DISTANT ACESS cryptographie, l'autorité de certification (AC ou CA) a pour mission, après vérification de l'identité du demandeur du certificat par une autorité d'enregistrement,

DISTANT ACESS

Emna TRABELSI (RT3)Chourouk CHAOUCH (RT3)Rabab AMMAR (RT3)Rania BEN MANSOUR (RT3)Mouafek BOUZIDI (RT3)

DISTANT ACESS


DISTANT ACESS


DISTANT ACESS |SECURIDAY 2014 ACCESS CONTROL

1

TABLE DES MATIERESI. PRESENTATION DE L’ATELIER .......................................................................................2

1. PRESENTATION GENERALE ......................................................................................2

2. ACCES DISTANT SECURISE : VPN ..............................................................................2

II. PRESENTATION DES OUTILS UTILISES .............................................................................2

1. OPEN VPN........................................................................................................2

2. SERVEUR OPENVPN SUR L’ENVIRONNEMENT LINUX (UBUNTU) .......................................3

3. CLIENT OPENVPN SUR L’ENVIRONNEMENT LINUX (UBUNTU) ..........................................4

4. AUTRES NOTIONS ET BIBLIOTHEQUES UTILISES :............................................................5

III. TOPOLOGIE DE RESEAU ............................................................................................8

IV. CONFIGURATION DES OUTILS .....................................................................................9

1. CONFIGURATION DU SERVEUR OPEN VPN ..................................................................9

2. CONFIGURATION DU CLIENT OPEN VPN ...................................................................13

V. UN SCENARIO DE TEST ............................................................................................15

VI. CONCLUSION ......................................................................................................16


1





1. OPEN VPN........................................................................................................2









VI. CONCLUSION ......................................................................................................16


1





1. OPEN VPN........................................................................................................2









VI. CONCLUSION ......................................................................................................16


2

I. Présentation de l’atelier1. Présentation généraleL’atelier ‘’ Distant Access ‘’ est un atelier destiné à implémenter une solution pour assurer unaccès distant à une machine d’une manière bien sécurisé via la création d’un réseau privévirtuel VPN.

2. Accès distant sécurisé : VPNLe besoin consiste principalement à accéder à un réseau distant en assurant la sécurité detransmission des données, la solution est de concevoir une liaison spécialisée pour relier lesdeux réseaux. Donc On parle alors de réseau privé virtuel (VPN : Virtual Private Network)pour désigner le réseau ainsi artificiellement créé.

Le principe est d’encapsuler les données à transmettre (via Internet) de façon chiffrée.Ce réseau est dit virtuel car il relie deux réseaux "physiques" (réseaux locaux) par une liaisonnon fiable (Internet), et privé car seuls les ordinateurs des réseaux locaux de part et d'autredu VPN peuvent "voir" les données.

II. Présentation des outils utilisés1. OPEN VPN

OpenVPN est un logiciel libre permettant de créer un réseau privé virtuel (VPN).


2







2







3

a. Principe de fonctionnement

Le principe consiste à permettre à des pairs de s'authentifier entre eux à l'aide d'une cléprivée partagée à l'avance, de certificats électroniques ou de couples de nomsd'utilisateur/mot de passe. Il utilise de manière intensive la bibliothèque d'authentificationOpenSSL ainsi que le protocole SSLv3/TLSv1 , offrant ainsi de nombreuses fonctions desécurité et de contrôle.

Le logiciel contient un exécutable pour les connexions du client et du serveur, un fichier deconfiguration optionnel et une ou plusieurs clés suivant la méthode d'authentificationchoisie.

L’avantage principal d’OpenVPN est de pouvoir interconnecter plusieurs réseaux (ouplusieurs ordinateurs distants) entre eux via une technique de « tunnel », et cela de manièresécurisée à l’aide du protocole SSL. Il existe deux modes de fonctionnement d’OpenVPN :

le mode « bridge », qui permet d’interconnecter plusieurs réseaux distants. Le mode « routed », qui permet d’interconnecter des machines distantes, et donc

d’appliquer un filtrage plus précis.

2. Serveur OPENVPN sur l’environnement Linux (Ubuntu)

Un VPN, ou Virtual Private Network (pour réseau privé virtuel) vous permet de créer uneconnexion sécurisée entre votre ordinateur et le serveur VPN. Cette connexion étantcryptée, vous allez pouvoir naviguer sur Internet par exemple en utilisant le serveur VPNcomme relai.

Cette sécurité, ce cryptage est valable pour une connexion filaire ou Wifi et empêche toutemalveillance ou surveillance.

Un des gros avantages d’utiliser un serveur VPN est que toutes les données qui passent parce serveur VPN, aussi bien des données entrantes que des données sortantes, sont cryptées.Il vous sera donc possible de naviguer sur Internet de manière totalement anonyme puisquec’est le serveur VPN qui fera le relai entre votre machine et les différents hôtes distants.

