P. 1
Implementation de VPN Sous Linux RedHat

Implementation de VPN Sous Linux RedHat

4.67

|Views: 2,413|Likes:
Published by radouane
Implementation de VPN Sous Linux RedHat
Implementation de VPN Sous Linux RedHat

More info:

Published by: radouane on Feb 11, 2009
Copyright:Public Domain

Availability:

Read on Scribd mobile: iPhone, iPad and Android.
download as PPT or read online from Scribd
See more
See less

01/09/2013

original

LOGO

Implementation de VPN sous Linux RedHat
www.udivers.com www.udivers.com

PLAN DE L’EXPOSE
www.udivers.com www.thmemgallery.com

INTRODUCTION LE CONCEPT VPN

SOLUTION PopTop SOLUTION Openvpn

Simulation et conclusion

www.udivers.com

INTRODUCTION
www.udivers.com www.thmemgallery.com

 Aujourd'hui, les entreprises éprouvent de plus en plus le besoin d'échanger des informations, que ce soit avec leurs clients, avec leurs partenaires, ET avec leurs employés et à moindre coût. La technologie VPN leur garantit des échanges sécurisés d'informations sensibles, accessibles depuis n'importe quel endroit, du moment qu'une connection Internet est disponible. Les solutions VPN du monde GNU/Linux basées sur IPsec sont relativement difficiles à mettre en place et lourdes à maintenir, c'est pourquoi plusieurs alternatives existent, comme PopTop (pptpd) et OpenVPN.
www.udivers.com

LE CONCEPT VPN
www.udivers.com www.thmemgallery.com

 Un VPN (Virtual Private Network) permet de simuler un réseau privé via internet en cryptant les communications entre deux points distants.Une fois le tunnel présent à travers le réseau public, entre deux machines ou deux réseaux privés, ces derniers pourront s'échanger des données de manière sécurisée, comme s'ils se trouvaient sur le même réseau local. Le VPN permet aux entreprises de bénéficier d'une liaison sécurisée à moindre coût, a contrario des lignes spécialisées qui restent certes plus fiables et plus sûres mais moyennant un coût financier très onéreux.  Les VPN utilisent la cryptographie pour construire et sécuriser un tunnel entre deux points distants. Il est alors important d'avoir quelques notions dans ce domaine pour pouvoir envisager une telle solution.
www.udivers.com

LE CONCEPT VPN
www.udivers.com www.thmemgallery.com

www.udivers.com

LE CONCEPT VPN
www.udivers.com www.thmemgallery.com

 1. La cryptographie  1.1 Les clés de chiffrement
 En informatique, pour qu'une information puisse être chiffrée (cryptée), la suite d'octets qui la compose devra être modifiée par un algorithme mathématique. L'algorithme étant standardisé, devra donc utiliser un paramètre supplémentaire appelé "clé de chiffrement" pour que le secret soit conservé.

www.udivers.com

LE CONCEPT VPN
www.udivers.com www.thmemgallery.com

 Une information chiffrée par un algorithme peut être déchiffrée que par les seuls détenteurs de la clé adéquate. Les clés de chiffrement ont ,à ce moment là, un rôle essentiel dans la cryptographie numérique.  Une clé de chiffrement peut-être symétrique (chiffrement symétrique) ou asymétrique (chiffrement asymétrique). Lors d'un chiffrement symétrique, la même clé permettra de chiffrer et de déchiffrer les données. Dans le cas d'un chiffrement asymétrique, deux clés différentes seront utilisées: - l'une est dite "public", une copie de cette clé pourra être distribué à tout le monde,  -l'autre est dite "privée", elle doit de ce fait restée secrète.
www.udivers.com

LE CONCEPT VPN
www.udivers.com www.thmemgallery.com

 Empreinte numérique - intégrité

www.udivers.com

LE CONCEPT VPN
www.udivers.com www.thmemgallery.com

 Chiffrement symétrique – confidentialité

www.udivers.com

LE CONCEPT VPN
www.udivers.com www.thmemgallery.com

 Chiffrement asymétrique - authentification, confidentialité et non répudiation

www.udivers.com

LE CONCEPT VPN
www.udivers.com www.thmemgallery.com

 Les certificats
 Les certificats permettent d'associer une clé publique à une entité (une personne, une machine,etc...). Il sera possible de vérifier qu'une clé publique appartient bien à l'entitié qui le prétend. Les certificats sont émis par des organismes appelés tiers de confiance (CA pour Certification Authority), et ont une structure normalisée par le standard X.509.

www.udivers.com

Solutions VPN open source
www.udivers.com www.thmemgallery.com

Les solutions VPN

PPOTOP
Plus simple à implémenter Moin sécurisé

OPENVPN
Implémentation plus compliqué Sécurisé avec l’echange des certificats

www.udivers.com

SOLUTION POPTOP
www.udivers.com www.thmemgallery.com

Pourquoi Poptop ? Installation

PopTop

Configuration Gestion des utilisateurs

Connexion au serveur

www.udivers.com

PopTop
www.udivers.com www.thmemgallery.com

 Pourquoi Poptop ?
 PPTP est un protocole d'encapsulation PPP. Il permet la mise en place de VPN (Virtual Private Network), c'est à dire de réseaux privés virtuels. En d'autres termes, il va permettre à un ordinateur client se trouvant sur un réseau différent (ex: votre domicile) de communiquer avec un réseau local (ex: le réseau de votre entreprise). Poptop est donc un serveur qui va permettre de créer un VPN.

