[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]
Re: [linux] Re: VPN par FreeSwan
Le Vendredi 4 Janvier 2002 12:19, vous avez écrit :
> Bien le bonjour,
>
> En fait, freeswan est une implémentation du protocole IPSec. Il existe
> plusieurs protocoles et modes: mode tunnel ou transport et protocole AH
> ou ESP. Tout dépend de ce que tu veux avoir. Ici, si j'ai bien compris,
> tu travaille entre deux passerelle de sécurité. Selon la RFC2401, les
> passerelles de sécurité ne doivent supporter que le mode tunnel (sauf
> dans certains cas bien précis...). Il te reste à choisir ce que tu veux
> pour tes données: soit une authentification forte avec AH soit une
> encryption forte avec ESP. Note que ESP authentifie aussi mais pas de la
> même façon. L'authentification avec AH porte sur plus de champs du
> paquet (notamment l'adresse source). Il faudrait vérifier dans la RFC
> pour être certain...
Il existe 2 authetifications si j'ai bien compris. Celles des hôtes et celles
des paquets. Pour celle des hôtes, j'ai choisi d'utiliser un jeu de clés RSA.
Pour l'authentification des paquets, je préférais effectivement le mode ESP.
Pour le moment, je suis plongé dans des fichiers d'exemple et je dois avouer
que c'est assez nébuleux.
Je vois que je peux spécifier une durée de vie pour la clé. oui, mais
laquelle ? ils utilisent ESP pour l'authentification ET l'encryption... Je
suis perdu totalement là...
> Tu peux aussi cumuler: authentifier à partir de l'hôte en mode transport
> AH puis faire passer ce paquet authentifié à travers un tunnel ESP entre
> les deux passerelles. Ceci a le désavantage de ne pas être transparent
> au niveau des hôtes puisqu'il faut IPSec installé et configuré sur
> chacun d'eux. A noter aussi que la phase de négociation de l'échange se
> fera en plusieurs endroits. Une négotiation IKE pour le transfert
> transport AH d'hôte à hôte et une autre pour le tunnel entre les
> passerelles.
Heu... si tu le dis, je te crois...
> D'autres configurations possibles sont présentées dans la RFC. Voir si
> freeswan les supporte.
>
> Donc ESP est ton amis. ;-)
oui, oui, tout à fait d'accord... dès que j'aurai compris comment ça marche...
(Allo ? le magasin central ? pourriez-vous commander d'urgence 200 tubes
d'aspirine ?)
--
Eric Kennedy van Dam
Administrateur Système - Ingénieur Certifié RedHat
email: eric.kennedy@telecom.fpms.ac.be
url: http://www.telecom.fpms.ac.be
[ Soyez précis dans vos sujets svp afin de déterminer directement ]
[ le type de demande... ]
[ Pour vous (dés)inscrire, aller sur http://unixtech.be/ml.php ]
[ Archives de la mailing list: http://archives.unixtech.be/linux/ ]
[ http://unixtech.be Contact: listmaster@unixtech.be ]