Après avoir fait le tour de quelques forums, je vais m'orienter vers IpSec pour sécuriser mes communications entre mon portable et le reste du réseau. J'ai entendu parlé d'un IpSec propre au noyau 2.6, d'une version d'IpSec intitulé 'FreeS/WAN', etc...  
 
J'ai un peu du mal à m'y retrouver. Quelqu'un pourrait-il m'éclairer sur le sujet ou m'orienter vers des sites expliquant la mise en marche sous linux?
 
Merci!

Bonjour,
 
Si c'est pour un réseau perso est ce que les actions suivantes ne sont pas suffisantes :
 
- desactiver le SSID broadcast
- activler le filtrage d'adresse MAC
- utiliser le cryptage WEP ou WAP
 
c'est déja pas mal je trouve ...

Actuellement pour utiliser IPsec sous linux il est préférable
d'utiliser le noyau 2.6. tu le compiles avec les options
 o support PF_KEY
 o support de AH
 o support de ESP
dans les "networking options"
 
ensuite il faut installer les ipsec-tools
et racoon (demon négociant les parametres de sécurité)
 
J'avais un bon document qu un pote de l'irisa m'avait filer mais
ils l'ont enlevé de leur site. Si le retrouve je te filerai l'adresse
 
en attendant: http://www.netbsd.org/fr/Documentation/network/ipsec/
c'est pas linux mais ca y ressemble    

matthias> merci mathhias pour ton aide, j'ai déjà mis en place cette solution, mais c'est par curiosité personnelle que je veux mettre en place une solution par IpSec!  
 
freyr> jvé déjà me renseigner sur ipsec-tools et racoon. merci :-)

>falconn: ok

le couple ipsec/racoon répond tout à fait bien à mon besoin, mais c'est plutot mal documenté. J'ai trouvé quelques infos sur lartc.org. Je comprends la configuration de ipsec mais à la configuration de racoon ca devient tres flou... Les exemples sont très mal commentés. J'aime vraiment pas appliqué les trucs bêtement sans comprendre. Pourquoi les développeurs ne font-ils pas des docs plus claires ? Parce que la, leur readme ou man ne sont carrément pas explicites...

 
parce qu'ils font ca sur leur temps libre, et que toute contribution est la bienvenue

oui c'est vrai...

Si tu veux comprendre marche racoon et son fichier de configuration il faut que tu te documentes sur le protocole IKE (Internet Key Exchange RFC2409 il me semble).
  Le fichier de config principal suit d'assez pres ce protocole. Je compte ecrire un tuto la dessus un de ces 4 mais pas avant 1 mois

ok merci freyr! Jvais me documenter la dessus... Un tuto ca serait bien oui    de toute maniere jvai essayer de m'y mettre et j'essaierai de donner ma contribution aussi, parce que là ya comme un grand vide sur le sujet sur internet... Tu as des sites interessant concernant les spécifications des protocoles?  
 
Toutefois pourrais tu m'éclairer sur un certain point?  
Dans le fichier de config racoon.conf il ya une section "proposal" et une section "sainfo" où on définit les algorithmes de cryptage, d'authentification... Je n'arrive pas à comprendre le pourquoi de la "redondance" de cette information (y'à un truc c'est sur   )

si tu veux les spécifs rien de mieux que  
http://www.ietf.org/rfc.html
(enfin chacun ses gout )
 
Ensuite la redondance s'explique parce que racoon est l'implémentation du protocole IKE qui a 2 phases (dans son mode classique):

• Une phase qui sert à négocier les parametres pour la négociation du matériel de cryptage pour les communications.
• Une phase qui négocie ces parametres.

phase 1
Le bloc remote contient les propositions que ton ordi va filer a son peer pour sécuriser dans le canal pour négocier de maniere sure les parametre de cryptage.
La tu définis par exemple le mode d'authentification (pre_shared key ou certificats)
 
phase 2
le bloc sainfo  contient les algos à utiliser (AES, triple DES...) pour le cryptage et les algos pour l'intégrité (MD5, SHA1...) pour les communications a venir.
 
 
Une fois que ces 2 phases ont été établie avec succes tu devrais avoir un canal IPsec.
 
 
Il peut exister plusieurs blocs remote et plusieurs blocs sainfo pour les différents ordi que tu veux contacter. les blocs anonymous sont les blocs appliquer par défaut.
 
 
 
 
le fichier /etc/ipsec.conf sert a definir comment tu veux monter des politiques IPsec (mode tunnel/transport, Authentification/Cryptage) entre les protagonistes
 
en espérant que ca t eclaire un peu
 
allez dodo  

merci freyr pour cette ptite explication :-) par contre j'utilise pas le fichier ipsec.conf, il existe meme pas sur mon disque!

Faut le créer alors:
Pour des tests j'avais fais celui la:

ah ok, j'utilise setkey pour faire la même chose :-)

freyr > une question qui me traverse l'esprit la... Dans l'implémentation actuelle de IpSec, on définit les critères de contrôles d'accès en fonction de l'adresse IP. Mais n'existe-il pas un autre moyen, en se basant par exemple sur la clé publique pk dans le cas d'un chiffrement asymétrique ? Parce que si l'un des deux ordis à une adresse ip dynamique, on l'a dans le vent...
 
Edit: Racoon a un mode qui permet de générer la politique d'accès ok, mais bon ca nous dit pas sur quoi il se base et quels sont les droits donnés...  

