Comme nous l'avons vu précédemment, IKE assure la négociation des paramètres de la connexion IPSec.
Il négocie les algorithmes utilisés, les clés, les durées de vie, etc.
Différentes méthodes pour gérer les clés sont possibles :
- Secrets partagés : nécessite un secret connu et partagé entre les entités. Il est appelé le "pre-shared secret" et va servir de base à l'élaboration de la clé mère qui va elle-même servir lors de l'authentification finale. il faut installer la clé sur chacune des machines, il y a une clé par couple de machines.
- Kerberos : fonctionne en environnement Microsoft
- DNS : méthode de choix pour FreeS/WAN, encore nouveau, ne fonctionne qu'avec certains serveurs DNS, n'est pas disponible pour Windows 2000, repose sur la confiance que l'on peut faire au DNS.
- Certificats x509 ou mode Signature : Se base sur l'utilisation de certificats.
Le but est d'établir un VPN entre une machine Windows cliente et un serveur Linux dans l'optique de démontrer l'interopérabilité des
différentes implémentations d'Ipsec sur des plateformes hétérogènes.
Windows XP et 2000 incluent le mode ``Certificat'' en standard (il n'y aura rien à installer de particulier sur les poste Windows),
nous nous baseront donc dessus pour la mise en pratique.
Nous expliqueront dans un premier temps ce mode Certificats. L'implémentation d'Ipsec devra comporter du côté serveur,
le patch X.509 permettant la gestion des certificats d'authentification.
root
2004-05-04
