{"id":851,"date":"2011-03-27T17:29:16","date_gmt":"2011-03-27T16:29:16","guid":{"rendered":"http:\/\/blog.guiguiabloc.fr\/?p=851"},"modified":"2011-03-27T21:41:58","modified_gmt":"2011-03-27T20:41:58","slug":"lhippie-est-a-sec-avec-un-cisco-pix","status":"publish","type":"post","link":"http:\/\/blog.guiguiabloc.fr\/index.php\/2011\/03\/27\/lhippie-est-a-sec-avec-un-cisco-pix\/","title":{"rendered":"L’Hippie est \u00e0 sec avec un Cisco Pix"},"content":{"rendered":"

\"\"<\/a><\/p>\n

\n

Ah vous m’avez manqu\u00e9 \ud83d\ude42 J’avoue avoir un peu d\u00e9laiss\u00e9 mon blog derni\u00e8rement et a force de me faire houspiller (ah oui, ahan, encore, fais-moi mal <\/a>(pardon)), je vous propose donc un petit billet technique sous forme d’atelier @home.<\/p>\n

Comme vous l’avez devin\u00e9 au titre\u00a0 de ce billet (dont le jeu de mot bien pourri est digne de la lign\u00e9e des meilleurs calembours Carambar), nous allons parler d’IPsec<\/a>.<\/p>\n

Bien \u00e9videmment, comme je ne fais pas comme tout le monde, j’ai du faire face \u00e0 une situation un peu diff\u00e9rente de ce que l’on rencontre g\u00e9n\u00e9ralement.<\/p>\n

Je dispose @home, derri\u00e8re la Freeteuse, d’un Cisco PIX, et je souhaite me connecter en IPsec, en mode tunnel (LAN to LAN) sur mes serveurs d\u00e9di\u00e9s sous linux, ou sur des serveurs derri\u00e8re d’autres \u00e9quipements (dans le cas de ce billet, me connecter a un r\u00e9seau local chez un pote derri\u00e8re un Netopia R9100.<\/p>\n

Seul petit point \u00e0 souligner, je suis en ip dynamique et les autres en ip fixe (ca change \ud83d\ude42 ).<\/p>\n

Nous allons donc voir\u00a0 diff\u00e9rentes approches d’une connexion IPsec, le Cisco Pix en client, les Linux avec Racoon en serveurs, et le Netopia R9100 en serveur \u00e9galement.<\/p>\n

Bien \u00e9videmment, comme je ne veux pas exposer les plans d’adressage ip de mon LAN, je vais NATer et filtrer tout ce qui part dans les tunnels.<\/p>\n

Un petit dessin valant mieux qu’un grand discours :<\/p>\n

\"\"<\/a><\/p>\n

\n

Allez, maintenant au boulot.<\/p>\n

J’ai d\u00e9cider d’utiliser les plans d’adressages suivant :<\/p>\n

10.250.250.0\/24 pour NATer mes ressources internes (comment les serveurs de mon LAN sont vus par les autres au travers du tunnel IPsec).<\/p>\n

10.40.0.0\/24 les ressources du serveur_d\u00e9di\u00e9 vu par mon LAN<\/p>\n

10.10.150.0\/24 les ressources du LAN derri\u00e8re le Netopia du copain vu depuis mon LAN<\/p>\n

Tout ces plans d’adressage vont devenir nos Domaines d’Encryption.<\/span><\/p>\n

\n

Linux IPsec Tools et RACOON<\/strong><\/p>\n

Sous Linux, la configuration IPsec se fait grace a la suite d’outils IPsec-Tools<\/a>.<\/p>\n

Cette suite d’outil comprend 2 \u00e9lements importatns :<\/p>\n

– Setkey : un outil pour interagir avec la couche ipsec du kernel<\/p>\n

– Racoon : un d\u00e9mon IKE pour g\u00e9rer les cl\u00e9s de connexion IPsec<\/p>\n

Sur votre serveur Debian :<\/p>\n

apt-get install ipsec-tools racoon<\/p>\n

on se cr\u00e9\u00e9 un fichier \/etc\/ipsec-tools.conf dans lequel on va d\u00e9tailler notre tunnel IPsec (mode ESP) :<\/p>\n

