rapport de stage openvpn
TRANSCRIPT
-
7/24/2019 Rapport de Stage Openvpn
1/40
Mise en place dun OpenVPN sous PfSense
5
me
Anne Rseaux Scurit et Tlcoms SupManagemnet Fs
Laoualy Ibrahim Bassirou :[email protected]
Thme: Mise en place dun OpenVPN sous PfSense
Prsent ar
Laoualy Ibrahim Bassirou
mailto:[email protected]:[email protected]:[email protected]:[email protected]:[email protected]:[email protected]:[email protected] -
7/24/2019 Rapport de Stage Openvpn
2/40
Mise en place dun OpenVPN sous PfSense
5
me
Anne Rseaux Scurit et Tlcoms SupManagemnet Fs
i
Laoualy Ibrahim Bassirou :[email protected]
Ddicace
Cest avec un grand plaisir que je ddie ce travail mon cher
pays le Nigeret toute la communaut Nigrienne au M aroc.
Ce travail est aussi ddi tous les membres de la familleet
toutes mes connaissances.
A mes tuteurs du Marocainsi ceux du Niamey.
Une ddicace spciale ma future pouse inchallah
Rouweibaassirou
mailto:[email protected]:[email protected]:[email protected]:[email protected] -
7/24/2019 Rapport de Stage Openvpn
3/40
Mise en place dun OpenVPN sous PfSense
5
me
Anne Rseaux Scurit et Tlcoms SupManagemnet Fs
ii
Laoualy Ibrahim Bassirou :[email protected]
Remerciement
Cest avec un grand honneur que jai consacr cette page en
signe de gratitude et de reconnaissance mon encadreur Mme
Ibtihal Mouhibqui a assur la supervision de la ralisation de
ce projet par ses conseils et leurs aides prcieux.
Notre sincre gratitude sadresse galement tous nos
enseignantes et enseignants du dpartement
inform tique du sup m n gement.
De mme nous tenons remercier les membres de jury
pour lhonneur qui nous ont fait en acceptant de juger
notre travail.
Mes remerciements vont lendroit de tous les camarades
de la 5me Anne Rseaux Scurit et Tlcoms.
A tous ceux qui mont aid de prs ou de loin la
ralisation de ce rapport de stage.
mailto:[email protected]:[email protected]:[email protected]:[email protected] -
7/24/2019 Rapport de Stage Openvpn
4/40
Mise en place dun OpenVPN sous PfSense
5
me
Anne Rseaux Scurit et Tlcoms SupManagemnet Fs
iii
Laoualy Ibrahim Bassirou :[email protected]
Sigle et Abrviation
CA : Certificate Authority
Free BSD:Berkeley software distribution (BSD)
HTTPS:Hypertext Transfert Protocol
IEEE:Institute of Electrical and Electronics Engineers
IETF :Internet Egineering Task Force
IDS :Instrusive Detection System = dtecteur d'intrusion
IPSec:Internet Protocol Security
L2F :Layer 2 Forwarding
L2TP:Layer 2 Tunneling Protocol
MAC :Media Access Control
MAN:Metropolitan Area Network
NAT :Network Address Translation
OSI:Open System Interconnect
PPP :Point to Point Protocol
PPTP:Point-to-Point Tunneling Protocol
QOS:Quality Of Service
RADIUS :Remote Authentication Dial-In User Service
RFC:Request Form Comment
SSL:Secure Sockets Layer
VLAN: Virtual Locan Area Network
mailto:[email protected]:[email protected]:[email protected]://fr.wikipedia.org/wiki/Berkeley_software_distributionhttps://fr.wikipedia.org/wiki/Berkeley_software_distributionmailto:[email protected] -
7/24/2019 Rapport de Stage Openvpn
5/40
Mise en place dun OpenVPN sous PfSense
5
me
Anne Rseaux Scurit et Tlcoms SupManagemnet Fs
iv
Laoualy Ibrahim Bassirou :[email protected]
Table des matires
Ddicace ..........................................................................................................................................................
Remerciement ............................................................................................................................................... ii
Sigle et Abrviation ...................................................................................................................................... iii
Introduction gnrale ....................................................................................................................................1
I. Gnralits sur les attaques dans un rseau ........................................................................................2
1. Les motivations des attaques ............................................................................................................2
2. Mesure des risques............................................................................................................................2
2.1 Risques humains ........................................................................................................................2
2.2 Risques techniques ....................................................................................................................3
2.3 Risques juridiques ......................................................................................................................3
3. Les types d'attaques ..........................................................................................................................3
3.1 Denial of Service ........................................................................................................................3
3.2 Sniffing .......................................................................................................................................4
3.3 Scanning ....................................................................................................................................4
3.4 Social Engineering ......................................................................................................................5
3.5 Cracking .....................................................................................................................................6
3.6 Spoofing .....................................................................................................................................6
3.7 Man in the Middle .....................................................................................................................7
3.8 Hijacking ....................................................................................................................................7
4. Les solutions de Protections ..............................................................................................................8
4.1 Un pare-feu : ..............................................................................................................................8
4.2 Un logiciel Antivirus ...................................................................................................................8
4.3 Un logiciel anti- spyware ...........................................................................................................8
4.4 Dtecteur d'intrusions ...............................................................................................................9
4.5 Cryptage ....................................................................................................................................9
4.6 VPN ............................................................................................................................................9
Les caractristiques fondamentales d'un VPN : ................................................................................. 10
II. Protocoles utiliss pour raliser une connexion VPN ........................................................................ 10
1.1 Le protocole Ppp ......................................................................................................................... 10
1.2 Le protocole Pptp : ..................................................................................................................... 10
1.3 Le protocole L2tp : ...................................................................................................................... 11
1.4 Le protocole Ipsec : ..................................................................................................................... 11
1.5 Le protocole MPLS ...................................................................................................................... 11
1.6 Le protocole SSL :........................................................................................................................ 12
III. PRESENTATION GENERALE DE PFSENSE ......................................................................................... 12
mailto:[email protected]:[email protected]:[email protected]:[email protected] -
7/24/2019 Rapport de Stage Openvpn
6/40
Mise en place dun OpenVPN sous PfSense
5
me
Anne Rseaux Scurit et Tlcoms SupManagemnet Fs
v
Laoualy Ibrahim Bassirou :[email protected]
1. Prsentation de pfSense ................................................................................................................. 12
1.1 FreeBSD .................................................................................................................................. 13
1.2 VirtualBox ............................................................................................................................... 13
2. Prsentation OpenVPN ................................................................................................................... 14
2.1 Tableau de comparaison ............................................................................................................ 14
3. Installation et configuration de base de Pfsense .......................................................................... 15
3.1 Activation dune interface rseau.............................................................................................. 16
3.2 Installation de Pfsense ................................................................................................................ 16
3.3 Poursuite de l'installation via linterface web............................................................................ 21
4. Installation du package OpenVPN Client Export Utility .................................................................. 24
5. Cration d'une autorit de certificationCA................................................................................. 24
6. Cration dutilisateur OpenVPN et certificat priv pour lutilisateur............................................. 26
7. Configuration du serveur OpenVPN ............................................................................................... 27
8. Configuration du Firewall ............................................................................................................... 30
9. Configurer OpenVPN ct "client" ................................................................................................. 31
10. Export du client openVPN et la configuration ............................................................................ 31
Conclusion .................................................................................................................................................. 33
Bibliographie ............................................................................................................................................... 34
mailto:[email protected]:[email protected]:[email protected]:[email protected] -
7/24/2019 Rapport de Stage Openvpn
7/40
Mise en place dun OpenVPN sous PfSense
5
me
Anne Rseaux Scurit et Tlcoms SupManagemnet Fs
1Laoualy Ibrahim Bassirou :[email protected]
Introduction gnrale
Linformatique a t depuis plusieurs dcennie utilis pour faciliter les taches souvent
difficile pour les humaines. Dans les entreprise, son utilisation est devenue indispensable non
seulement pour son bon droulement de ses activits mais aussi pour rester en contact avec ses
partenaires distants. Pour une interconnexion scurise entre les sites distants dune mme
entreprise partageant les mmes ressources ou avec des partenaires, on fait recours des lignes
spcialises (LS), cette solution bien quelle est efficace prsente des contraintes de point de vue
cout de ralisation, de maintenance en cas de problme sur les cbles...
