Embed Size (px)
Citation preview
Sécurisation de connexions à distance
par OpenVPN
I. CONTEXTE : 3
II. CAHIER DES CHARGES : 3III. ETUDES DES SOLUTIONS : 3IV. Principe de la solution retenue : 4V. Mise en œuvre du projet : 4
V-1 Installation de OPENVPN : 4V-2 GÉNÉRATION DE L’AUTORITÉ DE CERTIFICATION : 5V-3 GÉNÉRATION DU CERTIFICAT ET DE LA CLÉ DU SERVEUR : 7V-4 Configuration du serveur OPENVPN : 9V-5 Générations des certificats pour un poste client : 13V-6 Récupération des fichiers pour la configuration du poste client : 14V-7 Installation de OPENVPN sur un poste client Windows 17V-8 Redirection de port au niveau du routeur internet : 21V-9 Connexion au serveur de fichier à distance via Samba : 23V-10 Mise en place du VPN sur iphone : 26V-11 Récupération d’un ou plusieurs fichiers via SFTP et le téléphone : 34
VI- Conclusion : 36
I. Contexte :
La société Exasys, dont la plupart des employés sont des commerciaux qui travaillent surtout à distance, souhaiterait faciliter et sécuriser les accès aux documents depuis l’extérieur. Pour le moment chaque employé prend les fichiers sur clé USB avant de partir et s’il en oublie il doit contacter un collègue afin qu’on le lui envoie par mail si cela est possible, avec les inconvénients que cela comporte en terme d’actualisation des documents et de délais de traitement. L’objectif est de trouver une solution pour faciliter la récupération de documents en gardant la sécurité des fichiers au maximum.
II. Cahier des charges :
L’entreprise Exasys souhaiterait que ses employés puissent accéder aux fichiers de l’entreprise en temps réel à l’aide de leur ordinateur et ou de leur téléphone ou tablette afin de récupérer des fichiers professionnels, tout cela à moindre coup et bien sûr avec le maximum de sécurité.
III. Etudes des solutions :Quelques offres du marché :
Pour répondre à la demande de l’entreprise Exasys, plusieurs solutions sont possibles. Il serait possible d’utiliser un serveur FTP qui permettrais un accès à distance aux fichiers mais difficile de gérer les accès au FTP un utilisateur pourrait donner son nom d’utilisateur et mot de passe à n’importe qui. L’autre solution serait de prendre un abonnement à un service cloud pour stoker tous les fichiers nécessaires au employés via une entreprise tiers, mais cette solution peut s’avéré très couteuse et si le contenu et confidentiel difficile de s’assurer qu’il n’y ai pas de fuite, mais cette solution est performante au niveau de la sauvegarde de fichiers. La solution VPN s’adapte à la demande de l’entreprise, il possible de filtrer au maximum son utilisation mais aussi toute les communications entre le serveur et le poste client seront cryptées et toutes les données reste dans l’entreprise.Il existe plusieurs solutions payante ou gratuite pour répondre à la demande de l’entreprise Exasys. Plusieurs logiciels proposent le service d’une connexion sécurisée à distance, par exemple :Mobile Pass : Crée par l’éditeur SafeNet, ce logiciel utilise une authentification par mot de passe à usage unique avec un token configurables qui permet une sécurité sophistiquée.
Junos pulse : Ce logiciel édité par Juniper permet de répondre aux besoins de connectivité et d'accès sécurisé pour les employés itinérants ayant besoin d'être connectés en permanence au réseau d'entreprise.
Ces deux logiciels étant payant ceci ne convient pas à l’entreprise Exasys qui souhaiterais que la mise en place de se nouveau service se fasse à moindre coup. Pour les logiciels gratuits il est possible d’utiliser OPENVPN c’est un logiciel libre permettant de créer un réseau privé virtuel (VPN), Son rôle est de "tunneliser", de manière sécurisée, des données
sur un seul port TCP/UDP à travers un réseau non sûr comme Internet et ainsi établir des VPNs. Ce sera donc cette solution qui sera retenue.
IV. Principe de la solution retenue :
Le logiciel OpenVPn a été choisi voici le schéma de principe :
Il y’a 3 serveur : Serveur OPENVPN / Serveur SAMBA / Serveur SFTP. Le commercial est compte à lui en réunion sur un site distant, il est connecter à internet via le routeur du site. Grâce à logiciel OPENVPN installé sur son poste client il peut se connecter au réseau local de son entreprise Exasys. Pour les smartphones cela fonctionne de la même façon mais via la connexion 3G.
