Scribd Logo
Upload

Welcome to Scribd!

  • DHCP Over IPSec

    Uploaded by

    Sylvain MARET
    179 views4 pages
    Dans tous les scénarios d'accès distants, on aimerait avoir un mécanisme pour faire apparaître les clients distants comme faisant partie du propre réseau local. Cela peut être effectué en assignant une adresse virtuelle depuis le LAN de l'entreprise, via un tunnel IPSec. Dans l'entreprise ce mécanisme se trouve implémenté dans le protocole DHCP (Dynamic Host Configuration Protocol). Ce document s’inspire du draft de l’IETF : draft-ietf-ipsec-dhcp-13.txt. Il explore les différent

    Original Title

    DHCP over IPSec

    Copyright

    © Attribution Non-Commercial (BY-NC)

    Available Formats

    PDF, TXT or read online from Scribd

    Did you find this document useful?

    Is this content inappropriate?

    Report this Document
    Dans tous les scénarios d'accès distants, on aimerait avoir un mécanisme pour faire apparaître les clients distants comme faisant partie du propre réseau local. Cela peut être effectué en assignant une adresse virtuelle depuis le LAN de l'entreprise, via un tunnel IPSec. Dans l'entreprise ce mécanisme se trouve implémenté dans le protocole DHCP (Dynamic Host Configuration Protocol). Ce document s’inspire du draft de l’IETF : draft-ietf-ipsec-dhcp-13.txt. Il explore les différent

    Copyright:

    Attribution Non-Commercial (BY-NC)
    Download as PDF, TXT or read online from Scribd
    Flag for inappropriate content
    179 views4 pages

    DHCP Over IPSec

    Uploaded by

    Sylvain MARET
    Dans tous les scénarios d'accès distants, on aimerait avoir un mécanisme pour faire apparaître les clients distants comme faisant partie du propre réseau local. Cela peut être effectué en assignant une adresse virtuelle depuis le LAN de l'entreprise, via un tunnel IPSec. Dans l'entreprise ce mécanisme se trouve implémenté dans le protocole DHCP (Dynamic Host Configuration Protocol). Ce document s’inspire du draft de l’IETF : draft-ietf-ipsec-dhcp-13.txt. Il explore les différent

    Copyright:

    Attribution Non-Commercial (BY-NC)
    Download as PDF, TXT or read online from Scribd
    Flag for inappropriate content
    of 4

    DHCP over IPSec

    Dans tous les scénarios d'accès distants, on aimerait avoir un mécanisme pour faire
    apparaître les clients distants comme faisant partie du propre réseau local. Cela peut
    être effectué en assignant une adresse virtuelle depuis le LAN de l'entreprise, via un
    tunnel IPSec. Dans l'entreprise ce mécanisme se trouve implémenté dans le protocole
    DHCP (Dynamic Host Configuration Protocol). Ce document s’inspire du draft de
    l’IETF : draft-ietf-ipsec-dhcp-13.txt. Il explore les différents besoins pour utiliser le
    protocole DHCP dans un tunnel IPSec.

    Table des matières


    DHCP over IPSec...................................................................................................... 2
    Table des matières ................................................................................................. 2
    Introduction........................................................................................................... 2
    Scénario typique.................................................................................................... 3
    Description des configurations............................................................................... 3
    Mots clés ............................................................................................................... 4

    Introduction
    IPSec est un protocole défini pour sécuriser les connexions réseau entre pairs. Une
    fonctionnalité offerte est celle de l'accès réseaux distant: un client se connecte à un
    gateway VPN utilisant le mode tunnel d'IPSec et il reçoit une adresse IP virtuelle,
    routable, de son entreprise . Ce document explique ce processus.

    DHCP-over-IPSec Page 2
    Scénario typique
    Un client distant se connecte à un gateway VPN et il établit un tunnel IPSec. Le client
    va ensuite interroger un serveur DHCPv4 qui lui fournit une adresse routable faisant
    partie d'une classe de son entreprise. Le client va ensuite utiliser cette nouvelle
    adresse pour toute interaction avec son entreprise. A noter que le gateway VPN
    continue à reconnaître comme point final du tunnel l'adresse routable originale du
    client. L'identité virtuelle du client est vue, depuis le réseau local de l'entreprise,
    comme étant derrière un gateway VPN utilisant son adresse IP d'origine. Tout trafic
    entre le client distant et l'intranet est envoyé dans un tunnel IPSec via la passerelle
    VPN comme montré dans la figure suivante:

    Ce scénario implique que le client distant est déjà connecté à internet et que son
    interface réseau est bien configurée.
    Une configuration typique sur le client est celle d'une application utilisant deux
    adresses:

    1. Une intérface pour se connéctér à internet ( )


    2. Une intérface virtuelle pour se connéctér à l'intranet ( )

    Les adresses IP des interfaces internet et intranet, sont utilisées respectivement pour
    les entêtes des paquets du mode tunnel de IPSec.

    Description des configurations


    La configuration de l'interface internet du tunnel IPSec est faite comme décrit de
    suite:

    1. Le client distant établit une association de sécurité SA avec la passerelle VPN


    dans un échange en main mode ou aggressive mode. Cette SA IKE est
    utilisée pour d'éventuelles SA en quick mode de IPSec.

    2. Le client distant établit une SA DHCP avec le mode tunnel de IPSec avec la
    passerelle (en quick mode). La SA DHCP est un tunnel IPSec pour la
    protection du trafic DHCP initial entre la passerelle et le client distant. La SA
    DHCP doit être utilisé uniquement pour le trafic DHCP.

    DHCP-over-IPSec Page 3
    3. Les messages DHCP sont fait circuler entre le client distant et le serveur
    DHCP avec un relais DHCP. Le trafic est protégé entre la passerelle VPN et le
    client distant avec la SA DHCP établie auparavant. Une fois les négociations
    DHCP terminées, le client obtient l'adresse IP et d'autres paramètres de
    l'interface virtuelle intranet.

    4. Le client peut demander l'effacement d'une SA DHCP à partir du moment que


    les messages DHCP sont acheminés à travers un nouveau tunnel IPSec.
    Alternativement, les pairs peuvent continuer à utiliser la même SA pour tous
    les autres trafics.

    5. Si on a besoin d'un nouveau tunnel, le client établit une tunnel mode SA avec
    la passerelle en quick mode. Dans ce cas la nouvelle adresse obtenue via
    DHCP doit être utilisée dans l'ID du quick mode.

    A la fin de la dernière phase, le client distant est prêt à communiquer avec l'intranet
    utilisant un tunnel IPSec. Tout trafic IP (les futurs messages DHCP inclus) entre le
    client et la passerelle est maintenant acheminé dans une tunnel mode SA de IPSec.

    Mots clés
    IKE Internet Key Exchange Protocol
    NAT-T Traversal Network Address Translation
    DHCP Dynamic Host Configuration Protocol
    ESP Encapsulating Security Payload
    SA Security Association

    DHCP-over-IPSec Page 4

    You might also like