Implementation de VPN

LOGO
Implementation
de VPN sous
Linux RedHat
www.udivers.com www.udivers.com
PLAN DE LEXPOSE
www.udivers.com www.thmemgallery.com
INTRODUCTION
LE CONCEPT VPN
SOLUTION PopTop
SOLUTION Openvpn
Simulation et conclusion
www.udivers.com
INTRODUCTION
Aujourd'hui, les entreprises prouvent de plus en plus le

besoin d'changer des informations, que ce soit avec leurs
clients, avec leurs partenaires, ET avec leurs employs et
moindre cot. La technologie VPN leur garantit des
changes scuriss d'informations sensibles, accessibles
depuis n'importe quel endroit, du moment qu'une
connection Internet est disponible.
Les solutions VPN du monde GNU/Linux bases sur IPsec
sont relativement difficiles mettre en place et lourdes
maintenir, c'est pourquoi plusieurs alternatives existent,
comme PopTop (pptpd) et OpenVPN.
www.udivers.com
LE CONCEPT VPN
Un VPN (Virtual Private Network) permet de simuler un rseau

priv via internet en cryptant les communications entre deux
points distants.Une fois le tunnel prsent travers le rseau
public, entre deux machines ou deux rseaux privs, ces derniers
pourront s'changer des donnes de manire scurise, comme
s'ils se trouvaient sur le mme rseau local.
Le VPN permet aux entreprises de bnficier d'une liaison
scurise moindre cot, a contrario des lignes spcialises qui
restent certes plus fiables et plus sres mais moyennant un cot
financier trs onreux.
Les VPN utilisent la cryptographie pour construire et scuriser un
tunnel entre deux points distants. Il est alors important d'avoir
quelques notions dans ce domaine pour pouvoir envisager une
telle solution.
www.udivers.com
LE CONCEPT VPN
www.udivers.com
LE CONCEPT VPN
1. La cryptographie
1.1 Les cls de chiffrement
En informatique, pour qu'une information puisse tre chiffre
(crypte), la suite d'octets qui la compose devra tre modifie
par un algorithme mathmatique. L'algorithme tant standardis,
devra donc utiliser un paramtre supplmentaire appel "cl de
chiffrement" pour que le secret soit conserv.
www.udivers.com
LE CONCEPT VPN
Une information chiffre par un algorithme peut tre dchiffre
que par les seuls dtenteurs de la cl adquate. Les cls de
chiffrement ont , ce moment l, un rle essentiel dans la
cryptographie numrique.
Une cl de chiffrement peut-tre symtrique (chiffrement
symtrique) ou asymtrique (chiffrement asymtrique).
Lors d'un chiffrement symtrique, la mme cl permettra de

chiffrer et de dchiffrer les donnes.
Dans le cas d'un chiffrement asymtrique, deux cls diffrentes

seront utilises:
- l'une est dite "public", une copie de cette cl pourra tre

distribu tout le monde,
-l'autre est dite "prive", elle doit de ce fait reste secrte.
www.udivers.com
LE CONCEPT VPN
Empreinte numrique - intgrit
www.udivers.com
LE CONCEPT VPN
Chiffrement symtrique confidentialit
www.udivers.com
LE CONCEPT VPN
Chiffrement asymtrique - authentification,
confidentialit et non rpudiation
www.udivers.com
LE CONCEPT VPN
Les certificats
Les certificats permettent d'associer une cl

publique une entit (une personne, une
machine,etc...). Il sera possible de vrifier qu'une
cl publique appartient bien l'entiti qui le
prtend. Les certificats sont mis par des
organismes appels tiers de confiance (CA pour
Certification Authority), et ont une structure
normalise par le standard X.509.
www.udivers.com
Solutions VPN open source
Les solutions
VPN
PPOTOP OPENVPN
Plus simple Implmentation plus
implmenter compliqu
Scuris avec
Moin scuris
lechange des
certificats
www.udivers.com
SOLUTION POPTOP
Pourquoi Poptop ?
Installation
PopTop Configuration
Gestion des utilisateurs
Connexion au serveur
www.udivers.com
PopTop
Pourquoi Poptop ?
PPTP est un protocole d'encapsulation PPP. Il permet la
mise en place de VPN (Virtual Private Network), c'est dire
de rseaux privs virtuels. En d'autres termes, il va
permettre un ordinateur client se trouvant sur un rseau
diffrent (ex: votre domicile) de communiquer avec un
rseau local (ex: le rseau de votre entreprise). Poptop est
donc un serveur qui va permettre de crer un VPN.
www.udivers.com
PopTop
Pourquoi Poptop ?
De nombreuses entreprises ont recours des serveurs VPN pour leurs

employs nomades. Ceux-ci tant de plus en plus nombreux, le nombre de
serveurs VPN se multiplient.
L'intrt de Poptop est triple :

