Chiffrement LAN

[mouradski]

ya ouldi commence par le serveur et tu trouvera tout dans le serveur, le client composera l'adresse du serveur pour se connecté en vpn

 

oui, j'avais proposé une passerelle (Serveur) avec une seule connexion client

[strongh]

Bsr

 

Pourquoi Mouradsi et PaPi Onze que je salut pour leur compréhension ont céssé de m'aider, ils m'ont donné des idées j'aurais souhaité qu'ils me donnent plus d'éclairage pour que je puisse commencer la solution chiffrement LAN (sites pour être guidé, docs, solutions programmes)

 

merci

 

Merc

[PaPi||OnDZ]

 

Nous n'avons pas cessez de vous aider au contraire, nous sommes tjrs la pour vous.

Ce que vous demander c'est très pointu comme solution, on ne peut pas refaire votre infrastructure de a a z ni vous donner la configuration pour la simple et unique raison nous ne sommes pas administrateur de votre réseau ni administrateur system. On peut vous orienter a appliquer une solution.

Commencer d'abord a faire ce que nous avons proposer, si il y a des difficulté revenez vers nous.

Ça nous fera plaisir....

 

amicalement

[strongh]

Bsr

 

Merci je le ferai et je vous tiendrai au courant réglé ou pas réglé

 

merci

[PaPi||OnDZ]

réglé brabi inchallah ... !!

[bassim]

Bonjour,

je parle pas du chiffrement des données mais du chiffrement du LAN véhiculant les données?

cette phrase ne veut rien dire. On chiffre une communication donc les données.

Comme l'a signalé un des membres, je ne vois pas l’intérêt de sécuriser un réseau privé ! un VPN sert à sécuriser une communication qui passe dans un réseau hostile qui échappe au contrôle de la société. Or, dans votre cas, vous possédez des liaisons dédiées. A part dans le cas ou votre réseau est piraté par les ingénieurs de AT, je ne vois pas d'autres qui peut le pirater.

 

Mais bon passons. Il y a plusieurs solutions pour créer des VPNs. A mon niveau, je connais un peu l'IPSec.

IPSec est une implémentation standard de la sécurité au niveau d'IP. l'avantage d'IPSec est qu'il te laisse le choix des algorithmes de cryptage à appliquer: authentification, chiffrement, intégrité. L'inconvénient: il est trés compliqué à comprendre.

Avec IPSec (et surement d'autres protocoles), tu as plusieurs façons de créer des connexions sécurisées:

Host-To-Host : mode transport d'IPSec. d'une utilité trés réduite. sert à sécuriser une communication entre deux PCs.

Road-Warrior: correspond à un client ambulant qui a besoin de se connecter à sa succursale.

Site-To-Site: correspond à une connexion entre deux LANs en passant par un WAN. il me semble que tu es dans ce cas toi.

 

Normalement, au niveau de chacune de vos succursales vous avez une passerelle qui fait office de routeur frontal qui filtre les échanges. A ma connaissance, c'est au niveau des passerelles des deux extrémités qu'on doit implémenter IPSec.

 

OpenVPN ne prend pas en charge IPSec je pense. Mais tu peux l'utiliser.

 

Moi, j'ai essayé une seule solution basique d'aucune utilité et uniquement pour des tests: une connexion Host-to-Host entre deux PCs sous Linux avec IPSec. J'ai utilisé pour ça le logiciel StrongSwan. Aprés l'installation, tu dois configurer deux fichiers: ipsec.conf et ipsec.secrets. J'ai utilisé le mode transport, une authentification PSK et la suite ESP.

Dans ton cas, si tes passerelles sont basées sur Linux, voici un exemple de connexion Site-To-Site avec StrongSwan

 

Si t'es sous Windows, il me semble qu'il y a sur internet des logiciels de VPNs. Par contre, là il faudra faire des recherches.

 

Edit: Tunnels et VPNs pour commencer.

Modifié le 19 décembre 2010 par bassim

[aibe41]

Moi je ne te conseil aucun logiciel mais essaie de faire ce que j'ai fait, j'ai opté pour la solution de machines virtuelles sous WIN XP avec des données encrypter dans un utilisateur que je crée et que je masque avec XP HIDE USER ensuite les serveurs sont répartis sous MAITRE ou SLAVE et via des tunnels SSH et des scripts que je crée les machines s'interconnectent et les bases de données s'actualisent.

 

 

Ou si tu as des bases de données sous Oracle ou ..... ou Windev c'est encore plus facile puisque chaqu'1 offre des solutions mais tu vas ramer avant que ça ne marche.

 

 

Cordialement

Modifié le 19 décembre 2010 par aibe41

[strongh]

Bonsoir

 

Je commence mieux à voir mieux avec les explications de bassim que je remercie bcp en même temps que les autres, IPSEC

site to site je vais approfondir moi effectivemt je suis dans le cas de site (un) to sites (plusieurs), ou bien sûr sites (plusieurs) to site (un). Quelle distribution linux jugez mieux dans mon cas je dois la mettre au niveau des passerelles.

 

Merci

[bassim]

je pense que n'importe quelle distribution fera l'affaire. Y a pas de Site to sites. Tu vas créer une connexion VPN entre chaque site secondaire et le site principal.

Un tutoriel pour comprendre la différence entre le mode Transport et Tunnel, ainsi que l'encapsulation ESP/AH

[strongh]

Merci Bassim

 

J'ai saisi création VPN entre chaque site secondaire et le site principal, pour un site secondaire composé de 3 Pcs en local je mets un serveur passerelle à la sortie vers le site principal et au niveau central un serveur passerelle avant le lan du site central, si c'est comme ça pour le 2ème vpn un serveur passerelle au niveau du lan secondaire et au niveau central je garde le même serveur passerelle qu'avec le 1er vpn ou un autre serveur?

 

merci de m'éclaicire ce point

[bassim]

Tu vas garder le même serveur au sein duquel tu vas créer des SA (Security Association). Par ailleurs, comme ton réseau est un grand LAN, je pense que tu vas utiliser le mode transport au lieu du mode tunnel. Le mode tunnel est plus sécurisé mais dans ton cas, je pense que ce n'est pas nécessaire.

[strongh]

Merci monsieur pour ces conseils et éclaircissements en or

 

Ma question suivante est simple

Est ce que je peux utiliser sur les serveurs passerelles (Debian ou Ubuntu) avec StronSwan dessus ou vous me proposez autre chose?

Merci d'avance

[bassim]

Bah j'ai déjà précisé tout ça plus haut. Je ne garantis absolument pas que StrongSwan est la meilleure solution. C'est à toi d'approfondir la chose.

[bassim]

Sinon il y a une autre solution: acheter des routeurs pare-feu dédiés à la sécurisation (routeur LinkSys rv042). Vous pouvez créer des VPN de bout en bout entre vos deux sites.