Universitibntofail

L.PRseauxetTelecommunication

MiniProjetenRseaux Informatique.

SousTheme:CONFIGURATIOND'UNVPN ENIPSECSOUSLUNIX.

RaliserPar: YassineTAZOUTI KhalidELHADIRI

Encadrpar: Mr:Elkouch

ANNEEUNIVERSITAIRE:2011/2012

sommaire 1 Introduction.................................................................................................................................5 2Principedefonctionnement...................................................................................................5 2.1Principe gnral...........................................................................................................................5 2.1Tunnel(rseau informatique).....................................................................................................5Exemplesde tunnels........................................................................................................................6 2.2FonctionnalitsdesVpn..........................................................................................................6 2.2.1Le Vpnd'accs...................................................................................................................62.2.2 L'intranetVpn........................................................................................................................7 2.2.3L'extranet Vpn.........................................................................................................................8 2.2.4Bilandescaractristiquesfondamentalesd'un Vpn................................................................8 3ProtocolesutilisspourraliseruneconnexionVpn...................................................9 3.1RappelssurPpp.........................................................................................................9 3.1.1 Gnralits...............................................................................................................................9 3.1.2Formatd'unetramePpp........................................................................................................ 10 3.1.3Lesdiffrentesphasesd'uneconnexionPpp......................................................................... 103.2Leprotocole Pptp..................................................................................................................1 3.3Leprotocole L2tp......................................................................................................................12 3.3.1Concentrateursd'accsL2tp(Lac:L2tpAccessConcentrator)............................................. 1 3.3.2ServeurrseauL2tp(Lns:L2tpNetwork Server)...................................................................1

3.4LeprotocoleIpsec.................................................................................................................... 13 3.4.1Vue d'ensemble......................................................................................................................13 3.4.2Principedefonctionnement................................................................................................... 14 3.4.3LeprotocoleAh(Authentication Header)............................................................................16 3.4.4 ProtocoleEsp(EncapsulatingSecurity Payload)..................................................................16 3.4.5 LagestiondesclefspourIpsec:Isakmp elIke....................................................................17

VPNo

PartieI:PrsentationdeProjetetdesprotocoleUtilise:

1Introduction Lesapplicationsetlessystmesdistribusfontdeplusenpluspartieintgrantedupaysaged'un grand nombre d'entreprises. Ces technologies ont pu se dvelopper grce aux performances toujours plus importantes des rseaux locaux. Mais le succs de ces applications a fait aussi

apparatreundeleurcueil.Eneffetsilesapplicationsdistribuesdeviennentleprincipaloutil du systme d'information de l'entreprise, comment assurer leur accs scuris au sein de structuresparfoisrpartiessurdegrandesdistancesgographiques?Concrtementcommentune succursaled'uneentreprisepeutelleaccderauxdonnessituessurunserveurdelamaison mredistantdeplusieursmilliersdekilomtres?LesVpnontcommenctremisenplacepour rpondreCetypedeproblmatique.Maisd'autresproblmatiquessontapparuesetlesVpnont aujourd'huiprisuneplaceimportantedanslesrseauxinformatiqueetl'informatiquedistribues. NousverronsiciquellessontlesprincipalescaractristiquesdesVpntraversuncertainnombre d'utilisationtype.Nousnousintresseronsensuiteauxprotocolespermettantleurmiseenplace. 1. IntroductionauxRseauxPrivsVirtuels L'objectif d'un VPN est simple. Il s'agit de scuriser des changes de donnes en utilisant commesupport un rseau non scuris comme par exemple le rseau Internet. Un VPN est galementunboncandidatpourlascurisationdefluxinformatiquestraversunrseauWIFI. Lesconceptssousjaccents: Unrseauinformatique:c'estunensembledetechnologiesmatriellesetlogiciellespermettant de fairecirculerdesflux informatiquessur unsupport:cbles,fibresoptiques, ondes radio, courantporteur,etcPardfaut,lesfluxdedonnesnesontpasscuriss.Danslecasd'unrseau local,onaccepteengnralquelesdonnescirculentenclaircarlesutilisateursfont partiedel'entreprise.Laconfianceestdoncdemise. Unrseauscuris(oupriv):lesdonnescirculantsurcetypederseausontcryptes.De cette faon, des personnes mal intentionnes pourront toujours couter les donnes qui ransitentmaisnepourrontpasenconnatrelecontenu. Unrseauvirtuel:unrseauvirtuelestunrseauquin'existepasphysiquement.Cerseau utilisedoncpourfairetransitercesdonneslesupportderseauxphysiquesexistants.Unrseau privvirtuelestdoncl'associationdecestroisconcepts.Unefoisenplace,iloffrelapossibilit d'utiliserunrseaupublicnonscurispourcrerunrseaupriv(donnescryptes)etyfaire circulerdesdonnes.UnVPNpermetdepasserparuneconnexionInternetdetypeADSLpour accderunrseauinternedemaniretransparente.Unfoisconnect,lepostenomadepeutse servirdesressources(espacesdisques,imprimantes,etc)fourniesparcerseau.

