firewall vpn

Upload: abderahmanzitouni

Post on 20-Jul-2015

103 views

Category:

Documents


4 download

TRANSCRIPT

Licence Professionnelle Rseaux, Communications et Ingnierie des Services - Projet Firewall VPN - 2003 Page 1 Universit de Toulon-Var Licence Professionnelle Rseaux, Communication et I ngnierie des Systmes Projet Mise en place dun pare-feu et dun rseau priv virtuel Hassen ABADLI A Olivier JACQ Aurlie LAMBI ON TASSON Fabrice LEFEVRE Licence Professionnelle Rseaux, Communications et Ingnierie des Services - Projet Firewall VPN - 2003 Page 2 Copyright( c)2003 Hassen ABADLI A, Ol i vier JACQ,Aurl ie LAMBI ON TASSON,Fabrice LEFEVRE. Permi ssion estaccode de copier,dist ribuer et / ou modi fier ce documentsel on les t ermes de l a Li cence de Document at ion Li bre GNU ( GNU Free Document at ion License) , version 1.1 ou t out e aut re versi on ul t ri eure publ ie par la Free Soft ware Foundat ion;avec les Sect i ons I nvarabl es quisontTabl e des Mat ires, avec l es Text es de Premi re de Couvert ure qui sontl e t i t re, etsans l es Text es de Quat rime de Couvert ure. Une copi e de l a prsent e Li cence esti ncl use sur le sit e ht t p: / / www. ideal x.org/ fr/ doc/ gfdl / gfdl.ht ml # t oc11 Licence Professionnelle Rseaux, Communications et Ingnierie des Services - Projet Firewall VPN - 2003 Page 3 1TABLE DES MATIERES 1TABLE DES MATIERES......................................................................... 3 2INTRODUCTION.................................................................................. 7 3ENGLISH ABSTRACT ........................................................................... 8 FIREWALL ...............................................ERREUR !SI GNET NON DEFI NI . 4PRESENTATION DU PROJET................................................................ 9 5ARCHITECTURE ET PRINCIPES DU FIREWALL................................... 10 5.1Prsentation .................................................................... 10 5.1.1DMZ ...................................................................................... 10 5.2Types de firewall ............................................................. 10 5.2.1.1Le filtrage de paquets ................................................................11 5.2.1.2Le filtrage dynamique ................................................................11 5.2.1.3Le filtrage applicatif ...................................................................12 5.3Aspect normatif en matire de firewall ............................ 12 6SOLUTIONS ...................................................................................... 13 6.1Matrielles....................................................................... 13 6.2Logicielles........................................................................ 13 6.2.1Windows............................................................................... 13 6.2.2Autres systme d'exploitation .............................................. 13 6.2.3GNU/Linux............................................................................ 13 6.2.3.1Distributions orients firewall ....................................................14 6.2.3.2Choix d'une distribution.............................................................14 7DEFINITION D'UNE POLITIQUE DE SECURITE .................................. 15 7.1Dfinition des ports ouvrir/fermer/forwarder .............. 15 7.2Aspects juridiques ........................................................... 16 7.2.1Loi Godfrain .......................................................................... 16 8MISE EN PLACE................................................................................. 17 8.1Architecture physique prsente ....................................... 17 8.2Scurisation de la machine .............................................. 17 8.2.1Physique............................................................................... 17 Licence Professionnelle Rseaux, Communications et Ingnierie des Services - Projet Firewall VPN - 2003 Page 4 8.2.1.1Suppression de l'accs au BIOS..................................................17 8.2.1.2Suppression de l'accs root la console.....................................18 8.2.1.3Suppression de l'accs au lecteur de CD.....................................18 8.2.1.4Suppression de l'arrt de la machine par CTRL-ALT-SUPPR........18 8.2.2Logique................................................................................. 18 8.2.2.1Configuration du noyau..............................................................18 9INTRUSION DETECTION SYSTEMS.................................................... 24 9.1Solutions existantes ........................................................ 24 9.1.1Snort..................................................................................... 24 9.1.2Prelude ................................................................................. 24 9.2Mise en place .................................. Er reur !Signetnon dfini. 10TESTS ............................................................................................ 25 10.1Routage ........................................................................... 25 10.2Scurit ........................................................................... 25 10.2.1Outils .................................................................................. 25 10.2.1.1Ps et lsof ..................................................................................25 10.2.1.2Nmap .......................................................................................25 10.2.1.3Nessus : ...................................................................................26 11ANNEXES ....................................................................................... 30 11.1Sources............................................................................ 30 11.2Fichiers de configuration ................................................. 30 11.3Rfrences....................................................................... 30 VPN................................................................................................. 31 12PRESENTATION DU PROJET ...................ERREUR !SI GNET NON DEFI NI . 13ARCHITECTURE ET PRINCIPE DU VPN............................................ 31 13.1Authentification............................................................... 31 13.2Chiffrement...................................................................... 31 13.3Protocoles et normes....................................................... 31 13.3.1PPTP (Point to Point Tunneling Protocol)............................ 31 13.3.2L2F (Layer 2 Forwarding) ................................................... 32 13.3.3L2TP (Layer 2 Tunneling Protocol)...................................... 32 13.3.4IPSec .................................................................................. 32 Licence Professionnelle Rseaux, Communications et Ingnierie des Services - Projet Firewall VPN - 2003 Page 5 13.3.4.1Authentification .......................................................................33 13.3.4.2Chiffrement..............................................................................35 13.3.4.3ISAKMP....................................................................................37 13.3.4.4Aspect lgislatif........................................................................41 13.4Solutions matrielles ....................................................... 41 13.5Solutions logicielles ......................................................... 41 13.5.1Windows ............................................................................. 41 13.5.2GNU/Linux.......................................................................... 41 14MISE EN PLACE.............................................................................. 42 14.1Installation sur GNU/Linux.............................................. 42 14.1.1Installation de FreeS/WAN................................................. 42 14.1.2Mise en place des certificats SSL......................................... 43 14.1.2.1Prambule concernant SSL et les certificats.............................43 14.1.2.2Cration de l'autorit de certification.......................................43 14.1.2.3Gnration du certificat du serveur VPN...................................45 14.1.2.4Configuration de FreeS/WAN sur la passerelle.........................47 14.1. 2. 4. 1I psec.secret s . ..... ..... ..... ..... ..... ..... ..... ..... ..... ..... ..... ..... ..... ..... .. 47 14.1. 2. 4. 2I psec.conf ..... ..... ..... ..... ..... ..... ..... ..... ..... ..... ..... ..... ..... ..... ..... .. 47 14.1.3Configuration du client........................................................ 48 14.1.3.1Configuration du client Windows 2000/XP...............................48 14.1. 3. 1. 1Pr- requis ..... ..... ..... ..... ..... ..... ..... ..... ..... ..... ..... ..... ..... ..... ..... .. 48 14.1. 3. 1. 2Crat ion du cert ificat RoadWarri or Cert i fi cat e . ..... ..... ..... ..... .. 48 14.1. 3. 1. 3Mi se en place du cert i fi cat ... ..... ..... ..... ..... ..... ..... ..... ..... ..... ..... .. 49 14.1.3.2Analyse des trames ..................................................................61 14.1.3.3Remarques...............................................................................69 14.2CONCLUSION................................................................... 69 15TESTS EN POINT A POINT.............................................................. 70 15.1Tests intrusion................................................................. 70 16ANNEXES ....................................................................................... 71 16.1Sources............................................................................ 71 16.2Fichiers de configuration ................................................. 72 16.3Rfrences....................................................................... 76 17ENGLISH ABSTRACT...............................ERREUR !SI GNET NON DEFI NI . Licence Professionnelle Rseaux, Communications et Ingnierie des Services - Projet Firewall VPN - 2003 Page 6 18CONCLUSION................................................................................. 