-acc icmp -- 0.0.0.0/0 0.0.0.0/0
log-and-drop tcp -- 0.0.0.0/0 0.0.0.0/0

Chain INT_TO_EXT (0 references)

Chain icmp-acc (4 references)
ACCEPT icmp -- 0.0.0.0/0 0.0.0.0/0 icmp type 3
log-and-drop all -- 0.0.0.0/0 0.0.0.0/0

Chain log-and-drop (33 references)
LOG all -- 0.0.0.0/0 0.0.0.0/0 LOG flags 0 level 4
prefix drop
DROP all -- 0.0.0.0/0 0.0.0.0/0

Page 24

9 INTRUSION DETECTION SYSTEMS

Quand on inst al l e un firewal l, i l est t out aussi i nt ressant de pouvoir t re avert i des t ent at i ves
dint rusi on cont re le rseau, afi n de modi fi er ou damli orer les rgles exist ant es. Pas l a peine
de t rop rflchi r, daut res y ont pens avant nous.

9.1 SOLUTIONS EXISTANTES

9.1.1 Snort

ht t p: / / www.snort .org/

Snort est un out i l Open Source de dt ect i on dint rusi on.

Rcuprat ion du fichi er .t ar. t ar

Mi se en pl ace :

tar xvzf
cd snort
./configure
make
make install

9.1.2 Prelude

ht t p: / / www.prelude- ids.org/

Prl ude est un I DS complet et compl exe permet t ant de grer l a prsence dI DS sur plusi eurs
part i es du rseau, t out en permet t ant une admini st rat ion simpl e et cent rali se des fichi ers de
l ogs affrant , ent re aut res par lut il isat ion dune base de donnes MySQL pour l a cent ral isait on
des logs et par une i nt erface PHP pour l eur exploi t at ion.

Daut res syst mes exist ent , not amment LI DS ( www.l i ds.org) , mais nous ne lavons pas ret enu
car il sappuie plut t sur la scuri sat i on du noyau en lui - mme.
Page 25

10 TESTS

10.1 ROUTAGE

- Services
- Charge CPU/ Rseau
- rout age

10.2 SECURITE

La scurit est un t ravail quot i dien de vrifi cat i on, de t est s, de vei ll e t echnologi que. Les
proposi t ions de t est s ci - dessous ne sont quune pet i t e part ie de ce qui l est possibl e de fai re,
l eur but est de met t re en vidence l es fail les du firewal l et de la confi gurat ion rseau de la
machine en gnral .

10.2.1 Outils

10.2.1.1 Ps et lsof

Ps : commande de base sur Uni x mais t rs prat ique, qui permet de l imi t er les processus
i nut i les et donc de gagner en st abi l it .

Lsof donne en pl us l a l ist e des port s ouvert s et les programmes qui l es ont ouvert s

10.2.1.2 Nmap

Nmap exi st e pour Wi ndows et GNU/ Li nux. Ces versi ons sont t lchargeabl es sur l e net :
ht t p: / / www.i nsecure.org/ nmap.

Nmap est un out i l OpenSource qui permet de dt ect er les port s I P ( TCP/ UDP, .. .) prsent s sur
une machi ne ( Wi ndows, GNU/ Li nux, ...) ainsi que l eur t at : ouvert , ferm, fil t r. Cel a donne
une excell ent e i de des diffrent s services prsent s sur l a machi ne et donc des vent uell es
at t aques qui pourraient t re mises en place.

I l comprend de nombreuses opt i ons qui permet t ent bien souvent de dj ouer l es firewal ls ou
aut res syst mes de dt ect i on di nt rusion ( I DS) .

Nmap sS O WWW. XXX. YYY. ZZZ

La prsence de port fi lt ered dnot e l a prsent e dun firewal l. La pl upart du t emps, une
pol it i que drop ( cest dire qui ne rpond pas aux paquet s ent rant s) permet NMAP de ne pas
dt ect er la prsence dun fi rewall .

Page 26
10.2.1.3 Nessus :

ht t p: / / www.nessus.org

Nessus est un syst me OpenSource de dt ect ion de fail les de scuri t permet t ant de vri fi er la
scurit dun syst me Wi ndows ou Uni x. Une archit ect ure Nessus met en oeuvre un cl ient et
un serveur. Le serveur est en charge de t est er l es di ffrent es st at i ons du rseau, le cl ient
permet quand l ui de rcuprer l es informat i ons et l e l es vi suali ser, de les export er... I l exi st e
t roi s formes de cl ient : Nessus WX 1.4.2 pour Wi ndows , un cli ent graphi que GTK pour GNU
GNU/ Linux ou aut res Uni xes et la versi on li gne de commande pour ces mmes OS.
On i nst al le l e serveur Nessus part i r de ft p: / / ft p. nessus.org/ pub/ nessus/ nessus- 1.2.7/ nessus-
i nst al ler.
Sh nessus- i nst al ler. sh

Crat ion dun cert i fi cat pour Nessus :

/usr/local/nessus/nessus-mkcert

Crat ion dun nouvel ut i li sat eur

nessus-adduser

[root@portzic nessus]# nessus-adduser
Using /var/tmp as a temporary file holder

Add a new nessusd user
----------------------

Login : olivier
Authentication (pass/cert) [pass] : pass
Login password : olivier

User rules
----------
nessusd has a rules system which allows you to restrict the hosts
that olivier has the right to test. For instance, you may want
him to be able to scan his own host only.

Please see the nessus-adduser(8) man page for the rules syntax

Enter the rules for this user, and hit ctrl-D once you are done :
(the user can have an empty rules set)

default accept

Login : olivier
Password : olivier
DN :
Rules :
Page 27

default accept

Is that ok ? (y/n) [y] y

user added.
[root@portzic nessus]#

On peut aprs vrifier le fichi er de configurat i on et l e modi fier souhait :

[root@portzic nessus]# cd /usr/local/etc/nessus/
[root@portzic nessus]# vi nessusd.conf

Pui s, on l ance le dmon

[root@portzic root]# nessusd D &

I l faut gal ement crer un cert i ficat SSL pour le cl ient Wi ndows.

Sur le cl ient Wi ndows, on lance NessusWX

Modifi er l es opt i ons si ncessaire.

Lini t ial isat ion sest correct ement effect ue.
Page 28

Spci fier les paramt res par dfaut du serveur Nessus.

Accept er l e cert ifi cat SSL reu.

I l faut ensui t e

On dfinit ensuit e les paramt res de scan, et on at t end le rsult at :

1 fai ll e de scuri t , 6 port s ouvert s.

Page 29

Le rapport peut t re vi suali s, export en HTML, PDF, dans une base de donnes, . ..

Nessus nous permet de savoi r exact ement quell e act i on ent reprendre afi n de rsoudre l es
fail les de scurit . Les t est s peuvent gal ement t re fait s sur t out es les machi nes du rseau,
par exempl e.
Page 30

11 ANNEXES FIREWALL

11.1 SOURCES

11.2 FICHIERS DE CONFIGURATION

11.3 REFERENCES

[ 1] Linux Magazi ne France Hors- Srie n 9
[ 2] Linux Magazi ne France Hors- Srie n 12
[ 3] Linux Magazi ne France Hors- Srie n13
Page 31

VPN

12 ARCHITECTURE ET PRINCIPE DU VPN

La mi se en pl ace dun Rseau Priv Virt uel a gnral ement pour but de met t re en place un
chemin virt uel scuris et fi abl e permet t ant aux ut i li sat eurs nomades, ou une fi li ale dune
ent reprise daccder au si t e principal afin deffect uer des changes de donnes scuriss. Pour
y arri ver, deux t echni ques part i cul ires peuvent t re mises en pl ace : l aut hent i fi cat i on et le
chi ffrement des donnes.

Son pri nci pal i nt rt est de rali ser des rseaux pri vs moi ndre cot , en ut il i sant l exi st ant
( I nt ernet ) pl ut t que dut il iser des li gnes spcial i ses ( LS) par exemple. Cependant , en
aut hent ifiant les donnes et en les chi ffrant , on se t rouve dans une si t uat ion proche dune LS.
I l ne faut cependant pas oubli er que l e MTBF dI nt ernet nest pas cel ui dune LS et que la
quali t de servi ce ( QoS) nest donc pas garant i e.

12.1 AUTHENTIFICATION

Le but de lant hent i fi cat i on est daut oriser uniquement l es personnes/ ordi nat eurs aut oriss
se connect er au Rseau Priv Vi rt uel, et de cert i fi er l a provenance des donnes.
Laut hent ifi cat i on et i nt gri t des donnes permet t ent di nt erdire l usurpat i on de l adresse I P
( I P spoofing) et l e vol de sessi on TCP ( TCP session hi j acki ng) .

12.2 CHIFFREMENT

Le chiffrement assure l a confi dent ial it des donnes en ut il isant un chiffrement des
dat agrammes pour vit er la capt ure ( sniffing) des t rames.

12.3 PROTOCOLES ET NORMES

12.3.1 PPTP (Point to Point Tunneling Protocol)

PPTP est un prot ocol e dvel opp par Mi crosoft . I l encapsul e les t rames PPP dans des
dat agrammes I P afi n de l es t ransfrer sur un rseau I P. PPTP permet le chiffrement mais aussi
l a compressi on des donnes PPP encapsul es. Le cl i ent ut il is est le cl ient par dfaut sous
Wi ndows 2000/ XP. I l exi st e gal ement des cl ient s et des serveurs PPTP pour GNU/ Linux.

Tunneli sat i on : GRE
Chi ffrement et Chi ffrement : MPPE 40/ 128 bit
Aut hent i fi cat i on : PAP, CHAP, Ms- CHAP, Ms- CHAPv2, MPPE

Page 32
12.3.2 L2F (Layer 2 Forwarding)

Cest un prot ocol e de niveau 2 qui permet serveur daccs di st ant de vhi cul er l e t rafic sur
PPP et de t ransfrer ces donnes j usqu un serveur L2F. Ce serveur dsencapsul e l es paquet s
l es l es envoie sur l e rseau. L2F na donc pas besoi n de cl ient .

Ce prot ocol e, dvel opp par Ci sco pour la mi se en place sur ses rout eurs, est
progressivement remplac par L2TP qui est pl us soupl e.

12.3.3 L2TP (Layer 2 Tunneling Protocol)

Ce prot ocol e est n de l all iance de Mi crosoft et Ci sco pour dvelopper un prot ocole
regroupant les avant ages des deux sol ut ions quil s proposaient , savoi r PPTP et L2F. I l permet
l encapsulat i on des t rames PPP pour l eur envoi sur des rseaux I P, X25, Frame Rel ay ou ATM.
I l peut donc t re ut i l is direct ement sur des support s WAN comme Frame Rel ay sans ut i li ser de
couche de t ransport de ni veau 3 ( I P) . I l est souvent ut il iser pour l a crat i on de VPN sur
I nt ernet . Dans ce cas il encapsule l es t rames PPP dans des paquet s I P.

