VPN, manuel utilisateur

Pascal Gachet –EIVD

pascal.gachet@eivd.ch
septembre 2002
 Résumé

Ce document décrit la procédure à suivre pour installer et configurer le client VPN1 permettant
d’accéder au réseau privé de l’EIVD par Internet. Le client VPN choisi se nomme SSH Sentinel.
Il utilise le protocole IPSec qui garantit une haute sécurité dans les échangés effectués par
Internet.

La confidentialité est assurée par un chiffrement symétrique haute performance de dernière

génération (AES256)2.
L’authentification de l’utilisateur se base sur l’échange de certificats numériques délivrés par la
PKI3 OpenSource de l’EIVD. Le certificat nominatif qui vous a été délivré est contenu dans une
clé hardware (eToken) qui devra être insérée dans le port USB durant toute la connexion VPN.

Pour pouvoir utiliser cette clé, les drivers adéquats doivent également être installés suivant la
procédure décrite dans ce document.

1 VPN: Virtual Private Network

2 AES: Advanced Encryption Standard
3 PKI: Public Key Infrastruct ure
 Table des matières

1 Configuration minimale....................................................................................................4

2 Clé USB eToken ................................................................................................................4

2.1 Installation des drivers etoken ..........................................................................................4
2.2 Configuration pour windows 2000, windows XP..............................................................4
2.3 Configuration pour windows 98,millenium.......................................................................5
2.4 Configuration pour windows NT .....................................................................................5

3 SSH Sentinel......................................................................................................................6
3.1 Installation du client SSH sentinel ....................................................................................6
3.1.1 Générer une paire de clés............................................................................................6
3.1.2 Création d’un certificat primaire .................................................................................7
3.1.3 Diagnostique des protocoles de chiffrement symétrique.............................................9
3.2 Communication avec etoken ..........................................................................................10
3.3 Configuration automatique de SSH Accession................................................................11
3.4 Configuration du client SSH sentinel..............................................................................12
3.5 Accès à l’utilitaire de configuration de sentinel................................................................13
3.6 Ajout de la CA root de l’eivd..........................................................................................14
3.7 Configuration des informations réseaux..........................................................................16
3.8 Configuration des paramètres cryptographiques. ............................................................18
3.9 Première connexion VPN ..............................................................................................22

4 Services VPN...................................................................................................................25
4.1 Accès à l’espace disque personnel...................................................................................25
 VPN, manuel utilisateur -4-

1 Configuration minimale
Pour utiliser la connexion VPN décrite dans ce document, vous devez disposer au préalable des
éléments logiciels et matériels suivants :

• Win98, WinMe, Win2000 ou WinXP;

• Connexion internet haut débit, (exemple ADSL) ;
• Clé USB etoken contenant un certificat ;
• CD d’installation VPN.

La procédure d’installation décrite dans ce document se décompose en plusieurs étapes :

Installation des drivers eToken pour clé USB

Installation du client VPN, SSH Sentinel.

Configuration de la connexion VPN

2 Clé USB eToken

2.1 Installation des drivers etoken

Pour installer les drivers etoken, il est nécessaire d’utiliser un compte administrateur local sur la
machine.
Dans le CD fournit en annexe, ouvrir le répertoire correspondant à votre système d’exploitation
(Win2000, XP, 98 etc..).

2.2 Configuration pour Windows 2000, Windows XP

Dans le répertoire win2000,XP lancer le package d’installation des drivers etoken aladdin
RTE.msi.
-5- 2 Clé USB Etoken

Figure 1 Installation drivers eToken

Suivre la procédure d’installation proposée par eToken (Figure 1).

Ne pas introduire la clé etoken dans le port USB pendant la procédure d’installation du
driver !

2.3 Configuration pour Windows 98, millenium

Dans le répertoire win98,me lancer l’exécutable msi9x.exe.

Suivant la version de Windows, une boîte de dialogue vous informe qu’il est nécessaire de
redémarrer votre machine pour que la mise à jour soit effectuée. Une fois le système mis à jour,
retourner dans le répertoire correspondant à votre configuration sur le CD en annexe.

