Scribd Logo
Upload

Welcome to Scribd!

  • Projet VPN2 - Configuration Du Firewall Clavister

    Uploaded by

    Sylvain MARET
    755 views4 pages
    Projet VPN2 – Configuration du Firewall Clavister VPN 2 – LAN to LAN avec l’EIVD Du côté EIG, le gateway VPN utilisé est un Firewall Clavister (www.clavister.com). Clavister Firewall est un pare-feu logiciel basé sur une architecture de type Stateful Inspection, assurant ainsi un haut niveau de sécurité. Contrairement à la plupart des firewall logiciels, Clavister Firewall n’utilise pas de système d’exploitation, ce qui supprime les risques d’instabilités qui y sont liés. Ce qui

    Original Title

    Projet VPN2 – Configuration du Firewall Clavister

    Copyright

    © Attribution Non-Commercial (BY-NC)

    Available Formats

    PDF, TXT or read online from Scribd

    Did you find this document useful?

    Is this content inappropriate?

    Report this Document
    Projet VPN2 – Configuration du Firewall Clavister VPN 2 – LAN to LAN avec l’EIVD Du côté EIG, le gateway VPN utilisé est un Firewall Clavister (www.clavister.com). Clavister Firewall est un pare-feu logiciel basé sur une architecture de type Stateful Inspection, assurant ainsi un haut niveau de sécurité. Contrairement à la plupart des firewall logiciels, Clavister Firewall n’utilise pas de système d’exploitation, ce qui supprime les risques d’instabilités qui y sont liés. Ce qui

    Copyright:

    Attribution Non-Commercial (BY-NC)
    Download as PDF, TXT or read online from Scribd
    Flag for inappropriate content
    755 views4 pages

    Projet VPN2 - Configuration Du Firewall Clavister

    Uploaded by

    Sylvain MARET
    Projet VPN2 – Configuration du Firewall Clavister VPN 2 – LAN to LAN avec l’EIVD Du côté EIG, le gateway VPN utilisé est un Firewall Clavister (www.clavister.com). Clavister Firewall est un pare-feu logiciel basé sur une architecture de type Stateful Inspection, assurant ainsi un haut niveau de sécurité. Contrairement à la plupart des firewall logiciels, Clavister Firewall n’utilise pas de système d’exploitation, ce qui supprime les risques d’instabilités qui y sont liés. Ce qui

    Copyright:

    Attribution Non-Commercial (BY-NC)
    Download as PDF, TXT or read online from Scribd
    Flag for inappropriate content
    of 4

    Nicolas Sadeg Projet VPN2 – Configuration du Firewall Clavister

    VPN 2 – LAN to LAN avec l’EIVD


    Du côté EIG, le gateway VPN utilisé est un Firewall Clavister (www.clavister.com).

    Clavister Firewall est un pare-feu logiciel basé sur une architecture de type Stateful
    Inspection, assurant ainsi un haut niveau de sécurité. Contrairement à la plupart des
    firewall logiciels, Clavister Firewall n’utilise pas de système d’exploitation, ce qui
    supprime les risques d’instabilités qui y sont liés. Ce qui se traduit également par une
    installation simple et rapide.

    Le noyau développé par Clavister est extrêmement compacte, environ 400 Koctets et
    comprend tous les éléments nécessaires à la gestion de la mémoire, des fichiers, de
    la pile IP et des algorithmes de chiffrement, pour chiffrer les connexions avec le
    manager. 700 Koctets supplémentaires sont ajoutés lors de l’utilisation de l’option
    VPN.

    En raison de son noyau compacte et hautement optimisé, ce firewall n’a besoin que
    d’un matériel très modeste pour fonctionner. Le matériel minimum requis est le
    suivant :

    • Processeur compatible Intel : 486 à 25 MHz


    • Mémoire vive : 4 Mo
    • Carte mère
    • Support d’amorçage : Disquette, disque flash amovible, Disk-On-Chip, Disk-on-
    Module ou disque dur.
    • 2 adaptateurs réseau
    • Un port parallèle pour la clé matérielle.

    Ce pare-feu n’exige ni carte graphique, ni écran, ni clavier pour fonctionner.


    Cependant, ces équipement sont tout de même utilisés pour la configuration des
    cartes réseau lors de la première utilisation. Le disque dur n’est également pas
    requis selon le type de support d’amorçage choisi.

    Le support d’amorçage est utilisé uniquement au lancement du firewall. Il contient :

    • Les fichiers de démarrage de Clavister Firewall


    • Le noyau du firewall
    • Les fichiers de configurations pour les adaptateurs réseau et le firewall
    • Les clés de chiffrements pour la gestion à distance.

    Les fichiers de configurations sont ainsi stockés à deux endroits, sur le firewall et sur
    le poste manager utilisé pour la gestion à distance. Les logs, sont directement
    envoyé au Logger et ne sont pas stockés sur le firewall.

    Puisque le noyau de Clavister Firewall occupe moins de 512 Ko, la mémoire du


    système sera essentiellement utilisée pour la mémoire tampon des paquets et les
    entrées de la table d’état (connexions).