12.3.4 IPSec

Pl us quun prot ocol e, I PSec ( I nt ernet Prot ocol SECuri t y) est un vrit abl e groupe de t ravai l
cr par lI ETF ( I nt ernet Engi neering Task Force) devant l a mult ipl icat ion des t echniques et des
i mplment at i ons de t unnel ing dans les di vers syst mes rseau. Le sit e du groupe I PSec peut
t re consult l adresse ht t p: / / www.i et f.org/ ht ml.chart ers/ ipsec- chart er.ht ml .

I PSec est le prot ocol e de scurit impl ment dans I pv6 en mode nat if. Nous avons donc
ret enu ce prot ocol e.

I l ut il ise une crypt ographi e fort e pour permet t re des servi ces daut hent i fi cat i on et de
chi ffrement . Laut hent ificat ion assure que les paquet s reus vi ennent de la bonne provenance
et quil s nont pas t al t rs pendant l eur t ransit . Le chi ffrement permet dint erdi re la capt ure
non aut orise des paquet s.

Ces servi ces permet t ent de const ruire des t unnel s scuri ss t ravers des rseaux non
scuriss. Tout es les donnes t raversant le rseau qui nest pas de confiance sont chi ffrs par
l a machi ne passerell e I PSEC et dchiffrs par l a machi ne l aut re bout . La grande maj ori t des
quipement s de fi rewal l i mplment ent I PSEC. I l s sont par ail l eurs regroups au sein du
Consort ium VPN ( www.vpnc.org) .

I PSec est donc un st andard que l on peut i mpl ment er sur un syst me de manire
mat ri ell e ou l ogiciel l e. I l assure dans t ous les cas :

- Laut hent ifi cat i on et i nt gri t des donnes, afin di nt erdire lusurpat i on dadresse I P ( I P
spoofing) et l e vol de sessi on TCP ( TCP session hi j acki ng) .
- La confident i ali t des donnes en ut i li sant un chiffrement des dat agrammes pour vit er
l a capt ure ( sni ffi ng) des t rames.
- Une prot ect ion si mpl e mais effi cace cont re l e rej eu ( cest di re rej ouer une sessi on TCP
par exempl e) .
Page 33

I PSEC propose deux modes de fonct i onnement : un fonct ionnement en mode t unnel, cest
di re que l es paquet s dest ins t re mi s sur l e VPN sont encapsul s dans un nouveau paquet
I P, prot geant ainsi len- t t e dori gine. Le second mode, ou mode t ransport , permet de
prot ger li nt gri t des donnes t ransport es dans les paquet s I P. Len- t t e dori gi ne nest pas
modi fi e, mme si on ut i li se un chiffrement .

Appli cat i on
TCP UDP
I PSEC
I P

12.3.4.1 Authentification

AH ( Aut hent i cat i on Header) fournit un servi ce daut hent ifi cat i on des paquet s.
Laut hent ifi cat i on se fai t par une si gnat ure DSS ou RSA. Dans not re cas, nous ut i l iserons une
cl RSA propre chaque st at i on cl i ent e se connect ant , garant i ssant la provenance des
donnes.

Li nt gri t des donnes est assure par le biai s dune fonct i on de condensat i on ( hachage) ,
ut i li sant l es cl s sui vant es : HMAC- MD5, HMAC- SHA1, HMAC- RI PEMD- 160, HMAC- DES, ou
keyed MD5.

Le fonct ionnement de AH est spci fi dans l a RFC 2402. AH incl ue une somme de cont rle
calcul e part ir de lensembl e du dat agramme dori gine. Coupl un numro de squence
TCP, i l permet dvi t er l e rej eu du dat agramme.

Sui vant le mode de fonct ionnement , soit len- t t e est direct ement i nsr ent re len- t t e I P
et l en- t t e TCP/ UDP ( mode t ransport ) , soi t un nouvel en- t t e est cr pour l e dat agramme.

I P TCP/ UDP Donnes
I - - - - - - - - - - - - - - - - - - - - - - - ,
I P AH TCP/ UDP Donnes

I PSec en mode t ransport

I P TCP/ UDP Donnes
|
I P AH I P TCP/ UDP Donnes

I PSec en mode t unnel

Format de len- t t e AH ( ext rait de la RFC)

Len- t t e de prot ocole ( I pv4, I pv6 ou Ext ension) prcdant immdiat ement l en- t t e AH
cont i endra l a valeur 51 dans son champ Prot ocol ( I PV4) ou Next header ( I PV6,
Ext ensi on)

Oct et 0 Oct et 1 Oct et 2 Oct et 3
Page 34
01234567 01234567 01234567 01234567
Next Header Payload Lengt h RESERVE
Securi t y Paramet ers I ndex ( SPI )
Champ numro de squence ( Sequence Number Fi eld)
Donnes daut hent ificat ion
( variabl e)

Tous l es champs dcrit s ici sont obl igat oi res, cest di re qui ls sont t ouj ours prsent s dans
l e format AH et incl us dans l e cal cul de l a valeur de vrificat ion de lint gri t ( I nt egrit y Check
Value, I CV) .

- Champ Next Header

Le champ Next Header sur 8 bit s ident ifie l e t ype de donnes prsent es aprs l en- t t e AH.
Les valeurs de ce champ sont choisies parmi l ensemble des numros de prot ocol es I P dfini s
dans l a RFC Assigned Numbers l a plus rcent e de l I ANA ( I nt ernet Assigned Numbers
Aut hori t y) .

- Champ Payload Lengt h

Ce champ sur 8 bi t s spcifi e la longeur de AH en mot s de 32 bit s, moins 2. Dans l e cas
st andard dune aut hent i ficat ion sur 96 bit s, pl us les 3 port i ons fi xes de mot s de 32 bit s, la
l ongeur sera donc de 4. Une l ongueur de 0 peut t re ut i li se pour faire du dpannage.

- Champ Rserv

Ce champ sur 16 bi t s est rserv pour des impl ment at ions fut ures et doi t t re posi t ionn
0.

- Champ Securi t y Paramet ers I ndex ( SPI )

Le SPI est une valeur arbi t rai re sur 32 bi t s qui, combi ne avec ladresse I P de dest i nat ion et
l e prot ocol e de scuri t ( AH) ident ifie de mani re unique l a SA de ce dat agramme. Les val eurs
de 1 255 sont rserves par lI ANA pour des impl ment at i ons fut ures. La valeur SPI de 0 est
rserve pour une impl ment at i on locale spci fi que et ne doi t pas t re propage sur I nt ernet .

- Champ Sequence Number

Ce champ non sign de 32 bi t s cont ient une val eur i ncrment ale augment ant de manire
monot one ( numro de squence) . I l est obl igat oi re et t ouj ours prsent Son t rat ement est la
charge du rcept eur, cest di re que lmet t eur doit t ouj ours envoyer ce champ, mais le
rcept eur na pas besoi n dagi r dessus. Les compt eurs sont i nit i ali ss 0 quand une SA est
t abl ie. Le premi er paquet mi s ut i li sant une SA donne aura un numro de squence de 1.

- Donnes daut hent ificat ion

Cest un champ de longueur vari abl e cont enant l a val eur de vrificat ion de l i nt grit
( I nt egri t y Check Value) pour ce paquet . Ce champ doit avoir une l ongueur mult i ple de 32
bit s, avec un bourrage vent uel.

Page 35
12.3.4.2 Chiffrement

Le mcani sme ut i li s pour le chiffrement , l aut hent i ficat ion et li nt gri t des donnes est ESP
( Encapsul at ing Securi t y Payl oad) , dfini par l a RFC 2406.

Les al gori t hmes sui vant s peuvent t re ut i l iss : DES 56 bi t s, 3DES 168 bi t s, RC5, I DEA,
CAST 256 bi t s, Blowfish 128 bi t s. La ngoci at ion se fai t par I SAKMP. Nous avons const at la
pl upart du t emps lut il isat ion de 3DES- CBC ( Ci pher Block Chaini ng) , qui est une sol ut ion
reconnue comme t rs sre.

ESP peut t re ut il i s en mode t ransport :

I P TCP/ UDP Donnes
|
I P ESP Donnes ESP ESP

En mode t unnel, l e dat agramme de base est chi ffr dans son ensembl e et nouveau
encapsul dans un nouveau paquet I P, l en- t t e ESP permet t ant l e t ransport des informat i ons
ncessai res.

I P TCP/ UDP Donnes
|
I P ESP I P TCP/ UDP Donnes ESP ESP

Pour dfi nir les t ranformat i ons appli ques au nouveau paquet et la manire dont ces
t ransformat ions affect ent le dat agramme t ransmet t re, on dfi ni t une poli t ique de scurit ou
Securit y Associat i on ( SA) qui permet de spcifi er :

- l e t ype de prot ect ion ( AH ou ESP) ,
- l es al gorit hmes ut il iss pour l aut hent i fi cat i on AH et ESP,
- l al gorit hme de chiffrement pour ESP,
- l es di ffrent es cl s en usage,
- l a priodi ci t des cl s de chiffrement ,
- l a dure de vi e de l a poli t i que de scuri t SA,
- l e squenage des dat agrammes I PSec.

La SA peut t re fi xe pour l a dure de la connexion, auquel cas ell e est appel e st at ique, ou
t re rengoci e en cours de t ransmi ssion par l int ermdi aire dune valeur sur 32 bi t s appele
SPI ( Securi t y Paramet ers I ndex) .

La SA est ngocie par le prot ocole I SAKMP/ Oakley et I KE ( I nt ernet Key Exchange) . I SAKMP
est dfi ni e dans la RFC 2408 ht t p: / / rfc- 2408.rfcli st . org/

Format de len- t t e ESP ( ext rai t de l a RFC) :

Len- t t e de prot ocole ( I pv4, I pv6 ou Ext ension) prcdant immdiat ement l en- t t e AH
cont i endra l a valeur 50 dans son champ Prot ocol ( I PV4) ou Next header ( I PV6,
Ext ensi on)

Page 36
Oct et 0 Oct et 1 Oct et 2 Oct et 3
01234567 01234567 01234567 01234567
Securi t y Paramet ers I ndex ( SPI )
Champ numro de squence ( Sequence Number Fi eld)
Donnes de charge ( longueur variabl e)
Bourrage ( 0- 255 oct et s) Longeur bourrage En- t t e suivant
Donnes daut hent i ficat ion ( vari able)

Un champ opt ionnel signi fi e que l e champ nexi st e pas si lopt ion nest pas sl ect i onne. I l
nest donc dans ce cas ni prsent dans le paquet ni compt dans l a valeur de vri fi cat i on de
l i nt grit ( I CV) . Le caract re opt ionnel dun champ est dfini l ors de l t abli ssement et de la
ngoci at ion de l a SA. Le format des paquet s ESP pour une SA donne est donc fi xe pour la
dure de la SA. En revanche, l es champs obli gat oires sont t ouj ours prsent s dans l e paquet
ESP.

