Rapport du Projet IPv6. Astruc Benoit, Silohian Christophe

(1)

Rapport du Projet IPv6

Astruc Benoit, Silohian Christophe

3 mars 2005

(2)

Table des mati` eres

Introduction . . . 3

1 Polytech’Lille 4 1.1 Pr´esentation de l’´ecole . . . 4

1.2 Pr´esentation du service Informatique . . . 5

2 IPv6 6 2.1 IPv6, c’est quoi ? . . . 6

2.1.1 Syst`eme d’adressage . . . 6

2.1.2 Mobilit´e . . . 9

2.1.3 S´ecurit´e . . . 9

2.2 Les atouts d’IPv6 . . . 10

2.3 Le r´eseau IPv6 `a Polytech’Lille . . . 12

3 La sécurité sur le réseau 13 3.1 Principes de la sécurité . . . 13

3.1.1 Algorithmes de chiffrement . . . 13

3.1.2 Les différents services de sécurité . . . 13

3.1.3 Les attaques classiques . . . 14

3.2 La sécurité appliquée pour IPv6 . . . 15

3.2.1 Les extensions de s´ecurit´e . . . 15

3.2.2 Associations et polices de s´ecurit´e . . . 15

4 D´eroulement du Projet 17 4.1 Chronologie . . . 17

4.2 Travaux pr´eliminaires . . . 18

4.2.1 Mise en place du mat´eriel . . . 18

4.2.2 Prise de contact IPv6 . . . 19

4.3 Travaux r´ealis´es . . . 22

4.3.1 D´efinition des besoins . . . 22

4.3.2 Setkey . . . 22

4.3.3 Racoon . . . 23 1

(3)

TABLE DES MATI `ERES 2

4.3.4 Isakmpd . . . 23

4.3.5 FreeS/WAN . . . 24

4.3.6 IPsec en noyau 2.4.24 . . . 24

4.4 Protocole de d´eploiement . . . 24

4.4.1 Installer le dernier noyau . . . 24

4.4.2 Installer les outils g´erant IPsec . . . 25

Conclusion 26 R´ef´erences 28 Glossaire 29 Annexes 32 Script d’installation . . . 32

Fichier de configuration automatique de setkey (ipsec.policy) . 34 Fichier de configuration de racoon (racoon.conf) . . . 35

Fichier de lancement de racoon (/etc/init.d/racoon) . . . 36

Fichier de configuration manuelle de setkey . . . 37

isakmpd.conf . . . 38

RFC3513 : Inversion du ”u” bit . . . 40

Liste de site accessibles en IPv6 . . . 41

(4)

Introduction

Depuis sa création en 1973, le protocole IP(Internet Protocol) est devenu le protocole standard en matière de communication réseau. Aujourd’hui, toutes les machines connectées à Internet utilisent IP. Mais au vu de l’accrois- sement de plus en plus important du nombre de machines relié à Internet, le nombre d’adresses IP disponibles a diminué de fa¸con considérable.

C’est pour palier à ce problème qu’est né en 1992 l’IPv6 (l’actuelle géné- ration est appelé IPv4). En effet, grâce à un système d’adressage sur 128 bits, le nombre d’adresse disponible est multiplié par 2⁹⁶. C’est l’IETF(Internet Engineering Task Force), l’un des organismes de standardisation de l’Internet qui est chargé de définir le nouveau protocole. En plus d’y apporter l’aug- mentation du nombre d’adresses disponibles, l’IETF a décidé d’apporter un certain nombre d’améliorations au protocole comme par exemple, la mobi- lité ou la sécurité, inexistantes en IPv4. A l’heure actuelle, IPv6 n’est qu’en phase de déploiement. Même si le protocole est déjà en place, l’instauration des adresses privées en IPv4 a ralentit l’essor d’IPv6. Ce sont essentiellement les asiatiques et les européens qui développent le plus de réseaux IPv6, étant donné que les américains sont loin d’avoir épuisé toutes leurs adresses IPv4.

Parmi les organismes qui ont jugé indispensable de déployer ce protocole, on retrouve l’école Polytech’Lille.

Si IPv6 est implanté et fonctionnel, il n’est pas encore sécurisé. Et c’est dans cette optique de sécurisation des communications que Xavier Redon nous a demandé de travailler. Le but du projet est de pouvoir établir des communications authentifiées et chiffrées sur tout le réseau de l’école, entre serveurs, entre machines clientes et serveurs et entre machines clientes.

Dans ce développement, après avoir présenté l’école et son service informatique, nous allons expliquer ce qu’est IPv6, ses atouts et ce qui existe déjà

`

a Polytech’Lille. Nous détaillerons ensuite tout ce qui concerne la sécurité sur le réseau. Et pour finir, nous commenterons nos travaux.

En espérant que la lecture de ce document vous inspire en vue de sécuriser vos propre réseaux.

3

(5)

Chapitre 1

Polytech’Lille

1.1 Pr´ esentation de l’´ ecole

L’école Polytechnique Universitaire de Lille (Polytech’Lille) est une école d’ingénieur implantée sur le centre universitaire scientifique de Villeneuve d’Ascq. Autrefois appelée EUDIL (École Universitaire D’Ingénieur de Lille), l’école a été fondé en 1969.

Aujourd’hui, Polytech’Lille possède 8 départements d’enseignements, tous touchant à des domaines différents :

– IMA : Informatique, Mesure, Automatique.

– ITEC : Instrumentation Technique Et Commerciale.

– GIS : G´enie Informatique et Statistique.

– GTGC : G´enie Thermique, G´enie Civile.

– CM : Construction M´ecanique.

– SM : Sciences des mat´eriaux.

– IAAL : Institut Agro-Alimentaire de Lille qui avant, était une école indépendante et qui a fusionné avec l’EUDIL pour donner Polyte- ch’Lille.

– IESP : Ingénieur d’Exploitation des Systèmes de Production. Unique- ment reservé aux formations continues ayant une expérience profession- nel d’au moins 3 ans.

Chaque département à la possibilité de délivrer le diplome d’Ingénieur par la voie de la formation continue. A ces 8 départements s’ajoute également 3 Masters :

– Cost Engineering.

– Design Strat´egique.

– G´enie de l’eau.

4

(6)

CHAPITRE 1. POLYTECH’LILLE 5 Polytech’Lille fait partie de deux réseaux d’écoles d’ingénieur. Le premier, créé en 1991-92 est le réseau Eiffel. Ce réseau regroupait à sa création trois

´

ecoles d’ing´enieurs : en plus de l’EUDIL, on y trouvait l’ISIM Montpellier (aujourd’hui devenu Polytech’Montpellier) et le CUST de Clermont-Ferrand.

Puis par la suite, l’ISTG de Grenoble (devenu depuis Polytech’Grenoble) est venu s’y adjoindre. Le second réseau est le réseau Polytech qui se développe de plus en plus dans toute la France. En plus de Lille, Nantes, Marseille, Montpellier, Grenoble, Orléan et Tours en font partie.

1.2 Pr´ esentation du service Informatique

L’école posséde un parc informatique de grande ampleur. Plus de 600 postes sont connectés en réseau. Pour maintenir ce parc, l’école possède un service informatique composé de six personnes :

– Jean-Michel Duthilleul : enseignant et co-responsable du service – Xavier Redon (notre tuteur) : enseignant et co-responsable du service – Patrick Menager : ing´enieur

– Juliette Loiseleux : ing´enieur (80%) – Dominique Fran¸cois : technicien – Dominique Golpart : technicien (50%) Le service informatique a pour but :

– D’installer syst`emes d’exploitation et logiciels sur chaque machine.

– D’effectuer la maintenance du mat´eriel.

– De g´erer les comptes des ´etudiants et du personnel.

– De controler le bon fonctionnement d’un réseau qui comprend plus de 10 serveurs, environ 150 kilomètres de câbles, 2 routeurs, 60 commuta- teurs.

