Follow Techotopia on Twitter

On-line Guides
All Guides
eBook Store
iOS / Android
Linux for Beginners
Office Productivity
Linux Installation
Linux Security
Linux Utilities
Linux Virtualization
Linux Kernel
System/Network Admin
Programming
Scripting Languages
Development Tools
Web Development
GUI Toolkits/Desktop
Databases
Mail Systems
openSolaris
Eclipse Documentation
Techotopia.com
Virtuatopia.com
Answertopia.com

How To Guides
Virtualization
General System Admin
Linux Security
Linux Filesystems
Web Servers
Graphics & Desktop
PC Hardware
Windows
Problem Solutions
Privacy Policy

  




 

 

Linuxtopia - Red Hat Enterprise Linux - Guide de securite - Configuration d'h�te � h�te via IPsec

6.4. Configuration d'h�te � h�te via IPsec

Le protocole IPsec peut �tre configur� de sorte � connecter un bureau ou un poste de travail � un autre au moyen d'une connexion d'h�te � h�te. Ce type de connexion utilise le r�seau auquel chaque h�te est connect� pour cr�er un tunnel s�curis� entre eux. Les pr�-requis d'une connexion d'h�te � h�te sont minimaux, tout comme la configuration d'IPsec sur chaque h�te. Pour cr�er une connexion IPsec, tout ce dont les h�tes ont besoin est une connexion d�di�e � un r�seau porteur (comme l'internet) et Red Hat Enterprise Linux.

La premi�re �tape dans la cr�ation d'une connexion consiste � recueillir des informations sur le syst�me et sur le r�seau s'appliquant � chaque poste de travail. Pour une connexion d'h�te � h�te, les informations suivantes sont n�cessaires�:

  • L'adresse IP des deux h�tes

  • Un nom unique pour identifier la connexion IPsec et la diff�rencier d'autres p�riph�riques ou connexions (par exemple, ipsec0)

  • Une cl� fixe ou g�n�r�e automatiquement par racoon

  • Une cl� d'authentification pr�-partag�e qui est utilis�e pour �tablir la connexion et effectuer l'�change des cl�s de cryptage lors de la session.

Par exemple, imaginez que le poste de travail A et le poste de travail B souhaitent se connecter � l'un et l'autre gr�ce � un tunnel IPsec. Ils souhaitent utiliser une cl� pr�-partag�e avec la valeur foobarbaz et les utilisateurs acceptent de laisser racoon g�n�rer automatiquement et partager une cl� d'authentification entre chaque h�te. Les deux utilisateurs h�tes d�cident de nommer leurs connexions ipsec0.

L'extrait ci-dessous est un exemple de fichier ifcfg pour une connexion IPsec d'h�te � h�te d'un poste de travail A � un poste de travail B (le nom unique pour l'identification de la connexion est ipsec0, le fichier cr�� se nomme donc /etc/sysconfig/network-scripts/ifcfg-ipsec0)�:

DST=X.X.X.X
TYPE=IPSEC
ONBOOT=yes
IKE_METHOD=PSK

Le poste de travail A devrait remplacer X.X.X.X par l'adresse IP du poste de travail B, alors que ce dernier devrait remplacer X.X.X.X par l'adresse IP du poste de travail A. La connexion est d�finie de mani�re � �tre lanc�e au d�marrage (ONBOOT=yes) et utilise la m�thode de cl� pr�-partag�e d'authentification (IKE_METHOD=PSK).

L'extrait suivant repr�sente un fichier de cl�s pr�-partag�es (nomm� /etc/sysconfig/network-scripts/keys-ipsec0) que les deux postes de travail utilisent pour s'authentifier l'un aupr�s de l'autre. Le contenu de ce fichier devrait �tre identique sur les deux postes et ne devrait pouvoir �tre lu et �crit que par le super-utilisateur (root).

IKE_PSK=foobarbaz

ImportantImportant
 

Pour changer le fichier keys-ipsec0 de mani�re � ce que seul le super-utilisateur puisse lire et modifier ce fichier, ex�cutez la commande suivante apr�s avoir cr�� le fichier en question�:

chmod 600 /etc/sysconfig/network-scripts/keys-ipsec0

Pour changer la cl� d'authentification, �ditez le fichier keys-ipsec0 sur les deux postes de travail. Les deux cl�s doivent �tre identiques pour une meilleure connectivit�.

L'extrait ci-dessous correspond au fichier de configuration pour la premi�re phase de connexion � un h�te distant. Le fichier porte le nom X.X.X.X.conf (X.X.X.X est remplac� par l'adresse IP du routeur IPsec distant). Notez que ce fichier est automatiquement g�n�r� une fois que le tunnel IPsec est activ� et ne devrait pas �tre directement �dit�.

