Embed Size (px)
Citation preview
Niveau : 3ISI-MRF
Rapport mini-projet
Réalisé par : Encadré par :
Mr. ELKHATIBI Oussama Mlle. Belghini
Mlle. AANCOUD Jihane
Mr. LOUSIMI Mouad
Année universitaire : 2016/2017
Remerciement
Nous tenons à remercier dans un premier temps, toute l’équipe pédagogique de
l'institut supérieur de génie appliqué et les intervenants professionnels responsables
de la formation d'ingénierie.
Nous profitons de l’occasion pour remercier tout d’abord nos professeurs Mlle Belghini
et Mlle Akasbi qui n’ont pas cessé de nous encourager pendant la durée du projet, ainsi
pour leur générosité en matière de formation et d’encadrement.
Nous les remercions également pour l’aide et les conseils concernant les missions
évoquées dans ce rapport, qu’ils nous ont apporté lors des différents suivis, et la
confiance qu’ils nous ont témoignée.
Nous tenons à remercier nos professeurs de nous avoir incités à travailler en mettant à
notre disposition leurs expériences et leurs compétences.
Table des matières :
Présentation
1. Partie Théorie
1.1. Présentation Réseaux privé
1.2. Présentation Openvpn Access server
2. Partie Pratique
2.1. Installation
2.2. Configuration coté server
2.3. Configuration coté Client
3. Conclusion
4. Webographie
5. Annexe
Introduction .
A l’heure où la mobilité est un argument dans le domaine professionnel, il est nécessaire de
pouvoir travailler pour son entreprise à n’importe quel endroit du monde.
Pour des raisons évidentes de sécurité, toutes les informations indispensables à une
entreprise ne peuvent pas être stockées sur un serveur accessible publiquement depuis
internet. Elles ne sont donc théoriquement pas accessibles depuis un réseau extérieur à celui
de l’entreprise.
Un commercial en déplacement ne peut donc pas accéder aux informations de son entreprise
s’il est en déplacement à l’autre bout du monde ou non connecté au réseau de l’entreprise.
Pour remédier à ce problème, la technologie VPN (Virtual Private Network) a été mise en
place afin contrer ce problème de sécurité et de permettre à un utilisateur n’étant pas
connecté à un réseau interne de pouvoir quand même y accéder en totalité ou en partie au
travers d’un réseau public.
Le principe du VPN est relativement simple, il a pour but de créer au travers d’un réseau
public (et par conséquent non sécurisé) un tunnel crypté permettant de faire transiter des
données jusqu’à un réseau privée disposant d’une connexion internet.
Pour envoyer des données au travers de ce tunnel, les 2 protagonistes (le commercial et
l’entreprise par exemple) doivent se mettre d’accord sur l’algorithme de cryptage utilisé. Le
commercial envoie ensuite ses données cryptées et éventuellement signées
(Pour rajouter une sécurité supplémentaire) dans le tunnel. Ces données sont reçues par le
serveur VPN de l’entreprise qui va les déchiffrer et vérifier leur intégrité.
Dans notre rapport, premièrement nous donnerons une idée générale sur les réseaux privés,
ensuite nous présenterons le logiciel OpenVPN Access et ses services et en fin nous
détaillerons la configuration du logiciel partie serveur et client.
Partie Théorie 1. Présentation du Réseaux privés virtuels
Introduction :
Un réseau privé virtuel (VPN, Virtual Private Network) connecte les composants d'un
réseau sur un autre réseau. Les VPN obtiennent ce résultat en permettant à l'utilisateur
de se connecter par tunnel à travers Internet ou un autre réseau public avec la sécurité
et les fonctionnalités disponibles jusqu'à présent uniquement sur les réseaux privés
(voir la Figure 1).
Figure 1 : Réseau privé virtuel
Les réseaux privés virtuels permettent aux utilisateurs travaillant à domicile ou en
déplacement de se connecter de façon sécurisée à un serveur d'entreprise distant à
l'aide de l'infrastructure de routage fournie par un réseau public (tel qu'Internet). Du
point de vue de l'utilisateur, le réseau privé virtuel est une connexion point à point
entre l'ordinateur de l'utilisateur et un serveur d'entreprise. La nature du réseau
intermédiaire est transparente pour l'utilisateur puisque les données semblent transiter
directement sur une liaison privée dédiée.
