Mise en place d'une paire de SA IPsec - Revision history

Bruno Deniaud at 09:19, 14 February 2006

2006-02-14T09:19:02Z

Laurent Toutain: /* Configuration dynamique de la SAD */

2005-12-03T14:22:17Z

‎Configuration dynamique de la SAD

Laurent Toutain: /* Configuration manuelle de la SAD */

2005-12-03T14:21:48Z

‎Configuration manuelle de la SAD

Laurent Toutain: /* Configuration dynamique de la SAD */

2005-12-03T14:21:09Z

‎Configuration dynamique de la SAD

Laurent Toutain at 14:19, 3 December 2005

2005-12-03T14:19:27Z

New page

Deux machines A et B utilisent le système d'exploitation FreeBSD et on souhaite configurer une paire de SA IPsec entre ces deux machines. Afin d'utiliser IPsec, il est nécessaire que l'option IPSEC soit compilée dans le noyau41. Dans un premier temps une paire de SA IPsec sera mise en place en utilisant le protocole ESP. Pour cela, il faut configurer d'une part la base de données de politique de sécurité IPsec (SPD) et d'autre part la base de données des associations de sécurité (SAD).

==Configuration de la SPD sur A et B==

Imaginons que la politique de sécurité consiste à protéger tous les échanges entre <tt>A</tt> et <tt>B</tt> par le protocole ESP en mode transport.

Sur A, la SPD peut alors être configurée à l'aide du script présent à le Script de configuration de la SPD sur A. La commande <tt>setkey</tt> permet de manipuler les bases de données SPD et SAD (cf. <tt>man setkey</tt>). En particulier, l'option « <tt>-FP</tt> » permet de nettoyer la SPD et l'option « <tt>-F</tt> » de nettoyer la SAD.

L'une des opérations de <tt>setkey</tt> est <tt>spdadd</tt>. Cette opération permet d'ajouter une politique de sécurité dans la SPD. Elle prend les paramètres suivants :

* « <tt>any</tt> » signifie que n'importe quel trafic doit être protégé par ESP
* « <tt>-P out</tt> » indique que le trafic sortant est pris en considération
* « <tt>-P in</tt> » indique que le trafic entrant est pris en considéréation
* "<tt>require</tt>" indique que si la politique ne peut pas être appliquée (pas de SA correspondante), alors on ne doit ni envoyer ni accepter des paquets IP de <tt>B</tt>.

Dans le script, la première règle indique que tout le trafic (<tt>any</tt>) ayant pour source A et pour destination <tt>B</tt> (<tt>$A $B</tt>), qui sort de <tt>A</tt> (<tt>-P out</tt>), doit être traité par IPsec (<tt>ipsec</tt>). Ce trafic doit être protégé par ESP en mode transport.

'''''Script de configuration de la SPD sur A'''''

#!/bin/csh
set A = 2001:0660:3203:1020:210:b5ff:feab:4cc4
set B = 2001:0660:3203:1010:210:b5ff:feab:2dc2
#nettoie la SPD
setkey -FP
#nettoie la SAD
setkey -F
#exécute les opérations indiquées jusqu'à EOF
setkey -c << EOF
# policy to use between A and B
spdadd $A $B any -P out ipsec esp/transport//require;
spdadd $B $A any -P in ipsec esp/transport//require;
EOF

'''''Script de configuration de la SPD sur B'''''

#!/bin/csh
set A = 2001:0660:3203:1020:210:b5ff:feab:4cc4
set B = 2001:0660:3203:1010:210:b5ff:feab:2dc2

setkey -FP
setkey -F
setkey -c << EOF

# policy to use between A and B

spdadd $A $B any -P in ipsec esp/transport//require;
spdadd $B $A any -P out ipsec esp/transport//require;

EOF

Pour rendre ce script exécutable, il faut utiliser la commande <tt>chmod +x nom_du_script</tt>.

Pour définir la SPD sur la machine <tt>B</tt>, un script similaire (voir Script de configuration de la SPD sur B) doit être considéré. Noter que seule la direction de la politique change.

Afin de vérifier que les politiques de sécurité ont été correctement installées sur les deux machines, on peut utiliser la commande <tt>setkey -DP</tt> qui nous renseigne de plus sur la date de création ainsi que la date de dernière utilisation.