Il est facile mettre en place.
Il est facile de se connecter un serveur PPTP pour un client Windows.
Il est suffisemment scuris pour la plupart des activits.
L'inconvnient de Poptop est qu'il n'est pas un monstre de scurit. Donc,
si vous avez des informations trs importantes qui vont transiter via votre
VPN, Poptop n'est sans doute pas la meilleure solution moins de l'utiliser
via un tunnel SSH mais dans ce cas, autant prendre une autre solution tel
que Openswan qui utilise IPSec.
www.udivers.com
PopTop
Installation
1- Allez dans la zone de tlchargement ( Downloads ) et rcuprez les rpms suivants :
dkms-2.0.2-1.noarch.rpm
kernel_ppp_mppe-0.0.4-2dkms.noarch.rpm
ppp-2.4.3-0.cvs_20040527.1.i386.rpm ( pptpd ncessite un ppp version 2.4 minimum )
pptpd-1.2.1-1.i386.rpm
2- Installation :
Il faut installer les packages dans lordre avec la commande
Rpm ivh (package)
Mais pour certain noyaux le package ppp est dj install dans ce cas on va faire sa mise jour
avec la version rcente on tapant la commande
Rpm U ppp*.rpm
www.udivers.com
PopTop
Configuration
La configuration de Poptop se fait via les fichier
/etc/pptpd.conf et /etc/pptpd-options
Voici un exemple de fichier de configuration pour

pptpd.conf :
www.udivers.com
PopTop
Configuration
Maintenant le fichier de configuration pptpd-options :
www.udivers.com
PopTop
Gestion des utilisateurs

La gestion des utilisateurs se fait de faons trs simples. Etant
donn que nous avons choisi une authentification via le protocole
MS-CHAP, les utilisateurs seront dfinis dans le fichier
/etc/ppp/chap-secrets. Editez donc ce fichier.
-tata est le nom d'utilisateur.

- pptpd est le nom du serveur PPTP que nous avons spcifi via name
pptpd dans /etc/ppp/pptpd-options
- toto est le mot de passe de l'utilisateur.
- * permet de spcifier que l'adresse IP du client sera choisi parmi une ip
spcifi via remoteip dans /etc/pptpd.conf sinon on peut indiquer l'ip du
client ici.
-Dmarrer le service pptpd ( service pptpd start ), le serveur est actif.

www.udivers.com
PopTop
Ouverture et redirection de ports
Si votre machine LINUX est le firewall de votre rseau, il faut

permettre laccs pptp sur linterface internet.
Pour ce faire il faut autoriser le port 1723 en tcp et le protocole
GRE. Voici les commandes taper :
iptables -A INPUT -p tcp --dport 1723 -j ACCEPT
iptables -A INPUT -p gre -j ACCEPT
www.udivers.com
PopTop
Voyons comment configurer un client Windows pour pouvoir se
connecter sur notre serveur PPTP :
Cliquez sur : Dmarrer -> Paramtres -> Connexion rseau
Cliquez sur : Crer une nouvelle connexion
www.udivers.com
PopTop
www.udivers.com
PopTop
www.udivers.com
PopTop
www.udivers.com
SOLUTION OpenVPN
Pourquoi OpenVPN ?
Installation
OpenVPN Configuration
Configuration des clients
www.udivers.com
Prsentation
OpenVpn est la rfrence Open Source dans le domaine du

VPN. Cette solution ne se base pas sur les standards VPN
tel que IPSec mais sur une surcouche de SSL. Il n'est donc
pas compatible avec les solutions hardwares qu'offre
certains routeur/modem et ncssite l'installation d'un
client logiciel.
Heureusement, ce client est disponible pour la plupart des
systmes d'exploitation ( Windows, Mac OS X, Linux, BSD).
Il existe mme un portage pour les PocketPC.
www.udivers.com
Installation
1- Installation du serveur
le serveur pour authentifier les utilisateurs, leur fournir une adresse ip dans le rseau
virtuel ainsi qu'ventuellement fournir les diffrentes informations de routages dans
certains cas complexes.
la communication est chiffre l'aide de openSSL, cela implique donc la ncessit de
plusieurs certificats :
Un certificat racine, qui sera utilis pour signer la fois le certificat du serveur et les
certificats des clients
Un certificat serveur, qui servira chiffrer la communication
Un ou plusieurs certificats client, optionnels, qui serviront authentifier les utilisateurs
Les deux premiers certificats sont obligatoires, mais les certificats client uniquement
dans le cas d'authenfication par
certificat est utilise. Un autre possibilit existe, base sur un couple utilisateur/mot de
passe.
www.udivers.com
Installation
Rcuprez et installez
La librairie LZO :
http://www.oberhumer.com/opensource/lzo/download/lzo-1.08
.tar.gz
tar zxvf lzo-1.08.tar.gz cd lzo-1.08 ./configure && make &&

make check && make test make install (avec le compte root)
La librairie openssl :
http://www.openssl.org/source/openssl-0.9.7e.tar.gz
tar zxvf openssl-0.9.7e.tar.gz ./config && make && make test
&& make install
Brctl :
http://prdownloads.sourceforge.net/bridge/bridge-utils-1.0.4.t
ar.gz
tar zxvf bridge-utils-1.0.4.tar.gz cd bridge-utils-1.0.4
./configure && make && make install
www.udivers.com
Installation
Tlcharger l'archive sur www.openvpn.sourceforge.net :