    La quantité de mémoire requise dans le système dépend du nombre d’interfaces de


    réseau, du nombre d’utilisateurs et du choix des modules activés dans le noyau du
    pare-feu. La mémoire minimale requise est de 4 Mo à peine, mais pour une
    configuration système élargie, 8 ou 16 Mo sont recommandés.

    EIG - Labo de transmission de données -1- Janvier 2003


    Nicolas Sadeg Projet VPN2 – Configuration du Firewall Clavister

    Objectifs Mettre en place un tunnel VPN entre le firewall Clavister situé à l’EIG et
    un firewall linux situé à l’EIVD.

    10.1.2.10
    255.255.0.0
    10.1.0.1

    Manager /
    Logger

    Int_I
    10.1.0.1
    255.255.0.0
    Firewall
    Firewall Linux
    Clavister INTERNET
    EIVD
    EIG
    Vpn_I Ext_I Ext Int
    10.5.0.1 129.194.187.49 193.134.216.154 10.4.0.0
    255.255.0.0 255.255.252.0 255.255.0.0
    129.194.184.3

    La mise en place de ce scénario s’effectue en deux parties :

    • Configuration du firewall situé à l’EIG


    • Et configuration du firewall Linux situé à l’EIVD

    Seul la configuration du firewall de l’EIG est décrite dans ce document. La


    configuration du firewall Linux est effectuée par l’EIVD

    Pour l’instant aucun post ne se trouve sur la zone vpn du firewall. Ceci sera définit
    plus tard par les besoins du projet VPN2 effectué en collaboration avec l’EIVD.

    EIG - Labo de transmission de données -2- Janvier 2003


    Nicolas Sadeg Projet VPN2 – Configuration du Firewall Clavister

    Configuration du firewall Clavister

    La configuration du vpn depuis le manager s’effectue en quatre étapes :

    1) Création des listes de proposition IKE et IPSec


    2) Définition du vpn dans la section VPN Conns
    3) Définition du contrôle d’accès dans la section Access
    4) Et autorisation du trafique dans le vpn dans la section Rules

    1) Listes de proposition IKE et IPSec

    • Menu Tools → Edit proposal lists

    • Ouvrir le dossier Datasource “Firewall_Labo”

    Remarque : L’éditeur des propositions se présente sous une forme d’arborescence.


    A chaque fois qu’il est écrit “créer une nouvelle…“, cliquer avec le
    bouton droit de la souris sur l’élément le plus bas de l’arborescence.

    Création de la liste de proposition IKE :

    • Dans le dossier IKE Proposal lists, créer une nouvelle liste et lui donner un nom,
    dans notre cas ike-eivd.

    • Ensuite créer une nouvelle chaîne de proposition IKE.

    • Entrer les valeurs des temps de vie des paramètres IPSec. Les valeurs choisies
    sont : Lifetime in Kilobytes : 2024 (Soft limit) 4096 (Hard limit)
    Lifetime in Seconds : 14400 (Soft limit) 28800 (Hard limit)
    • Créer une nouvelle proposition de paramètres IKE.

    • Puis donner les algorithmes de chiffrage et d’authentification. 3DES - MD5

    Création de la liste de proposition IPSec :

    • Dans le dossier IPSec Proposal lists, créer une nouvelle liste et lui donner un
    nom, dans notre cas esp-eivd.

    • Ensuite créer une nouvelle chaîne de proposition IPSec .

    • Entrer les valeurs des temps de vie des paramètres IPSec. Les valeurs choisies
    sont : Lifetime in Kilobytes : 300000 (Soft limit) 409600 (Hard limit)
    Lifetime in Seconds : 3200 (Soft limit) 3900 (Hard limit)

    • Créer une nouvelle proposition de paramètres IPSec : ESP - Tunnel

    • Puis donner les algorithmes de chiffrage et d’authentification ainsi que le mode


    IPSec. Tunnel - 3DES - MD5-96

    EIG - Labo de transmission de données -3- Janvier 2003


    Nicolas Sadeg Projet VPN2 – Configuration du Firewall Clavister

    2) Définition du vpn dans la section VPN Conns

    Paramètres nécessaire pour la définition d’une connexion sécurisée :

    Name : Eig-Eivd
    Local Net : vpn_N (10.5.0.0/16)
    Remote Net : eivd_N (10.4.0.0/16)
    Remote Gw : Eivd-Gw (193.134.216.154)
    IKE Prop list : ike-eivd
    IPSec Prop list : esp-eivd
    Authentication : ***** (Pre Shared Secret)
    Flags : IKE main mode DH group 2, SA per net, PFS group 2

    3) Définition du contrôle d’accès dans la section Access

    Contrôle l’accès au tunnel vpn.

    4) Autorisation du trafique dans le vpn dans la section Rules

    Deux règles sont nécessaires pour la mise en place de ce vpn, affin que les
    connexions puissent être initiées depuis les deux extrémités du vpn.

    EIG - Labo de transmission de données -4- Janvier 2003

    You might also like