Le schéma suivant illustre le fonctionnement d’un serveur VPN:


3













3













4

Pourquoi utiliser un serveur VPN ?

Comme l’utilisation d’un serveur VPN permet d’assurer un minimum de sécurité, elle nouspermet également d’un ensemble d’avantages, qui sont :

données cryptées adresse ip camouflée par celle du serveur VPN anonymat sur Internet navigation plus rapide qu’au travers d’un proxy téléchargements sécurisés contourner les restrictions de certains réseaux (universités, certains pays, etc…)

3. Client OPENVPN sur l’environnement Linux (Ubuntu)

Le client OpenVPN permet de se connecter à un réseau privé virtuel sur lequel tourne unserveur OpenVPN. Ce type de réseau est fréquemment utilisé pour permettre un accèsprotégé à des réseaux d'entreprise à partir de n'importe quelle connexion internet. Onpourra citer d'autres types de VPN comme les VPN Cisco, IPSEC, PPTP, L2TP et SSH. Les plusrépandus étant les Cisco (éventuellement propriétaire) et les OpenVPN


4







4







5

Afin de permettre aux clients de bénéficier du trafic Internet, on peut activer lafonctionnalité de routage des paquets IP de la machine hébergeant le service VPN, ainsi quela translation d'adresses NAT des paquets clients, ce qui permet évidemment uneconnexion Internet sécurisé et absolument anonyme.

4. Autres Notions et bibliothèques utilisés :

PKI : (Public Key Infrastructure)

PKI (Public Key Infrastructure) est un système de gestion des clefs publiques qui permet degérer des listes importantes de clefs publiques et d'en assurer la fiabilité, pour des entitésgénéralement dans un réseau. Elle offre un cadre global permettant d'installer des élémentsde sécurité tels que la confidentialité, l'authentification, l'intégrité et la non-répudiation desdonnées.

En résumé, ces services sont les suivants :

enregistrement des utilisateurs (ou équipement informatique) ;

génération de certificats ;

renouvellement de certificats ;

révocation de certificats ;

publication de certificats ;

publication des listes de révocation (comprenant la liste des certificats révoqués) ;

identification et authentification des utilisateurs (administrateurs ou utilisateurs qui

accèdent à l'ICP) ;

archivage, séquestre et recouvrement des certificats (option).


5
















5
















6

OpenSSL

Le package OpenSSL contient des outils de gestion et des bibliothèques en relation avec lacryptographie. Ils sont utiles car ils apportent des fonctions de cryptographie aux autrespackages.

Le package OpenSSL contient c_rehash, openssl, et les bibliothèques libcrypto et libssl.

c_rehash est un script Perl qui recherche tous les fichiers d'un répertoire et ajoute des lienssymboliques vers leur valeurs hachés.

Le programme openssl est un outil en ligne de commande pour utiliser les différentesfonctions de cryptographie de la bibliothèque d'OpenSSL à partir du shell. Il peut être utilisépour différentes fonctions, documentées dans man 1 openssl.

La bibliothèque crypto d'OpenSSL implémente une grande variété d'algorithmes decryptographie, utilisés dans de nombreux standards Internet. Les services proposés par cettebibliothèque sont utilisés par les implémentations OpenSSL de SSL, TLS et S/MIME, et ils sontaussi utilisés pour implémenter OpenSSH, OpenPGP et d'autres standards cryptographiques.

La bibliothèque ssl d'OpenSSL implémente les protocoles 'Secure Sockets Layer' (SSL v2/v3)et 'Transport Layer Security' (TLS v1). Elle apporte une API riche dont la documentation estdisponible en lançant man 3 ssl.

Certificate Authority CA :

En cryptographie, l'autorité de certification (AC ou CA) a pour mission, après vérification del'identité du demandeur du certificat par une autorité d'enregistrement, de signer, émettreet maintenir.

L'autorité de certification (AC) opère elle-même ou peut déléguer l'hébergement de la cléprivée du certificat à un opérateur de certification (OC) ou autorité de dépôt. L'AC contrôleet audite l'opérateur de certification sur la base des procédures établies dans la Déclarationdes Pratiques de Certification. L'AC est accréditée par une autorité de gestion de la politiquequi lui permet d'utiliser un certificat renforcé utilisé par l'OC pour signer la clé publiqueselon le principe de la signature numérique. Sur le plan technique, cette infrastructure degestion des clés permet ainsi d'assurer que


6

OpenSSL











6

OpenSSL











7

les données transmises n'ont pas été modifiées durant le transfert : intégrité parhachage des données

les données proviennent bien de l'émetteur connu : utilisation de clés et répudiation

On note que l'utilisation de certificat se fait en mode non sécurisé (HTTP) et est la premièreétape utilisée entre un client et un serveur avant l'ouverture d'une connexion en modesécurisé (HTTPS). SSL est le protocole qui permet de chiffrer les données sur HTTP lorsd'échange de données sur le réseau. La clé de chiffrement-déchiffrement est identique lorsd'algorithmes symétriques dits à clef secrète (connue de l'émetteur et du destinataire) etdifférentes lors d'algorithmes asymétriques dits à clé publique (publique pour tout lemonde, privée personnelle gardée secrètes).