\r\nspdadd 10.40.0.0\/24 10.250.250.0\/24 any -P out ipsec\r\nesp\/tunnel\/99.99.99.1-0.0.0.0\/require;\r\nspdadd 10.250.250.0\/24 10.40.0.0\/24 any -P in ipsec\r\nesp\/tunnel\/0.0.0.0-99.99.99.1\/require;\r\n<\/pre>\n
Nous d\u00e9finissons donc nos 2 domaines d’encryptions et les deux extr\u00e9mit\u00e9s du tunnel.<\/p>\n
Comme j’ai une ip dynamique, je sp\u00e9ficie 0.0.0.0 (c’est a dire, n’importe qui).<\/p>\n
On charge : setkey -f\u00a0 \/etc\/ipsec-tools.conf<\/p>\n
Vous pouvez jeter un oeil aux SA avec : setkey -D<\/p>\n
Pour racoon :<\/p>\n
\r\n\/etc\/racoon\/racoon.conf\r\n\r\n...\r\npath pre_shared_key \"\/etc\/racoon\/psk.txt\";\r\ntimer {\r\nphase1 60 seconds ;\r\nphase2 60 seconds ;\r\n}\r\nremote anonymous {\r\nexchange_mode aggressive ;\r\ndoi ipsec_doi ;\r\nsituation identity_only ;\r\nlifetime time 1 hour ;\r\ngenerate_policy on;\r\npassive on;\r\nmy_identifier address 99.99.99.1 ;\r\npeers_identifier fqdn \"pix.guiguiabloc.fr\" ;\r\nproposal {\r\nencryption_algorithm aes 256;\r\nhash_algorithm sha1;\r\nauthentication_method pre_shared_key;\r\ndh_group modp1024;\r\n}\r\nproposal_check obey ;\r\n}\r\nsainfo anonymous {\r\npfs_group modp1024;\r\nlifetime time 1 hour ;\r\nencryption_algorithm aes 256;\r\nauthentication_algorithm hmac_sha1;\r\ncompression_algorithm deflate;\r\n}\r\n<\/pre>\n
Explication :<\/p>\n
On d\u00e9fini ici les diff\u00e9rents param\u00e8tres de s\u00e9curit\u00e9 du tunnel pour les Phase 1 (IKE) et 2 (IPsec) a savoir les m\u00e9thodes de chiffrement, de hachage, les temps de vie, l’activation du PFS (pour \u00e9changer des cl\u00e9s suppl\u00e9mentaires ) etc…<\/p>\n
Je ne vais pas entrer dans les d\u00e9tails d’IPsec, donc un peu de lecture \ud83d\ude00 :<\/p>\n
http:\/\/www.securiteinfo.com\/cryptographie\/IPSec.shtml<\/a><\/p>\n
http:\/\/www.tcpipguide.com\/free\/t_IPSecurityIPSecProtocols.htm<\/a><\/p>\n
La partie importante qui nous int\u00e9resse ici est le mode \u00ab\u00a0Agressive\u00a0\u00bb et non \u00ab\u00a0Main\u00a0\u00bb. En effet, j’ai une ip dynamique et je ne peux donc pas me baser dessus pour la n\u00e9gociation. J’utilise donc le fqdn de mon Pix (pix.guiguiabloc.fr) comme identifiant, et pour faire du fqdn+ pre-shared key, bah il faut etre en mode Agressive \ud83d\ude42<\/p>\n
Enfin dans le fichier \/etc\/racoon\/psk.txt je renseigne la Pre-shared key (le mot de passe si vous pr\u00e9f\u00e9rez) :<\/p>\n
pix.guiguiabloc.fr motdepassesupersecretamoi<\/p>\n
Vous pouvez lancer Racoon : \/etc\/init.d\/racoon start et le d\u00e9mon doit \u00e9couter sur les ports UDP 4500 et 500.<\/p>\n
NETOPIA R9100<\/strong><\/p>\n
Le Netopia R9100 est un vieux routeur qui fait papa\/maman. On peut le retrouver dans certaines TPE\/PME ou chez des potes Geek qui font de la r\u00e9cup\u00e9ration :p , c’est le cas ici.<\/p>\n