2Principedefonctionnement 2.1 Principegnral UnrseauVpnreposesurunprotocoleappel"protocoledetunneling".Ceprotocolepermetde fairecirculerlesinformationsdel'entreprisedefaoncrypted'unboutl'autredutunnel.Ainsi, lesutilisateursontl'impressiondeseconnecterdirectementsurlerseaudeleurentreprise. Leprincipedetunnelingconsisteconstruireuncheminvirtuelaprsavoiridentifil'metteuret ledestinataire.Parlasuite,lasourcechiffrelesdonnesetlesachemine enempruntantCecheminvirtuel.Afind'assurerunaccsaisetpeucoteuxauxintranetsou auxextranetsd'entreprise,lesrseauxprivsvirtuelsd'accssimulentunrseaupriv,alorsqu'ils utilisent en ralit une infrastructure d'accs partage,comme Internet. Les donnes transmettre peuvent tre prises en charge par un protocole diffrent d'Ip. Dans Ce cas, le

protocoledetunnelingencapsulelesdonnesenajoutantuneentte.Letunnelingestl'ensemble desprocessusd'encapsulation,detransmissionetdedsencapsulation. Tunnel(rseauinformatique) Untunnel,danslecontextederseauxinformatiques,estuneencapsulationdedonnesd'un protocolerseaudansunautre,situdanslammecouchedumodleencouches,oudansune couchedeniveausuprieur.Parexemple,pourfairepasserleprotocoleIPv6dansl'Internetactuel (quiestpresqueentirementenIPv4)onvacreruntunnelentredeuxmachinesIPv4;cetunnel, pourleprotocoleIPv6,sembleraunsimplelienpointpoint(unlogicielcommetraceroutene verradoncpasletunnel). Enscurit,oncresouventdestunnelschiffrs,parexempleavecSSH.Lesdonnespeuvent alorsycirculersanscraindred'trecoutes.Lestunnelspeuventtreutilisspourcrerdes rseauxprivsvirtuels(VPN). Exemplesdetunnels L2TP GRE 6to4 IPsec FonctionnalitsdesVpn Il existe 3 types standards d'utilisation des Vpn. En tudiant ces schmas d'utilisation, il est possibled'isolerlesfonctionnalitsindispensablesdesVpn. LeVpnd'accs LeVpnd'accsestutilispourpermettredesutilisateursitinrantsd'accderaurseaupriv. L'utilisateursesertd'uneconnexionInternetpourtablirlaconnexionVpn.Ilexistedeuxcas: L'utilisateurdemandeaufournisseurd'accsdeluitabliruneconnexioncrypteversleserveur distant:ilcommuniqueavecleNas(NetworkAccessServer)dufournisseurd'accsetc'estleNas qui tablit la connexion crypte. L'utilisateur possde son propre logiciel client pour le Vpn auquel cas il tablit directement la communication de manire crypte vers le rseau de l'entreprise.Lesdeuxmthodespossdentchacuneleursavantagesetleursinconvnients:La premirepermetl'utilisateurdecommuniquersurplusieursrseauxencrantplusieurstunnels, maisncessiteunfournisseurd'accsproposantunNascompatibleaveclasolutionVpnchoisie parl'entreprise.Deplus,lademandedeconnexionparleNasn'estpascrypteCequipeutposer desproblmesdescurit. Sur la deuxime mthode Ce problme disparat puisque l'intgralit des informations sera cryptedsl'tablissementdelaconnexion.Parcontre,cettesolutionncessitequechaqueclient transporteavecluilelogiciel,luipermettantd'tablirunecommunicationcrypte.Nousverrons que pour pallier Ce problme certaines entreprises mettent en place des Vpn base de Ssl, technologieimplmentedanslamajoritdesnavigateursInternetdumarch. Quellequesoitlamthodedeconnexionchoisie,Cetyped'utilisationmontrebienl'importance dansleVpnd'avoiruneauthentificationfortedesutilisateurs.Cetteauthentificationpeutsefaire parunevrification"login/motdepasse",parunalgorithmedit"Tokensscuriss"(utilisationde motsdepassealatoires)ouparcertificatsnumriques.

