132531036-Open-Swan

INTERCONNEXION DE DEUX SITES AVEC OPENSWAN

THEME:

Prsent par:

- Fatoumata DIAWARA

- Alassane DIALLO

Professeur M. LOH UAHB M1 STIC 2011/2012


1


PLAN

I. Introduction

II. VPN

III. Ipsec

IV. OPENSWAN

V. Configuration

VI. Dmarrage dIpsec

VII. Lancement du tunnel

VIII. Vrification

IX. Conclusion

2


Les applications et les systmes distribus font de plus en

plus partie intgrante du paysage d'un grand nombre d'entreprises.

Ces technologies ont pu se dvelopper grce aux performances

toujours plus importantes des rseaux locaux. Mais le succs de

ces applications a fait aussi apparatre un de leur obstacle. En

effet si les applications distribues deviennent le principal outil du

systme d'information de l'entreprise, comment assurer leur accs

scuris au sein de structures parfois rparties sur de grandes

distances gographiques ?

Introduction 1/2

3


Concrtement comment une succursale (annexe) d'une

entreprise peut-elle accder aux donnes situes sur un serveur

de la maison mre distant de plusieurs milliers de kilomtres ?

Les Vpn ont commenc tre mis en place pour rpondre ce

type de problmatique.

Nous verrons ici quelles sont les principales caractristiques des

Vpn travers un certain nombre d'utilisation. Nous nous

intresserons ensuite aux protocoles permettant leur mise en

place.

Introduction 2/2

4


Le but d'un rseau priv virtuel (Virtual Private Network ou

VPN) est de fournir aux utilisateurs et administrateurs du

systme d'information des conditions d'exploitation,

d'utilisation et de scurit travers un rseau public identiques

celles disponibles sur un rseau prive . En d'autre terme, on

veut regrouper des rseaux privs, spars par un rseau public

(internet) en donnant l'illusion l'utilisateur qu'ils ne sont pas

spars, et toute en gardant l'aspect scuris qui tait assur par

de la coupure logique au rseau internet.

Le VPN Gnralit

5

Le VPN Le tunnel

Un tunnel, dans le contexte de rseaux informatiques, est une

encapsulation de donnes d'un protocole rseau dans un autre,

situ dans la mme couche du modle en couches, ou dans une

couche de niveau suprieur.

En scurit, on cre souvent des tunnels chiffrs, par exemple

avec SSH. Les donnes peuvent alors y circuler sans craindre

d'tre coutes.

Le tunnel consiste tablir un canal entre 2 points sans se

soucier des problmatiques d'interconnexion (de faon

transparente).

6



Un tunnel IP s'effectue entre 2 machines, qui jouent le rle de

passerelles pour les autres machines de leur rseau respectif.

Le tunneling peut rendre des services de diffrents ordres :

Chiffrement et dchiffrement des donnes transmises.

Compression et dcompression des donnes envoyes dans le tunnel.

Offrir l'impression l'utilisateur de travailler en rseau local (voire sur la mme machine)

Le VPN Le tunnel

7


Un rseau Vpn repose sur un protocole appel "protocole de

tunneling". Ce protocole permet de faire circuler les informations de

l'entreprise de faon crypte d'un bout l'autre du tunnel. Ainsi, les

utilisateurs ont l'impression de se connecter directement sur le rseau

de leur entreprise.

Le VPN Le tunnel

Principe

8


Il existe 3 types standards d'utilisation des Vpn.

VPN daccs : Il est utilis pour permettre des utilisateurs itinrants d'accder au rseau priv. L'utilisateur se sert d'une

connexion Internet pour tablir la connexion Vpn. Il existe deux

cas:

L'utilisateur demande au fournisseur d'accs de lui tablir une

connexion crypte vers le serveur distant : il communique avec le

NAS (Network Access Server) du fournisseur d'accs et c'est le

NAS qui tablit la connexion crypte.

Le VPN Le tunnel

Fonctionnalits

9


L'utilisateur possde son propre logiciel client pour le Vpn

auquel cas il tablit directement la communication de manire

crypte vers le rseau de l'entreprise.

Lintranet VPN: Il est utilis pour relier au moins deux intranets

entre eux. Ce type de rseau est particulirement utile au sein

d'une entreprise possdant plusieurs sites distants. Le plus

important dans ce type de rseau est de garantir la scurit et

l'intgrit des donnes. Certaines donnes trs sensibles

peuvent tre amenes transiter sur le Vpn (base de donnes

clients, informations financires...). Des techniques de

cryptographie sont mises en

Le VPN Le tunnel

Fonctionnalits

10


uvrer pour vrifier que les donnes n'ont pas t altres. Il

s'agit d'une authentification au niveau paquet pour assurer la

validit des donnes, de l'identification de leur source ainsi que

leur non-rpudiation. La plupart des algorithmes utiliss font

appel des signatures numriques qui sont ajoutes aux

paquets. La confidentialit des donnes est, elle aussi, base sur

des algorithmes de cryptographie.

