Follow Techotopia on Twitter

On-line Guides
All Guides
eBook Store
iOS / Android
Linux for Beginners
Office Productivity
Linux Installation
Linux Security
Linux Utilities
Linux Virtualization
Linux Kernel
System/Network Admin
Programming
Scripting Languages
Development Tools
Web Development
GUI Toolkits/Desktop
Databases
Mail Systems
openSolaris
Eclipse Documentation
Techotopia.com
Virtuatopia.com
Answertopia.com

How To Guides
Virtualization
General System Admin
Linux Security
Linux Filesystems
Web Servers
Graphics & Desktop
PC Hardware
Windows
Problem Solutions
Privacy Policy

  




 

 

NOTE: CentOS Enterprise Linux is built from the Red Hat Enterprise Linux source code. Other than logo and name changes CentOS Enterprise Linux is compatible with the equivalent Red Hat version. This document applies equally to both Red Hat and CentOS Enterprise Linux.
Linuxtopia - CentOS Enterprise Linux - Guide de securite - Configuration d'h�te � h�te via IPsec

6.4. Configuration d'h�te � h�te via IPsec

Le protocole IPsec peut �tre configur� de sorte � connecter un bureau ou un poste de travail � un autre au moyen d'une connexion d'h�te � h�te. Ce type de connexion utilise le r�seau auquel chaque h�te est connect� pour cr�er un tunnel s�curis� entre eux. Les pr�-requis d'une connexion d'h�te � h�te sont minimaux, tout comme la configuration d'IPsec sur chaque h�te. Pour cr�er une connexion IPsec, tout ce dont les h�tes ont besoin est une connexion d�di�e � un r�seau porteur (comme l'internet) et Red Hat Enterprise Linux.

La premi�re �tape dans la cr�ation d'une connexion consiste � recueillir des informations sur le syst�me et sur le r�seau s'appliquant � chaque poste de travail. Pour une connexion d'h�te � h�te, les informations suivantes sont n�cessaires�:

  • L'adresse IP des deux h�tes

  • Un nom unique pour identifier la connexion IPsec et la diff�rencier d'autres p�riph�riques ou connexions (par exemple, ipsec0)

  • Une cl� fixe ou g�n�r�e automatiquement par racoon

  • Une cl� d'authentification pr�-partag�e qui est utilis�e pour �tablir la connexion et effectuer l'�change des cl�s de cryptage lors de la session.

Par exemple, imaginez que le poste de travail A et le poste de travail B souhaitent se connecter � l'un et l'autre gr�ce � un tunnel IPsec. Ils souhaitent utiliser une cl� pr�-partag�e avec la valeur foobarbaz et les utilisateurs acceptent de laisser racoon g�n�rer automatiquement et partager une cl� d'authentification entre chaque h�te. Les deux utilisateurs h�tes d�cident de nommer leurs connexions ipsec0.

L'extrait ci-dessous est un exemple de fichier ifcfg pour une connexion IPsec d'h�te � h�te d'un poste de travail A � un poste de travail B (le nom unique pour l'identification de la connexion est ipsec0, le fichier cr�� se nomme donc /etc/sysconfig/network-scripts/ifcfg-ipsec0)�:

DST=X.X.X.X
TYPE=IPSEC
ONBOOT=yes
IKE_METHOD=PSK

Le poste de travail A devrait remplacer X.X.X.X par l'adresse IP du poste de travail B, alors que ce dernier devrait remplacer X.X.X.X par l'adresse IP du poste de travail A. La connexion est d�finie de mani�re � �tre lanc�e au d�marrage (ONBOOT=yes) et utilise la m�thode de cl� pr�-partag�e d'authentification (IKE_METHOD=PSK).

L'extrait suivant repr�sente un fichier de cl�s pr�-partag�es (nomm� /etc/sysconfig/network-scripts/keys-ipsec0) que les deux postes de travail utilisent pour s'authentifier l'un aupr�s de l'autre. Le contenu de ce fichier devrait �tre identique sur les deux postes et ne devrait pouvoir �tre lu et �crit que par le super-utilisateur (root).

IKE_PSK=foobarbaz

ImportantImportant
 

Pour changer le fichier keys-ipsec0 de mani�re � ce que seul le super-utilisateur puisse lire et modifier ce fichier, ex�cutez la commande suivante apr�s avoir cr�� le fichier en question�:

chmod 600 /etc/sysconfig/network-scripts/keys-ipsec0

Pour changer la cl� d'authentification, �ditez le fichier keys-ipsec0 sur les deux postes de travail. Les deux cl�s doivent �tre identiques pour une meilleure connectivit�.

L'extrait ci-dessous correspond au fichier de configuration pour la premi�re phase de connexion � un h�te distant. Le fichier porte le nom X.X.X.X.conf (X.X.X.X est remplac� par l'adresse IP du routeur IPsec distant). Notez que ce fichier est automatiquement g�n�r� une fois que le tunnel IPsec est activ� et ne devrait pas �tre directement �dit�.