www.udivers.com

PopTop
www.udivers.com www.thmemgallery.com

 Pourquoi Poptop ?  De nombreuses entreprises ont recours à des serveurs VPN pour leurs employés nomades. Ceux-ci étant de plus en plus nombreux, le nombre de serveurs VPN se multiplient.  L'intérêt de Poptop est triple :  Il est facile à mettre en place.  Il est facile de se connecter à un serveur PPTP pour un client Windows.  Il est suffisemment sécurisé pour la plupart des activités.  L'inconvénient de Poptop est qu'il n'est pas un monstre de sécurité. Donc, si vous avez des informations très importantes qui vont transiter via votre VPN, Poptop n'est sans doute pas la meilleure solution à moins de l'utiliser via un tunnel SSH mais dans ce cas, autant prendre une autre solution tel que Openswan qui utilise IPSec.

www.udivers.com

PopTop
www.udivers.com www.thmemgallery.com

 Installation
1- Allez dans la zone de téléchargement ( Downloads ) et récupérez les rpms suivants : dkms-2.0.2-1.noarch.rpm kernel_ppp_mppe-0.0.4-2dkms.noarch.rpm ppp-2.4.3-0.cvs_20040527.1.i386.rpm ( pptpd nécessite un ppp version 2.4 minimum ) pptpd-1.2.1-1.i386.rpm 2- Installation : Il faut installer les packages dans l’ordre avec la commande Rpm –ivh (package) Mais pour certain noyaux le package ppp est déjà installé dans ce cas on va faire sa mise à jour avec la version récente on tapant la commande Rpm –U ppp*.rpm

www.udivers.com

PopTop
www.udivers.com www.thmemgallery.com

 Configuration
 La configuration de Poptop se fait via les fichier /etc/pptpd.conf et /etc/pptpd-options Voici un exemple de fichier de configuration pour pptpd.conf :

www.udivers.com

PopTop
www.udivers.com www.thmemgallery.com

 Configuration

Maintenant le fichier de configuration pptpd-options :

www.udivers.com

PopTop
www.udivers.com www.thmemgallery.com

 Gestion des utilisateurs
 La gestion des utilisateurs se fait de façons très simples. Etant donné que nous avons choisi une authentification via le protocole MS-CHAP, les utilisateurs seront définis dans le fichier /etc/ppp/chap-secrets. Editez donc ce fichier.

-tata est le nom d'utilisateur. - pptpd est le nom du serveur PPTP que nous avons spécifié via name pptpd dans /etc/ppp/pptpd-options - toto est le mot de passe de l'utilisateur. - * permet de spécifier que l'adresse IP du client sera choisi parmi une ip spécifié via remoteip dans /etc/pptpd.conf sinon on peut indiquer l'ip du client ici. -Démarrer le service pptpd ( service pptpd start ), le serveur est actif.
www.udivers.com

PopTop
www.udivers.com www.thmemgallery.com

 Ouverture et redirection de ports
 Si votre machine LINUX est le firewall de votre réseau, il faut permettre l’accès pptp sur l’interface internet.  Pour ce faire il faut autoriser le port 1723 en tcp et le protocole GRE. Voici les commandes à taper :  iptables -A INPUT -p tcp --dport 1723 -j ACCEPT  iptables -A INPUT -p gre -j ACCEPT

www.udivers.com

PopTop
www.udivers.com www.thmemgallery.com

 Connexion au serveur
 Voyons comment configurer un client Windows pour pouvoir se connecter sur notre serveur PPTP : Cliquez sur : Démarrer -> Paramètres -> Connexion réseau

Cliquez sur : Créer une nouvelle connexion

www.udivers.com

PopTop
www.udivers.com www.thmemgallery.com

 Connexion au serveur

www.udivers.com

PopTop
www.udivers.com www.thmemgallery.com

 Connexion au serveur

www.udivers.com

PopTop
www.udivers.com www.thmemgallery.com

www.udivers.com

SOLUTION OpenVPN
www.udivers.com www.thmemgallery.com

Pourquoi OpenVPN ? Installation

OpenVPN

Configuration Configuration des clients

Connexion au serveur

www.udivers.com

Présentation
www.udivers.com www.thmemgallery.com

OpenVpn est la référence Open Source dans le domaine du VPN. Cette solution ne se base pas sur les standards VPN tel que IPSec mais sur une surcouche de SSL. Il n'est donc pas compatible avec les solutions hardwares qu'offre certains routeur/modem et nécéssite l'installation d'un client logiciel. Heureusement, ce client est disponible pour la plupart des systèmes d'exploitation ( Windows, Mac OS X, Linux, BSD). Il existe même un portage pour les PocketPC.