77 Licence Professionnelle Rseaux, Communications et Ingnierie des Services - Projet Firewall VPN - 2003 Page 7 2INTRODUCTION I nt erneta suppl ant dans de nombreuses ent reprisesla l ocat i on de l ignesspci al ises ou de l ignes RNI S ddi es aux changes de donnes. LaccsI nt ernet est devenuenquel quesannesl apl usbel leport eouvert ela communi cat i onet l agl obali sat i ondunct ,et lapl usbel l eport eouvert eauxpi rat es i nformat iquesdel aut re.Quandil sagit delascurit - mmedesdonnesvit al esde l ent repri se,t out elat t ent ionsefocal isesurl admini st rat eurrseauqui sedoit auj ourdhui de mat riser parfai t ementce suj et . Lascuri sat i ondel accsI nt ernet est devenuunmt ierdespci ali st ecarlesout i l set l es mt hodesut i l issparl espi rat essont complexeset parconsquencelesmt hodeset lesout il s de scuri sat i on des rseaux pour les cont rer l e sontgalement . Danscedomai nequi approchesouvent l esl imit esdel al gali t ,nousavonsmi senavantaucoursdeceproj et l ascuri sat i ondel accsversl erseauxI nt ernet dunepart ,et daut re partl a mi se en pl ace dun rseau priv virt uel scuri s si mulantdeux ent i t s de lent reprise. Nousnoussommesat t achsvoi rlesdeuxct sdenot repasserel le, savoi rlapasserel le vuedelent reprise,quidoit offri runmaxi mumdel i bert et defaci li t s, et daut repart ,la passerell evuedel ext rieurquidoi t t reunvrit abl emurdefeuquidoi t mal grt out l aisser passer cert ai nes informat i ons. Enfi n, nousavonssouhait met t reenavant lut il isat iondelogi ci elsl ibres, pourleur efficaci t sansquival ent dansl edomainedesrseaux,leurscapaci t sdeconfigurat i onhors ducommun,et leurcot nulpourceproj et: aucunlogi cielsousli cencenat ut i li s,l ecotde mi se en place du proj etestnul,( hormi s les hommes/ heures ; - ) . Licence Professionnelle Rseaux, Communications et Ingnierie des Services - Projet Firewall VPN - 2003 Page 8 3ENGLISH ABSTRACT I nt ernethas recent ly repl aced i n many compani est he rentofspeci ali zedl inesouI SDNli nes which were dedi cat ed t o dat a li nks. The I nt ernetaccess has become i n a fewyears t he mostopen door t o communicat ion and t o gl obal i zat i onont heonehand,andt hemost opendoort ohackersandcrackersont heot her hand.Whent al kingabout t hesecuri t yoft hemost valuabl edat asofacompany,al lt he at t ent i onfocusesont henet workengi neerswhohavet operfect l ymast ert hispart icular mat t er. I nt ernetaccess securit y has become a j ob for special ist s because t ool s and met hods used by crackers are compl ex and t herefore t ool s and met hods t o count er t hemand assure t he net work securit y become t he same. I nt hisfieldcl oset olawl imi t s,wehaveworkedal ongt hi sproj ect ont heincreasedsecurit y ofaccessneededt oconnect t ot heI nt ernet ononehandandont heot heroneont he i mplement at i on of a safe Vi rt ual Pri vat e Net work si mulat i ng t wo subsidi aries of a company. Wehaveworkedonbot hsi desoft hegat eway,t hegat ewayseenfromt hecompanywhi ch must offeramaxi mumoffreedomandfacil i t ies,aswell asont heot hersideoft hegat eway seen from t he I nt ernet , whi ch mustbe a realwal l of fi re whil e st il l all owing some i nformat ions. Fi nall y,wewi shedt ohighl ight t heuseofOpenSourceOsesandsoft wares,fort hei rvery hi ghefficiencyint henet workfiel d,t heirexcell ent confi gurat i oncapaci t iesandt hei rcost , nul l for t hi s proj ect:no li censed soft ware was used duri ng t hi s proj ect , j ustmen and net works !Licence Professionnelle Rseaux, Communications et Ingnierie des Services - Projet Firewall VPN - 2003 Page 9 4PRESENTATION DU PROJET LUni versi t ,afi nd' amli orerlaquali t desaconnect i vit i nt erneet ext erne,defaci li t erle t ravai lenJURXSZDUHet surt out d' acclrerl eschangesdedonnesaunbesoini mport ant de mi se en rseau i nformat i que pour l un de ses bt iment s nouvell ementconst ruit . I lsagitdonc de ral iser la connexion d' un rseau de Campus quisera connect I nt ernet . Lerseauregroupe40ut il isat eurset 40ordinat eurs. I l s' agit d' effect uerl ' t udeet lami se en pl ace d' un rseau l ocalrpondant auxbesoi ns exprims en t ermes de cblage et dl ment s act ifs. -Undi sposi t i flogi ci el doi t permet t redeprot gerl erseaul ocal di nt rusionsprovenant de l ext ri eur : t out cequi nest paspermi sest aut oris.Miseenpl acesurpl at e- forme GNU/ Linux, opt i mi sat i on,fi abil isat ion, compt e- rendu des choi x effect us. -Undi sposi t i flogi ci eldoi t permet t redt abl i runrseaupri vvirt uel ent redeuxent i t s t ravers I nt ernet .-Laspectergonomique ( I HM)pourra t re ral is en deuxi me t emps. -Lefil t rageet l erout agelogi ci elserat est et mi sl preuve : compt e- rendudela robust esse. Licence Professionnelle Rseaux, Communications et Ingnierie des Services - Projet Firewall VPN - 2003 Page 10 5ARCHITECTURE ET PRINCIPES DU FIREWALL 5.1PRESENTATION Lefi rewall est unei nt erfacepermet t ant degarant irlint gri t durseaulocal,cest dire daut ori ser la circulat i on des paquet s dans l es sens suivant s : -Rseau l ocalvers ext rieur ( LAN vers WAN)-Ext ri eur vers i nt rieur ( WAN vers LAN)-Accs l a zone dmil i t ari se ( DMZ) , de l ext rieur ou de lint ri eur, Un syst me pare- feu cont i entun ensembl e de rgl es prdfi nies permet t ant: -Soit d' aut oriseruniquement l escommuni cat i onsayant t expl icit ement aut orises ( Toutce quin' estpas expli ci t ementaut ori s esti nt erdi t) . -Soitd' empcher les changes quiontt expli ci t ementi nt erdi t s. Danst ousl escas,l echoixdel' uneoul' aut redecesmt hodesdpenddel apol it i quede scurit adopt eparl ' ent it dsirant met t reenoeuvreunfil t ragedescommunicat ions.La premi remt hodeest sansnuldout elaplussre,mai sell ei mposet out efoi sunedfini t ion prci se etcont rai gnant e des besoins en t erme de communicat ion. 5.1.1DMZ LaDMZest unezonedmil it ari sequi cont ient normal ement t ouslesserveursde l ent repri se.Cest unezonemixt e,qui aut orisesouvent lesaccsenprovenancedelext rieur et del int rieur.Dansdesrseauxsi mplesnhbergeant pasdeserveurpart i cul ierdevant t re accessibl e depuis l ext ri eur, l a zone DMZ estl ude, ce quiestnot re cas. 5.2TYPES DE FIREWALL Licence Professionnelle Rseaux, Communications et Ingnierie des Services - Projet Firewall VPN - 2003 Page 11 On di st i ngue deux t ypes de firewal ls : Lesfirewal lsl ogici el ssont i nst al lsgnral ement surdesserveursdefirewal lpart icul i ers, comport ant gnral ement3 i nt erfaces Et hernet permet t antleraccordementdela DMZ, duLAN et duWAN.Lel ogi ci el effect uant l efil t rageest impl ant soit surunserveurddi ,sousun syst me dexpl oit at i on comme GNU/ Linux, BSD, Lesfirewal lsmat riel ssont enfait desfi rewall sl ogiciel smi niat uri ssdansdesboit i ers assurantles mmes fonct ions que les fi rewall s logi ci els. Dans les deux, cas, les pare- feu ut il isentt rois t echnol ogies de fi l t rage possi bles : 5.2.1.1Le filtrage de paquets Lefonct ionnement dessyst mespare- feu,hist oriquement assurparl esrout eurs,est bas surl eprinci pedufil t ragedepaquet sI P,c' est - - diresurl ' anal ysedesen- t t esdespaquet sI P ( aussi appel s GDWDJUDPPHV)changs ent re deux machi nes. Ainsi ,l orsqu' unemachinedel ' ext rieurseconnect eunemachinedurseaul ocal ,et vi ce-versa,l espaquet sdedonnespassant parl efi rewall cont iennent l esen- t t essui vant s,qui sontanal yss par l e fi rewall : -l ' adresse I P de la machi ne met t rice, -l ' adresse I P de la machi ne rcept rice, -l e t ype de prot ocole ut i l is dans l e paquet( TCP, UDP, I CMP) , -l e numro de port( numro associ un service ou une appli cat i on rseau) . LesadressesI Pcont enuesdanslespaquet spermet t ent d' i dent ifi erlamachinemet t ri ceetl amachi neci ble,t andi squel et ypedepaquet et l enumrodeport donnent unei ndicat ionsur l e t ype de servi ce ut i li s. Lorsque l e fi l t rage estbas sur l esadresses I P on parl e de fi lt rage par adresse( addressfi l t ering) ,t andi squel et ermedefi lt rageparprot ocol e( prot ocolfil t ering) estut i li s l orsque l e t ype de paquet s etl e portsontanalyss. Cert ainsport ssont associsdesservi cecourant s( l esport s25/ 110sont gnral ementassoci saucourri erl ect ronique,l eport 80auprot ocol eht t p,et c) et nesont pasforcmentbl oqussuivant l esserveurshbergsdansl aDMZ.Tout efoi s,nousrecommandonsvi vementde bl oquer t ous l es port s qui ne sontpas indi spensabl es. 5.2.1.2Le filtrage dynamique Lefonct ionnement enfi lt ragedynami quenes' at t achequ' examinerl espaquet sI P.Or,de nombreux servi ces ( FTP par exempl e)i ni t i entune connexion sur un portst at i que, mai s ouvrentdynami quement ( c' est - - diredemanireal at oire) unport afind' t abl i runesessionent rela machinefai sant offi cedeserveuret l amachinecl i ent e. Ai nsi, i lest i mpossibl edeprvoi rl es port sl aisserpasserouint erdire. Pouryremdier, l ' ent repriseCheckpoint abrevet un syst medefil t ragedynamiquedepaquet s( let ermeangl o- saxonexact t ant st at eful packeti nspect i on ) , bassurl' inspect i ondescouches3et 4dumodl eOSI ,permet t ant d' effect uer unsui videst ransact ionsent rel ecli ent et leserveuret doncd' assurerl abonneci rculat i ondes donnes de la session en cours. Licence Professionnelle Rseaux, Communications et Ingnierie des Services - Projet Firewall VPN - 2003 Page 12 Si l e fil t rage dynamique estplus performantque l e fi lt ragedepaquet s basi que, i l ne prot ge paspour aut antde fail les appli cat i ves, c' est - - direles fai ll esl iesauxl ogiciel s,reprsent ant la partl a plus i mport ant e des ri sques en t erme de scuri t . La t echnologi e de fi l t rage dynamique estimplant e dans de nombreux fi rewall s. 5.2.1.3Le filtrage applicatif Lefi lt rageappl icat ifpermet ,commesonnoml' i ndi que,defi lt rerlescommuni cat i ons appli cat i onparappli cat i on.Lefil t rageappli cat i fsupposedoncunebonneconnai ssancedes appli cat i onsprsent essurvot rerseau,et not amment del amani redont ell est ruct urel es donnes changes ( port s, ) . Unfi rewal l effect uant unfi lt rageappl i cat i fest appel gnral ement passerel leappli cat i ve, cari lpermet derel ayerdesi nformat i onsent redeuxrseauxeneffect uant unfil t ragefi nau ni veau du cont enu des paquet s changs.I l s' agi tdoncd' un disposi t if performantassurantune bonneprot ect iondurseau,pourpeuqu' il soit correct ement admini st r.Encont repart i eune anal ysefinedesdonnesappl icat ivesrequiert unegrandepui ssancedecal culet set raduitdoncsouvent parunral ent issement descommunicat ions,chaquepaquet devant t refinementanal ys. 5.3ASPECT NORMATIF EN MATIERE DE FIREWALL I l nexist epasdeRFCconcernant l esfi rewall .Enrevanche,l I SOadfi nidesnormesde scurit qui sappli quent ladfini t iondespoli t iquesdescurit auseindunrseau i nformat ique. Licence Professionnelle Rseaux, Communications et Ingnierie des Services - Projet Firewall VPN - 2003 Page 13 6SOLUTIONS DE FIREWALL EXISTANTES 6.1MATERIELLES Les solut i ons mat ri ell es exist ant es sontgnralementde deux t ypes : -Lapremi ereest l impl ment at i ondunfi rewall ausei ndunrout eureffect uant l accs I nt ernet .Cerout eurest gnralement det ype St at eful Packet I nspect i on .La configurat iondecegenrederout eursest parfoi sassezl imi t e,et plust enduedans daut rescasoonpeut dfi ni rplusprci sment l esrgl esderout age. Danscet t e cat gori eent rent lesprincipauxrout eursSOHOprsent ssurl emarch : Net gear,ZyXel , Net opi a... -Lasecondeconsi st eint grerauseindunl ment di st i nct durout eurunepl at eforme decal cul basedemi croprocesseurRI SCoudet ypeI nt el, qui ut i l iseunsyst me dexploi t at ionpermet t ant laconfigurat ionderglesdefi l t rageavances.Ces configurat ions reposentgnralementsur GNU/ Li nux ou des syst mes X/ BSD. 6.2LOGICIELLES Nous avons spar l es solut i ons l ogiciel les par syst me dexpl oit at i on. 6.2.1Windows Denombreusesimpl ment at i onscommerci alesexi st ent pourWindows .Ondist inguet roi s t ypes de fi lt rage de paquet s : -l esfirewal lsdit spersonnels,t ypeZoneAlarm ,Nort onFi rewall ,Keri o par exempl e, -l essol ut ionsi ncl usesdansWi ndows2000 ouWindowsXP ( fil t ragedepaquet nat if ) , Cesdeuxt ypesdesolut i onsneprsent ent past out esl esfi nessesdefi l t ragepossibl essur des fi rewal l s di gnes de ce nom. -des sol ut i ons professi onnell es comme ... 