Post on 22-Nov-2015
INTERCONNEXION DE DEUX SITES AVEC OPENSWAN
THEME:
Prsent par:
- Fatoumata DIAWARA
- Alassane DIALLO
Professeur M. LOH UAHB M1 STIC 2011/2012
INTERCONNEXION DE DEUX SITES AVEC OPENSWAN
1
INTERCONNEXION DE DEUX SITES AVEC OPENSWAN
PLAN
I. Introduction
II. VPN
III. Ipsec
IV. OPENSWAN
V. Configuration
VI. Dmarrage dIpsec
VII. Lancement du tunnel
VIII. Vrification
IX. Conclusion
2
INTERCONNEXION DE DEUX SITES AVEC OPENSWAN
Les applications et les systmes distribus font de plus en
plus partie intgrante du paysage d'un grand nombre d'entreprises.
Ces technologies ont pu se dvelopper grce aux performances
toujours plus importantes des rseaux locaux. Mais le succs de
ces applications a fait aussi apparatre un de leur obstacle. En
effet si les applications distribues deviennent le principal outil du
systme d'information de l'entreprise, comment assurer leur accs
scuris au sein de structures parfois rparties sur de grandes
distances gographiques ?
Introduction 1/2
3
INTERCONNEXION DE DEUX SITES AVEC OPENSWAN
Concrtement comment une succursale (annexe) d'une
entreprise peut-elle accder aux donnes situes sur un serveur
de la maison mre distant de plusieurs milliers de kilomtres ?
Les Vpn ont commenc tre mis en place pour rpondre ce
type de problmatique.
Nous verrons ici quelles sont les principales caractristiques des
Vpn travers un certain nombre d'utilisation. Nous nous
intresserons ensuite aux protocoles permettant leur mise en
place.
Introduction 2/2
4
INTERCONNEXION DE DEUX SITES AVEC OPENSWAN
Le but d'un rseau priv virtuel (Virtual Private Network ou
VPN) est de fournir aux utilisateurs et administrateurs du
systme d'information des conditions d'exploitation,
d'utilisation et de scurit travers un rseau public identiques
celles disponibles sur un rseau prive . En d'autre terme, on
veut regrouper des rseaux privs, spars par un rseau public
(internet) en donnant l'illusion l'utilisateur qu'ils ne sont pas
spars, et toute en gardant l'aspect scuris qui tait assur par
de la coupure logique au rseau internet.
Le VPN Gnralit
5
Le VPN Le tunnel
Un tunnel, dans le contexte de rseaux informatiques, est une
encapsulation de donnes d'un protocole rseau dans un autre,
situ dans la mme couche du modle en couches, ou dans une
couche de niveau suprieur.
En scurit, on cre souvent des tunnels chiffrs, par exemple
avec SSH. Les donnes peuvent alors y circuler sans craindre
d'tre coutes.
Le tunnel consiste tablir un canal entre 2 points sans se
soucier des problmatiques d'interconnexion (de faon
transparente).
6
INTERCONNEXION DE DEUX SITES AVEC OPENSWAN
INTERCONNEXION DE DEUX SITES AVEC OPENSWAN
Un tunnel IP s'effectue entre 2 machines, qui jouent le rle de
passerelles pour les autres machines de leur rseau respectif.
Le tunneling peut rendre des services de diffrents ordres :
Chiffrement et dchiffrement des donnes transmises.
Compression et dcompression des donnes envoyes dans le tunnel.
Offrir l'impression l'utilisateur de travailler en rseau local (voire sur la mme machine)
Le VPN Le tunnel
7
INTERCONNEXION DE DEUX SITES AVEC OPENSWAN
Un rseau Vpn repose sur un protocole appel "protocole de
tunneling". Ce protocole permet de faire circuler les informations de
l'entreprise de faon crypte d'un bout l'autre du tunnel. Ainsi, les
utilisateurs ont l'impression de se connecter directement sur le rseau
de leur entreprise.
Le VPN Le tunnel
Principe
8
INTERCONNEXION DE DEUX SITES AVEC OPENSWAN
Il existe 3 types standards d'utilisation des Vpn.
VPN daccs : Il est utilis pour permettre des utilisateurs itinrants d'accder au rseau priv. L'utilisateur se sert d'une
connexion Internet pour tablir la connexion Vpn. Il existe deux
cas:
L'utilisateur demande au fournisseur d'accs de lui tablir une
connexion crypte vers le serveur distant : il communique avec le
NAS (Network Access Server) du fournisseur d'accs et c'est le
NAS qui tablit la connexion crypte.