– De gérer le service de messagerie (création des listes de diffusion, controle anti-virus des pièces jointes, etc).

– De gérer tous ce qui concerne l’accès à Internet.

C’est ce même service informatique qui a décidé de mettre en place le protocole IPv6 sur le réseau de l’établissement. Aujourd’hui, c’est dans le cadre du développement du réseau que avons été chargé de sécuriser ce protocole.

(7)

Chapitre 2 IPv6

2.1 IPv6, c’est quoi ?

Ce chapitre n’a pas pour but de tout expliquer sur IPv6. Il existe des livres [2] qui font cela tr`es bien... en 430 pages. Nous irons donc `a l’essentiel en expliquant les changements les plus visibles et les plus important.

Le protocole IPv6 a été mis en place dans le but de remplacer le protocole IPv4 dont le nombre d’adresse disponible commence à s’essoufler. C’est ce changement qui est le plus visible aux yeux des utilisateurs. Donc, pour bien comprendre IPv6, faut d’abord comprendre son système d’adressage. Nous poursuivrons par la mobilité et la sécurité qui n’existait pas sur IPv4.

2.1.1 Syst` eme d’adressage

Si l’adresse IPv4 est codée sur 32 bits, exprimée en décimal et subdivisée en 4, chaque subdivision étant séparé par un ’.’, l’adresse IPv6 est elle codée sur 128 bits, exprimée en hexadécimal et subdivisée en 8, chaque subdivision

´

etant s´epar´e par un ’ :’.

Adresse IPv4 : 192.168.0.13

Adresse IPv6 : 2001:660:4401:6004:74ff:fe14:e2

A la différence d’IPv4 où toutes les valeurs de l’adresse doivent être saisies, IPv6 accepte de raccourcir l’adresse en cas de ’0’ successifs. Ainsi, l’adresse fe80:0:0:0:208:74ff:fe14:e2 pourra s’écrire fe80::208:74ff:fe14:e2.

Cette abr´eviation ’::’ ne peut se retrouver qu’une fois dans toute l’adresse.

Ceci afin d’éviter toute confusion. L’adresse fe80:0:0:20:0:0:ff18:82ab ne pourra pas s’écrirefe80::20::ff18:82abcar on ne sait pas dans ce cas-là

6

(8)

CHAPITRE 2. IPV6 7 combien de ’0’ successifs se trouvent à chaque abréviation. Une telle adresse pourra donc s’écrire de deux manières différentes :

– fe80::20:0:0:ff18:82ab ou – fe80:0:0:20::ff18:82ab.

L’écriture du préfixe est par contre identique à IPv4. En IPv4, pour éviter d’écrire tout le masque réseau, ce qui est souvent fastidieux (255.255.255.0), l’abréviation /24 a fait son apparition. Cette abréviation signifie que les 24 premiers bits du masque sont à 1 et les autres à 0. Vu la taille importante des adresses IPv6, cette abréviation s’est vite montré indispensable car au lieu de taperffff:ffff:ffff:ffff:0:0:0:0, mettre /64 à la fin de l’adresse se révèle bien plus pratique. Pour éviter l’ambigu¨ıtée du symbole ’ :’ qui est aussi utilisé pour spécifier le numéro du port dans une URL, les symboles ’[

]’ devront entourer l’adresse afin de bien distinguer adresse et port ; – http://2001:1234:5678::1:8000 :ambigu¨ıt´e

– http://[2001:1234:5678::1]:8000 :ici, on comprend parfaitement que l’on souhaite acc´eder `a l’adresse 2001:1234:5678::1 par le port 8000.

Il n’existe pas un mais trois types d’adresses. Les types d’adresses sont : – Adresse unicast

– Adresse multicast – Adresse anycast

L’adresse unicast est l’adresse la plus simple car elle désigne une machine unique. Un paquet envoyé à cette adresse n’arrivera qu’à une seule interface.

A cette adresse unicast existe deux type d’adresses :

– Adresse lien local (adresse r´eseau priv´e, non routable sur Internet) – Adresse lien global (adresse routable sur Internet)

Une machine possède donc deux adresses IPv6 : une locale au réseau qui a pour préfixefe80::/10(c’est à dire toutes les adresses comprise entre fe80 : : et fe8c : : non inclu) et qui a une durée de vie illimitée, et une adresse globale routable sur Internet qui a pour prefixe 2000::/3 (c’est à dire toutes les adresses comprises entre 2000:: et4000:: non inclu).

A ces deux types d’adresses que toutes les machines possèdent (sauf celles non connectées à Internet qui n’ont que l’adresse locale), il existe d’autres types d’adresses unicast :

– Adresse indetermin´ee (::) qui est utilis´ee uniquement pendant l’initia- lisation du protocole.

– Adresse de bouclage (::1) ´equivalente `a l’adresse 127.0.0.1 en IPv4 (adresse localhost)

– Adresse IPv4 mapp´ee de la forme ::ffff:a:b:c:d o`u a:b:c:d est

(9)

CHAPITRE 2. IPV6 8 l’adresse IPv4 de la machine. Ce type d’adresse peut également s’écrire sous la forme ::ffff:XXXX:YYYY où XXXX:YYYY est la version hexadé- cimale dea:b:c:d. Cette adresse sert à communiquer en IPv4 avec une machine IPv4 tout en restant dans une famille d’adresse IPv6.

– Adresse IPv4 compatible sous la forme ::a:b:c:d ou ::XXXX:YYYY avec a:b:c:d, l’adresse IPv4 de la machine etXXXX:YYYY son écriture hexadécimale. Cette adresse sert à communiquer avec une machine IPv6 par le biais d’un tunnel IPv6/IPv4.

Le deuxième type d’adresse est l’adresse multicast. Elle est équivalente à une adresse broadcast en IPv4, c’est à dire une adresse qui définit un groupe d’interface. Envoyer un paquet à une adresse multicast revient à envoyer un paquet à toutes les machines du réseau. Ce type d’adresse a pour préfixe ff00::/8.

Enfin, la derni`ere, l’adresse anycast d´efinit aussi un groupe d’interface.

Mais à la différence de l’adresse multicast, le paquet envoyé n’arrivera qu’à une machine du réseau.

Il est vrai que les adresses IPv6 sont beaucoup plus longues que les adresses IPv4 et donc, plus fastidieuses à taper. Mais le système d’autoconfiguraton des machines simplifie grandement la tache. Le mécanisme est très simple.

Prenons le cas d’une configuration pour une adresse locale. L’autoconfiguration de l’adresse se fait à partir de l’adresse MAC de la carte (autre- ment dit, son adresse physique) et en y rajoutant un préfixe. Illustrons ceci par un exemple : prenons une machine qui possède comme adresse MAC 00-0c-29-c2-52-ffnotée sur 48 bits. Le mécanisme d’autoconfiguration va d’abord ajouter les bits 0xfffe à partir du 24e bit de l’adresse MAC. On obtient un mot de 64 bits 00-0c-29-ff-fe-c2-52-ff. La seconde mani- pulation consiste à inverser le 7e bit du premier octet afin de respecter la RFC3513[7] décrivant le mécanisme EUI-64¹. On obtient donc un nouveau mot de 64 bits 02-0c-29-ff-fe-c2-52-ff. Réécrivons ce mot à la manière IPv6 : 020c:29ff:fec2:52ff. Pour finir, il est ajouté à ce mot de 64 bits, un autre mot de 64 bits qui est le prefixe des adresses locales (fe80 : :/64).

Résultat : sans que l’utilisateur n’ait à configurer quoi que ce soit, sa machine a déjà une adresse locale qui estfe80::20c:29ff:fec2:52ff. Le mécanisme est à peu près similaire pour les adresses globales, en ce qui concerne les 64 derniers bits.