Puis lancer le package d’installation RTE.msi

Suivre la procédure d’installation proposée par eToken.

Ne pas introduire la clé etoken dans le port USB pendant la procédure d’installation du
driver !

2.4 Configuration pour windows NT

Dans le répertoire winnt lancer l’exécutable msint4.exe.

 VPN, manuel utilisateur -6-

Suivant la version de Windows, une boîte de dialogue vous informe qu’il est nécessaire de
redémarrer votre machine pour que la mise à jour soit effectuée. Une fois le système mis à jour,
retourner dans le répertoire correspondant à votre configuration sur le CD en annexe.

Puis lancer le package d’installation RTE.msi .

Ne pas introduire la clé etoken dans le port USB pendant la procédure d’installation du
driver !

3 SSH Sentinel
3.1 Installation du client SSH Sentinel

Pour installer SSH Sentinel, il est nécessaire d’utiliser un compte administrateur local sur la
machine.
Lors de l’installation de l’application SSH Sentinel, les étapes suivantes seront réalisées.

• Création d’une paire de clé.

• Création d’un certificat auto-signé.
• Création des règles et d’une politique de sécurité de base.
• Redémarrage du système.

Remarque : Bien que la configuration qui sera réellement exploitée n’utilise pas le certificat et les
règles par défaut, ces étapes devront être réalisées lors de l’installation.

L’exécutable d’installation de SSH Sentinel se trouve sur le CD en annexe dans le répertoire

correspondant à votre configuration système.

Double cliquer sur l’icône Sentinel.exe suivant (Figure 2).

Figure 2 Icône SSH Sentinel

Ce logiciel d’installation vous guidera de manière intuitive dans les différentes étapes
d’installation. Pour ne pas perdre le fil, voici les différentes étapes qui devront être réalisée :

3.1.1 Générer une paire de clés

Comme déjà mentionné, la paire de clé qui sera créée dans cette étape ne sera en réalité jamais
utilisée, mais le logiciel SSH Sentinel nécessite une paire de clés et un certificat par défaut.
-7- 3 SSH Sentinel

Pour générer une paire de clés non prédictible, il est souhaitable de disposer d’une source
aléatoire. SSH Sentinel utilise les mouvements de la souris comme paramètre aléatoire (Figure 3).

Figure 3 Génération clé

Il s’agit de bouger le pointeur de la souris dans la fenêtre pendant une durée de temps
déterminée pour obtenir une variable aléatoire comme base au calcul de la clé de chiffrement.

Puis presser Next .

3.1.2 Création d’un certificat primaire

Comme pour la clé de chiffrement par défaut, SSH Sentinel a besoin d’un certificat primaire de
base même si celui-ci ne sera jamais utilisé.

Dans la fenêtre Certificate Information laisser les informations par défaut (Figure 4).
 VPN, manuel utilisateur -8-

Figure 4 Informations

Primary identifier : = Host Domain Name

Host Domain Name : = Nom de la machine.

Puis presser Next .

La fenêtre suivante permet de générer le certificat de base à partir des informations introduites
précédemment. Il s’agit de choisir l’option Create a self-signed certificate qui est
l’option sélectionnée par défaut (Figure 5).

Figure 5 Génération du certificat par défaut

Puis presser Next .

-9- 3 SSH Sentinel

3.1.3 Diagnostic des protocoles de chiffrement symétrique

L’étape suivante permet de comparer les performances des algorithmes symétriques supportés
par SSH Sentinel (Figure 6). Cette étape n’étant pas nécessaire, elle peut être évitée en pressant le
bouton Skip puis Next.

Figure 6 Diagnostique

A ce stade, le client SSH Sentinel est installé. Il est nécessaire de redémarrer le système (Figure 7).