Lextranet VPN : Une entreprise peut utiliser le Vpn pour communiquer avec ses clients et ses partenaires. Elle ouvre

alors son rseau local ces derniers.

Le VPN Le tunnel

Fonctionnalits

11


Un systme de Vpn doit pouvoir mettre en uvre les

fonctionnalits suivantes :

Authentification d'utilisateur: Seuls les utilisateurs autoriss doivent pouvoir s'identifier sur le rseau virtuel.

Gestion d'adresses: Chaque client sur le rseau doit avoir une adresse prive. Cette adresse prive doit rester confidentielle. Un

nouveau client doit pouvoir se connecter facilement au rseau et

recevoir une adresse.

Le VPN Le tunnel

Caractristiques

12


Cryptage des donnes: Lors de leurs transports sur le rseau public

les donnes doivent tre protges par un cryptage efficace.

Gestion de cls: Les cls de cryptage pour le client et le serveur doivent pouvoir tre gnres et rgnres.

Prise en charge multi protocole: La solution Vpn doit supporter les protocoles les plus utiliss sur les rseaux publics en particulier IP.

Le VPN Le tunnel

Caractristiques

13


IPsec (Internet Protocol Security) a t conu pour scuriser les

communications rseau partir de la couche 3 du modle

IPsec n'est pas un remplaant d'IP mais un complment. Ainsi, il

intgre des notions essentielles de scurit au datagramme IP.

Sa position dans les couches basses du modle OSI lui permet donc de

scuriser tous types d'applications et protocoles rseaux base sur IP

sans distinction.

IPsec

14


La couche IPsec donne donc les moyens d'assurer :

la confidentialit des donnes changes (lutter contre l'analyse du trafic)via le chiffrement,

l'authentification des intervenants et des donnes dans la communication,

l'intgrit des donnes (hachage),

la protection contre le rejoue (remise de paquets dj envoys),

le contrle d'accs.

IPsec

15


Openswan est une implmentation Open Source du protocole

IPsec pour le systme dexploitation Linux.

OPENSWAN

Gnralit

16


La ralisation fera appel au systme d'exploitation Linux pour

sa stabilit et sa scurit et aux logiciels libres, pour leur fiabilit,

leur suivi de la part de la communaut (mise jour de scurit) et

leur prix de revient rduit (pas de licences propritaires acheter).

Mise en place sur chaque site d'un serveur-passerelle avec une

distribution Linux (Ubuntu ou Debian ): sur chaque passerelle,

on installera 2 cartes rseaux, une avec une adresse publique relie

au routeur, ou modem ADSL, lautre en adressage prive relie au

Switch principal et aux stations de travail existantes. (Postes de

travail Windows ou Linux).

OPENSWAN

Mise en uvre

17


Ce logiciel (openswan) permet de crer un tunnel IPSEC et

donc de raliser un rseau priv virtuel (VPN) entre les deux

sites.

OPENSWAN

Utilisation

18


On peut partir d'une station de travail sur le site A prendre le contrle d'une autre station sur le site B, utiliser les logiciels,

accder aux donnes du poste distant de manire scurise, et

rciproquement.

Les partages sur les serveurs du site B sont galement accessibles. Seul l'affichage du poste distant voyage sur le

rseau, ce qui permet d'utiliser des applications exigeantes en

ressources (applications, bases de donnes par exemple) avec

une rapidit de travail convenable.

OPENSWAN

Rsultats

19


On peut partir d'une station de travail sur le site A changer des donnes avec un poste sur le site B de manire scurise.

Toutes les donnes partages par les machines B sont

accessibles aux machines A, et rciproquement.

Un utilisateur sur le site A peut accder l'intranet du site B en utilisant son navigateur, de manire scurise.

On peut synchroniser ou sauvegarder la nuit des rpertoires serveurs d'un site l'autre et de manire automatique et

scurise.

OPENSWAN

Rsultats

20


Pour dmarrer linstallation, les paquets ppp, xl2tpd, libgmp3-dev,

bison, flex et make vous serons ncessaire. Installez-les avec la

commande suivante :

#sudo apt-get install ppp xl2tpd libgmp3-dev bison flex make

Configuration Installation des paquets ncessaires

21


Lutilisation dOpenswan ncessite dintervenir sur certains paramtres du noyau . Afin de rendre ces modifications permanentes, elles sont inscrites dans le fichier /etc/sysctl.conf

Ajoutez les lignes suivantes :

#Parametres IPSEC

net.ipv4.ip_forward=1

net.ipv4.icmp_ignore_bogus_error_responses=1

net.ipv4.conf.all.log_martians=0

net.ipv4.conf.default.rp_filter=0

net.ipv4.conf.default.accept_redirects=0

net.ipv4.conf.default.send_redirects=0

net.ipv4.conf.all.arp_ignore=1

net.ipv4.conf.all.arp_announce=2

Configuration /etc/sysctl.conf

22


La prise en compte des nouveaux paramtres est ralise par la

commande :