Lorsque cette raccordement va se faire lchelle dun pays voire dun continent, il faut
penser une solution plus souple tout en minimisant le cout, reli les sites via linternet peut tre
une meilleur solution. Etant donn que linternet est un rseau non scuris, les entreprise vont
recourt la solution de VPN pour changer leurs informations en toute scurit travers tunnel.
Dans notre rapport, nous allons essayer dtudier cette solution de VPN travers OpenVPN.
Ainsi ce rapport est scind sur trois parties primordiales :
La premire partie est porte sur les gnralits des attaques dans un rseau.
La deuxime partie prsente une tude quelques protocoles utiliss pour raliser une connexion
VPN
La troisime est rserve pour la partie pratique mais avant dans cette partie nous avons donn
une prsentation gnrale dans outils qui nous ont permis faire ce travail.
mailto:[email protected]:[email protected]:[email protected]:[email protected] -
7/24/2019 Rapport de Stage Openvpn
8/40
Mise en place dun OpenVPN sous PfSense
5
me
Anne Rseaux Scurit et Tlcoms SupManagemnet Fs
2Laoualy Ibrahim Bassirou :[email protected]
I.
Gnralits sur les attaques dans un rseau
La cybercriminalitse dfinit communment comme toute action illicite visant lintgrit dunsite informatique dtermin, ou bien mene laide dun outil informatique.Tout ordinateur
connect linternet est potentiellement vulnrable une attaque.
Une attaqueest l'exploitation d'une faille d'un systme informatique des fins non connues parl'exploitant du systme et gnralement prjudiciables.
Sur internet des attaques ont lieu en permanence, raison de plusieurs attaques par minute surchaque machine connecte.
Afin de contrer ces attaques il est indispensable de connatre les principaux typesd'attaques afin de mettre en uvredes dispositions prventives.
1.
Les motivations des attaques
Les motivations des attaques peuvent tre de diffrentes sortes :
Obtenir un accs au systme ;
voler des informations, tels que des secrets industriels ou des proprits intellectuelles ;
rcuprer des donnes bancaires ;
s'informer sur l'organisation (entreprise de l'utilisateur, etc.) ;
troubler le bon fonctionnement d'un service ;
utiliser le systme de l'utilisateur comme rebond pour une attaque ; menaces rprhensibles diverses, de type vengeance;
fraude commerciale;
abus de confiance et escroqueries diverses;
dtournements de mineurs;
Usurpation d'identits.
2. Mesure des risques
Dans le monde professionnel, les risques et les moyens de prvention sont essentiellementvalus en raison de leurs cots.
2.1
Risques humains
Les risques humains sont les plus importants, mme sils sont le plus souvent ignors ou
minimiss.
Linconscience et l'ignorance ;
Lespionnage ; Le dtournement de mot de passe ;
Le sabotage ;
mailto:[email protected]:[email protected]:[email protected]:[email protected] -
7/24/2019 Rapport de Stage Openvpn
9/40
Mise en place dun OpenVPN sous PfSense
5
me
Anne Rseaux Scurit et Tlcoms SupManagemnet Fs
3Laoualy Ibrahim Bassirou :[email protected]
Lcoute ;
La fraude physique ;
Le vol de matriels ;
Le chantage ;
Labus de droit ;
Laccs illgitime ;
2.2
Risques techniques
Les risques techniques sont tout simplement ceux lis aux dfauts et pannes invitables queconnaissent tous les systmes matriels et logiciels. Cependant les pannes ont parfois des causesindirectes, voire trs indirectes, donc difficiles prvoir.
Incidents lis au matriel
Incidents lis au logiciel
Incidents lis lenvironnement
2.3Risques juridiques
Louverture des applications informatiques par le web et la multiplication des messageslectroniques augmentent les risques juridiques lis l'usage des technologies de l'information.On peut citer notamment :
Le non-respect de la lgislation relative la signature numrique ;
Les risques concernant la protection du patrimoine informationnel ;
Le non-respect de la lgislation relative la vie prive ; Le non-respect des dispositions lgales relatives audroit de la preuve.
3. Les types d'attaques
Etant donn que les systmes informatiques mettent en uvre les diffrentes
composantes, allant de l'lectricit pour alimenter les machines au logiciel excut via le systmed'exploitation et utilisant le rseau.
Les attaques peuvent intervenir chaque niveaux de la chaine chane, pour peu qu'ilexiste une vulnrabilit exploitable.
3.1
Denial of Service
Le dni de service(en anglais denial of service) : technique visant gnrer des arrts deservice, et ainsi dempcher le bon fonctionnement dun systme.Ce type d'attaque peut aussi
bien tre utilis contre un serveur d'entreprise qu'un particulier reli internet.
mailto:[email protected]:[email protected]:[email protected]://fr.wikipedia.org/wiki/Preuvehttps://fr.wikipedia.org/wiki/Preuvemailto:[email protected] -
7/24/2019 Rapport de Stage Openvpn
10/40
Mise en place dun OpenVPN sous PfSense
5
me
Anne Rseaux Scurit et Tlcoms SupManagemnet Fs
4Laoualy Ibrahim Bassirou :[email protected]
3.2
Sniffing
Le reniflage (en anglais Sniffing) est une technique qui consiste analyser le trafic pourrcuprer toutes les informations transitant sur un rseau.
Comment s'en protger ?
Utiliser de prfrence un switch (commutateur) plutt qu'un hub.
Utiliser des protocoles chiffrs pour les informations sensibles comme les mots de passe.
Utiliser un dtecteur de sniffer.
3.3Scanning
Le scanning consiste balayer tous les ports sur une machine en utilisant un outil appelscanner. Le scanner envoie des paquets sur plusieurs ports de la machine. En fonction de leursractions, le scanner va en dduire si les ports sont ouverts. C'est un outil trs utile pour leshackers. Cela leur permet de connaitre les points faibles d'une machine et ainsi de savoir par oils peuvent attaquer.
mailto:[email protected]:[email protected]:[email protected]:[email protected] -
7/24/2019 Rapport de Stage Openvpn
11/40
Mise en place dun OpenVPN sous PfSense
5
me
Anne Rseaux Scurit et Tlcoms SupManagemnet Fs
5Laoualy Ibrahim Bassirou :[email protected]
Comment s'en protg?
Scanner sa machine pour connaitre les ports ouverts
Surveiller les ports ouverts avec un firewall et fermer ceux qui ne sont pas utiles
Utiliser un IDS (dtecteur d'intrusion) ou mieux un IPS (prvention d'intrusion)
3.4Social Engineering
Le social engineering est l'art de manipuler les personnes. Il s'agit ainsi d'une techniquepermettant d'obtenir des informations d'une personne, qu'elle ne devrait pas donner en tempsnormal, en lui donnant des bonnes raisons de le faire
Pourtant, une attaque par social engineering bien mene peut se rvler trs efficace. Elle n'estdonc pas prendre la lgre.
Comment s'en protger ?
