Protection d'un VPN à l'aide d'un tunnel IPsec en mode Transport sur IPv4

En mode Transport, l'en-tête extérieur détermine la stratégie IPsec qui protège le paquet IP interne.

Cette procédure prolonge la procédure Sécurisation du trafic entre deux systèmes à l'aide d'IPsec. Outre la connexion de deux systèmes, vous connectez deux intranets qui leur sont connectés. Les systèmes de cette procédure fonctionnent comme des passerelles.

La configuration utilisée pour cette procédure est décrite à la section Description de la topologie réseau requise par les tâches IPsec afin de protéger un VPN. Les raisons pour lesquelles des commandes spécifiques sont requises sont expliquées en détail aux étapes correspondantes de la section Protection d'un VPN à l'aide d'un tunnel IPsec en mode Tunnel sur IPv4.

Effectuez cette procédure sur les deux systèmes.

1. Sur la console du système, connectez-vous en tant qu'administrateur principal ou superutilisateur.

   Le rôle d'administrateur principal inclut le profil d'administrateur principal. Pour plus d'informations sur la création d'un rôle et son assignation à un utilisateur, reportez-vous au Chapitre 2, Working With the Solaris Management Console (Tasks) du System Administration Guide: Basic Administration.

   ---

   Remarque –

   En vous connectant à distance, vous exposez le trafic de données confidentielles à des risques d'écoute électronique. Même si vous protégez la connexion à distance d'une manière ou d'une autre, la sécurité du système se limite à celle de la session à distance. Utilisez la commande ssh pour une connexion à distance sécurisée.

   ---

2. Contrôlez le flux de paquets avant de configurer IPsec.

   1. Assurez-vous que le transfert IP et le routage dynamique IP sont désactivés.

      # routeadm Configuration Current Current Option Configuration System State -------------------------------------------------- IPv4 forwarding disabled disabled IPv4 routing default (enabled) enabled …

      Si le transfert IP et le routage dynamique IP sont activés, vous pouvez les désactiver en tapant :

      # routeadm -d ipv4-routing -d ipv4-forwarding # routeadm -u

   2. Activez le multiréseau de destination strict IP.

      # ndd -set /dev/ip ip_strict_dst_multihoming 1

      ---

      Attention –

      La valeur par défaut de ip_strict_dst_multihoming est rétablie lors de l'initialisation du système. Pour rendre persistante la valeur modifiée, reportez-vous à la section Protection contre l'usurpation d'adresse IP.

      ---

   3. Désactivez la plupart des services réseau, voire tous les services réseau.

      ---

      Remarque –

      Si le système a été installé avec le profil SMF "limité", vous pouvez ignorer cette étape. Tous les services réseau sont désactivés, à l'exception de Solaris Secure Shell.

      ---

      La désactivation des services réseau évite que le système soit affecté par les paquets IP. Par exemple, vous pouvez utiliser un démon SNMP, une connexion telnet ou une connexion rlogin.

      Procédez de l'une des manières suivantes :

      • Si vous exécutez Solaris10 11/06 ou une version supérieure, exécutez le profil SMF "limité".

        # netservices limited

      • Dans le cas contraire, désactivez les services réseau un à un.

        # svcadm disable network/ftp:default # svcadm disable network/finger:default # svcadm disable network/login:rlogin # svcadm disable network/nfs/server:default # svcadm disable network/rpc/rstat:default # svcadm disable network/smtp:sendmail # svcadm disable network/telnet:default

   4. Assurez-vous que la plupart des services réseau sont désactivés.

      Assurez-vous que les montages en loopback et le service ssh sont en cours d'exécution.

      # svcs | grep network online Aug_02 svc:/network/loopback:default … online Aug_09 svc:/network/ssh:default

3. Ajoutez une paire de SA entre les deux systèmes.

   Procédez de l'une des manières suivantes :

   • Configurez IKE de manière à gérer les clés pour les SA. Suivez l'une des procédures de la section Configuration du protocole IKE (liste des tâches) afin de configurer IKE pour le VPN.

   • Si, pour une raison particulière, vous souhaitez gérer les clés manuellement, reportez-vous à la section Création manuelle d'associations de sécurité IPsec.

4. Ajoutez une stratégie IPsec.

   Modifiez le fichier /etc/inet/ipsecinit.conf afin d'ajouter la stratégie IPsec pour le VPN. Pour renforcer la stratégie, reportez-vous à l'Exemple 20–15.