;
remote X.X.X.X
{
        exchange_mode aggressive, main;
        my_identifier address;
        proposal {
                encryption_algorithm 3des;
                hash_algorithm sha1;
                authentication_method pre_shared_key;
                dh_group 2 ;
        }
}

Le fichier de configuration par d�faut de la phase 1 cr�� lorsqu'une connexion IPsec est initialis�e, contient les instructions suivantes utilis�es par l'impl�mentation Red Hat Enterprise Linux d'IPsec�:

remote X.X.X.X

Sp�cifie que les stanzas subs�quents de ce fichier de configuration s'appliquent uniquement au noeud distant identifi� par l'adresse IP X.X.X.X.

exchange_mode aggressive

La configuration par d�faut pour IPsec sur Red Hat Enterprise Linux utilise un mode d'authentification agressif qui r�duit le d�passement de connexions tout en permettant la configuration de plusieurs connexions IPsec avec plusieurs h�tes.

my_identifier address

D�finit la m�thode d'identification � utiliser lors de l'authentification de noeuds. Red Hat Enterprise Linux utilise les adresses IP pour identifier les noeuds.

encryption_algorithm 3des

D�finit le chiffre de cryptage utilis� durant l'authentification. 3DES (Triple Data Encryption Standard) est utilis� par d�faut.

hash_algorithm sha1;

Sp�cifie l'algorithme de hachage utilis� durant la n�gociation de la premi�re phase entre les noeuds. La version 1 de Secure Hash Algorithm est utilis� par d�faut.

authentication_method pre_shared_key

D�finit la m�thode d'authentification utilis�e durant la n�gociation entre noeuds. Red Hat Enterprise Linux utilise par d�faut les cl�s pr�-partag�es pour l'authentification.

dh_group 2

Sp�cifie le num�ro de groupe Diffie-Hellman pour �tablir les cl�s de session g�n�r�es dynamiquement. Le groupe 1024-bit est utilis� par d�faut.

Les fichiers /etc/racoon/racoon.conf devraient �tre identiques sur tous les noeuds IPsec � part l'instruction include "/etc/racoon/X.X.X.X.conf". Cette derni�re (et le fichier auquel elle fait r�f�rence) est g�n�r�e lorsque le tunnel IPsec est activ�. Pour le poste de travail A, X.X.X.X dans l'instruction include repr�sente l'adresse IP du poste de travail B. Le cas contraire est vrai pour le poste de travail B. L'exemple suivant repr�sente un fichier racoon.conf typique lorsque la connexion IPsec est activ�e.

# Racoon IKE daemon configuration file.
# See 'man racoon.conf' for a description of the format and entries.

path include "/etc/racoon";
path pre_shared_key "/etc/racoon/psk.txt";
path certificate "/etc/racoon/certs";

sainfo anonymous
{
	pfs_group 2;
	lifetime time 1 hour ;
	encryption_algorithm 3des, blowfish 448, rijndael ;
	authentication_algorithm hmac_sha1, hmac_md5 ;
	compression_algorithm deflate ;
}
include "/etc/racoon/X.X.X.X.conf"

Ce fichier racoon.conf par d�faut inclut les chemins d�finis pour la configuration IPsec, les fichiers de cl�s pr�-partag�es et les certificats. Les champs de sainfo anonymous d�crivent la SA de la deuxi�me phase entre les noeuds IPsec — la nature de la connexion IPsec (y compris les algorithmes de cryptage support�s utilis�s) et la m�thode d'�change de cl�s. La liste suivante d�finit les champs de la deuxi�me phase�:

sainfo anonymous

D�note que la SA peut �tre initialis�e de fa�on anonyme avec tout pair de fa�on � ce que les r�f�rences IPsec correspondent.

pfs_group 2

D�finit le protocole d'�change de cl�s Diffie-Hellman qui d�termine la m�thode avec laquelle les noeuds IPsec �tablissent une cl� de session temporaire mutuelle pour la deuxi�me phase de la connectivit� IPsec. Par d�faut, l'impl�mentation Red Hat Enterprise Linux d'IPsec utilise le groupe 2 (ou modp1024) des groupes d'�change de cl�s cryptographiques Diffie-Hellman. Ce groupe utilise une exponentiation modulaire de 1024-bit qui emp�che les agresseurs de d�crypter les transmissions IPsec pr�c�dentes m�me si la cl� priv�e est compromise.

lifetime time 1 hour

Ce param�tre sp�cifie le cycle de vie d'une SA et peut �tre quantifi� par dur�e de temps ou par octets de donn�es. L'impl�mentation Red Hat Enterprise Linux d'IPsec sp�cifie une dur�e de vie d'une heure.

encryption_algorithm 3des, blowfish 448, rijndael

Sp�cifie les chiffres de cryptage support�s pour la deuxi�me phase. Red Hat Enterprise Linux supporte 3DES, 448-bit Blowfish et Rijndael (le chiffre utilis� dans AES, de l'anglais Advanced Encryption Standard).

authentication_algorithm hmac_sha1, hmac_md5

Liste les algorithmes de hachage support�s pour l'authentification. Les modes support�s sont les codes de hachage d'authentification de message (HMAC) sha1 et md5.

compression_algorithm deflate

D�finit l'algorithme de compression Deflate pour le support IPCOMP (IP Payload Compression) qui permet des transmissions de datagrammes d'IP plus rapides sur des connexions lentes.

Pour lancer la connexion, red�marrez le poste de travail ou ex�cutez la commande suivante en tant que super-utilisateur sur chaque h�te�:

/sbin/ifup ipsec0

Pour tester la connexion IPsec, ex�cutez l'utilitaire tcpdump afin d'afficher les paquets r�seau transf�r�s entre les h�tes (ou les r�seaux) et v�rifiez qu'ils sont bien crypt�s via IPsec. Le paquet devrait inclure un en-t�te AH et devrait appara�tre comme paquet ESP. ESP signifie qu'il est crypt�. Par exemple�:

17:13:20.617872 pinky.example.com > ijin.example.com: \
	    AH(spi=0x0aaa749f,seq=0x335): ESP(spi=0x0ec0441e,seq=0x335) (DF)

 
 
  Published under the terms of the GNU General Public License Design by Interspire