Le VPN Le tunnel
Fonctionnalits
9
INTERCONNEXION DE DEUX SITES AVEC OPENSWAN
L'utilisateur possde son propre logiciel client pour le Vpn
auquel cas il tablit directement la communication de manire
crypte vers le rseau de l'entreprise.
Lintranet VPN: Il est utilis pour relier au moins deux intranets
entre eux. Ce type de rseau est particulirement utile au sein
d'une entreprise possdant plusieurs sites distants. Le plus
important dans ce type de rseau est de garantir la scurit et
l'intgrit des donnes. Certaines donnes trs sensibles
peuvent tre amenes transiter sur le Vpn (base de donnes
clients, informations financires...). Des techniques de
cryptographie sont mises en
Le VPN Le tunnel
Fonctionnalits
10
INTERCONNEXION DE DEUX SITES AVEC OPENSWAN
uvrer pour vrifier que les donnes n'ont pas t altres. Il
s'agit d'une authentification au niveau paquet pour assurer la
validit des donnes, de l'identification de leur source ainsi que
leur non-rpudiation. La plupart des algorithmes utiliss font
appel des signatures numriques qui sont ajoutes aux
paquets. La confidentialit des donnes est, elle aussi, base sur
des algorithmes de cryptographie.
Lextranet VPN : Une entreprise peut utiliser le Vpn pour communiquer avec ses clients et ses partenaires. Elle ouvre
alors son rseau local ces derniers.
Le VPN Le tunnel
Fonctionnalits
11
INTERCONNEXION DE DEUX SITES AVEC OPENSWAN
Un systme de Vpn doit pouvoir mettre en uvre les
fonctionnalits suivantes :
Authentification d'utilisateur: Seuls les utilisateurs autoriss doivent pouvoir s'identifier sur le rseau virtuel.
Gestion d'adresses: Chaque client sur le rseau doit avoir une adresse prive. Cette adresse prive doit rester confidentielle. Un
nouveau client doit pouvoir se connecter facilement au rseau et
recevoir une adresse.
Le VPN Le tunnel
Caractristiques
12
INTERCONNEXION DE DEUX SITES AVEC OPENSWAN
Cryptage des donnes: Lors de leurs transports sur le rseau public
les donnes doivent tre protges par un cryptage efficace.
Gestion de cls: Les cls de cryptage pour le client et le serveur doivent pouvoir tre gnres et rgnres.
Prise en charge multi protocole: La solution Vpn doit supporter les protocoles les plus utiliss sur les rseaux publics en particulier IP.
Le VPN Le tunnel
Caractristiques
13
INTERCONNEXION DE DEUX SITES AVEC OPENSWAN
IPsec (Internet Protocol Security) a t conu pour scuriser les
communications rseau partir de la couche 3 du modle
IPsec n'est pas un remplaant d'IP mais un complment. Ainsi, il
intgre des notions essentielles de scurit au datagramme IP.
Sa position dans les couches basses du modle OSI lui permet donc de
scuriser tous types d'applications et protocoles rseaux base sur IP
sans distinction.
IPsec
14
INTERCONNEXION DE DEUX SITES AVEC OPENSWAN
La couche IPsec donne donc les moyens d'assurer :
la confidentialit des donnes changes (lutter contre l'analyse du trafic)via le chiffrement,
l'authentification des intervenants et des donnes dans la communication,
l'intgrit des donnes (hachage),
la protection contre le rejoue (remise de paquets dj envoys),
le contrle d'accs.
IPsec
15
INTERCONNEXION DE DEUX SITES AVEC OPENSWAN
Openswan est une implmentation Open Source du protocole
IPsec pour le systme dexploitation Linux.
OPENSWAN
Gnralit
16
INTERCONNEXION DE DEUX SITES AVEC OPENSWAN
La ralisation fera appel au systme d'exploitation Linux pour
sa stabilit et sa scurit et aux logiciels libres, pour leur fiabilit,
leur suivi de la part de la communaut (mise jour de scurit) et
leur prix de revient rduit (pas de licences propritaires acheter).
Mise en place sur chaque site d'un serveur-passerelle avec une
distribution Linux (Ubuntu ou Debian ): sur chaque passerelle,
on installera 2 cartes rseaux, une avec une adresse publique relie
au routeur, ou modem ADSL, lautre en adressage prive relie au
Switch principal et aux stations de travail existantes. (Postes de
travail Windows ou Linux).
OPENSWAN
Mise en uvre
17
INTERCONNEXION DE DEUX SITES AVEC OPENSWAN
Ce logiciel (openswan) permet de crer un tunnel IPSEC et
donc de raliser un rseau priv virtuel (VPN) entre les deux
sites.