- Champ Securi t y Paramet ers I ndex ( SPI ) ( obl igat oi re)

Le SPI est une valeur arbi t rai re sur 32 bi t s qui, combi ne avec ladresse I P de dest i nat ion et
l e champ ESP i dent ifi e de mani re unique la SA de ce dat agramme. Les val eurs de 1 255
sont rserves par l I ANA pour des impl ment at i ons fut ures. La valeur SPI de 0 est rserve
pour une i mplment at i on locale spcifi que et ne doi t pas t re propage sur I nt ernet .

- Champ Sequence Number

Ce champ non sign de 32 bi t s cont ient une val eur i ncrment ale augment ant de manire
monot one ( numro de squence) . I l est obl igat oi re et t ouj ours prsent Son t rat ement est la
charge du rcept eur, cest di re que lmet t eur doit t ouj ours envoyer ce champ, mais le
rcept eur na pas besoi n dagi r dessus. Les compt eurs sont i nit i ali ss 0 quand une SA est
t abl ie. Le premi er paquet mi s ut i li sant une SA donne aura un numro de squence de 1.

- Donnes de charge

Cest un champ de l ongueur vari able cont enant les donnes dcri t es par l e champ Next
Header. Cest un champ obli gat oire qui fai t part ie int grant e du nombre doct et en l ongueur.
Si l al gorit hme ut i li pour chi ffrer l e chargement ncessi t e une syncronisat ion
crypt ographique ( gal ement appele I V, I dent i fi cat i on Vect or) , cel le- ci peut t re t ransmi se
de mani re expl icit e dans ce champ.


( I nt egri t y Check Value) pour ce paquet . Ce champ doit avoir une l ongueur mult i ple de 32
bit s, avec un bourrage vent uel.

- Bourrage ( obl igat oi re)

I l est ut i li s not amment si lalgori t hme de chi ffrement ut il i s ncessi t e que le t ext e
envoyer soit un mul t ipl e dun cert ai n nombre doct et s. Sa l ongueur est prcise dans l e champ
sui vant .

Page 37
- Next Header

Cest un champ sur 8 bi t s qui ident i fie l e t ype de donnes cont enues dans le champ
donnes de charge , cest di re un en- t t e t endu dans I PV6 ou une valeur choi si e parmi
l ensemble des numros de prot ocol es I P dfi ni s dans l a RFC Assi gned Numbers la pl us
rcent e de l I ANA ( I nt ernet Assigned Numbers Aut hori t y) .


( I nt egri t y Check Value) pour le paquet ESP moins l a part i e Donnes daut hent ifi cat i on. Ce
champ doi t avoi r une l ongueur mul t ipl e de 32 bi t s, avec un bourrage vent uel.

Exempl e :

Encapsul at ing Securi t y Payl oad
SPI : 0xde219d3d
Sequence: 0x00000004
Dat a ( 84 byt es)

0000 69 6b 6c 42 b7 56 d1 18 80 38 90 b0 21 c5 4d d4 i klB.V...8.. ! .M.
0010 0e 84 ef 23 b3 e7 14 e4 49 d8 5c f9 8f 3c 47 0f ...# . ...I .\ ..< G.
0020 1a b9 7a 02 27 60 ed 2e 4d 5e 5e 48 3d 56 6e b1 ..z. ' ` .. M^ ^ H= Vn.
0030 4f ca a5 6c 06 87 b7 9e 24 c3 99 fb a6 46 44 e7 O..l ....$.. ..FD.
0040 32 a9 43 7a af 35 10 3e 34 6d 39 9e 21 ea e4 d7 2.Cz.5.> 4m9.! ...
0050 2a 73 af e5

12.3.4.3 ISAKMP

I SAKMP, I nt ernet Securit y Associ at ion and Key Management Prot ocol, est un prot ocol e qui ,
bi en que ne faisant pas part ie de I PSec proprement parler, est t ot al ement indispensabl e la
mi se en pl ace dun VPN. I l ut il ise le port UDP/ 500, et permet l a ngociat i on et l a mi se en pl ace
de l a SA ent re les deux cli ent s du VPN.

I SAKMP est dfi nie dans la RFC 2408, l aquell e on pourra se report er pour obt enir un
maxi mum dinformat ions.

On not era que l ut i li sat i on de ce prot ocole offre une prot ect i on le dni de servi ce, cont re le
vol de session TCP, et cont re les at t aques de t ypes Homme du mil ieu ( Man i n t he Middle) .

I SAKMP offre deux phases de ngoci at i ons. Dans la premire phase, l es deux ent i t s se
met t ent daccord sur l a manire de prot ger le fut ur t rafic de ngociat i on ent re ell es, en
t abl issant une SA I SAKMP qui est ensuit e ut il ise pour prot ger l a ngoci at ion pour l a SA
demande. Plusi eurs SA I SAKMP peuvent t re ngocies et accept e en mme t emps.

La deuxi me phase de ngoci at ion est ut il ise pour t abli re l es associat i ons de scurit pour
l es aut res prot ocol es de scuri t . Cet t e phase peut et re ut il i se pour t abl ir de nombreuses SA.

Format de lent t e I SAKMP
Page 38

I nit iat or Cookie ( 8 oct et s)
Responder Cookie ( 8 oct et s)
Next Payload Mj Ver MnVer Exchange Type Fl ags
Message I D
Longueur

- Champ I ni t i at or Cooki e

-
Ce champ sur 8 oct et s ident i fie lent it qui a ini t i l t abli ssement , l a not i fi cat i on ou la
suppressi on de la SA.

- Champ Responder Cooki e

Sur 8 oct et s, i l spci fi e lent i t i qui rpond un t abl issement , une not i fi cat i on ou une
suppressi on de la SA.

- Champ Next Payl oad

Sur un oct et , i l indique l e t ype du premi er lot de donnes du message. Le format pour
chaque l ot est dfi ni pl us l oins dans l a RFC.

Valeur Next Payl oad 0
Aucune 0
Securi t y Associ at ion ( SA) 1
Proposal ( P) 2
Transform ( T) 3
Key Exchange ( KE) 4
I dent i fi cat i on ( I D) 5
Cert ificat e ( CERT) 6
Cert ificat e Request ( CR) 7
Hash ( HASH) 8
Si gnat ure ( SI G) 9
NONCE ( NONCE) 10
Not i fi cat i on ( N) 11
DELETE ( D) 12
VENDOR I D ( VI D) 13
RESERVED 14- 127
PRI VATE USE 128- 255

- Maj or Versi on

Sur 4 bit s, i ndi que la versi on maj eure du prot ocol e I SAKMP ut il i s.

- Minor Versi on

Page 39
Sur 4 bit s, i ndi que la versi on mineure du prot ocole I SAKMP ut i li s.

- Exchange Type

Sur 1 oct et , indique l e t ype dchange ut i li s.

Exchange Type Val eur
NONE 0
Base 1
I dent it y Prot ect ion 2
Aut hent icat ion Onl y 3
Aggressive 4
I nformat ional 5
Ut i li sat i on fut ure I SAKMP 6- 31
Ut i li sat i on Spcifique DOI 32- 239
Ut i li sat i on prive 240- 255

- Fl ags

Sur 1 oct et , ut i l is pour indi quer des opt i ons spcifiques ut il ises pour l change I SAKMP.

o Bit denchi ffrement ( 1 bi t ) : t ous l es champs suivant s sont crypt s
o Bit Commi t ( 1 bit ) pour l a synchroni sat i on de l change des cls
o Bit Aut hent i fi cat i on Seule ( 1 bit ) : seul e laut hent i fi cat i on est ut il ise, pas de
chi ffrement

- Message I D

Sur 4 oct et s, cest un i dent ifi ant ut i li s pour i dent ifier l t at du prot ocol e durant l es
ngoci at ions de l a phase 2.

- Longueur

4 oct et s, spci fi e l a longueur t ot al e du message ( en- t t e + donnes) en oct et s.

Chaque donne de charge I SAKMP dbut e avec un en- t t e gnri que, indi qu ci - dessous :

1 2 3
Next Payload RESERVE Longueur Payl oad

Le champ Next Payl oad, sur 1 oct et , ident i fie pour l e t ype de donnes l e prochai n t ype de
donnes ut i li s dans le message. Si le payl oad courant est l e dernier, l a val eur est posi t ionne
0. Ce champ permet l e chanage l ors de l a ngoci at i on de la SA ( voir lexempl e) .

Le champ Rserv, sur 1 oct et , nest pas ut il is et posit i onn 0

Le champ Payl oad Lengt h i ndi que la valeur en oct et du payl oad act uel , en- t t e compris.

Exempl e :

Page 40
Internet Security Association and Key Management Protocol
Initiator cookie: 0x39E18AE1C87DF1F1
Responder cookie: 0x0000000000000000
Next payload: Security Association (1)
Version: 1.0
Exchange type: Identity Protection (Main Mode) (2)
Flags
.... ...0 = No encryption
.... ..0. = No commit
.... .0.. = No authentication
Message ID: 0x00000000
Length: 216
Security Association payload
Next payload: Vendor ID (13)
Length: 164
Domain of interpretation: IPSEC (1)
Situation: IDENTITY (1)
Proposal payload # 1
Next payload: NONE (0)
Length: 152
Proposal number: 1
Protocol ID: ISAKMP (1)
SPI size: 0
Number of transforms: 4
Transform payload # 1
Next payload: Transform (3)
Length: 36
Transform number: 1
Transform ID: KEY_IKE (1)
Encryption-Algorithm (1): 3DES-CBC (5)
Hash-Algorithm (2): SHA (2)
Group-Description (4): Alternate 1024-bit MODP group (2)
Authentication-Method (3): RSA-SIG (3)
Life-Type (11): Seconds (1)
Life-Duration (12): Duration-Value (28800)
Length: 36
Transform number: 2
Hash-Algorithm (2): MD5 (1)
Length: 36
Transform number: 3
Encryption-Algorithm (1): DES-CBC (1)
Group-Description (4): Default 768-bit MODP group (1)
Length: 36
Transform number: 4
Page 41
Vendor ID payload
Length: 24
Vendor ID: unknown vendor ID: 0x1E2B516905991C7D7C96FCBFB587E461...

12.3.4.4 Aspect lgislatif

Lut il isat ion des cls est soumi se l a l gislat i on en vi gueur. En France, cest lex- SCSSI ,
sous l a t ut ell e du Premi er Mi nist re, qui fixe les algori t hmes de chiffrement ut il isables en France
ai nsi que l a l ongueur des cls. I l est donc pri mordi al dall er vi si t er l eur sit e :
ht t p: / / www.ssi. gouv. fr/ fr/ i ndex.ht ml avant t out e mi se en pl ace.

12.4 SOLUTIONS MATERIELLES

La grande maj orit des FAI et des PME/ PMI souhait ant crer des VPN ut i li sent des rout eurs
i nt grant I PSec ou daut res prot ocol es permet t ant deffect uer des VPN. Sui vant le t ype de
rout eur, on peut crer un ou plusieurs t unnel s VPN.

12.5 SOLUTIONS LOGICIELLES

12.5.1 Windows

Wi ndows 2000 i nt gre un serveur VPN ut il isant PPTP. Pour met t re en pl ace un VPN I PSEC et
l es pol i t iques de scurit I P associ es, i l est recommand de di sposer du Kit de Ressources
Techni ques et des dernires mi ses j our de scuri t .