$(sur B) '''setkey -DP'''
2001:660:3203:1020:210:b5ff:feab:4cc4[any] 2001:660:3203:1010:210:b5ff:feab:2dc2[any] any
in ipsec
esp/transport//require
created: Jan 12 14:46:07 2005 lastused: Jan 14 16:05:48 2005
lifetime: 0(s) validtime: 0(s)
spid=16408 seq=1 pid=21781
refcnt=1
2001:660:3203:1010:210:b5ff:feab:2dc2[any] 2001:660:3203:1020:210:b5ff:feab:4cc4[any] any
out ipsec
ah/transport//require
created: Jan 12 14:46:07 2005 lastused: Jan 15 03:01:06 2005
lifetime: 0(s) validtime: 0(s)
spid=16409 seq=0 pid=21781
refcnt=1

===Variantes possibles de la SPD===

Nous proposons de donner d'autres exemples de configuration possibles. Pour ne protéger que le trafic ICMPv6 entre <tt>A</tt> et <tt>B</tt> (dans le sens <tt>A</tt> vers <tt>B</tt>) avec le protocole AH, on utilisera l'opération suivante :

spdadd $A $B icmp6 -P out ipsec ah/transport//require;

Pour protéger le trafic UDP entre <tt>A</tt> et <tt>B</tt> (de <tt>A</tt> vers <tt>B</tt>) avec ESP :

spdadd $A $B udp -P out ipsec esp/transport//require;

Pour protéger tout le trafic entre <tt>A</tt> et <tt>B</tt> (de <tt>B</tt> vers <tt>A</tt>) avec AH :

spdadd $B $A any -P out ipsec ah/transport//require;

On peut aussi vouloir utiliser le mode tunnel. Par exemple, on peut dire à <tt>A</tt> que ses paquets à destination d'une machine <tt>C</tt> doivent utiliser un tunnel entre <tt>A</tt> et <tt>B</tt>. <tt>B</tt> est alors chargé de transmettre les paquets non protégés à <tt>C</tt>. On utilisera pour cela la commande suivante :

spdadd $A $C any -P out ipsec esp/tunnel/$A-$B/require;

==Configuration manuelle de la SAD==

Pour que le trafic soit effectivement protégé par IPsec, il faut que les machines A et B partagent une ou des associations de sécurité IPsec. Dans notre exemple, <tt>A</tt> et <tt>B</tt> doivent partager deux SAs : une de <tt>A</tt> vers <tt>B</tt> et une de <tt>B</tt> vers <tt>A</tt>. Ces associations de sécurité peuvent être configurées soit manuellement soit dynamiquement en utilisant le protocole IKE. Dans cette partie, nous allons configurer ces deux SAs manuellement à l'aide du script de la See Script de configuration de la SAD sur <tt>A</tt> et <tt>B</tt>.

La commande <tt>add</tt> permet d'ajouter un SA dans la SAD. La première règle add permet de créer la SA utilisée entre <tt>A</tt> et <tt>B</tt> et de <tt>A</tt> vers <tt>B</tt> et la seconde crée la SA utilisée entre <tt>A</tt> et <tt>B</tt> mais de <tt>B</tt> vers <tt>A</tt>. Les paramètres utilisés ici sont :

* le SPI, qui vaut pour la première règle "<tt>0x20001</tt>",
* l'algorithme de chiffrement "<tt>-E rijndael-cbc</tt>",
* la clef utilisée pour le chiffrement "<tt>GISELEGISELEGISELEGISELE</tt>",
* l'algorithme d'authentification "<tt>-A hmac-sha1</tt>"
* la clef correspondante "<tt>KAMEKAMEKAMEKAMEKAME</tt>".

Vous pouvez vérifier que cette configuration fonctionne correctement à l'aide des commandes <tt>tcpdump</tt> et <tt>ping6</tt> par exemple, <tt>tcpdump</tt> permettant de voir le trafic arrivant et sortant d'une interface et <tt>ping6</tt> d'envoyer des paquets ICMPv6 ECHO_REQUEST vers une adresse IPv6.

