Configuration 3 : utilisation d’IPsec entre deux hôtes à liaison locale
Cette configuration crée une association de sécurité IPsec (SA) entre deux hôtes sur le même sous-réseau pour effectuer l’authentification à l’aide de l’algorithme de hachage AH (Authentication Header) et message Digest 5 (MD5). Dans cet exemple, la configuration illustrée sécurise tout le trafic entre deux hôtes voisins : Hôte 1, avec l’adresse de liaison locale FE80::2AA:FF:FE53:A92C et Hôte 2, avec l’adresse de liaison locale FE80::2AA:FF:FE92:D0F1.
Pour utiliser IPsec entre deux hôtes à liaison locale
Sur l’hôte 1, créez des fichiers d’association de sécurité vides (SAD) et de stratégie de sécurité (SPD) à l’aide de la commande c ipsec6. Dans cet exemple, la commande Ipsec6.exe est ipsec6 c test. Cela crée deux fichiers pour configurer manuellement les associations de sécurité (Test.sad) et les stratégies de sécurité (Test.spd).
Sur l’hôte 1, modifiez le fichier SPD pour ajouter une stratégie de sécurité qui sécurise tout le trafic entre l’hôte 1 et l’hôte 2.
Le tableau suivant montre la stratégie de sécurité ajoutée au fichier Test.spd avant la première entrée de cet exemple (la première entrée du fichier Test.spd n’a pas été modifiée).
Nom du champ du fichier SPD Valeur d'exemple Stratégie 2 RemoteIPAddr FE80::2AA:FF:FE92:D0F1 LocalIPAddr * RemotePort * Protocole * LocalPort * IPSecProtocol AH IPSecMode TRANSPORT RemoteGWIPAddr * SABundleIndex NONE Sens BIDIRECT Action APPLIQUER InterfaceIndex 0 Placez un point-virgule à la fin de la ligne pour configurer cette stratégie de sécurité. Les entrées de stratégie doivent être placées dans un ordre numérique décroissant.
Sur l’hôte 1, modifiez le fichier SAD en ajoutant des entrées SA pour sécuriser tout le trafic entre l’hôte 1 et l’hôte 2. Deux associations de sécurité doivent être créées, l’une pour le trafic vers l’hôte 2 et l’autre pour le trafic provenant de l’hôte 2.
Le tableau suivant montre la première entrée SAP ajoutée au fichier Test.sad pour cet exemple (pour le trafic vers l’hôte 2).
Nom du champ de fichier SAD Valeur d'exemple SAEntry 2 SPI 3001 SADestIPAddr FE80::2AA:FF:FE92:D0F1 DestIPAddr STRATÉGIE SrcIPAddr STRATÉGIE Protocole STRATÉGIE DestPort STRATÉGIE SrcPort STRATÉGIE AuthAlg HMAC-MD5 KeyFile Test.key Sens SORTANTS SecPolicyIndex 2 Placez un point-virgule à la fin de la ligne pour configurer cette SAP.
Le tableau suivant montre la deuxième entrée SAP ajoutée au fichier Test.sad pour cet exemple (pour le trafic à partir de l’hôte 2).
Nom du champ de fichier SAD Valeur d'exemple SAEntry 1 SPI 3000 SADestIPAddr FE80::2AA:FF:FE53:A92C DestIPAddr STRATÉGIE SrcIPAddr STRATÉGIE Protocole STRATÉGIE DestPort STRATÉGIE SrcPort STRATÉGIE AuthAlg HMAC-MD5 KeyFile Test.key Sens ENTRANTS SecPolicyIndex 2 Placez un point-virgule à la fin de la ligne pour configurer cette SAP. Les entrées SA doivent être placées dans un ordre numérique décroissant.
Sur l’hôte 1, créez un fichier texte qui contient une chaîne de texte utilisée pour authentifier les autorités de sécurité créées avec Host 2. Dans cet exemple, le fichier Test.key est créé avec le contenu « This is a test ». Vous devez inclure des guillemets doubles autour de la chaîne de clé pour que la clé soit lue par l’outil ipsec6.
La préversion de la technologie Microsoft IPv6 prend uniquement en charge les clés configurées manuellement pour l’authentification des autorités de certification IPsec. Les clés manuelles sont configurées en créant des fichiers texte qui contiennent la chaîne de texte de la clé manuelle. Dans cet exemple, la même clé pour les autorités de sécurité est utilisée dans les deux sens. Vous pouvez utiliser différentes clés pour les autorités de sécurité entrantes et sortantes en créant différents fichiers de clé et en les référençant avec le champ KeyFile dans le fichier SAD.
