Mode Transport avec Racoon et Windows et authentification PSK

Préambule

• Mode : Transport, avec authentification PSK
• Alice : Debian 6.0.5
• ip : 192.168.0.84
• Régis : Windows XP ou 7
• ip : 192.168.0.85

Synoptique

Alice

On installe les paquets racoon et ipsec-tools :

root@host:~# apt-get install racoon ipsec-tools

NB : il faut choisir l'option modification directe lors de l'installation de raccon.

racoon se configure dans /etc/racoon/racoon.conf

path pre_shared_key "/etc/racoon/psk.txt"; 
#path certificate "/etc/racoon/certs"; 

remote 192.168.0.85 { 
	exchange_mode main; 
	proposal { 
		encryption_algorithm 3des; 
		hash_algorithm sha1; 
		authentication_method pre_shared_key; 
		#dh_group modp1024; 
		dh_group 2; 
	} 
#        generate_policy off; 
} 

sainfo address 192.168.0.84 any address 192.168.0.85 any { 
	#pfs_group modp768; 
	#pfs_group 2; 
	lifetime time 1 hour; 
	encryption_algorithm 3des; 
	authentication_algorithm hmac_sha1; 
	compression_algorithm deflate; 
} 
				

Dans /etc/racoon/psk.txt on configure la clé partagée :

# IPv4/v6 addresses 
192.168.0.85	TEST

On configure les bases SA/SP dans /etc/ipsec-tools.conf :

#!/usr/sbin/setkey -f 

## Flush the SAD and SPD 
# 
flush; 
spdflush; 

spdadd 192.168.0.84 192.168.0.85 any -P out ipsec 
esp/transport//require; 
#                      
spdadd 192.168.0.85 192.168.0.84 any -P in ipsec 
esp/transport//require; 
#

Commandes utiles

• Charger les règles présentes dans le fichier /etc/ipsec-tools.conf :

setkey -f /etc/ipsec-tools.conf

• Exécuter racoon avec le fichier de configuration /etc/racoon/racoon.conf et voir les logs en temps réels :

racoon -F -f /etc/racoon/racoon.conf

• Réinitialiser la config setkey :

setkey -F

• Vérifier l'état des différents SAs établits :

setkey -D

• Afficher les politiques configurées :

setkey -DP

Régis

Windows XP

Ouverture de la Microsoft Management Console :

Ajout des composants :

• Fichier > Ajouter/Supprimer un composant logiciel enfichable :

• Ajouter

• On choisit "Ordinateur local" :

• Puis on sélectionne "Moniteur de sécurité IP" (Optionnel) et "Stratégie de sécurité IP" :

• On fait un clic droit sur "Stratégie de sécurité IP" puis sur "Créer une stratégie de groupe IP" :

• La fenêtre suivante apparaît :

• On clique sur "suivant" et on donne un nom à notre nouvelle stratégie :

• On décoche l'option "Activer la règle par défaut" :

• Et on clique sur "Terminer" pour éditer la stratégie :

• La fenêtre Propriétés de IPsec apparaît et on clique sur "Ajouter" pour créer un nouveau filtre :

• On clique sur "Suivant" :

• On précise que "Cette règle ne spécifie aucun tunnel" :

• "Réseau Local" puis Suivant" :

• On choisit "Utiliser cette chaîne ..."  et on entre la clé partagée :

• On choisit "Tout le trafic IP"

• On choisit "Sécurité Requise" , puis on décoche"Utiliser l'Assistant Ajout"

• On clique ensuite sur "Terminer"

Et on vérifie les paramètres suivants

• Liste des filtres IP > Ajouter :
• Nom : IPsec, on décoche "Utiliser l'Assistan Ajout" puis on clique sur "Ajouter"

• Onglet Adressage

• Onglet Protocole

• "Action de filtrage > Sécurité requise > Modifier..."

• Onglet "Méthodes de sécurité", "Négocier la sécurité", "Ajouter"

• "Personnalisée", "Paramètres"

• On choisit les paramètres de sécurité suivants :

• Méthodes d'authentification >> Modifier

• Dans "Utiliser cette chaînes..." la clé doit être correctement rentrée :

• Paramètres du tunnel > Cette règle ne spécifie aucun tunnel IPsec :

• Type de connexion > Réseau local :

• On n'oubliera pas d'activer la règle (Clic droit sur la Stratégie, Attribuer) :

Windows 7

• Démarrer > mmc

• File > Add/Remove Snap-in...

• Puis on sélectionne IP Security Monitor (Optionnel) et IPSecurity Policies on Local Computer

• On fait un clic droit sur "IP Security Policies on Local Computer", "Create IP Security Policy..."

• La fenêtre suivante apparaît :

• On donne un nom (IPsec ici) à la stratégie :

• On décoche "Activate the default..." et on clique sur suivant :

• On coche "Edit properties" et on clique sur "Terminer"

• La fenêtreIPsec Properties apparaît, on décoche "Use Add Wizard" et on clique sur "Add" pour créer un nouveau filtre :

• La fenêtre Edit Rule Properties apparaît, on clique sur "Add" :

• On donne un nom au filtre, on décoche Use Add Wizard puis on clique sur Add...

• Onglet Addresses :

• Onglet Protocol :

• Filter Action > Phase > Edit

• Onglet "Security Methods", "Negociate security", "Add..."

• "Custom", "Settings" :

• On choisit les paramètres de sécurité suivants :

• Authentification Methods > Edit :

• Dans "Use this string..." la clé doit être correctement rentrée :

• Tunnel Setting > This rule does not specified by these IPsec tunnel :

• Connection Type > Local area network (LAN) :

• On n'oubliera pas d'activer la règle (Clic droit sur la Stratégie, Assign) :

Contrôle avec Wireshark depuis le pont

Les paquets entre les deux hôtes sont bien chiffrés.

Sommaire

• Mode Transport entre deux stations GNU/Linux
• Mode Transport avec Racoon et Windows et authentification PSK
• Mode Transport avec Racoon et Windows et authentification x509
• Mode Tunnel avec Racoon et Windows avec authentification x509
• Mode Tunnel entre deux stations GNU/Linux avec Racoon et authentification x509
• Mode Transport entre deux stations GNU/Linux avec Racoon et authentification x509
• Erreurs rencontrées et Références