Fedora-Fr

Ce site est optimisé pour être consulté depuis un navigateur moderne dans lequel JavaScript est activé.

sécuriser un réseau en déployant l'IPSec

fedora14

suite a mon problème posé précédemment dans la discussion : activage de routage.

slt .j'ai un problème qui consiste à:
d'abord je vais vous expliquer le travail que je veux réaliser.
je veux réaliser un réseau entre deux machines Windows la 1ere a ip:192.168.2.10 et la 2eme a ip:192.168.1.10 de telle façon que chaque machine est relié avec une machine fedora sous fedora. en sachant que les 2 machines fedora sont reliées entre elles car chaque machine fedora contient 2 cartes réseaux; une connecté avec la machine windows et l'autre avec la machine fedora.
la 1ere machine windows:192.168.2.10
la 1ere machine fedora eth1:192.168.2.1
eth0:192.168.0.2
la 2eme machine windows:192.168.1.10
la 2eme machine fedora eth1:192.168.1.1
eth0:192.168.0.1
le mask est :255.255.255.0

je veux sécuriser mon réseau en déployant le protocole IPSec au niveau des 2 machines fedora.
d'abord, j'ai commencé à installer IPSEC-TOOLS en suite j'ai crée les associations de sécurité comme suit:
l’hôte 1 :

flush;
spdflush;
add 192.168.0.2 192.168.0.1 ah 10000 -A hmac-md5 "1234567890123456";
add 192.168.0.2 192.168.0.1 esp 10001 -E 3des-cbc "123456789012123456789012";
spdadd 192.168.0.2 192.168.0.1 any -P out ipsec esp/transport//require ah/transport //require;
add 192.168.0.1 192.168.0.2 ah 20000 -A hmac-md5 "1234567890123456";
add 192.168.0.1 192.168.0.2 esp 20001 -E 3des-cbc "123456789012123456789012";
spdadd 192.168.0.1 192.168.0.2 any -P in ipsec esp/transport//require ah/transport //require;

Et sur l’hôte 2 :

Flush;
spdflush;
add 192.168.0.2 192.168.0.1 ah 10000 -A hmac-md5 "1234567890123456";
add 192.168.0.2 192.168.0.1 esp 10001 -E 3des-cbc "123456789012123456789012";
add 192.168.0.1 192.168.0.2 ah 20000 -A hmac-md5 "1234567890123456";
add 192.168.0.1 192.168.0.2 esp 20001 -E 3des-cbc "123456789012123456789012";
spdadd 192.168.0.1 192.168.0.2 any -P out ipsec esp/transport//require ah/transport //require;
spdadd 192.168.0.2 192.168.0.1 any -P in ipsec esp/transport//require ah/transport //require;

cette configuration permet de sécuriser le lien uniquement entre les 2 machines fedora (192.168.0.2 et 192.168.0.1) sinon la communication entre les 2 machines windows finales reste n'est pas sécurisée. alors que mon but est de sécuriser le lient entre les 2 machines windows en cas d'interception dans le lien qui existe entre les 2 machines fedora.
ces tests sont faites avec wireshark.

madko

Bonjour,

Quelle est ta question?

fedora14

quelle est la bonne configuration de l'IPSec au niveau des 2 machines fedora pour que le trafic échangé entre les 2 machines windows sera sécurisé.en cas d'interception au milieu.

madko

Certain diront qu'une question se termine par un ? Mais bon...

Le milieu étant le lien entre tes 2 fedora, si tu as déjà de l'ipsec sur ce lien il est donc déjà sécurisé. Essaye de mettre une machine en pont ethernet sur ce lien et tente de sniffer le traffic.

fedora14

c ça le problème, entre les 2 machines du milieu(fedora) le trafic est sécurisé, mais entre les 2 machines finales (windows) le trafic n'est pas sécurisé.
le sniffing du tarfic se fait avec wireshare.

madko

Montre nous une trace wireshark ou tcpdump.

fedora14

d'abord je vous montre le schéma du réseau:

trace wireshark: un ping entre les 2 machines fedora.

trace wireshark: un ping entre les 2 machines windows.

fedora14

faites un simple click sur les images pour les agrandir.

madko

http://docs.fedoraproject.org/en-US/Fedora/14/html/Security_Guide/sect-Security_Guide-IPsec_Network_to_Network_Configuration-Manual_IPsec_Network_to_Network_Configuration.html

Regarde cette section pour configurer ipsec pour relier 2 réseaux, car tu as plutot fait la conf pour relier 2 machines.

fedora14

mais dans mon cas, j'ai utilisé une gestion manuelle des clés.car c un peu simple.

fedora14

mais la chose que je n'ai pas compris est :
pourquoi la connexion entre les 2 machines windows reste n'est pas sécurisée alors qu'elle passe par la connexion sécurisée,celle qui est entre les 2 machines fedora.?

opossum1er

Juste par curiosité : tu essayes de réaliser ce lien dans quel cadre? Boulot? Études?

Note : ne postes pas 2 messages à la suite. Utilises plutôt la fonction éditer. 😉

fedora14

c juste pour faire un réseau sécurisé car il passe par Internet.

fedora14

MarbolanGos

fedora14 wrote:mais la chose que je n'ai pas compris est :

Moi il y a beaucoup de choses que j'ai pas compris :
* Pourquoi faire 2 posts à 2 minutes d'intervalle alors que le bouton Éditer existe ?
* Pourquoi écrire en rouge ?
* Pourquoi ne pas se relire (bon ok moi aussi je fais souvent des phrases pas français) ?
* Et une dernière : une question se termine par un point d'interrogation pas une dizaine.

Je pense qu'après cela on réfélchira plus à répondre.

madko

Je pense que fedora14 n'a tout simplement pas de ? sur son clavier, je me trompe? En tout cas le post #11 était déjà pas clair, le post #14 semble montré de l'énervement et répète exactement ce qu'on a souhaitais voir éclairci. Le rouge est les multiples ?? vont aussi dans le sens de l'énervement. je pense donc que ça va être ma dernière participation sur ce sujet.

Alors pour finir, fedora14, je t'ai donné la doc, soit elle utilise racoon mais tu peux peut être essayer de l'adapter pour utiliser ton système de clef pré-partagées. Si tu bloques quelque part essaye d'être précis. Cette doc a de plus le gros avantage de créer des interfaces ipsec ce qui simplifie ensuite la gestion des flux à crypter (suffit de les router sur l'interface).

Sinon si tu n'y arrives toujours pas, et ne sachant pas vraiment sur quoi tu bloque, et vu ta réponse multiple sur le besoin je répondrais juste par: "oublie ipsec et met plutôt un openvpn entre tes 2 fedora, ça répondra pleinement à ton besoin de sécurisation des échanges entres tes 2 routeurs, et c'est plus simple à mettre en oeuvre".

Bonne chance.

fedora14

de toute façon merci pour les remarques et je suis désolé pour ma façon d'écrire car je suis nouveau et je connais pas bien les règles de ce forum.

fedora14

est-ce-que vous pouvez Mr madko me donner qlq orientations pour mettre en œuvre l'OpenVpn.

fedora14

j'attends toujours votre aide. concernant l'OpenVpn.