#sysctl p

Openswan fournit un outil pour vrifier si tout semble correct au

niveau noyau :

#ipsec verify


23



24


Ici linstallation dOpenswan est effectue dans une distribution

Linux (Ubuntu). Linstallation se fait avec la syntaxe suivante :

# sudo apt-get install openswan

Configuration pralable

Aprs avoir termin le processus dinstallation, on fixe des

adresses dans chacune des passerelles de deux rseaux. Une

adresse prive pour la connexion au rseau local et une adresse

publique pour la connexion linternet

Configuration Installation

25


Configuration

Architecture du VPN

26


Passerelle left

Adresse ip externe :12.34.56.78

Adresse ip interne : 192.168.1.1

Rseau interne :192.168.1.0/24

Passerelle right

Adresse ip externe :12.34.56.79

Adresse ip interne :192.168.1.50

Rseau interne :192.168.1.0/24

Configuration Plan dadressage

27


La configuration est divise dans deux fichiers :

/etc/ipsec.conf

/etc/ipsec.secrets

NB : les fichiers ipsec.conf doivent tre identiques au niveau des

deux serveurs pour un VPN de mode rseau rseau (net-to-

net).

Configuration Fichiers de configuration

28


Dans la solution propose dans ce guide, lauthentification

IPSec repose sur une clef partage entre les deux serveurs

.Cest dans le fichier /etc/ipsec.secrets que nous dfinissons la

valeur de la clef partage.

#vi /etc/ipsec.secrets

Ajouter sur la dernire ligne ladresse IP publique de votre

serveur et votre clef partage

Configuration

Fichier /etc/ipsec.secrets

29


left-addresseip right-addresseip PSK "cl entre guillemets

Soit :

12.34.56.78 12.34.56.79: PSK "maclefpartagee"

Configuration


Pour la passerelle left :

30


Configuration


Pour la passerelle left :

31


Configuration


Pour la passerelle right:

right-addresseip left-addresseip PSK "cl entre guillemets

Soit :

12.34.56.79 12.34.56.78: PSK "maclefpartagee"

32


Configuration


Pour la passerelle right:

33


Doit tre identique au niveau des deux serveurs pour un VPN de

mode rseau rseau (net-to-net).

Configuration Fichier /etc/ipsec.conf

34


Configuration Fichier /etc/ipsec.conf

35


Sur les deux machines, il faut relancer le service ipsec :

#service ipsec restart

Configuration Dmarrage dIPsec

36


Configuration Dmarrage d IPsec

37


Pour lancer la connexion on utilise la syntaxe suivante:

#ipsec auto --up net-to-net

Attention: cette commande doit tre lance sur les deux serveurs

simultanment

Configuration Lancement du tunnel

38


Configuration Lancement du tunnel

La ligne IPsec SA established, mindique que tout est bon .

39

Si le masquerading a t activ avec le firewall, il faudrait lenlever pour les paquets concernant les passerelles.

Exemple sur passerelle Left :

#iptables -t nat -A POSTROUTING -o eth0 -s 192.168.1.0/24 -j MASQUERADE

Sera remplac par :

#iptables -t nat -A POSTROUTING -o eth0 - 192.168.1.0/24 -d \! 192.168.1.0/24 -j MASQUERADE

On fera la mme chose sur la passerelle Right.


Configuration

40


Nous allons lancer un ping pour voir si les deux interfaces

internes se voient.

Du cot de la passerelle left , tentons de pinger linterface du

rseau interne de la passerelle right soit le 192.168.1.50

Vrification

Nous voyons que le ping passe

41


Faisons de mme du cot de la passerelle right en pingant le

192.168.1.1

Vrification

La requte ping passe ici aussi

42

Au niveau de la passerelle Right , je regarde les changes entre

les deux Serveurs VPN afin de dterminer si le trafic est vu aux

deux extrmits du tunnel


Vrification

43


Vrification

44

Nous voyons que les donnes sont bien chiffrs (ESP) entre les

passerelles pour ce qui concerne les changes de deux rseaux

accessibles par la passerelle.


Vrification

45


A travers ce projet, nous avons vu un aperu des diffrentes possibilits afin de dployer un VPN, et particulirement la solution que reprsente IPSec.

Le VPN a pris une dimension proportionnelle au dveloppement d'internet. A l'origine pour dployer les rseaux privs, une nouvelle utilisation voit le jour aujourd'hui avec l'arrive des technologies sans fil. En effet, ds la premire mise en place du 802.11 (WIFI), on nous a dmontr ses failles en matire de confidentialit et de scurit..

Un risque parmi d'autres, est de voir ses donnes transitant dans le rseau tre lues par un homme du milieu . Ses problmes de scurit sont une grande problmatique quand des donnes sensibles sont communiques. Les solutions VPN offre une possibilit de garantir cette scurit et on peut alors penser la possibilit d'allier le confort d'utilisation d'un rseau sans fil la scurit des donnes qu'on transmet

Conclusion

46

Documents

132531036-Open-Swan