1. pour racoon ca doit etre faisable avec les certificats x509
mais le probleme reste dans le fichier ipsec.conf où il faut préciser avec qui ont fait de l'IPsec. En gros porc on pourrait peut etre mettre 0.0.0.0/32 mais on ferait avec tout le monde...
 
2. Comprend pas la remarque
 
 
A la base IPsec c'est pour faire avec des adresses "statique"... connue du moins.

Pour la remarque ca signifait juste que racoon peut justement générer les règles de ipsec.conf, mais je sais pas vraiment comment ca marche... (c'est l'option generate_policy on)
 
 
 
 
 
 
 
 
 
 
 
 
 

up
 
alors ce tuto racoon/IKE il est fait ?

 
non
C'était moi freyr (avant que je casse mon mail/password)

 
et sinon ta le temps de m'aider un peu sur la conf de racoon pour IKE ?

ca peut se faire

en fait je vien de voir que ca marchait pas parceque racoon etait déja lancé
 
spa grave ca marche quand meme pas
 
jai 2 passerelles  :
 
192.168.33.0-----33.1==10.0.0.2---------------10.0.0.1==34.254-------192.168.34.0
 
je veux crypter tout le traffic entre 33.0 et 34.0
les routes sont faites
avec clé fixe ca marche niquel
 
avec IKE jai configuré comme ceci sur la passerelle 10.0.0.1 (pareil sur la 0.2 avec inversement des ip partout) :
 

 
ensuite je lance :
 

 
comme ca marche je vire le -F, ca le lance tout court
 
et ensuite je lance le setkey :

 
meme manip sur les 2 paserelles avec les ip inversée partout (ca marche en clé fixe)
 
ben rien quoi
 
 
 

le setkey c'est avant de lancer racoon déjà

meme chose :|

par contre en fait c'est une maquette ou le réseau 10.0.0.0 sera internet.
 
ca sers ptet a rien de préciser le cryptage entre le 33.0 et le 34.0 parceque le but sera de crypter tout entre 10.0.0.1 et 10.0.0.2 (qui seront des ip publiques en vrai) ?
 

 
jai indiqué nulle part le mode fwd c'est normal qu'il apparaisse ?
et c'est normal qu'il fasse le fwd du réseau externe (33.0) vers le sien (34.0) ?

Essaye avec:
 
Sur le 10.0.0.1:

idem avec ta methode,
 
jai tenté une autre conf et jai ca avec un tcpdump :
 
 
12:33:25.618394 IP 10.0.0.2.500 > 10.0.0.1.500: isakmp: phase 1 I ident
12:33:25.619753 IP 10.0.0.1.500 > 10.0.0.2.500: isakmp: phase 1 R ident
12:33:25.656365 IP 10.0.0.2.500 > 10.0.0.1.500: isakmp: phase 1 I ident
12:33:25.692097 IP 10.0.0.1.500 > 10.0.0.2.500: isakmp: phase 1 R ident
12:33:58.619812 IP 10.0.0.2.500 > 10.0.0.1.500: isakmp: phase 1 I ident
12:33:58.622155 IP 10.0.0.1.500 > 10.0.0.2.500: isakmp: phase 1 R ident
12:33:58.658633 IP 10.0.0.2.500 > 10.0.0.1.500: isakmp: phase 1 I ident
12:33:58.694477 IP 10.0.0.1.500 > 10.0.0.2.500: isakmp: phase 1 R ident
12:34:03.618364 arp who-has 10.0.0.1 tell 10.0.0.2
12:34:03.618429 arp reply 10.0.0.1 is-at 00:01:02:07:95:55
12:34:31.621466 IP 10.0.0.2.500 > 10.0.0.1.500: isakmp: phase 1 I ident
12:34:31.622816 IP 10.0.0.1.500 > 10.0.0.2.500: isakmp: phase 1 R ident
12:34:31.659901 IP 10.0.0.2.500 > 10.0.0.1.500: isakmp: phase 1 I ident
12:34:31.695870 IP 10.0.0.1.500 > 10.0.0.2.500: isakmp: phase 1 R ident
12:35:04.623216 IP 10.0.0.2.500 > 10.0.0.1.500: isakmp: phase 1 I ident
12:35:04.624631 IP 10.0.0.1.500 > 10.0.0.2.500: isakmp: phase 1 R ident
12:35:04.661569 IP 10.0.0.2.500 > 10.0.0.1.500: isakmp: phase 1 I ident
12:35:04.697424 IP 10.0.0.1.500 > 10.0.0.2.500: isakmp: phase 1 R ident
 
 
en boucle quand je fait un ping entre les 2 sous réseaux
 
donc j'en conclu qu'il arrive pas a parler!
 
ma clé est toutes petite  
 
abcdomet980
 
ca chnge quelque chose ?
 
ensuite dans le fichier de cle faut mettre  
 
passerelle_distante clé
 
ou sous_réseau_distant clé
 
ou réseaux_distant clé
 
?
 
allez ! je cherche sur le net !!

OK je etre un BOULET de premiere
 
en fait ct les droits du fichier cle qui etaient pas bon, faut les mettre a 600 sinon ca marche pas si tout le monde peut le lire !!!! putain et en plus c marqué partout mais jme disait que c'etait juste une sécurité !!

bon sinon tu saurais me dire comment tenter de péter le cryptage ? (faire un test de piratage quoi)

pas sur IPsec, désolé