Serveur VPN Cisco et Client Pfsense

mykee

Bonjour à tous, je suis nouveau sur ce forum, et je n'ai pas trouvé de réponse à ma question.

Alors voilà, j'ai une infrastructure avec un boitier ALIX équipé de Pfsense directement connecté à un routeur lui même connecté à un autre routeur qui fait le VPN.

Uploaded with ImageShack.us]

RouterVPN : Serveur VPN Ipsec

ALIX : Client VPN

L'idée est d'utiliser Pfsense comme client VPN "transparent" et de forcer le routing en fonction de la source (user / ip) sur le VPN ou sur le réseau classique.

Il s'agit d'un prototype de laboratoire pour intercepter les données qui transitent sur le réseau pour un utilisateur spécifié au travers du VPN.

Sur mon router vpn, j'ai activé l'authentification AAA (Xauth) mais je sais pas ou insérer le login/pwd pour le Xauth sur Pfsense.

Je précise que je ne veux pas faire de RoadWarrior, j'ai remarqué qu'en activant "IPsec mobile" il était possible de spécifier PSK+Xauth..

J'ai également essayé de créer un client OpenVPN sur Pfsense sans succès. Impossible de spécifier la Pre-Shared key.

Avec IPSec, la phase 1 fonctionne parfaitement et lors du debug crypto sur le CISCO il m'indique qu'il attend un XAUTH.

J'indique également que mon tunnel VPN fonctionne parfaitement et a été testé avec un client VPN sur un PC.

Je met également la config du routeur VPN Cisco :

Current configuration : 2878 bytes

!

version 12.4

service timestamps debug datetime msec

service timestamps log datetime msec

service password-encryption

!

hostname RT-VPN

!

boot-start-marker

boot-end-marker

!

enable secret 5 $1$x3ns$vD8wA/zGOIjn8g4/IWTAV/

!

aaa new-model

!

!

aaa authentication login default local

aaa authentication login usergroupfull local

aaa authorization network usergroupfull local group usergroupfull

!

aaa session-id common

memory-size iomem 15

no network-clock-participate slot 1

no network-clock-participate wic 0

ip cef

!

!

ip auth-proxy max-nodata-conns 3

ip admission max-nodata-conns 3

!

!

ip domain name ceti.etat-ge.ch

!

!

!

!

username cisco password 7 cisco

!

!

!

crypto keyring easyvpn-full

  pre-shared-key address 0.0.0.0 0.0.0.0 key 6 MaCleAMoi

crypto logging session

!

crypto isakmp policy 10

 encr 3des

 hash md5

 authentication pre-share

 group 2

 lifetime 86399

crypto isakmp invalid-spi-recovery

!

crypto isakmp client configuration group full

 key 6 MaCleAMoi

 dns 8.8.8.8

 domain ceti.etat-ge.ch

 pool addressfull

 save-password

 netmask 255.255.255.224

crypto isakmp profile full

   keyring easyvpn-full

   match identity group full

   client authentication list usergroupfull

   isakmp authorization list usergroupfull

   client configuration address respond

!

!

crypto ipsec transform-set ts1 esp-3des esp-sha-hmac

!

crypto ipsec profile full

 set transform-set ts1

 set isakmp-profile full

!

!

crypto dynamic-map dmapfull 10

 set security-association lifetime seconds 7200

 set security-association idle-time 86400

 set transform-set ts1

 set isakmp-profile full

 reverse-route

!

!

crypto map dmvpn-full 1 ipsec-isakmp dynamic dmapfull

!

!

!

interface FastEthernet0/0

 description * Vers SW-3550 sur Fa0/3 *

 ip address 172.31.254.18 255.255.255.248

 duplex auto

 speed auto

 crypto map dmvpn-full

!

interface BRI0/0

 no ip address

 encapsulation hdlc

 shutdown

!

interface FastEthernet0/1

 description * Vers SW-2950-Storage sur Fa0/3 *

 ip address 172.31.254.10 255.255.255.248

 ip policy route-map repvpn

 duplex auto

 speed auto

!

interface Ethernet1/0

 no ip address

 shutdown

 half-duplex

!

interface Ethernet1/1

 no ip address

 shutdown

 half-duplex

!