Sur l’hôte 2, créez des fichiers d’association de sécurité vides (SAD) et de stratégie de sécurité (SPD) à l’aide de la commande ipsec6 c. Dans cet exemple, la commande Ipsec6.exe est ipsec6 c test. Cela crée deux fichiers avec des entrées vides pour la configuration manuelle des associations de sécurité (Test.sad) et des stratégies de sécurité (Test.spd).
Pour simplifier l’exemple, les mêmes noms de fichiers pour les fichiers SAD et SPD sont utilisés sur l’hôte 2. Vous pouvez choisir d’utiliser des noms de fichiers différents sur chaque hôte.
Sur l’hôte 2, modifiez le fichier SPD pour ajouter une stratégie de sécurité qui sécurise tout le trafic entre l’hôte 2 et l’hôte 1.
Le tableau suivant montre l’entrée de stratégie de sécurité ajoutée avant la première entrée au fichier Test.spd pour cet exemple (la première entrée du fichier Test.spd n’a pas été modifiée).
Nom du champ de fichier SPD Valeur d'exemple Stratégie 2 RemoteIPAddr FE80::2AA:FF:FE53:A92C LocalIPAddr * RemotePort * Protocole * LocalPort * IPSecProtocol AH IPSecMode TRANSPORT RemoteGWIPAddr * SABundleIndex NONE Sens BIDIRECT Action APPLIQUER InterfaceIndex 0 Placez un point-virgule à la fin de la ligne qui configure cette stratégie de sécurité. Les entrées de stratégie doivent être placées dans l’ordre numérique décroissant.
Sur l’hôte 2, modifiez le fichier SAD en ajoutant des entrées SA pour sécuriser tout le trafic entre l’hôte 2 et l’hôte 1. Deux associations de sécurité doivent être créées : l’une pour le trafic vers l’hôte 1 et l’autre pour le trafic provenant de l’hôte 1.
Le tableau suivant montre la première SAP ajoutée au fichier Test.sad pour cet exemple (pour le trafic à partir de l’hôte 1).
Nom du champ de fichier SAD Valeur d'exemple SAEntry 2 SPI 3001 SADestIPAddr FE80::2AA:FF:FE92:D0F1 DestIPAddr STRATÉGIE SrcIPAddr STRATÉGIE Protocole STRATÉGIE DestPort STRATÉGIE SrcPort STRATÉGIE AuthAlg HMAC-MD5 KeyFile Test.key Sens ENTRANTS SecPolicyIndex 2 Placez un point-virgule à la fin de la ligne de configuration de cette SA.
Le tableau suivant montre la deuxième entrée SA ajoutée au fichier Test.sad pour cet exemple (pour le trafic vers l’hôte 1).
Nom du champ de fichier SAD Valeur d'exemple SAEntry 1 SPI 3000 SADestIPAddr FE80::2AA:FF:FE53:A92C DestIPAddr STRATÉGIE SrcIPAddr STRATÉGIE Protocole STRATÉGIE DestPort STRATÉGIE SrcPort STRATÉGIE AuthAlg HMAC-MD5 KeyFile Test.key Sens SORTANTS SecPolicyIndex 2 Placez un point-virgule à la fin de la ligne de configuration de cette SA. Les entrées SA doivent être placées dans l’ordre numérique décroissant.
Sur l’hôte 2, créez un fichier texte qui contient une chaîne de texte utilisée pour authentifier les autorités de sécurité créées avec l’hôte 1. Dans cet exemple, le fichier Test.key est créé avec le contenu « This is a test ». Vous devez inclure des guillemets doubles autour de la chaîne de clé pour que la clé soit lue par l’outil ipsec6.
Sur l’hôte 1, ajoutez les stratégies de sécurité et les autorités de sécurité configurées à partir des fichiers SPD et SAD à l’aide de la commande ipsec6 a. Dans cet exemple, la commande de test ipsec6 est exécutée sur l’hôte 1.
Sur l’hôte 2, ajoutez les stratégies de sécurité et les autorités de sécurité configurées à partir des fichiers SPD et SAD à l’aide de la commande ipsec6 a. Dans cet exemple, la commande de test ipsec6 est exécutée sur l’hôte 2.
Effectuer un test ping sur l’hôte 1 à partir de l’hôte 2 avec la commande ping6.
Si vous capturez le trafic à l’aide de Microsoft Network Monitor ou d’un autre sniffer de paquets, vous devez voir l’échange de messages de demande d’écho ICMPv6 et de réponse d’écho avec un en-tête d’authentification entre l’en-tête IPv6 et l’en-tête ICMPv6.
Rubriques connexes