http://irp.nain-t.net/ 2008-11-29T14:44:43+01:00 http://irp.nain-t.net/ http://irp.nain-t.net/lib/images/favicon.ico text/html 2008-11-25T19:58:28+01:00 prof http://irp.nain-t.net/doku.php/075ipv6:060_icmp6?rev=1227639508&do=diff ICMPv6 Ce protocole, qui ressemble beaucoup à l'ICMP du monde IPv4, a été enrichi de nouveaux messages, c'est lui qui sert à véhiculer les informations de configuration, dans le cas qui nous intéresse. En effet, nous n'allons maintenant plus tarder à voir que ce sont des messages ICMP qui contiennent les questions et les réponses que nous avons obtenues avec l'outil rdisc6, exactement de la même manière que lors du démarrage de la pile IPv6 sur une interface réseau. text/html 2008-11-20T17:36:35+01:00 prof http://irp.nain-t.net/doku.php/270crypt:start?rev=1227198995&do=diff La cryptographie, c'est la science du chiffrement et du déchiffrement d'informations, dans le but de les rendre illisibles par des non initiés. Cependant, le chiffrement est toujours déchiffrable et la durée de vie de la confidentialité dépendra de l'investissement sur la force du chiffrement. text/html 2008-11-20T17:22:50+01:00 prof http://irp.nain-t.net/doku.php/280vpn:20openvpn:040_openvpn-prod?rev=1227198170&do=diff Implémentation Debian Il suffit donc d'installer le paquet openvpn et les dépendances manquantes viendront avec. L'installation, en plus du code et de la documentation dans /usr/share/doc/openvpn (Le README.Debian n'est pas une lecture inutile) produit un répertoire /etc/openvpn vide et un fichier /etc/default/openvpn auquel il faudra jeter un coup d'œil. De plus, un script d'init /etc/init.d/openvpn permettra le démarrage et l'arrêt automatique du tunnel. Enfin, des scripts de gestion du résea… text/html 2008-11-20T17:22:21+01:00 prof http://irp.nain-t.net/doku.php/280vpn:20openvpn:030_openvpn-tls?rev=1227198141&do=diff Les certificats Puisque nous savons utiliser TinyCA, autant nous en servir. Nous allons créer avec notre CA un certificat pour aaron (serveur) et un autre pour cyclope (client) et allons les placer, ainsi que leur clé privée, sur leurs destinations respectives. text/html 2008-11-20T17:21:58+01:00 prof http://irp.nain-t.net/doku.php/280vpn:20openvpn:020_openvpn-sharedkey?rev=1227198118&do=diff Cette méthode consiste à créer une clé de chiffrement symétrique, que l'on va communiquer aux deux bouts du tunnel. Simple, efficace et relativement sécurisé. En effet, il va y avoir ici : * un chiffrement des données dans le tunnel ; * une (pseudo) authentification des extrémités, si l'on suppose que le secret partagé ne l'est bien qu'entre les deux extrémités souhaitées. text/html 2008-11-20T17:21:36+01:00 prof http://irp.nain-t.net/doku.php/280vpn:20openvpn:010_openvpn-simple?rev=1227198096&do=diff Deux machines disposent d'une connexion internet. L'une s'appelle AARON, elle dispose d'une adresse IP publique fixe : 82.127.57.95. L'autre s'appelle CYCLOPE, et dispose d'une adresse IP dynamique : 80.8.135.67, au moment de ce premier test. Les deux machines sont des Debian Etch, avec un kernel 2.6.24 et la version 2.0.9 d'OpenVPN. text/html 2008-11-20T17:21:14+01:00 prof http://irp.nain-t.net/doku.php/280vpn:20openvpn:start?rev=1227198074&do=diff OpenVPN est un logiciel libre, capable de créer des tunnels sécurisés (ou non) le plus souvent entre deux réseaux distants. Nous allons nous intéresser particulièrement au cas suivant : Deux réseaux IP différents, tous deux connectés à l'internet par l'intermédiaire d'un routeur « nat » vont être reliés par un tunnel. Il s'agira ici d'un tunnel « routé » (tunnel sur IP). Pour information, OpenVPN sait aussi réaliser des tunnels en mode « bridgé » (tunnel sur Ethernet), mais nous n'aborderons p… text/html 2008-11-20T17:20:44+01:00 prof http://irp.nain-t.net/doku.php/280vpn:10gre:040_limites?rev=1227198044&do=diff Juste un exemple pour montrer au moins qu'un tel tunnel GRE n'offre pas de confidentialité. Nous allons, par l'intermédiaire du « voisinage réseau », utiliser le tunnel pour copier un fichier local sur un hôte distant, à l'autre bout du tunnel. text/html 