Vous êtes sur la page 1sur 40

LOGO

Implementation
de VPN sous
Linux RedHat

www.udivers.com www.udivers.com
PLAN DE L’EXPOSE
www.udivers.com www.thmemgallery.com

INTRODUCTION

LE CONCEPT VPN

SOLUTION PopTop

SOLUTION Openvpn

Simulation et conclusion

www.udivers.com
INTRODUCTION
www.udivers.com www.thmemgallery.com

 Aujourd'hui, les entreprises éprouvent de plus en plus le


besoin d'échanger des informations, que ce soit avec leurs
clients, avec leurs partenaires, ET avec leurs employés et à
moindre coût. La technologie VPN leur garantit des
échanges sécurisés d'informations sensibles, accessibles
depuis n'importe quel endroit, du moment qu'une
connection Internet est disponible.
Les solutions VPN du monde GNU/Linux basées sur IPsec
sont relativement difficiles à mettre en place et lourdes à
maintenir, c'est pourquoi plusieurs alternatives existent,
comme PopTop (pptpd) et OpenVPN.
www.udivers.com
LE CONCEPT VPN
www.udivers.com www.thmemgallery.com

 Un VPN (Virtual Private Network) permet de simuler un réseau


privé via internet en cryptant les communications entre deux
points distants.Une fois le tunnel présent à travers le réseau
public, entre deux machines ou deux réseaux privés, ces derniers
pourront s'échanger des données de manière sécurisée, comme
s'ils se trouvaient sur le même réseau local.
Le VPN permet aux entreprises de bénéficier d'une liaison
sécurisée à moindre coût, a contrario des lignes spécialisées qui
restent certes plus fiables et plus sûres mais moyennant un coût
financier très onéreux.
 Les VPN utilisent la cryptographie pour construire et sécuriser un
tunnel entre deux points distants. Il est alors important d'avoir
quelques notions dans ce domaine pour pouvoir envisager une
telle solution.
www.udivers.com
LE CONCEPT VPN
www.udivers.com www.thmemgallery.com

www.udivers.com
LE CONCEPT VPN
www.udivers.com www.thmemgallery.com

 1. La cryptographie
 1.1 Les clés de chiffrement
 En informatique, pour qu'une information puisse être chiffrée
(cryptée), la suite d'octets qui la compose devra être modifiée
par un algorithme mathématique. L'algorithme étant standardisé,
devra donc utiliser un paramètre supplémentaire appelé "clé de
chiffrement" pour que le secret soit conservé.

www.udivers.com
LE CONCEPT VPN
www.udivers.com www.thmemgallery.com

 Une information chiffrée par un algorithme peut être déchiffrée


que par les seuls détenteurs de la clé adéquate. Les clés de
chiffrement ont ,à ce moment là, un rôle essentiel dans la
cryptographie numérique.
 Une clé de chiffrement peut-être symétrique (chiffrement
symétrique) ou asymétrique (chiffrement asymétrique).

Lors d'un chiffrement symétrique, la même clé permettra de


chiffrer et de déchiffrer les données.

Dans le cas d'un chiffrement asymétrique, deux clés différentes


seront utilisées:

- l'une est dite "public", une copie de cette clé pourra être
distribué à tout le monde,
 -l'autre est dite "privée", elle doit de ce fait restée secrète.

www.udivers.com
LE CONCEPT VPN
www.udivers.com www.thmemgallery.com

 Empreinte numérique - intégrité

www.udivers.com
LE CONCEPT VPN
www.udivers.com www.thmemgallery.com

 Chiffrement symétrique – confidentialité

www.udivers.com
LE CONCEPT VPN
www.udivers.com www.thmemgallery.com

 Chiffrement asymétrique - authentification,


confidentialité et non répudiation

www.udivers.com
LE CONCEPT VPN
www.udivers.com www.thmemgallery.com

 Les certificats

 Les certificats permettent d'associer une clé


publique à une entité (une personne, une
machine,etc...). Il sera possible de vérifier qu'une
clé publique appartient bien à l'entitié qui le
prétend. Les certificats sont émis par des
organismes appelés tiers de confiance (CA pour
Certification Authority), et ont une structure
normalisée par le standard X.509.

www.udivers.com
Solutions VPN open source
www.udivers.com www.thmemgallery.com

Les solutions
VPN

PPOTOP OPENVPN
Plus simple à Implémentation plus
implémenter compliqué
Sécurisé avec
Moin sécurisé
l’echange des
certificats

www.udivers.com
SOLUTION POPTOP
www.udivers.com www.thmemgallery.com

Pourquoi Poptop ?

Installation

PopTop Configuration

Gestion des utilisateurs

Connexion au serveur

www.udivers.com
PopTop
www.udivers.com www.thmemgallery.com

 Pourquoi Poptop ?
 PPTP est un protocole d'encapsulation PPP. Il permet la
mise en place de VPN (Virtual Private Network), c'est à dire
de réseaux privés virtuels. En d'autres termes, il va
permettre à un ordinateur client se trouvant sur un réseau
différent (ex: votre domicile) de communiquer avec un
réseau local (ex: le réseau de votre entreprise). Poptop est
donc un serveur qui va permettre de créer un VPN.

www.udivers.com
PopTop
www.udivers.com www.thmemgallery.com

 Pourquoi Poptop ?