V. Mise en œuvre du projet :
V-1 Installation de OPENVPN :
Pour installer OPENVPN il faut penser à mettre à jour les paquets de Debian :
#debian : apt-get update && apt-get install openvpn \\ cette commande mets à jour les paquets de Debian et par la suite installe le serveur openvpn.
Une fois le serveur installé il faut déplacer un dossier « easy-rsa » qui contient tous les scripts pour générer les certificats, pour qu’il soit plus accessible pour cela il faut se connecter en root pour toute la suite de la documentation :
#debian : cp -a /usr/share/easy-rsa /etc/openvpn/ \\ cette commande copie le dossier easy-rsa dans le chemin /etc/openvpn
V-2 Génération de l’autorité de certification :
Maintenant on va commencer par faire un nettoyage du dossier keys qui contient tous les certificats et les .key, pour cela il faut déplacer dans le dossier /etc/openvpn/easy-rsa :
#debian : cd /etc/openvpn/easy-rsa \\ cette commande permet d’accéder au dossier voulu #debian : source vars \\ cette commande charge les paramètres par défaut du fichier vars #debian : ./clean-all \\ cette commande lance un script qui supprime les clés stockées dans le dossier keys
Il est possible d’éditer le fichier vars pour le mettre avec les paramètres par défaut voulus
#debian : nano /etc/openvpn/easy-rsa/vars \\ nano permet la modification de fichier texte
modifier les données du pays ou de la ville par exemple :
Quitter et sauvegarder le fichier (ctrl+x). Maintenant il faut Crée les certificats de l’autorité de certification :
#debian : /etc/openvpn/easy-rsa/# ./build-ca \\ cette commande permet de générer le certificat de l’autorité de certification OPENVPN.
Si vous avez édité le fichier « vars » il est possible de laisser tout par défaut :
il est possible de vérifier que les fichiers ont bien été créés dans le dossier keys :
#debian : /etc/openvpn/easy-rsa# ls –l keys \\ cette commande affiche le contenu du dossier keys ou se trouve le premier certificat du serveur OPENVPN.
On génère maintenant la clé Diffie-Hellman qui sert à sécuriser les échanges, attention cette partie peut prendre quelque minute :
#debian : openssl dhparam -out /etc/openvpn/dh2048.pem 2048 \\ cette commande génère une clé qui permettra la sécurisation des échanges lors de la connexion au VPN, dans le dossier /etc/openvpn.
V-3 Génération du certificat et de la clé du serveur :
Maintenant il va falloir générer les certificats du serveur OPENVPN :
#debian : /etc/openvpn/easy-rsa# ./build-key-server debian \\ cette commande exécute le script build-key-server pour la création des certificats, c’est suivi du nom que l’on veut donner à ces scripts « debian »
Dans cette configuration il faut juste remplir le « Common Name » qui est le nom du serveur OPENVPN (debian).
A la fin de la création du certificat deux questions seront posées, il faut y répondre oui :
Il faut maintenant vérifier dans le dossier keys, que les certificats et les clés se soient bien crées.
#debian : /etc/openvpn/easy-rsa/ls –l keys \\ cette commande affiche le contenu du dossier keys
Le certificat ainsi que la clé du serveur sont créé, il est conseillé de les copier dans le dossier OPENVPN pour faciliter la configuration pour cela :
#debian : cp /etc/openvpn/easy-rsa/keys/{debian.crt,debian.key,ca.crt} /etc/openvpn \\ cette commande permet de copier les fichier debian.crt & debian.key dans le dossier OPENVPN
Vérification que tous les fichiers soient dans le dossier OPENVPN :
V-4 Configuration du serveur OPENVPN :
Tout d’abord il faut copier la configuration par défaut de OPENVPN, pour cela la commande gunzip sera utilisée :
#debian : gunzip -c /usr/share/doc/openvpn/examples/sample-config-files/server.conf.gz > /etc/openvpn/server.conf \\ dézippe l’archive server.conf.gz dans le dossier /etc/openvpn
Maintenant il est possible d’éditer le fichier server.conf de OPENVPN :
#debian : nano /etc/openvpn/server.conf \\ édite le fichier de configuration de OPENVPN
Voici les modifications à apporter au fichier, dans un premiers temps que le service tourne sous un utilisateur non dangereux, cherchez ces lignes et décommettez-les (enlevez le ‘;’ en début de ligne) :
user nobodygroup nogroup
Dans la partie « ca, cert, key » il faut donner le chemin du certificat de l’autorité, le chemin du certificat du serveur et sa clé, le dossier par défaut et openvpn dans notre cas on peut laisser par défaut si jamais ils auraient été dans le dossier keys par exemple le chemin aurait été /etc/openvpn/easy-rsa/keys/ca.crt
Maintenant il faut paramétrer le Deffie Hellman qui a été généré plus haut pour Cela il faut modifier la ligne ci-dessous en dh2048.pm :
Le serveur OpenVPN sera la passerelle par défaut et les clients qui s’y connecteront seront invités à router tout leur trafic vers le VPN donc il faut dé-commenter la ligne ci-dessous (voir schéma au début de la documentation) :
Il est aussi possible que durant la connexion VPN les postes client puisse accéder à internet pour cela il faut dé-commenter la ligne « push "dhcp-option DNS 8.8.8.8" » remplacer 8.8.8.8 par votre DNS :
Quittez et sauvegardez le fichier.