interface Ethernet1/2

 no ip address

 shutdown

 half-duplex

!

interface Ethernet1/3

 no ip address

 shutdown

 half-duplex

!

ip local pool addressfull 192.168.254.34 192.168.254.62

ip forward-protocol nd

ip route 0.0.0.0 0.0.0.0 FastEthernet0/1 172.31.254.9

ip route 192.168.254.32 255.255.255.224 FastEthernet0/0 172.31.254.17

!

ip http server

no ip http secure-server

!

access-list 100 permit ip host 172.31.254.18 any

access-list 100 permit ip any 192.168.254.32 0.0.0.31

route-map repvpn permit 10

 match ip address 100

 set ip next-hop 172.31.254.17

!

!

!

control-plane

!

!

!

!

line con 0

 password 7 110A1016141D

line aux 0

 password 7 02050D480809

line vty 0 4

 password 7 13061E010803

!

!

end

J'ai essayé de créer un utilisateur Pfsense avec le même login que le AAA de mon routeur sans succès.

J'ai également créer une règle qui autorise tout le trafic TCP/UDP de ANY vers ANY.

Si quelqu'un peut m’expliquer comment monter un client VPN sur Pfsense pour faire transiter mes utilisateur dessus, car je sèche complétement.

Merci !

[EDIT] Désolé pour la dimension de l'image. Click droit -> afficher l'image pour la voir en grand.

baalserv

Bonjour,

un schema avec adressage nous donnerai une meilleure lisibilité de votre infra.

cordialement

mykee

Merci pour ta réponse !

Les adresses sont indiquées sur chaque interface en rouge ainsi que le VLAN correspondant sur la liaison.

La liste des VLANs se trouve en haut à droite du plan.

La plage d'adresse du VPN est 192.168.254.32/27.

Le seul qui n'est pas présent est le réseau à gauche de l'ALIX. Il s'agit d'un réseau en 192.168.11.0/24.

Cordialement

psylo

@mykee:

Les adresses sont indiquées sur chaque interface en rouge ainsi que le VLAN correspondant sur la liaison.

Schéma non visible de mon côté…

mykee

Hébergeur de l'image modifié.

Ça devrait jouer maintenant.

[Edit] : Je me suis rabatue sur une solution de secours, un VPN site-à-site qui fonctionne parfaitement. Ca me permettra de faire mes interception sur UNE station.

L'idée pour la mise en production est d'avoir un VPN pour l'ensemble des stations qui se connecteront.

Merci encore pour votre aide future.

PS : Il s'agit d'un travail de diplôme .

psylo

L'utilisation du XAuth est obligatoire?

Sinon, voici une doc expliquant le tout mais sans xauth:
https://doc.pfsense.org/index.php/IPsec_between_pfSense_and_Cisco_IOS

My 2 cents

mykee

Merci pour le lien, c'est celui que j'ai utilisé pour monter le site-à-site.

Mais cela ne règle pas mon problème puisque je veux pouvoir authentifier tout les utilisateur du VPN sur le même

Avec la méthode décrite dans ton lien, je dois monter un VPN pour chaque client.

[EDIT] Oui le Xauth est obligatoire pour authentifier tout les utilisateurs du VPN.

psylo

@mykee:

Merci pour le lien, c'est celui que j'ai utilisé pour monter le site-à-site.

Mais cela ne règle pas mon problème puisque je veux pouvoir authentifier tout les utilisateur du VPN sur le même

Avec la méthode décrite dans ton lien, je dois monter un VPN pour chaque client.

[EDIT] Oui le Xauth est obligatoire pour authentifier tout les utilisateurs du VPN.

Que voulez-vous faire? Un tunnel VPN site à site? SI c'est un VPN site à site, vous ne pourrez pas au travers "utiliser le VPN pour authentifier les utilisateurs"!

Vous pouvez par contre utiliser des règles de filtrage au niveau du pfSense. Je ne sais pas s'il est possible d'utiliser une authentification user dans les règles de filtrage…

My 2 cents.

mykee

L'idée est la suivante : Je reçois un ordre d'interception des données par les autorités et je dois mettre sur écoute l'adresse mac (ou l'utilisateur PFS).