 De nombreuses entreprises ont recours à des serveurs VPN pour leurs


employés nomades. Ceux-ci étant de plus en plus nombreux, le nombre de
serveurs VPN se multiplient.

 L'intérêt de Poptop est triple :


 Il est facile à mettre en place.
 Il est facile de se connecter à un serveur PPTP pour un client Windows.
 Il est suffisemment sécurisé pour la plupart des activités.
 L'inconvénient de Poptop est qu'il n'est pas un monstre de sécurité. Donc,
si vous avez des informations très importantes qui vont transiter via votre
VPN, Poptop n'est sans doute pas la meilleure solution à moins de l'utiliser
via un tunnel SSH mais dans ce cas, autant prendre une autre solution tel
que Openswan qui utilise IPSec.

www.udivers.com
PopTop
www.udivers.com www.thmemgallery.com

 Installation
1- Allez dans la zone de téléchargement ( Downloads ) et récupérez les rpms suivants :
dkms-2.0.2-1.noarch.rpm
kernel_ppp_mppe-0.0.4-2dkms.noarch.rpm
ppp-2.4.3-0.cvs_20040527.1.i386.rpm ( pptpd nécessite un ppp version 2.4 minimum )
pptpd-1.2.1-1.i386.rpm
2- Installation :
Il faut installer les packages dans l’ordre avec la commande
Rpm –ivh (package)
Mais pour certain noyaux le package ppp est déjà installé dans ce cas on va faire sa mise à jour
avec la version récente on tapant la commande
Rpm –U ppp*.rpm

www.udivers.com
PopTop
www.udivers.com www.thmemgallery.com

 Configuration
 La configuration de Poptop se fait via les fichier
/etc/pptpd.conf et /etc/pptpd-options

Voici un exemple de fichier de configuration pour


pptpd.conf :

www.udivers.com
PopTop
www.udivers.com www.thmemgallery.com

 Configuration
Maintenant le fichier de configuration pptpd-options :

www.udivers.com
PopTop
www.udivers.com www.thmemgallery.com

 Gestion des utilisateurs


 La gestion des utilisateurs se fait de façons très simples. Etant
donné que nous avons choisi une authentification via le protocole
MS-CHAP, les utilisateurs seront définis dans le fichier
/etc/ppp/chap-secrets. Editez donc ce fichier.

-tata est le nom d'utilisateur.


- pptpd est le nom du serveur PPTP que nous avons spécifié via name
pptpd dans /etc/ppp/pptpd-options
- toto est le mot de passe de l'utilisateur.
- * permet de spécifier que l'adresse IP du client sera choisi parmi une ip
spécifié via remoteip dans /etc/pptpd.conf sinon on peut indiquer l'ip du
client ici.

-Démarrer le service pptpd ( service pptpd start ), le serveur est actif.


www.udivers.com
PopTop
www.udivers.com www.thmemgallery.com

 Ouverture et redirection de ports

 Si votre machine LINUX est le firewall de votre réseau, il faut


permettre l’accès pptp sur l’interface internet.
 Pour ce faire il faut autoriser le port 1723 en tcp et le protocole
GRE. Voici les commandes à taper :

 iptables -A INPUT -p tcp --dport 1723 -j ACCEPT

 iptables -A INPUT -p gre -j ACCEPT

www.udivers.com
PopTop
www.udivers.com www.thmemgallery.com

 Connexion au serveur
 Voyons comment configurer un client Windows pour pouvoir se
connecter sur notre serveur PPTP :

Cliquez sur : Démarrer -> Paramètres -> Connexion réseau

Cliquez sur : Créer une nouvelle connexion

www.udivers.com
PopTop
www.udivers.com www.thmemgallery.com

 Connexion au serveur

www.udivers.com
PopTop
www.udivers.com www.thmemgallery.com

 Connexion au serveur

www.udivers.com
PopTop
www.udivers.com www.thmemgallery.com

www.udivers.com
SOLUTION OpenVPN
www.udivers.com www.thmemgallery.com

Pourquoi OpenVPN ?

Installation

OpenVPN Configuration

Configuration des clients

Connexion au serveur

www.udivers.com
Présentation
www.udivers.com www.thmemgallery.com

OpenVpn est la référence Open Source dans le domaine du


VPN. Cette solution ne se base pas sur les standards VPN
tel que IPSec mais sur une surcouche de SSL. Il n'est donc
pas compatible avec les solutions hardwares qu'offre
certains routeur/modem et nécéssite l'installation d'un
client logiciel.
Heureusement, ce client est disponible pour la plupart des
systèmes d'exploitation ( Windows, Mac OS X, Linux, BSD).
Il existe même un portage pour les PocketPC.