1Pour plus de d´etails consulter l’annexe : 4.4.2

(10)

CHAPITRE 2. IPV6 9

2.1.2 Mobilit´ e

Une avance importante de l’IPv6 est le concept de mobilité. En IPv4 lorsqu’on dépla¸ce un équipement doté d’une adresse IP²que nous nommerons par la suitemobile, il est nécessaire de reconfigurer son adresse IP manuellement et il n’existe alors plus aucun lien entre son ancienne adresse et la nouvelle.

La seule fa¸con pour le mobile de communiquer avec son réseau d’origine est alors de créer un réseau privé virtuel (VPN :Virtual Private Network). Une solution qui est loin d’être facile à mettre en oeuvre.

En IPv6 un mobile aura un réseau mère et une adresse mère. L’objectif de la mobilité est de faire en sorte que le mobile soit toujours joignable à son adresse mère quel que soit le réseau auquel il est connecté.

Cela est réalisé de la fa¸con suivante : lorsque le mobile est connecté à un sous- réseau étranger il obtient, avec les mécanismes d’autoconfiguration d’IPv6, une adresse temporaire. Il contacte alors un routeur situé sur son sous-réseau mère et lui indique l’association de son adresse mère et de son adresse temporaire. A partir de ce moment-là le routeur devient l’agent mère du mobile et fera office de proxy, il interceptera tous les paquets destinés à l’adresse mère du mobile et les tunnellera à son adresse temporaire.

2.1.3 S´ ecurit´ e

Ce chapitre ne détaillera pas toute la partie sécurité. Nous parlerons uniquement de la couche IPsec d’IPv6. Tout ce qui touche à la sécurité dans un réseau sera détaillé dans la seconde partie.

Lors de la mise en place de ce protocole, l’IAB (Internet Architecture Board) a demandé à ce qu’IPv6 possède une couche sécurité, non présente en IPv4. Cette couche de sécurité (IPsec) doit permettre de sécuriser plus facilement les réseaux de manière plus légère alors que sur IPv4, la plupart des systèmes courants n’implémentent rien à ce niveau-là.

L’IETF a décidé d’inclure dans les fonctionnalités d’IPsec trois services indispensables pour protéger les données contre des attaques telles que l’usur- pation d’identité (IP spoofing) et l’écoute du traffic sur un réseau (IP sniffing) :

– La confidentialit´e des donn´ees.

– L’intégrité des données.

2tel qu’un ordinateur portable, mais cela pourrait aussi être un téléphone portable ou n’importe quel équipement réseau embarqué à bord d’un avion, d’un bateau, d’une voiture...

(11)

CHAPITRE 2. IPV6 10 – L’authentification de l’origine des donn´ees.

Pour mettre en place ces services, l’IETF a défini deux nouvelles extensions IP de sécurité dans la RFC1752[9] qui sont les extensions AH (Authentication Header ou en-tête d’authentification) et ESP (Encapsulation Security Pay- load ou extension de confidentialité). Les deux extensions offrent les services d’authentification, d’intégrité ainsi que la detection de rejeu. L’AH offre en plus le service de non répudiation (non dissimulation d’identité). L’ESP offre quand à lui la confidentialité des données et du flux.

La protection des communications grˆace `a ces deux extensions permet de communiquer :

– Directement d’une machine `a l’autre.

– Entre deux machines passant par des passerelles tels qu’un routeur ou un pare-feu.

– Entre une machine et une ou plusieurs passerelles.

Deux modes permettent d’´etablir ces communications :

– Le mode transport qui prot`ege la charge utile des paquets. Ce mode n’est utilisable que sur des ´equipements terminaux.

– Le mode tunnel qui prot`ege tous les paquets en les faisant passer par un tunnel IP.

Malgrès tout ce qui a été mis en place dans le but de sécuriser les réseaux, IPsec n’est pas exempt de critiques. La principale étant la diminution des performances du réseau en terme de débit à cause notamment des opérations de chiffrements et déchiffrements des communications mais également des opérations de générations et de vérifications d’identité lourdes en temps de calcul. Il existe d’autres lacunes mais qui seront expliquées dans la partie II consacrée entièrement à la sécurité.

2.2 Les atouts d’IPv6

IPv6 n’a pas été mis en place dans le seul but de proposer un protocole supplémentaire. Il doit, à terme, remplacer le protocole actuel IPv4. l’IETF, ne souhaitant pas faire une photocopie de l’actuel protocole, a créé l’IPv6 dans le but de combler les lacunes d’IPv4.

La principale lacune ´etant le nombre d’adresses routables sur Internet. Comme

`

a la base, IPv4 n’avait pour but d’interconnecter qu’une petite centaine de machines, les 2³²adresses étaient largement suffisantes. Avec le développement d’Internet, ce n’est plus le cas. IPv6 résout le problème en proposant 2¹²⁸ adresses possible soit environ 1500 machines connectées au mètre carré de planete, océans inclut.

(12)

CHAPITRE 2. IPV6 11 La seconde amélioration porte sur la taille des tables de routage qui, en IPv4, sont vite devenues disproportionnées à cause du développement du nombre de réseaux sur l’Internet. Ce développement rend la maintenance des tables de plus en plus complexe. Pour résoudre ce problème des tables de routage, une solution d’agrégation de réseaux contigus en un seul préfixe a été mis en place. C’est le CIDR (Classless Inter Domain Routing). Le CIDR permet d’établir une structuration hiérarchique de l’adressage. Cette solution a été intégrée dans les protocoles de routage ce qui permet de router des ensemble de réseaux de manière plus aisée. Le CIDR devait, dans un premier temps, être mis en place pour IPv4. Mais la petite taille des adresses ne permettait pas une bonne structuration, sans compter que de nombreuses adresses sont allouées depuis plusieurs années. En IPv6, ces problèmes sont résolu car :

– Dès le début le plan d’adressage est hiérarchique, éliminant les longs préfixes.

– Les sites multi-domiciliés posséderont autant d’adresses que de fournis- seurs, permettant ainsi de garantir une agrégation.

– Des mécanismes de renumérotation automatique permettent aux sites de changer facilement de préfixe quand cela est nécessaire.

Si pour l’instant le plan d’adressage le plus adapté est le plan hiérachique, d’autres règles pourrait voir le jour (par exemple coordonnées géographiques).

L’IETF veut en fait imposer une certaine rigueur concernant l’allocation des adresses IPv6 afin d’´eviter le probl`eme que connait actuellement IPv4 : des tables de routage beaucoup trop volumineuses.

Grâce à l’IPv6, l’IETF a réussi à résoudre les deux problèmes majeurs de l’IPv4 : le manque d’adresse et l’explosion des tables de routage. Mais aussi

`

a améliorer le protocole en y rajoutant les fonctions d’autoconfiguration des terminaux (rien de concret à l’heure actuelle pour l’autoconfiguration des routeurs), de mobilité et de sécurité. L’autoconfiguration des machines est un formidable atout pour tout les réseaux non administrés tels que dans les PME/PMI ou chez les particuliers.

D’après le cahier des charges qui a été fixé par l’IESG (Internet Engineering Steering Group) lors de la création de l’IPng (IP new generation), IPv6 est capable :

– D’adresser au moins un milliard de r´eseaux.

– De proposer un plan de transition ”sans jour J”.

– De prendre en compte à terme la mobilité, la réservation de ressources, les hauts débits, etc.

(13)

CHAPITRE 2. IPV6 12

2.3 Le r´ eseau IPv6 ` a Polytech’Lille

Même si IPv6 est loin d’être finalisé, l’école Polytech’Lille a décidé d’an- ticiper en déployant ce protocole au sein de son réseau. Le préfixe IPv6 du réseau de l’école est2001:660:4401:60/56. Le réseau est subdivisé en sous réseaux dont les adresses sont de la forme 2001:660:4401:600x/60où x est le numéro du vlan.

