Chapitre 6. Configuration d'un VPN avec IPsec
Dans RHEL 9, un réseau privé virtuel (VPN) peut être configuré à l'aide du protocole IPsec, qui est pris en charge par l'application Libreswan.
6.1. Libreswan comme implémentation d'un VPN IPsec
Dans RHEL, un réseau privé virtuel (VPN) peut être configuré en utilisant le protocole IPsec, qui est pris en charge par l'application Libreswan. Libreswan est une continuation de l'application Openswan, et de nombreux exemples de la documentation Openswan sont interchangeables avec Libreswan.
Le protocole IPsec pour un VPN est configuré à l'aide du protocole IKE (Internet Key Exchange). Les termes IPsec et IKE sont utilisés de manière interchangeable. Un VPN IPsec est également appelé VPN IKE, VPN IKEv2, VPN XAUTH, VPN Cisco ou VPN IKE/IPsec. Une variante d'un VPN IPsec qui utilise également le Layer 2 Tunneling Protocol (L2TP) est généralement appelée VPN L2TP/IPsec, qui nécessite le paquetage xl2tpd fourni par le référentiel optional.
Libreswan est une implémentation IKE en espace utilisateur à code source ouvert. IKE v1 et v2 sont implémentés en tant que démon au niveau de l'utilisateur. Le protocole IKE est également crypté. Le protocole IPsec est implémenté par le noyau Linux, et Libreswan configure le noyau pour ajouter et supprimer des configurations de tunnel VPN.
Le protocole IKE utilise les ports UDP 500 et 4500. Le protocole IPsec se compose de deux protocoles :
- Encapsulated Security Payload (ESP), qui porte le numéro de protocole 50.
- L'en-tête authentifié (AH), qui porte le numéro de protocole 51.
L'utilisation du protocole AH n'est pas recommandée. Il est recommandé aux utilisateurs du protocole AH de migrer vers le protocole ESP à chiffrement nul.
Le protocole IPsec propose deux modes de fonctionnement :
- Mode tunnel (par défaut)
- Mode de transport.
Vous pouvez configurer le noyau avec IPsec sans IKE. C'est ce qu'on appelle manual keying. Vous pouvez également configurer une clé manuelle à l'aide des commandes ip xfrm, mais cela est fortement déconseillé pour des raisons de sécurité. Libreswan communique avec le noyau Linux à l'aide de l'interface Netlink. Le noyau effectue le cryptage et le décryptage des paquets.
Libreswan utilise la bibliothèque cryptographique NSS (Network Security Services). NSS est certifié pour une utilisation avec la publication 140-2 de Federal Information Processing Standard (FIPS).
Les VPN IKE/IPsec, mis en œuvre par Libreswan et le noyau Linux, sont la seule technologie VPN dont l'utilisation est recommandée dans RHEL. N'utilisez aucune autre technologie VPN sans en comprendre les risques.
Dans RHEL, Libreswan suit system-wide cryptographic policies par défaut. Cela garantit que Libreswan utilise des paramètres sécurisés pour les modèles de menace actuels, y compris IKEv2 comme protocole par défaut. Pour plus d'informations, reportez-vous à la section Utilisation de stratégies cryptographiques à l'échelle du système.
Libreswan n'utilise pas les termes " source " et " destination " ou " serveur " et " client " car les protocoles IKE/IPsec sont des protocoles d'égal à égal. Il utilise plutôt les termes "gauche" et "droite" pour désigner les points finaux (les hôtes). Cela vous permet également d'utiliser la même configuration sur les deux points d'extrémité dans la plupart des cas. Cependant, les administrateurs choisissent généralement de toujours utiliser "left" pour l'hôte local et "right" pour l'hôte distant.
Les options leftid et rightid servent à identifier les hôtes respectifs dans le processus d'authentification. Voir la page de manuel ipsec.conf(5) pour plus d'informations.
