Securiser la connexion wifi... - Linux et OS Alternatifs
Marsh Posté le 30-08-2004 à 14:22:50
Bonjour,
Si c'est pour un réseau perso est ce que les actions suivantes ne sont pas suffisantes :
- desactiver le SSID broadcast
- activler le filtrage d'adresse MAC
- utiliser le cryptage WEP ou WAP
c'est déja pas mal je trouve ...
Marsh Posté le 30-08-2004 à 14:44:13
Actuellement pour utiliser IPsec sous linux il est préférable
d'utiliser le noyau 2.6. tu le compiles avec les options
o support PF_KEY
o support de AH
o support de ESP
dans les "networking options"
ensuite il faut installer les ipsec-tools
et racoon (demon négociant les parametres de sécurité)
J'avais un bon document qu un pote de l'irisa m'avait filer mais
ils l'ont enlevé de leur site. Si le retrouve je te filerai l'adresse
en attendant: http://www.netbsd.org/fr/Documentation/network/ipsec/
c'est pas linux mais ca y ressemble
Marsh Posté le 30-08-2004 à 14:49:13
matthias> merci mathhias pour ton aide, j'ai déjà mis en place cette solution, mais c'est par curiosité personnelle que je veux mettre en place une solution par IpSec!
freyr> jvé déjà me renseigner sur ipsec-tools et racoon. merci :-)
Marsh Posté le 30-08-2004 à 20:44:37
le couple ipsec/racoon répond tout à fait bien à mon besoin, mais c'est plutot mal documenté. J'ai trouvé quelques infos sur lartc.org. Je comprends la configuration de ipsec mais à la configuration de racoon ca devient tres flou... Les exemples sont très mal commentés. J'aime vraiment pas appliqué les trucs bêtement sans comprendre. Pourquoi les développeurs ne font-ils pas des docs plus claires ? Parce que la, leur readme ou man ne sont carrément pas explicites...
Marsh Posté le 30-08-2004 à 21:17:58
falconn a écrit : le couple ipsec/racoon répond tout à fait bien à mon besoin, mais c'est plutot mal documenté. J'ai trouvé quelques infos sur lartc.org. Je comprends la configuration de ipsec mais à la configuration de racoon ca devient tres flou... Les exemples sont très mal commentés. J'aime vraiment pas appliqué les trucs bêtement sans comprendre. Pourquoi les développeurs ne font-ils pas des docs plus claires ? Parce que la, leur readme ou man ne sont carrément pas explicites... |
parce qu'ils font ca sur leur temps libre, et que toute contribution est la bienvenue
Marsh Posté le 30-08-2004 à 22:27:46
Si tu veux comprendre marche racoon et son fichier de configuration il faut que tu te documentes sur le protocole IKE (Internet Key Exchange RFC2409 il me semble).
Le fichier de config principal suit d'assez pres ce protocole. Je compte ecrire un tuto la dessus un de ces 4 mais pas avant 1 mois
Marsh Posté le 30-08-2004 à 22:50:48
ok merci freyr! Jvais me documenter la dessus... Un tuto ca serait bien oui de toute maniere jvai essayer de m'y mettre et j'essaierai de donner ma contribution aussi, parce que là ya comme un grand vide sur le sujet sur internet... Tu as des sites interessant concernant les spécifications des protocoles?
Toutefois pourrais tu m'éclairer sur un certain point?
Dans le fichier de config racoon.conf il ya une section "proposal" et une section "sainfo" où on définit les algorithmes de cryptage, d'authentification... Je n'arrive pas à comprendre le pourquoi de la "redondance" de cette information (y'à un truc c'est sur )
Marsh Posté le 31-08-2004 à 00:07:03
si tu veux les spécifs rien de mieux que
http://www.ietf.org/rfc.html
(enfin chacun ses gout )
Ensuite la redondance s'explique parce que racoon est l'implémentation du protocole IKE qui a 2 phases (dans son mode classique):
phase 1
Le bloc remote contient les propositions que ton ordi va filer a son peer pour sécuriser dans le canal pour négocier de maniere sure les parametre de cryptage.