\"\"\"\"<\/a><\/p>\n
\"\"<\/a>\"\"<\/a>\"\"<\/a>\"\"\"\"<\/a>\"\"<\/a><\/p>\n
Ouf….<\/p>\n
Allez on s’occupe de la maison.<\/p>\n
On NAT notre pc 192.168.100.1 en une ip du domaine d’encryption<\/p>\n
\r\nr-backbone\r\n\r\nint fa 0\/0 (interne)\r\n\r\nip nat inside\r\n\r\nint fa 0\/1 (externe)\r\n\r\nip nat outside\r\n\r\nip nat inside source static 192.168.100.1 10.250.250.1\r\n\r\nip route 10.250.250.0 255.255.255.0 FastEthernet0\/0\r\n<\/pre>\n
On route les domaines d’encyptions des serveurs distants :<\/p>\n
\r\nip route 10.40.0.0 255.255.255.0 10.254.254.254\r\n\r\nip route 10.10.150.0 255.255.255.0 10.254.254.254\r\n\r\nCoeur de R\u00e9seau\r\n\r\nip route 10.40.0.0 255.255.255.0 10.144.1.254\r\n\r\nip route 10.10.150.0 255.255.255.0 10.144.1.254\r\n<\/pre>\n
Cisco PIX<\/strong><\/p>\n
\r\n# Les ACLS qui vont bien\r\naccess-list outside-ipsec extended permit ip 10.250.250.0 255.255.255.0 10.10.150.0 255.255.255.0\r\naccess-list outside-ipsec extended permit ip 10.250.250.0 255.255.255.0 10.40.0.0 255.255.255.0\r\n\r\naccess-list outside_serveur extended permit ip 10.250.250.0 255.255.255.0 10.40.0.0 255.255.255.0\r\naccess-list outside-pote extended permit ip 10.250.250.0 255.255.255.0 10.10.150.0 255.255.255.0\r\n\r\n\r\n# on ne natte pas les ips des domaines d'encryption\r\n\r\nnat (inside-test) 0 access-list outside-ipsec\r\n\r\n# La partie IPSEC elle meme\r\n\r\ncrypto ipsec transform-set ESP-AES-256-MD5 esp-aes-256 esp-md5-hmac\r\ncrypto ipsec transform-set ESP-DES-SHA esp-des esp-sha-hmac\r\ncrypto ipsec transform-set ESP-3DES-SHA esp-3des esp-sha-hmac\r\ncrypto ipsec transform-set ESP-DES-MD5 esp-des esp-md5-hmac\r\ncrypto ipsec transform-set ESP-AES-192-MD5 esp-aes-192 esp-md5-hmac\r\ncrypto ipsec transform-set ESP-3DES-MD5 esp-3des esp-md5-hmac\r\ncrypto ipsec transform-set ESP-AES-256-SHA esp-aes-256 esp-sha-hmac\r\ncrypto ipsec transform-set ESP-AES-128-SHA esp-aes esp-sha-hmac\r\ncrypto ipsec transform-set ESP-AES-192-SHA esp-aes-192 esp-sha-hmac\r\ncrypto ipsec transform-set ESP-AES-128-MD5 esp-aes esp-md5-hmac\r\ncrypto ipsec security-association lifetime seconds 28800\r\ncrypto ipsec security-association lifetime kilobytes 4608000\r\ncrypto map map-ipsec 1 match address outside_serveur\r\ncrypto map map-ipsec 1 set pfs\r\ncrypto map map-ipsec 1 set peer 99.99.99.1\r\ncrypto map map-ipsec 1 set transform-set ESP-AES-128-SHA ESP-AES-128-MD5 ESP-AES-192-SHA ESP-AES-192-MD5 ESP-AES-256-SHA ESP-AES-256-MD5 ESP-3DES-SHA ESP-3DES-MD5 ESP-DES-SHA ESP-DES-MD5\r\ncrypto map map-ipsec 1 set nat-t-disable\r\ncrypto map map-ipsec 1 set phase1-mode aggressive\r\ncrypto map map-ipsec 20 match address outside-pote\r\ncrypto map map-ipsec 20 set pfs\r\ncrypto map map-ipsec 20 set peer 88.88.88.88\r\ncrypto