Figure 7 Redémarrer

Presser Finish.
 VPN, manuel utilisateur - 10 -

3.2 Communication avec etoken

Une fois le système redémarré, l’icône de SSH Sentinel apparaît à droite de la barre des tâches
(Figure 8). Lorsque l’agent SSH Sentinel est désactivé pour une quelconque raison, l’icône est
toujours présent mais sa texture est translucide.

Figure 8 Agent Sentinel

Dans cette étape, il s’agira de configurer le client SSH Sentinel pour utiliser votre certificat
contenu dans la clé USB.
Les configurations proprement dites se feront de manière automatique, mais une légère
manipulation est nécessaire pour garantire que la procédure s’effectue sans encombre.

En cliquant sur le bouton de droite de la souris sur l’icône, un menu déroulant apparaît (Figure
9).

Figure 9 Menu Sentinel

Sélectionner User Key Agent puis SSH Accession .

La fenêtre de configuration de SSH Accession apparaît (Figure 10).

- 11 - 3 SSH Sentinel

Figure 10 SSH Accession

Dans le menu Edit choisir Settings…

Une nouvelle fenêtre apparaît, choisir l’onglet Key Providers (Figure 11).

Figure 11 Key Providers

Sélectionner la ligne mscap Microsoft Crypto API Providers.

Ne pas cocher l’option Enable !!!

Puis appuyer sur le bouton Apply et sur le Bouton OK.

Finalement, fermer la fenêtre en appuyant sur la croix en haut à droite de la fenêtre.

Cette opération a pour unique but de générer un fichier de configuration qu’il sera possible de
modifier de manière automatique.

3.3 Configuration automatique de SSH Accession

L’étape suivante consiste à lancer l’exécutable vpn.exe qui se trouve sur le CD en annexe dans
le répertoire spécifique à votre configuration.
 VPN, manuel utilisateur - 12 -

Ce logiciel va scanner votre disque à la recherche des fichiers de configuration de SSH Sentinel
puis effectuer les modifications permettant de communiquer avec la clé USB etoken.

Pour lancer l’exécutable, double cliquer sur l’icône suivant (Figure 12).

Figure 12 Icône vpn.exe

La fenêtre suivante s’ouvre (Figure 13).

Figure 13 Vpn.exe

Pressez le bouton Install .

Une fois les modifications effectuées, une fenêtre vous informe que la configuration est effectuée.
Fermer cette fenêtre en appuyant sur « OK » puis fermer la fenêtre en pressant le bouton Quit.

3.4 Configuration du client SSH Sentinel

Pour pouvoir communiquer correctement avec la passerelle VPN de l’EIVD, il est nécessaire de
configurer le client Sentinel avec soin.
Cette configuration se décompose en plusieurs étapes à effectuer dans l’ordre.
- 13 - 3 SSH Sentinel

• Accéder à l’utilitaire de configuration de SSH Sentinel.

• Ajout de la CA root de l’eivd.
• Configuration des informations réseaux.
• Configuration des paramètres cryptographiques.
• Première connexion VPN.

3.5 Accès à l’utilitaire de configuration de SSH Sentinel

Comme précédemment, cliquer sur le bouton droite de la souris sur l’icône de SSH Sentinel situé
à droite de la barre des tâches.

Le menu apparaît (Figure 14).

Figure 14 Menu SSH Sentinel

Choisir le menu Run Policy Editior.

Une fenêtre de configuration intitulée SSH Sentinel Policy Editor s’ouvre. Toutes les
configurations propres au client SSH Sentinel se feront depuis cette fenêtre (Figure 15).
 VPN, manuel utilisateur - 14 -

Figure 15 Configuration de Sentinel

3.6 Ajout de la CA root de l’eivd

Dans cette étape, il s’agit d’ajouter l’autorité de certification de l’EIVD à la liste des autorités de
confiance reconnue par SSH Sentinel.

Depuis l’utilitaire de configuration de Sentinel, choisir l’onglet Key Management, puis cliquer
sur le répertoire Trusted Certificates, puis Certification Authorities double
cliquez sur le menu Add. (Figure 16)
- 15 - 3 SSH Sentinel

Figure 16 Ajout de l’autorité de l’EIVD

Le certificat à ajouter se trouve sur le CD en annexe dans le répertoire correspondant à votre

configuration.