6.2.2Autres systmes d'exploitation Undessyst mesdexploi t at ionlesplusprisspourlaqual it ducodeet lafi abil it deson pare- feuest BSD.Daut resimpl ment at i onsdefi rewall exist ent ,surplat eformesSun,HP, mme sur Mac ; - ) 6.2.3GNU/Linux Licence Professionnelle Rseaux, Communications et Ingnierie des Services - Projet Firewall VPN - 2003 Page 14 SousGNU/ Li nux,et quel lequesoit ladi st ribut i on,l erledefirewal lest rempl iparl enoyau GNU/ Linuxl ui- mme, danslequel lesopt i onsdefi lt ragedepaquet sdoivent t remisesen pl ace.Dansl esversionsdenoyaux2.2,l efi lt raget ait effect uparipchai ns.Apart i rdes noyaux 2.4, on ut i l ise Net fi l t er etl a commande ipt abl es quiremplacenti pchains. Lesupport Net fi lt erdoit t recompi ldanslenoyau,et l acommandeipchai nsdoit t re prsent e etdisponibl e sur l e syst me. 6.2.3.1Distributions orients firewall Coyot e,LRP,MNF, Bast il le, OpenWall ,Ast aro,Bering,SLI S...i l exist edesdi zai nesde di st ribut i onsspci ali sesdansl agest i onderseauet dansl ascurit desrseaux i nformat iquesparfi lt rage. Lapl upart decesdist ri but ionsi ncluent desout i lsgraphi ques scurissdeconfi gurat i ondesrgl esdepare- feu.Nousavonseuloccasi ondet est erMNF, dontnous avons t udi les rgles de pare- feu. 6.2.3.2Choix d'une distribution Aprs avoi r rfl chi , etdansun butde format ion vi dent , pl ut tquede cder la faci li t dune mi seenplacelasouri s, nousavonschoisideffect uerlami seenplacedufi rewall parnous-mmes afi n de mi eux comprendre son fonct ionnement . Licence Professionnelle Rseaux, Communications et Ingnierie des Services - Projet Firewall VPN - 2003 Page 15 7DEFINITION D'UNE POLITIQUE DE SECURITE Onl oubl iesouvent , maislami seenpl acedunpare- feunest quunet apedansla scurisat iondurseaui nformat iquedelent reprise.Unpare- feunest enaucuncassynonyme de scuri t absol ue. I ldoitprendre pl ace ct daut res out i l s de scuri sat i on des rseaux. Ladfini t iondunepol it i quedescuri t informat iquenesinvent epasendeuxsecondes.Cestunel onguerflexionquel eresponsabledusyst mei nformat i quedoit menerconj oint ementaveclesresponsabl esdel ent repri se.I l exist edesmt hodest rspoussespermet t ant de menerbi encet t et ude,onpeut not amment sereport erauxt udesenl amat i rede... ( FEROS, ...) Concernant l efi rewal l ,nousavonsl i mit not ret udel adfini t iondesport sut i l issausein de l ent repri se. 7.1DEFINITION DES PORTS A OUVRIR/FERMER/FORWARDER Cli ent- >Serveur ssh i psec Cli ent- >I nt ernet ft p pop smt p i map nnt p ht t p domai n Serveur - >I nt ernet i psec domai n I nt ernet- >Serveur i psec domai n I nt ernet- >Cl i ent Aucun, en t hori e. En principe, t out e rponse une connexion TCP ini t ie par le cl ient . Licence Professionnelle Rseaux, Communications et Ingnierie des Services - Projet Firewall VPN - 2003 Page 16 7.2ASPECTS JURIDIQUES I l nousaparuint ressant derappelerquelquesaspect sj uri di quesconcernant lami seenpl ace dunepol it i quedescuri t enrappel ant lesrisquesquencourent l espersonnessouhait antaccder frauduleusementau rseau de lent reprise. 7.2.1Loi Godfrain n88-19 du 5 janvier 1988 relative la fraude informatique La l i st e ci- aprsdonneunaperudesmot ifsdecondamnat i ondudroit franaisainsiquel es pei nespnal esencourues,qui necompt ent doncpasl esvent uelsdommageset i nt rt squi pourraientdevoi r t re demands par l a part ie ayantsubitle dommage. -Accs ou mai nt ien fraudul eux dans un syst me i nformat i que : 2mois 1 an de pri son, 2 000 50 000 francs d' amende. -Accsoumaint i enfraudul euxdansunsyst mei nformat iqueavecdommages i nvol ont aires: modificat ionousuppressiondedonnes, alt rat i ondufonct i onnement du syst me :2 mois 2 ans de prison, 10 000 100 000 francs d' amende. -Ent ravevol ont aireaufonct i onnement d' unsyst mei nformat i que: 3moi s3ansde prison, 10 000 100 000 francs d' amende. -I nt roduct ion,suppressi on, modi fi cat i oni nt ent ionnell esdedonnes: 3mois3ansde prison, 2 000 500 000 francs d' amende. -Suppressi on, modi fi cat i oni nt ent i onnell esdumodedet rait ement ,dest ransmi ssionsde donnes :3 mois 3 ans de prison,2 000 500 000 francs d' amende. -Fal si fi cat i ondedocument informat i que,usagededocument fal si fi: 1an5ansde prison, 20 000 2 000 000 francs d' amende. Licence Professionnelle Rseaux, Communications et Ingnierie des Services - Projet Firewall VPN - 2003 Page 17 8MISE EN PLACE DU FIREWALL 8.1ARCHITECTURE PHYSIQUE PRESENTE -Serveur passerel l e/ firewal l 2 cart es rseaux, 128 Mo de RAM Adresse I P 1 :192. 168.0.83 ( i nt erface sre)Adresse I P 2 :192. 168.0.84 ( i nt erface non sre)Passerel le daccs I nt ernet:192.168.0.29 -Cli entprinci pal 1 cart e rseau, 128 Mo de RAM Adresse I P :192. 168.0.3 -Cli entsecondaire ( pour t est s) 1 cart e rseau, 128 Mo de RAM Adresse I P :192. 168.0.2 8.2ARCHITECTURE LOGIQUE PRSENTE Sur le serveur :GNU/ Linux di st ri but i on RedHat8.0 Sur le cl ientpri ncipal:Wi ndows 2000 Sur le cl ientsecondaire :GNU/ Li nux dist ribut i on RedHat8. 0 8.3SECURISATION DE LA MACHINE Dans le cadre du proj et , on ne si nt resse qu l a scurisat ion de la machine passerel le. 8.3.1Physique Enproduct i on,lamachi neassurant l esfonct i onsdefirewal ldoit t repl acedansunendroitsrdont l accsest rservauxseulespersonneshabi li t es.Lesprot ect i onshabi t uel l escont re l evol ,l effract i on,l i ncendi e,l esdgt sdeseaux,et uneali ment at ionsl ect ri quesecourue doi ventt re prvues. 8.3.1.1Suppression de l'accs au BIOS Mi se en pl ace dun motde passe scuri s ( supri eur 8 caract res)etnon t rivi al. Licence Professionnelle Rseaux, Communications et Ingnierie des Services - Projet Firewall VPN - 2003 Page 18 8.3.1.2Suppression de l'accs root la console Suppressi on de l accs l a disquet t e Suppressi on des fichi ers / dev/ fd et/ dev/ floppy 8.3.1.3Suppression de l'accs au lecteur de CD Suppressi on des fichi ers / dev/ cdrom et/ dev/ hd non ut i les 8.3.1.4Suppression de l'arrt de la machine par CTRL-ALT-SUPPR Gnral ement , suivantl es di st ri but ions,il s suffi tde comment er l a l igne sui vant e : # Trap CTRL-ALT-DELETE #ca::ctrlaltdel:/sbin/shutdown -t3 -r now La combi nai son de t ouches CTRL- ALT- SUPPR ne sera pl us effect i ve 8.3.2Logique Port s, di sques,kernel,l il o,processusact i fs,packagesi nst al ls,miseenpl acedequot aspour vi t er l es dbordement s de l ogs, mi ses j our de packages, du noyau. 8.3.2.1Configuration du noyau I l faut ensuit esassurerquelenoyausupport ebienNet fil t er.Cel apeut sevrifierenvri fiantque l es l i gnes sui vant es sontbien prsent es l ors de la squence de boot: I p_connt rack ( 4095 bucket s,32760 max)I p_t ables :( c) 2000 Net fi lt er core t eam Pour vri fierleur prsence, on ut i li se l a commandedmesg| grepi p_connt racket dmesg| grep i pt abl es, qui doi ventrenvoyer des li gnes proches de cell es ci - dessus. Si l es commandesent resfont apparat requelenoyauneproposepasdesupport deNet fil t er, i l fautalors l e recompi ler : Cd / usr/ src/ li nux Make mrproper Make menuconfig Licence Professionnelle Rseaux, Communications et Ingnierie des Services - Projet Firewall VPN - 2003 Page 19 DanslemenuNet worki ngOpt ions,cocherNet workPacket Fil t eringendur( * ) et dansNet fi lt er Configurat ion,on choi si talors l es opt i ons quinous i nt resse. Lacompi lat i onendurpermet aufirewal ldefonct ionnermmesipouruneraisonouuneaut re un des modules a t modi fi , manque ou nestpas charg,crantai nsiune fai ll e de scuri t . Danslecasopl usi eursmachi nessont prsent essurlerseau,i lfaut act i verlopt ionFul lNAT etl a sous opt i on Masquerade Targetsupport . 8.3.2.2Installation des rgles Pourfaci li t erlami seenpl acedesrgles,nousavonsopt pourl cri t uredunscript cri t en bashshel l.I lest t out fai t possi bledenvi sagerparl asuit elcri t ureduneI HMpl us sympat hi queenbash,enC.Nousavonsprfrvi t erl ut il isat iondel angagest elsquePHP, REBOL,Java, ...afi ndvi t er l a mi se en pl ace dun serveurgraphiquet ypeX11oudunserveur Webet desmodul esassoci squi sont aut ant defail l espot ent i ell esdescurit et devei l le t echnol ogique assurer. Rappeldes synt axes : iptables N :cre une nouvell e chane iptables X :suppri me une chane vi de iptables P :changementde poli t ique par dfautdune chane iptables Z :remet zro les compt eurs doct et s etde paquet s ayantt ravers l a chane iptables A :aj out e une rgle en fin de chane iptables I :aj out e une nouvell e rgle l a posi t ion donne iptables R :rempl ace une rgl e donne dans une chane iptables D :efface une rgle dans une chane Mi se en pl ace des rgl es #!/bin/sh # # Definit les interfaces utilisees # INTERNAL=eth0 EXTERNAL=eth1 # # Effacement de toutes les regles precedentes # echo "Effacement de la configuration precedente" iptables -F iptables -F INPUT iptables -F OUTPUT iptables -F FORWARD # # On efface les chanes vides ! # iptables -X # # Activation du masquerading # echo "Activation du Masquerading" iptables -t nat -A POSTROUTING -o EXTERNAL -j MASQUERADE Licence Professionnelle Rseaux, Communications et Ingnierie des Services - Projet Firewall VPN - 2003 Page 20 # # Creation des differentes chaines # echo "Creation des chaines" # Creation de la chaine trafic interne => externe # iptables -X INT_EXT iptables -N INT_EXT # # Creation de la chaine trafic externe => interne # iptables -X EXT_INT iptables -N EXT_INT # # Creation dune chaine speciale pour le suivi dactivite etrange... # iptables -X log-and-drop iptables -N log-and-drop # # Creation dune chaine specifique pour le suivi des ICMP # iptables -X icmp-acc iptables -N icmp-acc # # Definit la politique de la chaine log and drop # iptables -A log-and-drop -j LOG --log-prefix "drop" iptables -A log-and-drop -j DROP # # Elimination des paquets ayant tous les flags actives ainsi # que ce ceux nayant aucun flag active # iptables -A FORWARD -p tcp --tcp-flags ALL ALL -j log-and-drop iptables -A FORWARD -p tcp --tcp-flags ALL NONE -j log-and-drop # # Blocage des adresses en provenance de multicasts et des classes # dadresses privees # Si on veut etre un peu parano, lattaque vient de lexterieur et on bloque aussi # echo "Interdiction des classes dadresses privees" iptables -A FORWARD -i EXTERNAL -s 0.0.0.0/7 -j log-and-drop iptables -A FORWARD -i EXTERNAL -s 2.0.0.0/8 -j log-and-drop iptables -A FORWARD -i EXTERNAL -s 5.0.0.0/8 -j log-and-drop iptables -A FORWARD -i EXTERNAL -s 10.0.0.0/8 -j log-and-drop iptables -A FORWARD -i EXTERNAL -s 23.0.0.0/8 -j log-and-drop iptables -A FORWARD -i EXTERNAL -s 27.0.0.0/8 -j log-and-drop iptables -A FORWARD -i EXTERNAL -s 31.0.0.0/8 -j log-and-drop iptables -A FORWARD -i EXTERNAL -s 67.0.0.0/8 -j log-and-drop iptables -A FORWARD -i EXTERNAL -s 68.0.0.0/6 -j log-and-drop iptables -A FORWARD -i EXTERNAL -s 72.0.0.0/5 -j log-and-drop iptables -A FORWARD -i EXTERNAL -s 80.0.0.0/4 -j log-and-drop iptables -A FORWARD -i EXTERNAL -s 96.0.0.0/3 -j log-and-drop iptables -A FORWARD -i EXTERNAL -s 127.0.0.0/8 -j log-and-drop iptables -A FORWARD -i EXTERNAL -s 128.0.0.0/16 -j log-and-drop iptables -A FORWARD -i EXTERNAL -s 128.66.0.0/16 -j log-and-drop iptables -A FORWARD -i EXTERNAL -s 169.254.0.0/16 -j log-and-drop iptables -A FORWARD -i EXTERNAL -s 172.16.0.0/12 -j log-and-drop iptables -A FORWARD -i EXTERNAL -s 191.255.0.0/16 -j log-and-drop iptables -A FORWARD -i EXTERNAL -s 192.0.0.0/16 -j log-and-drop iptables -A FORWARD -i EXTERNAL -s 192.168.0.0/16 -j log-and-drop iptables -A FORWARD -i EXTERNAL -s 197.0.0.0/8 -j log-and-drop iptables -A FORWARD -i EXTERNAL -s 201.0.0.0/8 -j log-and-drop iptables -A FORWARD -i EXTERNAL -s 204.152.64.0/23 -j log-and-drop iptables -A FORWARD -i EXTERNAL -s 224.0.0.0/3 -j log-and-drop iptables -A FORWARD -i EXTERNAL -s 224.0.0.0/4 -j log-and-drop # Licence Professionnelle Rseaux, Communications et Ingnierie des Services - Projet Firewall VPN - 2003 Page 21 # Les paquets provenant de connexions deja etablies sont acceptees # echo "Autorisation des sessions valides etablies" iptables -A FORWARD -m state --state INVALID -j log-and-drop iptables -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT # # On ignore tous les autres paquets # iptables -A FORWARD -j log-and-drop # # Types ICMP acceptes # echo "Gestion des ICMP" iptables -A icmp-acc -p icmp --icmp-type destination-unreachable -j ACCEPT iptables -A icmp-acc -p icmp --icmp-type source-quench -j ACCEPT iptables -A icmp-acc -p icmp --icmp-type time-exceeded -j ACCEPT iptables -A icmp-acc -p icmp --icmp-type echo-request -j ACCEPT iptables -A icmp-acc -p icmp --icmp-type echo-reply -j ACCEPT iptables -A icmp-acc -j log-and-drop # # Definit les regles appliquees de lexterieur vers linterieur # # Acceptation des ports SMTP, SSH et DNS et cest tout (et encore ?) # echo "Politique Exterieur -> Interieur" iptables -A EXT_INT -p tcp --dport smtp -j ACCEPT iptables -A EXT_INT -p icmp -j icmp-acc iptables -A EXT_INT -j log-and-drop iptables -A EXT_INT -p tcp --dport ssh -j ACCEPT iptables -A EXT_INT -i EXTERNAL -p tcp --dport 80 -j DROP iptables -A EXT_INT -i EXTERNAL -p tcp --dport 139 -j DROP iptables -A EXT_INT -i EXTERNAL -p tcp --dport 443 -j DROP iptables -A EXT_INT -i EXTERNAL -p tcp --dport 901 -j DROP # # Il faudra penser a definir les ports 500/UDP, ESP 50 et AH 51 pour IPSEC, voir pour ISAKMP/IKE # # Definit les regles appliquees de linterieur vers lexterieur # # On accepte mail, ssh, DNS, http et telnet (pourquoi pas), ainsi que ftp # echo "Politique Interieur -> Exterieur" iptables -A INT_EXT -p tcp --dport smtp -j ACCEPT iptables -A INT_EXT -p tcp --sport smtp -j ACCEPT iptables -A INT_EXT -p tcp --dport ftp -j ACCEPT iptables -A INT_EXT -p tcp --sport ftp -j ACCEPT iptables -A INT_EXT -p tcp --dport domain -j ACCEPT iptables -A INT_EXT -p udp --dport domain -j ACCEPT iptables -A INT_EXT -p tcp --dport ssh -j ACCEPT iptables -A INT_EXT -p tcp --dport www -j ACCEPT iptables -A INT_EXT -p tcp --dport https -j ACCEPT iptables -A INT_EXT -p tcp --dport telnet -j ACCEPT iptables -A INT_EXT -p icmp -j icmp-acc iptables -A INT_EXT -p tcp -j log-and-drop # # Il faut definir des chaines pour la machine elle-meme # echo "Etablissement des regles pour le serveur" iptables -X FIREWALL_EXT Ce qui nous donne,aprs un i pt ables L n : [root@portzic init.d]# iptables -L n -v Chain INPUT (policy ACCEPT) target prot opt source destination FIREWALL_EXTall--0.0.0.0/00.0.0.0/0 Licence Professionnelle Rseaux, Communications et Ingnierie des Services - Projet Firewall VPN - 2003 Page 22 FIREWALL_INTall--0.0.0.0/00.0.0.0/0 Chain FORWARD (policy ACCEPT) target prot opt source destination log-and-droptcp--0.0.0.0/00.0.0.0/0tcp flags:0x3F/0x3F log-and-droptcp--0.0.0.0/00.0.0.0/0tcp flags:0x3F/0x00 log-and-dropall--0.0.0.0/70.0.0.0/0 log-and-dropall--2.0.0.0/80.0.0.0/0 log-and-dropall--5.0.0.0/80.0.0.0/0 log-and-dropall--10.0.0.0/8 0.0.0.0/0 log-and-dropall--23.0.0.0/8 0.0.0.0/0 log-and-dropall--27.0.0.0/8 0.0.0.0/0 log-and-dropall--31.0.0.0/8 0.0.0.0/0 log-and-dropall--67.0.0.0/8 0.0.0.0/0 log-and-dropall--68.0.0.0/6 0.0.0.0/0 log-and-dropall--72.0.0.0/5 0.0.0.0/0 log-and-dropall--80.0.0.0/4 0.0.0.0/0 log-and-dropall--96.0.0.0/3 0.0.0.0/0 log-and-dropall--127.0.0.0/80.0.0.0/0 log-and-dropall--128.0.0.0/16 0.0.0.0/0 log-and-dropall--128.66.0.0/160.0.0.0/0 log-and-dropall--169.254.0.0/16 0.0.0.0/0 log-and-dropall--172.16.0.0/120.0.0.0/0 log-and-dropall--191.255.0.0/16 0.0.0.0/0 log-and-dropall--192.0.0.0/16 0.0.0.0/0 log-and-dropall--192.168.0.0/16 0.0.0.0/0 log-and-dropall--197.0.0.0/80.0.0.0/0 log-and-dropall--201.0.0.0/80.0.0.0/0 log-and-dropall--204.152.64.0/230.0.0.0/0 log-and-dropall--224.0.0.0/30.0.0.0/0 log-and-dropall--224.0.0.0/40.0.0.0/0 log-and-dropall--0.0.0.0/00.0.0.0/0state INVALID ACCEPT all--0.0.0.0/00.0.0.0/0state RELATED,ESTABLISHED log-and-dropall--0.0.0.0/00.0.0.0/0 Chain OUTPUT (policy ACCEPT) target prot opt source destination Chain EXT_INT (0 references) target prot opt source destination ACCEPT tcp--0.0.0.0/00.0.0.0/0tcp dpt:25 icmp-acc icmp --0.0.0.0/00.0.0.0/0 log-and-dropall--0.0.0.0/00.0.0.0/0 ACCEPT tcp--0.0.0.0/00.0.0.0/0tcp dpt:22 Chain EXT_TO_INT (0 references) target prot opt source destination Chain FIREWALL_EXT (1 references) target prot opt source destination icmp-acc icmp --0.0.0.0/00.0.0.0/0 ACCEPT tcp--0.0.0.0/00.0.0.0/0tcp dpt:22 ACCEPT tcp--0.0.0.0/00.0.0.0/0tcp spt:22 log-and-dropall--0.0.0.0/00.0.0.0/0 ACCEPT tcp--0.0.0.0/00.0.0.0/0tcp dpt:22 ACCEPT tcp--0.0.0.0/00.0.0.0/0tcp spt:22 Chain FIREWALL_INT (1 references) target prot opt source destination icmp-acc icmp --0.0.0.0/00.0.0.0/0 ACCEPT all--0.0.0.0/00.0.0.0/0 Chain INT_EXT (0 references) target prot opt source destination ACCEPT tcp--0.0.0.0/00.0.0.0/0tcp dpt:25 Licence Professionnelle Rseaux, Communications et Ingnierie des Services - Projet Firewall VPN - 2003 Page 23 ACCEPT tcp--0.0.0.0/00.0.0.0/0tcp spt:25 ACCEPT tcp--0.0.0.0/00.0.0.0/0tcp dpt:53 ACCEPT udp--0.0.0.0/00.0.0.0/0udp dpt:53 ACCEPT tcp--0.0.0.0/00.0.0.0/0tcp dpt:22 ACCEPT tcp--0.0.0.0/00.0.0.0/0tcp dpt:80 ACCEPT tcp--0.0.0.0/00.0.0.0/0tcp dpt:443 ACCEPT tcp--0.0.0.0/00.0.0.0/0tcp dpt:23 icmp-acc icmp --0.0.0.0/00.0.0.0/0 log-and-droptcp--0.0.0.0/00.0.0.0/0 Chain INT_TO_EXT (0 references) target prot opt source destination Chain icmp-acc (4 references) target prot opt source destination ACCEPT icmp --0.0.0.0/00.0.0.0/0icmp type 3 ACCEPT icmp --0.0.0.0/00.0.0.0/0icmp type 4 ACCEPT icmp --0.0.0.0/00.0.0.0/0icmp type 11 ACCEPT icmp --0.0.0.0/00.0.0.0/0icmp type 8 ACCEPT icmp --0.0.0.0/00.0.0.0/0icmp type 0 log-and-dropall--0.0.0.0/00.0.0.0/0 Chain log-and-drop (33 references) target prot opt source destination LOGall--0.0.0.0/00.0.0.0/0LOG flags 0 level 4 prefix drop DROP all--0.0.0.0/00.0.0.0/0 Licence Professionnelle Rseaux, Communications et Ingnierie des Services - Projet Firewall VPN - 2003 Page 24 9INTRUSION DETECTION SYSTEMS Quandoninst al l eunfirewal l,i lest t out aussii nt ressant depouvoirt reavert i dest ent at i ves dint rusi oncont relerseau,afi ndemodi fi eroudamli orerlesrglesexist ant es.Pasl apeine de t rop rflchi r, daut res y ontpens avantnous. 9.1SOLUTIONS EXISTANTES 9.1.1Snort ht t p: / / www.snort .org/ Snortestun out i l Open Source de dt ect i on dint rusi on. Rcuprat ion du fichi er .t ar. t ar Mi se en pl ace : tar xvzfcd snort ./configure make make install 9.1.2Prelude ht t p: / / www.prelude- ids.org/ Prl ude estun I DS completet compl exe permet t antde grer l a prsence dI DS sur plusi eurs part i esdurseau,t out enpermet t ant uneadmini st rat ionsimpl eet cent rali sedesfichi ersde l ogsaffrant , ent reaut resparlut il isat iondunebasededonnesMySQLpourl acent ral isait on des logs etpar une i nt erface PHP pour l eur exploi t at ion. Daut ressyst mesexist ent ,not amment LI DS( www.l i ds.org) ,maisnousnelavonspasret enu car ilsappuie plut tsur la scuri sat i on du noyau en lui - mme. Licence Professionnelle Rseaux, Communications et Ingnierie des Services - Projet Firewall VPN - 2003 Page 25 10TESTS 10.1 ROUTAGE -Services -Charge CPU/ Rseau -rout age 10.2 SECURITE Lascurit est unt ravail quot i diendevrifi cat i on,det est s, devei ll et echnologi que.Les proposi t ionsdet est sci - dessousnesont quunepet i t epart iedecequi lest possibl edefai re, l eurbut est demet t reenvidencel esfail lesdufirewal let delaconfi gurat ionrseaudela machine en gnral . 10.2.1Outils 10.2.1.1Ps et lsof Ps : commandedebasesurUni xmaist rsprat ique,quipermet del imi t erlesprocessus i nut i les etdonc de gagner en st abi l it . Lsof donne en pl us l a l ist e des port s ouvert s etles programmes qui l es ontouvert s 10.2.1.2Nmap Nmapexi st epourWi ndowset GNU/ Li nux.Cesversi onssont t lchargeabl essurl enet:ht t p: / / www.i nsecure.org/ nmap. Nmapest unout i lOpenSourcequipermet dedt ect erlesport sI P( TCP/ UDP,.. .) prsent ssur unemachi ne( Wi ndows,GNU/ Li nux,...) ainsi quel eurt at: ouvert ,ferm,fil t r.Cel adonne uneexcell ent ei dedesdiffrent sservicesprsent ssurl amachi neet doncdesvent uell es at t aques quipourraientt re mises en place. I l comprenddenombreusesopt i onsqui permet t ent biensouvent dedj ouerl esfirewal lsou aut res syst mes de dt ect i on di nt rusion ( I DS) . Nmap sS O WWW. XXX. YYY. ZZZ Laprsencedeport fi lt ered dnot el aprsent edunfirewal l.Lapl upart dut emps,une pol it i quedrop( cest direqui nerpondpasauxpaquet sent rant s) permet NMAPdenepas dt ect er la prsence dun fi rewall . Licence Professionnelle Rseaux, Communications et Ingnierie des Services - Projet Firewall VPN - 2003 Page 26 10.2.1.3Nessus : ht t p: / / www.nessus.org Nessusest unsyst meOpenSourcededt ect iondefail lesdescuri t permet t ant devri fi erla scurit dunsyst meWi ndows ouUni x.Unearchit ect ureNessusmet enoeuvreuncl ient etunserveur.Leserveurest enchargedet est erl esdi ffrent esst at i onsdurseau,lecl ientpermet quandl ui dercuprerl esinformat i onset l el esvi suali ser, delesexport er...I l exi st e t roi sformesdecl ient: NessusWX1.4.2pourWi ndows ,uncli ent graphi queGTKpourGNU GNU/ Linux ou aut res Uni xes etla versi on li gne de commande pour ces mmes OS. Oni nst al lel eserveurNessuspart i rdeft p: / / ft p. nessus.org/ pub/ nessus/ nessus- 1.2.7/ nessus-i nst al ler. Sh nessus- i nst al ler. sh Crat ion dun cert i fi catpour Nessus : /usr/local/nessus/nessus-mkcert Crat ion dun nouvel ut i li sat eur nessus-adduser [root@portzic nessus]# nessus-adduser Using /var/tmp as a temporary file holder Add a new nessusd user ---------------------- Login : olivier Authentication (pass/cert) [pass] : pass Login password : olivier User rules ---------- nessusd has a rules system which allows you to restrict the hosts that olivier has the right to test. For instance, you may want him to be able to scan his own host only. Please see the nessus-adduser(8) man page for the rules syntax Enter the rules for this user, and hit ctrl-D once you are done : (the user can have an empty rules set) default accept Login : olivier Password: olivier DN: Rules : Licence Professionnelle Rseaux, Communications et Ingnierie des Services - Projet Firewall VPN - 2003 Page 27 