Pour se faire, je veux rediriger la station correspondante sur le VPN. Le problème avec un VPN site-à-site est que je ne peu (à ma connaissance) pas identifier un utilisateur particulier, je ne pourrais pas intercepter plusieurs utilisateur en même temps sur le VPN et il faudra que je créer un VPN pour chaque station à mettre sur écoute.

Du coups, l'idée aurait été de monter un VPN pour une plage d'adresses avec un login commun.

Ce n'est peut-être pas la solution, je m'y prend peut-être mal.

Peut-être qu'un VPN classique site-à-site et une règle de gestion me permettrait d'arriver au même résultat. Je suis tout ouïe.

Salutations.

psylo

@mykee:

L'idée est la suivante : Je reçois un ordre d'interception des données par les autorités et je dois mettre sur écoute l'adresse mac (ou l'utilisateur PFS).

Pour se faire, je veux rediriger la station correspondante sur le VPN. Le problème avec un VPN site-à-site est que je ne peu (à ma connaissance) pas identifier un utilisateur particulier, je ne pourrais pas intercepter plusieurs utilisateur en même temps sur le VPN et il faudra que je créer un VPN pour chaque station à mettre sur écoute.

Du coups, l'idée aurait été de monter un VPN pour une plage d'adresses avec un login commun.

Ce n'est peut-être pas la solution, je m'y prend peut-être mal.

Peut-être qu'un VPN classique site-à-site et une règle de gestion me permettrait d'arriver au même résultat. Je suis tout ouïe.

Salutations.

Heuuuuu… Suis-je le seul à trouver que le VPN ne correspondra absolument pas à votre demande...

mykee

Je ne peu pas changer le routage dynamiquement en fonction de l'ordre que je recoi pour faire passer la machine par la station d'interception.

Alors je monte un VPN pour faire passer la machine à intercepter par la station d'interception.

Mais je ne sais pas comment authoriser qu'un utilisateur du portail captif à passer par le VPN et lorsque je traceroute ma sortie depuis pfSense avec le VPN actif, il ne passe pas par le chemin d'interception.

Je dois manquer quelque chose.

ccnet

L'idée est la suivante : Je reçois un ordre d'interception des données par les autorités et je dois mettre sur écoute l'adresse mac (ou l'utilisateur PFS).

Qu'est ce que cela signifie ? On est en plein délire : "je reçois un ordre d'interception par les autorités". Il me semblerait opportun de mettre de l'ordre dans ce fil un peu délirant. En aucun cas en France ce type de pratique n'a sa place ailleurs que dans les services de police. Je doute fort que ceux ci viennent poser des questions ici pour avoir comment faire. On est en plein guignol.
Au surplus cette idée baroque démontre une méconnaissance des techniques disponibles. On a vraiment pas besoin de cette usine à gaz pour écouter des flux réseau.

mykee

Je suis en suisse, je ne doit mettre sur écoute que l'utilisateur sélectionné, m'assurer qu'il n'y a que lui qui transite pour l'écoute du flux réseau.

On est pas en plein "Guignol" pour preuve le lien de la "Lawful Interception" en Suisse …
https://www.li.admin.ch/fr/documentation/downloads/trts_oar.html

La méconnaissance technologique, c'est possible.

On a vraiment pas besoin de cette usine à gaz pour écouter des flux réseau.

Au lieu de me dire qu'on a pas besoin de tout cela, on a besoin de quoi alors ?

La topologie réseau est intrinsèque à l'entreprise. La partie à gauche de l'ALIX (compris) correspond au réseau des clients. A droite, l'entreprise. Je doit limiter l'usage de la bande passante pour l'interception des données, cela doit être le plus transparent possible. Voilà pourquoi je voulais intercepter uniquement ce qui passait par le VPN.

PS: Merci pour cette réponse condescendante au possible.

Salutations

gregober

@ccnet:

L'idée est la suivante : Je reçois un ordre d'interception des données par les autorités et je dois mettre sur écoute l'adresse mac (ou l'utilisateur PFS).