L'intranetVpn L'intranetVpnestutilispourrelieraumoinsdeuxintranetsentreeux.Cetypederseauest particulirement utile au sein d'une entreprise possdant plusieurs sites distants. Le plus importantdansCetypederseauestdegarantirlascuritetl'intgritdesdonnes.Certaines donnestrssensiblespeuventtreamenestransitersurleVpn(basededonnesclients, informationsfinancires...).Destechniquesdecryptographiesontmisesenoeuvrepourvrifier que les donnesn'ontpastaltres.Ils'agitd'une authentificationauniveaupaquetpour assurerlavaliditdesdonnes,del'identificationdeleursourceainsiqueleurnonrpudiation. Laplupartdesalgorithmesutilissfontappeldessignaturesnumriquesquisontajoutesaux paquets. La confidentialit des donnes est, elle aussi, base sur des algorithmes de cryptographie. La technologie en la matire est suffisamment avance pour permettre une scuritquasiparfaite.Lecotmatrieldesquipementsdecryptageetdcryptageainsiqueles limites lgales interdisent l'utilisation d'un codage " infaillible ". Gnralement pour la confidentialit, le codage en luimme pourra tre moyen faible, mais sera combin avec d'autrestechniquescommel'encapsulationIpdansIppourassurerunescuritraisonnable L'extranetVpn UneentreprisepeututiliserleVpnpourcommuniqueravecsesclientsetsespartenaires.Elle ouvrealorssonrseaulocalcesderniers.DansCecadre,ilestfondamentalquel'administrateur duVpnpuissetracerlesclientssurlerseauetgrerlesdroitsdechacunsurceluici. 2.2.4Bilandescaractristiquesfondamentalesd'unVpnUnsystmedeVpndoitpouvoirmettre en uvre les fonctionnalits suivantes : Authentification d'utilisateur. Seuls les utilisateurs autorissdoiventpouvoirs'identifiersurlerseauvirtuel.Deplus,unhistoriquedesconnexions etdesactionseffectuessurlerseaudoittreconserv.Gestiond'adresses.Chaqueclientsurle rseaudoitavoiruneadresseprive.Cetteadresseprivedoitresterconfidentielle.Unnouveau client doit pourvoir se connecter facilement au rseau et recevoir une adresse. Cryptage des donnes.Lorsdeleurstransportssurlerseaupubliclesdonnesdoiventtreprotgesparun cryptageefficace.Gestiondecls.Lesclsdecryptagepourleclientetleserveurdoiventpouvoir tregnresetrgnres.Priseenchargemultiprotocole.LasolutionVpndoitsupporterles protocoleslesplusutilisssurlesrseauxpublicsenparticulierIP .LeVpnestunprincipe:ilne dcrit pas l'implmentation effective de ces caractristiques. C'est pourquoi il existe plusieurs produits diffrents sur le march dont certains sont devenus standard, et mme considrs commedesnormes. 3ProtocolesutilisspourraliseruneconnexionVpn: Nouspouvonsclasserlesprotocolesquenousallonstudierendeuxcatgories:Lesprotocolesde niveau2commePptpetL2tp.Lesprotocolesdeniveau3commeIPsecouMpls.Ilexisteen ralittroisprotocolesdeniveau2permettantderaliserdesVpn:Pptp(deMicrosoft),L2F (dveloppparCISCO)etenfinL2tp.Nousn'voqueronsdanscettetudequePptpetL2tp:le protocoleL2Fayantaujourd'huiquasimentdisparut.LeprotocolePptpauraitsansdouteluiaussi disparut sans le soutien de Microsoft qui continue l'intgrer ses systmes d'exploitation Windows.L2tpestunevolutiondePptpetdeL2F,reprenantlesavantagesdesdeuxprotocoles. Les protocolesdecouche2dpendentdesfonctionnalitsspcifiespourPpp(PointtoPoint Protocol),c'estpourquoinousallonstoutd'abordrappelerlefonctionnementdeCeprotocole.