Il est possible pour n’importe quel étudiant de se connecter, en IPv6, sur une autre machine de l’école en exécutant la commande :

ssh -6 nom de la machine.escaut.net

D’autres services sont accessibles en IPv6 :

– Accès à Internet (service HTTP : HyperText Transfert Protocol), uniquement bien sûr aux sites accessibles en IPv6 (Ex : www.kame.net, www.usagi.net, www.polytech-lille.fr, etc).

– Acc`es au service d’envoi de mail (service SMTPSimple Mail Transfert Protocol) par le biais du serveur de messagerie douaisis. Connexion `a celui-ci en IPv6 et envoi du mail en IPv6.

– Acc`es au service FTP (File Transfert Protocol) par l’adresse ftp.polytech- lille.fr.

– Etablissement de communication TCP (Transmission Control Proto- col), UDP (User Datagram Protocol) et ICMP6 (Internet Control Mes- sage Protocol).

Tous les services disponibles en IPv4 ne sont pas encore disponible en IPv6.

Certains n’y passerons jamais (Ex : Telnet). D’autres pourraient ˆetre amen´es

`

a y passer, dans la mesure du possible (Ex : Le service d’impression).

Si les administrateurs réseaux ont mis en place IPv6, ils n’ont pas encore touché à la couche de sécurité IPsec. C’est à dire que tout ce qui circule en IPv6 sur le réseau est en clair. Nous afficherons dans le chapitre quatre de ce rapport les tests que nous avons effectué, notamment sur le service SMTP où, grâce au logiciel Ethereal disponible sur tous les systèmes d’exploitations, nous avons pu visualiser en clair le message que nous avons envoyé.

(14)

Chapitre 3

La s´ ecurit´ e sur le r´ eseau

3.1 Principes de la s´ ecurit´ e

3.1.1 Algorithmes de chiffrement

Chiffrement sym´etrique

L’une des deux familles d’algorithmes de chiffrement. Dans cette catégorie les deux entités connaissent et utilisent le même secret comme clé de chiffrement et de déchiffrement. L’avantage de ces algorithmes est la rapidité

`

a laquelle s’effectue le chiffrement et le déchiffrement. La phase délicate est celle de l’échange de la clé de chiffrement.

Chiffrement asym´etrique

Dans cette deuxième famille d’algorithmes de chiffrement, chaque cor- respondant utilise une paire de clé. Une clé publique servant à chiffrer les messages que l’on veut lui envoyer et une clé privée qui lui sert à déchiffrer les messages que l’on lui envoie. Il n’y a alors plus besoin d’échanger de clé. L’inconvénient de ces algorithmes est que leur temps de calcul est plus important que celui des algorithmes symétriques.

3.1.2 Les diff´ erents services de s´ ecurit´ e

En matière de réseau lorsqu’on parle de sécurité il faut distinguer un grand nombre de services différents :

– La confidentialité des données, sans doute la première à laquelle on pense. Réalisée par chiffrement à clé symétrique pour des raisons de performances. Cette clé, appelée clé de session, est alors fréquemment

13

(15)

CHAPITRE 3. LA S ÉCURIT É SUR LE R ÉSEAU 14 utilisée et doit donc avoir une faible durée de vie, une deuxième clé

´

etant utilisée pour négocier les nouvelles clés.

– La confidentialité du flux de données, qui vise non plus seulement à garantir la confidentialité des données mais également à interdire l’accès

`

a toute information sur ces données (quantité d’informations échangées, fréquences, etc.) qui pourrait être déduites par analyse du trafic.

– L’authentification de l’origine des données, qui doit garantir que les données re¸cues proviennent bien de l’emetteur déclaré.

– L’intégrité des données, qui garantit que les données re¸cues n’ont pas

´

et´e modifi´ees durant leur transport.

– La non répudiation, qui doit être capable de prouver que des données ont bien été re¸cues ou envoyées en cas de litige.

– La prévention contre le rejeu de données, qui doit détecter si les données re¸cues ne l’ont pas déjà été par le passé.

Afin d’assurer ces services de sécurité on utilise des mécanismes qui sont généralement basés sur le partage de clés secrètes. Ce qui implique de mettre en oeuvre un protocole d’échange de clés.

Ces protocoles d’échange de clé vérifient généralement tout ou partie des propriétés suivantes :

– Celle dite dePerfect Forward Secrecy garantit que la découverte d’une des clés de longue durée (celles utilisées pour échanger les clés de ses- sions) ne permet pas à un assaillant de déchiffrer les messages chiffrés par les clés de session générées auparavant.

– La protection de l’identité (Identity Protection), assure qu’aucune information sur les partenaires en communication ne pourra être déduite par observation de leurs échanges sur le réseau.

3.1.3 Les attaques classiques

Au niveau IP, trois attaques classiques sont r´ealisables :

– l’IP sniffing, qui consiste pour un intrus à écouter le trafic passant sur le réseau afin d’obtenir des informations intéressantes (mots de passe, contenu de courriels, etc.).

– l’IP spoofing, qui consiste à usurper l’identité d’un équipement.

– l’IP flooding, qui consiste à inonder un équipement de paquets IP, le rendant incapable de répondre aux requêtes légitimes (et laissant le champ libre à un intrus pour une attaque par IP spoofing).

(16)

CHAPITRE 3. LA S ÉCURIT É SUR LE R ÉSEAU 15 L’IP floodingétant trés difficile à contrer, l’IETF s’est concentré sur les deux autres attaques. C’est ce que nous allons voir dans la section 3.2

3.2 La s´ ecurit´ e appliqu´ ee pour IPv6

3.2.1 Les extensions de s´ ecurit´ e

Afin de lutter contre l’IP sniffing et l’IP spoofing, l’IETF, a défini deux nouvelles extensions IP de sécurité [RFC1752] :

– L’extension d’authentification (Authentication Headerou AH), qui rend les services d’authentification, intégrité et optionnellement de détection de rejeux, voire de non-répudiation.

– L’extension de confidentialité (Encapsulating Security Payloadou ESP), qui peut rendre les services de confidentialité, intégrité, authentification et détection de rejeux. Elle garantit de plus de fa¸con limitée la confi- dentialitée du flux.

Chacune de ses deux extensions peut ˆetre utilis´ee selon deux modes de protection :

– Le mode transport prot`ege la charge utile du paquet et certains champs de son en-tˆete.

– Le mode tunnel protège tous les champs du paquet initial, qui est en- capsulé dans un nouveau paquet donc certains champs sont protégés.

On peut alors assurer trois types de protection :

– de bout en bout, entre les deux stations communicantes, auquel cas ce sont les stations qui gèrent les extensions de sécurité.

– sur des segments de réseaux seulement, auquel cas un équipement de chaque coté du tunnel (le mode transport ne peut pas être utilisé dans ce cas) est chargé de gérer les extensions de sécurité : c’est la ”passerelle de sécurité”.

– entre une station et une passerelle de s´ecurit´e.

3.2.2 Associations et polices de s´ ecurit´ e

La base des communications sécurisées en IPv6 est l’association de sécurité (Security Associationou SA). Elle contient l’ensemble des informations néces- saires à l’établissement de ces communications. Une SA est identifiée de fa¸con unique par un triplet comprenant un indice de paramètre de sécurité (Secu- rity Parameters Index ou SPI), l’adresse du destinataire et le protocole de sécurité (AH ou ESP). Elle est unidirectionnelle, il faut donc deux SA pour

(17)

CHAPITRE 3. LA S ÉCURIT É SUR LE R ÉSEAU 16 qu’une communication bidirectionnelle soit établie.

Une association de sécurité contient entre autre les paramètres suivants : – l’algorithme d’authentification, les clés de chiffrement,les paramètres

de synchronisation... utilisés pour générer l’extension choisie.

– la durée de vie de la SA, qui doit être régulièrement renouvelée afin d’éviter que des clés de chiffrement ne soient utilisées trop longtemps.

