Projet d'une API IPSEC pour la mobilité et le multihoming

6.4.2 Création de certificats au format X509

Pour utiliser les certificats avec strongSwan, on crée une CA et un certificat signé pour chaque machine.

Creation d'une Autorite de Certification (CA)

>> openssl req -x509 -days 1460 -newkey rsa:2048 -keyout strongswanKey.pem -out strongswanCert.pem

Cela genere une base de cles de type RSA dans e strongswanKey.pem ». Puis des questions sont posses a l'utilisateur pour personnaliser la CA. Introduir ". " pour ignorer une donnee. Enfin la CA est cr~e et associe au fichier e strongswanCert.pem ».

Generation d'un Certificat Request :

» sudo openssl req -newkey rsa:1024 -keyout moonyKey.pem -out moonyReq.pem

Un certificat Request doit etre signe par la CA pour etre valide.

Verification du contenu d'un certificat signe

» openssl x509 -in cert.pem -noout -text

Cette verification montre le contenu d'un certificat signe mais ne considere pas valide un certificat Request. Signer un certificat par la CA :

»sudo openssl x509 -req -days 365 -in moonyReq.pem --CA strongswanCert.pem -CAkey strongswanKey.pem -CA createserial -out moonyCert.pem

Le certificat "moonyCert.pem" est signe par la CA et on peut l'utiliser pour authentifier avec IKEv2.

6.4.3 ipsec.conf

Ce fichier contient la configuration initiale suivant. Puis, chaque connexion utilisée dans les tests est expliquée dans la section opportune.

# ipsec.conf - strongSwan IPsec configuration file

# basic configuration

config setup

# plutodebug=all

# crlcheckinterval=600 # strictcrlpolicy=yes

# cachecrls=yes

# nat_traversal=yes crlcheckinterval=180 strictcrlpolicy=no

charonstart=yes

plutostart=no

# Add connections here.

conn %default

ikelifetime=60m keylife=20m rekeymargin=3m

keyingtries=1 keyexchange=ikev2

conn host-host-cert

conn host-host-p sk - definit dans la section 4.4.4 Test IKEv2

conn mobike-cert

conn mobike-p sk - definit dans la section 4.4.5 Test MOBIKE

7. Bibliographie

[1] Stallings, W. Network security essentials. 2nd ed. Prentice Hall, 2000.

[2] Kent, S. and Seo, K. Security Architecture for the /nternet Protocol (/Psecv2). RFC 4301. IE TF, 2005. [2.1] Chapitre 13. Page 71. Differences avec RFC 240 1 (/Psecv 1, 1998. Obsolete).

[3] McDonald, D. and Metz C. and Phan B. PF_KEY Key Management API, Version 2.RFC 2367. IE TF, 1998.

[4] Kaufman, C. /nternet Key Exchange (/KEv2) Protocol. RFC 4306. IE TF, 2005 [4.1] Appendix A : Summary of changes from /KEv 1.

[5] Montavont, N., Wakikawa, R., Ernst, T., Ng, C. and Kuladinithi, K. Motivations and Scenarios for Using Multiple /nterfaces and Global Addresses. Draft-monami6-multihoming-motivation-scenario-03. IE TF, 2008.

[6] Johnson, D. and Perkins C. and Arkko, J. Mobility Support in /Pv6. RFC 3775. IE TF, 2004 Devarapalli, V. and Dupont, F. Using /Psec to Protect MIPv6 Signaling between Mobile Nodes and Home

Agents. RFC 3776. IETF, 2004

Devarapalli, V. and Dupont, F. M/Pv6 with /KEv2 and /Psec. RFC 4877. IE TF, 2007

[7] Eronen, P. IKEv2 Mobility and Multihoming Protocol (MOBIKE). RFC 4555. IE TF, 2006.

[8] Kivinen, T. and Tschofenig, H. Design of the MOB/KE Protocol. RFC 4621. IE TF, 2006.

[9] S. Sugimoto, F. Dupont, M. Nakamura. PF_?KEY Extension as an /nterface between Mobile /Pv6 and /Psec//KE. Draft-sugimoto-mip6-pfkey-migrate-04. IE TF, 2007.

[10] M. Qi, H. Li et al. /nterfacing between /KEv2//Psec & M/Pv6 by simple PF_?KEY extensions. Draft-qi-mip6-ikev2-interfacing-01. IE TF, 2007.

[11] Moskowitz, Robert, et al. Host /dentity Protocol (H/P). Draft-ietf-hip-base-10.txt. IE TF, 2007.

8. Références d'Internet

Références indispensables pour la partie technique :

- Tutorial de Pthreads. https://computing.llnl.gov/tutorials/pthreads/

- Documentation Strongswan. www.strongswan.org/

- Automake et Autoconf. http://www.openismus.com/documents/linux/automake/automake.shtml