map map-ipsec 20 set transform-set ESP-3DES-SHA\r\ncrypto map map-ipsec 20 set nat-t-disable\r\ncrypto map map-ipsec 20 set phase1-mode aggressive\r\ncrypto map map-ipsec interface outside\r\ncrypto isakmp identity hostname\r\ncrypto isakmp enable outside\r\ncrypto isakmp policy 5\r\nauthentication pre-share\r\nencryption 3des\r\nhash sha\r\ngroup 2\r\nlifetime 86400\r\ncrypto isakmp policy 10\r\nauthentication pre-share\r\nencryption des\r\nhash sha\r\ngroup 2\r\nlifetime 86400\r\ncrypto isakmp policy 20\r\nauthentication pre-share\r\nencryption aes-256\r\nhash sha\r\ngroup 2\r\nlifetime 86400\r\n\r\ngroup-policy IPSEC_POLICY internal\r\ngroup-policy IPSEC_POLICY attributes\r\nvpn-filter none\r\nvpn-tunnel-protocol IPSec\r\ntunnel-group 99.99.99.1 type ipsec-l2l\r\ntunnel-group 99.99.99.1 general-attributes\r\ndefault-group-policy IPSEC_POLICY\r\ntunnel-group 99.99.99.1 ipsec-attributes\r\npre-shared-key *\r\ntunnel-group 88.88.88.88 type ipsec-l2l\r\ntunnel-group 88.88.88.88 general-attributes\r\ndefault-group-policy IPSEC_POLICY\r\ntunnel-group 88.88.88.88 ipsec-attributes\r\npre-shared-key *\r\n<\/pre>\n
N’oubliez pas que vous ne pouvez avoir qu’1 crypto map par Interface, il faut donc juste rajouter un identifant numerique suppl\u00e9mentaire pour chaque nouveau tunnel (ici 1 pour le premier tunnel, 20 le deuxieme).<\/p>\n
Et beh..<\/p>\n
Allez maintenant on test \ud83d\ude00 :<\/p>\n
ssh 10.10.150.1<\/p>\n
\r\nMar 27 18:12:58 pix Mar 27 2011 18:12:58: %PIX-5-713041: IP = 88.88.88.88, IKE Initiator: New Phase 1, Intf inside-test, IKE Peer 88.88.88.88\u00a0 local Proxy Address 10.250.250.0, remote Proxy Address 10.10.150.0,\u00a0 Crypto map (map-ipsec)\r\nMar 27 18:13:01 pix Mar 27 2011 18:13:01: %PIX-6-713219: IP = 88.88.88.88, Queuing KEY-ACQUIRE messages to be processed when P1 SA is complete.\r\nMar 27 18:13:07 pix Mar 27 2011 18:13:07: %PIX-6-713219: IP = 88.88.88.88, Queuing KEY-ACQUIRE messages to be processed when P1 SA is complete.\r\nMar 27 18:13:11 pix Mar 27 2011 18:13:11: %PIX-6-113009: AAA retrieved default group policy (IPSEC_POLICY) for user = 88.88.88.88\r\nMar 27 18:13:11 pix Mar 27 2011 18:13:11: %PIX-5-713119: Group = 88.88.88.88, IP = 88.88.88.88, PHASE 1 COMPLETED\r\nMar 27 18:13:11 pix Mar 27 2011 18:13:11: %PIX-3-713122: IP = 88.88.88.88, Keep-alives configured on but peer does not support keep-alives (type = None)\r\nMar 27 18:13:11 pix Mar 27 2011 18:13:11: %PIX-6-713220: Group = 88.88.88.88, IP = 88.88.88.88, De-queuing KEY-ACQUIRE messages that were left pending.