– le mode du protocole IPsec : tunnel ou transport.

L’ensemble des SA est contenu dans une base de donn´ee appel´ee le SAD (Security Association Database).

Le choix de la SA à appliquer s’effectue en fonction des polices de sécurité définies sur la machine. L’ensemble de ces polices de sécurité est regroupé dans un SPD(Security Policy Database). Lorsqu’un paquet IP doit être émis, la pile IP va vérifier dans le SPD si une politique de sécurité doit s’appliquer à ce paquet. Le cas échéant la pile IP ira chercher dans le SAD la SA correspondante.

(18)

Chapitre 4

D´ eroulement du Projet

4.1 Chronologie

– semaine 46 : Réunion avec M. Redon pour spécifier le travail à fournir.

D´ecouverte du mat´eriel de maquette, recherche de documentation sur IPv6 et lecture des RFCs.

– semaine 47 : Installation d’une Debian et passage des deux postes `a un noyau 2.6-9.

– semaine 48 : Tests sur IPv6, capture de trames.

– semaine 49 : Pas d’avancement dans le projet du fait du travail `a fournir pour le dossier technique.

– semaine 50 : Documentation sur IPsec, premiers essais infructueux de chiffrement

– semaine 51 : Premiers tests r´eussis de chiffrement entre les deux machines de maquette, en configuration manuelle.

– semaine 52 : Vacances de No¨el.

– semaine 01 : Vacances de No¨el.

– semaine 02 : Déménagement pour cause de changement de vlan dans la salle Titenka (le nouveau vlan ne permettant pas l’accès au réseau IPv6 de l’école). Installation en Titus.

– semaine 03 : D´ecouverte de racoon

– semaine 04 : Multiples tests avec racoon sur noyau 2.6.0 et 2.6.1.

– semaine 05 : Passage au noyau 2.6.2, premiers essais r´eussis de communication avec racoon.

– semaine 06 : Test de isakmpd.

– semaine 07 : Test de FreeSwan. R´ealisation du script de d´eploiement de racoon.

– semaine 08 : R´edaction du rapport. Test du noyau 2.6.3.

17

(19)

CHAPITRE 4. D ´EROULEMENT DU PROJET 18 – semaine 09 : Soutenance.

4.2 Travaux pr´ eliminaires

4.2.1 Mise en place du mat´ eriel

Dans le cadre de ce projet, nous avons dans un premier temps utilisé deux ordinateurs, reliés au réseau de l’école, sur lesquels nous avons installé une distribution de GNU/Linux Debian[8] Sid¹. Cette distribution possédait un noyau 2.2. Or, pour pouvoir travailler en IPv6, il était nécessaire d’utiliser un noyau plus récent. Nous avons donc téléchargé, décompressé, configuré et compilé le dernier noyau Linux en date. Pendant la première moitiée du projet, il s’agissait d’une version de test du noyau 2.6 (2.6-test9) en attendant qu’arrive la version définitive (2.6.0). Notre choix s’est porté sur le noyau 2.6 et non le 2.4 car le noyau 2.6 intègre en natif l’IPsec alors que pour le 2.4, qui est le noyau qui est installé sur toutes les machines de TP de l’école, il faut appliquer un patch pour avoir IPsec.

En plus de ces deux ordinateurs, nous avons utilisé nos ordinateurs por- tables personnels : un iBook d’Apple avec le système d’exploitation Mac OS X 10.2 et une autre machine sous Windows XP afin de voir si il est possible, avec des machines extérieures, d’établir des communications chiffrées.

Par la suite, notre configuration a évolué après la mi-projet. Au point de vue matériel, nous avons récupéré une troisième machine, sur laquelle nous avons également installé une distribution Debian et le noyau 2.6. Nous avons relié nos trois machines de test à un concentrateur(hub) 10 Mbits afin d’avoir une configuration similaire aux salles de TP (où toutes les machines d’une même salle sont reliées à un concentrateur). Nous avons continué d’utiliser l’iBook sur lequel nous avons installé la version de Mac OS X 10.3, plus adaptée que la 10.2 à la gestion de l’IPv6. Quand à l’autre ordinateur portable, un problème matériel nous a contraint à cesser nos tests avec.

Au point de vue logiciel, nous avons fait évoluer le noyau à chaque fois qu’une nouvelle version était disponible sur Internet et nous avons upgrader nos modules afin que ces derniers soient le plus à jour possible.

1Il existe en permanence trois versions de Debian :stable,testingetunstable. Sid est le nom de code de l’actuelle version unstable

(20)

CHAPITRE 4. D ´EROULEMENT DU PROJET 19

4.2.2 Prise de contact IPv6

Fig. 4.1 – Capture d’une trame RIPng

Au commencement de notre projet, nous n’avions aucune connaissances sur le protocole IPv6. Nous connaissions son existence, nous savions qu’IPv6 posséde un espace d’adressage plus important qu’IPv4 et c’est tout. Il nous a donc fallu une phase d’apprentissage du protocole. Cette phase a tout d’abord commencé par une recherche de documentation sur le protocole. Même si Internet fut notre principale source, nous avons également trouvé notre bon- heur dans la presse spécialisée[3]. Lors de notre premier entretien avec notre tuteur, celui-ci nous a conseillé de réaliser tous les tests possibles permis à l’école (voir Chapitre I/C sur l’implémentation d’IPv6 à Polytech’Lille).

Le premier des tests réalisés était de capturer quelques trames IPv6 circulant sur le réseau. Des trames RIPng (Routing Information Protocol New Generation) sont envoyées périodiquement par le routeur afin que celui-ci mette à jour sa table de routage. Grâce au logiciel Ethereal, nous avons pu décortiquer ces trames et en visualiser le contenu sur la figure 4.1, page 19

Nous avons ensuite généré nos propre trames grâce aux outils ping6 et traceroute6, les équivalents de ping et traceroute pour IPv6. Ces outils permettent notamment de détecter si une machine est bien présente sur le réseau.

La machine qui envoie le ping envoie une trame du type ICMP6 (Internet Control Message Protocol 6) vers la machine recherch´ee. Si celle-ci existe, elle renverra un autre message ICMP6, comme un accus´e de reception. Toujours

(21)

Fig. 4.2 – Capture d’une trame ICMPv6

grˆace `a Ethereal, nous avons pu analyser la structure des messages ICMP en protocole IPv6 (figure 4.2, page 20)

Notre troisième tache a été d’essayer de naviguer sur Internet en IPv6.

Notre tuteur nous a conseillé le site www.kame.net. Ce site à la particula- rité d’avoir une image de tortue qui danse si ce site est visualisé en IPv6.

Nous avons eu ´egalement la mission de chercher d’autres sites qui seraient accessibles en IPv6.

D’autres services ont également été testé en IPv6 :

– la connexion ssh (connexion s´ecuris´e vers une machine distante).

– le FTP (voir figure 4.3, page 21)

– Le mail : par une connexion en IPv6 au serveur de messagerie douaisis, nous avons pu envoyer un mail en IPv6. On voit clairement sur la figure 4.4, page 21, dans les en-têtes, que le courriel a été envoyé en IPv6. Sur la figure 4.5, page 21 on peut voir circuler en clair le message rédigé.

Ces captures montrent bien la n´ecessit´e de chiffrer toutes les communications qui circule en IPv6.

(22)

Fig. 4.3 – Capture d’une trame FTP circulant en IPv6

Fig. 4.4 – Courriel envoy´e par IPv6

Fig. 4.5 – Capture du paquet contenant le corps du courriel

(23)

4.3 Travaux r´ ealis´ es

4.3.1 D´ efinition des besoins

L’objectif du projet est de pouvoir chiffrer la totalit´e des communications

´

echangées en interne sur le réseau IPv6 de l’école. Nous allons donc utiliser l’extension de confidentialité ESP. Nous recherchons des communications bout à bout, c’est donc le mode transport qu’il nous faudra employer. De plus dans la définition des polices de sécurité il faudra faire bien attention à conserver la possibilité de communiquer en clair avec l’extérieur, ainsi qu’avec les machines en interne qui ne seraient pas équipées pour le chiffrement.

