VPN IPsec + authentification - Windows & Software
Marsh Posté le 11-04-2003 à 11:37:04
Interessant tout ca
Seulement j'ai quelques questions:
Pourquoi installer la passerelle VPN sur la DMZ ? certain clients auraient besoin de s'y connecter depuis l'extérieur?
Il faut également bien dimensionner la passerelle car le 3DES est assez gourmant ! mais j'ai entendu parler d'un nouveau type de cryptage moins lours que le 3DES et plus performant
Marsh Posté le 11-04-2003 à 11:56:27
En effet mon sujet de stage est interressant.
Le gros poroblème en revanche c'est que les admins ne connaissent pas trop le domaine des VPN + authentification.
Oui il est prévu que à terme des utilisateurs extérieurs puissent se connecter sur le serveur VPN.
Pour l'instant on met la passerelle VPN sur la DMZ du firewall car le tunnel qui vient d'etre abouti sur un autre réseau.
Et généralement tout les flux sortant de la passerelle VPN doivent etre filtrés.
Oui 3DES sa consomme énormément de ressources CPU. Je viens de me monter un réseau de test sous Linux (avec Freeswan) et un tunnel avec un trafic de 60 ko ça réprésente 30% du proco sur un céléron 900 MHz.
Tu dois parlé du protocole AES. Je ne l'utulise pas car en terme de législation j'ai pas trop cherché.
Sinon par rapport au solution d'authentification vous me conseillez quoi ?
Marsh Posté le 16-04-2003 à 10:15:34
Il m'a donné quelques infos sur RADIUS.
Et il m'a parlé de son expérience sur les VPN IPSec sous Windows 2000.
Le problème c'est que cela ne règle pas ma question sur l'authentification.
Marsh Posté le 16-04-2003 à 20:58:15
J'ai fait un tunnel ipsec host2host freeswan <-> WinXP avec PSK, je pense pas que c'es ce que tu veux. Demain, je vais voir avec des certificats x509 , peut-être c'est ce que tu cherche?
Marsh Posté le 16-04-2003 à 21:59:29
Je suis parti sur une solution Open Source avec un serveur Linux + freeswan (implémentation d'IPSec).
Je fais du Host-to-LAN entre un Win (avec SSH sentinel) et mon serveur VPN Linux avec Freeswan.
Je suis pour l'instant en PSK (Pre Shared Key). Je vois pas trop l'intéret que j'aurais à faire à faire du chiffrement à clé public... Je veux authentifier les clients (physique) et non les machines. Le seul intéret que je verrais à chiffrement à clé public est que je pourrais faire une architecture PKI. Les clés des users seraient stockés sur une carte à puce et comme l'utilisateur est le seul à l'avoir... le pb de l'authentification est réglé. -> 1 personne =1clé public/1 clé privé sur une carte.
Mais parrait il que cette solution coute très cher et est dur à implémenter et à maintenir.
Cette solution me semble comparable à un chasseur qui souhaite tuer le lapin avec un bazuka !
Je veux simplement un couple login/password qui permettrait d'authentifier un utilisateur. Une fois l'authentification réussis le tunnel VPN pourra etre monté. Ca existe pas sa sous Unix où avec l'utilisation d'un autre service d'authentication.
J'ai été sur OSA -> niet personne ne répond
Marsh Posté le 16-04-2003 à 22:01:14
krapaud a écrit : euh c'est quoi la question? |
Comment faire de l'authentification login/password sur une solution VPN sur un serveur linux (ou qui pourrait etre assez standard pour faire appel à un service situé sur un autre serveur) ?
Marsh Posté le 16-04-2003 à 23:10:29
madsurfer a écrit : Je suis parti sur une solution Open Source avec un serveur Linux + freeswan (implémentation d'IPSec). |
https://www-ext.lmcp.jussieu.fr/inf [...] ndows_2000
Marsh Posté le 17-04-2003 à 01:01:26
madsurfer a écrit : |
tu peux coller un tunnel SSH avec une clé 1024 et une base LDAP par ex
Marsh Posté le 17-04-2003 à 23:01:55
Un serveur existant existe déjà à quelque part sur le réseau. Je pourrais donc peut etre créer un relai LDAP qui pointe vers le serveur LDAP.
Mais d'après ce que je sais un serveur LDAP ne permet pas l'authentification. Il s'agit uniquement d'une base de données optimisés pour la lecture ds laquelle il y a des infos sur les users.
La question est qu'elle service réseau utiliser pour que le processus d'authenfication (assez standard) puisse me permettre d'atteindre la base LDAP ?
Sachant que je suis sous Linux.
Faire du SSH sur de l'IPSec !
