Red Hat Enterprise Linux 3: Guide d'administration système | ||
---|---|---|
Précédent | Chapitre 19. Configuration réseau | Suivant |
IPsec signifie Internet Protocol Security (sécurité de protocole Internet) et est une solution VPN (Virtual Private Network) dans laquelle une connexion cryptée est établie entre deux systèmes (hôte-à-hôte) ou deux réseaux (réseau-à-réseau).
![]() | Astuce |
---|---|
Afin d'obtenir de plus amples informations sur IPsec, veuillez vous rendre à l'adresse suivante : http://www.ipsec-howto.org/. |
Une connexion IPsec d'hôte-à-hôte est une connexion cryptée entre deux systèmes qui exécutent IPsec avec la même clé d'authentification. Avec la connexion IPsec activée, tout le trafic du réseau entre les deux hôtes est crypté.
Pour configurer une connexion IPsec d'hôte-à-hôte, suivez les étapes suivantes pour chaque hôte :
Lancez l'Outil d'administration réseau.
Sur l'onglet IPsec, sélectionnez Nouveau.
Cliquez sur Suivant pour commencer la configuration d'une connexion IPsec d'hôte-à-hôte.
Donnez un surnom d'un mot comme ipsec0 à la connexion, puis indiquez si la connexion devrait être automatiquement activée au démarrage. Cliquez sur Suivant.
Sélectionnez Cryptage hôte vers hôte comme type de connexion. Cliquez sur Suivant.
Sélectionnez le type de cryptage à utiliser : manuel ou automatique.
Si vous sélectionnez manuel, une clé de cryptage devra être fournie ultérieurement. Si vous sélectionnez automatique, le démon racoon est utilisé pour gérer la clé de cryptage. Dans ce dernier cas, le paquetage ipsec-tools doit être installé.
Cliquez sur Suivant pour continuer.
Spécifiez l'adresse IP de l'autre hôte.
Si vous ne connaissez pas l'adresse IP de l'autre système, exécutez la commande /sbin/ifconfig <périphérique> sur l'autre système, où <périphérique> représente le périphérique utilisé pour la connexion sur l'autre hôte. Si une seule carte Ethernet existe sur le système, le nom du périphérique est eth0. L'adresse IP est le numéro suivant l'étiquette inet addr:.
Cliquez sur Suivant pour continuer.
Si vous avez sélectionné le cryptage manuel dans l'étape 6, spécifiez la clé de cryptage à utiliser ou cliquez sur Générer pour en créer une.
Spécifiez une clé d'authentification ou cliquez sur Générer pour en créer une. Vous pouvez utiliser toute combinaison de chiffres et de lettres.
Cliquez sur Suivant pour continuer.
Vérifiez les informations sur la page IPsec — Résumé, puis cliquez sur Appliquer.
Sélectionnez Fichier => Enregistrer pour enregistrer la configuration.
Sélectionnez la connexion IPsec à partir de la liste, puis cliquez sur le bouton Activer.
Effectuez les mêmes opérations pour l'autre hôte. Il est extrêmement important que les mêmes clés de l'étape 8 soient utilisées sur les autres hôtes. Sinon, IPsec ne fonctionnera pas.
Une fois configurée, la connexion IPsec apparaît dans la liste IPsec comme le montre la Figure 19-22.
Deux fichiers sont créés dans /etc/sysconfig/network-scripts/ — ifcfg-<surnom> et keys-<surnom>. Si vous avez sélectionné le cryptage automatique, /etc/racoon/racoon.conf est également créé.
Lorsque l'interface est activée, <remote-ip>.conf et psk.txt sont créés dans /etc/racoon/ et racoon.conf est modifié de façon à inclure <remote-ip>.conf.
Reportez-vous à la Section 19.14.3 pour déterminer si la connexion IPsec a été établie avec succès.
Une connexion IPsec réseau-à-réseau utilise deux routeurs IPsec, un pour chaque réseau, à travers lesquels le trafic réseau pour les sous-réseaux privés est routé.
Par exemple, comme le montre la Figure 19-23, si le réseau privé 192.168.0/24 souhaite envoyer du trafic réseau vers le réseau privé 192.168.2.0/24, les paquets traversent gateway0, vers ipsec0, à travers l'internet, en passant par ipsec1, gateway1, pour arriver au sous-réseau 192.168.2.0/24.
Les routeurs IPsec doivent posséder des adresses IP adressables de l'extérieur ainsi qu'un autre périphérique Ethernet connecté à son réseau privé. Le trafic ne le traverse que si il est destiné à l'autre routeur IPsec avec lequel il a une connexion cryptée.
D'autres options de configuration réseau incluent un pare-feu entre chaque routeur IP et l'internet et un pare-feu Intranet entre chaque routeur IPsec et passerelle de sous-réseau. Le routeur IPsec et la passerelle du sous-réseau peuvent former un système avec les deux périphériques Ethernet, un avec une adresse IP publique qui agit en tant que routeur IPsec et un avec une adresse IP privée qui agit en tant que passerelle pour le sous-réseau privé. Chaque routeur IPsec peut utiliser la passerelle pour son réseau privé ou une passerelle publique pour envoyer des paquets sur l'autre routeur IPsec.