RappelssurPpp Ppp(PointtoPointProtocol)estunprotocolequipermetdetransfrerdesdonnessurunlien synchroneouasynchrone.Ilestfullduplexetgarantitl'ordred'arrivedespaquets.Ilencapsule lespaquetsIp,IpxetNetbeuidansdestramesPpp,puistransmetcespaquetsencapsulsau travers de la liaison point point. Ppp est employ gnralement entre un client d'accs distanceetunserveurd'accsrseau(Nas).LeprotocolePppestdfinidanslaRfc1661appuy delaRfc2153. Gnralits Ppp est l'un des deux protocoles issus de la standardisation des communications sur liaisons sries(Sliptantledeuxime).Ilpermetnonseulementl'encapsulationdedatagrammes,mais galementlarsolutiondecertainsproblmeslisauxprotocolesrseauxcommel'assignationet lagestiondesadresses(Ip,X25etautres). UneconnexionPppestcomposeprincipalementdetroisparties:Unemthodepourencapsuler les datagrammes sur la liaison srie. Ppp utilise le format de trame Hdlc (Hight Data Level Control) de l'ISO (International Standardisation Organisation). Un protocole de contrle de liaison(LcpLinkControlProtocol)pourtablir,configurerettesterlaconnexiondeliaisonde donnes.Plusieursprotocolesdecontrlederseaux(NcpsNetworkControlProtocol)pour tabliretconfigurerlesdiffrentsprotocolesdecoucherseau. Formatd'unetramePpp FanionSparateurdetramegalelavaleur01111110.Unseuldrapeauestncessaireentre2 trames.AdressePppnepermetpasunadressageindividueldesstationsdoncCechampdoit tre 0xFF(toutesles stations).Toute adresse nonreconnue entranerala destruction de la trame.Contrle Lechampcontrledoittre0x03 ProtocoleLavaleurcontenuedansCechampdoittreimpaire(l'octetdepoidsforttantpair). Ce champ identifie le protocole encapsul dans le champ informations de la trame. Les diffrentes valeursutilisablessontdfiniesdansla Rfc assignnumber etreprsententles diffrentsprotocolessupportsparPpp(OSI,IP ,DecnetIV ,Ipx...),lesNcpassocisainsiqueles Lcp. DonnesDelongueurcompriseentre0et1500octets,Cechampcontientledatagrammedu protocolesuprieurindiqudanslechamp"protocole".Salongueurestdtecteparledrapeau defindetrame,moinsdeuxoctetsdecontrle. Fcs(FrameCheckSequence)Cechampcontientlavaleurduchecksumdelatrame.Pppvrifie lecontenuduFcslorsqu'ilreoitunpaquet.Lecontrled'erreurappliquparPppestconforme X25. Lesdiffrentesphasesd'uneconnexionPpp Toute connexion Ppp commence et finit par une phase dite de "liaison morte". Ds qu'un vnement externeindiquequelacouchephysiqueestprte,laconnexionpasselaphase

suivante, savoir l'tablissement de la liaison. Comme Ppp doit tre support par un grand nombred'environnements,unprotocolespcifiqueatlaboretintgrPpppourtoutela phasedeconnexion;ils'agitdeLcp(LinkControlProtocol).Lcpestunprotocoleutilispour tablir, configurer, tester, et terminer la connexion Ppp. Il permet de manipuler des tailles variables de paquets et effectue un certain nombre de tests sur la configuration. Il permet notammentdedtecterunlienbouclsurluimme.LaconnexionPpppasseensuiteunephase d'authentification.Cettetapeestfacultativeetdoittrespcifielorsdelaphaseprcdente.Si l'authentification russie ou qu'elle n'a pas t demande, la connexion passe en phase de "Protocolerseau".C'estlorsdecettetapequelesdiffrentsprotocolesrseauxsontconfigurs. Cetteconfigurations'effectuesparmentpourchaqueprotocolerseau.Elleestassureparle protocoledecontrlederseau(Ncp)appropri.ACemoment,letransfertdesdonnes est possible.LesNPCpeuventtoutmomentouvriroufermeruneconnexion.Ppppeutterminerune liaisontoutmoment,parcequ'uneauthentificationachoue,quelaqualitdelaligneest mauvaiseoupourtouteautreraison.C'estleLcpquiassurelafermeturedelaliaisonl'aidede paquetsdeterminaison.LesNcpsontalorsinformsparPppdelafermeturedelaliaison. LeprotocolePptp Pptp,dfinitparlaRfc2637,estunprotocolequiutiliseuneconnexionPpptraversunrseau Ipencrantunrseauprivvirtuel(Vpn).Microsoftaimplmentsespropresalgorithmesafin del'intgrerdanssesversionsdewindows.Ainsi,Pptpestunesolutiontrsemployedansles produits Vpn commerciaux cause de son intgration au sein des systmes d'exploitation Windows.Pptpestunprotocoledeniveau2quipermetl'encryptagedesdonnesainsiqueleur compression. L'authentificationse fait grce auprotocole MsChap de Microsoftqui,aprs la cryptanalysedesaversion1,arvlpubliquementdesfaillesimportantes.Microsoftacorrig cesdfaillancesetproposeaujourd'huiuneversion2deMsChapplussre.Lapartiechiffrement desdonness'effectuegrceauprotocoleMppe(MicrosoftPointtoPointEncryption). LeprincipeduprotocolePptpestdecrerdespaquetssousleprotocolePppetdelesencapsuler dansdesdatagrammesIP . Pptp cre ainsi un tunnel de niveau 3 dfini par le protocole Gre (Generic Routing Encapsulation).LetunnelPptpsecaractriseparuneinitialisationduclient,uneconnexionde contrleentreleclientetleserveurainsiqueparlaclturedutunnelparleserveur.Lorsde l'tablissementdelaconnexion,leclienteffectued'aborduneconnexionavecsonfournisseur d'accsInternet.CettepremireconnexiontablieuneconnexiondetypePppetpermetdefaire circulerdesdonnessurInternet.Parlasuite,unedeuximeconnexiondialupesttablie.Elle permetd'encapsulerlespaquetsPppdansdesdatagrammesIP .C'estcettedeuximeconnexion quiformeletunnelPptp.TouttraficclientconupourInternetempruntelaconnexionphysique normale,alorsqueletraficconupourlerseauprivdistant,passeparlaconnexionvirtuellede Pptp.PlusieursprotocolespeuventtreassocisPptpafindescuriserlesdonnesoudeles compresser. On retrouve videment les protocoles dvelopps par Microsoft et cits prcdemment.Ainsi,pourleprocessusd'identification,ilestpossibled'utiliserlesprotocolesPap (PasswordAuthentificationProtocol)ouMsChap.Pourl'encryptagedesdonnes,ilestpossible d'utiliserlesfonctionsdeMppe(MicrosoftPointtoPointEncryption).Enfin,unecompressionde boutenboutpeuttre ralise par Mppc (MicrosoftPointto PointCompression).Cesdivers protocoles permettent de raliser une connexion Vpn complte, mais les protocoles suivants permettentunniveaudeperformanceetdefiabilitbienmeilleur. LeprotocoleL2tp L2tp, dfinit par la Rfc 2661, est issu de la convergence des protocoles Pptp et L2F. Il est

