authentification tls/ssl sous openvpn

9
Génie Réseaux et Télécommunications ENSA Marrakech OpenVPN - TLS 2013 Un Travail de ISMAIL RACHDAOUI et MOUNIA EL ANBAL Encadré Par: Mr.ANAS ABOU ELKALAM

Upload: ismail-rachdaoui

Post on 25-Jun-2015

663 views

Category:

Technology


3 download

DESCRIPTION

la mise en place d'une Authentification SSL/TLS sous OpenVPN

TRANSCRIPT

Page 1: Authentification TLS/SSL sous OpenVPN

Génie Réseaux et Télécommunications ENSA Marrakech

OpenVPN - TLS

2013

Un Travail de ISMAIL RACHDAOUI et MOUNIA EL ANBAL

Encadré Par: Mr.ANAS ABOU ELKALAM

Page 2: Authentification TLS/SSL sous OpenVPN

Module : Sécurité - GRT5 2013

Objectif

Mettre en place une architecture OpenVPN combiné avec

Architecture Cible

Client Windows VPN Server

Cinématique de configuration

1. Création du CA ( CertificatAuthority).

2. Création d’un certificat pour le serveur.

3. Création d’un certificat pour le client.

4. Création des paramètres

5. Créations des fichiers de configuration pour le client et le serveur.

6. Lancement du Test.

7. Capture des paquets sous Wiresahrk.

A la configuration !

‘Avant de commencer il est préferable de copier les fichier du

repertoire/usr/share/doc/openvpn/examples/easy

1. Création du CA ( CertificatAuthority)

Le client et le serveur doivent avoir le CA, comme nous faisons le test en local donc ca

sera une certificat auto-

faciliter la création des certificats, mais avant tous on doit initialiser les variabl

fichiers vars.

GRT5 2013

Mettre en place une architecture OpenVPN combiné avec SSL/TLS.

Client Windows VPN Server

de configuration

Création du CA ( CertificatAuthority).

certificat pour le serveur.

certificat pour le client.

paramètres DH ( deffi-hellman).

Créations des fichiers de configuration pour le client et le serveur.

Capture des paquets sous Wiresahrk.

Avant de commencer il est préferable de copier les fichier du

/usr/share/doc/openvpn/examples/easy-rsa/2.0/ à /home/user/openvpn/

n du CA ( CertificatAuthority) :

Le client et le serveur doivent avoir le CA, comme nous faisons le test en local donc ca

-signée, OpenVPN nous offre un script pré

faciliter la création des certificats, mais avant tous on doit initialiser les variabl

Tunnel VPN/TLS

1

Client Windows VPN Server

Créations des fichiers de configuration pour le client et le serveur.

/home/user/openvpn/’

Le client et le serveur doivent avoir le CA, comme nous faisons le test en local donc ca

signée, OpenVPN nous offre un script pré-developer pour

faciliter la création des certificats, mais avant tous on doit initialiser les variables du

Page 3: Authentification TLS/SSL sous OpenVPN

2

Module : Sécurité - GRT5 2013

Maintenent on va executer les des commandes suiavantes pour suprimer les anciens

valeurs du fichiersvars.

. ./vars

./clean-all

On passe maintenent à la création du CA à l’aide du script build-ca.

On se met dans le répertoirekeys et on remarquera le création de deux fichiers ca.keyet

ca.crt.

Ps : Ca.crt doit obligatoirement être présent chez le client et le serveur.

Page 4: Authentification TLS/SSL sous OpenVPN

3

Module : Sécurité - GRT5 2013

2. Création d’un certificat pour le serveur :

On va utiliser le script build-key-server pour créer et signer le certificat du serveur.

On se met encore une fois dans le répertoire keys pour s’assurer de la création du

certificat.

openVPN.crt : contient la clé publique.

openVPN.key : la clé privée du serveur.

openVPN.csr : le fichier d’extension Signature Request utilisé généralement par les

CA pour créer un certificat SSL.

Page 5: Authentification TLS/SSL sous OpenVPN

4

Module : Sécurité - GRT5 2013

3. Création d’un certificat pour le client :

De même on va créer et signer un certificat pour le client, on doit créer autant de

certificat que de client qu’on a.

On va transférer à notre client client1.key (clé privée) et client1.crt (clé public).

Page 6: Authentification TLS/SSL sous OpenVPN

5

Module : Sécurité - GRT5 2013

à ce stade là on a créer :

Certificat Clé privé Traitement

ca.crt ca.key Ca.crt doit être transférer au client et au serveur.

openVPN.crt openVPN.key Doivent être transfère au serveur seulement.

client1.crt client1.key Doivent être transfère au client seulement.

4. Création des paramètres DH (Deffi-Hellman):

Création des paramètres DH pour l’échange des clés entre le client et le serveur.

Les paramètres sont créés sous le nom dh1024.pem

dh1024.pem doit être présent uniquement dans le serveur.

Page 7: Authentification TLS/SSL sous OpenVPN

6

Module : Sécurité - GRT5 2013

5. Création des fichiers de configuration pour le client et le serveur :

Fichier de configuration côté serveur

Fichier de configuration côté client

Ps : Redirect-gateway sert à encapsuler tout le traffic dans le tunnel VPN.

Page 8: Authentification TLS/SSL sous OpenVPN

7

Module : Sécurité - GRT5 2013

6. Lancement des Test :

Sous le serveur :

La capture montre très bien le bien déroulement du lancement.

Sous le client :

Page 9: Authentification TLS/SSL sous OpenVPN

8

Module : Sécurité - GRT5 2013

Voilà ! Notre client arrive à se connecter au serveur VPN et établir le tunnel SSL.

7. Capture des paquets sous Wiresahrk :

Pour s’assurer du bon fonctionnement du Tunnel on va essayer d’accéder à une page

Web hébergé sur le serveur et on sniffe le trafic qui circule pour l’analyser et voir l’effet

du Tunnel.

On remarque que tous le trafic passe pas le tunnel et impossible de voir le contenue des

paquets transmissent.