Télécharger la présentation
La présentation est en train de télécharger. S'il vous plaît, attendez
Publié parIsaïe Chene Modifié depuis plus de 10 années
1
1/04/2004Journées thématiques SIARS (Marseille) 1 Solutions VPN
2
1/04/2004Journées thématiques SIARS (Marseille) 2 Pourquoi faire ? (1) Relier deux réseaux locaux à travers Internet en saffranchissant des filtres en entrée de site. Cest le cas de labos multi-sites ou en cours de déménagement. Permettre laccès à des services internes depuis lextérieur: Avec lamélioration de loffre FAI (Haut débits ADSL), la demande des utilisateurs est de plus en plus forte pour accéder au réseau local du laboratoire de manière transparente… Pourquoi faire? Consulter lintranet du labo, Utiliser la messagerie avec le serveur smtp du labo, Accéder aux partages Windows, Utiliser les logiciels avec jetons, Accéder aux sites de bibliographie en ligne…..
3
1/04/2004Journées thématiques SIARS (Marseille) 3 Comment faire ? Il faut sécuriser les communications Remplacer ou sécuriser tous les protocoles ne chiffrant pas lauthentification ajouter éventuellement le chiffrement des données Solution => créer une connexion chiffrée entre clients et serveurs On parle alors de tunnels applicatifs, tunnels et VPN
4
1/04/2004Journées thématiques SIARS (Marseille) 4 Quelles solutions ? Chiffrer au niveau application (couche 7 ) Créer de nouvelles applications intégrant les fonctions cryptographiques SSH Chiffrer au niveau transport ( couche 4 ) Liaison logique entre des programmes qui chiffrent les communications. SSL (https, pops, imaps …) Chiffrer au niveau réseau ( couche 3 ) Le chiffrement est effectué directement au dessus du support réseau => interface virtuelle
5
1/04/2004Journées thématiques SIARS (Marseille) 5 VPN VPN : Virtual private Network – Réseau privé virtuel Consiste à faire transiter un protocole par lintermédiaire d un autre Application dans IP ( port forwarding ) IP dans IP Ethernet, IPX, appletalk … dans IP Généralisation du concept de tunnel Cest la valise diplomatique de linformatique avec tous les dangers que cela comporte Extension du périmètre de sécurité à des machines externes
6
1/04/2004Journées thématiques SIARS (Marseille) 6 VPN: Types de connexions Réseau à Réseau –Equipe de recherche sur un autre site –Station de mesure => Routage du VPN sur chacun des sites Machine à Réseau –Utilisateurs itinérants => Routage des clients VPN sur le site serveur Machine à Machine
7
1/04/2004Journées thématiques SIARS (Marseille) 7 Que doit assurer un VPN ? Authentification ( de préférence forte ) Intégrité Confidentialité Protection contre le rejeu Eventuellement compression
8
1/04/2004Journées thématiques SIARS (Marseille) 8 PPTP Protocole Ouvert M$ PPTP ( Point to Point Tunneling Protocol ) –RFC 1701, 1702 et 1171 –Microsoft authentification MS/CHAP V2 –Microsoft chiffrement MPPE (RC4 40 ou 128 bits) –PPTP ne fait aucun chiffrement –Utilise deux canaux de communication Port 1723 TCP protocol IP 47 (GRE) pour les données GRE: Generic Routing Encapsulation –établissement d une connexion PPP à l intérieur du canal de donnée éventuellement compressé et crypté
9
1/04/2004Journées thématiques SIARS (Marseille) 9 PPTP Protocole Ouvert M$ A nutiliser que si cest la seule solution Avantages: - Facile à installer (Windows depuis Win95 et Linux) Inconvénients majeurs: - Faiblesse de lauthentification (attaque du mot de passe), - Protocole GRE/IP pas toujours traité sur les routeurs de site ce qui nécessite douvrir tout IP vers le serveur VPN….
10
1/04/2004Journées thématiques SIARS (Marseille) 10 OpenVPN OpenVPN est un système de réseau privé virtuel développé par James Yonan (jim@yonan.net) utilisant la librairie OpenSSL. Il permet une authentification forte des extrémités du tunnel, il supporte les certificats X509 pour authentifier la session,le protocole TLS pour échanger les clés, la possibilité dutiliser un plugin PAM pour authentifier le client sur le serveur). Il existe deux types de tunnels VPN dans le système proposé par James Yonan, " les tunnels IP routés" et " les tunnels par pont ethernet". –Le tunnel " Bridged " ou pont, permet de faire un pont éthernet entre deux réseaux. Cest de lethernet dans IP.Les interfaces VPN et LAN sont alors liées entre elles en une seule entité et permettent de communiquer entre les sous réseaux concernés.