La technologie VPN permet également à une entreprise de se connecter à ses
succursales ou à d'autres sociétés sur un réseau public (tel qu'Internet), tout en
maintenant des communications entièrement sécurisées. La connexion VPN sur
Internet fonctionne logiquement comme une liaison de réseau étendu entre les sites.
Dans ces deux cas, la connexion sécurisée sur le réseau est perçue par l'utilisateur
comme une communication de réseau privé, malgré le fait que cette communication
s'effectue sur un réseau public, d'où le nom de réseau privé virtuel.
La technologie VPN est conçue pour résoudre les problèmes posés par le
développement du télétravail et des activités mondiales fortement distribuées, une
tendance créant un environnement dans lequel les employés doivent pouvoir se
connecter à des ressources centrales et communiquer entre eux.
Pour offrir aux employés la possibilité de se connecter aux ressources informatiques de
l'entreprise, quelle que soit leur situation géographique, une société doit déployer une
solution d'accès à distance évolutive. En règle générale, les entreprises optent soit pour
une solution interne, dans laquelle leur service informatique a la responsabilité
d'acheter, d'installer et de gérer des pools de modems d'entreprise ainsi qu'une
infrastructure de réseau privé, soit pour une solution de réseau à valeur ajoutée (VAN,
Value-Added Network), dans laquelle elles confient à une société externe l'achat,
l'installation et la maintenance de pools de modems et d'une infrastructure de
télécommunication.
Aucune de ces solutions n'offre l'évolutivité nécessaire en termes de coût, de souplesse
d'administration et de disponibilité de connexions. Par conséquent, il semble judicieux
de remplacer les pools de modems et l'infrastructure de réseau privé par une solution
moins coûteuse basée sur la technologie Internet afin que l'entreprise puisse se
concentrer sur ses principales compétences. Avec une solution Internet, un nombre
relativement réduit de connexions Internet (par l'intermédiaire de fournisseurs de
services indépendants) et de serveurs VPN peut répondre aux besoins de mise en
réseau distant de centaines voire de milliers de clients et de succursales, comme
l'illustrent les paragraphes qui suivent.
Utilisation classique des réseaux privés virtuels :
Les sous-sections suivantes décrivent de façon détaillée les applications de réseaux
privés virtuels les plus fréquemment rencontrées.
Accès d'utilisateur distant sur Internet :
Les réseaux privés virtuels permettent un accès distant aux ressources des entreprises
via Internet, tout en préservant la confidentialité des informations. La figure 2 illustre
un réseau privé virtuel servant à connecter un utilisateur distant à un intranet
d'entreprise.
Figure 2 : Utilisation d'un VPN pour connecter un client distant à un réseau local privé
Plutôt que de passer un appel longue distance à une entreprise ou à un serveur d'accès
réseau (NAS, Network Access Server) externe, l'utilisateur appelle un fournisseur de
services Internet (ISP) local. En utilisant la connexion à ce fournisseur, le logiciel VPN
crée un réseau privé virtuel entre l'utilisateur connecté à distance et le serveur VPN
d'entreprise sur Internet.
Connexion de réseaux sur Internet :
Deux méthodes permettent d'utiliser des VPN pour connecter des réseaux locaux à des sites distants :
Utilisation de lignes spécialisées pour connecter une succursale à un réseau local
d'entreprise. Plutôt que d'utiliser des circuits spécialisés longue distance très
coûteux entre la succursale et le concentrateur de l'entreprise, les routeurs de la
succursale et du concentrateur de l'entreprise peuvent employer un circuit
spécialisé local et un fournisseur de services Internet local pour se connecter à
Internet. Le logiciel VPN utilise les connexions ISP locales et l'Internet public
pour créer un réseau privé virtuel entre le routeur de la succursale et le routeur
du concentrateur de l'entreprise.