Avoir du bon sens pour flairer l'arnaque
Se mfier des personnes que l'on ne connat pas
mailto:[email protected]:[email protected]:[email protected]:[email protected] -
7/24/2019 Rapport de Stage Openvpn
12/40
Mise en place dun OpenVPN sous PfSense
5
me
Anne Rseaux Scurit et Tlcoms SupManagemnet Fs
6Laoualy Ibrahim Bassirou :[email protected]
3.5Cracking
Le crackage des mots de passe consiste deviner le mot de passe de la victime.Les craqueurs de mots de passe s'appliquent souvent un fichier contenant le nom desutilisateurs ainsi que leur mot de passe encrypt.
Ces logiciels peuvent tester des mots de passe selon trois mthodes :
Attaque par dictionnaire :Le logiciel teste tous les mots de passe stocks dans unfichier texte. Cette mthode est redoutable car en plus de sa rapidit, elle aboutitgnralement puisque les mots de passe des utilisateurs lambda sont souvent des motsexistants.
Attaque hybride :le logiciel teste tous les mots de passe stocks dans un fichier texte et
y ajoute des combinaisonsAttaque brute-force :le logiciel teste toutes les combinaisons possibles Heureusement,tester toutes les combinaisons prends beaucoup de temps. D'o l'utilit de changer demots de passe rgulirement.
Comment s'en protger
Choisir un mot de passe
Un mot de passe robuste doit satisfaire plusieurs critres :o plus de 8 caractreso utiliser la casse (majuscule/minuscule)o
utiliser des chiffres
Changer rgulirement de mot de passe
3.6Spoofing
L'usurpation (en anglais spoofing) consiste se faire passer pour quelqu'un d'autre.
Voici quelques exemples d'usurpations :
o Usurpation de l'adresse IPo
Usurpation de l'adresse e-mailo Usurpation WEB cestle principe duphishing
mailto:[email protected]:[email protected]:[email protected]:[email protected] -
7/24/2019 Rapport de Stage Openvpn
13/40
Mise en place dun OpenVPN sous PfSense
5
me
Anne Rseaux Scurit et Tlcoms SupManagemnet Fs
7Laoualy Ibrahim Bassirou :[email protected]
Gnralement, quand on parle d'usurpation ou de spoofing, on parle de l'usurpation de l'adresseIP.
Comment s'en protger ?
On ne peut pas empcher quelqu'un d'usurper une identit. En revanche, il faut tout prix tresr de l'identit de la machine avec laquelle on dialogue.Utiliser des protocoles scuriss comme ssh qui empche le spoofing.
3.7
Man in the Middle
Man in the Middle signifie l'homme du milieu, cette une attaque qui a pour but des'insrer entre deux ordinateurs qui communiquent. Le pirate peut donc intercepter tout le trafic,
pire encore, il peut modifier le trafic avant de le renvoyer vers l'autre ordinateur.
Comment s'en protger ?
Sur Internet, n'achetez que sur des sites scuriss.
Les sites scuriss commencent par "https" au lieu de "http". Il y a galement un cadenasen bas de votre navigateur.
Sur un rseau, utilisez des protocoles scuriss.
3.8Hijacking
Un pirate peut craquer (cible) le mot de passe de la session mais avec le mot de passerobuste, cela lui prendra beaucoup de temps donc il passe au dtournement de session.
mailto:[email protected]:[email protected]:[email protected]:[email protected] -
7/24/2019 Rapport de Stage Openvpn
14/40
Mise en place dun OpenVPN sous PfSense
5
me
Anne Rseaux Scurit et Tlcoms SupManagemnet Fs
8Laoualy Ibrahim Bassirou :[email protected]
Comment s'en protger ?
S'assurer que la communication est scurise
4. Les solutions de Protections
Il existe plusieurs solutions de protections tant sur le niveau infrastructure que dans le rseau,nous allons voir quelque solution
La meilleure faon de protger votre ordinateur contre les logiciels malveillants, les logicielsespions et les virus cest davoir trois types de logiciels de scurit installs sur votre ordinateur.
La plupart des logiciels de scurit payants comprennent les trois lments comme une suite de
scurits.
4.1Un pare-feu :
Le pare-feu cela agit comme un portier pour protger votre ordinateur contre les attaquesentrantes par lInternet, en surveillant et en filtrant le trafic de donnesentrant ou sortant de votreordinateur.
4.2Un logiciel Antivirus
Celui-ci contribue vous protger contre les virus, les chevaux de Troie et autresmenaces de scurit en scannant et en arrtant les virus en cours dinstallation sur votre
ordinateur. Si vous avez un virus install sur votre PC, le logiciel antivirus sera en mesure de leretirer.
4.3Un logiciel anti- spyware
Spyware est un logiciel malveillant qui se tlcharge secrtement sur votre ordinateur.Une fois install, il peut surveiller votre activit, recueillir des informations sur vous et les
envoyer sur Internet, et mme contrler votre navigateur Web (appel hijacking oudtournement). Le logiciel anti-spyware scanne votre ordinateur pour dtecter cela, et
mailto:[email protected]:[email protected]:[email protected]:[email protected] -
7/24/2019 Rapport de Stage Openvpn
15/40
Mise en place dun OpenVPN sous PfSense
5
me
Anne Rseaux Scurit et Tlcoms SupManagemnet Fs
9Laoualy Ibrahim Bassirou :[email protected]
supprime tout logiciels espions quil trouve. En gardant le logiciel anti-spyware active, il peutempcher les logiciels espions dtre install ds la premire fois.
Autres outils de scurit utiles davoir install sur votre PC comprennent les filtres anti -spam pour bloquer les messages non sollicits et le contrle parental pour vous aider garder vos
enfants en scurit en ligne.
4.4Dtecteur d'intrusions
Un dtecteur d'intrusions (en anglais Instrusive Detection System) est un systme capablede dtecter une tentative d'intrusion sur votre systme. Il stoppe la majeure partie des attaquesrecenses.
L'IDS coute le trafic rseau et analyse les paquets pour prvenir des actions suspectes et lesarrter.
4.5Cryptage
Internet est un rseau non scuris, ds que l'on souhaite envoyer des informationsconfidentielles une autre personne, il faut donc les crypter. Il existe deux grands types dechiffrement :
Le chiffrement cl prive (dit aussi symtrique)
Le chiffrement cl prive consiste utiliser la mme cl pour crypter et dcrypter le message.Les personnes voulant communiquer et eux-seules doivent possder la cl pour pouvoir crypteret dcrypter les messages. Ds lors se pose le problme de l'change de la cl.Exemple : DES
Le chiffrement cl publique(dit aussi asymtrique)
Le chiffrement cl publique consiste en l'utilisation d'une cl diffrente pour crypter oudcrypter. Le propritaire de la cl prive donne la cl publique tout le monde et garde l'autrecl. Ainsi, on peut lui envoyer des messages chiffrs avec la cl publique mais personne ne peutle dcrypter part le propritaire l'aide de sa cl prive. Avec ce chiffrement, le problme del'change de cl ne se pose plus. Mais, la communication ne peut se faire que dans un sens, ilfaudrait alors deux autres cls pour dialoguer dans l'autre sens.Exemple : RSA
4.6VPN
Un VPN (Virtual Private Network) est une liaison scurise entre deux parties via unrseau public, en gnral Internet (ligne RTC, Numris, xDSL, cble), pour assurerlauthentification des deux parties, lintgrit des donnes et le chiffrage La mise en place dun VPN est base sur des plateformes de cryptage. La technologie VPNgarantit des changes scuriss d'informations sensibles, accessibles depuis n'importe quelendroit, du moment qu'une connexion Internet est disponible.
mailto:[email protected]:[email protected]:[email protected]:[email protected] -
7/24/2019 Rapport de Stage Openvpn
16/40
Mise en place dun OpenVPN sous PfSense
5
me
Anne Rseaux Scurit et Tlcoms SupManagemnet Fs
10Laoualy Ibrahim Bassirou :[email protected]
Les caractristiques fondamentales d'un VPN :
Un systme de VPN doit pouvoir mettre en uvre les fonctionnalits suivantes :
Authentification d'utilisateur. Seuls les utilisateurs autoriss doivent pouvoir s'identifier
sur le rseau virtuel. Gestion d'adresses. Chaque client sur le rseau doit avoir une adresse prive. Cette
adresse prive doit rester confidentielle. Cryptage des donnes. Lors de leurs transports sur le rseau public les donnes doivent
tre protges par un cryptage efficace. Gestion de cls. Les cls de cryptage pour le client et le serveur doivent pouvoir tre
gnres et rgnres. Prise en charge multi protocole. La solution VPN doit supporter les protocoles les plus
utiliss sur les rseaux publics en particulier IP.