actuellement dvelopp et valu conjointement par Cisco Systems, Microsoft, Ascend, 3Com ainsiqued'autresacteursclsdumarchdesrseaux.Ilpermetl'encapsulationdespaquetsPpp auniveaudescouches2(FrameRelayetAtm)et3(Ip).Lorsqu'ilestconfigurpourtransporter lesdonnessurIP ,L2tppeuttreutilispourfairedutunnellingsurInternet.L2tpreposesur deuxconcepts:lesconcentrateursd'accsL2tp(Lac:L2tpAccessConcentrator)etlesserveurs rseauL2tp(Lns:L2tpNetworkServer).L2tpn'intgrepasdirectementdeprotocolepourle chiffrementdesdonnes.C'estpourquoiL'IETFprconisel'utilisationconjointed'IpsecetL2tp. Concentrateursd'accsL2tp(Lac:L2tpAccessConcentrator) LespriphriquesLacfournissentunsupportphysiqueauxconnexionsL2tp.Letrafictantalors transfrsurlesserveursrseauL2tp.Cesserveurspeuvents'intgrerlastructured'unrseau commutRtcoualorsunsystmed'extrmitPppprenantenchargeleprotocoleL2tp.Ils assurentlefractionnementencanauxdetouslesprotocolesbasssurPpp.LeLacestl'metteur desappelsentrantsetledestinatairedesappelssortants. ServeurrseauL2tp(Lns:L2tpNetworkServer) LesserveursrseauL2tpouLnspeuventfonctionnersurtouteplateformeprenantenchargela terminaisonPpp.LeLnsgreleprotocoleL2tpctserveur.LeprotocoleL2tpn'utilisequ'unseul support,surlequelarriventlescanauxL2tp.C'estpourquoi,lesserveursrseauLns,nepeuvent avoirqu'uneseuleinterfacederseaulocal(Lan)outendu(Wan).Ilssontcependantcapables determinerlesappelsenprovenanceden'importequelleinterfacePppduconcentrateurd'accs Lac:async.,Rnis,PppsurAtmouPppsurrelaisdetrame.LeLnsestl'metteurdesappels sortants et le destinataire des appels entrants. C'est le Lns qui sera responsable de l'authentificationdutunnel. LeprotocoleIpsec Ipsec,dfinitpar laRfc 2401,est unprotocole qui vise scuriserl'change de donnes au niveaudelacoucherseau.LerseauIpv4tantlargementdployetlamigrationversIpv6 tantinvitable,maisnanmoinslongue,ilestapparuintressantdedvelopperdestechniques deprotectiondesdonnescommunesIpv4etIpv6.Cesmcanismessontcourammentdsigns parletermeIpsecpourIpSecurityProtocols.Ipsecestbassurdeuxmcanismes.Lepremier, AH,pourAuthentificationHeaderviseassurerl'intgritetl'authenticitdesdatagrammesIP .Il ne fournit par contre aucune confidentialit : les donnes fournies et transmises par Ce "protocole"nesontpasencodes.Lesecond,Esp,pourEncapsulatingSecurityPayloadpeutaussi permettre l'authentification des donnes mais est principalement utilis pour le cryptage des informations.Bienqu'indpendantsces deuxmcanismessontpresquetoujoursutilissconjointement.Enfin,leprotocoleIkepermetde grerleschangesoulesassociationsentreprotocolesdescuritAvantdedcrirecesdiffrents protocoles,nousallonsexposerlesdiffrentslmentsutilissdansIpsec. Vued'ensemble Lesmcanismesmentionnscidessusfontbiensrappellacryptographieetutilisentdoncun certain nombre de paramtres (algorithmes de chiffrement utiliss, clefs, mcanismes slectionns...)surlesquelslestierscommunicantsdoiventsemettred'accord.Afindegrerces paramtres,Ipsecarecourslanotiond'associationdescurit(SecurityAssociation,SA).Une associationdescuritIpsecestune"connexion"simplexequifournitdesservicesdescuritau