Lancement du serveur OPENVPN :
Maintenant il est possible de démarrer le serveur OPENVPN tout d’abord pour vérifier s’il démarre correctement :
#debian : openvpn /etc/init.d/server.conf \\ cette commande démarre le service openvpn
Il faut vérifier que la carte réseau VPN tun0 a été bien crée :
#debian : ifconfig \\ permet d’afficher toute les cartes réseaux du serveur
Le serveur doit pouvoir router le trafic vers d’autres machines ou sur internet pour cela il faut activer le routage sur le serveur dans le fichier /etc/sysctl.conf
#debian : nano /etc/sysctl.conf \\ cette commande permet de modifier le fichier sysctl.conf
Il faut dé-commenter la ligne net.ipv4.ip_forward=1 :
Quittez et sauvegardez le fichier. Et il faut recharger la configuration :
#debian : sysctl -p /etc/sysctl.conf \\ cette commande recharge la configuration du fichier sysctl.conf
Il faut maintenant activer le NAT au niveau du pare-feu pour permettre au serveur de translate notre IP avec celle du serveur pour cela on va utiliser les commandes « iptables-persistent» :
#debian : apt-get remove ipmitool \\ cette commande permet de désinstaller le logiciel ipmitool. #debian : apt-get update && apt-get install iptables-persistent \\ mettre à jour les paquets et installer iptables-persistent.
Maintenant on va charger de nouvelles règles :
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE iptables -t nat -A POSTROUTING -s 10.8.0.0/24 -o eth0 -j MASQUERADE
Sauvegardez les règles en faisant :
#debian : /etc/init.d/netfilter-persistent save \\ cette commande permet de sauver les règles de filtrages au prochain démarrage.
Maintenant il faut rebooter le serveur en tapant la commande :
#debian : reboot
V-5 Générations des certificats pour un poste client :
Pour générer des certificats pour des postes clients comme plus haut, il faut utiliser les scripts du dossier « easy-rsa » :
#debian : /etc/openvpn/easy-rsa# source vars \\ récupère les informations du fichier vars #debian : /etc/openvpn/easy-rsa#. /build-key « nom du poste » \\ lancement du script pour générer le certificat du poste client.
Entrez le nom du poste client dans le hostname puis « yes » & « yes » et rendez-vous dans le dossier keys pour vérifier que les fichiers ont été créés :
#debian : /etc/openvpn/easy-rsa# ls –l keys
V-6 Récupération des fichiers pour la configuration du poste client :
Pour configurer le poste client, il faut récupérer les fichiers ca.crt, client1.crt, client1.key qui sont sur le serveur pour cela il est possible soit d’utiliser samba soit un serveur FTP dans mon cas j’utiliserais samba :
#debian : apt-get update && apt-get install samba \\ cette commande mets à jour les paquets de Debian et install Samba.