II. Protocoles utiliss pour raliser une connexion
VPN
Nous pouvons classer les protocoles que nous allons tudier en deux catgories:
Les protocoles de niveau 2 comme Pptp et L2tp. Les protocoles de niveau 3 comme Ipsec ou Mpls
1.1 Le protocole Ppp
Ppp (Point to Point Protocol)Rfc 1661appuy de laRfc 2153.est un protocole qui permetde transfrer des donnes sur un lien synchrone ou asynchrone. Il est full duplex et garantitl'ordre d'arrive des paquets. Il encapsule les paquets Ip, Ipx et Netbeui dans des trames Ppp, puis
transmet ces paquets encapsuls au travers de la liaison point point. Ppp est employgnralement entre un client d'accs distance et un serveur d'accs rseau (Nas).
1.2 Le protocole Pptp :
Le Point-To-Point Tunneling Protocol (PPTP)(RFC) 2637 en juillet 1999, est unprotocole dencapsulation sappuyant sur le protocolePPP pour la communication. Ce protocolene peut travailler que sur des rseaux IP. Historiquement parlant, ce protocole a t implment
pour la premire fois par Cisco, il fut ensuite repris par Microsoft dans ses systmes Windows.
mailto:[email protected]:[email protected]:[email protected]://www.generation-nt.com/go/?url=http%3A%2F%2Ftools.ietf.org%2Fhtml%2F2637http://www.generation-nt.com/go/?url=http%3A%2F%2Ftools.ietf.org%2Fhtml%2F2637mailto:[email protected] -
7/24/2019 Rapport de Stage Openvpn
17/40
Mise en place dun OpenVPN sous PfSense
5
me
Anne Rseaux Scurit et Tlcoms SupManagemnet Fs
11Laoualy Ibrahim Bassirou :[email protected]
1.3 Le protocole L2tp :
L2TP est un protocole combinant les avantages du PPTP de Microsoft et du Layer 2Forwarding (L2F) de Cisco, dcrit dans laRFC 2661et a t cr par lInternetEgineering TaskForce (IETF), il sappuie lui aussi sur le protocole PPP. Le protocole L2TP est aujourdhui
principalement utilis par les Fournisseurs dAccs Internet (FAI ou ISP en anglais). L2TP estla plupart du temps coupl IPSsec pour scuriser les donnes, comme dcrit dans la RFC 3193,en effet, L2TP ne s'occupe que du transport des donnes et non de leur confidentialit.
1.4 Le protocole Ipsec :
IIPsec, dfinit par laRFC 2401, est un protocole qui vise scuriser l'change de donnesau niveau de la couche rseau. Le rseau Ipv4 tant largement dploy et la migration vers Ipv6tant invitable, mais nanmoins longue, il est apparu intressant de dvelopper des techniques
de protection des donnes communes Ipv4 et Ipv6. Ces mcanismes sont couramment dsignspar le terme Ipsec pour Ip Security Protocols. Ipsec est bas sur deux mcanismes. Le premier,AH, pour Authentification Header vise assurer l'intgrit et l'authenticit des datagrammes IP.Il ne fournit par contre aucune confidentialit : les donnes fournies et transmises par Ce"protocole" ne sont pas encodes. Le second, Esp, pour Encapsulating Security Payload peutaussi permettre l'authentification des donnes mais est principalement utilis pour le cryptage desinformations. Bien qu'indpendants ces deux mcanismes sont presque toujours utilissconjointement. Enfin, le protocole Ike permet de grer les changes ou les associations entre
protocoles de scurit. Avant de dcrire ces diffrents protocoles, nous allons exposer lesdiffrents lments utiliss dans IPsec.
1.5 Le protocole MPLS
Le protocole MPLSest un brillant rejeton du "tout ip". Il se prsente comme une solutionaux problmes de routage des datagrammes IP vhiculs sur Internet. Le principe de routage surInternet repose sur des tables de routage. Pour chaque paquet les routeurs, afin de dterminer le
prochain saut, doivent analyser l'adresse de destination du paquet contenu dans l'entte de niveau3. Puis il consulte sa table de routage pour dterminer sur quelle interface doit sortir le paquet.
Ce mcanisme de recherche dans la table de routage est consommateur de temps Cpu et avec lacroissance de la taille des rseaux ces dernires annes, les tables de routage des routeurs ontconstamment augment. Le protocole MPLS fut initialement dvelopp pour donner une plusgrande puissance aux commutateurs Ip, mais avec l'avnement de techniques de commutationcomme Cef (Cisco Express Forwarding) et la mise au point de nouveaux Asic (ApplicationSpecific Interface Circuits), les routeurs IP ont vu leurs performances augmenter sans le recours Mpls.
mailto:[email protected]:[email protected]:[email protected]://www.frameip.com/vpn/#3.4_-_Le_protocole_Ipsechttp://www.frameip.com/vpn/#3.4_-_Le_protocole_Ipsecmailto:[email protected] -
7/24/2019 Rapport de Stage Openvpn
18/40
Mise en place dun OpenVPN sous PfSense
5
me
Anne Rseaux Scurit et Tlcoms SupManagemnet Fs
12Laoualy Ibrahim Bassirou :[email protected]
1.6 Le protocole SSL :
SSL (Secure Sockets Layer) est un protocole de couche 4 (niveau transport) utilis parune application pour tablir un canal de communication scuris avec une autre application. Ilfournit un accs scuris (via un tunnel ddicac) vers des applications spcifiques de l'entreprise
ou de l'administration.
Le grand avantage de cette mthode rside dans sa simplicit: on utilise seulement son browserhabituel et on n'utilise pas de client spcifique ou de matriel spcifique.
Avec SSL VPN, les utilisateurs distants ou les utilisateurs mobiles peuvent avoir un accs desapplications bien dtermines sur l'intranet de leur organisation depuis n'importe quel accsInternet. Cependant, l'accs aux ressources internes est plus limit que celui fourni par un VPNIPSEC, puisque l'on accde uniquement aux services qui ont t dfinis par l'administrateur duVPN (par exemple les portails et sites Web, les fichiers ou le courrier lectronique).
Contrairement aux techniques VPN de type IPSEC, PPTP, L2TP, la technique VPN SSL se situe un niveau du modle rseau ISO bien suprieur, en l'occurrence le niveau 5, c'est--dire"session applicative". Comme IPSEC, SSL utilise principalement des certificats numriques pourl'tablissement de communications scurises.
III.PRESENTATION GENERALE DE PFSENSE
1.