11
1/04/2004Journées thématiques SIARS (Marseille) 11 OPENVPN Le tunnel « routed » consiste à transporter de lIP dans IP, nécessite une modification du routage et de ce fait, simplémente principalement sur des passerelles en tête de réseau.Il ne transmet pas les broadcasts et ne permet pas le partage de fichiers Windows. Le chiffrement du tunnel peut se faire par clé partagée, bi-clés RSA ou certificats. Lutilisation en client-serveur nécessite lutilisation de certificats. Le tunnel utilise le port 5000(ou 1194) par défaut et le protocole UDP (on peut passer en TCP mais ce nest pas recommandé).
12
1/04/2004Journées thématiques SIARS (Marseille) 12 OPENVPN schéma 1 Postes nomades à réseau:
13
1/04/2004Journées thématiques SIARS (Marseille) 13 OPENVPN schéma 2 Réseau à réseau:
14
1/04/2004Journées thématiques SIARS (Marseille) 14 OpenVPN implémentation Le mode choisi ici est un tunnel de type pont. Les essais réalisés ont pour but de connecter les PC nomades au réseau local du laboratoire. Le tunnel fonctionne en client-serveur avec allocation dynamique dadresses IP par le serveur au client. Le client sauthentifie par son certificat personnel CNRS et un login Unix sur le serveur VPN. Les machines utilisées pour monter ce tunnel: Serveur VPN : PC Debian Woody Clients: PC Debian woody, PC Windows 2000
15
1/04/2004Journées thématiques SIARS (Marseille) 15 OpenVPN configuration Préparation du serveur Le serveur doit valider un certain nombre de pré requis afin de pouvoir faire tourner OpenVPN correctement : –Avoir les options noyau correctement paramétrées, –Avoir la librairie LZO installée sur le système, –Avoir les outils de bridging sous Linux ( brctl de Lennert Buytenhek buytenh@gnu.org) - Avoir la librairie OpenSSL installée (ainsi que les composants Dev) Si vous utilisez un Linux de type Debian : apt-get install bridge-utils openssl libssl-dev liblzo1 liblzo-dev
16
1/04/2004Journées thématiques SIARS (Marseille) 16 OPENVPN configuration Pour les autres distributions Linux/Unix : Récupérez et installez : –La librairie LZO : http://www.oberhumer.com/opensource/lzo/download/lzo- 1.08.tar.gz tar zxvf lzo-1.08.tar.gz cd lzo-1.08./configure && make && make check && make test make install (avec le compte root) –La librairie openssl : http://www.openssl.org/source/openssl-0.9.7e.tar.gz tar zxvf openssl-0.9.7e.tar.gz./config && make && make test && make install http://www.openssl.org/source/openssl-0.9.7e.tar.gz –Brctl : http://prdownloads.sourceforge.net/bridge/bridge-utils- 1.0.4.tar.gz tar zxvf bridge-utils-1.0.4.tar.gz cd bridge-utils-1.0.4./configure && make && make install http://prdownloads.sourceforge.net/bridge/bridge-utils- 1.0.4.tar.gz
17
1/04/2004Journées thématiques SIARS (Marseille) 17 OPENVPN configuration Ajout des options dans le kernel si elles ny sont pas : –pour tester: modprobe tun –Localisation du driver tun dans le fichier.config : Device Driver -> Networking support -> Networking Options -> Universal Tun/Tap device driver support -> 802.1d Ethernet Bridging - Recompiler le noyau en validant dans.config le module ci- dessus
18
1/04/2004Journées thématiques SIARS (Marseille) 18 OpenVPN Installation Etapes à réaliser pour linstallation dOPENVPN : Compilation et installation du logiciel Compilation du module PAM pour authentifier les clients Implémentation des certificats CNRS Création du fichier de configuration serveur
19
1/04/2004Journées thématiques SIARS (Marseille) 19 OpenVPN Compilation Télécharger l'archive sur openvpn.sourceforge.net : http://prdownloads.sourceforge.net/openvpn/openvpn-2.0_rc17.tar.gz tar zxvf openvpn-2.0_rc17.tar.gz cd openvpn-2.0_rc17./configure make make install Le logiciel évolue beaucoup, prendre toujours la dernière version
20
1/04/2004Journées thématiques SIARS (Marseille) 20 OpenVPN Compilation du module PAM Ajouter, s il est absent, le module libpam-dev (devlopment files for PAM) - A partir du répertoire dinstallation dopenvpn, aller dans le sous répertoire plugin/auth-pam (attention cette possibilité nexiste que dans la dernière version dOpenVPN) Lancer make, on obtient le module openvpn-auth-pam.so Ce module va être utilisé pour identifier le client dans la base des comptes Unix du serveur.