http://prdownloads.sourceforge.net/openvpn/openvpn-2.0_rc6
.tar.gz
tar zxvf openvpn-2.0_rc6.tar.gz

cd openvpn-2.0_rc6
./configure
make
make install
www.udivers.com
Configuration
Fichiers de dmarrage
Un fichier d'exemple de configuration est disponible dans le

rpertoire sample-config-files, A stocker dans :
/etc/init.d/openvpn
www.udivers.com
Configuration
Edition du fichier vars
Le fichier vars contient divers variables qui seront utilises

dans les scripts de gnration de clefs. Il est intressant de
prdfinir certaines d'entres elles afin de ne plus devoir les
modifies durant l'xcution des scripts, et risquer de faire une
faute de frappe.
www.udivers.com
Configuration
gnrer les diffrentes clefs :
./build-dh
./build-ca
./build-key-server [NOM DE VOTRE SERVEUR]
Vous pouvez aussi a prsent gnrer les clefs des clients :
./build-key [nom de votre client]
www.udivers.com
Configuration
Cration du fichier de configuration
Lors du dmarrage du serveur, OpenVPN ira chercher ses
fichiers de configuration dans le rpertoire /etc/openvpn,
un fichier openvpn.conf sera cr dans celui-ci.
www.udivers.com
Configuration
Lancement du serveur
Le lancement du serveur se fait via la commande
/etc/init.d/openvpn start
Ou
openvpn --daemon --config br_conf.conf --log vpn.log
www.udivers.com
Installation du client
Installation du client sous windows
il est possible d'utiliser le client Win32 fournit directement par
OpenVPN, il existe un outil graphique plus pratique sous
Windows : OpenVPN-GUI.
Il est disponible ici : http://openvpn.se/
Il nya pas de client pour la distribution windows vista.
Installation
Il suffit de lancer le programme d'installation et de suivre les
tapes
www.udivers.com
Installation du client
Si tout va bien, une icone devrait apparaitre dans la barre des

taches :
www.udivers.com
Configuration de client
il sera ncessaire de rcuprer le certificat racine ( ca.crt ), la

cl du client ( nomDuClient.key), le certificat du client
( nomDuClient.crt ) ainsi qu'un fichier de configuration.
Le fichier de configuration est identique celui du client Linux,
www.udivers.com
Configuration de client
Connexion
Ds que le fichier de configuration est plac dans le rpertoire,

un menu apparait lors d'un click droit sur l'icone de OpenVPN-
Gui :
si tout est bien fait, voici ce qui se passe lorsque l'on

slectionne "Connect" :
www.udivers.com
Conclusion
Openvpn est trs puissant il permet une connexion chiffr et

rapide mais noublier pas de scuriser votre environnement
rseau en appliquant les rgles du par-feu et de ne pas diffuser
vos certificats et vous devez les garder dans un endroit
scuris.
Questions ..???
www.udivers.com
LOGO
www.udivers.com www.udivers.com

Implementation de VPN

Transféré par

Informations du document

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

Implementation de VPN

Transféré par

Droits d'auteur :

Formats disponibles

LOGO

Aujourd'hui, les entreprises prouvent de plus en plus le

Un VPN (Virtual Private Network) permet de simuler un rseau

Lors d'un chiffrement symtrique, la mme cl permettra de

Dans le cas d'un chiffrement asymtrique, deux cls diffrentes

- l'une est dite "public", une copie de cette cl pourra tre

Empreinte numrique - intgrit

Les certificats permettent d'associer une cl

Gestion des utilisateurs

De nombreuses entreprises ont recours des serveurs VPN pour leurs

L'intrt de Poptop est triple :

Voici un exemple de fichier de configuration pour

Gestion des utilisateurs

-tata est le nom d'utilisateur.

-Dmarrer le service pptpd ( service pptpd start ), le serveur est actif.

Ouverture et redirection de ports

Si votre machine LINUX est le firewall de votre rseau, il faut

iptables -A INPUT -p tcp --dport 1723 -j ACCEPT

iptables -A INPUT -p gre -j ACCEPT

Cliquez sur : Dmarrer -> Paramtres -> Connexion rseau

Cliquez sur : Crer une nouvelle connexion

Configuration des clients

OpenVpn est la rfrence Open Source dans le domaine du

tar zxvf lzo-1.08.tar.gz cd lzo-1.08 ./configure && make &&

Tlcharger l'archive sur www.openvpn.sourceforge.net :

tar zxvf openvpn-2.0_rc6.tar.gz

Un fichier d'exemple de configuration est disponible dans le

Le fichier vars contient divers variables qui seront utilises

Si tout va bien, une icone devrait apparaitre dans la barre des

il sera ncessaire de rcuprer le certificat racine ( ca.crt ), la

Ds que le fichier de configuration est plac dans le rpertoire,

si tout est bien fait, voici ce qui se passe lorsque l'on

Openvpn est trs puissant il permet une connexion chiffr et

Vous aimerez peut-être aussi