default accept Is that ok ? (y/n) [y] y user added. [root@portzic nessus]# On peutaprs vrifier le fichi er de configurat i on etl e modi fier souhait: [root@portzic nessus]# cd /usr/local/etc/nessus/ [root@portzic nessus]# vi nessusd.conf Pui s, on l ance le dmon [root@portzic root]# nessusd D & I lfautgal ementcrer un cert i ficatSSL pour le cl ientWi ndows. Sur le cl ientWi ndows, on lance NessusWX Modifi er l es opt i ons si ncessaire. Lini t ial isat ion sestcorrect ementeffect ue.Licence Professionnelle Rseaux, Communications et Ingnierie des Services - Projet Firewall VPN - 2003 Page 28 Spci fier les paramt res par dfautdu serveur Nessus. Accept er l e cert ifi catSSL reu. I l fautensui t e On dfinitensuit e les paramt res de scan, eton at t end le rsult at: 1 fai ll e de scuri t , 6 port s ouvert s. Licence Professionnelle Rseaux, Communications et Ingnierie des Services - Projet Firewall VPN - 2003 Page 29 Le rapportpeutt re vi suali s,export en HTML, PDF,dans une base de donnes, . .. Nessus nous permetde savoi r exact ementquell e act i on ent reprendre afi n de rsoudre l es fail les de scurit .Les t est s peuventgal ementt re fait s sur t out es les machi nes du rseau, par exempl e. Licence Professionnelle Rseaux, Communications et Ingnierie des Services - Projet Firewall VPN - 2003 Page 30 11ANNEXES FIREWALL 11.1 SOURCES 11.2 FICHIERS DE CONFIGURATION 11.3 REFERENCES [ 1]Linux Magazi ne France Hors- Srie n 9 [ 2]Linux Magazi ne France Hors- Srie n 12 [ 3]Linux Magazi ne France Hors- Srie n13 Licence Professionnelle Rseaux, Communications et Ingnierie des Services - Projet Firewall VPN - 2003 Page 31 VPN 12ARCHITECTURE ET PRINCIPE DU VPN Lami seenpl acedunRseauPrivVirt uel agnral ement pourbut demet t reenplaceun cheminvirt uelscuriset fi abl epermet t ant auxut i li sat eursnomades,ouunefi li aledune ent reprisedaccderausi t eprincipal afindeffect uerdeschangesdedonnesscuriss.Pour yarri ver,deuxt echni quespart i cul irespeuvent t remisesenpl ace : l aut hent i fi cat i onet le chi ffrementdes donnes. Sonpri nci pal i nt rtestde rali serdes rseauxpri vs moi ndrecot ,enut il i sant l exi st ant( I nt ernet ) pl ut t quedut il iserdesli gnesspcial i ses( LS) parexemple.Cependant ,en aut hent ifiant lesdonneset enleschi ffrant ,onset rouvedansunesi t uat ionprocheduneLS. I l nefaut cependant pasoubli erquel eMTBFdI nt ernet nest pascel uiduneLSet quela quali t de servi ce ( QoS)nestdonc pas garant i e. 12.1 AUTHENTIFICATION Lebutdelant hent i fi cat i on estdaut oriseruniquement l espersonnes/ ordi nat eursaut oriss seconnect erauRseauPrivVi rt uel, et decert i fi erl aprovenancedesdonnes. Laut hent ifi cat i onet i nt gri t desdonnespermet t ent di nt erdirel usurpat i ondel adresseI P ( I P spoofing)etl e volde sessi on TCP ( TCP session hi j acki ng) . 12.2 CHIFFREMENT Lechiffrement assurel aconfi dent ial it desdonnesenut il isant unchiffrement des dat agrammes pour vit er la capt ure ( sniffing)des t rames. 12.3 PROTOCOLES ET NORMES 12.3.1PPTP (Point to Point Tunneling Protocol) PPTPest unprot ocol edvel oppparMi crosoft .I lencapsul elest ramesPPPdansdes dat agrammesI Pafi ndel est ransfrersurunrseauI P.PPTPpermet lechiffrement maisaussi l acompressi ondesdonnesPPPencapsul es.Lecl i ent ut il isest lecl ient pardfaut sous Wi ndows 2000/ XP. I lexi st e gal ementdes cl ient s etdes serveurs PPTP pour GNU/ Linux. Tunneli sat i on :GRE Chi ffrementetChi ffrement:MPPE 40/ 128 bitAut hent i fi cat i on :PAP, CHAP, Ms- CHAP, Ms- CHAPv2,MPPE Licence Professionnelle Rseaux, Communications et Ingnierie des Services - Projet Firewall VPN - 2003 Page 32 12.3.2L2F (Layer 2 Forwarding) Cestun prot ocol e de niveau 2 qui permet serveurdaccsdi st ant devhi cul erl et raficsur PPPet det ransfrercesdonnesj usquunserveurL2F.Ceserveurdsencapsul el espaquet s l es l es envoie sur l e rseau. L2F na donc pas besoi n de cl ient . Ceprot ocol e,dvel oppparCi scopourlami seenplacesursesrout eurs,estprogressivementremplac par L2TP qui estpl us soupl e. 12.3.3L2TP (Layer 2 Tunneling Protocol) Ceprot ocol eest ndel all iancedeMi crosoft et Ci scopourdvelopperunprot ocole regroupant les avant agesdesdeuxsol ut ionsquil sproposaient ,savoi rPPTPet L2F.I l permetl encapsulat i ondest ramesPPPpourl eurenvoi surdesrseauxI P,X25,FrameRel ayouATM. I lpeutdonc t reut i l is direct ementsur des support s WANcomme Frame Rel ay sans ut i li ser de couchedet ransport deni veau3( I P) .I lest souvent ut il iserpourl acrat i ondeVPNsur I nt ernet . Dans ce cas ilencapsule l es t rames PPP dans des paquet s I P. 12.3.4IPSec Pl usquunprot ocol e,I PSec( I nt ernet Prot ocolSECuri t y) est unvrit abl egroupedet ravai l cr par lI ETF ( I nt ernet Engi neering Task Force)devantl a mult ipl icat ion dest echniqueset des i mplment at i onsdet unnel ingdanslesdi verssyst mesrseau. Lesit edugroupeI PSecpeutt re consult l adresse ht t p: / / www.i et f.org/ ht ml.chart ers/ ipsec- chart er.ht ml . I PSecest leprot ocol edescurit impl ment dansI pv6enmodenat if. Nousavonsdonc ret enu ce prot ocol e. I l ut il iseunecrypt ographi efort epourpermet t redesservi cesdaut hent i fi cat i onet de chi ffrement . Laut hent ificat ionassurequelespaquet sreusvi ennent delabonneprovenance et quil snont past al t rspendant l eurt ransit .Lechi ffrement permet dint erdi relacapt ure non aut orise des paquet s. Cesservi cespermet t ent deconst ruiredest unnel sscuri sst raversdesrseauxnon scuriss.Tout eslesdonnest raversant lerseauqui nest pasdeconfiancesont chi ffrspar l a machi ne passerell e I PSEC etdchiffrs par l a machi ne l aut rebout .La grandemaj ori t des quipement sdefi rewal l i mplment ent I PSEC.I l ssont parail l eursregroupsauseindu Consort ium VPN ( www.vpnc.org) . I PSecest doncunst andardquel onpeut i mpl ment ersurunsyst medemanire mat ri ell e ou l ogiciel l e. I lassure dans t ous les cas : -Laut hent ifi cat i onet i nt gri t desdonnes,afindi nt erdirelusurpat i ondadresseI P( I P spoofing)etl e volde sessi on TCP ( TCP session hi j acki ng) .-Laconfident i ali t desdonnesenut i li sant unchiffrement desdat agrammespourvit er l a capt ure ( sni ffi ng)des t rames. -Uneprot ect ionsi mpl emaiseffi cacecont rel erej eu( cest di rerej ouerunesessi onTCP par exempl e) . Licence Professionnelle Rseaux, Communications et Ingnierie des Services - Projet Firewall VPN - 2003 Page 33 I PSECproposedeuxmodesdefonct i onnement: unfonct ionnement enmodet unnel, cest di requel espaquet sdest inst remi ssurl eVPNsont encapsul sdansunnouveaupaquetI P,prot geant ainsilen- t t edori gine.Lesecondmode,oumodet ransport ,permet de prot gerli nt gri t desdonnest ransport esdanslespaquet sI P.Len- t t edori gi nenest pas modi fi e, mme sion ut i li se un chiffrement . Appli cat i on TCPUDP I PSEC I P 12.3.4.1Authentification AH( Aut hent i cat i onHeader) fournit unservi cedaut hent ifi cat i ondespaquet s. Laut hent ifi cat i onsefai t parunesi gnat ureDSSouRSA.Dansnot recas,nousut i l iseronsune clRSAproprechaquest at i oncl i ent eseconnect ant ,garant i ssant laprovenancedes donnes. Li nt gri t desdonnesest assureparlebiai sdunefonct i ondecondensat i on( hachage) , ut i li sant l escl ssui vant es : HMAC- MD5, HMAC- SHA1,HMAC- RI PEMD- 160, HMAC- DES,ou keyed MD5. Lefonct ionnement deAHest spci fi dansl aRFC2402.AHincl ueunesommedecont rle calcul epart irdelensembl edudat agrammedori gine.Couplunnumrodesquence TCP, i l permetdvi t er l e rej eu du dat agramme. Sui vant lemodedefonct ionnement ,soit len- t t eest direct ement i nsrent relen- t t eI P etl en- t t e TCP/ UDP ( mode t ransport ) ,soi tun nouvel en- t t e estcr pour l e dat agramme. I PTCP/ UDPDonnes I - - - - - - - - - - - - - - - - - - - - - - - ,I PAHTCP/ UDPDonnes I PSec en mode t ransport I PTCP/ UDPDonnes |I PAHI PTCP/ UDPDonnes I PSec en mode t unnel Formatde len- t t e AH ( ext raitde la RFC) Len- t t edeprot ocole( I pv4,I pv6ouExt ension) prcdant immdiat ement l en- t t eAH cont i endral avaleur51danssonchamp Prot ocol ( I PV4) ou Next header ( I PV6, Ext ensi on) Oct et0Oct et1Oct et2Oct et3 Licence Professionnelle Rseaux, Communications et Ingnierie des Services - Projet Firewall VPN - 2003 Page 34 01234567012345670123456701234567 NextHeaderPayload Lengt hRESERVE Securi t y Paramet ers I ndex ( SPI )Champ numro de squence ( Sequence Number Fi eld)Donnes daut hent ificat ion ( variabl e) Tousl eschampsdcrit sicisont obl igat oi res,cest di requi lssont t ouj oursprsent sdans l eformat AHet incl usdansl ecal culdel avaleurdevrificat iondelint gri t ( I nt egrit yCheck Value, I CV) . -Champ NextHeader LechampNext Headersur8bit sident ifiel et ypededonnesprsent esaprsl en- t t eAH. Lesvaleursdecechampsont choisiesparmil ensembledesnumrosdeprot ocol esI Pdfini s dansl aRFC AssignedNumbers l aplusrcent edel I ANA( I nt ernet AssignedNumbers Aut hori t y) . -Champ Payload Lengt h Cechampsur8bi t sspcifi elalongeurdeAHenmot sde32bit s,moins2.Dansl ecas st andardduneaut hent i ficat ionsur96bit s,pl usles3port i onsfi xesdemot sde32bit s,la l ongeur sera donc de 4.Une l ongueur de 0 peutt re ut i li se pour faire du dpannage. -Champ Rserv Cechampsur16bi t sest rservpourdesimpl ment at ionsfut ureset doi t t reposi t ionn 0. -Champ Securi t y Paramet ers I ndex ( SPI ) LeSPI est unevaleurarbi t rai resur32bi t squi, combi neavecladresseI Pdedest i nat ionetl eprot ocol edescuri t ( AH) ident ifiedemani reuniquel aSAdecedat agramme. Lesval eurs de1255sont rservesparlI ANApourdesimpl ment at i onsfut ures.LavaleurSPI de0estrserve pour une impl ment at i on locale spci fi que etne doi tpas t re propage sur I nt ernet . -Champ Sequence Number Cechampnonsignde32bi t scont ient uneval euri ncrment aleaugment ant demanire monot one( numrodesquence) .I l est obl igat oi reet t ouj oursprsent Sont rat ement est la chargedurcept eur,cest di requelmet t eurdoit t ouj oursenvoyercechamp,maisle rcept eurnapasbesoi ndagi rdessus. Lescompt eurssont i nit i ali ss0quanduneSAestt abl ie. Le premi er paquetmi s ut i li santune SA donne aura un numro de squence de 1. -Donnes daut hent ificat ion Cest unchampdelongueurvari abl econt enant l aval eurdevrificat iondel i nt grit ( I nt egri t yCheckValue) pourcepaquet .Cechampdoit avoirunel ongueurmult i plede32 bit s, avec un bourrage vent uel. Licence Professionnelle Rseaux, Communications et Ingnierie des Services - Projet Firewall VPN - 2003 Page 35 12.3.4.2Chiffrement Le mcani sme ut i li s pour le chiffrement , l aut hent i ficat ion etli nt gri t des donnes est ESP ( Encapsul at ing Securi t y Payl oad) , dfinipar l a RFC 2406. Lesal gori t hmessui vant speuvent t reut i l iss: DES56bi t s, 3DES168bi t s, RC5,I DEA, CAST256bi t s, Blowfish128bi t s.Langoci at ionsefai t parI SAKMP.Nousavonsconst at la pl upart dut empslut il isat ionde3DES- CBC( Ci pherBlockChaini ng) ,quiest unesol ut ion reconnue comme t rs sre. ESP peutt re ut il i s en mode t ransport: I PTCP/ UDPDonnes |I PESPDonnesESPESP Enmodet unnel, l edat agrammedebaseest chi ffrdanssonensembl eet nouveau encapsuldansunnouveaupaquet I P, l en- t t eESPpermet t ant l et ransport desinformat i ons ncessai res. I PTCP/ UDPDonnes |I PESPI PTCP/ UDPDonnesESPESP Pourdfi nirlest ranformat i onsappli quesaunouveaupaquet et lamaniredont ces t ransformat ionsaffect ent ledat agrammet ransmet t re,ondfi ni t unepoli t iquedescurit ou Securit y Associat i on ( SA)quipermetde spcifi er : -l e t ype de prot ect ion ( AH ou ESP) ,-l es al gorit hmes ut il iss pour l aut hent i fi cat i on AH etESP, -l al gorit hme de chiffrementpour ESP, -l es di ffrent es cl s en usage, -l a priodi ci t des cl s de chiffrement , -l a dure de vi e de l a poli t i que de scuri t SA,-l e squenage des dat agrammes I PSec. La SA peutt re fi xe pour l aduredelaconnexion,auquelcasell eest appel est at ique,ou t rerengoci eencoursdet ransmi ssionparl int ermdi airedunevaleursur32bi t sappele SPI( Securi t y Paramet ers I ndex) . La SA est ngocieparle prot ocole I SAKMP/ OakleyetI KE( I nt ernet KeyExchange) . I SAKMP estdfi ni e dans la RFC 2408 ht t p: / / rfc- 2408.rfcli st . org/ Formatde len- t t e ESP ( ext rai tde l a RFC): Len- t t edeprot ocole( I pv4,I pv6ouExt ension) prcdant immdiat ement l en- t t eAH cont i endral avaleur50danssonchamp Prot ocol ( I PV4) ou Next header ( I PV6, Ext ensi on) Licence Professionnelle Rseaux, Communications et Ingnierie des Services - Projet Firewall VPN - 2003 Page 36 Oct et0Oct et1Oct et2Oct et3 01234567012345670123456701234567 Securi t y Paramet ers I ndex ( SPI )Champ numro de squence ( Sequence Number Fi eld)Donnes de charge ( longueur variabl e)Bourrage ( 0- 255 oct et s) Longeur bourrageEn- t t e suivantDonnes daut hent i ficat ion ( vari able) Unchampopt ionnel signi fi equel echampnexi st epassi lopt ionnest passl ect i onne.I l nest doncdanscecasni prsent danslepaquet ni compt dansl avaleurdevri fi cat i onde l i nt grit ( I CV) . Lecaract reopt ionnel dunchampest dfini l orsdel t abli ssement et dela ngoci at iondel aSA.Leformat despaquet sESPpouruneSAdonneest doncfi xepourla duredelaSA.Enrevanche,l eschampsobli gat oiressont t ouj oursprsent sdansl epaquetESP. -Champ Securi t y Paramet ers I ndex ( SPI )( obl igat oi re) LeSPI est unevaleurarbi t rai resur32bi t squi, combi neavecladresseI Pdedest i nat ionetl echampESPi dent ifi edemani reuniquelaSAdecedat agramme.Lesval eursde1255 sont rservesparl I ANApourdesimpl ment at i onsfut ures.LavaleurSPI de0est rserve pour une i mplment at i on locale spcifi que etne doi tpas t re propage sur I nt ernet . -Champ Sequence Number Cechampnonsignde32bi t scont ient uneval euri ncrment aleaugment ant demanire monot one( numrodesquence) .I l est obl igat oi reet t ouj oursprsent Sont rat ement est la chargedurcept eur,cest di requelmet t eurdoit t ouj oursenvoyercechamp,maisle rcept eurnapasbesoi ndagi rdessus. Lescompt eurssont i nit i ali ss0quanduneSAestt abl ie. Le premi er paquetmi s ut i li santune SA donne aura un numro de squence de 1. -Donnes de charge Cest unchampdel ongueurvari ablecont enant lesdonnesdcri t esparl echampNextHeader.Cest un champ obli gat oire quifai tpart ieint grant e du nombre doct etenl ongueur. Sil al gorit hmeut i li pourchi ffrerl echargement ncessi t eunesyncronisat ion crypt ographique( gal ement appeleI V,I dent i fi cat i onVect or) ,cel le- ci peut t ret ransmi se de mani re expl icit e dans ce champ. -Donnes daut hent ificat ion Cest unchampdelongueurvari abl econt enant l aval eurdevrificat iondel i nt grit ( I nt egri t yCheckValue) pourcepaquet .Cechampdoit avoirunel ongueurmult i plede32 bit s, avec un bourrage vent uel. -Bourrage ( obl igat oi re) I l est ut i li snot amment si lalgori t hmedechi ffrement ut il i sncessi t equelet ext e envoyersoit unmul t ipl eduncert ai nnombredoct et s.Sal ongueurest prcisedansl echamp sui vant . Licence Professionnelle Rseaux, Communications et Ingnierie des Services - Projet Firewall VPN - 2003 Page 37 -NextHeader Cest unchampsur8bi t squi ident i fiel et ypededonnescont enuesdanslechamp donnesdecharge ,cest di reunen- t t et endudansI PV6ouunevaleurchoi si eparmi l ensembledesnumrosdeprot ocol esI Pdfi ni sdansl aRFC Assi gnedNumbers lapl us rcent e de l I ANA ( I nt ernetAssigned Numbers Aut hori t y) . -Donnes daut hent ificat ion Cest unchampdelongueurvari abl econt enant l aval eurdevrificat iondel i nt grit ( I nt egri t yCheckValue) pourlepaquet ESPmoinsl apart i eDonnesdaut hent ifi cat i on.Ce champ doi tavoi r une l ongueur mul t ipl e de 32 bi t s, avec un bourrage vent uel. Exempl e : Encapsul at ing Securi t y Payl oad SPI :0xde219d3d Sequence:0x00000004 Dat a ( 84 byt es) 000069 6b 6c 42 b7 56 d1 18 80 38 90 b0 21 c5 4d d4 i klB.V...8.. ! .M. 00100e 84 ef 23 b3 e7 14 e4 49 d8 5c f9 8f 3c 47 0f ...# . ...I .\ ..< G. 00201a b9 7a 02 27 60 ed 2e 4d 5e 5e 48 3d 56 6e b1 ..z. ' ` .. M^ ^ H= Vn. 00304f ca a5 6c 06 87 b7 9e 24 c3 99 fb a6 46 44 e7 O..l ....$.. ..FD.004032 a9 43 7a af 35 10 3e 34 6d 39 9e 21 ea e4 d7 2.Cz.5.> 4m9.! ...00502a 73 af e5 12.3.4.3ISAKMP I SAKMP, I nt ernet Securit yAssoci at ionandKeyManagement Prot ocol,est unprot ocol equi , bi enquenefaisant paspart iedeI PSecproprement parler,est t ot al ement indispensabl ela mi seenpl acedunVPN.I l ut il iseleport UDP/ 500,et permet l angociat i onet l ami seenpl ace de l a SA ent re les deux cli ent s du VPN. I SAKMPest dfi niedanslaRFC2408,l aquell eonpourrasereport erpourobt enirun maxi mum dinformat ions. Onnot eraquel ut i li sat i ondeceprot ocoleoffreuneprot ect i onlednideservi ce, cont rele volde session TCP, etcont re les at t aques de t ypes Homme du mil ieu ( Man i n t he Middle) . I SAKMPoffredeuxphasesdengoci at i ons.Danslapremirephase,l esdeuxent i t sse met t ent daccordsurl amaniredeprot gerlefut urt raficdengociat i onent reell es,en t abl issant uneSAI SAKMPqui est ensuit eut il isepourprot gerl angoci at ionpourl aSA demande. Plusi eurs SA I SAKMP peuventt re ngocies etaccept e en mme t emps. La deuxi me phasede ngoci at ion estut il ise pour t abli rel esassociat i onsdescurit pour l es aut res prot ocol es de scuri t . Cet t e phase peutet re ut il i se pour t abl ir de nombreuses SA. Formatde lent t e I SAKMP Licence Professionnelle Rseaux, Communications et Ingnierie des Services - Projet Firewall VPN - 2003 Page 38 I nit iat or Cookie ( 8 oct et s)Responder Cookie ( 8 oct et s)NextPayloadMj VerMnVerExchange TypeFl ags Message I D Longueur -Champ I ni t i at or Cooki e - Cechampsur8oct et sident i fielent it qui aini t il t abli ssement ,l anot i fi cat i onoula suppressi on de la SA. -Champ Responder Cooki e Sur8oct et s,i l spci fi elent i t iqui rpondunt abl issement ,unenot i fi cat i onouune suppressi on de la SA. -Champ NextPayl oad Surunoct et ,i lindiquel et ypedupremi erlot dedonnesdumessage.Leformat pour chaque l otestdfi ni pl us l oins dans l a RFC. Valeur NextPayl oad0 Aucune0 Securi t y Associ at ion ( SA) 1 Proposal( P) 2 Transform ( T) 3 Key Exchange ( KE) 4 I dent i fi cat i on ( I D) 5 Cert ificat e ( CERT) 6 Cert ificat e Request( CR) 7 Hash ( HASH) 8 Si gnat ure ( SI G) 9 NONCE ( NONCE) 10 Not i fi cat i on ( N) 11 DELETE ( D) 12 VENDOR I D ( VI D) 13 RESERVED14- 127 PRI VATE USE128- 255 -Maj or Versi on Sur 4 bit s, i ndi que la versi on maj eure du prot ocol e I SAKMP ut il i s. -Minor Versi on Licence Professionnelle Rseaux, Communications et Ingnierie des Services - Projet Firewall VPN - 2003 Page 39 Sur 4 bit s, i ndi que la versi on mineure du prot ocole I SAKMP ut i li s. -Exchange Type Sur 1 oct et , indique l e t ype dchange ut i li s. Exchange TypeVal eur NONE0 Base1 I dent it y Prot ect ion2 Aut hent icat ion Onl y3 Aggressive4 I nformat ional 5 Ut i li sat i on fut ure I SAKMP6- 31 Ut i li sat i on Spcifique DOI 32- 239 Ut i li sat i on prive240- 255 -Fl ags Sur 1 oct et , ut i l is pour indi quer des opt i ons spcifiques ut il ises pour l change I SAKMP. oBitdenchi ffrement( 1 bi t ):t ous l es champs suivant s sontcrypt s oBitCommi t( 1 bit )pour l a synchroni sat i on de l change des cls oBit Aut hent i fi cat i onSeule( 1bit ): seul elaut hent i fi cat i onest ut il ise,pasde chi ffrement -Message I D Sur4oct et s,cest uni dent ifi ant ut i li spouri dent ifierl t at duprot ocol edurant l es ngoci at ions de l a phase 2. -Longueur 4 oct et s, spci fi e l a longueur t ot al e du message ( en- t t e +donnes)en oct et s. Chaque donne de charge I SAKMP dbut e avec un en- t t e gnri que,indi qu ci - dessous : 123 NextPayloadRESERVELongueur Payl oad LechampNext Payl oad,sur1oct et ,ident i fiepourl et ypededonnesl eprochai nt ypede donnesut i li sdanslemessage.Si lepayl oadcourant est l edernier,l aval eurest posi t ionne 0. Ce champ permetl e chanage l ors de l a ngoci at i on de la SA ( voir lexempl e) . Le champ Rserv, sur 1 oct et , nestpas ut il is etposit i onn 0 Le champ Payl oad Lengt h i ndi que la valeur en oct etdu payl oad act uel , en- t t e compris. Exempl e : Licence Professionnelle Rseaux, Communications et Ingnierie des Services - Projet Firewall VPN - 2003 Page 40 Internet Security Association and Key Management Protocol Initiator cookie: 0x39E18AE1C87DF1F1 Responder cookie: 0x0000000000000000 Next payload: Security Association (1) Version: 1.0 Exchange type: Identity Protection (Main Mode) (2) Flags .... ...0 = No encryption .... ..0. = No commit .... .0.. = No authentication Message ID: 0x00000000 Length: 216 Security Association payload Next payload: Vendor ID (13) Length: 164 Domain of interpretation: IPSEC (1) Situation: IDENTITY (1) Proposal payload # 1 Next payload: NONE (0) Length: 152 Proposal number: 1 Protocol ID: ISAKMP (1) SPI size: 0 Number of transforms: 4 Transform payload # 1 Next payload: Transform (3) Length: 36 Transform number: 1 Transform ID: KEY_IKE (1) Encryption-Algorithm (1): 3DES-CBC (5) Hash-Algorithm (2): SHA (2) Group-Description (4): Alternate 1024-bit MODP group (2) Authentication-Method (3): RSA-SIG (3) Life-Type (11): Seconds (1) Life-Duration (12): Duration-Value (28800) Transform payload # 2 Next payload: Transform (3) Length: 36 Transform number: 2 Transform ID: KEY_IKE (1) Encryption-Algorithm (1): 3DES-CBC (5) Hash-Algorithm (2): MD5 (1) Group-Description (4): Alternate 1024-bit MODP group (2) Authentication-Method (3): RSA-SIG (3) Life-Type (11): Seconds (1) Life-Duration (12): Duration-Value (28800) Transform payload # 3 Next payload: Transform (3) Length: 36 Transform number: 3 Transform ID: KEY_IKE (1) Encryption-Algorithm (1): DES-CBC (1) Hash-Algorithm (2): SHA (2) Group-Description (4): Default 768-bit MODP group (1) Authentication-Method (3): RSA-SIG (3) Life-Type (11): Seconds (1) Life-Duration (12): Duration-Value (28800) Transform payload # 4 Next payload: NONE (0) Length: 36 Transform number: 4 Transform ID: KEY_IKE (1) Encryption-Algorithm (1): DES-CBC (1) Hash-Algorithm (2): MD5 (1) Group-Description (4): Default 768-bit MODP group (1) Authentication-Method (3): RSA-SIG (3) Life-Type (11): Seconds (1) Life-Duration (12): Duration-Value (28800) Licence Professionnelle Rseaux, Communications et Ingnierie des Services - Projet Firewall VPN - 2003 Page 41 Vendor ID payload Next payload: NONE (0) Length: 24 Vendor ID: unknown vendor ID: 0x1E2B516905991C7D7C96FCBFB587E461... 