Il s’agit du fichier cacert.cer

Une fois le certificat ajouté, il est nécessaire de mettre à jour la nouvelle configuration en cliquant
sur le bouton Apply dans la fenêtre SSH Sentinel Policy Editor.

Pour vérifier le bon déroulement de la procédure, introduire la clé eToken dans le port USB.

Après quelques secondes, un nouveau répertoire nommé Accession Keys devrait apparaître
dans la fenêtre SSH Sentinel Policy Editor (Figure 17).

Figure 17 Répertoire Accession Keys

 VPN, manuel utilisateur - 16 -

Si le répertoire n’apparaît pas :

Vérifier que la clé eToken soit bien introduite dans le port USB (une lumière rouge doit
s’illuminer dans la clé).

Au besoin relancer SSH Accession.

Dans le répertoire My Keys, étendre le répertoire Accession Keys.

En étendant l’arborescence de ce répertoire, votre certificat doit apparaître. En double cliquant
dessus, il est possible de visualiser son contenu (Figure 18).

Figure 18 Contenu du certificat

Si tout s’est bien passé, le champ Certification path doit contenir votre e-mail. Vous êtes
donc en mesure de continuer la configuration.

3.7 Configuration des informations réseaux.

Dans la fenêtre principale de configuration, choisir l’onglet Security Policy puis étendre
l’arborescence du répertoire VPN Connections.

Puis double cliquer sur le menu Add (Figure 19).

- 17 - 3 SSH Sentinel

Figure 19 Créer la connexion VPN

Une fenêtre de configuration apparaît (Figure 20).

Figure 20 Configurations connexion

Introduire comme champ Gateway name l’URL du gateway VPN, soit l’Url vpn.eivd.ch

Pour configurer les paramètres réseau dans le champ Remote network, appuyer sur le
bouton suivant (bouton brows à droite du champ Remote network ).

Une fenêtre de configuration réseau apparaît (Figure 21).

 VPN, manuel utilisateur - 18 -

Figure 21 Configurations réseaux.

Cliquer sur la ligne de la configuration any

Les champs à introduire sont les suivants.

Network name : vpn eivd

IP address : 10.0.0.0
Subnet mask : 255.0.0.0

Confirmer la configuration en pressant le bouton OK.

Puis, fermer la boîte de dialogue précédente en pressant le bouton OK.

A ce stade, le client SSH Sentinel dispose de toutes les informations réseaux nécessaires.

3.8 Configuration des paramètres cryptographiques.

La connexion VPN créée précédemment apparaît dans la fenêtre de configuration principale

(Figure 22).

Pour modifier les configurations cryptographiques par défaut, sélectionner la connexion vpn
eivd, puis presser Properties ou double cliquer sur la connexion.
- 19 - 3 SSH Sentinel

Figure 22 Nouvelle connexion VPN

Une nouvelle fenêtre apparaît Rule Properties (Figure 23).

Figure 23 Rule Properties

Sélectionner l’option Acquire IP address.

Puis cliquer sur le bouton Settings.. dans la section Acquire virtual IP address. La
fenêtre de configuration suivante apparaît (Figure 24).
 VPN, manuel utilisateur - 20 -

Figure 24 Virtual IP Address

Cocher l’option Specify DNS and WINS servers puis introduire les informations

suivantes.

DNS server : 10.192.48.190

Puis fermer la fenêtre en pressant le bouton OK.

De retour dans la fenêtre de configuration Rule Properties (Figure 23)

Dans la section Ipsec/IKE proposal sélectionner le certificat contenu dans la token USB.
Le nom du certificat doit être ca.tcom.ch et non pas le certificat par défaut.