www.udivers.com

Installation
www.udivers.com www.thmemgallery.com

1- Installation du serveur
le serveur pour authentifier les utilisateurs, leur fournir une adresse ip dans le réseau virtuel ainsi qu'éventuellement fournir les différentes informations de routages dans certains cas complexes. la communication est chiffrée à l'aide de openSSL, cela implique donc la nécessité de plusieurs certificats :    Un certificat racine, qui sera utilisé pour signer à la fois le certificat du serveur et les certificats des clients Un certificat serveur, qui servira à chiffrer la communication Un ou plusieurs certificats client, optionnels, qui serviront à authentifier les utilisateurs Les deux premiers certificats sont obligatoires, mais les certificats client uniquement dans le cas d'authenfication par certificat est utilisée. Un autre possibilité existe, basée sur un couple utilisateur/mot de passe.

www.udivers.com

Installation
www.udivers.com www.thmemgallery.com

Récupérez et installez

 La librairie LZO : http://www.oberhumer.com/opensource/lzo/download/lzo-1.08.

tar zxvf lzo-1.08.tar.gz cd lzo-1.08 ./configure && make && make check && make test make install (avec le compte root)  La librairie openssl : http://www.openssl.org/source/openssl-0.9.7e.tar.gz tar zxvf openssl-0.9.7e.tar.gz ./config && make && make test && make install  Brctl : http://prdownloads.sourceforge.net/bridge/bridge-utils-1.0.4.tar. tar zxvf bridge-utils-1.0.4.tar.gz cd bridge-utils-1.0.4 ./configure && make && make install

www.udivers.com

Installation
www.udivers.com www.thmemgallery.com

Télécharger l'archive sur www.openvpn.sourceforge.net : http://prdownloads.sourceforge.net/openvpn/openvpn-2.0_rc6.t      tar zxvf openvpn-2.0_rc6.tar.gz cd openvpn-2.0_rc6 ./configure make make install

www.udivers.com

Configuration
www.udivers.com www.thmemgallery.com

Fichiers de démarrage  Un fichier d'exemple de configuration est disponible dans le répertoire sample-config-files, A stocker dans :  /etc/init.d/openvpn

www.udivers.com

Configuration
www.udivers.com www.thmemgallery.com

Edition du fichier vars  Le fichier vars contient divers variables qui seront utilisées dans les scripts de génération de clefs. Il est intéressant de prédéfinir certaines d'entres elles afin de ne plus devoir les modifiées durant l'éxécution des scripts, et risquer de faire une faute de frappe.

www.udivers.com

Configuration
www.udivers.com www.thmemgallery.com

générer les différentes clefs :
./build-dh ./build-ca ./build-key-server [NOM DE VOTRE SERVEUR] Vous pouvez aussi a présent générer les clefs des clients : ./build-key [nom de votre client]

www.udivers.com

Configuration
www.udivers.com www.thmemgallery.com

Création du fichier de configuration
 Lors du démarrage du serveur, OpenVPN ira chercher ses fichiers de configuration dans le répertoire /etc/openvpn, un fichier openvpn.conf sera créé dans celui-ci.

www.udivers.com

Configuration
www.udivers.com www.thmemgallery.com

Lancement du serveur
Le lancement du serveur se fait via la commande /etc/init.d/openvpn start

Ou openvpn --daemon --config br_conf.conf --log vpn.log

www.udivers.com

Installation du client
www.udivers.com www.thmemgallery.com

Installation du client sous windows
 il est possible d'utiliser le client Win32 fournit directement par OpenVPN, il existe un outil graphique plus pratique sous Windows : OpenVPN-GUI.  Il est disponible ici : http://openvpn.se/  Il n’ya pas de client pour la distribution windows vista. Installation Il suffit de lancer le programme d'installation et de suivre les étapes

www.udivers.com

Installation du client
www.udivers.com www.thmemgallery.com

Si tout va bien, une icone devrait apparaitre dans la barre des taches :

www.udivers.com

Configuration de client
www.udivers.com www.thmemgallery.com

 il sera nécessaire de récupérer le certificat racine ( ca.crt ), la clé du client ( nomDuClient.key), le certificat du client ( nomDuClient.crt ) ainsi qu'un fichier de configuration.  Le fichier de configuration est identique à celui du client Linux,

www.udivers.com

Configuration de client
www.udivers.com www.thmemgallery.com

Connexion  Dès que le fichier de configuration est placé dans le répertoire, un menu apparait lors d'un click droit sur l'icone de OpenVPNGui :

 si tout est bien fait, voici ce qui se passe lorsque l'on sélectionne "Connect" :
www.udivers.com

Conclusion
www.udivers.com www.thmemgallery.com

Openvpn est très puissant il permet une connexion chiffré et rapide mais n’oublier pas de sécuriser votre environnement réseau en appliquant les règles du par-feu et de ne pas diffuser vos certificats et vous devez les garder dans un endroit sécurisé.

Questions ..???

www.udivers.com

LOGO

www.udivers.com

www.udivers.com

You're Reading a Free Preview

Download
scribd
/*********** DO NOT ALTER ANYTHING BELOW THIS LINE ! ************/ var s_code=s.t();if(s_code)document.write(s_code)//-->