#debian : nano /etc/samba/ smb.conf \\ modification du fichier smb.conf
Dans la partie « netlogon » du fichier de configuration rajouter le partage pour le keys comme ceci :
[keys]Path = /etc/openvpn/easy-rsa/keys Writeable = yes
Pour avoir accès au partage il faut créer un utilisateur par exemple « anthony » puis on va lui donner accès aux services samba avec la commande « smbpasswd -a MonCompte MonMotdePasse »
#debian : adduser anthony \\ rajoute l’utilisateur anthony #debian : smbpasswd -a anthony MonMotdePasse \\ création d’un mot de passe pour samba
Pour pouvoir accéder au dossier keys il faut avoir les droits sur le dossier pour cela il faut utiliser la commande « chmod » :
#debian : /etc/openvpn/easy-rsa# chmod 775 keys \\ cette commande permet l’accès au fichier le 7 signifie contrôle total et 5 seulement en lecture de gauche à droite user / groupe / autres
Le fichier .key par défaut ne peut pas être copié, il faut donc changer les droit dessus la même commande que vu au-dessus ou utiliser « chmod –R »:
#debian : /etc/openvpn/easy-rsa/keys# chmod 775 client1.key \\ cette commande donne les droits sur le fichier debian.key
Sur le poste client, il faut connecter un lecteur réseau pour récupérer les certificats, pour cela rendez-vous dans ordinateur et Connecter un lecteur réseau :
Maintenant il faut rentrer les informations du serveur et du partage samba c’est-à-dire L’IP du serveur avec le nom de partage samba dans mon cas « \\192.168.0.20\keys », il faut aussi cocher la case Se connecter à l’aide d’information différentes :
Une autre fenêtre s’ouvre afin de renseigner le nom d’utilisateur et le mot de passe pour s’identifier, taper le nom d’utilisateur samba crée plus haut ainsi que son mot de passe, dans mon cas « Anthony » :
Maintenant on peut accéder au partage :
V-7 Installation de OPENVPN sur un poste client Windows
Il faut télécharger le logiciel OPENVPN CLIENT qui se trouve sur le site de openvpn ( https://openvpn.net/index.php/open-source/downloads.html ). Une fois téléchargé lancer le .exe :
Une fois l’installation terminée il faut paramétrer OPENVPN avec le fichier de configuration par défaut qui se trouve dans C:\programme\opepenvpn\sample-config, il faut le copier et le coller dans C:\programme\opepenvpn\config :
Il faut le coller dans C:\programme\opepenvpn\config :
Dans ce même dossier il faut copier 3 fichiers à partir du lecteur réseau keys, ca.crt, client1.crt, client1.key :
Puis les coller dans dossier C:\programme\opepenvpn\config :
Maintenant il faut éditer le fichier config.ovpn pour cela un double clique dessus suffit. Dans ce fichier il faudra renseigner l’IP du serveur (192.168.0.20) ainsi que les noms des certificats :
Sauvegarder puis fermer le fichier. Il est maintenant possible de se connecter au VPN via notre poste client, pour cela il faut cliquer droit sur l’icône du bureau de OPENVPN et l’exécuter en administrateur :
Ensuite rendez-vous dans la barre des tâches un nouvelle icone est apparus, faire un clic droit dessus puis connecter :
La connexion commence :
Un message de confirmation de connexion apparait :
V-8 Redirection de port au niveau du routeur internet :
Pour mettre en place le serveur OPENVPN à distance il faut tout d’abord connaître son IP public, beaucoup de site propose de vous trouver cette information comme http://www.mon-ip.com . Exasys a comme IP public 88.151.149.156
Maintenant pour que le routeur ADSL laisse passer une autre adresse IP il faut ouvrir un port et le rediriger vers notre serveur OPENVPN pour cela il faut aller dans les configuration du routeur ADSL, Exasys est chez le FAI Free, pour accéder au fonction avancée du routeur il faut aller sur l’IP 192.168.1.1 :
Une fois dans les paramètres il faut aller dans gestion des ports :
Il faut maintenant ajouter un port :
Puis il faut renseigner les informations de notre serveur la redirection vers notre serveur 192.168.0.20 le port et 1194 et le choix du Protocol TCP ou UDP pour ma part j’ai choisi du TCP :
Sauvegarder est redémarré le routeur ADSL
Maintenant dans le fichier de configuration du poste client il faut modifier l’adresse du serveur et mettre l’IP public, il faudra aussi modifier le Protocol car par défaut il est en UDP :
Sauvegarder et quitter, il est possible de tester la connexion en local pour cela il suffit de se connecter.