'''''Script de configuration de la SAD sur A et B'''''

#!/bin/csh
set A = 2001:0660:3203:1020:210:b5ff:feab:4cc4
set B = 2001:0660:3203:1010:210:b5ff:feab:2dc2
setkey -F
setkey -c << EOF

#set SAD between A and B

add $A $B esp 0x20001 -E rijndael-cbc "GISELEGISELEGISELEGISELE" -A hmac-sha1 "KAMEKAMEKAMEKAMEKAME";
add $B $A esp 0x20002 -E rijndael-cbc "GISELEGISELEGISELEGISELE" -A hmac-sha1 "MEKAMEKAMEKAMEKAMEKA";

EOF

==Configuration dynamique de la SAD==

L'utilisation du protocole IKE permet la mise en place automatique des associations de sécurité. Il consulte la SPD afin de configurer les SAs correspondantes. Le logiciel <tt>racoon</tt> est une implémentation de ce protocole. C'est ce logiciel que nous allons utiliser pour automatiser la configuration de la SAD. Si le mode d'authentification choisi repose sur un secret pré-partagé, alors il est nécessaire d'éditer deux fichiers de configuration pour racoon. Ces deux fichiers se trouvent (après installation du logiciel) dans le répertoire <tt>/usr/local/etc/racoon</tt>. Le fichier <tt>racoon.conf</tt> est le fichier de configuration de racoon. Un exemple de configuration utilisée sur <tt>A</tt> et <tt>B</tt> est donné dans l'encadré suivant. Voici quelques éléments clés du fichier permettant de mieux en comprendre le contenu (le lecteur intéressé pourra obtenir des informations plus précises en tapant <tt>man racoon.conf</tt>) :

'''''Fichier racoon.conf'''''

# "path" must be placed before it should be used.
# You can overwrite which you defined, but it should not use due to confusing.
path include "/usr/local/etc/racoon" ;

# search this file for pre_shared_key with various ID key.
path pre_shared_key "/usr/local/etc/racoon/psk.txt" ;

# "padding" defines some parameter of padding. You should not touch these.
padding
{
maximum_length 20; # maximum padding length.
randomize off; # enable randomize length.
strict_check off; # enable strict check.
exclusive_tail off; # extract last one octet.
}

# if no listen directive is specified, racoon will listen to all
# available interface addresses.
listen
{
isakmp 2001:0660:3203:1020:210:b5ff:feab:4cc4 [500];
}

# Specification of default various timer.
timer
{
# These value can be changed per remote node.
counter 5; # maximum trying count to send.
interval 20 sec; # maximum interval to resend.
persend 1; # the number of packets per a send.

# timer for waiting to complete each phase.
phase1 30 sec;
phase2 15 sec;
}

remote anonymous
{
exchange_mode aggressive,main;
doi ipsec_doi;
situation identity_only;

my_identifier address;

nonce_size 16;
lifetime time 1 min; # sec,min,hour
initial_contact on;
proposal_check obey; # obey, strict or claim

proposal {
encryption_algorithm 3des;
hash_algorithm sha1;
authentication_method pre_shared_key ;
dh_group 2 ;
}
}

sainfo anonymous
{
pfs_group 1;
lifetime time 30 sec;
encryption_algorithm 3des ;
authentication_algorithm hmac_sha1;
compression_algorithm deflate ;
}

* <tt>my_identifier</tt> précise le type de l'identifiant des machines <tt>A</tt> et <tt>B</tt>. Ici, les machines sont identifiées par leurs adresses IPv6, donc le fichier contient :
** <tt>my_identifier address</tt>;
** <tt>authentication_method</tt> précise la méthode d'authentification de la phase I. Il s'agit ici du mode <tt>pre_shared_key</tt> dans la partie <tt>remote anonymous</tt>
* <tt>path pre_shared_key</tt> indique le fichier (<tt>/usr/local/etc/racoon/psk.txt</tt>) contenant la clé

Le fichier <tt>psk.txt</tt> contient le secret pré-partagé (cf. Fichier <tt>psk.txt<tt>), c'est-à-dire, il précise l'adresse de la machine distante suivie du secret partagé à savoir ici : 123456789abcde.

'''''Fichier psk.txt sur A :'''''

2001:660:3203:1010:210:b5ff:feab:2dc2 123456789abcde

'''''Fichier psk.txt sur B :'''''
2001:660:3203:1020:210:b5ff:feab:4cc4 123456789abcde

Une fois les fichiers correctement configurés, nous pouvons lancer le démon IKE à l'aide de la commande <tt>racoon</tt> sur les machines A et B (cf. <tt>man racoon</tt> pour plus d'informations sur cette commande) :

#racoon -f /usr/local/etc/racoon/racoon.conf

Pour tester que la configuration fonctionne correctement, on peut utiliser la commande <tt>ping6</tt> entre <tt>A</tt> et <tt>B</tt>.