12.5.2 GNU/Linux

Vt un est une sol ut ion de t unneli ng facil e met t re en oeuvre mai s dont l es prot ocoles ne
reposent pas sur le st andard I PSec, mai s sur des st andards propri t aires. Nous navons donc
pas ret enu cet t e solut i on qui noffre par ail leurs quun chi ffrement li mi t 128 bit s.

Le dmon ppt pd est l impl ment at ion GNU/ Li nux de PPTP.

GNU/ Linux FreeS/ WAN est une impl ment at ion Open Source dI PSEC pour GNU/ Li nux.

Le but du proj et FreeS/ WAN est de dvelopper I PSEC en fourni ssant l e code source qui est
di sponibl e, de mme que de permet t re de l e fai re t ourner sur t out PC, et de ne pas t re l imit
par des li mi t at ions nat ional es dexport at ion.

Page 42

13 MISE EN PLACE

13.1 INSTALLATION SUR GNU/LINUX

Hormi s l es How- Tos, dont la plupart dat ent un peu, i l nexist e pas proprement parl er de
document at i on compl t e franaise sur l a mi se en pl ace de FreeS/ WAN, de cert ifi cat s x509 avec
un cl i ent Windows. Cet t e document at ion sat t achera donc t re la pl us prci se possi ble et sera
mi se en l igne sous li cence GNU/ FDL afi n de permet t re beaucoup de personnes qui hsi t aient
encore inst all er une passerell e VPN faire le pas !

13.1.1 Installation de FreeS/WAN

ht t p: / / www.freeswan. org

Tout dabord, vrifions la version de not re noyau :

uname a

Linux portzic 2.4.18-14 #1 Wed Sep 4 12:13:11 EDT 2002 i686 athlon i386
GNU/Linux

FreeS/ wan peut t re compi l part ir des sources, pui s pat ch avec le pat ch permet t ant
l i mpl ment at ion x509 sous GNU/ Linux, ou bi en on peut rcuprer l e rpm comprenant freeswan
et l e pat ch. Cest cet t e sol ut ion que nous ut i li serons pour fai re not re inst all at ion, car ell e est la
pl us si mpl e et rsoud quelques probl mes de synt axe qui t aient prsent dans l es fi chi ers
ncessai res la compi lat i on des sources et du noyau.

Le fi chi er peut t re t rouv : ht t p: / / www.freeswan.ca/ code/ freeswan- x509/ RedHat -
RPMs/ 2. 4. 18- 14/

On choisit l e fichier freeswan- module- 1.99_x509_0.9.15_2. 4. 18_14- 0.i 386. rpm permet t ant
l i nst al lat i on direct e en modul e du noyau GNU/ Linux 2.4.18.

I nst al lat i on :

rpm ivh freeswan- modul e- 1.99_x509_0.9.15_2.4.18_14- 0. i386.rpm

Le rpm est inst al l. I l rest e maint enant vri fi er le bon fonct i onnement de I PSEC :

[root@portzic misc]# ipsec setup start
ipsec_setup: Starting FreeS/WAN IPsec super-freeswan-1.99_kb1...
Page 43
ipsec_setup: Using /lib/modules/2.4.18-14/kernel/net/ipsec/ipsec.o

[root@portzic misc]# ipsec setup status
IPsec running
pluto pid 10311

I PSec fonct i onne correct ement , il rest e mai nt enant met t re en pl ace laut orit de
cert ifi cat i on SSL.

13.1.2 Mise en place des certificats SSL

13.1.2.1 Prambule concernant SSL et les certificats

Avant de procder l a mise en pl ace de FreeS/ WAN proprement parler, i l faut t out
dabord possder quel ques not i ons de base sur l es t echniques de cert i fi cat i on, sur SSL et X.509
en part iculi er. Nous ne rent rerons pas t rop dans l es dt ai ls, ces t echni ques t ant
part i culi rement compl exes et nt ant pas l e but pri ncipal de not re expri ment at i on. Cest
cependant une t echni que t rs sre, normal ise.

SSL ou Secure Socket s Layer est un procd de scurisat ion des t ransact i ons effect ues par
I nt ernet , mi s au point par Net scape, avec l a coll aborat ion de banques. I l repose sur un procd
de crypt ographique par cls publ iques ( RSA dans not re cas) afi n de garant ir la scurit de la
t ransmi ssion des donnes sur I nt ernet . SSL ne dpend pas du prot ocol e ut il is ( HTTP, Telnet ,
.. .) . I l assure si mplement la scuri t de l a t ransact i on ent re ces prot ocoles et l a couche TCP/ I P.

SSL est couramment ut i li s dans les navigat eurs I nt ernet pour l e paiement en l i gne, la
scurisat ion des changes bancaires. On l e reconnai t un pet i t cadenas en bas de lexplorat eur
ou l a prsence dune URL en ht t ps.

I l exist e de nombreuses impl ment at i ons de SSL, cert ai nes payant es, et daut res grat uit es,
l a plus rpandue t ant OpenSSL, que nous all ons ut i li ser.

Dans not re cas, nous ut i l isons SSL pour gnrer une cl RSA de 2048 bi t s, comprenant une
cl publ ique ( pour le chiffrement ) et une cl prive ( pour l e dchi ffrement ) . Lal gorit hme RSA a
t cr par Rivest , Shamir et Adel man en 1978. I l est t ouj ours t rs largement ut i li s pour
prot ger l es i nformat i ons t rs sensibl es, not amment dans l es armes.

Afin de garant ir la provenance et l i nt grit des cls t ransmi ses, on ut i li se une norme,
X.509, auj ourdhui t rs rpandue sur I nt ernet pour l a gest ion des cert i ficat s. SSL coupl
X.509 et RSA permet dobt eni r un ensemble t rs cohrent de scuri sat i on des changes sur
I nt ernet sur l es infrast ruct ures cl s publi ques ( PKI ) .

13.1.2.2 Cration de l'autorit de certification

Cest une part i e assez confuse nanmoi ns ext rmement i mport ant e de li nst all at i on du VPN.
I l faut crer sa propre aut ori t de cert ificat ion ( CA Cert ificat e Aut hori t y) . I l est
part i culi rement consei ll de rel ire t out ou part i e de la document at i on dOpenSSL, surt out si
l on a j amai s t ravai ll avec OpenSSL.

Vrifi cat i on de l i nst al lat i on de OpenSSL :
Page 44

[root@portzic root]# rpm -qa | grep openssl
openssl-0.9.6b-29
openssl-devel-0.9.6b-29

OpenSSL est correct ement inst al l. Si la commande rpm ne renvoie pas la version
dOpenSSL i nst al l, il faut met t re en place cet t e dernire.

I l faut ensui t e l ocal iser l e fi chier openssl .cnf. Sous RedHat 8.0, i l est sous :

/usr/share/ssl/openssl.cnf

Modificat ions apport er :

Passer l a t ai ll e de la cl RSA par dfaut de 1024 2048, changer le defaul t - days une
val eur pl us grande ( 10 ans, soit 3650 j ours environ ! ) . Le fichier modi fi est prsent en
annexe.

Crer un rpert oire pour y l oger l a CA. On peut ut i li ser un rpert oire come / var/ sslca ou
/ usr/ share/ ssl / misc/ demoCA. Peu i mport e l e nom, i l suffi t qui l soit bi en spci fi dans l e fichier
openssl. cnf, et vrifi er que les permi ssions du rpert oi re soient bien possit i onnes 700, de
mani re ce que personne ne pui sse accder aux cl s pri ves part root .

Crat ion de l a CA :

Locali ser l e fichi er / usr/ share/ ssl/ misc/ CA ( ou CA. sh sui vant l es di st ri but i ons)

Le modifi er pour augment er l a dure de val idi t de l aut ori t de cert ifi cat :

Passage de DAYS= days 365 10000 par exempl e. Ce nombre doit dans t ous l es cas t re
supri eur l a dure de vali dit du cert ificat lui - mme, bi en ent endu, si non cela peut poser des
problmes l ors de la mise en place du cert ifi cat sur Wi ndows not amment .

Lancement de l a commande : /usr/share/ssl/misc/CA -newca

[root@portzic misc]# /usr/share/ssl/misc/CA -newca
CA certificate filename (or enter to create)

Making CA certificate ...
Using configuration from /usr/share/ssl/openssl.cnf
Generating a 2048 bit RSA private key gnration de la cl RSA sur 2048 bits
.................+++
....................+++
writing new private key to './demoCA/private/./cakey.pem'
Enter PEM pass phrase: ce mot de passe sera demand pour la cration de tout
certificat
Verifying password - Enter PEM pass phrase:
-----
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [GB]:FR code du pays
State or Province Name (full name) [Berkshire]:Provence rgion
Page 45
Locality Name (eg, city) [Newbury]:Toulon ville
Organization Name (eg, company) [My Company Ltd]:Universite Toulon-Var
entreprise
Organizational Unit Name (eg, section) []: Licence Pro Rso (= OU LDAP)
Common Name (eg, your name or your server's hostname) []:portzic hostname
Email Address []:f5sio@leradome.com adresse mail du contact
[root@portzic misc]#

Laut orit de cert ificat ion est alors cre. Le cert ificat est prsent dans
/usr/share/ssl/misc/demoCA/cacert.pem. La CA peut t re ut i li se pour gnrer des
cert ifi cat s. La cl prive de la CA est dans /usr/share/ssl/misc/demoCA/private/cakey.pem.
I l est i mport ant de bi en vrifier que ce rpert oire est prot g en l ect ure pour que seul root
puisse y accder.

Vrifi er l a prsence du rpert oire / et c/ i psec.d/ cacert s, et y copi er l e cert i fi cat CA :

cp /usr/share/ssl/misc/demoCA/cacert.pem /etc/ipsec.d/cacerts

13.1.2.3 Gnration du certificat du serveur VPN

I l faut t out dabord gnrer un cert i fi cat pour l a machi ne passerell e. Le pri nci pe sera le
mme pour t out cert i fi cat SSL cr pour une aut re machine.