La tu définis par exemple le mode d'authentification (pre_shared key ou certificats)
phase 2
le bloc sainfo contient les algos à utiliser (AES, triple DES...) pour le cryptage et les algos pour l'intégrité (MD5, SHA1...) pour les communications a venir.
Une fois que ces 2 phases ont été établie avec succes tu devrais avoir un canal IPsec.
Il peut exister plusieurs blocs remote et plusieurs blocs sainfo pour les différents ordi que tu veux contacter. les blocs anonymous sont les blocs appliquer par défaut.
le fichier /etc/ipsec.conf sert a definir comment tu veux monter des politiques IPsec (mode tunnel/transport, Authentification/Cryptage) entre les protagonistes
en espérant que ca t eclaire un peu
allez dodo
Marsh Posté le 31-08-2004 à 09:37:07
merci freyr pour cette ptite explication :-) par contre j'utilise pas le fichier ipsec.conf, il existe meme pas sur mon disque!
Marsh Posté le 31-08-2004 à 09:53:38
Faut le créer alors:
Pour des tests j'avais fais celui la:
|
Marsh Posté le 31-08-2004 à 17:54:40
freyr > une question qui me traverse l'esprit la... Dans l'implémentation actuelle de IpSec, on définit les critères de contrôles d'accès en fonction de l'adresse IP. Mais n'existe-il pas un autre moyen, en se basant par exemple sur la clé publique pk dans le cas d'un chiffrement asymétrique ? Parce que si l'un des deux ordis à une adresse ip dynamique, on l'a dans le vent...
Edit: Racoon a un mode qui permet de générer la politique d'accès ok, mais bon ca nous dit pas sur quoi il se base et quels sont les droits donnés...
Marsh Posté le 31-08-2004 à 20:27:04
1. pour racoon ca doit etre faisable avec les certificats x509
mais le probleme reste dans le fichier ipsec.conf où il faut préciser avec qui ont fait de l'IPsec. En gros porc on pourrait peut etre mettre 0.0.0.0/32 mais on ferait avec tout le monde...
2. Comprend pas la remarque
A la base IPsec c'est pour faire avec des adresses "statique"... connue du moins.
Marsh Posté le 01-09-2004 à 10:14:43
Pour la remarque ca signifait juste que racoon peut justement générer les règles de ipsec.conf, mais je sais pas vraiment comment ca marche... (c'est l'option generate_policy on)
Marsh Posté le 08-06-2005 à 17:38:12
huit a écrit : up |
non
C'était moi freyr (avant que je casse mon mail/password)
Marsh Posté le 08-06-2005 à 17:43:10
l0ky a écrit : non |
et sinon ta le temps de m'aider un peu sur la conf de racoon pour IKE ?
Marsh Posté le 08-06-2005 à 17:57:36
en fait je vien de voir que ca marchait pas parceque racoon etait déja lancé
spa grave ca marche quand meme pas
jai 2 passerelles :
192.168.33.0-----33.1==10.0.0.2---------------10.0.0.1==34.254-------192.168.34.0
je veux crypter tout le traffic entre 33.0 et 34.0
les routes sont faites
avec clé fixe ca marche niquel
avec IKE jai configuré comme ceci sur la passerelle 10.0.0.1 (pareil sur la 0.2 avec inversement des ip partout) :
path include "/etc/racoon"; |
ensuite je lance :
veau:/etc/racoon# racoon -F -v -f /etc/racoon/racoon.conf |
comme ca marche je vire le -F, ca le lance tout court
et ensuite je lance le setkey :
|
meme manip sur les 2 paserelles avec les ip inversée partout (ca marche en clé fixe)
ben rien quoi
Marsh Posté le 08-06-2005 à 18:03:49
par contre en fait c'est une maquette ou le réseau 10.0.0.0 sera internet.
ca sers ptet a rien de préciser le cryptage entre le 33.0 et le 34.0 parceque le but sera de crypter tout entre 10.0.0.1 et 10.0.0.2 (qui seront des ip publiques en vrai) ?
Marsh Posté le 08-06-2005 à 18:07:39
veau:/etc/racoon# setkey -DP |
jai indiqué nulle part le mode fwd c'est normal qu'il apparaisse ?
et c'est normal qu'il fasse le fwd du réseau externe (33.0) vers le sien (34.0) ?