21
1/04/2004Journées thématiques SIARS (Marseille) 21 OPENVPN Gestion des certificats Création dun répertoire certs pour déposer clé et certificats. Récupération du certificat et de la clé privée du serveur (à demander à la CA CNRS): serveur.key et serveur.crt Concaténation des CA CNRS et CNRS-Standard dans CNRS- total.crt Création des paramètres Diffie Hellman: openssl dhparam –out dh1024.pem 1024
22
1/04/2004Journées thématiques SIARS (Marseille) 22 OpenVPN Création du pont Fichier de mise en place du pont, à lancer au démarrage: #!/bin/bash modprobe tun modprobe bridge openvpn --mktun --dev tap0 brctl addbr br0 brctl addif br0 eth0 brctl addif br0 tap0 ifconfig tap0 0.0.0.0 promisc up ifconfig eth0 0.0.0.0 promisc up ifconfig br0 194.199.99.6 netmask 255.255.255.0 broadcast 194.199.99.255 (on met là ce quon avait avant sur eth0)
23
1/04/2004Journées thématiques SIARS (Marseille) 23 OpenVPN Fichier de configuration serveur Configuration du Serveur pour le mode Ethernet Bridge # # OpenVPN bridge config serveur Linux port 5000 dev tap0 mode server server-bridge 194.199.99.6 255.255.255.0 194.199.99.28 194.199.99.29 # crypto config plugin./openvpn-auth-pam.so other tls-server
24
1/04/2004Journées thématiques SIARS (Marseille) 24 OPENVPN Fichier de configuration serveur (suite) dh /root/vpn_essai/certs/dh1024.pem ca /root/vpn_essai/certs/CNRS-total.crt cert /root/vpn_essai/certs/a3-6.cnrs-mrs.fr.crt key /root/vpn_essai/certs/a3-6.cnrs-mrs.fr.key duplicate-cn persist-key persist-tun ping-timer-rem ping-restart 600 ping 10 comp-lzo user nobody group nobody verb 3
25
1/04/2004Journées thématiques SIARS (Marseille) 25 OPENVPN Lancement du VPN openvpn --daemon --config br_conf.conf --log vpn.log openvpn sinitialise en utilisant le fichier de configuration br_conf.conf et se met en attente dune connexion cliente, les informations sont collectées dans le fichier vpn.log Pour dautres options de lancement: http://openvpn.net/man.html
26
1/04/2004Journées thématiques SIARS (Marseille) 26 Installation du client Windows Récupération et installation de la distribution : openvpn-2.0_rc16-gui-1.0_rc4-install.exe En cliquant sur lexécutable, la distribution sinstalle par défaut dans le répertoire C:\Program Files\OpenVPN et crée le device virtuel TAP. OpenVPN GUI démarre automatiquement et le dossier config (C:\Program Files\OpenVPN\config) est scanné à la recherche de fichiers.ovpn, une icone apparait dans la barre des taches. Récupération du certificat utilisateur et les CA CNRS: Création du fichier de configuration client.ovpn
27
1/04/2004Journées thématiques SIARS (Marseille) 27 Installation du Client Windows Mise en place de lauthentification forte avec les certificats CNRS Standard: –Créer un répertoire certs sous OPENVPN/config où on va mettre tout ce qui concerne lauthentification. –Récupérer les CA CNRS et CNRS-Standard sur le site de lUREC: CNRS.crt et CNRS-Standard.crt, et concaténer les deux dans le fichier CNRS-tout.crt –Exporter à partir du navigateur concerné notre certificat personnel : lemien.p12, le séparer en deux éléments: la clé: openssl pkcs12 -nocerts -in lemien.p12 -out lemien standard.pem le certificat: openssl pkcs12 -clcerts -nokeys -in lemien.p12 -out lemien-standardcrt.pem
28
1/04/2004Journées thématiques SIARS (Marseille) 28 Installation du client Windows Fichier de config du client Windows # # OpenVPN bridge config, windows client side # OK 11-03-05 # remote 194.199.99.6 port 5000 dev tap client tls-client auth-user-pass ca./certs/CNRS-total.crt cert./certs/lemien-standardcrt.pem key./certs/lemien-standard.pem up openvpn.bat ping 10 comp-lzo verb 4
29
1/04/2004Journées thématiques SIARS (Marseille) 29 Installation du client Linux/Unix Linstallation est identique à celle vue ci-dessus pour le serveur La compilation du module PAM est inutile La gestion des certificats est la même que sous Windows Le fichier de configuration du client est le même que pour le client Windows.
