Rapport
Centre Génie Industriel et Informatique (G2I)
MISE EN PLACE D’UN RESEAU PUBLIC D’ACCUEIL SECURISE AU SEIN D’UN RESEAU D’ETABLISSEMENT HETEROGENE
P. JAILLON, M. ROELENS, X. SERPAGGI Avril 2006
RAPPORT DE RECHERCHE 2006-400-13
Les rapports de recherche du Centre G2I de l’ENSM-SE sont disponibles en format PDF sur le site Web de l’Ecole
G2I research reports are available in PDF formaton the site Web of ENSM-SE
www.emse.fr
Centre G2I Génie Industriel et Informatique Division for Industrial Engineering and Computer Sciences (G2I)
Par courier :
By mail:
Ecole Nationale Supérieure des Mines de Saint-Etienne Centre G2I 158, Cours Fauriel 42023 SAINT-ETIENNE CEDEX 2 France
Mise en place d’un réseau public d’accueil sécurisé au sein d’un réseau d’établissementhétérogène
P. Jaillon, M. Roelens, X. Serpaggi Centre de Génie Industriel et d’Informatique École Nationale Supérieure des Mines de Saint-Etienne 10 avril 2006
Résumé Le but de ce document est de présenter une méthode que nous avons mise en place pour permettre à tout utilisateur disposant d’un ordinateur portable, de se connecter à un réseau en libre accès et de rejoindre son réseau privé de manièresécurisée. En pratique, une personne accédant avec son portable à un des espaces publics équipés, quel que soit son système d’exploitation (Windows, Mac OSX, Linux) va être capable de se connecter au réseau sans encombre et ainsi obtenir les services basiques qui y sont offerts (accès web) ; mais en plus, s’il dispose des éléments d’authenti?cation requis, il pourra se connecter directement dans sonpropre sous-réseau (réseau du laboratoire ou du service auquel il appartient). Ce service sera valable quel que soit le moyen de connexion, ?laire ou sans ?l type WiFi, ce dernier étant celui qui nous a poussé à nous pencher sur cette problématique. L’utilisateur n’aura donc plus à se soucier de savoir où il se trouve, quelle adresse internet il devra utiliser, et quels doivent être ses paramètresréseau.
1
Table des matières
1 Introduction 2 Outils et protocoles 2.1 IPsec (IP Secure) . . . . . . . . . . 2.2 IKE (Internet Key Exchange) . . . . 2.3 Gestion des certi?cats X509 . . . . 2.3.1 openssl . . . . . . . . . . 2.3.2 Formats d’échange . . . . . 2.4 L2TP (Layer 2 Tunneling Protocol) 2.5 PPP (Point to Point Protocol) . . . . 4 5 5 5 6 6 7 8 8 9 9 10 10 11 11 12 12 13 13 15 16 1719 21 21 22 22 23 25 25 27 28 28 28 29 29 31 32 33
. . . . . . .
. . . . . . .
. . . . . . .
. . . . . . .
. . . . . . .
. . . . . . .
. . . . . . .
. . . . . . .
. . . . . . .
. . . . . . .
. . . . . . .
. . . . . . .
. . . . . . .
. . . . . . .
. . . . . . .
. . . . . . .
. . . . . . .
. . . . . . .
. . . . . . .
. . . . . . .
. . .. . . .
3 Architecture du réseau 3.1 Le réseau Invités . . . . . . . . . . . . . . . . . . . . . 3.2 Interconnexion avec les réseaux privés de l’établissement 3.3 Interconnexion avec les réseaux d’accueil . . . . . . . . 3.4 Mode de fonctionnement . . . . . . . . . . . . . . . . . 3.4.1 Résumé . . . . . . . . . . . . . . . . . . . . . . 3.4.2 Fonctionnement détaillé . . . . . . . . . . . . .3.4.3 Routage . . . . . . . . . . . . . . . . . . . . . .
. . . . . . .
. . . . . . .
. . . . . . .
. . . . . . .
. . . . . . .
. . . . . . .
. . . . . . .
. . . . . . .
. . . . . . .
. . . . . . .
4 Mise en place sous Windows XP SP2 (client) 4.1 Mode secret partagé . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4.2 Utilisation des certi?cats X509 . . .. . . . . . . . . . . . . . . . . . . . . 5 Mise en place sous Mac OSX (client) 5.1 Mode secret partagé sous OSX 10.3 Panther . . . . . . . . . . . . . . . . . 5.2 Utilisation de certi?cats X509 sous OSX 10.4 Tiger . . . . . . . . . . . . . 6 Mise en place sous Linux (client) 6.1 IPsec et IKE avec un noyau 2.4 . . . . 6.1.1 Mode secret partagé . . . . . 6.1.2 Utilisation de certi?cats X509…