;
remote X.X.X.X
{
        exchange_mode aggressive, main;
        my_identifier address;
        proposal {
                encryption_algorithm 3des;
                hash_algorithm sha1;
                authentication_method pre_shared_key;
                dh_group 2 ;
        }
}

Le fichier de configuration par d�faut de la phase 1 cr�� lorsqu'une connexion IPsec est initialis�e, contient les instructions suivantes utilis�es par l'impl�mentation Red Hat Enterprise Linux d'IPsec�:

remote X.X.X.X

Sp�cifie que les stanzas subs�quents de ce fichier de configuration s'appliquent uniquement au noeud distant identifi� par l'adresse IP X.X.X.X.

exchange_mode aggressive

La configuration par d�faut pour IPsec sur Red Hat Enterprise Linux utilise un mode d'authentification agressif qui r�duit le d�passement de connexions tout en permettant la configuration de plusieurs connexions IPsec avec plusieurs h�tes.

my_identifier address

D�finit la m�thode d'identification � utiliser lors de l'authentification de noeuds. Red Hat Enterprise Linux utilise les adresses IP pour identifier les noeuds.

encryption_algorithm 3des

D�finit le chiffre de cryptage utilis� durant l'authentification. 3DES (Triple Data Encryption Standard) est utilis� par d�faut.

hash_algorithm sha1;

Sp�cifie l'algorithme de hachage utilis� durant la n�gociation de la premi�re phase entre les noeuds. La version 1 de Secure Hash Algorithm est utilis� par d�faut.

authentication_method pre_shared_key

D�finit la m�thode d'authentification utilis�e durant la n�gociation entre noeuds. Red Hat Enterprise Linux utilise par d�faut les cl�s pr�-partag�es pour l'authentification.

dh_group 2

Sp�cifie le num�ro de groupe Diffie-Hellman pour �tablir les cl�s de session g�n�r�es dynamiquement. Le groupe 1024-bit est utilis� par d�faut.

Les fichiers /etc/racoon/racoon.conf devraient �tre identiques sur tous les noeuds IPsec � part l'instruction include "/etc/racoon/X.X.X.X.conf". Cette derni�re (et le fichier auquel elle fait r�f�rence) est g�n�r�e lorsque le tunnel IPsec est activ�. Pour le poste de travail A, X.X.X.X dans l'instruction include repr�sente l'adresse IP du poste de travail B. Le cas contraire est vrai pour le poste de travail B. L'exemple suivant repr�sente un fichier racoon.conf typique lorsque la connexion IPsec est activ�e.

# Racoon IKE daemon configuration file.
# See 'man racoon.conf' for a description of the format and entries.

path include "/etc/racoon";
path pre_shared_key "/etc/racoon/psk.txt";
path certificate "/etc/racoon/certs";

sainfo anonymous
{
	pfs_group 2;
	lifetime time 1 hour ;
	encryption_algorithm 3des, blowfish 448, rijndael ;
	authentication_algorithm hmac_sha1, hmac_md5 ;
	compression_algorithm deflate ;
}
include "/etc/racoon/X.X.X.X.conf"

Ce fichier racoon.conf par d�faut inclut les chemins d�finis pour la configuration IPsec, les fichiers de cl�s pr�-partag�es et les certificats. Les champs de sainfo anonymous d�crivent la SA de la deuxi�me phase entre les noeuds IPsec — la nature de la connexion IPsec (y compris les algorithmes de cryptage support�s utilis�s) et la m�thode d'�change de cl�s. La liste suivante d�finit les champs de la deuxi�me phase�:

sainfo anonymous

D�note que la SA peut �tre initialis�e de fa�on anonyme avec tout pair de fa�on � ce que les r�f�rences IPsec correspondent.

pfs_group 2

D�finit le protocole d'�change de cl�s Diffie-Hellman qui d�termine la m�thode avec laquelle les noeuds IPsec �tablissent une cl� de session temporaire mutuelle pour la deuxi�me phase de la connectivit� IPsec. Par d�faut, l'impl�mentation Red Hat Enterprise Linux d'IPsec utilise le groupe 2 (ou modp1024) des groupes d'�change de cl�s cryptographiques Diffie-Hellman. Ce groupe utilise une exponentiation modulaire de 1024-bit qui emp�che les agresseurs de d�crypter les transmissions IPsec pr�c�dentes m�me si la cl� priv�e est compromise.

lifetime time 1 hour

Ce param�tre sp�cifie le cycle de vie d'une SA et peut �tre quantifi� par dur�e de temps ou par octets de donn�es. L'impl�mentation Red Hat Enterprise Linux d'IPsec sp�cifie une dur�e de vie d'une heure.

encryption_algorithm 3des, blowfish 448, rijndael

Sp�cifie les chiffres de cryptage support�s pour la deuxi�me phase. Red Hat Enterprise Linux supporte 3DES, 448-bit Blowfish et Rijndael (le chiffre utilis� dans AES, de l'anglais Advanced Encryption Standard).

authentication_algorithm hmac_sha1, hmac_md5

Liste les algorithmes de hachage support�s pour l'authentification. Les modes support�s sont les codes de hachage d'authentification de message (HMAC) sha1 et md5.

compression_algorithm deflate

D�finit l'algorithme de compression Deflate pour le support IPCOMP (IP Payload Compression) qui permet des transmissions de datagrammes d'IP plus rapides sur des connexions lentes.

Pour lancer la connexion, red�marrez le poste de travail ou ex�cutez la commande suivante en tant que super-utilisateur sur chaque h�te�:

/sbin/ifup ipsec0

Pour tester la connexion IPsec, ex�cutez l'utilitaire tcpdump afin d'afficher les paquets r�seau transf�r�s entre les h�tes (ou les r�seaux) et v�rifiez qu'ils sont bien crypt�s via IPsec. Le paquet devrait inclure un en-t�te AH et devrait appara�tre comme paquet ESP. ESP signifie qu'il est crypt�. Par exemple�:

17:13:20.617872 pinky.example.com > ijin.example.com: \
	    AH(spi=0x0aaa749f,seq=0x335): ESP(spi=0x0ec0441e,seq=0x335) (DF)

 
 
  Published under the terms of the GNU General Public License Design by Interspire