← Older revision		Revision as of 09:19, 14 February 2006
Line 1:		Line 1:
		+	{{suivi\| Architectures classiques de mise en oeuvre des IPsec \| Architectures classiques de mise en oeuvre des IPsec \| Critique des IPsec \| Critique des IPsec }}
	Deux machines A et B utilisent le système d'exploitation FreeBSD et on souhaite configurer une paire de SA IPsec entre ces deux machines. Afin d'utiliser IPsec, il est nécessaire que l'option IPSEC soit compilée dans le noyau41. Dans un premier temps une paire de SA IPsec sera mise en place en utilisant le protocole ESP. Pour cela, il faut configurer d'une part la base de données de politique de sécurité IPsec (SPD) et d'autre part la base de données des associations de sécurité (SAD).		Deux machines A et B utilisent le système d'exploitation FreeBSD et on souhaite configurer une paire de SA IPsec entre ces deux machines. Afin d'utiliser IPsec, il est nécessaire que l'option IPSEC soit compilée dans le noyau41. Dans un premier temps une paire de SA IPsec sera mise en place en utilisant le protocole ESP. Pour cela, il faut configurer d'une part la base de données de politique de sécurité IPsec (SPD) et d'autre part la base de données des associations de sécurité (SAD).

Line 213:		Line 214:

	Pour tester que la configuration fonctionne correctement, on peut utiliser la commande <tt>ping6</tt> entre <tt>A</tt> et <tt>B</tt>.		Pour tester que la configuration fonctionne correctement, on peut utiliser la commande <tt>ping6</tt> entre <tt>A</tt> et <tt>B</tt>.
		+	{{suivi\| Architectures classiques de mise en oeuvre des IPsec \| Architectures classiques de mise en oeuvre des IPsec \| Critique des IPsec \| Critique des IPsec }}

@@ Line 205: / Line 205: @@
   '''''Fichier psk.txt sur B :'''''
 :660:3203:1020:210:b5ff:feab:4cc4 123456789abcde
 Une fois les fichiers correctement configurés, nous pouvons lancer le démon IKE à l'aide de la commande <tt>racoon</tt> sur les machines A et B (cf. <tt>man racoon</tt> pour plus d'informations sur cette commande) :
-  #racoon -f /usr/local/etc/racoon/racoon.conf
+  #'''racoon -f /usr/local/etc/racoon/racoon.conf'''
 Pour tester que la configuration fonctionne correctement, on peut utiliser la commande <tt>ping6</tt> entre <tt>A</tt> et <tt>B</tt>.

@@ Line 115: / Line 115: @@
   #set SAD between A and B
-  add $A $B esp 0x20001 -E rijndael-cbc "GISELEGISELEGISELEGISELE" -A hmac-sha1   "KAMEKAMEKAMEKAMEKAME";
+  add $A $B esp 0x20001 -E rijndael-cbc "GISELEGISELEGISELEGISELE" -A hmac-sha1 "KAMEKAMEKAMEKAMEKAME";
-  add $B $A esp 0x20002 -E rijndael-cbc "GISELEGISELEGISELEGISELE" -A hmac-sha1  "MEKAMEKAMEKAMEKAMEKA";
+  add $B $A esp 0x20002 -E rijndael-cbc "GISELEGISELEGISELEGISELE" -A hmac-sha1 "MEKAMEKAMEKAMEKAMEKA";
   EOF

@@ Line 195: / Line 195: @@
 * <tt>my_identifier</tt> précise le type de l'identifiant des machines <tt>A</tt> et <tt>B</tt>. Ici, les machines sont identifiées par leurs adresses IPv6, donc le fichier contient :
 ** <tt>my_identifier address</tt>;
-** <tt>authentication_method</tt> précise la méthode d'authentification de la phase I. Il s'agit ici du mode <tt>pre_shared_key</tt> dans la partie <tt>remote anonymous</tt>
+* <tt>authentication_method</tt> précise la méthode d'authentification de la phase I. Il s'agit ici du mode <tt>pre_shared_key</tt> dans la partie <tt>remote anonymous</tt>
 * <tt>path pre_shared_key</tt> indique le fichier (<tt>/usr/local/etc/racoon/psk.txt</tt>) contenant la clé