   1. Sur le système enigma, saisissez l'entrée suivante dans le fichier ipsecinit.conf :

      # LAN traffic to and from this host can bypass IPsec. {laddr 10.16.16.6 dir both} bypass {} # WAN traffic uses ESP with AES and SHA-1. {tunnel ip.tun0 negotiate transport} ipsec {encr_algs aes encr_auth_algs sha1 sa shared}

   2. Sur le système partym, tapez l'entrée suivante dans le fichier ipsecinit.conf :

      # LAN traffic to and from this host can bypass IPsec. {laddr 10.1.3.3 dir both} bypass {} # WAN traffic uses ESP with AES and SHA-1. {tunnel ip.tun0 negotiate transport} ipsec {encr_algs aes encr_auth_algs sha1 sa shared}

5. (Facultatif) Vérifiez la syntaxe du fichier de stratégie IPsec.

   # ipsecconf -c -f /etc/inet/ipsecinit.conf

6. Pour configurer le tunnel et le protéger à l'aide d'IPsec, suivez les étapes en fonction de la version de Solaris utilisée :

   • À partir de la version Solaris 10 4/09, suivez les étapes Étape 7 à Étape 13, puis exécutez le protocole de routage tel qu'indiqué à l'Étape 22.

   • Si vous exécutez une version antérieure à la version Solaris 10 4/09, suivez les étapes Étape 14 à Étape 22.

7. Configurez le tunnel ip.tun0 dans le fichier /etc/hostname.ip.tun0.

   1. Sur le système enigma, ajoutez l'entrée suivante au fichier hostname.ip.tun0 :

      10.16.16.6 10.1.3.3 tsrc 192.168.116.16 tdst 192.168.13.213 router up

   2. Sur le système partym, ajoutez l'entrée suivante au fichier hostname.ip.tun0 :

      10.1.3.3 10.16.16.6 tsrc 192.168.13.213 tdst 192.168.116.16 router up

8. Protégez le tunnel à l'aide de la stratégie IPsec créée.

   # svcadm refresh svc:/network/ipsec/policy:default

9. Pour lire les informations du fichier hostname.ip.tun0 dans le noyau, redémarrez les services réseau.

   # svcadm restart svc:/network/initial:default

10. Activez le transfert IP pour l'interface hme1.

    1. Sur le système enigma, ajoutez l'entrée du routeur au fichier /etc/hostname.hme1.

       192.168.116.16 router

    2. Sur le système partym, ajoutez l'entrée du routeur au fichier /etc/hostname.hme1.

       192.168.13.213 router

11. Assurez-vous que les protocoles de routage n'indiquent pas la route par défaut sur l'intranet.

    1. Sur le système enigma, ajoutez l'indicateur private au fichier /etc/hostname.hme0.

       10.16.16.6 private

    2. Sur le système partym, ajoutez l'indicateur private au fichier /etc/hostname.hme0.

       10.1.3.3 private

12. Ajoutez manuellement une route par défaut sur hme0.

    1. Sur le système enigma, ajoutez la route suivante :

       # route add default 192.168.116.4

    2. Sur le système partym, ajoutez la route suivante :

       # route add default 192.168.13.5

13. Pour terminer la procédure, passez à l'Étape 22 pour exécuter un protocole de routage.

14. Configurez le tunnel ip.tun0.

    ---

    Remarque –

    Les étapes suivantes permettent de configurer un tunnel sur un système exécutant une version antérieure à la version Solaris 10 4/09.

    ---

    Utilisez les commandes ifconfig pour créer l'interface point à point :

    # ifconfig ip.tun0 plumb # ifconfig ip.tun0 system1-point system2-point \ tsrc system1-taddr tdst system2-taddr

    1. Sur le système enigma, saisissez les commandes ci-dessous :

       # ifconfig ip.tun0 plumb # ifconfig ip.tun0 10.16.16.6 10.1.3.3 \ tsrc 192.168.116.16 tdst 192.168.13.213

    2. Sur le système partym, tapez les commandes ci-dessous :

       # ifconfig ip.tun0 plumb # ifconfig ip.tun0 10.1.3.3 10.16.16.6 \ tsrc 192.168.13.213 tdst 192.168.116.16

15. Protégez le tunnel à l'aide de la stratégie IPsec créée.

    # ipsecconf

16. Affichez le routeur pour le tunnel.

    # ifconfig ip.tun0 router up

17. Activez le transfert IP pour l'interface hme1.

    # ifconfig hme1 router

18. Assurez-vous que les protocoles de routage n'indiquent pas la route par défaut sur l'intranet.

    # ifconfig hme0 private

19. Ajoutez manuellement une route par défaut à travers hme0.

    La route par défaut doit correspondre à un routeur bénéficiant d'un accès direct à Internet.