Toujours dans la section IPSec/IKE proposal, presser le bouton Settings, une fenêtre de
configuration spécifique au paramètre de chiffrement apparaît (Figure 25).
- 21 - 3 SSH Sentinel

Figure 25 Option de chiffrement.

Choisir dans la section IKE proposal, les algorithmes de chiffrement suivants :

Encryption algorithm : Rijndael

Integrity function: SHA-1
IKE mode: main mode
IKE groupe : MODP 1536(group5)

Dans la section Ipsec proposal.

Encryption algorithm : Rijndael

Integrity function : HMAC-SHA-1
PFS group: MODP 1536(group5)

Sélectionner l’option.

Attach only the values to the proposal selected puis presser le bouton OK.

Dans la fenêtre Rule properties cliquer sur l’onglet Advanced en haut de la fenêtre (Figure
26).
 VPN, manuel utilisateur - 22 -

Figure 26 Configurations avancées

Dans la section Advanced options cocher les options suivantes :

• Discover path maximum transfer unit(PMTU)

• Enable Network Address Translation Traveral(NAT-T)

Puis fermer la fenêtre en pressant le bouton OK.

A ce stade le client est parfaitement configuré, il s’agit d’appliquer les modifications en pressant le
bouton Apply.

Puis fermer la fenêtre en pressant OK.

3.9 Première connexion VPN

Pour vous connecter au VPN, il suffit de cliquez sur le bouton droit de la souris sur l’icône SSH
Sentinel à droite de la barre des tâches. Puis dans le menu, choisir Select VPN puis
vpn.eivd.ch (Figure 27)
- 23 - 3 SSH Sentinel

Figure 27 Connexion VPN

Si la clé a été préalablement introduite dans le port USB, un message vous invite à introduire le
mot de passe servant à débloquer la clé (Figure 28).

Figure 28 Mot de passe eToken

En parallèle, une fenêtre vous indique l’état de la connexion, il est donc nécessaire d’introduire le
mot de passe assez rapidement (Figure 29).

Figure 29 Connection status

Si la connexion s’est effectuée sans problème, une fenêtre vous l’indique clairement.
Il est possible de visualiser l’état de la connexion par un simple double click sur l’icône SSH
Sentinel à droite de la barre des tâches (Figure 30).
 VPN, manuel utilisateur - 24 -

Figure 30 SSH Sentinel Statistics

Pour fermer la connexion VPN il suffit de sélectionner le nom de la connexion et appuyer sur le
bouton Terminate .
- 25 - 4 Services VPN

4 Services VPN
Le VPN n’est autre qu’une extension du réseau interne de l’EIVD, il vous permet de bénéficier
de tous les services disponibles sur le réseau de l’EIVD . C’est-à-dire service mail, espace disque
personnel, intranet, etc.
Toutefois, certaines fonctionnalités ne sont pas accessibles de la même manière et méritent une
explication.

4.1 Accès à l’espace disque personnel

L’espace disque qui vous a été alloué sur le réseau de l’école ne peut pas être vu automatiquement
lors de la connexion VPN. Il est nécessaire de monter cet espace de manière manuelle.
Sous la rubrique tools , choisir Map Network Drive…

Sélectionner une lettre pour le disque distant à monter.

Puis dans le champ Folder, déterminer le chemin exact où se trouve votre compte.

Soit \\ein04.einet.ad.eivd.ch\{login}$
Il est nécessaire de terminer le chemin par le caractère « $».

Puis Finish.

Figure 31 Map Network Drive

 VPN, manuel utilisateur - 26 -

Une nouvelle fenêtre vous invite alors à vous authentifier (Figure 32).

Figure 32 Authentification

Pour s’authentifier, il est nécessaire d’introduire dans le champ Connect AS le nom du

contrôleur de domaine auquel vous désirer vous authentifier, suivi de votre login, dans cette
exemple il s’agit du domaine einet.

Connect AS : einet\{login}
Password : mot_de_passe_einet

Si tout s’est bien passé, un disque distant est apparu dans la liste des disques de votre machine
(Figure 33).

Figure 33 Disque distant