Utilisation d'une ligne d'accès à distance pour connecter une succursale à un
réseau local d'entreprise. Plutôt que d'employer un routeur dans la succursale
pour établir un appel longue distance à une entreprise ou à un NAS externe, le
routeur dans la succursale peut appeler le fournisseur de services Internet local.
Le logiciel VPN emploie la connexion à ce fournisseur local pour créer un réseau
privé virtuel entre le routeur de la succursale et le routeur du concentrateur de
l'entreprise à travers Internet.
Figure 3 : Utilisation d'un VPN pour connecter deux sites distants
Notez que dans les deux cas, les services qui connectent la succursale et le siège social
de l'entreprise à Internet sont locaux. Le routeur du concentrateur de l'entreprise qui
fait office de serveur VPN doit être connecté à un fournisseur de services Internet local
au moyen d'une ligne spécialisée. Ce serveur VPN doit être en position d'écoute 24
heures sur 24 pour recevoir du trafic VPN entrant.
Connexion d'ordinateurs sur un intranet :
Dans certains réseaux d'entreprise, des données départementales sont tellement
sensibles que le réseau local du département est physiquement déconnecté du reste
du réseau de l'entreprise. Bien que cette configuration protège la confidentialité des
informations de ce département, elle crée des problèmes d'accessibilité aux
informations pour les utilisateurs qui ne sont pas physiquement connectés à ce réseau
local séparé.
Figure 4 : Utilisation d'un réseau privé virtuel pour connecter deux ordinateurs sur le même réseau
local
Les réseaux privés virtuels permettent au réseau local du département d'être
physiquement connectés au réseau de l'entreprise mais séparés par un serveur VPN.
Notez que le serveur VPN n'agit PAS comme un routeur entre le réseau de l'entreprise
et le réseau local du département. Un routeur interconnecterait les deux réseaux,
permettant ainsi à quiconque d'accéder au réseau local sensible. En utilisant un réseau
privé virtuel, l'administrateur de réseau peut s'assurer que seuls les utilisateurs ayant
les références appropriées (en fonction d'une stratégie sélective de la société) sur le
réseau de l'entreprise peuvent établir un réseau privé virtuel avec le serveur VPN et
ainsi avoir accès aux ressources protégées du département. En outre, toutes les
communications effectuées par l'intermédiaire du réseau privé virtuel peuvent être
cryptées pour garantir la confidentialité des données. Les utilisateurs qui n'ont pas les
références adéquates ne peuvent pas voir le réseau local du département.
Caractéristiques de base des réseaux privés virtuels
En général, lors du déploiement d'une solution de réseau distant, une entreprise doit
faciliter l'accès contrôlé à ses ressources et informations. La solution doit permettre
aux clients itinérants ou distants de se connecter aux ressources de réseau local de
l'entreprise, et aux bureaux distants de se connecter entre eux pour partager des
ressources et des informations (connexion de réseau local à réseau local). En outre,
cette solution doit garantir la confidentialité et l'intégrité des données lorsque celles-
ci transitent sur Internet. Les mêmes contraintes s'appliquent dans le cas de données
sensibles empruntant un réseau d'entreprise.
Par conséquent, une solution VPN doit, au minimum, mettre en œuvre l'ensemble des
fonctionnalités suivantes :
Authentification d'utilisateur. La solution doit vérifier l'identité de
l'utilisateur et permettre l'accès VPN uniquement aux personnes autorisées. En
outre, elle doit fournir des informations d'audit et de comptabilisation
permettant de savoir quelles personnes ont accédé à quelles données et à
quel moment.
Gestion d'adresses. La solution doit affecter une adresse de client sur le
réseau privé, et doit garantir en permanence la confidentialité des adresses
privées.
Cryptage des données. Les données transportées sur le réseau public doivent
être illisibles pour les clients non autorisés sur le réseau.
Gestion de clés. La solution doit générer et régénérer des clés de cryptage pour
le client et le serveur.