30
1/04/2004Journées thématiques SIARS (Marseille) 30 OpenVPN Conclusions Linstallation du logiciel ne présente pas de difficulté particulière sous Linux, est très facile sous Windows (à partir de 2000). Lutilisation des certificats CNRS est un plus (durée de vie des certificats ?) Les communications se font en UDP sur le port 5000, ce qui ne pose pas de problème douverture sur les routeurs. Il faut tester maintenant la résistance du serveur à plusieurs clients simultanés. Attention: Le mode Bridge ne marche pas avec un VPN serveur Windows 2000 (XP ou 2003 seulement).
31
1/04/2004Journées thématiques SIARS (Marseille) 31 Open VPN Références http://www.nbs-system.com/article/openvpn2_howtohttp://www.nbs-system.com/article/openvpn2_howto (en Français) http://openvpn.net/man.html http://openvpn.net/ http://www.pavelec.net/adam/openvpn/bridgehttp://www.pavelec.net/adam/openvpn/bridge (serveur pont Windows) http://www.sans.org/rr/whitepapers/vpns/1459.phphttp://www.sans.org/rr/whitepapers/vpns/1459.php (crypto)
32
1/04/2004Journées thématiques SIARS (Marseille) 32 SSL Explorer SSL-Explorer est un logiciel libre réalisant un VPN construit sur OpenSSL et développé en JAVA (http://sourceforge.net/projects/sslexplorer)http://sourceforge.net/projects/sslexplorer Cest une solution ne nécessitant aucun logiciel spécifique sur les clients, un navigateur suffit (accès https sur le serveur, les plugins JAVA sur le navigateur sont nécessaires). Fonctionnalités: accès aux partages Windows, accès à lintranet par Web-forwarding, redirection de ports, authentification des clients sur Active-Directory ou database locale, Management par interface Web, Possiblité de créer différents profils utilisateurs, Supporté sous Windows 2000/2003 et RedHat (autres Linux aussi..).
33
1/04/2004Journées thématiques SIARS (Marseille) 33 SSL Explorer
34
1/04/2004Journées thématiques SIARS (Marseille) 34 SSL Explorer
35
1/04/2004Journées thématiques SIARS (Marseille) 35 SSL Explorer Installation Récupérer le JRE 5.0 Java run time environnement) Par exemple, sur le site Sun,le fichier jre-1_5_0_01-linux-i586.bin et linstaller. Récupérer SSL-Explorer chez sourceforge.net unzip sslexplorer_linux_gui_0_1_8_01.zip Archive: sslexplorer_linux_gui_0_1_8_01.zip creating: sslexplorer_setup_0_1_8/ inflating: sslexplorer_setup_0_1_8/sslexplorer_linux_0_1_8.sh inflating: sslexplorer_setup_0_1_8/CHANGES inflating: sslexplorer_setup_0_1_8/LICENSE.txt inflating:sslexplorer_setup_0_1_8/SSL_Explorer_Reference_Guide.pdf cd sslexplorer_setup_0_1_8/ ….Rajouter le chemin du binaire java dans le PATH …../sslexplorer_linux_0_1_8.sh ….interface graphique dinstallation… Initialisation du serveur: Lancer setup-sslexplorer Sous le navigateur, se connecter sur http://serveur:28080 et générer un certificat auto-signé, puis ajouter un user, etc…puis shutdownhttp://serveur Lancer alors sslexplorer-console et attendre un moment(…),puis ouvrir sur un navigateur https://serveur, on a accès au login/password du VPN. https://serveur
36
1/04/2004Journées thématiques SIARS (Marseille) 36 SSL Explorer Conclusions Pas beaucoup testé pour linstant, mais : Avantages: Facile à installer et utiliser (Linux et Windows), Voisinage réseau et partages Windows accessibles, Proxy-web pour lintranet, Possibilité de redirection de ports (avec le client java),… Inconvénients: Authentification des utilisateurs insuffisante (les certificats vont arriver dans les prochaines versions), Impossible dinstaller un certificat serveur CNRS, Nécessiter de configurer à la main sur le client les différentes fonctionnalités pas transparent du tout (!)
37
1/04/2004Journées thématiques SIARS (Marseille) 37 VPN Conclusions Cest un outil efficace extrêmement puissant… mais … aussi une arme redoutable très bien authentifier les extémités mais ça ne suffit pas (virus..) Quelques questions : –Pour quels services ? –Ou mettre le point dentrée dans larchitecture réseau ? –Que faut il comme sécurité sur le poste client ? A nutiliser que dans le cadre dune architecture déjà sécurisée
Présentations similaires
© 2024 SlidePlayer.fr Inc.
All rights reserved.