12.3.4.4Aspect lgislatif Lut il isat iondesclsest soumi sel al gislat i onenvi gueur.EnFrance,cest lex- SCSSI , sous l a t ut ell e duPremi erMi nist re,quifixelesalgori t hmesdechiffrement ut il isablesenFrance ai nsi quel al ongueurdescls.I lest doncpri mordi al dall ervi si t erl eursit e :ht t p: / / www.ssi. gouv. fr/ fr/ i ndex.ht ml avantt out e mi se en pl ace. 12.4 SOLUTIONS MATERIELLES Lagrandemaj orit desFAI et desPME/ PMI souhait ant crerdesVPNut i li sent desrout eurs i nt grant I PSecoudaut resprot ocol espermet t ant deffect uerdesVPN.Sui vant let ypede rout eur, on peutcrer un ou plusieurs t unnel s VPN. 12.5 SOLUTIONS LOGICIELLES 12.5.1Windows Wi ndows2000i nt greunserveurVPNut il isant PPTP.Pourmet t reenpl aceunVPNI PSECetl espol i t iquesdescurit I Passoci es, i lest recommanddedi sposerduKit deRessources Techni ques etdes dernires mi ses j our de scuri t . 12.5.2GNU/Linux Vt unest unesol ut iondet unneli ngfacil emet t reenoeuvremai sdont l esprot ocolesne reposent passurlest andardI PSec,mai ssurdesst andardspropri t aires.Nousnavonsdonc pas ret enu cet t e solut i on qui noffre par ail leurs quun chi ffrementli mi t 128 bit s. Le dmon ppt pd estl impl ment at ion GNU/ Li nux de PPTP. GNU/ Linux FreeS/ WAN estune impl ment at ion Open Source dI PSEC pour GNU/ Li nux. Lebut duproj et FreeS/ WANest dedvelopperI PSECenfourni ssant l ecodesourcequi estdi sponibl e,demmequedepermet t redel efai ret ournersurt out PC,et denepast rel imit par des li mi t at ions nat ional es dexport at ion. Licence Professionnelle Rseaux, Communications et Ingnierie des Services - Projet Firewall VPN - 2003 Page 42 13MISE EN PLACE 13.1 INSTALLATION SUR GNU/LINUX Hormi sl esHow- Tos,dont laplupart dat ent unpeu,i lnexist epasproprement parl erde document at i on compl t e franaise sur l ami seenpl acedeFreeS/ WAN,decert ifi cat sx509avec un cl i ent Windows.Cet t edocument at ion sat t achera donc t rela pl usprci sepossi bleet sera mi seenl ignesousli cenceGNU/ FDLafi ndepermet t rebeaucoupdepersonnesqui hsi t aientencore inst all er une passerell e VPN faire le pas ! 13.1.1Installation de FreeS/WAN ht t p: / / www.freeswan. org Toutdabord, vrifions la version de not re noyau : uname a Linux portzic 2.4.18-14 #1 Wed Sep 4 12:13:11 EDT 2002 i686 athlon i386 GNU/Linux FreeS/ wanpeut t recompi lpart irdessources,pui spat chaveclepat chpermet t antl i mpl ment at ion x509 sous GNU/ Linux, ou bi en on peutrcuprer l e rpm comprenantfreeswan et l epat ch.Cest cet t esol ut ionquenousut i li seronspourfai renot reinst all at ion,carell eest la pl ussi mpl eet rsoudquelquesprobl mesdesynt axequi t aient prsent dansl esfi chi ers ncessai res la compi lat i on des sources etdu noyau. Lefi chi erpeut t ret rouv : ht t p: / / www.freeswan.ca/ code/ freeswan- x509/ RedHat -RPMs/ 2. 4. 18- 14/ Onchoisit l efichierfreeswan- module- 1.99_x509_0.9.15_2. 4. 18_14- 0.i 386. rpmpermet t antl i nst al lat i on direct e en modul e du noyau GNU/ Linux 2.4.18. I nst al lat i on : rpm ivh freeswan- modul e- 1.99_x509_0.9.15_2.4.18_14- 0. i386.rpm Le rpm estinst al l. I lrest e maint enant vri fi er le bon fonct i onnementde I PSEC : [root@portzic misc]# ipsec setup start ipsec_setup: Starting FreeS/WAN IPsec super-freeswan-1.99_kb1... Licence Professionnelle Rseaux, Communications et Ingnierie des Services - Projet Firewall VPN - 2003 Page 43 ipsec_setup: Using /lib/modules/2.4.18-14/kernel/net/ipsec/ipsec.o [root@portzic misc]# ipsec setup status IPsec running pluto pid 10311 I PSecfonct i onnecorrect ement ,il rest emai nt enant met t reenpl acelaut orit de cert ifi cat i on SSL. 13.1.2Mise en place des certificats SSL 13.1.2.1Prambule concernant SSL et les certificats Avant deprocderl amiseenpl acedeFreeS/ WANproprement parler,i lfaut t outdabord possder quel ques not i ons de base sur l est echniquesde cert i fi cat i on,sur SSLetX.509 enpart iculi er.Nousnerent reronspast ropdansl esdt ai ls,cest echni quest antpart i culi rement compl exeset nt ant pasl ebut pri ncipal denot reexpri ment at i on. Cestcependantune t echni que t rs sre, normal ise. SSLouSecureSocket sLayerest unprocddescurisat iondest ransact i onseffect uespar I nt ernet , mi s au pointpar Net scape,avec l a coll aborat ion de banques.I l repose sur un procd decrypt ographiqueparclspubl iques( RSAdansnot recas) afi ndegarant irlascurit dela t ransmi ssiondesdonnessurI nt ernet .SSLnedpendpasduprot ocol eut il is( HTTP,Telnet , .. .) .I l assure si mplementla scuri t de l a t ransact i on ent re ces prot ocoles etl a couche TCP/ I P. SSLest couramment ut i li sdanslesnavigat eursI nt ernet pourl epaiement enl i gne,la scurisat ion des changes bancaires. On l e reconnai t un pet i tcadenas en basdelexplorat eur ou l a prsence dune URL en ht t ps. I l exist edenombreusesimpl ment at i onsdeSSL,cert ai nespayant es,et daut resgrat uit es, l a plus rpandue t antOpenSSL, que nous all ons ut i li ser. Dansnot recas,nousut i l isonsSSLpourgnreruneclRSAde2048bi t s,comprenant une cl publ ique ( pourle chiffrement ) etune cl prive ( pour l edchi ffrement ) .Lal gorit hmeRSAa t crparRivest ,Shamiret Adel manen1978. I lest t ouj ourst rslargement ut i li spour prot ger l es i nformat i ons t rs sensibl es, not ammentdans l es armes. Afindegarant irlaprovenanceet l i nt grit desclst ransmi ses,onut i li seunenorme, X.509, auj ourdhuit rsrpanduesurI nt ernet pourl agest iondescert i ficat s. SSLcoupl X.509et RSApermet dobt eni runensemblet rscohrent descuri sat i ondeschangessur I nt ernetsur l es infrast ruct ures cl s publi ques ( PKI ) . 13.1.2.2Cration de l'autorit de certification Cest unepart i eassezconfusenanmoi nsext rmement i mport ant edeli nst all at i onduVPN. I l faut crersapropreaut ori t decert ificat ion( CACert ificat eAut hori t y) . I lestpart i culi rement consei ll derel iret out oupart i edeladocument at i ondOpenSSL,surt out si l on a j amai s t ravai ll avec OpenSSL. Vrifi cat i on de l i nst al lat i on de OpenSSL :Licence Professionnelle Rseaux, Communications et Ingnierie des Services - Projet Firewall VPN - 2003 Page 44 [root@portzic root]# rpm -qa | grep openssl openssl-0.9.6b-29 openssl-devel-0.9.6b-29 OpenSSLest correct ement inst al l.Si lacommanderpmnerenvoiepaslaversion dOpenSSL i nst al l, ilfautmet t re en place cet t e dernire. I lfautensui t e l ocal iser l e fi chier openssl .cnf. Sous RedHat8.0, i lestsous : /usr/share/ssl/openssl.cnf Modificat ions apport er : Passerl at ai ll edelaclRSApardfaut de10242048,changerledefaul t - daysune val eurpl usgrande( 10ans,soit 3650j oursenviron ! ) .Lefichiermodi fi est prsent en annexe. Crerunrpert oirepouryl ogerl aCA.Onpeut ut i li serunrpert oirecome/ var/ sslcaou / usr/ share/ ssl / misc/ demoCA.Peui mport el enom,i lsuffi t qui lsoit bi enspci fi dansl efichier openssl. cnf,et vrifi erquelespermi ssionsdurpert oi resoient bienpossit i onnes700,de mani re ce que personne ne pui sse accder aux cl s pri ves partroot . Crat ion de l a CA : Locali ser l e fichi er / usr/ share/ ssl/ misc/ CA ( ou CA. sh sui vantl es di st ri but i ons) Le modifi er pour augment er l a dure de val idi t de l aut ori t de cert ifi cat: PassagedeDAYS= days36510000parexempl e.Cenombredoit danst ousl escast re supri eur l a durede vali dit ducert ificat lui - mme,bi enent endu,si noncelapeut poserdes problmes l ors de la mise en place du cert ifi catsur Wi ndows not amment . Lancementde l a commande :/usr/share/ssl/misc/CA -newca [root@portzic misc]# /usr/share/ssl/misc/CA -newca CA certificate filename (or enter to create) Making CA certificate ... Using configuration from /usr/share/ssl/openssl.cnf Generating a 2048 bit RSA private key gnration de la cl RSA sur 2048 bits .................+++ ....................+++ writing new private key to './demoCA/private/./cakey.pem' Enter PEM pass phrase: ce mot de passe sera demand pour la cration de tout certificat Verifying password - Enter PEM pass phrase: ----- You are about to be asked to enter information that will be incorporated into your certificate request. What you are about to enter is what is called a Distinguished Name or a DN. There are quite a few fields but you can leave some blank For some fields there will be a default value, If you enter '.', the field will be left blank. ----- Country Name (2 letter code) [GB]:FR code du pays State or Province Name (full name) [Berkshire]:Provence rgion Licence Professionnelle Rseaux, Communications et Ingnierie des Services - Projet Firewall VPN - 2003 Page 45 Locality Name (eg, city) [Newbury]:Toulon ville Organization Name (eg, company) [My Company Ltd]:Universite Toulon-Var entreprise Organizational Unit Name (eg, section) []: Licence Pro Rso (= OU LDAP) Common Name (eg, your name or your server's hostname) []:portzic hostname Email Address []:[email protected] adresse mail du contact [root@portzic misc]# Laut orit decert ificat ionest alorscre.Lecert ificat est prsent dans /usr/share/ssl/misc/demoCA/cacert.pem.LaCApeut t reut i li sepourgnrerdes cert ifi cat s. La cl prive de laCA est dans /usr/share/ssl/misc/demoCA/private/cakey.pem. I l est i mport ant debi envrifierquecerpert oireest prot genl ect urepourqueseul rootpuisse y accder. Vrifi er l a prsence du rpert oire / et c/ i psec.d/ cacert s, ety copi er l e cert i fi catCA : cp /usr/share/ssl/misc/demoCA/cacert.pem /etc/ipsec.d/cacerts 13.1.2.3Gnration du certificat du serveur VPN I l faut t out dabordgnreruncert i fi cat pourl amachi nepasserell e.Lepri nci peserale mme pour t outcert i fi catSSL cr pour une aut re machine. [root@portzic misc]# /usr/share/ssl/misc/CA -newreq Using configuration from /usr/share/ssl/openssl.cnf Generating a 2048 bit RSA private key ...........+++ ................................