Cryptographie à clé publique

C’ est une méthode de chiffrement qui s'oppose à la cryptographie symétrique. Elle reposesur l'utilisation d'une clé publique (qui est diffusée) et d'une clé privée (gardée secrète),l'une permettant de coder le message et l'autre de le décoder. Ainsi, l'expéditeur peututiliser la clé publique du destinataire pour coder un message que seul le destinataire (enpossession de la clé privée) peut décoder, garantissant la confidentialité du contenu.

le système de chiffrement RSA (un algorithme de cryptographie asymétrique, nommé parles initiales de ses trois inventeurs : Ronald Rivest, Adi Shamir et Leonard Adleman) utiliseune paire correspondante de clés de cryptage et décryptage. Chaque clé applique auxdonnées une modification à sens unique. Chaque clé représente la fonction inverse del'autre clé : ce que fait l'une, seule l'autre peut l'annuler

• Les clefs publiques sont publiques ... mais elles doivent être associées de manière sûreavec l'identité de leur propriétaire Grâce à des certificats... de clefs publiques• Certificat = une clef publique l'identité du propriétaire de la clef un signature numérique produite par le CA et prouvant l'intégrité du certificat


7









7









8

Les clés en jeu sont celles de l'émetteur et du destinataire géré par le navigateur (cléde chiffrement), la clé temporaire créée par l'émetteur à partir de la clé publique dudestinataire, et les clés du certificat de l'autorité de certification (clé de signatures). La cléprivée ne doit pas être stockée de façon textuelle sur l'ordinateur : on utilise un conteneurde clés. Les données chiffrées par une clé publique ne peuvent être lues que par une cléprivée associée, et inversement.

III. Topologie de réseauOn présente cette topologie adopté dans note cas pour la configuration ci-dessous :


8




8




9

IV. Configuration des outils1. Configuration du serveur Open VPN

On se propose de détailler l'installation du serveur OpenVPN sur une distribution UbuntuServer 12.04.

On commence par installer OpenVPN à partir des dépôts officiels.

a. l'installation des packages

L'authentification des clients/serveur se fera par clés SSL.

b. Générations des clés SSL

Etape1 :

On copie tout d’abord les fichiers dans /etc/openvpn/easy-rsa/

Etape2 :

On édite après /etc/openvpn/easy-rsa/vars, et on change les clés pour qu’ils conviennent lanouvelle Certification, c'est-à-dire renseigne quelques variables dans le fichier vars.


9







Etape1 :


Etape2 :



9







Etape1 :


Etape2 :



10

Etape3 :

On crée le certificat et la clé de l'Autorité de Certification (CA) :

On se positionne sur le répertoire easy-rsa

On change après les droits d’accès pour cette répertoire pour qu’elle soit modifiée en écritpar les administrateurs du système

On lance les scripts de configuration :

On nettoie les clés déjà crées :

Et nous finissons par générer les clés (ca.crt et ca.key) qui seront stockées automatiquementdans un dossier "keys" :

On note que En cryptographie, l'échange de clés Diffie-Hellman, du nom de sesauteurs Whitfield Diffie et Martin Hellman, est une méthode par laquelle deux personnesnommées conventionnellement A et B peuvent se mettre d'accord sur un nombre (qu'ils


10

Etape3 :









10

Etape3 :









11

peuvent utiliser comme clé pour chiffrer la conversation suivante) sans qu'une troisièmepersonne appelée C puisse découvrir le nombre, même en ayant écouté tous leurs échanges

Nous devons maintenant générer les clés d'authentification du serveur :

# Création du certification et du clés de serveur

c. Fichier de configuration du serveur

On doit créer un fichier de configuration server.conf dans le répertoire /etc/openvpn.

Pour cela on commence par le création de couples de scripts qui vont être utilisés par par leserveur openvpn

Puis on crée le deuxième Script :

Et on doit les rendre exécutables comme suit :


11










11










12

Après on passe au fichier de configuration du serveur

Le contenu du fichier est le suivant :

Il ne reste plus qu'a copier les certificats SSL nécessaires au serveur


12





12





13

On relance le serveur openVPN après :

2. Configuration du Client Open VPN

Maintenant, comme le serveur OpenVPN est correctement configuré et que le routage estfonctionnel, nous allons créer un compte client pour pouvoir nous connecter dessus etl’utiliser.