Ca me fais réaliser un double chiffrement. Pauvre machine
Krapaud si j'ai bien compris ce que tu viens de dire, il y a la possibilité d'atteindre d'authentifier les utilisateurs via SSH où ce dernier ira consulter la base LDAP. C'est ça ?
Quel lourdeur !
Apparement certains préconisent d'encapsuler les paquets IPSec ds du L2TP ou PPTP pour réaliser une authentification de type CHAP.
C'est un peu le meme système proposé par krapaud... mais c'est moins lourd (couche basse)
L'authentification via RADIUS ou Kerberos c'est faisable ?
C'est dur à mettre en place (sachant que mon serveur VPN est un Linux) ?
Kerberos et RADIUS... il faut un client spécial ?
Marsh Posté le 17-04-2003 à 23:26:01
il me semble que la solution RADIUS oblige à avoir un client
Pour kerberos c'est géré directement avec l'AD enfin moi c'est ce que j'ai connu comme architecture.
SSH & LDAP ce n'est qu'une proposition pour le VPN, pas juste pour l'authentification, on ne va pas encapsuler 100* les paquets
Il me semble qu'il existe des connecteurs LDAP à lier sur des serveurs linux avec le serveur SSH et qui permettent de croiser l'authentification login/pwd contenu dans la base LDAP avec les clés SSH.
M'enfin le problème c'est qu'entre la littérature et la mise en place effective bah y'a toujours une marge d'erreur conséquente :'(
Marsh Posté le 17-04-2003 à 23:57:54
Tu peux faire du LT2P over IPsec, avec freeswan et PPP server sur linux
http://www.jacco2.dds.nl/networking/freeswan-l2tp.html
PS
Comment tu as fait marcher SSh sentinel et Freeswan?
grilled
Marsh Posté le 10-04-2003 à 16:35:44
Salut,
J'ai pour mission de réaliser un VPN IPSec en HOST-TO-LAN dans l'entreprise où je suis en stage.
Les clients "host" sont physiquement sur le réseau local et la passerelle VPN sera situé sur la DMZ d'un firewall.
Les paquets seront donc acheminer vers le réseau cible de manière sécurisée et avec des paramètres réseaux spécifiques compatible avec le réseau destinataire, lorsque le tunnel est activé (à la demande).
Le reste du temps, c'est à dire lorsque le tunnel n'est pas activé les stations clientes fonctionneront normalement.
Une autre requete à été réalisée par la direction informatique. Il s'agit de l'authentification des users qui souhaite emprunter le VPN. Une fois authentifié l'utilisateur obtiendra les droits qui seront assignés dans la base LDAP (existante).
Il y aura généralement une 20ene de client VPN qui emprunteront le tunnel afin d'atteindre des applications web (sensibles).
Les données qui emprunteront le tunnel seront chiffrées en 3DES ou AES.
Alors voila ma stratégie :
-Installer une passerelle VPN sur la DMZ du FireWall en question.
-Installer un serveur d'authentification.
-La passerelle lorsqu'elle recoit une demande de connexion, Elle fait réaliser l'authentification par un serveur d'authentification. Ce dernier se réfère à la base LDAP de l'entreprise et donne les droits en question.
-Installer un client VPN sur les stations.
Déjà quel type d'authentification puis je utiliser : RADIUS, TACACS, Kerberos (Active Directory)... ??
RADIUS est il exclusivement pour faire du DIAL-IN ? Peut on s'en servir normalement sur un réseau ethernet (comme ce qui le cas pour moi) pour authentifier les clients ?
J'ai commencé à réaliser une étude de marché pour faire face à nos besoins et je suis particulièrement intéressé par les offres de Cisco.
Dite moi si je ne dis pas de betise :
-Les routeurs 3600 et co avec un IOS "VPN" parraissent cher et peut etre pas très spécifique aux VPN (surtout pour réaliser du HOST-To-LAN).
Vous en pensez quoi ?
L'IOS VPN intègre t'il le serveur d'authentification RADIUS où permet il simplement d'interroger le serveur RADIUS ?
-La gamme Cisco VPN 3000 me parrait vraiment sympa. Je pense que le 3005 pourrait etre adapté à mes besoins. En terme de charge cela va t'il suffir (20 tunnels sa doit consommer des ressources )?
Le client VPN est gratuit en plus.
Alors meme question est ce que le 3005 integre un serveur RADIUS ?
Dans le cas où RADIUS ne serait pas intégrer vous me conseillez quel serveur RADIUS compatible avec l'architecture dont je souhaite mettre en place ?
Dernière question... le Cisco Secure Access Control Server (ACS) est il un serveur RADIUS ?
Message édité par madsurfer le 10-04-2003 à 19:27:41