2008-11-20T17:20:23+01:00 prof http://irp.nain-t.net/doku.php/280vpn:10gre:030_utilisation?rev=1227198023&do=diff Vous l'avez compris, une fois le tunnel réalisé entre vos deux réseaux, tout se passe comme si ces derniers étaient interconnectés par un routeur, vous êtes chez vous (enfin, tant qu'un intrus ne creuse pas une galerie qui débouche dans votre beau tunnel). text/html 2008-11-20T17:20:03+01:00 prof http://irp.nain-t.net/doku.php/280vpn:10gre:020_protogre?rev=1227198003&do=diff Que disent les RFCs ? Elles le disent en anglais dans le RFC2784. Désolé, mais personne n'a eu l'idée (même pas moi) de traduire ça en français. En réalité, pour comprendre comment ça fonctionne, il suffit de voir que : * GRE est considéré comme un protocole de niveau supérieur, qui sera transporté par IP. Pour IP, GRE est donc quelque chose à transporter, au même titre que TCP, UDP, ICMP... * GRE va transporter des paquets de niveau 3 (IP, IPX...), ce sera de l'IP le plus souvent.… text/html 2008-11-20T17:19:40+01:00 prof http://irp.nain-t.net/doku.php/280vpn:10gre:010_realisation?rev=1227197980&do=diff Reprenons la topologie utilisée : Les deux réseaux Les deux réseaux A et B sont les mêmes que définis sur la page « Virtual Private Network ». Les deux routeurs sont des machines sous Linux, avec un noyau 2.4.x. Il nous faut disposer d' iproute2. Toutes les distributions le proposent, mais ne l'installent pas forcément par défaut. text/html 2008-11-20T17:19:19+01:00 prof http://irp.nain-t.net/doku.php/280vpn:10gre:start?rev=1227197959&do=diff Avertissements Il existe avec Linux un type de tunnel qui encapsule de l'IP sur IP. Cette solution n'existe, semble-t-il, que sous Linux et reste assez limitative. Nous allons plutôt utiliser une méthode normalisée, à peine plus complexe : le tunnel GRE. Ne confondez donc pas ces deux possibilités. text/html 2008-11-20T17:18:42+01:00 prof http://irp.nain-t.net/doku.php/280vpn:start?rev=1227197922&do=diff Les tunnels Grâce à un tunnel, il est possible de passer directement d'un point à un autre, sans devoir subir les affres de la circulation à la surface. Les tunnels informatiques s'en rapprochent fortement, en proposant un moyen de relier « directement » deux réseaux privés distants, à travers un inter-réseau aussi complexe que l'internet. text/html 2008-11-20T17:17:31+01:00 prof http://irp.nain-t.net/doku.php/270crypt:030_application?rev=1227197851&do=diff Nous aurons l'occasion de mettre en pratique diverses méthodes de chiffrement dans le tunnel OpenVPN et aussi dans la sécurisation d'un réseau WI-FI, sans oublier également SMTP, POP3 et IMAP sécurisés. Nous allons plutôt ici nous intéresser à la réalisation d'une mini « CA » à l'aide d'OpenSSL. Présent sur toutes les distributions GNU/Linux, cet outil se présente sous forme de commandes en ligne dont l'ergonomie n'a d'égale que la complexité de l'outil. text/html 2008-11-20T17:16:52+01:00 prof http://irp.nain-t.net/doku.php/270crypt:020_les-cles?rev=1227197812&do=diff Résumons nous. En cryptographie numérique, chiffrer une information consiste à modifier la suite d'octets qui constituent cette information au moyen d'un algorithme mathématique. L'algorithme étant normalisé, il peut être connu de tout le monde. Ainsi, pour que le secret soit assuré, il faudra que cet algorithme utilise un paramètre supplémentaire appelé une clé. Une information chiffrée avec un algorithme connu restera déchiffrable par les seuls possesseurs de la clé appropriée, même si l'al… text/html 2008-11-20T17:16:22+01:00 prof http://irp.nain-t.net/doku.php/270crypt:010_avant-propos?rev=1227197782&do=diff Rendre un message incompréhensible par le non initié Transmettre de l'information de telle manière que seuls les initiés puissent l'utiliser n'est pas un concept nouveau, il est même la base de la communication. Un internaute qui ne connaît pas le français sera bien incapable de comprendre quoi que ce soit à la lecture de ces pages. Dans l'exemple, cependant, rien n'interdit à cet internaute d'apprendre le français pour en déchiffrer le contenu. Tout le monde peut apprendre le français, il n'…