Qu'est ce que cela signifie ? On est en plein délire : "je reçois un ordre d'interception par les autorités". Il me semblerait opportun de mettre de l'ordre dans ce fil un peu délirant. En aucun cas en France ce type de pratique n'a sa place ailleurs que dans les services de police. Je doute fort que ceux ci viennent poser des questions ici pour avoir comment faire. On est en plein guignol.
Au surplus cette idée baroque démontre une méconnaissance des techniques disponibles. On a vraiment pas besoin de cette usine à gaz pour écouter des flux réseau.

Contacte E. Snowden - il aura certainement la réponse à ton problème !

Sinon tu peux regarder SecurityOnion ou faire l'acquisition du dernier livre de Richard Bejtlich : "The practice of Network Security Monitoring".
Tu peux aussi essayer de déployer pfflowd (mais tu n'auras que les trames et pas le contenu).

En tout cas, je ne sais pas qui te donne des "ordres d'interception" mais c'est illégal dans la plupart des pays Européens de capter le trafic Internet d'un utilisateur à son insu (cf. post de CCNet).
C'est intéressant de voir qu'en Suisse cela peut être légal !

mykee

Pour les trames il me faut effectivement le contenu.

Au fait c'est un projet pour une entreprise qui a des Hotspot : Pour faire simple, elle est propriétaire de ces adresses IP, si un utilisateur va sur du contenu illicite (ex: pédophilie), le propriétaire des adresses est l'entreprise. Elle doit donc mettre à disposition des autorités une solution d'interception.

Cette entreprise a un "pseudo" statut de provider, ce qui l'oblige à mettre en place une solution de ce type.

Mon but est d'en démontrer la faisabilité dans le cadre de mon travail de Bachelor.

[Edit] Les ordres d'interception sont envoyés en format XML par l'Etat.

psylo

Ok.

Alors, la solution VPN n'est pas la bonne solution. Par contre, ces utilisateurs, ils ont en wifi ou en câblés?

Si en câblé, il est possible de faire du SPAN de port (copie du traffic réseau d'un port vers un autre port local ou non).

Pour du WiFi, ça va être plus compliqué…

Restera "accessoirement" le cassage du HTTPS...

mykee

Pas de WiFi, uniquement filaire.

Le problème de SPAN est que l'interception ne se fait pas au niveau du port mais de la mac-address. Et je ne doit que intercepter l'utilisateur / la machine associée.

Pour l'instant mon idée était de faire transiter la machine à intercepter par le VPN et de le faire passer entre RT-VPN et RT-PAT pour faire l'écoute.

L'idée ne me semble pas trop mauvaise, mais je n'arrive pas à faire transiter qu'une mac-address (ou un user PFS) sur le VPN. Je ne sais pas comment créer la règle. Une subtilité que je n'ai pas saisi peut-être …. Ou impossible ?

Salutations et merci pour les réponses.

psylo

@mykee:

Pas de WiFi, uniquement filaire.

Le problème de SPAN est que l'interception ne se fait pas au niveau du port mais de la mac-address. Et je ne doit que intercepter l'utilisateur / la machine associée.

Et? Si vous n'avez qu'une machine connectée au port du switch, vous n'aurez le trafic à destination et en provenance de cette machine plus le broadcast et le multicast… Après, c'est à l'pplicatif qui tourne derrière de faire le tri entre ces trafic... Idem si plusieurs machines sont connectées, un applicatif peut faire le tri...

Par contre, vous allez multiplier le trafic par le nombre de port "spannés"!

@mykee:

Pour l'instant mon idée était de faire transiter la machine à intercepter par le VPN et de le faire passer entre RT-VPN et RT-PAT pour faire l'écoute.

L'idée ne me semble pas trop mauvaise, mais je n'arrive pas à faire transiter qu'une mac-address (ou un user PFS) sur le VPN. Je ne sais pas comment créer la règle. Une subtilité que je n'ai pas saisi peut-être …. Ou impossible ?

Tout se trouve dans les 2 derniers mots…

ccnet

Pour commencer, si vous aviez précisé votre contexte (Suisse et un travail d'étudiant) il se peut que les choses eut été reçues différemment. A titre d'exemple, je ne reçois pas de la même façon une demande d'un client qui s'inquiète de tentative d'intrusion et celle de celui qui veut la liste des sites visités par ses collaborateurs. De même un officier de police judiciaire, muni d'un commission délivrée par un juge, ne reçoit pas le même accueil. Voilà pour le premier point.

