VPN sous Linux Essaka Cynthia Serbin Laurent. Sommaire  Introduction  Vpnd  LRP  Freeswan.

Présentation au sujet: "VPN sous Linux Essaka Cynthia Serbin Laurent. Sommaire  Introduction  Vpnd  LRP  Freeswan."— Transcription de la présentation:

1 VPN sous Linux Essaka Cynthia Serbin Laurent

2 Sommaire  Introduction  Vpnd  LRP  Freeswan

3 Introduction  Objectifs du projet  Qu’est ce qu’un VPN  Les solutions possibles

4 Objectifs du projet  Mise en place d’un serveur VPN sous Linux  Lecture en crypté d’un répertoire partagé par un client Windows Win98 Répertoire partagé Serveur VPN Firewall Linux INTERNET Client Cisco VPN Win 98/2k Lecture du répertoire

5 Notre Réseau INTERNET 192.168.6.1192.168.6.2 193.54.233.187 Serveur VPN linux Firewall Passerelle 192.168.6.0/24 Windows 98 Client Cisco Vpn pour Windows Passerelle Internet

6 Qu’est ce qu’un VPN - Utilisation d’Internet_réseau public_ pour transférer données privées en toute sécurité - Accès privé aux informations à grande distance - Exécution sécurisée d’applications à distance

7 Mise en place du VPN avec Vpnd  Le démon vpnd connexion entre 2 réseaux - via Tcp/Ip ou - une ligne louée

8 Fichiers de configuration de Vpnd  Fichier de configuration vpnd.conf –1 machine configuré en mode serveur client x.x.x.x server y.y.y.y local 192.168.1.x remote 192.168.2.y – 1 machine configuré en mode client client x.x.x.x server y.y.y.y local 192.168.1.x remote 192.168.2.y  Configuration du routage et du firewall

9 Mise en place du VPN avec LRP  Linux Router Project –Module LRP conçu à partir du noyau linux

10 VPN avec Freeswan  Le protocole Ipsec implémenté par Freeswan

11 VPN avec Freeswan Avant l’installation –Vérifier que le noyau est compilé avec ces options

12 VPN avec Freeswan  Avant installation –Vérifier l’existence du répertoire linux sous usr/src –S’il n’existe pas : Télécharger un patch d’installation des sources linux Ré- installer Linux  Installation –Configuration et installation du noyau –Installation classique de Freeswan (décompression du fichier téléchargé sous usr/src) –Re- démarrez  Vérification –dmesg |grep -i ipsec (renvoie le numéro de version de freeswan installé)

13 VPN avec Freeswan  Vérification –dmesg |grep -i ipsec (renvoie le numéro de version de freeswan installé)

14 VPN avec Freeswan  Les fichiers utiles installés dans /etc/freeswan –Le fichier de configuration: Ipsec.conf –Le ficher secret: ipsec.secrets (génération clés)

15 Configuration du serveur IPSEC  Le fichier Ipsec.conf Conn connexion_vpn #nom de la connexion left=%any leftid= authby=secret #authentification avec la méthode des secrets partagés right=193.54.233.187 rightsubnet=192.168.6.1/24 rightnexthop=193.54.233.129 #passerelle droite Auto=add#type de démarrage d’Ipsec : start: automatique add: à la demande d’un client

16 Configuration du serveur IPsec  Le fichier Ipsec.secrets –Génération de clé par un logiciel (PGP) –Ou alors: PSK "CeciEstMaPhraseSecretePartagee" chmod 600 /etc/ipsec.secrets pour sécuriser la clé

17 Connexion Client Linux  Linux / Linux –Fichiers ipsec.conf « Client » conn connexion _vpn left=%defaultroute # ou ppp0 pour prendre votre modem ou Ipsec0 pour prendre la carte réseau leftid= authby=secret right=193.54.233.187 rightsubnet=192.168.6.0/24 rightnexthop=193.54.233.129 auto=add

18 Connexion Client Linux  Le fichier ipsec.secrets – PSK "CeciEstMaPhraseSecretePartagee " –chmod 600 /etc/ipsec.secrets pour sécuriser la clé

19 Connexion Client Windows  Linux / Windows –Linux : serveur VPN (idem) –Windows : client Cisco VPN pour Windows –Client PGPnet

20 Configuration Client Cisco VPN pour Windows  lancer le programme Security Policy Editor  ouvrir une nouvelle connexion avec: Start > Programmes > Safenet Soft-PK > Security Policy EditorFile > New Connection  entrer un nom pour la connexion, comme par exemple VPN  configurer les paramètres de la connexion: –Connection Security : Secure –Remote Party Identity and Adressing : IP Subnet –Enter the rightsubnet (10.10.1.0) –Enter its netmask (255.255.255.0) –Protocol : ALL –Selectionner 'Connect using Secure Gateway Tunnne l'ID Type : IP Address Enter right gateway IP address (193.54.233.129) La liste déroulante Remote Party Identity and Adressing, nous permet de choisir plusieurs modede fonctionnement: Host-to-Host, Host-to-LAN, etc. –Configurer la connexion bloc Identity Select Certificate = none ID Type : IP Address Port : ALL Local Network Interface : Sélectionner l'interface utilisée  Commande ipsec setup start  ipsec whack –statusw –On s’assure qu’il n y a aucune erreur –Démarrage du script init: ipsec  ipsec --auto up VPN (vpn est le nom de la connexion). –Activation du tunnel crypté – à taper des deux côtés des 2 côtés

21 Client Cisco VPN  Configuration du secret partagé  Yyret –Selectionner l'objet Security Policy et le configurer comme de suit: Phase 1 negociation mode : Main Mode –Selectioner 'Enable Perfect Forward Secrecy –'PFS Key Group : Diffie-Hellman Group 1 –Selectionner 'Enable Replay Protection‘ Ouvrir l'objet Authentication - Proposal 1 –. Authentication Method : Pre-shared Key –Encrypt Alg : Tripple DES –Hash Alg : MD5 (algorythme de hachage) –SA Life : Seconds – 18000 –Key Group : Diffie-Hellman Group 1 Ouvrir l'objet Key Exchange –Proposal 1. –Selectionner 'Encapsulation Protocol (ESP) –'Encrypt Alg : Tripple DES –Hash Alg : MD5 –SA Life : Seconds - 18000 S –Sauver enfin la configuration: File - Save Changes

22 Client Cisco Vpn –Ouvrir l'objet Key Exchange –Proposal 1. –Selectionner 'Encapsulation Protocol (ESP) –'Encrypt Alg : Tripple DES –Hash Alg : MD5 –SA Life : Seconds - 18000 S –Sauver enfin la configuration: File - Save Changes

23 Démarrage de la connexion  Commande ipsec setup start  ipsec whack –statusw –On s’assure qu’il n y a aucune erreur –Démarrage du script init: ipsec  ipsec --auto up VPN (vpn est le nom de la connexion). –Activation du tunnel crypté ces commandes sont à taper des deux côtés des 2 côtés !