+++ writing new private key to newreq.pem Enter PEM pass phrase: mot de passe de chiffrement du certificat Verifying password - Enter PEM pass phrase: ----- You are about to be asked to enter information that will be incorporated into your certificate request. What you are about to enter is what is called a Distinguished Name or a DN. There are quite a few fields but you can leave some blank For some fields there will be a default value, If you enter ., the field will be left blank. ----- Country Name (2 letter code) [GB]:FR State or Province Name (full name) [Berkshire]:Provence Locality Name (eg, city) [Newbury]:Toulon Organization Name (eg, company) [My Company Ltd]: Universite Toulon Var Organizational Unit Name (eg, section) []: Licence Pro Reso Common Name (eg, your name or your servers hostname) []: portzic Email Address []:[email protected] Please enter the following extra attributes to be sent with your certificate request A challenge password []: An optional company name []: Request (and private key) is in newreq.pem [root@portzic misc]# Unefoisquelecert i ficat est gnrnous, aut orit decert ificat ion,devonsl esigneravec not re cl pri ve : [root@portzic misc]# /usr/share/ssl/misc/CA -sign Using configuration from /usr/share/ssl/openssl.cnf Licence Professionnelle Rseaux, Communications et Ingnierie des Services - Projet Firewall VPN - 2003 Page 46 Enter PEM pass phrase: Check that the request matches the signature Signature ok The Subjects Distinguished Name is as follows countryName :PRINTABLE:FR stateOrProvinceName :PRINTABLE:Provence localityName:PRINTABLE:Toulon organizationName:PRINTABLE:My Company Ltd commonName:PRINTABLE:vpn emailAddress:IA5STRING:[email protected] Certificate is to be certified until Jan6 22:40:34 2013 GMT (3650 days) Sign the certificate? [y/n]:y 1 out of 1 certificate requests certified, commit? [y/n]y Write out database with 1 new entries Data Base Updated Certificate: Data: Version: 3 (0x2) Serial Number: 1 (0x1) Signature Algorithm: md5WithRSAEncryption Issuer: C=FR, ST=Provence, L=Toulon, O=My Company Ltd, CN=portzic/[email protected] Validity Not Before: Jan9 22:40:34 2003 GMT Not After : Jan6 22:40:34 2013 GMT Subject: C=FR, ST=Provence, L=Toulon, O=My Company Ltd, CN=vpn/[email protected] Subject Public Key Info: Public Key Algorithm: rsaEncryption RSA Public Key: (2048 bit) Modulus (2048 bit): 00:a7:1f:34:0c:14:b9:49:5f:dd:d2:5c:5e:cd:e3: (...) (...) M0meQjU= -----END CERTIFICATE----- Signed certificate is in newcert.pem [root@portzic misc]# Lecert i ficat at ret ranscri t danssoni nt grali t enannexe,t i t redt ude.Lesfi chi ers i ssusdecet t ecert i fi cat i onsappel lent newcert .pemet newreq.pem.I l sset rouvent pardfautdans le rpert oi re spcifi dans le fi chier de confi gurat i on openssl.cnf. On peutl es renommer de mani re plus expli ci t e. [root@portzic misc]# mv newcert.pem /etc/ipsec.d/freeswan-cert.pem [root@portzic misc]# mv newreq.pem /etc/ipsec.d/private/freeswan-priv.pem Bien vri fi er que l es rpert oi res sous I PSec sonten 700. On peutmai nt enantenlever le cert ificatde l a cl pour ne conserver que lacl RSA 2048 bi t s gnre : Pourcela, onenlveavecvi t out eslesdonnesprsent espart irdel ali gne-----BEGIN CERTIFICATE REQUEST-----,l igneycompri se. Lefi chi erdbut ealorspar-----BEGIN RSA PRIVATE KEY----- etse t ermine par -----END RSA PRIVATE KEY-----. Afindepermet t reFreeS/ WANlal ect ureducert i fi cat X.509, cedernierdoi t t reenformatDER etpl ac dans le /etc/x509cert.der. Afi n de lexport er, on ut i li se la commande suivant e : openssl x509 in /etc/ipsec.d/freeswan-cert.pem outform DER out /etc/x509cert.der. Licence Professionnelle Rseaux, Communications et Ingnierie des Services - Projet Firewall VPN - 2003 Page 47 13.1.2.4Configuration de FreeS/WAN sur la passerelle 13.1.2.4.1Ipsec.secrets Le fichier / et c/ i psec.secret s doi tcont eni r l es l ignes sui vant es : : RSA freeswan-priv.pem FREESWAN_PASSWORD Lemot depasseci - dessusest l emot depasseent rlorsdelagnrat i onducert ifi cat dela passerell e. 13.1.2.4.2Ipsec.conf [root@portzic misc]# more /etc/ipsec.conf # /etc/ipsec.conf - FreeS/WAN IPsec configuration file # More elaborate and more varied sample configurations can be found # in FreeS/WANs doc/examples file, and in the HTML documentation. # basic configuration config setup # THIS SETTING MUST BE CORRECT or almost nothing will work; # %defaultroute is okay for most simple cases. interfaces=%defaultroute # Debug-logging controls:"none" for (almost) none, "all" for lots. klipsdebug=none plutodebug=none # Use auto= parameters in conn descriptions to control startup actions. plutoload=%search plutostart=%search # Close down old connection when new one using same ID shows up. uniqueids=yes # defaults for subsequent connection descriptions # (these defaults will soon go away) conn %default keyingtries=1 compress=yes disablearrivalcheck=no authby=rsasig leftrsasigkey=%cert rightrsasigkey=%cert # connection description for opportunistic encryption # (requires KEY record in your DNS reverse map; see doc/opportunism.howto) conn roadwarrior-net leftsubnet=192.168.0.0/255.255.255.0 also=roadwarrior conn roadwarrior right=%any left=%defaultroute conn roadwarrior-net leftcert=portzic.eg-localisation.com.pem auto=add pfs=yes Cet t econfigurat i onpermet ni mport equi possdant uncert i fi cat vali dcert ifiparnot re aut orit decert ifi cat i ondeseconnect erl ht e. I l yadeuxprofi lsdeconnexion : unpourla Licence Professionnelle Rseaux, Communications et Ingnierie des Services - Projet Firewall VPN - 2003 Page 48 connexi ondirect elapasserel le,et unpourquelecli ent puisseseconnect erderri rela passerell e. On peutvri fi er la confi gurat i on : ipsec whack -status ipsec auto --status 13.1.3Configuration du client I l exist edescl i ent spourGNU/ Li nux( FreeS/ WANl ui- mme) ,pourWindows2000, Windows XP, .. . 13.1.3.1Configuration du client Windows 2000/XP 13.1.3.1.1Pr-requis Pour Wi ndows 2000 : -unPCsousWi ndows2000ServicePack2mi nimum, correct ement configuravec i nt erfacerseauI P.LeServicePack2peut t ret rouvl adresse ht t p: / / www.mi crosoft .com/ wi ndows2000/ downl oads/ servi cepacks/ sp2.sp2l ang.asp . -Wi ndows 2000 ipsecpol.exe versi on 1.22. Cetout ilgre l a st rat gi e I PSec sous Wi ndows. I l peut t ret rouvdansleResourceKi t deWindows2000oul adresse ht t p: / / agent .mi crosoft .com/ wi ndows2000/ t echninfo/ reskit / t ools/ exist ing/ ipsecpol- o.asp . -Lout ilVPN pour Wi ndows 2000 :ht t p: / / vpn.eboot i s. de/ package.zi p . Pour Wi ndows XP -un PC sous Windows XP correct ementconfi gur avec i nt erface rseau I P. -Leprogrammei pseccmd.exe.I lest fourniaveclesout i lsSupport ( Support Tool s) de Wi ndowsXP,prsent ssurl eCDdeWindowsXPdanslerpert oi re\ SUPPORT\ TOOLS ( lancerset up.exe,puisslect ionnerunei nst al lat i oncomplt epourrcuprerl efichier i pseccmd) ,ousurI nt ernet:ht t p: / / fec.emulat i onworld.com/ downl oads/ xp_support _t ool s.exe . -Lout ilVPN pour Wi ndows 2000 :ht t p: / / vpn. eboot i s. de/ package.zi p . 13.1.3.1.2Cration du certificat RoadWarrior Certificate I l faut crerunnouveaucert i fi cat pourl ecl ient et lesigneraveclaCA, commenouslavons vuauchapit regnrat i onduncert ificat ,pui sl erenommeret ledplacerdanslesrpert oi res adquat s : mv newreq.pem /etc/ipsec.d/private/client-priv.pem mv newcert.pem /etc/ipsec.d/client-cert.pem I lfautensui t e crer la li st e de rvocat i on des cert ificat s ( Cert ifi cat e Revocat ion List , CRL): Toutdabord, vrifier que l e rpert oi re / et c/ ipsec.d/ crl s Licence Professionnelle Rseaux, Communications et Ingnierie des Services - Projet Firewall VPN - 2003 Page 49 Crerl ali st e : openssl ca gencrl out /etc/ipsec.d/crls/crl.pem : cet t ecommande crer une li st e de rvocat i on avec la dat e de val idi t li st e dans openssl. cnf. Si on veutrvoquer un cert i ficat , i l fautrent rer les commandes suivant es : openssl ca revoke certificat.pem Puis openssl ca gencrl crldays xx out /etc/ipsec.d/crl/crl.pem o xx estl e nombre de j ours. Si on veutvisuali ser l e cont enu de la CRL, ent rer l a commande : openssl crl in /etc/ipsec.d/crls/crl.pem noout -text Pourexport erl ecert i fi cat versWi ndows,i lfaut crerunexport enformat .p12,quiestcompri s de Wi ndows, mai s gal ementde I nt ernetExpl orer, Net scape, PGPNet .. . Pour cel a : [root@portzic misc]# openssl pkcs12 -export -in /etc :ipsec.d/client-cert.pem -inkey /etc/ipsec.d/private/client-priv.pem -certfile /usr/share/ssl/misc/demoCA/cacert.pem -out /home/client/client.p12 Enter PEM pass phrase: Enter Export Password: Verifying password - Enter Export Password: Pourquecert ainesversionsdeWi ndowsl isent correct ement l ecert i ficat ,i lfaut parfoi s aj out erlopt iondenomconvi vi al : - namenom_convi vial .Celanapast ncessai redans not re cas. I l faut gal ement not erlasort i esui vant e,qui est demandelorsdelimport ducert i fi catsous Wi ndows : [root@portzic misc]# openssl x509 -in /usr/share/ssl/misc/demoCA/cacert.pem -noout -subject subject= /C=FR/ST=Provence/L=Toulon/O=My Company Ltd/CN=portzic/[email protected] [root@portzic misc]# Lefichi er.r12doit t reexport versunrpert oi reaccessibl eauseulcli ent pui scopisurla machineWi ndowsdemanirescuri se,soit parunscpsi lest aut oris,soi t pardisquet t epar exempl e. Ne pas ut i l iser le ft p ou aut re prot ocol e non scurit pour le t ransfertdu cert i fi cat! Sur Windows, crer un rpert oi re C: \ I PSEC par exempl e. Y t l charger ht t p: / / vpn.eboot i s.de/ package.zip ety recopi er l e fi chi er .r12 rcuprer l ors de l t ape prcdent e. 13.1.3.1.3Mise en place du certificat Licence Professionnelle Rseaux, Communications et Ingnierie des Services - Projet Firewall VPN - 2003 Page 50 Crat ion dune MMC pour I PSec etles cert i fi cat s : Dmarrer - >Excut er - >MMC Danslaconsol eMMCqui souvre,ouvri rl emenu Fi chi er- > Aj out er/ Supprimerun composantl ogicielenfi chable . Vrifi er Composant s logi ci els enfi chables aj out s :Raci ne de l a console Licence Professionnelle Rseaux, Communications et Ingnierie des Services - Projet Firewall VPN - 2003 Page 51 Cl iquer sur Aj out er Choisir Cert ificat s Cl iquer sur Aj out er Modi fi er en cl i quantsur Le compt e de l ordi nat eur Choi si r Lordinat eur l ocal puis cl iquer sur Terminer , pui s dans laut re fent re, Termi ner . Licence Professionnelle Rseaux, Communications et Ingnierie des Services - Projet Firewall VPN - 2003 Page 52 Cl i quer sur Ok . Les cert ificat s ontt raj out s la MMC. Fai re de mme pour I PSec : Ouvrir le menu Fichier - >Aj out er/ Supprimer un composantl ogiciel enfi chabl e . Licence Professionnelle Rseaux, Communications et Ingnierie des Services - Projet Firewall VPN - 2003 Page 53 Vrifi er Composant s logi ci els enfi chables aj out s :Raci ne de l a console Cl iquer sur Aj out er Licence Professionnelle Rseaux, Communications et Ingnierie des Services - Projet Firewall VPN - 2003 Page 54 Choisir Gest i on de la st rat gi e de scurit du prot ocole I P , cli quer sur Aj out er. Choisir Ordi nat eur local pui s cli quer sur Termi ner , puis Fermer dans laut re fent re. Licence Professionnelle Rseaux, Communications et Ingnierie des Services - Projet Firewall VPN - 2003 Page 55 Cli quer sur Ok La st rat gi e I PSec a t raj out e, on remarque la prsence de FreeS/ WAN dans un nom de la part ie droi t e de l a fent re. I lestt emps di mport er not re cert i fi cat: Dans cert ificat , cli quer droi tsur Personnel pui s cli quer gauche sur Tout es l es t ches->I mport er Licence Professionnelle Rseaux, Communications et Ingnierie des Services - Projet Firewall VPN - 2003 Page 56 Cli quer sur Sui vant. Cli quer sur Parcouri r etpoi nt er vers l e fichi er .r12 que l on a plac dans c: \ I PSEC\ . Modifier pour cela Fichi ers de t ype afi n de choi si r l e bon fi lt re * . p12 ) . Sl ect i onner not re cert i fi catetcl iquer sur Ouvrir . Cli quer sur Suivant Licence Professionnelle Rseaux, Communications et Ingnierie des Services - Projet Firewall VPN - 2003 Page 57 Rent rer l e motde passe qui a t rent r l ors de la crat ion du cert ificatpour le prot ger ( ExportPassword ) . Cli quer sur Suivant Modifi er pour choi si r : Slect ionner aut omat i quementle magasi n de cert i fi cat s sel on le t ype de cert i fi cat,puis cl iquer sur Sui vant. Licence Professionnelle Rseaux, Communications et Ingnierie des Services - Projet Firewall VPN - 2003 Page 58 Cl i quer sur Termi ner Bravo ! Le cert ificatapparaitcorrect ementdans l es cert ifi cat s personnel s. Fermer l a MMC etlenregist rer dans C: \ I psec, afin de ne pas avoi r l a reconst rui re chaque foi s. Licence Professionnelle Rseaux, Communicati