Voici un exemple de mise en place d'un tunnel IPSec entre un client Windows XP et un serveur de messagerie sous OpenBSD.
Il se base sur un secret partagé et permet l'interconnexion d'un client (@192.168.1.1) avec un serveur (@192.168.1.5) sur un même réseau local.
net.inet.esp.enable=1
net.inet.ip.forwarding=1
net.inet.ah.enable=1
[General]
Retransmits= 5
Exchange-max-time= 120
Check-interval= 60
[Phase 1]
Default= Client-phase1
[Phase 2]
Passive-connections= Client-phase2
[Client-phase1]
Authentication= TEST
Configuration= Default-main-mode
ID= Host-gateway
Local-address= 192.168.1.5
Phase= 1
Transport= udp
[Client-phase2]
Phase= 2
Local-ID= Host-gateway
Remote-ID= Host-client
[Host-gateway]
ID-type= IPV4_ADDR
Address= 192.168.1.5
[Host-client]
ID-type= IPV4_ADDR
Address= 192.168.1.1
[Default-main-mode]
DOI= IPSEC
EXCHANGE_TYPE= ID_PROT
Transforms= 3DES-SHA
KeyNote-Version: 2
Authorizer: "POLICY"
#Licensees: "passphrase:TEST"
Conditions: app_domain == "IPsec policy" && esp_present == "yes" && esp_enc_alg != "null" && esp_auth_alg != "null" -> "true";
chmod 600 /etc/isakmpd/isakmpd.conf
chmod 600 /etc/isakmpd/isakmpd.policy
Lancer la MMC et ajouter le composant enfichable Gestion de la stratégie de sécurité IP pour l'ordinateur local.
Nous pouvons maintenant créer une nouvelle stratégie de sécurité IPSec
Identition cette nouvelle stratégie
Ne pas activer la règle par défaut
Cliquer sur Terminer
La voila la règle par défaut qu'il ne faut pas activer.
Cliquer sur Ajouter
Cliquer sur Suivant
Ne pas spécifier de tunnel et Suivant
Réseau local et Suivant
Modifier ou Ajouter le filtre IP SMTP
Nous allons spécifier ici les conditions d'activation de la connexion IPSec.
cliquer sur Modifier
Définissons les adresses IP source et destination des paquets IPSec
Dans l'onglet Protocole, le filtre ne s'appliquera qu'aux paquets à destination du port 25
Définissons maintenant la sécurité que nous souhaitons utiliser
cliquer sur Sécurité requise et Modifier
Choisir négocier la sécurité et Modifier
Le modèle Intégrité et cryptage correspond aux besoins
La clé pré-partagée sera TEST
Reste à attribuer la sécurité pour activer la sécurisation des communications
La trace réseau faite avec wireshark le prouve, les seules informations visibles sont les adresses source et destination des paquets IP
isakmpd -d -L -v
Génére une trace réseau de la communication, cette trace est ensuite analysable avec
tcpdump -avs 1440 -r /var/run/isakmpd.pcap|more