Deuxième point dans le lien que vous donnez il y a une liste de 1 liens directs. Si vous êtes en mesure de préciser le document qui stipule ces dispositions, j'en prendrai connaissance avec intérêt. Je demande donc à voir la disposition qui vous autoriserait ce type d'action. C'est quand même un point assez critique.

Venons en aux aspects techniques.

Le problème de SPAN est que l'interception ne se fait pas au niveau du port mais de la mac-address. Et je ne doit que intercepter l'utilisateur / la machine associée.

Je ne comprend pas. Dit de cette façon cela n'a pas de sens. J'image qu'il y en a un pour vous mais je ne le comprend pas.

Pour se faire, je veux rediriger la station correspondante sur le VPN. Le problème avec un VPN site-à-site est que je ne peu (à ma connaissance) pas identifier un utilisateur particulier, je ne pourrais pas intercepter plusieurs utilisateur en même temps sur le VPN et il faudra que je créer un VPN pour chaque station à mettre sur écoute.

Comment peut on penser qu'un vpn peut permettre l'écoute du trafic ? C'est quand même le contraire, par nature même du vpn. Charles, va comprendre … En quoi rediriger un trafic (ce qui est basiquement un problème de routage) vers un vpn permet l'écoute du trafic en question dans le vpn. Diffie, Hellman et d'autres se sont quand bien cassé la tête pour que ce ne soit pas possible cette attaque de l'homme du milieu. Je me dis que vous avez une conception toute particulière du vpn. A partir du moment où le client monte un tunnel, le trafic vous échappe et selon le type de vpn vous ne connaitrez que les passerelles aux extrémités et même pas les ip sources et destinations. Ne parlons même pas des adresses mac dès lors qu'elles traversent les dites passerelles.

Bien évidement la mise en place d'un span port sur les équipements de commutation est la solution et l'on active la copie en fonction des demandes. cette copie est dirigée vers un réseau spécifique qui évite en premier lieu la pollution du réseau en terme de charge (est vraiment sensible ?) et surtout rend la détection de l'écoute impossible depuis le réseau normal : pas de trafic supplémentaire généré. Comme proposé par Psylo un applicatif peut faire le tri.

Après il y des solutions plus immédiates, moins élégantes ... scapy en quelques lignes de commande est capable d'écouter un réseau commuté.

Rien de tout cela ne concerne directement Pfsense. L'approche manque de pragmatisme et de discernement. Snowden est peut être un peu "tendu" en ce moment mais il aurait surement un bon outils à proposer, pas forcément disponible en téléchargement.

mykee

Le VPN ne me permet pas en soit l'écoute du trafic. Je l'utilise pour faire passer le trafic par un autre endroit d'où j'intercepte les communication. Je route différemment en fonction de l'adresse source. Si elle fait partie du réseau VPN, je route vers l'interception, sinon directement vers la sortie.

Pour le lien de la "Guideline" si cela vous intéresse, le voici : https://www.li.admin.ch/download/TR_TS_v3_1_20121109.pdf‎.

Le problème avec une solution d'écoute de port est que j'écoute tout le trafic, ce qui m'est interdit. Je dois intercepter et écouter uniquement l'utilisateur incriminé.

@mykee:

Pour l'instant mon idée était de faire transiter la machine à intercepter par le VPN et de le faire passer entre RT-VPN et RT-PAT pour faire l'écoute.

L'idée ne me semble pas trop mauvaise, mais je n'arrive pas à faire transiter qu'une mac-address (ou un user PFS) sur le VPN. Je ne sais pas comment créer la règle. Une subtilité que je n'ai pas saisi peut-être …. Ou impossible ?

Tout se trouve dans les 2 derniers mots…

Donc impossible de faire transiter uniquement une mac-adresse ou un utilisateur PFS dans le VPN. Merci pour l'info. Peut-être que l'on peut scripter l'ajout d'un utilisateur PFS ou d'une mac-adresse à un groupe VPN ?

C'est vrai que le contexte n'était pas forcément clair, j'ai indiqué qu'il s'agissait d'un travail d'étude mais un peu tard dans le fil de discussion.

Merci pour vos réponses.

Salutations