4.3.2 Setkey

Dans un premier temps nous avons testé l’utilisation des en-têtes AH et ESP avec des associations de sécurité définies statiquement à l’aide desetkey, un outil du paquet ipsec-tools. Ces tests réalisés entre deux machines furent concluants.

Mais cette fa¸con de procéder n’est absolument pas adaptée à ce qui nous a été demandé. Il faut en effet préciser viasetkey les associations de sécurité (Secu- rity Associations) et les polices de sécurité (Security Policies) . Le problème est que la définition de l’association de sécurité est ici complètement statique, ce qui présente deux défauts majeurs :

– le premier défaut est qu’ainsi l’association de sécurité (qui définit les clés de chiffrement employées) va rester la même en permanence, à moins que l’on vienne manuellement la modifier, chose impossible à l’échelle d’un réseau comme celui de l’école. L’association de sécurité restant la même il devient possible de collecter un nombre suffisant de trames, de les analyser et d’en déduire la clé de chiffrement. A partir de là l’intégralité des communications passées et futures sont connues de l’attaquant.

– le deuxième défaut est que dans le fichier de configuration de setkey (disponible en annexe,page 37), l’association de sécurité doit être définie entre deux hôtes connus. Pour déployer cette méthode à l’échelle de l’école il faudrait donc écrire dans ce fichier une association de sécurité par combinaison de deux machines ! Et ce alors qu’il est en permanence ajouter et retirer des machines sur le réseau, changements qui nécessiterait à chaque fois la modification des fichiers de configuration de la totalité des machines.

C’est pourquoi nous n’avons pas retenu l’utilisation de setkey seul comme solution `a ce projet.

(24)

4.3.3 Racoon

Afin de résoudre les problèmes rencontrés avec l’utilisation desetkey seul nous nous sommes tournés vers le deuxième utilitaire présent dans le paquet ipsec-tools.

Ce paquet est un portage sur GNU/Linux d’un utilitaire tournant à l’origine sur FreeBSD[10].racoon se contentant de négocier les associations de sécurité il doit être utilisé en conjonction avecsetkey pour gérer les polices de sécurité.

Il est à noter que la version que nous avons employé n’est que la 2.2-8 alors que la dernière en date est la 2.4, la 2.2-8 était fournie sous forme de packet Debian au contraire de la 2.4 disponible uniquement sous forme de sources que nous n’avons pas réussis à compiler (problème de dépendance avec une autre librairie).

Nous avons commencé à tester racoon sur le noyau 2.6.0, sans aucun résultat probant. Après avoir essayé sans succés à peu près toutes les options proposées par cet utilitaire, nous l’avons abandonné pour passer à isakmpd. Cependant à chaque fois que nous avons changer de version du noyau nous avons retestéracoon. Avec le 2.6.1 nous obtenions deskernel pa- nic, ce n’est qu’avec le noyau 2.6.2 que cela a commencé à fonctionner. A l’heure actuelle, les gels de la pile IP lors de l’établissement des associations de sécurité existent toujours et rendent impensable le déploiement d’une telle solution. Néammoins, après avoir testé isakmp(section 4.3.4, page 23) c’est cette solution qui nous parait la plus prometteuse. Nous avons donc basé notre protocole de déploiement (section 4.4, page 24) sur celle-ci, en espérant qu’une future version d’ipsec-tools ou du noyau apportent enfin la stabilité attendue.

Les fichiers de configuration de cette solution se trouvent en annexe : (racoon.conf, page 35 et ipsec.policy, page 34).

4.3.4 Isakmpd

Devant les problèmes rencontrés lors de l’utilisation deracoon nous avons décidé de tester un deuxième IKE : isakmpd.

Issu du monde OpenBSD[13], isakmpd est un démon implémentant le protocole ISAKMP. Il est capable de négocier à la fois les associations de sécurité et les polices de sécurité. Il a été porté sur Linux et nous avons utilisé le paquet Debian du même nom.

Du fait qu’il gère à la fois les SA et les SPD sa configuration est plus complexe que celle de racoon. Cependant il est réputé plus rapide et efficace

(25)

CHAPITRE 4. D ´EROULEMENT DU PROJET 24 que celui-ci.

Le problème principal que nous avons rencontré avec ce démon est qu’il a

´

eté pensé dans le but de réaliser une protection en mode tunnel dans le cadre d’un réseau privé virtuel (Virtual Private Network) et absolument pas dans le but de chiffrer l’ensemble des communications d’un réseau local (Local Arena Network) par le biais de communications bout-à-bout en mode transport.

De fait, si nous avons réussi à le configurer pour qu’il encapsule les paquets en mode transport et non en mode tunnel (voir le fichier de configuration d’isakmpd en annexe, page 38)), nous n’avons pas réussi pour autant à

´

etablir d’associations de s´ecurit´e avec.

4.3.5 FreeS/WAN

Devant les problèmes rencontrés avec le noyau 2.6 nous sommes durant un temps repassé sur un noyau 2.4 pour tester les implémentations d’IPsec sur celui-ci. La plus répandue est FreeS/WAN[11]. Cette implémentation n’étant pas native au noyau Linux elle nécessite l’application d’un patch sur le noyau.

Tout comme sur le noyau 2.6, le support d’IPv6 dans le noyau 2.4 est encore exp´erimental, il a donc fallu recompiler un noyau avec les options ad´equates.

Une fois tout install´e, nous nous sommes plong´es dans la documentation pour nous apercevoir que FreeS/WAN ne supporte pas le mode transport et qu’il est donc inutilisable dans le cadre de ce projet.

4.3.6 IPsec en noyau 2.4.24

Suite au passage sur le noyau 2.4, nous nous sommes aper¸cus que les dernières versions de celui-ci intégrent nativement une couche IPsec (c’est en fait un backport du 2.6 sur le 2.4). Nous avons donc décidé de tester son utilisation, mais ce n’est pas encore trés au point et lors du démarrage de la machine la couche IPsec refuse de se charger. Par conséquent il s’avère impossible d’aller plus loin.

4.4 Protocole de d´ eploiement

4.4.1 Installer le dernier noyau

Suivre la procédure donnée en travaux pratiques d’Administration Système[6]

(télécharger, décompresser le noyau). Compiler le noyau pour le support d’IPv6 et d’IPsec. Il faut en particulier sélectionner les options suivantes² :

2Information valable pour le noyau 2.6.2

(26)

CHAPITRE 4. D ´EROULEMENT DU PROJET 25 – ”Code maturity level options”:”Prompt for development and/or in-

complete code/drivers”

– ”Device Drivers”:”Networking support”:”Networking options”:”The IPv6 Protocol” ainsi que les 5 options qui en d´ecoulent.

– ”Device Drivers”:”Networking support”:”Networking options”:”PF KEY sockets”

– ”Device Drivers”:”Networking support”:”Networking options”:”IPsec user configuration interface”

– ”Cryptographic options” :tout les algorithmes propos´es

4.4.2 Installer les outils g´ erant IPsec

Nous avons pour cela r´ealiser un script (disponible en annexe page 32) qui installe les paquets openssl et ipsec-tools, configure setkey et racoon et enfin d´emarre racoon.

(27)

Conclusion

Au vu de nos tests on peut dire que le support d’IPsec dans IPv6 est encore balbutiant et ce quelque soit le système d’exploitation considéré. Comme souvent dans le domaine du réseau, ce sont les systèmes BSD qui sont les plus avancés mais la lecture des listes de diffusion des différents projets montre que tout cela est encore en plein développement.

