VPN sous Linux Essaka Cynthia Serbin Laurent

Sommaire  Introduction  Vpnd  LRP  Freeswan

Introduction  Objectifs du projet  Qu’est ce qu’un VPN  Les solutions possibles

Objectifs du projet  Mise en place d’un serveur VPN sous Linux  Lecture en crypté d’un répertoire partagé par un client Windows Win98 Répertoire partagé Serveur VPN Firewall Linux INTERNET Client Cisco VPN Win 98/2k Lecture du répertoire

Notre Réseau INTERNET Serveur VPN linux Firewall Passerelle /24 Windows 98 Client Cisco Vpn pour Windows Passerelle Internet

Qu’est ce qu’un VPN - Utilisation d’Internet_réseau public_ pour transférer données privées en toute sécurité - Accès privé aux informations à grande distance - Exécution sécurisée d’applications à distance

Mise en place du VPN avec Vpnd  Le démon vpnd connexion entre 2 réseaux - via Tcp/Ip ou - une ligne louée

Fichiers de configuration de Vpnd  Fichier de configuration vpnd.conf –1 machine configuré en mode serveur client x.x.x.x server y.y.y.y local x remote y – 1 machine configuré en mode client client x.x.x.x server y.y.y.y local x remote y  Configuration du routage et du firewall

Mise en place du VPN avec LRP  Linux Router Project –Module LRP conçu à partir du noyau linux

VPN avec Freeswan  Le protocole Ipsec implémenté par Freeswan

VPN avec Freeswan Avant l’installation –Vérifier que le noyau est compilé avec ces options

VPN avec Freeswan  Avant installation –Vérifier l’existence du répertoire linux sous usr/src –S’il n’existe pas : Télécharger un patch d’installation des sources linux Ré- installer Linux  Installation –Configuration et installation du noyau –Installation classique de Freeswan (décompression du fichier téléchargé sous usr/src) –Re- démarrez  Vérification –dmesg |grep -i ipsec (renvoie le numéro de version de freeswan installé)

VPN avec Freeswan  Vérification –dmesg |grep -i ipsec (renvoie le numéro de version de freeswan installé)

VPN avec Freeswan  Les fichiers utiles installés dans /etc/freeswan –Le fichier de configuration: Ipsec.conf –Le ficher secret: ipsec.secrets (génération clés)

Configuration du serveur IPSEC  Le fichier Ipsec.conf Conn connexion_vpn #nom de la connexion left=%any leftid= authby=secret #authentification avec la méthode des secrets partagés right= rightsubnet= /24 rightnexthop= #passerelle droite Auto=add#type de démarrage d’Ipsec : start: automatique add: à la demande d’un client

Configuration du serveur IPsec  Le fichier Ipsec.secrets –Génération de clé par un logiciel (PGP) –Ou alors: PSK "CeciEstMaPhraseSecretePartagee" chmod 600 /etc/ipsec.secrets pour sécuriser la clé

Connexion Client Linux  Linux / Linux –Fichiers ipsec.conf « Client » conn connexion _vpn left=%defaultroute # ou ppp0 pour prendre votre modem ou Ipsec0 pour prendre la carte réseau leftid= authby=secret right= rightsubnet= /24 rightnexthop= auto=add

Connexion Client Linux  Le fichier ipsec.secrets – PSK "CeciEstMaPhraseSecretePartagee " –chmod 600 /etc/ipsec.secrets pour sécuriser la clé

Connexion Client Windows  Linux / Windows –Linux : serveur VPN (idem) –Windows : client Cisco VPN pour Windows –Client PGPnet

Configuration Client Cisco VPN pour Windows  lancer le programme Security Policy Editor  ouvrir une nouvelle connexion avec: Start > Programmes > Safenet Soft-PK > Security Policy EditorFile > New Connection  entrer un nom pour la connexion, comme par exemple VPN  configurer les paramètres de la connexion: –Connection Security : Secure –Remote Party Identity and Adressing : IP Subnet –Enter the rightsubnet ( ) –Enter its netmask ( ) –Protocol : ALL –Selectionner 'Connect using Secure Gateway Tunnne l'ID Type : IP Address Enter right gateway IP address ( ) La liste déroulante Remote Party Identity and Adressing, nous permet de choisir plusieurs modede fonctionnement: Host-to-Host, Host-to-LAN, etc. –Configurer la connexion bloc Identity Select Certificate = none ID Type : IP Address Port : ALL Local Network Interface : Sélectionner l'interface utilisée  Commande ipsec setup start  ipsec whack –statusw –On s’assure qu’il n y a aucune erreur –Démarrage du script init: ipsec  ipsec --auto up VPN (vpn est le nom de la connexion). –Activation du tunnel crypté – à taper des deux côtés des 2 côtés

Client Cisco VPN  Configuration du secret partagé  Yyret –Selectionner l'objet Security Policy et le configurer comme de suit: Phase 1 negociation mode : Main Mode –Selectioner 'Enable Perfect Forward Secrecy –'PFS Key Group : Diffie-Hellman Group 1 –Selectionner 'Enable Replay Protection‘ Ouvrir l'objet Authentication - Proposal 1 –. Authentication Method : Pre-shared Key –Encrypt Alg : Tripple DES –Hash Alg : MD5 (algorythme de hachage) –SA Life : Seconds – –Key Group : Diffie-Hellman Group 1 Ouvrir l'objet Key Exchange –Proposal 1. –Selectionner 'Encapsulation Protocol (ESP) –'Encrypt Alg : Tripple DES –Hash Alg : MD5 –SA Life : Seconds S –Sauver enfin la configuration: File - Save Changes

Client Cisco Vpn –Ouvrir l'objet Key Exchange –Proposal 1. –Selectionner 'Encapsulation Protocol (ESP) –'Encrypt Alg : Tripple DES –Hash Alg : MD5 –SA Life : Seconds S –Sauver enfin la configuration: File - Save Changes

Démarrage de la connexion  Commande ipsec setup start  ipsec whack –statusw –On s’assure qu’il n y a aucune erreur –Démarrage du script init: ipsec  ipsec --auto up VPN (vpn est le nom de la connexion). –Activation du tunnel crypté ces commandes sont à taper des deux côtés des 2 côtés !