www.udivers.com
Installation
www.udivers.com www.thmemgallery.com

1- Installation du serveur
le serveur pour authentifier les utilisateurs, leur fournir une adresse ip dans le réseau
virtuel ainsi qu'éventuellement fournir les différentes informations de routages dans
certains cas complexes.
la communication est chiffrée à l'aide de openSSL, cela implique donc la nécessité de
plusieurs certificats :
 Un certificat racine, qui sera utilisé pour signer à la fois le certificat du serveur et les
certificats des clients
 Un certificat serveur, qui servira à chiffrer la communication
 Un ou plusieurs certificats client, optionnels, qui serviront à authentifier les utilisateurs
Les deux premiers certificats sont obligatoires, mais les certificats client uniquement
dans le cas d'authenfication par
certificat est utilisée. Un autre possibilité existe, basée sur un couple utilisateur/mot de
passe.

www.udivers.com
Installation
www.udivers.com www.thmemgallery.com

Récupérez et installez
 La librairie LZO :
http://www.oberhumer.com/opensource/lzo/download/lzo-1.08.

tar zxvf lzo-1.08.tar.gz cd lzo-1.08 ./configure && make &&


make check && make test make install (avec le compte root)
 La librairie openssl :
http://www.openssl.org/source/openssl-0.9.7e.tar.gz
tar zxvf openssl-0.9.7e.tar.gz ./config && make && make test
&& make install
 Brctl :
http://prdownloads.sourceforge.net/bridge/bridge-utils-1.0.4.tar.
tar zxvf bridge-utils-1.0.4.tar.gz cd bridge-utils-1.0.4
./configure && make && make install

www.udivers.com
Installation
www.udivers.com www.thmemgallery.com

Télécharger l'archive sur www.openvpn.sourceforge.net :


http://prdownloads.sourceforge.net/openvpn/openvpn-2.0_rc6.t

 tar zxvf openvpn-2.0_rc6.tar.gz


 cd openvpn-2.0_rc6
 ./configure
 make
 make install

www.udivers.com
Configuration
www.udivers.com www.thmemgallery.com

Fichiers de démarrage

 Un fichier d'exemple de configuration est disponible dans le


répertoire sample-config-files, A stocker dans :
 /etc/init.d/openvpn

www.udivers.com
Configuration
www.udivers.com www.thmemgallery.com

Edition du fichier vars

 Le fichier vars contient divers variables qui seront utilisées


dans les scripts de génération de clefs. Il est intéressant de
prédéfinir certaines d'entres elles afin de ne plus devoir les
modifiées durant l'éxécution des scripts, et risquer de faire une
faute de frappe.

www.udivers.com
Configuration
www.udivers.com www.thmemgallery.com

générer les différentes clefs :

./build-dh
./build-ca
./build-key-server [NOM DE VOTRE SERVEUR]
Vous pouvez aussi a présent générer les clefs des clients :
./build-key [nom de votre client]

www.udivers.com
Configuration
www.udivers.com www.thmemgallery.com

Création du fichier de configuration


 Lors du démarrage du serveur, OpenVPN ira chercher ses
fichiers de configuration dans le répertoire /etc/openvpn,
un fichier openvpn.conf sera créé dans celui-ci.

www.udivers.com
Configuration
www.udivers.com www.thmemgallery.com

Lancement du serveur
Le lancement du serveur se fait via la commande

/etc/init.d/openvpn start

Ou
openvpn --daemon --config br_conf.conf --log vpn.log

www.udivers.com
Installation du client
www.udivers.com www.thmemgallery.com

Installation du client sous windows


 il est possible d'utiliser le client Win32 fournit directement par
OpenVPN, il existe un outil graphique plus pratique sous
Windows : OpenVPN-GUI.
 Il est disponible ici : http://openvpn.se/
 Il n’ya pas de client pour la distribution windows vista.

Installation
Il suffit de lancer le programme d'installation et de suivre les
étapes

www.udivers.com
Installation du client
www.udivers.com www.thmemgallery.com

Si tout va bien, une icone devrait apparaitre dans la barre des


taches :

www.udivers.com
Configuration de client
www.udivers.com www.thmemgallery.com

 il sera nécessaire de récupérer le certificat racine ( ca.crt ), la


clé du client ( nomDuClient.key), le certificat du client
( nomDuClient.crt ) ainsi qu'un fichier de configuration.
 Le fichier de configuration est identique à celui du client Linux,

www.udivers.com
Configuration de client
www.udivers.com www.thmemgallery.com

Connexion

 Dès que le fichier de configuration est placé dans le répertoire,


un menu apparait lors d'un click droit sur l'icone de OpenVPN-
Gui :

 si tout est bien fait, voici ce qui se passe lorsque l'on


sélectionne "Connect" :

www.udivers.com
Conclusion
www.udivers.com www.thmemgallery.com

Openvpn est très puissant il permet une connexion chiffré et


rapide mais n’oublier pas de sécuriser votre environnement
réseau en appliquant les règles du par-feu et de ne pas diffuser
vos certificats et vous devez les garder dans un endroit
sécurisé.

Questions ..???

www.udivers.com
LOGO

www.udivers.com www.udivers.com