Dans la configuration du notre client on déplace les fichiers suivants du serveur :

ca.crt : certificat de l'Autorité de Certification

client1.crt : certificat du client1

client1.key : clé du client1

ta.key : clé utilisée pour tls-auth

On remarque bien l’existence des fichiers cités la dessus dans notre machine cliente

Apres avoir tous ces fichiers sur notre client on édite le fichier de la configuration du client« client.conf »de la même façon que le serveur.


13












13












14

NB : les informations dans « client.conf » doivent être compatibles avec le fichier duconfiguration du serveur « server.conf » et c’est très important pour la réussite de laconnexion serveur-client.

Voila notre fichier de la configuration « client.conf » :

On vérifie l’existence du fichier « client.conf »

On lance notre service openvpn sur la machine cliente :


14






14






15

On vérifie l’existence de l’interface tunnel sur notre machine cliente :

V. Un scénario de testLe test de La connexion cLient-serveur se fait comme d'habitude avec La commande Pingadresse IP du serveur. Pour Le cas de test, notre adresse IP est Le 192.168.153.129. Ce testdonne une statistique de La connexion en rapport avec Le nombre de paquets envoyés,reçus et perdus.

Pour la sécurité des paquets échangés entre client-serveur. Le dh permet tout simplementde crypter les paquets lors des différents échanges pour éviter que ces derniers soientperçus par des tierces personnes, ce qui est l’objectif par excellence d’une connexion au seind’un réseau VPN.


15





15





16

La commande ./build-dh, lorsque elle est exécutée , elle donne le résultat suivant :

La figure ci-dessous donne un exemple d'un message crypté par un (clé RSA).

Remarque :

On note que lorsque le serveur est configuré et qu'une configuration cliente à été créée, il nereste plus qu'à l'importer dans son système d'exploitation favoris pour se connecter auservice VPN. Il existe de nombreux programmes clients, avec ou sans interface graphique.

VI. ConclusionLorsqu'il s'agit d'interconnecter deux réseaux distants (sites distants d'une entreprise) unedes solutions est de louer une "ligne spécialisée" souvent très onéreuse. Une autre de cessolutions consistera à établir une connexion VPN entre les deux sites. Cette connexion devraassurer la confidentialité et l'intégrité des données.

Le système de VPN permet donc d'obtenir une liaison sécurisée à moindre coût, si ce n'est lamise en oeuvre des équipements terminaux.

Il faut mentionner de même qu’il y en a des solutions de VPN payant type « Ipredator » ontfleuri sur la toile. Ces solutions d'anonymat, séduisantes au premier abord, possèdent ungros point noir : qui se cache réellement derrière ces VPN ? N'y a-t-il pas un risque que ces «bienfaiteurs de l'Internet libre » ne revendent un jour toutes les données collectées ?

Donc monter son propre serveur VPN grâce à OpenVPN sera une slution à adopter. Parailleurs, ce VPN pourra aussi vous servir à passer les éventuelles restrictions mises en placesur votre lieu de travail, ou sécuriser votre connexion lorsque vous devez vous connecter surdes réseaux publics peu sécurisés.


16



Remarque :







16



Remarque :







17

Si les connexions VPN constituent une avancé considérable pour l'entreprise, elles sontsource de problème de sécurité pour le réseau d'entreprise. En effet, le poste nomade utiliseun réseau sur lequel l'entreprise n'a aucun contrôle pour atteindre le réseau interne. Il existetrois risques principaux : le nomade devient une passerelle pour l'extérieur, le poste estcontaminé et l'utilisateur n'est pas identifié.

Lors de l'établissement de la connexion, si rien n'est fait, le poste nomade sera connecté à lafois sur un réseau non sûr (internet) et à la fois sur le réseau d'entreprise. Cette situation estparticulièrement dangereuse car un pirate pourra se servir du poste comme passerelle pouraccéder au réseau interne. Afin d'éliminer ce risque, lors de l'établissement de la connexion,la route par défaut sera modifiée afin de router tout le trafic dans le tunnel VPN.

Il peut arriver qu'un poste soit contaminé. Dans ce cas il faudra s'assurer que lacontamination ne soit pas propagée au reste de l'entreprise. Il est possible de réduire cerisque en protégeant l'ordinateur avec une solution logiciel (type antivirus), le poste seraconnecté dans une zone sécurisée du réseau interne (sorte de DMZ pour VPNs) et ons'assurera qu'une alerte est remontée en cas de détection de menace.


17





17




Documents

DISTANT ACESS cryptographie, l'autorité de certification (AC ou CA) a pour mission, après vérification de l'identité du demandeur du certificat par une autorité d'enregistrement,