OPENSWAN
Utilisation
18
INTERCONNEXION DE DEUX SITES AVEC OPENSWAN
On peut partir d'une station de travail sur le site A prendre le contrle d'une autre station sur le site B, utiliser les logiciels,
accder aux donnes du poste distant de manire scurise, et
rciproquement.
Les partages sur les serveurs du site B sont galement accessibles. Seul l'affichage du poste distant voyage sur le
rseau, ce qui permet d'utiliser des applications exigeantes en
ressources (applications, bases de donnes par exemple) avec
une rapidit de travail convenable.
OPENSWAN
Rsultats
19
INTERCONNEXION DE DEUX SITES AVEC OPENSWAN
On peut partir d'une station de travail sur le site A changer des donnes avec un poste sur le site B de manire scurise.
Toutes les donnes partages par les machines B sont
accessibles aux machines A, et rciproquement.
Un utilisateur sur le site A peut accder l'intranet du site B en utilisant son navigateur, de manire scurise.
On peut synchroniser ou sauvegarder la nuit des rpertoires serveurs d'un site l'autre et de manire automatique et
scurise.
OPENSWAN
Rsultats
20
INTERCONNEXION DE DEUX SITES AVEC OPENSWAN
Pour dmarrer linstallation, les paquets ppp, xl2tpd, libgmp3-dev,
bison, flex et make vous serons ncessaire. Installez-les avec la
commande suivante :
#sudo apt-get install ppp xl2tpd libgmp3-dev bison flex make
Configuration Installation des paquets ncessaires
21
INTERCONNEXION DE DEUX SITES AVEC OPENSWAN
Lutilisation dOpenswan ncessite dintervenir sur certains paramtres du noyau . Afin de rendre ces modifications permanentes, elles sont inscrites dans le fichier /etc/sysctl.conf
Ajoutez les lignes suivantes :
#Parametres IPSEC
net.ipv4.ip_forward=1
net.ipv4.icmp_ignore_bogus_error_responses=1
net.ipv4.conf.all.log_martians=0
net.ipv4.conf.default.rp_filter=0
net.ipv4.conf.default.accept_redirects=0
net.ipv4.conf.default.send_redirects=0
net.ipv4.conf.all.arp_ignore=1
net.ipv4.conf.all.arp_announce=2
Configuration /etc/sysctl.conf
22
INTERCONNEXION DE DEUX SITES AVEC OPENSWAN
La prise en compte des nouveaux paramtres est ralise par la
commande :
#sysctl p
Openswan fournit un outil pour vrifier si tout semble correct au
niveau noyau :
#ipsec verify
Configuration /etc/sysctl.conf
23
INTERCONNEXION DE DEUX SITES AVEC OPENSWAN
Configuration /etc/sysctl.conf
24
INTERCONNEXION DE DEUX SITES AVEC OPENSWAN
Ici linstallation dOpenswan est effectue dans une distribution
Linux (Ubuntu). Linstallation se fait avec la syntaxe suivante :
# sudo apt-get install openswan
Configuration pralable
Aprs avoir termin le processus dinstallation, on fixe des
adresses dans chacune des passerelles de deux rseaux. Une
adresse prive pour la connexion au rseau local et une adresse
publique pour la connexion linternet
Configuration Installation
25
INTERCONNEXION DE DEUX SITES AVEC OPENSWAN
Configuration
Architecture du VPN
26
INTERCONNEXION DE DEUX SITES AVEC OPENSWAN
Passerelle left
Adresse ip externe :12.34.56.78
Adresse ip interne : 192.168.1.1
Rseau interne :192.168.1.0/24
Passerelle right
Adresse ip externe :12.34.56.79
Adresse ip interne :192.168.1.50
Rseau interne :192.168.1.0/24
Configuration Plan dadressage
27
INTERCONNEXION DE DEUX SITES AVEC OPENSWAN
La configuration est divise dans deux fichiers :
/etc/ipsec.conf
/etc/ipsec.secrets
NB : les fichiers ipsec.conf doivent tre identiques au niveau des
deux serveurs pour un VPN de mode rseau rseau (net-to-
net).
Configuration Fichiers de configuration
28
INTERCONNEXION DE DEUX SITES AVEC OPENSWAN
Dans la solution propose dans ce guide, lauthentification
IPSec repose sur une clef partage entre les deux serveurs
.Cest dans le fichier /etc/ipsec.secrets que nous dfinissons la
valeur de la clef partage.