Bilan En ce qui concerne Linux et le réseau de notre école, il est clairement trop tôt pour envisager de déployer IPsec sur les serveurs critiques. En revanche il devrait être possible de tenter la chose sur les postes clients d’une salle de TP. Nous aurions souhaité réaliser une telle expérience en grandeur nature, mais nos propres tests de stabilité sur nos machines de TP ne l’ont pas permis : ils sont devenus acceptables uniquement cette dernière semaine.

Là encore tout bouge trés vite, depuis la première version du noyau 2.6 fin décembre, trois autres versions stables sont sorties. De même le package ipsec-tools devrait être disponible bientôt en version 2.4, apportant sans aucun doute un grand nombre d’améliorations à racoon etsetkey.

Perspectives Une fois qu’IPsec sera déployé sur l’ensemble des postes Li- nux de l’école il restera encore à mettre en place les moyens de faire la même chose avec les autres systèmes d’exploitation. A l’heure actuelle Windows n’est pas capable de réaliser de l’IPsec au dessus d’IPv6, MacOS X en est capable, en utilisant actuellement racoon 1.18, solution que nous avons testé et qui a fonctionné à merveille avec nos postes de tests sous Linux.

La question de la compatibilité des différents programmes commandant l’IP- sec est d’ailleurs une question centrale dans le déploiement à grande échelle de celui-ci. Cette compatibilité est trés loin d’être assurée, même entre outils présents sur une même plateforme.

Apport personnel Ce projet s’est révélé trés intéressant pour nous car il nous a fait découvrir en profondeur deux nouveaux protocoles : IPv6 et IPsec.

Comblant ainsi un manque dans notre formation, ni l’un ni l’autre n’´etant 26

(28)

CHAPITRE 4. D ÉROULEMENT DU PROJET 27 malheureusement à notre programme alors que ce sont deux protocoles qui sont amenés à prendre énormément d’importance à l’avenir. D’un point de vue système, la réalisation du banc de test et par la suite les nombreuses com- pilations du noyau nous ont indéniablement apporté une meilleure connais- sance des fondations d’un système GNU/Linux.

Remerciements Nous tenons à remercier l’ensemble du service informatique pour avoir répondu à nos nombreuses questions. Et tout particulièrement Xavier Redon notre tuteur.

(29)

Bibliographie

[1] Dossier vpn. MISC 10, 2003.

[2] Gis`ele Cizault. IPv6, Th´eorie et pratique. O’REILLY, 3 edition, 2002.

[3] Francois Donze. Autoconfiguration des adresses ipv6. Linux Magazine France 55, 2003.

[4] Nicolas Fischbach. Ipv6 et ip anycast. MISC 6, 2003.

[5] http ://fr.wikipedia.org/wiki/Accueil. Wikipedia, l’encyclop´edie libre.

[6] http ://www.eudil.fr/ rex/Enseignement/Systeme/TP.Systeme.IMA3i/systeme003.html.

TP d’AS IMA3i de Xavier Redon.

[7] http ://www.faqs.org/rfcs/rfc3513.html. Internet Protocol Version 6 (IPv6) Addressing Architecture.

[8] www.debian.org. Site officiel de la distribution Debian.

[9] www.faqs.org/rfcs/rfc1752.html. The Recommendation for the IP Next Generation Protocol.

[10] www.freebsd.org. Site officiel du projet FreeBSD.

[11] www.freeswan.org. Site officiel du projet FreeS/WAN.

[12] www.kernel.org. The Linux Kernel Archives.

[13] www.openbsd.com. Site officiel du projet OpenBSD.

28

(30)

Glossaire

FTP File Transfer Protocol (protocole de transfert de fichiers) est dédié à l’échange informatique de fichiers sur un réseau TCP/IP. Il permet, depuis un ordinateur, de copier des fichiers depuis ou vers un autre ordinateur du réseau, ou encore de supprimer ou modifier des fichiers sur cet ordinateur.

ICMP Internet Control Message Protocol (protocole de contrôle des messages sur Internet) est un protocole de niveau 3 sur le modèle OSI, qui permet le contrôle des erreurs de transmission. C’est grâce à ce protocole qu’une machine émettrice peut savoir qu’il y a eu un incident de réseau.

IPsec IP Security Protocol, désigne à la fois le groupe de l’IETF travaillant sur les mécanismes de protection des protocoles clients IP, et le protocole de sécurité en lui-même.

OSI Open Systems Interconnectionest un modèle créé par l’ISO (Organisa- tion internationale de normalisation) dans le but d’offrir une base commune

`

a la description de tout réseau informatique. Dans ce modèle, l’ensemble des protocoles d’un réseau est décomposé en 7 parties appelées couches OSI, numérotées de 1 à 7.

Proxy Un serveur proxy (ou serveur mandataire) a pour but de relayer des requêtes sur un réseau informatique et d’entretenir un cache des réponses.

RFC Request For Comment (littéralement demande de commentaires). Ce sont une série de documents et normes concernant l’internet, commencée en 1969. Peu de RFCs sont des standards, mais tout les standards de l’internet sont enregistrés en tant que RFCs. Les RFCs sont rédigées sur l’initiative d’experts techniques, puis sont revues par la communauté internet dans son ensemble. Cela différe d’une publication d’institution tel que l’ANSI. Pour cette raison, elles continuent à être appelées RFCs une fois devenues des standards.

29

(31)

Routeur C’est un matériel de communication de réseau informatique. Son travail est de déterminer le prochain noeud du réseau auquel un paquet de données devrait être envoyé afin que ce dernier atteigne sa destination finale le plus rapidement possible. Ce processus se nomme routage. Le routeur intervient à la couche 3 (couche réseau) du modèle OSI.

SMTP Simple Mail Transfer Protocol est un des protocoles utilisés pour transférer du courrier électronique sur des réseaux Internet.

SSH Secure SHellest un protocole de communication sécurisé. Le protocole de connexion impose une échange de clé de cryptage en début de connexion.

Par la suite toutes les trames sont cod´ees. Il devient donc impossible d’utiliser un sniffer pour voir ce que fait l’utilisateur.

TCP Transmission Control Protocol est un protocole de transport fiable, en mode connecté, documenté dans le RFC 793 de l’IETF. Dans le modèle TCP/IP, TCP est situé entre la couche de réseau (généralement le protocole IP), et la couche application. Les applications transmettent des flux d’octets sur le réseau. TCP découpe le flux d’octets en segments, dont la taille dépend de la MTU (Maximum Transmission Unit) du réseau sous-jacent (couche liaison de données).

UDP User Datagram Protocolest un protocole de remise de paquets simple, non-fiable, sans connexion, appartenant à la couche 4 du modèle OSI. Il est utilisé quand il est nécessaire soit de transmettre des données très rapidement, et où la perte d’une partie de ces données n’a pas grande importance, soit de transmettre des petites quantités de données, là où la connexion ”3- WAY” TCP serait trop lourde. Tout comme TCP, il utilise un système de ports.

VLAN Virtual Lan Arena Network c’est un réseau local virtuel. Un seul routeur peut ainsi suffire à créer plusieurs sous-réseaux.

VPN Virtual Private Network Un réseau VPN est un réseau privé virtuel construit au sein d ?une infrastructure informatique publique, telle qu’Inter- net.