\r\nMar 27 18:13:24 pix Mar 27 2011 18:13:24: %PIX-5-713073: Group = 88.88.88.88, IP = 88.88.88.88, Responder forcing change of IPSec rekeying duration from 28800 to 3600 seconds\r\nMar 27 18:13:24 pix Mar 27 2011 18:13:24: %PIX-5-713049: Group = 88.88.88.88, IP = 88.88.88.88, Security negotiation complete for LAN-to-LAN Group (88.88.88.88)\u00a0 Initiator, Inbound SPI = 0xe4e88f39, Outbound SPI = 0x94160878\r\nMar 27 18:13:24 pix Mar 27 2011 18:13:24: %PIX-6-602303: IPSEC: An outbound LAN-to-LAN SA (SPI= 0x94160878) between 192.168.1.250 and 88.88.88.88 (user= 88.88.88.88) has been created.\r\nMar 27 18:13:24 pix Mar 27 2011 18:13:24: %PIX-6-602303: IPSEC: An inbound LAN-to-LAN SA (SPI= 0xE4E88F39) between 192.168.1.250 and 88.88.88.88 (user= 88.88.88.88) has been created.\r\nMar 27 18:13:24 pix Mar 27 2011 18:13:24: %PIX-5-713120: Group = 88.88.88.88, IP = 88.88.88.88, PHASE 2 COMPLETED (msgid=f0cb61bd)\r\n<\/pre>\n
Rh\u00e2\u00e2 Lovely \ud83d\ude00<\/p>\n
Idem l’autre tunnel avec un ping 10.40.0.1 par exemple<\/p>\n
Si vous voulez filtrer les paquets dans vos tunnels ipsec, utilisez des ACLS de type :<\/p>\n
\r\naccess-list acl-ipsec extended permit tcp 10.40.0.0 255.255.255.0 eq www 10.250.250.0 255.255.255.0 gt 1023\r\n<\/pre>\n
(le reseau distant d’abord, puis votre propre reseau ensuite).<\/p>\n
Dans le Pix, modifier l’\u00e9ntr\u00e9e vpn-filter none par :<\/p>\n
vpn-filter value acl-ipsec<\/p>\n
Amusez vous bien \ud83d\ude00<\/p>\n","protected":false},"excerpt":{"rendered":"
Ah vous m’avez manqu\u00e9 \ud83d\ude42 J’avoue avoir un peu d\u00e9laiss\u00e9 mon blog derni\u00e8rement et a force de me faire houspiller (ah oui, ahan, encore, fais-moi mal (pardon)), je vous propose donc un petit billet technique sous forme d’atelier @home. Comme … Read More →<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":[],"categories":[27,3],"tags":[63,156,22,155],"_links":{"self":[{"href":"http:\/\/blog.guiguiabloc.fr\/index.php\/wp-json\/wp\/v2\/posts\/851"}],"collection":[{"href":"http:\/\/blog.guiguiabloc.fr\/index.php\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"http:\/\/blog.guiguiabloc.fr\/index.php\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"http:\/\/blog.guiguiabloc.fr\/index.php\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"http:\/\/blog.guiguiabloc.fr\/index.php\/wp-json\/wp\/v2\/comments?post=851"}],"version-history":[{"count":22,"href":"http:\/\/blog.guiguiabloc.fr\/index.php\/wp-json\/wp\/v2\/posts\/851\/revisions"}],"predecessor-version":[{"id":883,"href":"http:\/\/blog.guiguiabloc.fr\/index.php\/wp-json\/wp\/v2\/posts\/851\/revisions\/883"}],"wp:attachment":[{"href":"http:\/\/blog.guiguiabloc.fr\/index.php\/wp-json\/wp\/v2\/media?parent=851"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"http:\/\/blog.guiguiabloc.fr\/index.php\/wp-json\/wp\/v2\/categories?post=851"},{"taxonomy":"post_tag","embeddable":true,"href":"http:\/\/blog.guiguiabloc.fr\/index.php\/wp-json\/wp\/v2\/tags?post=851"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}