V-9 Connexion au serveur de fichier à distance via Samba :
Pour se connecter au serveur de fichier via samba par exemple il faut tout d’abord lancer la connexion du VPN comme ceci :
il faut cliquer droit sur l’icône du bureau de OPENVPN et l’exécuter en administrateur :
Ensuite rendez-vous dans la barre des tâches un nouvelle icone est apparus, faire un clic droit dessus puis connecter :
La connexion commence :
Un message de confirmation de connexion apparait :
Il est maintenant possible de connecter un lecteur réseau (qui se trouve dans le réseau local de l’entreprise)
L’adresse IP du serveur de fichier de la société Exasys est le 192.168.0.20 et le nom d’utilisateur souhaité ce qui donne (\\192.168.0.20\Anthony) :
Il faut cocher les deux cases pour éviter de refaire la même manipulation comme ça à chaque connexion avec le VPN le lecteur se connectera automatiquement. Maintenant il faut entrer le nom d’utilisateur et le mot de passe :
Le lecteur réseau est maintenant monté et il est possible de récupérer ce que l’on veut.
V-10 Mise en place du VPN sur iphone :
L’entreprise aimerai que c’est commercial puisse accéder à leur réseau via leurs téléphones en l’occurrence des IPhone, l’application OPENVPN existe aussi sur iPhone et sur android rendez-vous dans l’ APP store pour la télécharger.
Dans l’APP store il suffit de taper OpenVPn et de télécharger l’application
Pour générer le certificat il faut le nom de iPhone pour cela rendez-vous dans réglage / général / information
Une fois l’application téléchargée il faut générer les certificats au niveau du serveur OPENVPN, Pour générer des certificats pour des postes clients comme plus haut, il faut utiliser les scripts du dossier « easy-rsa » :
#debian : /etc/openvpn/easy-rsa# source vars \\ récupère les informations du fichier vars #debian : /etc/openvpn/easy-rsa#. /build-key « nom du poste » \\ lancement du script pour générer le certificat du poste client
Vérification de la création des fichiers :
#debian : /etc/openvpn/easy-rsa# ls –l keys \\ cette commande affiche le contenu du dossier keys
Pour pouvoir récupérer ces trois fichiers il faut changer les droits sur le fichier iphone_anthony.key, il faut utiliser la commande chmod :
#debian : /etc/openvpn/easy-rsa# chmod 775 iphone_anthony.key
Récupérer les fichiers (ca.crt, iphone_anthony.crt, iphone_anthony.key) grâce au partage samba « keys » il nous faudra aussi le fichier de configuration client.ovpn il suffit de prendre celui du client1 (vu plus haut) :
Maintenant il faut ouvrir le fichier client.ovpn pour le paramétrer si c’est celui du client1, on laisse comme c’est à part au niveau de la déclaration des certificats il faut commenter les lignes :
Petite particularité l’Iphone ne peut lire les fichiers .key et .crt il va falloir les copier en dur dans le fichier de configuration en XML pour cela il faut ouvrir chaque fichier avec le bloc-notes et le copié dans le client.ovpn :
Puis on le colle dans le fichier client.ovpn en utilisant les balises suivantes
<ca>………………………</ca>
<cert>……………………….</cert>
<key>……………………….</key>
Enregistrer et fermer le fichier, maintenant il faut retourner dans itunes pour y ajouter le fichier aller dans APPS :
Dans la section partage de fichier allez dans OPENVPN et ajouter un fichier :
Puis synchroniser l’iPhone :
Maintenant aller sur l’iPhone et cliquer sur l’appli OPENVPN et ajouter le profil et connecter vous :
Vous êtes maintenant connecté avec votre iPhone au VPN, il est possible de le faire sur un IPad en répétant la même technique.
V-11 Récupération d’un ou plusieurs fichiers via SFTP et le téléphone :
Tout d’abord il faut aller télécharger l’application pour utiliser la FTP via le téléphone dans l’APP STORE :
Télécharger l’application, une fois l’installation terminer il faut la paramétrer c’est-à-dire renseigner le FTP :
Maintenant il faut se connecter en VPN pour utiliser le FTP en local, il faut ouvrir l’application OPENVPN et se connecter :
Une fois connecté au VPN il faut rouvrir l’APP FTP et lancer la connexion à mon FTP :
Et voilà vous êtes maintenant connecté en ayant la possibilité de récupérer un fichier :
VI- Conclusion :
Chaque employé peut maintenant accéder à ces dossiers depuis l’extérieur en toute sécurité, ce qui permet à l’entreprise Exasys un gain de temps et d’éviter de perdre des données.