    # route add default router-on-hme0-subnet

    1. Sur le système enigma, ajoutez la route suivante :

       # route add default 192.168.116.4

    2. Sur le système partym, ajoutez la route suivante :

       # route add default 192.168.13.5

20. Assurez-vous que le VPN démarre à la réinitialisation en ajoutant une entrée au fichier /etc/hostname.ip.tun0.

    system1-point system2-point tsrc system1-taddr \ tdst system2-taddr encr_algs aes encr_auth_algs sha1 router up

    1. Sur le système enigma, ajoutez l'entrée suivante au fichier hostname.ip.tun0 :

       10.16.16.6 10.1.3.3 tsrc 192.168.116.16 \ tdst 192.168.13.213 router up

    2. Sur le système partym, ajoutez l'entrée suivante au fichier hostname.ip.tun0 :

       10.1.3.3 10.16.16.6 tsrc 192.168.13.213 \ tdst 192.168.116.16 router up

21. Configurez les fichiers d'interface afin de transmettre les paramètres adéquats au démon de routage.

    1. Sur le système enigma, modifiez les fichiers /etc/hostname. interface.

       # cat /etc/hostname.hme0 ## enigma 10.16.16.6 private

       # cat /etc/hostname.hme1 ## enigma 192.168.116.16 router

    2. Sur le système partym, modifiez les fichiers /etc/hostname. interface.

       # cat /etc/hostname.hme0 ## partym 10.1.3.3 private

       # cat /etc/hostname.hme1 ## partym 192.168.13.213 router

22. Exécutez un protocole de routage.

    # routeadm -e ipv4-routing # routeadm -u

Exemple 20–15 Requête de stratégie IPsec sur tous les systèmes en mode Transport

Dans cet exemple, l'administrateur met en commentaire la stratégie bypass configurée à l'Étape 4, ce qui renforce la protection. Avec cette configuration de stratégie, chaque système du LAN doit activer IPsec afin de communiquer avec le routeur.

# LAN traffic must implement IPsec.
# {laddr 10.1.3.3 dir both} bypass {}

# WAN traffic uses ESP with AES and SHA-1.
{tunnel ip.tun0 negotiate transport} ipsec {encr_algs aes encr_auth_algs sha1}

Exemple 20–16 Configuration d'un tunnel IPsec en mode Transport à l'aide d'une syntaxe désapprouvée

Dans cet exemple, l'administrateur connecte un système Solaris 10 7/07 à un système exécutant la version Solaris10. Par conséquent, l'administrateur utilise la syntaxe Solaris10 dans le fichier de configuration et inclut les algorithmes IPsec à la commande ifconfig.

L'administrateur suit la procédure décrite à la section Protection d'un VPN à l'aide d'un tunnel IPsec en mode Transport sur IPv4, à l'exception des modifications syntaxiques ci-dessous.

• Pour l'Étape 4, la syntaxe du fichier ipsecinit.conf est la suivante :

  # LAN traffic to and from this address can bypass IPsec. {laddr 10.1.3.3 dir both} bypass {} # WAN traffic uses ESP with AES and SHA-1. {} ipsec {encr_algs aes encr_auth_algs sha1}

• Pour les étapes Étape 14 à Étape 16, la syntaxe permettant de configurer un tunnel sécurisé est la suivante :

  # ifconfig ip.tun0 plumb # ifconfig ip.tun0 10.16.16.6 10.1.3.3 \ tsrc 192.168.116.16 tdst 192.168.13.213 \ encr_algs aes encr_auth_algs sha1 # ifconfig ip.tun0 router up

  # ifconfig ip.tun0 plumb # ifconfig ip.tun0 10.16.16.6 10.1.3.3 \ tsrc 192.168.116.16 tdst 192.168.13.213 \ encr_algs aes encr_auth_algs sha1

  La stratégie IPsec utilisée dans les commandes ifconfig doit correspondre à celle qui est spécifiée dans le fichier ipsecinit.conf. À la réinitialisation, chaque système lit le fichier ipsecinit.conf pour connaître sa stratégie.

• Pour l'Étape 20, la syntaxe du fichier hostname.ip.tun0 est la suivante :

  10.16.16.6 10.1.3.3 tsrc 192.168.116.16 \ tdst 192.168.13.213 encr_algs aes encr_auth_algs sha1 router up