[root@portzic misc]# /usr/share/ssl/misc/CA -newreq
Generating a 2048 bit RSA private key
...........+++
................................+++
writing new private key to newreq.pem
Enter PEM pass phrase: <FREESWAN_PASSWORD> mot de passe de chiffrement du
certificat
Verifying password - Enter PEM pass phrase:
-----
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter ., the field will be left blank.
-----
Country Name (2 letter code) [GB]:FR
State or Province Name (full name) [Berkshire]:Provence
Locality Name (eg, city) [Newbury]:Toulon
Organization Name (eg, company) [My Company Ltd]: Universite Toulon Var
Organizational Unit Name (eg, section) []: Licence Pro Reso
Common Name (eg, your name or your servers hostname) []: portzic
Email Address []:f5sio@leradome.com

Please enter the following extra attributes
to be sent with your certificate request
A challenge password []:
An optional company name []:
Request (and private key) is in newreq.pem

Une fois que le cert i ficat est gnr nous, aut orit de cert ificat ion, devons l e signer avec
not re cl pri ve :

[root@portzic misc]# /usr/share/ssl/misc/CA -sign
Page 46
Enter PEM pass phrase:
Check that the request matches the signature
Signature ok
The Subjects Distinguished Name is as follows
countryName :PRINTABLE:FR
stateOrProvinceName :PRINTABLE:Provence
localityName :PRINTABLE:Toulon
organizationName :PRINTABLE:My Company Ltd
commonName :PRINTABLE:vpn
emailAddress :IA5STRING:f5sio@leradome.com
Certificate is to be certified until Jan 6 22:40:34 2013 GMT (3650 days)
Sign the certificate? [y/n]:y

1 out of 1 certificate requests certified, commit? [y/n]y
Write out database with 1 new entries
Data Base Updated
Certificate:
Data:
Version: 3 (0x2)
Serial Number: 1 (0x1)
Signature Algorithm: md5WithRSAEncryption
Issuer: C=FR, ST=Provence, L=Toulon, O=My Company Ltd,
CN=portzic/Email=f5sio@leradome.com
Validity
Not Before: Jan 9 22:40:34 2003 GMT
Not After : Jan 6 22:40:34 2013 GMT
Subject: C=FR, ST=Provence, L=Toulon, O=My Company Ltd,
CN=vpn/Email=f5sio@leradome.com
Subject Public Key Info:
Public Key Algorithm: rsaEncryption
RSA Public Key: (2048 bit)
Modulus (2048 bit):
00:a7:1f:34:0c:14:b9:49:5f:dd:d2:5c:5e:cd:e3: (...)
(...) M0meQjU=
-----END CERTIFICATE-----
Signed certificate is in newcert.pem

Le cert i ficat a t ret ranscri t dans son i nt grali t en annexe, t i t re dt ude. Les fi chi ers
i ssus de cet t e cert i fi cat i on sappel lent newcert .pem et newreq.pem. I l s se t rouvent par dfaut
dans le rpert oi re spcifi dans le fi chier de confi gurat i on openssl.cnf.

On peut l es renommer de mani re plus expli ci t e.

[root@portzic misc]# mv newcert.pem /etc/ipsec.d/freeswan-cert.pem
[root@portzic misc]# mv newreq.pem /etc/ipsec.d/private/freeswan-priv.pem

Bien vri fi er que l es rpert oi res sous I PSec sont en 700.

On peut mai nt enant enlever le cert ificat de l a cl pour ne conserver que la cl RSA 2048 bi t s
gnre :

Pour cela, on enlve avec vi t out es les donnes prsent es part ir de l a li gne -----BEGIN
CERTIFICATE REQUEST-----, l igne y compri se. Le fi chi er dbut e alors par -----BEGIN RSA
PRIVATE KEY----- et se t ermine par -----END RSA PRIVATE KEY-----.

Afin de permet t re FreeS/ WAN la l ect ure du cert i fi cat X.509, ce dernier doi t t re en format
DER et pl ac dans le /etc/x509cert.der. Afi n de lexport er, on ut i li se la commande suivant e :

openssl x509 in /etc/ipsec.d/freeswan-cert.pem outform DER out
/etc/x509cert.der.
Page 47

13.1.2.4 Configuration de FreeS/WAN sur la passerelle

13.1.2.4.1 Ipsec.secrets

Le fichier / et c/ i psec.secret s doi t cont eni r l es l ignes sui vant es :

: RSA freeswan-priv.pem FREESWAN_PASSWORD

Le mot de passe ci - dessus est l e mot de passe ent r lors de la gnrat i on du cert ifi cat de la
passerell e.

13.1.2.4.2 Ipsec.conf

[root@portzic misc]# more /etc/ipsec.conf
# /etc/ipsec.conf - FreeS/WAN IPsec configuration file

# More elaborate and more varied sample configurations can be found
# in FreeS/WANs doc/examples file, and in the HTML documentation.

# basic configuration
config setup
# THIS SETTING MUST BE CORRECT or almost nothing will work;
# %defaultroute is okay for most simple cases.
interfaces=%defaultroute
# Debug-logging controls: "none" for (almost) none, "all" for lots.
klipsdebug=none
plutodebug=none
# Use auto= parameters in conn descriptions to control startup actions.
plutoload=%search
plutostart=%search
# Close down old connection when new one using same ID shows up.
uniqueids=yes

# defaults for subsequent connection descriptions
# (these defaults will soon go away)
conn %default
keyingtries=1
compress=yes
disablearrivalcheck=no
authby=rsasig
leftrsasigkey=%cert
rightrsasigkey=%cert

# connection description for opportunistic encryption
# (requires KEY record in your DNS reverse map; see doc/opportunism.howto)
conn roadwarrior-net
leftsubnet=192.168.0.0/255.255.255.0
also=roadwarrior

conn roadwarrior
right=%any
left=%defaultroute
leftcert=portzic.eg-localisation.com.pem
auto=add
pfs=yes

Cet t e configurat i on permet ni mport e qui possdant un cert i fi cat vali d cert ifi par not re
aut orit de cert ifi cat i on de se connect er l ht e. I l y a deux profi ls de connexion : un pour la
Page 48
connexi on direct e la passerel le, et un pour que le cli ent puisse se connect er derri re la
passerell e.

On peut vri fi er la confi gurat i on :

ipsec whack -status
ipsec auto --status

13.1.3 Configuration du client

I l exist e des cl i ent s pour GNU/ Li nux ( FreeS/ WAN l ui- mme) , pour Windows 2000, Windows
XP, .. .

13.1.3.1 Configuration du client Windows 2000/XP

13.1.3.1.1 Pr-requis

Pour Wi ndows 2000 :

- un PC sous Wi ndows 2000 Service Pack 2 mi nimum, correct ement configur avec
i nt erface rseau I P. Le Service Pack 2 peut t re t rouv l adresse
ht t p: / / www.mi crosoft .com/ wi ndows2000/ downl oads/ servi cepacks/ sp2.sp2l ang.asp .
- Wi ndows 2000 ipsecpol.exe versi on 1.22. Cet out il gre l a st rat gi e I PSec sous Wi ndows.
I l peut t re t rouv dans le Resource Ki t de Windows 2000 ou l adresse
ht t p: / / agent .mi crosoft .com/ wi ndows2000/ t echninfo/ reskit / t ools/ exist ing/ ipsecpol- o.asp .
- Lout il VPN pour Wi ndows 2000 : ht t p: / / vpn.eboot i s. de/ package.zi p .

Pour Wi ndows XP

- un PC sous Windows XP correct ement confi gur avec i nt erface rseau I P.
- Le programme i pseccmd.exe. I l est fourni avec les out i ls Support ( Support Tool s) de
Wi ndows XP, prsent s sur l e CD de Windows XP dans le rpert oi re \ SUPPORT\ TOOLS
( lancer set up.exe, puis slect ionner une i nst al lat i on complt e pour rcuprer l e fichier
i pseccmd) , ou sur I nt ernet :
ht t p: / / fec.emulat i onworld.com/ downl oads/ xp_support _t ool s.exe .
- Lout il VPN pour Wi ndows 2000 : ht t p: / / vpn. eboot i s. de/ package.zi p .

13.1.3.1.2 Cration du certificat RoadWarrior Certificate

I l faut crer un nouveau cert i fi cat pour l e cl ient et le signer avec la CA, comme nous lavons
vu au chapit re gnrat i on dun cert ificat , pui s l e renommer et le dplacer dans les rpert oi res
adquat s :

mv newreq.pem /etc/ipsec.d/private/client-priv.pem
mv newcert.pem /etc/ipsec.d/client-cert.pem

I l faut ensui t e crer la li st e de rvocat i on des cert ificat s ( Cert ifi cat e Revocat ion List , CRL) :

Tout dabord, vrifier que l e rpert oi re / et c/ ipsec.d/ crl s
Page 49
Crer l a li st e : openssl ca gencrl out /etc/ipsec.d/crls/crl.pem : cet t e commande
crer une li st e de rvocat i on avec la dat e de val idi t li st e dans openssl. cnf.

Si on veut rvoquer un cert i ficat , i l faut rent rer les commandes suivant es :

openssl ca revoke certificat.pem

Puis

openssl ca gencrl crldays xx out /etc/ipsec.d/crl/crl.pem

o xx est l e nombre de j ours.

Si on veut visuali ser l e cont enu de la CRL, ent rer l a commande :

openssl crl in /etc/ipsec.d/crls/crl.pem noout -text

Pour export er l e cert i fi cat vers Wi ndows, i l faut crer un export en format .p12, qui est
compri s de Wi ndows, mai s gal ement de I nt ernet Expl orer, Net scape, PGPNet .. .

Pour cel a :

[root@portzic misc]# openssl pkcs12 -export -in /etc :ipsec.d/client-cert.pem -
inkey /etc/ipsec.d/private/client-priv.pem -certfile
/usr/share/ssl/misc/demoCA/cacert.pem -out /home/client/client.p12
Enter PEM pass phrase:
Enter Export Password:
Verifying password - Enter Export Password:

Pour que cert aines versions de Wi ndows l isent correct ement l e cert i ficat , i l faut parfoi s
aj out er lopt ion de nom convi vi al : - name nom_convi vial . Cela na pas t ncessai re dans
not re cas.

I l faut gal ement not er la sort i e sui vant e, qui est demande lors de limport du cert i fi cat
sous Wi ndows :

[root@portzic misc]# openssl x509 -in /usr/share/ssl/misc/demoCA/cacert.pem -
noout -subject
subject= /C=FR/ST=Provence/L=Toulon/O=My Company
Ltd/CN=portzic/Email=f5sio@leradome.com

Le fichi er .r12 doit t re export vers un rpert oi re accessibl e au seul cli ent pui s copi sur la
machine Wi ndows de manire scuri se, soit par un scp si l est aut oris, soi t par disquet t e par
exempl e. Ne pas ut i l iser le ft p ou aut re prot ocol e non scurit pour le t ransfert du cert i fi cat !

Sur Windows, crer un rpert oi re C: \ I PSEC par exempl e.

Y t l charger ht t p: / / vpn.eboot i s.de/ package.zip et y recopi er l e fi chi er .r12 rcuprer l ors de
l t ape prcdent e.

13.1.3.1.3 Mise en place du certificat

Page 50
Crat ion dune MMC pour I PSec et les cert i fi cat s :

Dmarrer - > Excut er - > MMC

Dans la consol e MMC qui souvre, ouvri r l e menu Fi chi er - > Aj out er/ Supprimer un
composant l ogiciel enfi chable .

Vrifi er Composant s logi ci els enfi chables aj out s : Raci ne de l a console

Page 51
Cl iquer sur Aj out er

Choisir Cert ificat s


Modi fi er en cl i quant sur Le compt e de l ordi nat eur

Choi si r Lordinat eur l ocal puis cl iquer sur Terminer , pui s dans laut re fent re,
Termi ner .

Page 52

Cl i quer sur Ok .

Les cert ificat s ont t raj out s la MMC.