Pour configurer une connexion IPsec réseau-à-réseau, suivez les étapes suivantes :
Lancez l'Outil d'administration réseau.
Sur l'onglet IPsec, sélectionnez Nouveau.
Cliquez sur Suivant pour commencer la configuration d'une connexion IPsec réseau-à-réseau.
Donnez un surnom d'un mot comme ipsec0 à la connexion, puis indiquez si la connexion devrait être automatiquement activée au démarrage. Cliquez sur Suivant.
Sélectionnez Cryptage réseau-à-réseau (VPN), puis cliquez sur Suivant.
Sélectionnez le type de cryptage à utiliser : manuel ou automatique.
Si vous sélectionnez manuel, une clé de cryptage devra être fournie ultérieurement. Si vous sélectionnez automatique, le démon racoon est utilisé pour gérer la clé de cryptage. Dans ce dernier cas, le paquetage ipsec-tools doit être installé. Cliquez sur Suivant pour continuer.
Sur la page Réseau local, entrez les informations suivantes :
Adresse du réseau local — L'adresse IP du périphérique sur le routeur IPsec connecté au réseau privé.
Masque du sous-réseau local — Le masque du sous-réseau de l'adresse IP du réseau local.
Passerelle du réseau local — La passerelle du sous-réseau privé.
Cliquez sur Suivant pour continuer.
Sur la page Réseau distant, entrez les informations suivantes :
Adresse IP distante — L'adresse IP adressable de l'extérieur du routeur IPsec pour l'autre réseau privé. Dans notre exemple, pour ipsec0, entrez l'adresse IP adressable de l'extérieur de ipsec1, et vice versa.
Adresse de réseau distant — L'adresse réseau du sous-réseau privé derrière l'autre routeur IPsec. Dans notre exemple, entrez 192.168.1.0 si vous configurez ipsec1 ou entrez 192.168.2.0 si vous configurez ipsec0.
Masque du sous-réseau distant — Le masque du sous-réseau de l'adresse IP distante.
Passerelle de réseau distant — L'adresse IP de la passerelle pour l'adresse réseau à distance.
Si vous avez sélectionné le cryptage manuel dans l'étape 6, spécifiez la clé de cryptage à utiliser ou cliquez sur Générer pour en créer une.
Spécifiez une clé d'authentification ou cliquez sur Générer pour en créer une. Vous pouvez utiliser toute combinaison de chiffres et de lettres.
Cliquez sur Suivant pour continuer.
Vérifiez les informations sur la page IPsec — Résumé, puis cliquez sur Appliquer.
Sélectionnez Fichier => Enregistrer pour enregistrer la configuration.
Sélectionnez la connexion IPsec à partir de la liste, puis cliquez sur le bouton Activer.
En tant que super-utilisateur, activez la redirection d'IP à une invite du shell :
Éditez /etc/sysctl.conf et réglez net.ipv4.ip_forward sur 1.
Exécutez la commande suivante pour activer le changement :
sysctl -p /etc/sysctl.conf |
Le script réseau pour activer la connexion IPsec crée automatiquement des routes réseau pour envoyer des paquets à travers le routeur IPsec si nécessaire.
Reportez-vous à la Section 19.14.3 pour déterminer si la connexion IPsec a été établie avec succès.
Utilisez l'utilitaire tcpdump pour afficher les paquets du réseau transférés entre les hôtes (ou réseaux) et vérifiez qu'ils sont bien cryptés via IPsec. Le paquet devrait inclure un en-tête AH et devrait être affiché en tant que paquet ESP. ESP signifie qu'il est crypté. Par exemple :
17:13:20.617872 pinky.example.com > ijin.example.com: \ AH(spi=0x0aaa749f,seq=0x335): ESP(spi=0x0ec0441e,seq=0x335) (DF) |
Si la connexion IPsec n'a pas été configurée de façon à être activée au démarrage, démarrez et arrêtez la en tant que super-utilisateur via la ligne de commande.
Pour démarrer la connexion, exécutez la commande suivante en tant que super-utilisateur sur chaque hôte pour l'IPsec d'hôte-à-hôte ou pour chaque routeur IPsec pour l'IPsec réseau-à-réseau (remplacez <ipsec-nick> avec le surnom d'un mot configuré auparavant, comme ipsec0) :
/sbin/ifup <ipsec-nick> |
Pour arrêter la connexion, exécutez la commande suivante en tant que super-utilisateur sur chaque hôte pour l'IPsec d'hôte-à-hôte ou pour chaque routeur IPsec pour l'IPsec réseau-à-réseau (remplacez <ipsec-nick> avec le surnom d'un mot configuré auparavant, comme ipsec0) :
/sbin/ifdown <ipsec-nick> |
Précédent | Sommaire | Suivant |
Alias de périphériques | Niveau supérieur | Enregistrement et restauration de la configuration réseau |