dhcp over ipsec
DESCRIPTION
Dans tous les scénarios d'accès distants, on aimerait avoir un mécanisme pour faire apparaître les clients distants comme faisant partie du propre réseau local. Cela peut être effectué en assignant une adresse virtuelle depuis le LAN de l'entreprise, via un tunnel IPSec. Dans l'entreprise ce mécanisme se trouve implémenté dans le protocole DHCP (Dynamic Host Configuration Protocol). Ce document s’inspire du draft de l’IETF : draft-ietf-ipsec-dhcp-13.txt. Il explore les différentTRANSCRIPT
�
�
�
�
����������� �
��������������� ����
���������������
� �
� � � �� �� � � � � �� �� �� � �� �� � �� � � �� � �� ��� � �� � �� � � � � � � �� � ��� �� ��� ������������������
�������������� ��������� ��� � � � ��������� ���������
DHCP-over-IPSec Page 2
�
DHCP over IPSec Dans tous les scénarios d'accès distants, on aimerait avoir un mécanisme pour faire apparaître les clients distants comme faisant partie du propre réseau local. Cela peut être effectué en assignant une adresse virtuelle depuis le LAN de l'entreprise, via un tunnel IPSec. Dans l'entreprise ce mécanisme se trouve implémenté dans le protocole DHCP (Dynamic Host Configuration Protocol). Ce document s’inspire du draft de l’IETF : draft-ietf-ipsec-dhcp-13.txt. Il explore les différents besoins pour utiliser le protocole DHCP dans un tunnel IPSec.
Table des matières DHCP over IPSec...................................................................................................... 2
Table des matières ................................................................................................. 2 Introduction........................................................................................................... 2 Scénario typique.................................................................................................... 3 Description des configurations............................................................................... 3 Mots clés ............................................................................................................... 4
Introduction IPSec est un protocole défini pour sécuriser les connexions réseau entre pairs. Une fonctionnalité offerte est celle de l'accès réseaux distant: un client se connecte à un gateway VPN utilisant le mode tunnel d'IPSec et il reçoit une adresse IP virtuelle, routable, de son entreprise . Ce document explique ce processus.
�������������� ��������� ��� � � � ��������� ���������
DHCP-over-IPSec Page 3
�
Scénario typique Un client distant se connecte à un gateway VPN et il établit un tunnel IPSec. Le client va ensuite interroger un serveur DHCPv4 qui lui fournit une adresse routable faisant partie d'une classe de son entreprise. Le client va ensuite utiliser cette nouvelle adresse pour toute interaction avec son entreprise. A noter que le gateway VPN continue à reconnaître comme point final du tunnel l'adresse routable originale du client. L'identité virtuelle du client est vue, depuis le réseau local de l'entreprise, comme étant derrière un gateway VPN utilisant son adresse IP d'origine. Tout trafic entre le client distant et l'intranet est envoyé dans un tunnel IPSec via la passerelle VPN comme montré dans la figure suivante: � � � � � � ������������������������� � � ��������� �
Ce scénario implique que le client distant est déjà connecté à internet et que son interface réseau est bien configurée. Une configuration typique sur le client est celle d'une application utilisant deux adresses:
1. Une intérface pour se connéctér à internet (���������������� �) 2. Une intérface virtuelle pour se connéctér à l'intranet (���������������� �)
Les adresses IP des interfaces internet et intranet, sont utilisées respectivement pour les entêtes des paquets du mode tunnel de IPSec.
Description des configurations La configuration de l'interface internet du tunnel IPSec est faite comme décrit de suite:
1. Le client distant établit une association de sécurité SA avec la passerelle VPN dans un échange en main mode ou aggressive mode. Cette SA IKE est utilisée pour d'éventuelles SA en quick mode de IPSec.
2. Le client distant établit une SA DHCP avec le mode tunnel de IPSec avec la
passerelle (en quick mode). La SA DHCP est un tunnel IPSec pour la protection du trafic DHCP initial entre la passerelle et le client distant. La SA DHCP doit être utilisé uniquement pour le trafic DHCP.
��������������������������
�����������
��������
����
���������
����������� �������
������������!�
�������������� ��������� ��� � � � ��������� ���������
DHCP-over-IPSec Page 4
�
3. Les messages DHCP sont fait circuler entre le client distant et le serveur DHCP avec un relais DHCP. Le trafic est protégé entre la passerelle VPN et le client distant avec la SA DHCP établie auparavant. Une fois les négociations DHCP terminées, le client obtient l'adresse IP et d'autres paramètres de l'interface virtuelle intranet.
4. Le client peut demander l'effacement d'une SA DHCP à partir du moment que
les messages DHCP sont acheminés à travers un nouveau tunnel IPSec. Alternativement, les pairs peuvent continuer à utiliser la même SA pour tous les autres trafics.
5. Si on a besoin d'un nouveau tunnel, le client établit une tunnel mode SA avec
la passerelle en quick mode. Dans ce cas la nouvelle adresse obtenue via DHCP doit être utilisée dans l'ID du quick mode.
A la fin de la dernière phase, le client distant est prêt à communiquer avec l'intranet utilisant un tunnel IPSec. Tout trafic IP (les futurs messages DHCP inclus) entre le client et la passerelle est maintenant acheminé dans une tunnel mode SA de IPSec.
Mots clés IKE Internet Key Exchange Protocol NAT-T Traversal Network Address Translation DHCP Dynamic Host Configuration Protocol ESP Encapsulating Security Payload SA Security Association