Fai re de mme pour I PSec :

Ouvrir le menu Fichier - > Aj out er/ Supprimer un composant l ogiciel enfi chabl e .

Page 53

Vrifi er Composant s logi ci els enfi chables aj out s : Raci ne de l a console


Page 54

Choisir Gest i on de la st rat gi e de scurit du prot ocole I P , cli quer sur Aj out er.

Choisir Ordi nat eur local pui s cli quer sur Termi ner , puis Fermer dans laut re
fent re.

Page 55

Cli quer sur Ok

La st rat gi e I PSec a t raj out e, on remarque la prsence de FreeS/ WAN dans un nom de
la part ie droi t e de l a fent re.

I l est t emps di mport er not re cert i fi cat :

Dans cert ificat , cli quer droi t sur Personnel pui s cli quer gauche sur Tout es l es t ches -
> I mport er

Page 56

Cli quer sur Sui vant .

Cli quer sur Parcouri r et poi nt er vers l e fichi er .r12 que l on a plac dans c: \ I PSEC\ .
Modifier pour cela Fichi ers de t ype afi n de choi si r l e bon fi lt re * . p12 ) . Sl ect i onner
not re cert i fi cat et cl iquer sur Ouvrir .

Cli quer sur Suivant
Page 57

Rent rer l e mot de passe qui a t rent r l ors de la crat ion du cert ificat pour le prot ger
( Export Password ) .

Cli quer sur Suivant

Modifi er pour choi si r : Slect ionner aut omat i quement le magasi n de cert i fi cat s sel on le
t ype de cert i fi cat , puis cl iquer sur Sui vant .

Page 58

Cl i quer sur Termi ner

Bravo !

Le cert ificat apparait correct ement dans l es cert ifi cat s personnel s.

Fermer l a MMC et lenregist rer dans C: \ I psec, afin de ne pas avoi r l a reconst rui re chaque
foi s.

Page 59
I nst al ler mai nt enant ipsecpol. exe ( Wi ndows 2000) ou i pseccmd.exe ( Windows XP) comme
dcri t dans la document at ion Wi ndows I PSec.
Edit er l e fi chier i psec.conf de C: \ I psec, et remplacer l e Ri ght CA par l a sort i e de la
commande openssl x509 -in /usr/share/ssl/misc/demoCA/cacert.pem -noout
subject :
subject= /C=FR/ST=Provence/L=Toulon/O=My Company

en rempl aant l es / par des vi rgul es, et changer l e nom de quel ques champs :

conn roadwarrior
left=%any
right=192.168.0.84
rightca=C=FR,S=Provence,L=Toulon,O=My Company
Ltd,CN=portzic,Email=f5sio@leradome.com
network=auto
auto=start

left=%any
right=192.168.0.84
rightsubnet=192.168.0.0/16
rightca= C=FR,S=Provence,L=Toulon,O=My Company
Ltd,CN=portzic,Email=f5sio@leradome.com
network=auto
auto=start
pfs=yes

I l rest e dmarrer le li en : dans l e rpert oi re c: \ I psec, l ancer i psec. exe :

Page 60

On peut al ors l ancer un pi ng 192.168.0.84

Page 61

Le t emps que l a ngoci at i on se met t e en place, et le ping fonct ionne al ors !

Pour arrt er l I PSEC : ipsec off.

Les essais ont t fai t s en pi ng, en ft p, et en change de fi chier aprs avoir mi s en pl ace un
pet i t serveur Samba sur GNU/ Li nux.

La mise en pl ace de I SAKMP peut t re visual i s dans le fichier de log / var/ log/ secure.

13.1.3.2 Analyse des trames

Cli ent - > Serveur

Frame 3 (258 bytes on wire, 258 bytes captured)
Arrival Time: Jan 10, 2003 01:12:23.041154000
Time delta from previous packet: 1.543543000 seconds
Time relative to first packet: 2.544020000 seconds
Frame Number: 3
Packet Length: 258 bytes
Capture Length: 258 bytes
Ethernet II, Src: 00:20:ed:48:cd:9d, Dst: 00:50:ba:23:31:e9
Destination: 00:50:ba:23:31:e9 (D-link_23:31:e9)
Source: 00:20:ed:48:cd:9d (GIGA-BYT_48:cd:9d)
Type: IP (0x0800)
Internet Protocol, Src Addr: 192.168.0.3 (192.168.0.3), Dst Addr: 192.168.0.84
(192.168.0.84)
Version: 4
Header length: 20 bytes
Differentiated Services Field: 0x00 (DSCP 0x00: Default; ECN: 0x00)
0000 00.. = Differentiated Services Codepoint: Default (0x00)
.... ..0. = ECN-Capable Transport (ECT): 0
.... ...0 = ECN-CE: 0
Total Length: 244
Identification: 0x2ebc
Flags: 0x00
.0.. = Dont fragment: Not set
..0. = More fragments: Not set
Fragment offset: 0
Page 62
Time to live: 128
Protocol: UDP (0x11)
Header checksum: 0x8995 (correct)
Source: 192.168.0.3 (192.168.0.3)
Destination: 192.168.0.84 (192.168.0.84)
User Datagram Protocol, Src Port: isakmp (500), Dst Port: isakmp (500)
Source port: isakmp (500)
Destination port: isakmp (500)
Length: 224
Checksum: 0x6adf (correct)
Responder cookie: 0x0000000000000000
Version: 1.0
Flags
.... ..0. = No commit
Length: 216
Next payload: Vendor ID (13)
Length: 164
Length: 152
Proposal number: 1
SPI size: 0
Length: 36
Transform number: 1
Length: 36
Transform number: 2
Length: 36
Transform number: 3
Page 63
Length: 36
Transform number: 4
Vendor ID payload
Length: 24
Vendor ID: unknown vendor ID: 0x1E2B516905991C7D7C96FCBFB587E461...

Ngociat i on de l a scurit

Arrival Time: Jan 10, 2003 01:12:23.041697000
Frame Number: 4
Ethernet II, Src: 00:50:ba:23:31:e9, Dst: 00:20:ed:48:cd:9d
Destination: 00:20:ed:48:cd:9d (GIGA-BYT_48:cd:9d)
Source: 00:50:ba:23:31:e9 (D-link_23:31:e9)
Type: IP (0x0800)
(192.168.0.3)
Version: 4
.... ...0 = ECN-CE: 0
Total Length: 112
Identification: 0x0000
Flags: 0x04
.1.. = Dont fragment: Set
Fragment offset: 0
Time to live: 64
Header checksum: 0xb8d5 (correct)
Source: 192.168.0.84 (192.168.0.84)
Destination: 192.168.0.3 (192.168.0.3)
Length: 92
Checksum: 0xdb17 (correct)
Responder cookie: 0x31CC6FE42DA7595E
Version: 1.0
Flags
.... ..0. = No commit
Length: 84
Length: 56
Page 64
Length: 44
Proposal number: 1
SPI size: 0
Length: 36
Transform number: 1

Arrival Time: Jan 10, 2003 01:12:23.084651000
Frame Number: 5
Type: IP (0x0800)
(192.168.0.84)
Version: 4
.... ...0 = ECN-CE: 0
Total Length: 212
Identification: 0x2ebd
Flags: 0x00
Fragment offset: 0
Time to live: 128
Header checksum: 0x89b4 (correct)
Source: 192.168.0.3 (192.168.0.3)
Destination: 192.168.0.84 (192.168.0.84)
Length: 192
Checksum: 0x78b8 (correct)
Next payload: Key Exchange (4)
Version: 1.0
Flags
.... ..0. = No commit
Length: 184
Key Exchange payload
Page 65
Next payload: Nonce (10)
Length: 132
Key Exchange Data
Nonce payload
Length: 24
Nonce Data

Demande du cert ificat X. 509

Prparat ion de lenvoi du cert i ficat par l e cl i ent

Arrival Time: Jan 10, 2003 01:12:23.091826000
Frame Number: 6
Type: IP (0x0800)
(192.168.0.3)
Version: 4
.... ...0 = ECN-CE: 0
Total Length: 216
Flags: 0x04
Fragment offset: 0
Time to live: 64
Header checksum: 0xb86d (correct)
Source: 192.168.0.84 (192.168.0.84)
Destination: 192.168.0.3 (192.168.0.3)
Length: 196
Checksum: 0x6394 (correct)
Next payload: Key Exchange (4)
Version: 1.0
Flags
.... ..0. = No commit
Length: 188
Key Exchange payload
Next payload: Nonce (10)
Length: 132
Key Exchange Data
Nonce payload
Next payload: Certificate Request (7)
Length: 20
Page 66
Nonce Data
Certificate Request payload
Length: 5
Certificate type: 4 - X.509 Certificate - Signature
Certificate Authority
Extra data: 000000

Envoi du cert i ficat par l e cl i ent ( crypt ESP)

Arrival Time: Jan 10, 2003 01:12:23.140951000
Frame Number: 7
Type: IP (0x0800)
(192.168.0.84)
Version: 4
.... ...0 = ECN-CE: 0
Total Length: 1500
Identification: 0x2ebe
Flags: 0x02
..1. = More fragments: Set
Fragment offset: 0
Time to live: 128
Header checksum: 0x64ab (correct)
Source: 192.168.0.3 (192.168.0.3)
Destination: 192.168.0.84 (192.168.0.84)
Length: 1740
Checksum: 0x992a
Next payload: Identification (5)
Version: 1.0
Flags
.... ...1 = Encryption
.... ..0. = No commit
Length: 1732
Encrypted payload (1704 bytes)

Arrival Time: Jan 10, 2003 01:12:23.140984000
Frame Number: 8
Page 67
Type: IP (0x0800)
(192.168.0.84)
Version: 4
.... ...0 = ECN-CE: 0
Total Length: 280
Identification: 0x2ebe
Flags: 0x00
Fragment offset: 1480
Time to live: 128
Header checksum: 0x88b6 (correct)
Source: 192.168.0.3 (192.168.0.3)
Destination: 192.168.0.84 (192.168.0.84)
Data (260 bytes)

0000 d0 18 53 0a 71 bb e3 00 27 a0 5e 1b f9 ba 0e 0f ..S.q....^.....
0010 4a bb 47 72 f5 d3 b3 34 c9 3d f7 bd 96 c7 a7 44 J.Gr...4.=.....D
0020 01 2a 29 01 8c af 84 76 ad 69 51 47 f4 70 85 3d .*)....v.iQG.p.=
0030 40 78 7b 11 7b 51 f6 ad 64 89 78 e4 52 95 02 28 @x{.{Q..d.x.R..(
0040 c9 de 96 dd da 7c a4 ef 5e ec 9e d3 cf e6 70 58 .....|..^.....pX
0050 c1 d1 bc 3e 6d ed a3 de e9 52 0a a6 38 92 11 2d ...>m....R..8..-
0060 d7 9f 07 0e b6 e8 82 a6 db 78 b5 7d 06 89 92 b9 .........x.}....
0070 67 6a 72 a9 5d d8 3f 4d 39 89 89 91 1a a5 6d 49 gjr.].?M9.....mI
0080 8f 1b ce 1d 87 a5 59 2f 12 08 53 6c e6 b8 9a 1f ......Y/..Sl....
0090 78 61 34 df d1 67 a2 a7 a6 5c df 89 3e e8 7e 9d xa4..g...\..>.~.
00a0 1f 84 7a 3f fa f2 e8 e2 17 54 4c 57 14 4f c8 a2 ..z?.....TLW.O..
00b0 c2 3f 22 3f f2 9c 55 60 e7 9b b6 76 6c e4 1a 1b .?"?..U...vl...
00c0 cf f2 1b ff 99 d0 8a 55 d9 42 5a a6 24 22 67 cd .......U.BZ.$"g.
00d0 ed cd 44 4c bb 60 92 39 6d 8b 77 60 17 ef cd 44 ..DL..9m.w...D
00e0 b5 ff 2a c2 ee e0 d7 ab d2 ac f1 89 66 19 97 9d ..*.........f...
00f0 72 81 a2 00 7a e4 cd 67 cb 5c 49 8e 91 0e 4c 89 r...z..g.\I...L.
0100 c5 5d 3b ea .];.