#vi /etc/ipsec.secrets
Ajouter sur la dernire ligne ladresse IP publique de votre
serveur et votre clef partage
Configuration
Fichier /etc/ipsec.secrets
29
INTERCONNEXION DE DEUX SITES AVEC OPENSWAN
left-addresseip right-addresseip PSK "cl entre guillemets
Soit :
12.34.56.78 12.34.56.79: PSK "maclefpartagee"
Configuration
Fichier /etc/ipsec.secrets
Pour la passerelle left :
30
INTERCONNEXION DE DEUX SITES AVEC OPENSWAN
Configuration
Fichier /etc/ipsec.secrets
Pour la passerelle left :
31
INTERCONNEXION DE DEUX SITES AVEC OPENSWAN
Configuration
Fichier /etc/ipsec.secrets
Pour la passerelle right:
right-addresseip left-addresseip PSK "cl entre guillemets
Soit :
12.34.56.79 12.34.56.78: PSK "maclefpartagee"
32
INTERCONNEXION DE DEUX SITES AVEC OPENSWAN
Configuration
Fichier /etc/ipsec.secrets
Pour la passerelle right:
33
INTERCONNEXION DE DEUX SITES AVEC OPENSWAN
Doit tre identique au niveau des deux serveurs pour un VPN de
mode rseau rseau (net-to-net).
Configuration Fichier /etc/ipsec.conf
34
INTERCONNEXION DE DEUX SITES AVEC OPENSWAN
Configuration Fichier /etc/ipsec.conf
35
INTERCONNEXION DE DEUX SITES AVEC OPENSWAN
Sur les deux machines, il faut relancer le service ipsec :
#service ipsec restart
Configuration Dmarrage dIPsec
36
INTERCONNEXION DE DEUX SITES AVEC OPENSWAN
Configuration Dmarrage d IPsec
37
INTERCONNEXION DE DEUX SITES AVEC OPENSWAN
Pour lancer la connexion on utilise la syntaxe suivante:
#ipsec auto --up net-to-net
Attention: cette commande doit tre lance sur les deux serveurs
simultanment
Configuration Lancement du tunnel
38
INTERCONNEXION DE DEUX SITES AVEC OPENSWAN
Configuration Lancement du tunnel
La ligne IPsec SA established, mindique que tout est bon .
39
Si le masquerading a t activ avec le firewall, il faudrait lenlever pour les paquets concernant les passerelles.
Exemple sur passerelle Left :
#iptables -t nat -A POSTROUTING -o eth0 -s 192.168.1.0/24 -j MASQUERADE
Sera remplac par :
#iptables -t nat -A POSTROUTING -o eth0 - 192.168.1.0/24 -d \! 192.168.1.0/24 -j MASQUERADE
On fera la mme chose sur la passerelle Right.
INTERCONNEXION DE DEUX SITES AVEC OPENSWAN
Configuration
40
INTERCONNEXION DE DEUX SITES AVEC OPENSWAN
Nous allons lancer un ping pour voir si les deux interfaces
internes se voient.
Du cot de la passerelle left , tentons de pinger linterface du
rseau interne de la passerelle right soit le 192.168.1.50
Vrification
Nous voyons que le ping passe
41
INTERCONNEXION DE DEUX SITES AVEC OPENSWAN
Faisons de mme du cot de la passerelle right en pingant le
192.168.1.1
Vrification
La requte ping passe ici aussi
42
Au niveau de la passerelle Right , je regarde les changes entre
les deux Serveurs VPN afin de dterminer si le trafic est vu aux
deux extrmits du tunnel
INTERCONNEXION DE DEUX SITES AVEC OPENSWAN
Vrification
43
INTERCONNEXION DE DEUX SITES AVEC OPENSWAN
Vrification
44
Nous voyons que les donnes sont bien chiffrs (ESP) entre les
passerelles pour ce qui concerne les changes de deux rseaux
accessibles par la passerelle.
INTERCONNEXION DE DEUX SITES AVEC OPENSWAN
Vrification
45
INTERCONNEXION DE DEUX SITES AVEC OPENSWAN
A travers ce projet, nous avons vu un aperu des diffrentes possibilits afin de dployer un VPN, et particulirement la solution que reprsente IPSec.
Le VPN a pris une dimension proportionnelle au dveloppement d'internet. A l'origine pour dployer les rseaux privs, une nouvelle utilisation voit le jour aujourd'hui avec l'arrive des technologies sans fil. En effet, ds la premire mise en place du 802.11 (WIFI), on nous a dmontr ses failles en matire de confidentialit et de scurit..
Un risque parmi d'autres, est de voir ses donnes transitant dans le rseau tre lues par un homme du milieu . Ses problmes de scurit sont une grande problmatique quand des donnes sensibles sont communiques. Les solutions VPN offre une possibilit de garantir cette scurit et on peut alors penser la possibilit d'allier le confort d'utilisation d'un rseau sans fil la scurit des donnes qu'on transmet
Conclusion
46