traficqu'elletransporte.Onpeutaussilaconsidrercommeunestructurededonnesservant stocker l'ensemble des paramtres associs une communication donne. Une SA est unidirectionnelle ; en consquence, protger les deux sens d'une communication classique requiert deux associations, une dans chaque sens. Les services de scurit sont fournis par l'utilisationsoitdeAHsoitdeEsp.SiAHetEspsonttoutdeuxappliqusautraficenquestion, deuxSA(voireplus)sontcres;onparlealordepaquet(bundle)deSA.Chaqueassociation estidentifiedemanireuniquel'aided'untripletcomposde: L'adressededestinationdespaquets, L'identifiantduprotocoledescuritutilis(AHouEsp), Unindexdesparamtresdescurit(SecurityParameterIndex,SPI).UnSPIestunblocde32 bitsinscritenclairdansl'enttedechaquepaquetchang;ilestchoisiparlercepteur. Pourgrerlesassociationsdescuritsactives,onutiliseune"basededonnes desassociationsdescurit"(SecurityAssociationDatabase,SAD). EllecontienttouslesparamtresrelatifschaqueSAetseraconsultepoursavoircomment traiterchaquepaquetreuoumettre.LesprotectionsoffertesparIpsecsontbasessurdes choixdfinisdansune"basededonnesdepolitiquedescurit"(SecurityPolicyDatabase,SPD). Cettebasededonnesesttablieetmaintenueparunutilisateur,unadministrateursystmeou uneapplicationmiseenplaceparceuxci.Ellepermetdedcider,pourchaquepaquet,s'ilse verraapporterdesservicesdescurit,s'ilseraautorispasserourejet. Principedefonctionnement Leschmacidessousreprsentetousleslmentsprsentscidessus(enbleu),leurspositions etleursinteractions.Ondistinguedeuxsituations:TraficsortantLorsquela"couche"Ipsecreoit desdonnesenvoyer,ellecommenceparconsulterlabasededonnesdespolitiquesdescurit (SPD)poursavoircommenttraitercesdonnes.Sicettebaseluiindiquequeletraficdoitsevoir appliquer des mcanismes de scurit, elle rcupre les caractristiques requises pour la SA correspondanteetvaconsulterlabasedesSA(SAD).SilaSAncessaireexistedj,elleest utilisepourtraiterletraficenquestion.Danslecascontraire,IpsecfaitappelIKEpourtablir unenouvelleSAaveclescaractristiquesrequises.TraficentrantLorsquelacoucheIpsecreoit un paquet en provenance du rseau, elle examine l'entte pour savoir si Ce paquet s'est vu appliquerunouplusieursservicesIpsecetsioui,quellessontlesrfrencesdelaSA.Elleconsulte alorslaSADpourconnatrelesparamtresutiliserpourlavrificationet/ouledchiffrement du paquet. Une fois le paquet vrifi et/ou dchiffr, la Spd est consulte pour savoir si l'associationdescuritappliqueaupaquetcorrespondaitbiencellerequiseparlespolitiques descurit.DanslecasolepaquetreuestunpaquetIpclassique,laSpdpermetdesavoirs'ila nanmoinsledroitdepasser.Parexemple,lespaquetsIKEsontuneexception.Ilssonttraitspar Ike,quipeutenvoyerdesalertesadministrativesencasdetentativedeconnexioninfructueuse. LeprotocoleAh(AuthenticationHeader) L'absencedeconfidentialitpermetdes'assurerqueCestandardpourratrelargementrpandu sur Internet, y compris dans les endroits o l'exportation, l'importation ou l'utilisation du chiffrementdansdesbutsdeconfidentialitestrestreintparlaloi. Sonprincipeestd'adjoindreaudatagrammeIpclassiqueunchampsupplmentairepermettant la rception de vrifier l'authenticit des donnes incluses dans le datagramme. Ce bloc de donnesestappel"valeurdevrificationd'intgrit"(IntgrityCheckValue,Icv).Laprotection contrelerejetsefaitgrceunnumrodesquence. ProtocoleEsp(EncapsulatingSecurityPayload)