Soit l e serveur refuse le cert ificat :

Arrival Time: Jan 10, 2003 01:12:23.146998000
Frame Number: 9
Type: IP (0x0800)
(192.168.0.3)
Version: 4
.... ...0 = ECN-CE: 0
Total Length: 68
Flags: 0x04
Fragment offset: 0
Page 68
Time to live: 64
Header checksum: 0xb901 (correct)
Source: 192.168.0.84 (192.168.0.84)
Destination: 192.168.0.3 (192.168.0.3)
Length: 48
Checksum: 0xc0be (correct)
Next payload: Notification (11)
Version: 1.0
Exchange type: Informational (5)
Flags
.... ..0. = No commit
Length: 40
Notification payload
Length: 12
Domain of Interpretation: IPSEC (1)
SPI size: 0
Message type: INVALID-ID-INFORMATION (18)

Soit le serveur l accept e :

Exempl e dchange de donnes FTP :

Arrival Time: Jan 11, 2003 13:49:33.268508000
Frame Number: 6
Type: IP (0x0800)
(192.168.0.3)
Version: 4
.... ...0 = ECN-CE: 0
Total Length: 112
Identification: 0xa8a8
Flags: 0x00
Fragment offset: 0
Time to live: 64
Protocol: ESP (0x32)
Header checksum: 0x500c (correct)
Source: 192.168.0.84 (192.168.0.84)
Destination: 192.168.0.3 (192.168.0.3)
Encapsulating Security Payload
SPI: 0xb16cd0c4
Page 69
Sequence: 0x00000002
Data (84 bytes)

0000 7a 61 15 13 30 5f 96 d3 57 df 52 85 ef d9 ca 28 za..0_..W.R....(
0010 52 18 2e 11 14 f3 d7 ee 56 64 46 45 ac 88 6c 0c R.......VdFE..l.
0020 c7 37 4d d9 2e 51 c5 e6 a3 e8 68 d3 ec 40 95 cb .7M..Q....h..@..
0030 9e 0a 7d 81 b3 0e ae a0 c2 cb 56 39 36 ae f4 a6 ..}.......V96...
0040 a8 f7 9f f0 35 cd 1f 5e 69 e4 35 00 dc f3 8a 97 ....5..^i.5.....
0050 8c e0 da 72

13.1.3.3 Remarques

Afin de permet t re not re VPN de passer t ravers le fi rewall , i l faut aut ori ser le port
UDP/ 500 t ransit er, pl us l es prot ocol es 50 ( ESP) et 51 ( AH) .

rp_fil t er doi t t re posi t i onn 0 sur l es i nt erfaces ut il ises par FreeS/ WAN par l a commande
echo 0 > / proc/ sys/ net / ipv4/ conf/ et h0/ rp_fi l t er

Le VPN nest pas forcment synonyme de scurit , cest si mplement un moyen dy arri ver.
Lexempl e l e plus souvent fourni est cel ui du commerci al qui se connect e au si ge de son
ent reprise le soir vi a le VPN pour met t re j our des fi chi ers et dont l e port able est i nfect par
un vi rus. Le virus sera t ransmi s de manire scuri se lent reprise, mais l e rseau de cet t e
dernire sera ent i rement i nfect . De nombreuses aut res prcaut i ons doivent donc t re prises
et l e VPN ne peut se concevoi r sans une poli t ique de scuri t gl obal e.

I l est import ant de choisir ses cl s en respect de l a rgl ement at i on SSI en vigueur dans le
pays.

Lut il isat ion dI PSEC engendre une ut il isat ion pl us import ant e des rseaux et une charge du
processeur supplment aire, due prsence dent t e suppl ment ai res et l a ncessi t du
chi ffrement des paquet s. I l faut donc lut il iser aprs rfl exi on sur sa ncessit pour l e l ien
considr.

13.2 CONCLUSION

La mise en place dune solut i on scuri se de Rseau Pri v Virt uel sur I nt ernet est une t che
de grande ampleur, qui ncessi t e un apprent i ssage mi ni mum des not i ons dI PSEC, de PPTP, de
cert ifi cat i on, de SSL et de chiffrement t ype RSA.

FreeS/ WAN et I PSEC permet t ent l change aut omat ique des cl s vi a un canal dj scuris,
en ut i li sant l e prot ocol e I KE ( I nt ernet Key Exchange) . Pour not re part , nous avons prfr
ut i li ser l al gorit hme RSA qui est pl us sr et t rs ut i li s dans les cas de connexi ons di st ant es via
I nt ernet .

Quant au choix dun prot ocol e VPN part icul ier par rapport un aut re, I PSec nous a paru le
prot ocol e le pl us int ressant car il sera impl ment en nat i f dans I pv6. Sa connai ssance sera
donc alors indispensabl e, aut ant sy prparer t out de suit e !

Cependant , PPTP de Microsoft est t rs l argement ut il i s pour l es ut i li sat eurs nomades se
connect ant depui s chez eux au rseau de l eur ent reprise, not amment grace sa si mpl icit
dut il isat ion.
Page 70

14 TESTS EN POINT A POINT

14.1 TESTS INTRUSION

Capt ure de t rames
Page 71

15 ANNEXES

15.1 SOURCES

Exempl e de cert ifi cat ( cl publ ique RSA 2048 bit s) aprs signat ure par l a CA :

RSA Public Key: (2048 bit)
Modulus (2048 bit):
00:a7:1f:34:0c:14:b9:49:5f:dd:d2:5c:5e:cd:e3:
5b:e1:1b:79:62:4b:58:fa:b6:92:0a:61:a1:df:05:
bb:d5:65:b0:9a:8d:a4:dc:56:bd:c2:bd:98:7d:e4:
c2:d1:83:fd:59:c4:32:42:71:a7:f0:fd:bf:35:21:
fd:b0:3f:a2:8b:b1:85:b2:26:1e:4c:be:79:1f:89:
57:5b:b3:27:68:50:a6:52:90:b7:d3:b1:a1:03:78:
07:4a:2e:f8:ea:55:53:78:92:cd:82:10:bf:c9:4a:
46:ae:ae:bd:64:5a:28:58:69:b5:15:e7:02:f1:b7:
51:60:08:3c:67:96:88:be:f3:3e:9c:1a:c2:6a:68:
66:91:52:6e:f3:5f:5e:11:a5:71:27:f3:4a:5f:5e:
01:4a:4b:97:fa:4e:f5:66:23:4b:46:39:7c:6b:c8:
45:c7:fa:c3:ae:3b:f4:57:3d:b4:d2:73:a3:64:75:
f3:81:9b:35:04:cb:8d:0e:be:a0:a7:cf:cf:0c:02:
89:1b:64:6e:d7:aa:50:87:3f:dc:5d:0e:4c:c6:a3:
0d:aa:f5:c6:da:79:1b:6c:aa:f8:d0:0f:00:fc:78:
93:8b:53:54:b7:75:e4:2c:f9:e3:56:af:41:83:41:
20:b2:ab:24:cf:13:03:97:99:3d:30:6c:30:a0:26:
97:6f
Exponent: 65537 (0x10001)
X509v3 extensions:
X509v3 Basic Constraints:
CA:FALSE
Netscape Comment:
OpenSSL Generated Certificate
X509v3 Subject Key Identifier:
21:E6:EA:5C:7E:63:7B:CF:61:7B:AD:1E:84:AA:7C:AA:7B:8E:96:57
X509v3 Authority Key Identifier:

keyid:4E:23:DB:70:A4:41:9D:4C:B1:A8:D9:5C:3B:53:EA:DE:57:80:1A:AF
DirName:/C=FR/ST=Provence/L=Toulon/O=My Company
serial:00

Signature Algorithm: md5WithRSAEncryption
3c:38:4f:18:ae:37:0a:5d:8f:b3:e6:b6:d1:a2:8d:13:a0:97:
3b:b8:1e:12:bb:60:07:be:da:80:07:b5:14:e6:6f:35:e8:42:
e5:22:74:08:ab:e1:7f:55:d0:86:39:dd:23:2b:03:6a:82:74:
ae:f7:56:87:53:42:a9:2a:0d:de:a2:9a:80:2c:49:58:66:78:
a2:b5:50:f7:92:3b:be:f0:07:d2:18:25:f4:22:7e:37:58:f8:
6c:ec:82:ee:83:c9:0d:c5:c7:db:0b:e6:03:df:06:d6:f1:4f:
54:08:be:76:ca:ee:5d:4e:bb:6b:55:4b:9a:eb:66:7b:d4:b3:
d6:de:a1:c3:98:be:99:77:e6:77:78:b6:40:87:15:2e:07:4c:
fc:d9:83:9c:46:54:b0:80:d1:0d:d6:27:b3:cd:95:bf:08:c0:
44:d9:bf:28:33:0c:85:5e:1a:63:d7:82:e2:57:7c:53:92:09:
0e:b6:43:9b:fc:7c:45:2a:89:66:59:2d:82:ab:0a:59:f9:c4:
90:58:45:f0:9c:ca:db:e6:4e:99:a6:ce:8c:78:c3:7b:39:c8:
f3:e5:7c:e3:44:eb:0a:b9:4e:22:95:a6:24:33:c6:1f:28:af:
76:c6:1a:e6:bb:f8:77:fa:b2:6e:26:e1:74:b6:ea:dc:90:33:
49:9e:42:35
-----BEGIN CERTIFICATE-----
MIIEgTCCA2mgAwIBAgIBATANBgkqhkiG9w0BAQQFADB/MQswCQYDVQQGEwJGUjER
MA8GA1UECBMIUHJvdmVuY2UxDzANBgNVBAcTBlRvdWxvbjEXMBUGA1UEChMOTXkg
Q29tcGFueSBMdGQxEDAOBgNVBAMTB3BvcnR6aWMxITAfBgkqhkiG9w0BCQEWEmY1
Page 72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-----END CERTIFICATE-----

15.2 FICHIERS DE CONFIGURATION

Openssl.cnf :

#
# OpenSSL example configuration file.
# This is mostly being used for generation of certificate requests.
#

# This definition stops the following lines choking if HOME isnt
# defined.
HOME = .
RANDFILE = $ENV::HOME/.rnd

# Extra OBJECT IDENTIFIER info:
#oid_file = $ENV::HOME/.oid
oid_section = new_oids

# To use this configuration file with the "-extfile" option of the
# "openssl x509" utility, name here the section containing the
# X.509v3 extensions to use:
# extensions =
# (Alternatively, use a configuration file that has only
# X.509v3 extensions in its main [= default] section.)

