Grandville.net | IPSec / Ipsec-isakmpd-windows

IPSec/Ipsec-isakmpd-windows

Voici un exemple de mise en place d'un tunnel IPSec entre un client Windows XP et un serveur de messagerie sous OpenBSD.
Il se base sur un secret partagé et permet l'interconnexion d'un client (@192.168.1.1) avec un serveur (@192.168.1.5) sur un même réseau local.

Fichier de configuration /etc/sysctl.conf

net.inet.esp.enable=1
net.inet.ip.forwarding=1
net.inet.ah.enable=1

Fichier de configuration /etc/isakmpd/isakmpd.conf

[General]
Retransmits= 5
Exchange-max-time= 120
Check-interval= 60

[Phase 1]
Default= Client-phase1

[Phase 2]
Passive-connections= Client-phase2

[Client-phase1]
Authentication= TEST
Configuration= Default-main-mode
ID= Host-gateway
Local-address= 192.168.1.5
Phase= 1
Transport= udp

[Client-phase2]
Phase= 2
Local-ID= Host-gateway
Remote-ID= Host-client

[Host-gateway]
ID-type= IPV4_ADDR
Address= 192.168.1.5

[Host-client]
ID-type= IPV4_ADDR
Address= 192.168.1.1

[Default-main-mode]
DOI= IPSEC
EXCHANGE_TYPE= ID_PROT
Transforms= 3DES-SHA

Fichier de configuration de /etc/isakmpd/isakmpd.policy

KeyNote-Version: 2
Authorizer: "POLICY"
#Licensees: "passphrase:TEST"
Conditions: app_domain == "IPsec policy" && esp_present == "yes" && esp_enc_alg != "null" && esp_auth_alg != "null" -> "true";

Reduction des droits d'accès aux fichiers sensibles

chmod 600 /etc/isakmpd/isakmpd.conf 
chmod 600 /etc/isakmpd/isakmpd.policy

Configuration Windows

Lancer la MMC et ajouter le composant enfichable Gestion de la stratégie de sécurité IP pour l'ordinateur local.
Nous pouvons maintenant créer une nouvelle stratégie de sécurité IPSec
MMC - Gestion de la stratégie de sécurité IP pour l'ordinateur local

Identition cette nouvelle stratégie
MMC - La gestion de la stratégie de sécurité IP pour l'ordinateur local

Ne pas activer la règle par défaut
MMC - La gestion de la stratégie de sécurité IP pour l'ordinateur local

Cliquer sur Terminer
MMC - La gestion de la stratégie de sécurité IP pour l'ordinateur local

La voila la règle par défaut qu'il ne faut pas activer.
Cliquer sur Ajouter
MMC - La gestion de la stratégie de sécurité IP pour l'ordinateur local

Cliquer sur Suivant

Ne pas spécifier de tunnel et Suivant

Réseau local et Suivant

Modifier ou Ajouter le filtre IP SMTP

Nous allons spécifier ici les conditions d'activation de la connexion IPSec.
cliquer sur Modifier

Définissons les adresses IP source et destination des paquets IPSec

Dans l'onglet Protocole, le filtre ne s'appliquera qu'aux paquets à destination du port 25

Définissons maintenant la sécurité que nous souhaitons utiliser
cliquer sur Sécurité requise et Modifier

Choisir négocier la sécurité et Modifier

Le modèle Intégrité et cryptage correspond aux besoins

La clé pré-partagée sera TEST

Reste à attribuer la sécurité pour activer la sécurisation des communications

La trace réseau faite avec wireshark le prouve, les seules informations visibles sont les adresses source et destination des paquets IP

Débogage

isakmpd -d -L -v

Génére une trace réseau de la communication, cette trace est ensuite analysable avec

tcpdump -avs 1440 -r /var/run/isakmpd.pcap|more