Esppeutassurerauchoix,unouplusieursdesservicessuivants: Confidentialit(confidentialitdesdonnesetprotectionpartiellecontrel'analysedutraficsil'on utilise le mode tunnel). Intgrit des donnes en mode non connect et authentification de l'origine des donnes, protection contre le rejeu. La confidentialit peut tre slectionne indpendamment des autres services, mais son utilisation sans intgrit/authentification (directementdansEspouavecAH)rendletraficvulnrablecertainstypesd'attaquesactives quipourraientaffaiblirleservice de confidentialit.Lechampbourragepeuttrencessaire pourlesalgorithmesdechiffrementparblocsoupouralignerletextechiffrsurunelimitede4 octets. Les donnes d'authentification ne sont prsentes que si Ce service a t slectionn. VoyonsmaintenantcommentestappliquelaconfidentialitdansEsp. L'expditeur: Encapsule,danslechamp"chargeutile"deEsp,lesdonnestransportesparledatagramme originaletventuellementl'entteIp(modetunnel).Ajoutesincessaireunbourrage. Chiffre le rsultat (donnes, bourrage, champs longueur et entte suivant). Ajoute ventuellement des donnes de synchronisation cryptographiques (vecteur d'initialisation) au dbutduchamp"chargeutile". LagestiondesclefspourIpsec:IsakmpetIke Lesprotocolesscurissprsentsdanslesparagraphesprcdentsontrecoursdesalgorithmes cryptographiquesetontdoncbesoindeclefs.Undesproblmesfondamentauxd'utilisationdela cryptographieestlagestiondecesclefs.Leterme"gestion"recouvrelagnration,ladistribution, lestockageetlasuppressiondesclefs.IKE(InternetKeyExchange)estunsystmedvelopp spcifiquementpourIpsecquivisefournirdesmcanismesd'authentificationetd'changede clefadaptsl'ensembledessituationsquipeuventseprsentersurl'Internet.Ilestcomposde plusieurslments:lecadregnriqueIsakmpetunepartiedesprotocolesOakleyetSkeme. Lorsqu'ilestutilispourIpsec,IKEestdepluscompltparun"domained'interprtation"pour Ipsec.

PartieII:ConfigurationduserveurVPNen Ipsec:

1)Configurationd'unclientLinuxpourlesinitis Nousallonsdtaillerl'installationduserveurOpenVPNsurunedistributionUbuntuServerLTS 10.04(maislaprocduredoittrelammesurDebianlike). On commence par installer OpenVPN partir des dpts officiels:
sudoaptgetinstallopenvpn

On copie ensuite les fichiers de configurations: sudo mkdir /etc/openvpn/easy-rsa/

sudo cp -r /usr/share/doc/openvpn/examples/easy-rsa/2.0/* /etc/openvpn/easy-rsa/ sudo chown -R $USER /etc/openvpn/easy-rsa/

CONFIGURATION

DU SERVEUR

OPENVPN

A l'aide des scripts installs dans le rpertoire /etc/openvpn/easy-rsa/ nous allons configurer OpenVPN pour utiliser une authentification par cls et certificats. On commence par diter le fichier /etc/openvpn/easy-rsa/vars: export KEY_COUNTRY="Ma" export export export export KEY_PROVINCE="Ma" KEY_CITY="Knitra" KEY_ORG="ibntofail.ma" KEY_EMAIL="yassin@ibntofail.ma"

Ensuite on lance la squence suivante qui va gnrer les cls (.key) et les certificats (.crt):

cd/etc/openvpn/easyrsa/ source vars ./clean-all ./build-dh

La gnration du certificat et de la cl du serveur VPN se fait simplement, par l'excution du script build-key-server, toujours partir du dossier /etc/openvpn/easy-rsa: ./build-key-server yassine
. Gnration des certificats et cls pour les clients

De la mme faon, ils sont gnrs par l'excution du script build-key partir du dossier /etc/openvpn/easyrsa/ :

> ./build-key client1

Des exemples de fichiers de configuration sont prsents dans le dossier /usr/share/doc/openvpn/examples/sample-config-files/. On place les diffrents fichiers de configuration ncessaires dans /etc/openvpn/ :

> cp /usr/share/doc/openvpn/examples/sample-configfiles/server.conf.gz /etc/openvpn/ Copiedufichierdeconfigurationclient.confdansledossieropenvpn > cp /usr/share/doc/openvpn/examples/sample-configfiles/client.conf /etc/openvpn/ Ensuite, on dcompresse le fichier server.conf.gz : > gunzip /etc/openvpn/server.conf.gz La mise en route du serveur entraine l'attribution automatique d'una adresse ip l'interface tun0 du serveur. Cette ardesse ip est toujours la premire adresse (en .1) du rseau annonc dans le fichier de configuration. Par exemple, si l'on se place dans l'exemple de configuration dtaille ci-dessous, on dfinit un rseau vpn en 192.168.0.0. L'adresse ip du serveur vpn sera donc 192.168.0.1.