[ new_oids ]

# We can add new OIDs in here for use by ca and req.
# Add a simple OID like this:
# testoid1=1.2.3.4
# Or use config file substitution like this:
# testoid2=${testoid1}.5.6

####################################################################
[ ca ]
default_ca = CA_default # The default ca section

####################################################################
[ CA_default ]

Page 73
dir = /usr/share/ssl/misc/demoCA # Where everything is
kept
certs = $dir/certs # Where the issued certs are kept
crl_dir = $dir/crl # Where the issued crl are kept
database = $dir/index.txt # database index file.
new_certs_dir = $dir/newcerts # default place for new certs.

certificate = $dir/cacert.pem # The CA certificate
serial = $dir/serial # The current serial number
crl = $dir/crl.pem # The current CRL
private_key = $dir/private/cakey.pem# The private key
RANDFILE = $dir/private/.rand # private random number file

x509_extensions = usr_cert # The extentions to add to the cert

# Extensions to add to a CRL. Note: Netscape communicator chokes on V2 CRLs
# so this is commented out by default to leave a V1 CRL.
# crl_extensions = crl_ext

default_days = 3650 # how long to certify for
default_crl_days= 30 # how long before next CRL
default_md = md5 # which md to use.
preserve = no # keep passed DN ordering

# A few difference way of specifying how similar the request should look
# For type CA, the listed attributes must be the same, and the optional
# and supplied fields are just that :-)
policy = policy_match

# For the CA policy
[ policy_match ]
countryName = match
stateOrProvinceName = match
organizationName = match
organizationalUnitName = optional
commonName = supplied
emailAddress = optional

# For the anything policy
# At this point in time, you must list all acceptable object
# types.
[ policy_anything ]
countryName = optional
stateOrProvinceName = optional
localityName = optional
organizationName = optional
organizationalUnitName = optional
commonName = supplied
emailAddress = optional

####################################################################
[ req ]
default_bits = 2048
default_keyfile = privkey.pem
distinguished_name = req_distinguished_name
attributes = req_attributes
x509_extensions = v3_ca # The extentions to add to the self signed cert

# Passwords for private keys if not present they will be prompted for
# input_password = secret
# output_password = secret

# This sets a mask for permitted string types. There are several options.
# default: PrintableString, T61String, BMPString.
# pkix : PrintableString, BMPString.
# utf8only: only UTF8Strings.
# nombstr : PrintableString, T61String (no BMPStrings or UTF8Strings).
# MASK:XXXX a literal mask value.
Page 74
# WARNING: current versions of Netscape crash on BMPStrings or UTF8Strings
# so use this option with caution!
string_mask = nombstr

# req_extensions = v3_req # The extensions to add to a certificate request

[ req_distinguished_name ]
countryName = Country Name (2 letter code)
countryName_default = GB
countryName_min = 2
countryName_max = 2

stateOrProvinceName = State or Province Name (full name)
stateOrProvinceName_default = Berkshire

localityName = Locality Name (eg, city)
localityName_default = Newbury

0.organizationName = Organization Name (eg, company)
0.organizationName_default = My Company Ltd

# we can do this but it is not needed normally :-)
#1.organizationName = Second Organization Name (eg, company)
#1.organizationName = Second Organization Name (eg, company)
#1.organizationName_default = World Wide Web Pty Ltd

organizationalUnitName = Organizational Unit Name (eg, section)
#organizationalUnitName_default =

commonName = Common Name (eg, your name or your server\s
hostname)
commonName_max = 64

emailAddress = Email Address
emailAddress_max = 40

# SET-ex3 = SET extension number 3

[ req_attributes ]
challengePassword = A challenge password
challengePassword_min = 4
challengePassword_max = 20

unstructuredName = An optional company name

[ usr_cert ]

# These extensions are added when ca signs a request.

# This goes against PKIX guidelines but some CAs do it and some software
# requires this to avoid interpreting an end user certificate as a CA.

basicConstraints=CA:FALSE

# Here are some examples of the usage of nsCertType. If it is omitted
# the certificate can be used for anything *except* object signing.

# This is OK for an SSL server.
# nsCertType = server

# For an object signing certificate this would be used.
# nsCertType = objsign

# For normal client use this is typical
# nsCertType = client, email

# and for everything including object signing:

Page 75
# nsCertType = client, email, objsign

# This is typical in keyUsage for a client certificate.
# keyUsage = nonRepudiation, digitalSignature, keyEncipherment

# This will be displayed in Netscapes comment listbox.
nsComment = "OpenSSL Generated Certificate"

# PKIX recommendations harmless if included in all certificates.
subjectKeyIdentifier=hash
authorityKeyIdentifier=keyid,issuer:always

# This stuff is for subjectAltName and issuerAltname.
# Import the email address.
# subjectAltName=email:copy

# Copy subject details
# issuerAltName=issuer:copy

#nsCaRevocationUrl = http://www.domain.dom/ca-crl.pem
#nsBaseUrl
#nsRevocationUrl
#nsRenewalUrl
#nsCaPolicyUrl
#nsSslServerName

[ v3_req ]

# Extensions to add to a certificate request

basicConstraints = CA:FALSE
keyUsage = nonRepudiation, digitalSignature, keyEncipherment

[ v3_ca ]

# Extensions for a typical CA

# PKIX recommendation.

subjectKeyIdentifier=hash
authorityKeyIdentifier=keyid:always,issuer:always

# This is what PKIX recommends but some broken software chokes on critical
# extensions.
#basicConstraints = critical,CA:true
# So we do this instead.
basicConstraints = CA:true

# Key usage: this is typical for a CA certificate. However since it will
# prevent it being used as an test self-signed certificate it is best
# left out by default.
# keyUsage = cRLSign, keyCertSign

# Some might want this also
# nsCertType = sslCA, emailCA

# Include email address in subject alt name: another PKIX recommendation
# subjectAltName=email:copy
# Copy issuer details

# DER hex encoding of an extension: beware experts only!
# obj=DER:02:03
# Where obj is a standard or added object
# You can even override a supported extension:
# basicConstraints= critical, DER:30:03:01:01:FF
Page 76

[ crl_ext ]

# CRL extensions.
# Only issuerAltName and authorityKeyIdentifier make any sense in a CRL.

authorityKeyIdentifier=keyid:always,issuer:always

[ engine ]
default = openssl
# rsa = openssl
# dsa = openssl
# dh = openssl
# rand = openssl
# bn_mod_exp = openssl
# bn_mod_exp_crt = openssl

15.3 REFERENCES

[ 1] ht t p: / / www.freeswan.org
[ 2] ht t p: / / www.freeswan.ca
[ 3] ht t p: / / www.nat ecarl son.com/ l inux/ ipsec- x509. php dcri t l impl ment at ion FreeS/ WAN
X.509 et l i nst al lat i on dun cli ent sous Wi ndows.
[ 4] I PSec : I P Securit y Prot ocol , Li nux Magazine, Sept embre 2001
[ 5] ht t p: / / www.gui ll .net / index.php3?cat = 4&sec= 13
[ 6] ht t p: / / www.evolvedat acom.nl/ freeswan- 3.ht ml
Page 77

16 CONCLUSION

La mise en pl ace de ces deux sol ut ions de scuri sat i on dun rseau I P nous ont permis :

- de comprendre t out e la complexi t et l a richesse de l admi nist rat ion de rseaux I P dans
l aquel le la scuri t prend une import ance de pl us en pl us considrabl e,
- de comprendre les prot ocoles et l es mt hodes de scuri sat i on l es pl us ut i li ses dans le
domai ne professionnel , savoir i pt ables et I PSec FreeS/ WAN,
- de met t re en avant l ut i li sat i on di nfrast ruct ures PKI base de cert i fi cat s X.509 dont la
mi se en pl ace au sei n dent repri ses ne cesse de crot re,
- dut i l iser Linux, qui rest e lOS le pl us adapt l a mise en place de ces i mplment at i ons
scurit ai res,
- de comprendre t out e l i mport ance et l act uali t des pare- feux et des VPN dans le
domai ne professionnel ,
- de l ire revues, t hses, proj et s, et de vi sit er des dizaines de si t es rel at ifs au suj et et bien
souvent de met t re profi t nos cours danglai s ; - )
- davoir une vue densembl e sur les aspect s l gislat i fs en mat i re de chi ffrement et de
reponsabi li t pnale des pi rat es i nformat i ques,
- enfi n au point de vue humai n dchanger des heures de discussions et dexpli cat i ons
passionnes, des j ours de t ravai l personnel en dehors du campus, et au fi nal la
sat i sfact i on de ne pas t re t omb dans la faci li t dune sol ut ion t out e fai t e, mai s davoir
l abor et compris ( enfin, on espre) aut ant de prot ocol es et di mplment at i ons
l ogi ci el les compl exes mais combien recherches.
Page 78
17 REMERCIEMENTS

Nous t enons remerci er :

- M. Bal mat , Mat re de Confrences l Uni versi t de Toulon Var et responsable
pdagogique de l a Li cence professi onnell e rseaux, communi cat i ons et i ngni eri e des
syst mes, pour sa prsence lors de la sout enance,
- M. Barbagelat a, t ut eur du proj et , pour son sui vi rgul ier de la progressi on du proj et ,
pour ses i des et ses remarques qui nous ont ai d parfai re sa mise en pl ace,
- M. Perrenot pour ses cours de scurit informat i que la facult et les Travaux Prat i ques
combien i nt ressant s au Cent re dI nst ruct ion Naval de Sai nt - Mandri er,
- Les l ves de la Licence pour l eurs remarques const ruct i ves, l eur i nt rt pour le proj et et
l eur bonne humeur,
- Nos poux, pouses et conj oint s respect ifs pour leur comprhensi on dune cert aine
soupl esse dans nos horaires t ardifs,
- La soci t EG Local isat ion qui nous a permi s de vali der li nst al lat i on sur un sit e
professi onnel avec accs permanent I nt ernet .

Firewall VPN

Hochgeladen von

Dokumentinformationen

Copyright

Verfügbare Formate

Dieses Dokument teilen

Dokument teilen oder einbetten

Freigabeoptionen

Stufen Sie dieses Dokument als nützlich ein?

Sind diese Inhalte unangemessen?

Copyright:

Verfügbare Formate

Firewall VPN

Hochgeladen von

Copyright:

Verfügbare Formate

Licence Professionnelle Rseaux, Communications et Ingnierie des Services - Projet Firewall VPN - 2003

Das könnte Ihnen auch gefallen