Prise en charge multiprotocole. La solution doit être en mesure de gérer les
protocoles les plus fréquemment employés sur les réseaux publics. Cela inclut
notamment le protocole Internet (IP, Internet Protocol), le protocole IPX
(Internet Packet Exchange), etc.
Une solution VPN Internet basée sur le protocole PPTP (Point-to-Point Tunneling
Protocol) ou L2TP (Layer 2 Tunneling Protocol) satisfait toutes ces exigences de base
et bénéficie de la disponibilité mondiale d'Internet. D'autres solutions, notamment le
nouveau protocole de sécurité Internet IPSec (IP Security Protocol), répondent à
certaines de ces exigences, mais restent très utiles dans des situations spécifiques.
Notions fondamentales concernant le tunneling
Le tunneling est une méthode d'utilisation d'une infrastructure de réseau permettant
de transférer des données d'un réseau via un autre. Les données à transférer (ou charge
utile) peuvent être les trames (ou paquets) d'un autre protocole. Au lieu d'envoyer une
trame lors de sa production par le nœud initial, le protocole de tunneling encapsule la
trame dans un en-tête supplémentaire. Ce dernier fournit les informations
d'acheminement afin que la charge utile encapsulée puisse traverser le réseau
intermédiaire. Les paquets encapsulés sont ensuite acheminés entre des extrémités de
tunnel sur le réseau. Le chemin logique que les paquets encapsulés empruntent par
l'intermédiaire du réseau est qualifié de tunnel. Une fois que les trames encapsulées
atteignent leur destination sur le réseau, la trame est désencapsulée et transférée à sa
destination finale. Notez que le tunneling englobe l'intégralité de ce processus
(encapsulage, transmission et désencapsulage de paquets).
Figure 5 : Tunneling
Notez que le réseau de transit peut être n'importe quel réseau (Internet est un réseau
public et constitue l'exemple le plus largement utilisé dans le monde). Il existe de
nombreux exemples de tunnels mis en œuvre sur des réseaux d'entreprise. Bien
qu'Internet soit le réseau le plus répandu et le plus économique, toutes les références
à Internet dans ce document peuvent être remplacées par tout autre réseau public ou
privé faisant office de réseau de transit.
Les technologies de tunneling sont appliquées depuis un certain temps. Voici certains
exemples déjà arrivés à maturité :
Tunneling SNA sur des réseaux IP. Lorsque du trafic SNA (System Network
Architecture) est envoyé sur un réseau IP d'entreprise, la trame SNA est
encapsulée dans un en-tête UDP et IP.
Tunneling IPX pour Novell NetWare sur des réseaux IP. Lorsqu'un paquet
IPX est envoyé à un serveur NetWare ou un routeur IPX, le serveur ou le routeur
conditionne le paquet IPX dans un en-tête UDP et IP, puis l'envoie sur un réseau
IP. Le routeur de destination IP à IPX retire l'en-tête UDP et IP, et transfère le
paquet vers la destination IPX.
En outre, de nouvelles technologies de tunneling ont été introduites ces dernières
années. Ces nouvelles technologies (constituant le sujet principal de ce document)
incluent notamment :
Protocole PPTP (Point-to-Point Tunneling Protocol). Le protocole PPTP
permet à du trafic IP, IPX ou NetBEUI d'être crypté puis encapsulé dans un en-
tête IP afin d'être envoyé sur un réseau IP d'entreprise ou un réseau IP public tel
qu'Internet.
Protocole L2TP (Layer 2 Tunneling Protocol). Le protocole L2TP permet à du
trafic IP, IPX ou NetBEUI d'être crypté puis envoyé sur n'importe quel support
prenant en charge la remise de datagrammes point à point, tel que IP, X.25,
relais de trame ou ATM.
Mode tunneling IPSec (IP Security). Le mode tunneling IPSec permet à des
charges utiles IP d'être cryptées puis encapsulées dans un en-tête IP afin d'être
envoyées sur un réseau IP d'entreprise ou un réseau IP public tel qu'Internet.