Pour ce faire, il suffit de renseigner les bons paramtres au fichier /etc/openvpn/server.conf :

#numro du port utilis port 1595 #protocole de communication proto udp #type d'interface dev tun #emplacement du master CA ca /etc/openvpn/easy-rsa/keys/ca.crt #emplacement du certificat du serveur cert /etc/openvpn/easy-rsa/keys/nom_choisi_pour_le_serveur.crt #emplacement de la cl du serveur key /etc/openvpn/easy-rsa/keys/nom_choisi_pour_le_serveur.key #emplacement du fichier Diffie-Hellman dh /etc/openvpn/easy-rsa/keys/dh1024.pem #quelle sera l'adresse du rseau virtuel cr par le VPN #l'adresse du serveur VPN sera ici 192.168.0.1 server 192.168.0.0 255.255.255.0 #quelle est la route pour communiquer, ici le rseau 10.4. push "route 10.4.0.0 255.255.255.0" # keepalive 10 120 #type d'encryptage des donnes cipher AES-128-CBC #activation de la compression comp-lzo #nombre maximum de clients autoriss max-clients 10 #pas d'utilisateur et groupe particuliers pour l'utilisation du VPN user nobody group nobody #pour rendre la connexion persistante persist-key persist-tun #fichier de log status openvpn-status.log log openvpn.log #niveau de verbosit

verb 5

Pour dmarrer le serveur, la commande est :

> /etc/init.d/openvpn start

1)

Insllation du BIND version 9 :

Le dmon named qui joue le rle de serveur DNS sous Linux. Il est contenu dans le paquet Bind On Install le service DNS sous Ubuntu 10.10 : Utilisation du paquet BIND 9 :

2)

Configuration des zones du serveur DNS :

La configuration du DNS se fait sur le fichier ( les commande excuter son directement aprs avoir entrer comme route a laide de la commande sudo -i). /etc/bind/named.conf.local : ce fichier et pour la dclaration des zones direct et inverse. Puis il faut crer les fichiers de zone dclar dans la configuration du fichier named.conf.local Le fichier de la zone direct dans le nom db.est se trouve sur le chemin : /etc/bind/db.est Le fichier de la zone inverse dans le chemin /etc/bind/db.192 Le fichier db.est et une copier modifier du fichier qui se trouve dans le dossier /etc/bind dans le nom : db.local Le fichier db.192 aussi cest une copier modifier du fichier db.127 dans le chemain /etc/bind/ Le fichier named.conf.local : dclaration des zones : a laide de la commande nano on modifie le fichier :

Cration du fichier db.est : Cp /etc/bind/db.local /etc/bind/db.est Cration du fichier db.192 Cp /etc/bind/db.127 /etc/bind/db.192 Configuration du fichier de zone direct db.est :

On doit informer le serveur DNS que son fonctionement seras utils pour serveur de mail Pour cela on ajoute un enregistrement de type MX et des enregistrement de type A qui contient les nom des machines dans le reseau. Configuration du fichier de zone inverse db.192 : La Mme chose pour le fichier de configuration de la zone inverse mais on dclare seulement la machine serveur.

Aprs la configuration des fichier de zones il faut redemarer le service bind9 a fin quil peut excuter les nouveau fichier de configuration :

3)

Test de la configuration du serveur DNS:

A laide de la commande nslookup qui sert a dterminer ladresse IP qui correspond a ce nom de domaine a partir du serveur DNS et inversement.

conclusion : Cette tude des solutions Vpn, met en vidence une forte concurrence entres les diffrents

protocoles pouvant tre utiliss. Nanmoins, il est possible de distinguer deux rivaux sortant leurs pingles du jeu, savoir Ipsec et Mpls. Ce dernier est suprieur sur bien des points, mais il assure, en outre, simultanment, la sparation des flux et leur confidentialit. Le dveloppement rapide du march pourrait bien cependant donner l'avantage au second. En effet, la mise en place de Vpn par Ip entre gnralement dans une politique de rduction des cots lis l'infrastructure rseau des entreprises. Les Vpn sur Ip permettent en effet de se passer des liaisons loues de type Atm ou Frame Relay. Le cot des Vpn Ip est actuellement assez intressant pour motiver de nombreuses entreprises franchir le pas. A performance gales un Vpn Mpls cote deux fois moins cher qu'une ligne Atm. Mais si les solutions base de Mpls prennent actuellement le devant face aux technologies Ipsec c'est principalement grce l'intgration possible de solution de tlphonie sur Ip. La qualit de service offerte par le Mpls autorise en effet Ce type d'utilisation. Le march des Vpn profite donc de l'engouement actuel pour ces technologies qui permettent elles aussi de rduire les cot des infrastructures de communication. Les Vpn sont donc amens prendre de plus en plus de place dans les rseaux informatiques.