Marsh Posté le 08-06-2005 à 18:15:52
Essaye avec:
Sur le 10.0.0.1:
|
Marsh Posté le 09-06-2005 à 11:46:56
idem avec ta methode,
jai tenté une autre conf et jai ca avec un tcpdump :
12:33:25.618394 IP 10.0.0.2.500 > 10.0.0.1.500: isakmp: phase 1 I ident
12:33:25.619753 IP 10.0.0.1.500 > 10.0.0.2.500: isakmp: phase 1 R ident
12:33:25.656365 IP 10.0.0.2.500 > 10.0.0.1.500: isakmp: phase 1 I ident
12:33:25.692097 IP 10.0.0.1.500 > 10.0.0.2.500: isakmp: phase 1 R ident
12:33:58.619812 IP 10.0.0.2.500 > 10.0.0.1.500: isakmp: phase 1 I ident
12:33:58.622155 IP 10.0.0.1.500 > 10.0.0.2.500: isakmp: phase 1 R ident
12:33:58.658633 IP 10.0.0.2.500 > 10.0.0.1.500: isakmp: phase 1 I ident
12:33:58.694477 IP 10.0.0.1.500 > 10.0.0.2.500: isakmp: phase 1 R ident
12:34:03.618364 arp who-has 10.0.0.1 tell 10.0.0.2
12:34:03.618429 arp reply 10.0.0.1 is-at 00:01:02:07:95:55
12:34:31.621466 IP 10.0.0.2.500 > 10.0.0.1.500: isakmp: phase 1 I ident
12:34:31.622816 IP 10.0.0.1.500 > 10.0.0.2.500: isakmp: phase 1 R ident
12:34:31.659901 IP 10.0.0.2.500 > 10.0.0.1.500: isakmp: phase 1 I ident
12:34:31.695870 IP 10.0.0.1.500 > 10.0.0.2.500: isakmp: phase 1 R ident
12:35:04.623216 IP 10.0.0.2.500 > 10.0.0.1.500: isakmp: phase 1 I ident
12:35:04.624631 IP 10.0.0.1.500 > 10.0.0.2.500: isakmp: phase 1 R ident
12:35:04.661569 IP 10.0.0.2.500 > 10.0.0.1.500: isakmp: phase 1 I ident
12:35:04.697424 IP 10.0.0.1.500 > 10.0.0.2.500: isakmp: phase 1 R ident
en boucle quand je fait un ping entre les 2 sous réseaux
donc j'en conclu qu'il arrive pas a parler!
ma clé est toutes petite
abcdomet980
ca chnge quelque chose ?
ensuite dans le fichier de cle faut mettre
passerelle_distante clé
ou sous_réseau_distant clé
ou réseaux_distant clé
?
allez ! je cherche sur le net !!
Marsh Posté le 09-06-2005 à 11:58:32
OK je etre un BOULET de premiere
en fait ct les droits du fichier cle qui etaient pas bon, faut les mettre a 600 sinon ca marche pas si tout le monde peut le lire !!!! putain et en plus c marqué partout mais jme disait que c'etait juste une sécurité !!
Marsh Posté le 09-06-2005 à 12:00:59
bon sinon tu saurais me dire comment tenter de péter le cryptage ? (faire un test de piratage quoi)
Marsh Posté le 09-06-2005 à 12:54:57
huit a écrit : OK je etre un BOULET de premiere |
huit a écrit : bon sinon tu saurais me dire comment tenter de péter le cryptage ? (faire un test de piratage quoi) |
pas sur IPsec, désolé
Marsh Posté le 30-08-2004 à 14:20:46
Après avoir fait le tour de quelques forums, je vais m'orienter vers IpSec pour sécuriser mes communications entre mon portable et le reste du réseau. J'ai entendu parlé d'un IpSec propre au noyau 2.6, d'une version d'IpSec intitulé 'FreeS/WAN', etc...
J'ai un peu du mal à m'y retrouver. Quelqu'un pourrait-il m'éclairer sur le sujet ou m'orienter vers des sites expliquant la mise en marche sous linux?
Merci!
Message édité par falconn le 30-08-2004 à 14:21:08