2. Présentation Du l’logiciel OpenVPN Access OpenVPN Access Server se compose d'un ensemble d'outils d'installation et de
configuration pour le déploiement simple et rapide de solutions d'accès à distance VPN
utilisant OpenVPN open source projet. Le logiciel Access Server s'appuie sur la
convivialité et la popularité d'OpenVPN, En facilitant la configuration et le déploiement
des VPN en offrant les fonctionnalités suivantes:
Configuration simplifiée du serveur Access Server présente l'administrateur avec
seulement le plus utile des nombreux options de configuration prises en charge par le
serveur OpenVPN et les clients sophistiqués. Un Interface de configuration Web
conviviale rend l'installation et la maintenance Déploiement d'Access Server simple et
efficace.
Prise en charge de la base de données d'authentification des utilisateurs externes
Au lieu de vous obliger à créer et à gérer des informations d'identification pour chaque
utilisateur VPN valide, OpenVPN Access Server offre la possibilité de s'intégrer à
l'authentification des utilisateurs existants
Utilisant l'une des méthodes suivantes:
PAM1 Le système d'authentification des comptes d'utilisateurs sur le serveur
Unix
Un serveur externe LDAP ou Active Directory
Un ou plusieurs serveurs RADIUS externes
Accès client intuitif basé sur le Web
Une fois qu'un utilisateur lance un navigateur Web, il peut alors saisir ses informations
d'identification et VPN. En outre, un utilisateur peut télécharger un programme
d'installation Windows préconfiguré pour Système d'exploitation Windows. Puisque le
fichier d'installation a été généré dynamiquement
Pour l'utilisateur en question, cet utilisateur peut se connecter instantanément au VPN
sans avoir besoin de Configuration client supplémentaire.
Compatibilité avec une large base de clients OpenVPN Un utilisateur authentifié peut
également télécharger un fichier de configuration client OpenVPN (également
Généré spécifiquement pour l'utilisateur) à partir du client Connect et l'utiliser avec un
OpenVPN V2.1 + client autre que le client Windows GUI. De cette façon, OpenVPN
Access Server est Compatibles avec les clients OpenVPN s'exécutant sur des plates-
formes non Comme le client Tunnelblick sur MacOSX et le projet Community Projects
OpenVPN sur Unix / Linux. Bien sûr, aucun de ces avantages n'aurait d'importance sans
la sécurité robuste de client-serveur Communication fournie par l'utilisation de
OpenVPN de SSL / TLS.
Topologie de déploiement de serveur d'accès Un déploiement OpenVPN Access Server
se compose d'un serveur, de nombreux clients et de nombreux Décrite dans la figure
1. Chaque machine cliente de cette topologie utilise le réseau IP public (Internet)
Pour communiquer avec le serveur d'accès OpenVPN et gagne ainsi l'accès protégé
par VPN Réseau IP privé connecté (si présent).
Partie Pratique
On allouer un VPS linux distribution Ubuntu ou on va installer le logiciel
Installation :
L'installation doit se faire sur un serveur linux. Nous utiliserons ici un serveur Ubuntu.
Configuration coté server :
Pour configurer le serveur, il faut aller sur l'interface d'administration :
L'utilisateur est "openvpn" et le mot de passe est celui que vous avez entré dans le
paragraphe précédent.
Dans "Status Overview" vous pouvez vous assurez que le serveur est bien démarré.
Dans cette interface, vous pourrez configurer les permissions utilisateurs, et choisir les
modes de connexion à votre serveur (changer les ports par exemple).
Configuration coté Client
Création du client :
Pour se connecter à la solution, il faut vous connecter sur l'interface web utilisateur :
L'utilisateur sera donc "Client1" avec son mot de passe.
Choisissez maintenant le type de client sur lequel vous êtes. Vous téléchargerez alors
un exécutable vous permettant de vous connecter directement sur votre serveur VPN.
Conclusion
Jusqu'à ici on a répondu au cahier des charges et on a proposé une solution au sujet demandé. Grâce à nos recherches on a pu réaliser le travail demandé. Ce mini projet nous a donner l’envie de mise en place d’un OpenVpn serveur beaucoup plus professionnel et de creuser dans de plus en plus dans ce domaine.
Annexe