Prsentation de pfSense
PfSense a t cr en 2004 comme un fork du projet mOnOwall, pour viser uneinstallation sur un PC plutt que sur du matriel embarqu. PfSense est base sur Free BSD, envisant les fonctions de firewall et routeur.PfSense est puissante, en bonne partie car elle est base sur Free BSD, mais aussi assez simpled'accs, car elle fournit une interface web pour la configuration, (en plus de l'interface console).Je recommande quand mme de connaitre les commandes basiques de Free BSD en modeconsole, au moins pour pouvoir rcuprer la configuration en cas d'erreur (par exemple unemauvaise route qui vous empche de joindre le firewall...). Cette interface web n'est accessible
par dfaut qu' partir du LAN.PfSense est une distribution Free BSD ddi firewall / routeur. Le firewall est bas sur Paquet Filter. Toute la configuration du systme est stocke dans
un fichier xml (/cf/conf/config.xml). Performances sont lies au matriel. Linstallation ainsi que la configuration PfSense va se raliser sur un systme
dexploitation de type Free BSD. Il est possible dmuler le systme dexploitation Free
BSD grce VMware ou Virtualbox.
mailto:[email protected]:[email protected]:[email protected]://www.awt.be/web/sec/index.aspxhttp://www.awt.be/web/sec/index.aspxmailto:[email protected] -
7/24/2019 Rapport de Stage Openvpn
19/40
Mise en place dun OpenVPN sous PfSense
5
me
Anne Rseaux Scurit et Tlcoms SupManagemnet Fs
13Laoualy Ibrahim Bassirou :[email protected]
Plusieurs packages disponibles dans PfSense permettent de mettre en place un VPN clientsuivant diffrentes technologies telles que (OpenVPN, IPSec, L2TP, PPTP) :
OpenVPN: OpenVPN est une solution flexible, puissante solution de VPN SSLsupportant une large gamme de systmes dexploitation client. Elle peut tre mise enuvre en PfSense partir du packagehttp://openvpn.net/
IPSec: permet la connectivit avec tout dispositif de support standard IPsec. Ceci est leplus gnralement utilis pour la connectivit du site aux installations PfSense. IPSEcpeut tre mise en uvre en PfSense partir du packagehttp://tools.ietf.org/html/rfc4301
L2TP: Cette option va grer le Layer 2 Tunneling Protocol (L2TP) qui signifie protocolede tunnellisation de niveau 2. Il sagit dun protocole rseau utilis pour crer desrseaux privs virtuels (VPN). Cette technologie peut tre mise en place partir du
packagehttp://tools.ietf.org/html/rfc7546 PPTP: est une option populaire VPN, car presque tous les OS sont dots dun client
PPTP, y compris toutes les versions de Windows depuis Windows 95 OSR2. Le serveurPfsense PPTP peut utiliser une base de donnes dutilisateur local, ou dun serveurRADIUS pour lauthentification. PPTP peut tre utilis en pfSense partir du package :http://www.ietf.org/rfc/rfc2637.txt
1.1
FreeBSD
FreeBSD est un systme d'exploitation avanc pour lesplates-formes modernes detype serveur, station de travail et systmes embarqus. Le code de base de FreeBSD a tdvelopp, amlior et optimis continuellement pendant plus de trente ans. Il est dvelopp et
maintenu parune importante quipe de personnes.FreeBSD propose des fonctionnalits rseauavances, une scurit pousse et des performances de haut niveau. FreeBSD est utilis parcertains dessites web les plus visits ainsi que par la plupart des systmes embarqus orientsrseau et des systmes de stockage les plus rpandus. En savoir plushttps://www.freebsd.org/fr/about.html
1.2
VirtualBox
VirtualBox est un x86 et AMD64 puissante / Intel64 virtualisation produit pour
l'entreprise ainsi que l'utilisation de la maison. Non seulement est VirtualBox extrmement richeen fonctionnalits, produit de haute performance pour les clients de l'entreprise, il est galementla seule solution professionnelle qui est disponible gratuitement en Open Source Software sousles termes de la licence GNU General Public License (GPL) version 2 Voir"A propos deVirtualBox "pour une introduction.
Actuellement, VirtualBox fonctionne sur Windows, Linux, Macintosh, et les htes Solariset prend en charge un grand nombre desystmes d'exploitation invits, y compris mais nonlimit Windows (NT 4.0, 2000, XP, Server 2003, Vista, Windows 7, Windows 8, Windows 10), DOS / Windows 3.x, Linux (2.4, 2.6, 3.x et 4.x), Solaris et OpenSolaris, OS / 2, et OpenBSD.
mailto:[email protected]:[email protected]:[email protected]://openvpn.net/http://tools.ietf.org/html/rfc4301http://tools.ietf.org/html/rfc4301http://tools.ietf.org/html/rfchttp://tools.ietf.org/html/rfchttp://www.ietf.org/rfc/rfc2637.txthttp://www.ietf.org/rfc/rfc2637.txthttps://www.freebsd.org/fr/platforms/https://www.freebsd.org/doc/fr_FR.ISO8859-1/articles/contributors/staff-committers.htmlhttps://www.freebsd.org/doc/fr_FR.ISO8859-1/books/handbook/nutshell.html#INTRODUCTION-NUTSHELL-USERShttps://www.freebsd.org/fr/about.htmlhttps://translate.googleusercontent.com/translate_c?act=url&depth=1&hl=fr&ie=UTF8&prev=_t&rurl=translate.google.com&sl=en&tl=fr&u=https://www.virtualbox.org/wiki/VirtualBox&usg=ALkJrhg91mehgo0gHUhh4bLDqvrzbmrX4Ahttps://translate.googleusercontent.com/translate_c?act=url&depth=1&hl=fr&ie=UTF8&prev=_t&rurl=translate.google.com&sl=en&tl=fr&u=https://www.virtualbox.org/wiki/VirtualBox&usg=ALkJrhg91mehgo0gHUhh4bLDqvrzbmrX4Ahttps://translate.googleusercontent.com/translate_c?act=url&depth=1&hl=fr&ie=UTF8&prev=_t&rurl=translate.google.com&sl=en&tl=fr&u=https://www.virtualbox.org/wiki/Guest_OSes&usg=ALkJrhhEg7LDBYhR7nMxzCpk6L7_NVT1Kwhttps://translate.googleusercontent.com/translate_c?act=url&depth=1&hl=fr&ie=UTF8&prev=_t&rurl=translate.google.com&sl=en&tl=fr&u=https://www.virtualbox.org/wiki/Guest_OSes&usg=ALkJrhhEg7LDBYhR7nMxzCpk6L7_NVT1Kwhttps://translate.googleusercontent.com/translate_c?act=url&depth=1&hl=fr&ie=UTF8&prev=_t&rurl=translate.google.com&sl=en&tl=fr&u=https://www.virtualbox.org/wiki/VirtualBox&usg=ALkJrhg91mehgo0gHUhh4bLDqvrzbmrX4Ahttps://translate.googleusercontent.com/translate_c?act=url&depth=1&hl=fr&ie=UTF8&prev=_t&rurl=translate.google.com&sl=en&tl=fr&u=https://www.virtualbox.org/wiki/VirtualBox&usg=ALkJrhg91mehgo0gHUhh4bLDqvrzbmrX4Ahttps://www.freebsd.org/fr/about.htmlhttps://www.freebsd.org/doc/fr_FR.ISO8859-1/books/handbook/nutshell.html#INTRODUCTION-NUTSHELL-USERShttps://www.freebsd.org/doc/fr_FR.ISO8859-1/articles/contributors/staff-committers.htmlhttps://www.freebsd.org/fr/platforms/http://www.ietf.org/rfc/rfc2637.txthttp://tools.ietf.org/html/rfchttp://tools.ietf.org/html/rfc4301http://openvpn.net/mailto:[email protected] -
7/24/2019 Rapport de Stage Openvpn
20/40
Mise en place dun OpenVPN sous PfSense
5
me
Anne Rseaux Scurit et Tlcoms SupManagemnet Fs
14Laoualy Ibrahim Bassirou :[email protected]
2. Prsentation OpenVPN
OpenVPN est un logiciel libre permettant de crer un rseau priv (VPN). Ce logiciel,disponible dans PfSense, permet des paires de sauthentifier entre eux laide dune cl prive
partage lavance ou laide de certificats. Pour chiffrer ses donnes, OpenVPN utilise le
protocole SSLv3 de la librairie OpenSSL aussi prsente dans PfSense.