30

(32)

Index

AH, 15 CIDR, 11 ESP, 15 FreeBSD, 23 FTP, 12 HTTP, 12 IAB, 9

ICMP6, 12, 19 IESG, 11

IETF, 3, 9–11, 15 IKE, 23

IPsec, 9 ipsec-tools, 23 ISAKMP, 23 isakmpd, 23 OpenBSD, 23 SAD, 16

Security Associations, 22 Security Policies, 22 setkey, 22

SMTP, 12 SPD, 16 TCP, 12 UDP, 12 VPN, 9, 24

31

(33)

Annexes

Script d’installation

#!/bin/sh

#Attention il faut etre root pour que ce script marche!

killall racoon

#Installation de racoon et de openssl

echo -e "\vInstallation d’openssl via apt-get."

apt-get install openssl

echo -e "\vInstallation de racoon via apt-get."

apt-get install racoon

echo -e "\vCopie des fichiers de configuration :"

echo -n "racoon.conf"

cp racoon.conf /etc/racoon/racoon.conf echo -e "\t\tDone."

echo -n "psk.txt"

cp psk.txt /etc/racoon/psk.txt echo -e "\t\t\tDone."

echo -n "ipsec.policy"

cp ipsec.policy /etc/ipsec.policy echo -e "\t\tDone."

echo -n "racoon"

cp racoon /etc/init.d/racoon echo -e "\t\t\tDone.\v"

32

(34)

#On lance tout ca

echo "Chargement des politiques de securite"

setkey -f /etc/ipsec.policy echo "Lancement de racoon"

racoon

echo -e "Installation terminee.\v"

exit 0

33

(35)

Fichier de configuration automatique de set- key (ipsec.policy)

flush;

spdflush;

spdadd -6 2001:660:4401:6000::/56 2001:660:4401:6000::/56 any -P in ipsec esp/transport//use;

spdadd -6 2001:660:4401:6000::/56 2001:660:4401:6000::/56 any -P out ipsec esp/transport//use;

34

(36)

Fichier de configuration de racoon (racoon.conf )

# $KAME: racoon.conf.in,v 1.18 2001/08/16 06:33:40 itojun Exp $ remote anonymous

{

exchange_mode aggressive,main;

doi ipsec_doi;

situation identity_only;

my_identifier fqdn "polytech";

peers_identifier fqdn "polytech";

nonce_size 16;

lifetime time 1 min; # sec,min,hour initial_contact on;

support_mip6 on;

proposal_check obey; # obey, strict or claim proposal {

encryption_algorithm 3des;

hash_algorithm sha1;

authentication_method pre_shared_key ; dh_group 2 ;

} }

sainfo anonymous {

pfs_group 2;

lifetime time 30 sec;

encryption_algorithm 3des ;

authentication_algorithm hmac_sha1;

compression_algorithm deflate ; }

35

(37)

Fichier de lancement de racoon (/etc/init.d/racoon)

#!/bin/sh set -e

test -x /usr/sbin/racoon || exit 0 case "$1" in

start)

echo -n "Setting up SPD for racoon"

/usr/sbin/setkey -f /etc/ipsec.policy echo "."

echo -n "Starting IKE (ISAKMP/Oakley) server: racoon"

start-stop-daemon --start --quiet --exec /usr/sbin/racoon echo "."

;;

stop)

echo -n "Stopping IKE (ISAKMP/Oakley) server: racoon"

start-stop-daemon --stop --quiet --oknodo \

--pidfile /var/run/racoon.pid --exec /usr/sbin/racoon echo "."

;;

reload|force_reload|restart)

$0 start

$0 stop

;;

*)

echo "Usage: $0 (start|stop|reload|force-reload|restart)" >&2 exit 1

esac exit 0

36

(38)

Fichier de configuration manuelle de setkey

flush;

spdflush;

add -6 titenka07 titenka08 ah 24500 -A hmac-md5 "1234567890123456";

add -6 titenka07 titenka08 esp 24501 -E 3des-cbc "123456789012123456789012";

add -6 titenka08 titenka07 ah 24502 -A hmac-md5 "1234567890123456";

add -6 titenka08 titenka07 esp 24503 -E 3des-cbc "123456789012123456789012";

spdadd -6 titenka07 titenka08 any -P out ipsec esp/transport//require

ah/transport//require;

spdadd -6 titenka08 titenka07 any -P in ipsec esp/transport//require

ah/transport//require;

37

(39)

isakmpd.conf

[General]

#Listen-on= 2001:660:4401:6004:208:74ff:fe13:ff31 Shared-SADB= Defined

Default-phase-1-ID= Phase1-ID-name

Default-phase-2-suites= QM-ESP-TRP-3DES-SHA-PFS-SUITE [Phase1-ID-name]

ID-type= USER_FQDN Name= polytech [Phase 1]

Default= ISAKMP-peer-Titenka08 [Phase 2]

Passive-connections= IPsec-east-west [ISAKMP-peer-Titenka08]

Phase= 1 Transport= udp

Local-address= 2001:660:4401:6004:208:74ff:fe13:ff31 Adress= 2001:660:4401:6004:208:74ff:fe14:e2

Netmask= ffff:ffff:ffff:ffff::

Configuration= Default-quick-mode Authentication= mekmitasdigoat ID= Phase1-ID-name

[IPsec-east-west]

Phase= 2

ISAKMP-peer= ISAKMP-peer-Titenka08 Configuration= Default-quick-mode Local-ID= Titenka06

Remote-ID= Titenka08 [Titenka06]

ID-type= IPV6_ADDR

Address= 2001:660:4401:6004:208:74ff:fe13:ff31 [Titenka06]

ID-type= IPV6_ADDR

Address= 2001:660:4401:6004:208:74ff:fe14:e2 [Default-main-mode]

DOI= IPSEC

EXCHANGE_TYPE= ID_PROT Transforms= 3DES-SHA [Default-quick-mode]

38

(40)

DOI= IPSEC

EXCHANGE_TYPE= QUICK_MODE

Suites= QM-ESP-TRP-3DES-SHA-PFS-SUITE

39

(41)

EUI-64

³

La RFC3513 décrivant l’architecture de l’adressage IPv6 de l’adressage IPv6 requiert l’inversion du bit numéro 6 des identifiants d’interface réseau de type IEEE 802 ”allongés” à 64 bits suivant le standard EUI-64.

Dans le cas d’interfaces séries, par essence sans adresse IEEE 802, les identifiants peuvent être attribués manuellement par un technicien. La seule contrainte à respecter étant l’unicité desdits identifiants sur le lien. Cette contrainte n’est pas insurmontable puisqu’il n’y a que deux interfaces possibles, une à chaque extrémité du lien. Toutefois, puisque cette attribution n’est pas effectuée par l’organisme IEEE, la garantie d’unicité globale uni- verselle, n’est pas assurée. En conséquence, les ”u” bits des identifiants des interfaces série doivent être positionnés à 0.

Ce n’est pas une contrainte. Au contraire, la génération manuelle d’identifiants en est simplifiée. 0:0:0:1 et 0:0:0:2 que l’on pourra noter tout simplement 1 et 2, sont alors des identifants d’interface réseau conformes au standard 3513. Les adresses lien-local finales après accolement du préfixe lien-local fe80::/10 sont doncfe80::1 etfe80::2.

Si le standard n’imposait pas l’inversion du ”u” bit, le responsable de ce lien s´erie serait oblig´e d’affecter les identifants beaucoup plus complexes 200:0:0:1 et 200:0:0:2, au lieu de1 et2.

Les adresses finales seraient donc fe80::200:0:0:1 et fe80::200:0:0:2.

Ce qui ne faciliterait pas les op´erations de gestion courante ou de recherche de panne.

3Source GNU/Linux Magazine France n^◦55

40

(42)

Liste de sites accessibles en IPv6

Sur www.prik.net/list.html, on trouve une liste d’adresses accessibles en IPv6. Toutes ne sont pas valides aussi en voici certains que nous avons v´erifi´ees :

– www.freedomtophotograph.com : un site sur la photographie.

– www.ipsec.ca, un site canadien sur IPsec.

– http://aa.gg, un site de services sur l’ADSL – www.ajeux.com, un site sur les jeux vid´eos.

– http://aspirine.info.unicaen.fr site de l’universit´e de Caen.

– www.charliewolf.net, site d’une radio britannique.

– saturne.ipv6.rennes.enst-bretagnes.fr, site de l’ENST, non accessible en IPv4.

Un grand nombre de distributions Linux ou *BSB proposent ´egalement des serveurs de fichiers en IPv6.

41