2.1Tableau de comparaison
OpenVPN IPSec PPTP
Clients mobiles Oui Ne supporte pasNAT- T ce qui
empchelutilisation de
client mobilesderrire du NAT
Oui
Utiliser IP statiques oudynamiques
Static IP : OuiDynamic IP :V2.0
Static IP : OuiDynamic IP : Unseul point final
autoris
Static IP :Oui DynamicIP : Oui
Filtrage de traffic VPN Prvu dans laV2.0
Oui Oui
Type dauthentification Shared Key,Certificat
Pre SharedKey,Certificat
Local userdatabase,
RADIUS server(Authentification,
Accounting)
Fonctionnalits dumcanisme non encore
implmentes dansPfSense
Cellesmanquantes dansla V2.0
DPD, XAuth,NAT-Tet autres
mailto:[email protected]:[email protected]:[email protected]:[email protected] -
7/24/2019 Rapport de Stage Openvpn
21/40
Mise en place dun OpenVPN sous PfSense
5
me
Anne Rseaux Scurit et Tlcoms SupManagemnet Fs
3. Installation et configuration de base de Pfsense
Notre travail se fera sur la machine Virtualbox, nous avons pris :
une machine Serv2008r2pour le test
une machine Pf_Site1
une machine Pf_Site2
Linstallation ainsi que la configuration Pfsense va se raliser sur un systme dexploitation de typeFreeBSD.
Pour commencer, on tlcharge lisohttps://www.pfsense.org/download/
Les prrequis matriels
Minimale
CPU 400 Mhz (100Mhz)
Mmoire RAM 512M (256 min).
Disque Dur 2Go
Cartes rseaux 2 ou plus suivant le rseau
https://www.pfsense.org/download/https://www.pfsense.org/download/https://www.pfsense.org/download/https://www.pfsense.org/download/ -
7/24/2019 Rapport de Stage Openvpn
22/40
Mise en place dun OpenVPN sous PfSense
5me Anne Rseaux, Scurit et Tlcoms, SupManagemnet Fs
16Laoualy Ibrahim Bassirou :[email protected]
Pour crer notre machine virtuelle, il est ncessaire de suivre les tapes suivantes :
1. Cliquez sur Nouveau afin de commencer linstallation de la nouvelle machine.
2. Cliquez sur Suivant puis rentrez le nom de votre ordinateur Pf_Site1 et slectionnez le systme
dexploitation que vous voulez virtualiser BSD - FreeBSD.
3. Choisissez la mmoire que vous voulez disposez sur votre systme virtualis (256 Mo).
4. Slectionnez Crer un nouveau disque dur en vrifiant que la case Disque dur damorage est
coche.
5. Afin de crer un disque dur ayant une taille variable (conseill), il est ncessaire de slectionner Image
disque taille dynamique puis slectionnez la taille de disque (2Go)
6. Cliquez ensuite deux fois sur Terminer afin de terminer la mise en place de la machine
virtuelle.
3.1 Activation dune interface rseau
Pour lutilisation de Pfsense, il est ncessaire dactiverdeux interfaces rseaux, dont lune pour le WAN etlautre pour LAN
3.2Installation de Pfsense
Dmarrez votre ordinateur partir du cd de limage iso de pfSense ;
A l'cran de bienvenue, tapez 1 pour choisir le boot pfSense ou laissez dmarrer avec l'option pardfaut.
mailto:[email protected]:[email protected]:[email protected]:[email protected] -
7/24/2019 Rapport de Stage Openvpn
23/40
Mise en place dun OpenVPN sous PfSense
5me Anne Rseaux, Scurit et Tlcoms, SupManagemnet Fs
17Laoualy Ibrahim Bassirou :[email protected]
Les VLAN ne seront pas utiliss, on tape n.
Ensuite vient la configuration des interfaces rseaux. FreeBSD dtecte le nombre de cartes rseaux, ety attribue des noms (em0, em1 dans notre cas).
mailto:[email protected]:[email protected]:[email protected]://translate.googleusercontent.com/translate_c?act=url&depth=1&hl=fr&ie=UTF8&prev=_t&rurl=translate.google.com&sl=en&tl=fr&u=http://picasaweb.google.com/lh/photo/a0SJ2t_R8QY995GYz2zBrg?feat%3Dembedwebsite&usg=ALkJrhgrRtFDmTHnd6vGazeGN9QRUWATiQmailto:[email protected] -
7/24/2019 Rapport de Stage Openvpn
24/40
Mise en place dun OpenVPN sous PfSense
5me Anne Rseaux, Scurit et Tlcoms, SupManagemnet Fs
18Laoualy Ibrahim Bassirou :[email protected]
Une fois les interfaces configures, il est ncessaire dinstaller PfSense en dur sur le disque dur, dansle menu affich on tape le choix 99 .
Nous choisissons la mthode la plus rapide et facile.
L'installation qui va suivre se fait en acceptant toutes les options par dfaut. Il suffit d'accepter toutesles demandes (formatage si ncessaire et cration de la partition).
< Accepte these Settings >puis en validant.
l'invite Slectionner une tche,choisissez rapide / Easy Install.
mailto:[email protected]:[email protected]:[email protected]://translate.googleusercontent.com/translate_c?act=url&depth=1&hl=fr&ie=UTF8&prev=_t&rurl=translate.google.com&sl=en&tl=fr&u=http://picasaweb.google.com/lh/photo/6lkUPAocpzwWE7yPnXvpcA?feat%3Dembedwebsite&usg=ALkJrhjWso9BYiJGrg448k-dfUSNFCs2aghttps://translate.googleusercontent.com/translate_c?act=url&depth=1&hl=fr&ie=UTF8&prev=_t&rurl=translate.google.com&sl=en&tl=fr&u=http://picasaweb.google.com/lh/photo/_mdXRDmriDN1gGmWll0kvQ?feat%3Dembedwebsite&usg=ALkJrhgyPxXhkSiEJGVQ1csChwKSCNPA7gmailto:[email protected] -
7/24/2019 Rapport de Stage Openvpn
25/40
Mise en place dun OpenVPN sous PfSense
5me Anne Rseaux, Scurit et Tlcoms, SupManagemnet Fs
19Laoualy Ibrahim Bassirou :[email protected]
Cette installation va occuper la totalit du disque dur qui est pourquoi je slectionne OK pourcontinuer.
L'installation dmarre .................. ..
mailto:[email protected]:[email protected]:[email protected]://translate.googleusercontent.com/translate_c?act=url&depth=1&hl=fr&ie=UTF8&prev=_t&rurl=translate.google.com&sl=en&tl=fr&u=http://picasaweb.google.com/lh/photo/c5okwZL-jNbNNxjDyU-qdQ?feat%3Dembedwebsite&usg=ALkJrhgr--Zt1kv1KYkprx6xeZf54cA24ghttps://translate.googleusercontent.com/translate_c?act=url&depth=1&hl=fr&ie=UTF8&prev=_t&rurl=translate.google.com&sl=en&tl=fr&u=http://picasaweb.google.com/lh/photo/HQ30KgQpY16ZYRmFcd7Y9w?feat%3Dembedwebsite&usg=ALkJrhjZlqXOVM_5FMt40qdcs88KllRh_Ahttps://translate.googleusercontent.com/translate_c?act=url&depth=1&hl=fr&ie=UTF8&prev=_t&rurl=translate.google.com&sl=en&tl=fr&u=http://picasaweb.google.com/lh/photo/DtiORUSvzEt-VhPgzaWQVg?feat%3Dembedwebsite&usg=ALkJrhjRCNYO6_eP8byZqDpuKkVNOlAJYgmailto:[email protected] -
7/24/2019 Rapport de Stage Openvpn
26/40
Mise en place dun OpenVPN sous PfSense
5me Anne Rseaux, Scurit et Tlcoms, SupManagemnet Fs
20Laoualy Ibrahim Bassirou :[email protected]
Redmarrez et retirez le CD / DVD dans le tiroir du lecteur.
Avant tout, il est conseill de changer l'IP sur la machine de Pfsense pour plus de simplicit par la suite. Pourcela, dans le menu de Pfsense, tapez lechoix 2 : Set LAN IP adresse.
mailto:[email protected]:[email protected]:[email protected]://translate.googleusercontent.com/translate_c?act=url&depth=1&hl=fr&ie=UTF8&prev=_t&rurl=translate.google.com&sl=en&tl=fr&u=http://picasaweb.google.com/lh/photo/1eLrEJPduvOx8zwdtUZrWQ?feat%3Dembedwebsite&usg=ALkJrhiEbX9FqclsfwFDC-A4UrobJayblgmailto:[email protected] -
7/24/2019 Rapport de Stage Openvpn
27/40
Mise en place dun OpenVPN sous PfSense
5me Anne Rseaux, Scurit et Tlcoms, SupManagemnet Fs
21Laoualy Ibrahim Bassirou :[email protected]
Enfin au aura le menu suivant
Tableau recaptitatif des interfaces
Pfsense site 1 Pfsense site 2
Type de rseau WAN LAN WAN LAN
IP de interface 10.0.2.20 192.168.2.1 10.0.2.15 192.168.3.1
Masque de sousrseau
255.255.255.0 255.255.255.0 255.255.255.0 255.255.255.0
3.3 Poursuite de l'installation via linterface web
Ouvrez ensuite votre navigateur Web, puis entrezhttp://192.168.2.1,par dfaut on met :
Identifiant : admin Mot de passe : Pfsense
mailto:[email protected]:[email protected]:[email protected]://192.168.2.1/http://192.168.2.1/http://192.168.2.1/http://192.168.2.1/mailto:[email protected] -
7/24/2019 Rapport de Stage Openvpn
28/40
Mise en place dun OpenVPN sous PfSense
5me Anne Rseaux, Scurit et Tlcoms, SupManagemnet Fs
22Laoualy Ibrahim Bassirou :[email protected]
Une fois identifie, on serait appel faire la configuration initiale pour prparer notre serveur.
Finalement, on est enfin arriv l'interface web :Allez ensuite dans System, puis General Setup.
mailto:[email protected]:[email protected]:[email protected]:[email protected] -
7/24/2019 Rapport de Stage Openvpn
29/40
Mise en place dun OpenVPN sous PfSense
5me Anne Rseaux, Scurit et Tlcoms, SupManagemnet Fs
23Laoualy Ibrahim Bassirou :[email protected]
Pour viter que les mal intentionn branchs sur le LAN essayent de se connecter l'interface
web. On doit effectuer quelques configurations :System > Advanced Activer le https pour que la connexion entre vous et le serveur soit chiffr. Changer le numro de port pour accder l'interface web. (suprieur 49152) Cochez la case pour supprimez la redirection automatique vers l'interface web lors de la
connexion l'adresse ip du serveur sur le port 80. Activer le SSH pour viter de passer par la console. Entrez un numro de port suprieur 49152 diffrent du port de l'interface web choisi ci-
dessus. Cochez la case si vous dsirez que le mot de passe de l'interface web soit demand lors de
l'accs la console. Pour se connecter en SSH je me connecte avec l'ip du serveur sur le port 54321.
mailto:[email protected]:[email protected]:[email protected]:[email protected] -
7/24/2019 Rapport de Stage Openvpn
30/40
Mise en place dun OpenVPN sous PfSense
5me Anne Rseaux, Scurit et Tlcoms, SupManagemnet Fs
24Laoualy Ibrahim Bassirou :[email protected]
4. Installation du package OpenVPN Client Export Utility
Il Le paquet correspondant se nomme OpenVPN Client Export Utility . Cet outil permet
l'export directement partir de pfSense d'un client prconfigur OpenVPN pour Windowsou d'un fichier de configuration pour Mac OSX viscosit.
System >> packages >> Available Packages.
Slectionner Open Vpn Client Export Utilityet cliquer sur+pour linstaller.
Confirmer linstallation
A la fin, nous aurons un message
5.
Cration d'une autorit de certificationCACot serveur OpenVPN
System > Cert Manager:
mailto:[email protected]:[email protected]:[email protected]:[email protected] -
7/24/2019 Rapport de Stage Openvpn
31/40
Mise en place dun OpenVPN sous PfSense
5me Anne Rseaux, Scurit et Tlcoms, SupManagemnet Fs
25Laoualy Ibrahim Bassirou :[email protected]
Dans longlet Cas cliquer sur + pour crer une nouvelle autorit de certi ficationserveur VPN.
On remplit les champs comme suit : Desciptive name : VPN Server2 CA
Method : Create an internal Certificate Authority
Key length : 2048 bits
Digest Algorithm : SHA256
Lifetime : 3650 (10 ans)
Country Code : Fes
State or Province : Fes
City : Fes
Organization : Fes Email Address :[email protected]
Common Name : VPNCAEt on enregistre et Notre certificat CA est cr.
mailto:[email protected]:[email protected]:[email protected]:[email protected]:[email protected]:[email protected]:[email protected]:[email protected] -
7/24/2019 Rapport de Stage Openvpn
32/40
Mise en place dun OpenVPN sous PfSense
5me Anne Rseaux, Scurit et Tlcoms, SupManagemnet Fs
26Laoualy Ibrahim Bassirou :[email protected]
6. Cration dutilisateur OpenVPN et certificat priv pour
lutilisateur
System >> User Manager
Dans longlet Users cliquer sur +pour crer un nouvel utilisateur puis on renseigne leschamps :
Cliquer sur click to create a user certi fi cate partir du CAcr plus haut.Notre certificat pour le client OpenVPN est cr.
Les certificats sont cres
mailto:[email protected]:[email protected]:[email protected]:[email protected] -
7/24/2019 Rapport de Stage Openvpn
33/40
Mise en place dun OpenVPN sous PfSense
5me Anne Rseaux, Scurit et Tlcoms, SupManagemnet Fs
27Laoualy Ibrahim Bassirou :[email protected]
Si on remarque quon a rgnr les certificats CA et du cot clients
7. Configuration du serveur OpenVPN
OpenVPN est bas sur un mode de fonctionnement client-serveur. PfSense soit dfinitcomme un client ou un serveur ne changera strictement rien d'un point de vue rseau.Cependant, si on souhaite connecter plusieurs sites distants sur un site principal, les sitesdistants dont des "clients".
mailto:[email protected]:[email protected]:[email protected]:[email protected] -
7/24/2019 Rapport de Stage Openvpn
34/40
Mise en place dun OpenVPN sous PfSense
5me Anne Rseaux, Scurit et Tlcoms, SupManagemnet Fs
28Laoualy Ibrahim Bassirou :[email protected]
Configurer OpenVPN ct "serveur"
On commence par la Configuration interface WAN OpenVPNIl faut quon configure le firewall afin quil coute sur le port WAN.
VPN >> OpenVPN puis Onglet Wizard
On dfinit le type dauthentification comptes locaux, mais sinon on peut faire du LDAP oudu RADIUS.
On choisit le certificat CAquon a cr bien plus haut et qui va valider le certificat donn auPC mobile.
On slectionne le certificat du serveur, on fais suivant puis on slectionne le certificat clientquon vient de crer.Cliquer sur l'icne en forme de "+" pour ajouter un serveur VPN puis on remplit les champs
mailto:[email protected]:[email protected]:[email protected]:[email protected] -
7/24/2019 Rapport de Stage Openvpn
35/40
Mise en place dun OpenVPN sous PfSense
5me Anne Rseaux, Scurit et Tlcoms, SupManagemnet Fs
29Laoualy Ibrahim Bassirou :[email protected]
mailto:[email protected]:[email protected]:[email protected]:[email protected] -
7/24/2019 Rapport de Stage Openvpn
36/40
Mise en place dun OpenVPN sous PfSense
5me Anne Rseaux, Scurit et Tlcoms, SupManagemnet Fs
30Laoualy Ibrahim Bassirou :[email protected]
8. Configuration du Firewall
Il est maintenant ncessaire d'autoriser le flux VPN au niveau du firewall. Se rendre dans
Firewall >> Rules :
Sur l'interface sur laquelle le serveur OpenVPN est en coute, crer une rgle autorisant letrafic atteindre l'adresse IP et le port du serveur OpenVPN.Dans notre exemple, nous travaillons sur l'interface WAN et l'adresse IP de notre pfSense surnotre WAN est 10.0.2.15ce qui donne :
Interface : WAN
Protocol :UDP
Source : si l'adresse IP publique du site distant est connue et fixe, la renseigner enchoisissant le type "Single host or alias"
Destination : type "Single host or alias", adresse 10.0.2.15Destination port range : port choisi lors de la configuration du serveur OpenVPN, soit 1194Ce qui nous donne la rgle suivante :
La configuration ct serveur est termine. Il nous reste simplement penser autoriser oufiltrer nos flux transitant travers notre nouvelle interface OpenVPN.
mailto:[email protected]:[email protected]:[email protected]:[email protected] -
7/24/2019 Rapport de Stage Openvpn
37/40
Mise en place dun OpenVPN sous PfSense
5me Anne Rseaux, Scurit et Tlcoms, SupManagemnet Fs
31Laoualy Ibrahim Bassirou :[email protected]
9. Configurer OpenVPN ct "client"
Sur le pfSense du site "client", se rendre dans VPN >> OpenVPN. Puis cliquer sur
l'onglet "Client".
Cliquer sur l'icne en forme de "+" pour ajouter un client VPN.
La configuration ct client est termine. Il nous reste simplement penser autoriser ou
filtrer nos flux transitant travers notre nouvelle interface OpenVPN.
10.Export du client openVPN et la configuration
PfSense permet, grce au package install OpenVPN Client Export Utility , d'exporter
un excutable pour l'installation et la configuration du client sous Windows.VPN >> OpenVPN >> onglet 'Client Export'
On tlcharge le client qui correspond notre Systme.Cliquez sur 'Windows Installer' en face de 'nomade' puis suivez les instructions.
mailto:[email protected]:[email protected]:[email protected]:[email protected] -
7/24/2019 Rapport de Stage Openvpn
38/40
Mise en place dun OpenVPN sous PfSense
5me Anne Rseaux, Scurit et Tlcoms, SupManagemnet Fs
32Laoualy Ibrahim Bassirou :[email protected]
Aprs linstallation du OpenVPN GUI, nous ouvrons larchive de configuration et y extraire
les fichiers cet emplacement sur la machine avec laquelle nous allons tablir la connexionVPN.Lorsque nous lanons OpenVPN GUI, nous obtenons une icne reprsentant un petit postede travail de couleur rouge qui nous indique que notre connexion au serveur VPN nest pas
active.Pour activer notre connexion VPN, nous faisons un clic droit sur licne de la barre de tche OpenVPN . Puis nous cliquons sur Connect.Une fois que nous aurons cliqu sur Connect, nous obtenons la fentre suivante avec une
bote de dialogue nous demandant denter le mot de passe.
Si la connexion VPN se droule sans aucun problme, licne dans notre barre de tche
change de couleur et devient verte. La connexion notre serveur VPN est fonctionnelle.
mailto:[email protected]:[email protected]:[email protected]:[email protected] -
7/24/2019 Rapport de Stage Openvpn
39/40
Mise en place dun OpenVPN sous PfSense
5me Anne Rseaux, Scurit et Tlcoms, SupManagemnet Fs
33Laoualy Ibrahim Bassirou :[email protected]
Conclusion
Le dveloppement de la technologie et de linformatique en particulier, a beaucoup
facilit les transactions entre les entreprises. Les donnes peuvent tre changes via linternet
en toute scurit avec limplmentions de protocole de scurit. Cette implmentation et
ladministration rseau ncessite souvent la matrise des diffrentes technologies et les faire
travailler ensembles. Le travail se complique encore si ladministration et la configuration de
tout cela se fait manuellement.
Heureusement, des outils puissants existent, qui intgre plusieurs solutions de scurit comme
lexemple de PfSense.
Cet Outil est en effet un gestionnaire central doutils rseaux. On peut ainsi faire
travailler ensemble un pare feu, un routeur, un serveur VPN, un Proxy, un outil de dtection
dattaque rseau etc Le tout sur un seul et mme Serveur. On peut par exemple crer trs
facilement des Backups pour ne pas se retrouver avec un seul point nvralgique dans notre
rseau Bref nous pensons que PfSense est voue exister et se dvelopper.
Dans notre travail nous avons mis en place et test une solution OpenVNP au niveau de
chaque site tout en activant le routage entre les deux sites pour que les sites puissent changer
les donnes en toute scurit via le tunnel OpenVPN.
mailto:[email protected]:[email protected]:[email protected]:[email protected] -
7/24/2019 Rapport de Stage Openvpn
40/40
Mise en place dun OpenVPN sous PfSense
5me Anne Rseaux, Scurit et Tlcoms, SupManagemnet Fs
Bibliographie
Etude des principaux services fournis par PfSense Rdacteurs :
Anthony COSTANZO, Damien GRILLAT, Lylian LEFRANCOIS
VPN OpenVPN site site sur pfSense Auteur : M. Grgory
Bernard [email protected]
Webographie
https://www.freebsd.org/fr/
https://www.virtualbox.org/
https://doc.ubuntu-fr.org/virtualbox
https://www.pfsense.org/
http://www.senat.fr/rap/r11-681/r11-681_mono.html
http://www.commentcamarche.net/contents/47-piratage-et-
attaques-informatiques
https://www.osnet.eu/fr/content/liste-configuration-pfsense
mailto:[email protected]:[email protected]:[email protected]://www.freebsd.org/fr/https://www.freebsd.org/fr/https://www.virtualbox.org/https://www.virtualbox.org/https://doc.ubuntu-fr.org/virtualboxhttps://doc.ubuntu-fr.org/virtualboxhttps://www.pfsense.org/https://www.pfsense.org/http://www.senat.fr/rap/r11-681/r11-681_mono.htmlhttp://www.senat.fr/rap/r11-681/r11-681_mono.htmlhttp://www.commentcamarche.net/contents/47-piratage-et-attaques-informatiqueshttp://www.commentcamarche.net/contents/47-piratage-et-attaques-informatiqueshttp://www.commentcamarche.net/contents/47-piratage-et-attaques-informatiqueshttp://www.commentcamarche.net/contents/47-piratage-et-attaques-informatiqueshttp://www.commentcamarche.net/contents/47-piratage-et-attaques-informatiqueshttps://www.osnet.eu/fr/content/liste-configuration-pfsensehttps://www.osnet.eu/fr/content/liste-configuration-pfsensehttps://www.osnet.eu/fr/content/liste-configuration-pfsensehttp://www.commentcamarche.net/contents/47-piratage-et-attaques-informatiqueshttp://www.commentcamarche.net/contents/47-piratage-et-attaques-informatiqueshttp://www.senat.fr/rap/r11-681/r11-681_mono.htmlhttps://www.pfsense.org/https://doc.ubuntu-fr.org/virtualboxhttps://www.virtualbox.org/https://www.freebsd.org/fr/mailto:[email protected]