SlideShare une entreprise Scribd logo

Mini projet bureau à distance sécurisé

S
SamiMessaoudi4

Mise en place d'un serveur RDS avec un VPN OpenVPN.

Technologie
1  sur  27
Télécharger pour lire hors ligne
Page 1 Sécurisation d’un serveur RDS Réalisé par : - Sami MESSAOUDI
Page 2 Sommaire Table des matières Présentation.......................................................................................................................................3 Installation du serveur RDS................................................................................................................4 Mise en place d’un VPN OpenVPN .....................................................................................................9
Page 3 Présentation Le service de bureau à distance (RDS) est une architecture centralisée qui permet à un utilisateur de se connecter à un bureau distant, se service utilise les protocoles RDP. Les échanges entre un utilisateur et le serveur RDS ne sont pas cryptés, cela pose un problème de sécurité. Dans se mini projet, j’ai décidé de l’associer à un VPN open source OpenVPN. Quelle est l’avantage d’installé un VPN ? Le VPN va permettre par le biais d’un système de certificat de créer un tunnel, ce qui rendra plus sécurisé l’échange d’information entre les clients et le réseau de l’entreprise. Il va donc permettre de sécuriser le service de bureau à distance. Voici un exemple d’infrastructure possible.
Page 4 Installation du serveur RDS Pré requis : Le déploiement standard des services de bureaux à distance nécessite un domaine Active Directory. Step 1: Cliquer sur gérer Step 2: Aller dans « Ajouter des rôles et fonctionnalités »
Page 5 Step 3: Cliquer sur suivant Step 4: Cliquer sur « Installation des services Bureau à Distance »
Page 6 Step 5: Sélectionner « Démarrage rapide » Step 6 : Sélectionner « Déploiement de bureaux basés sur une session »
Page 7 Step 7: Sélectionner le serveur et faite suivant Step 8: Un résumé de la configuration s’affiche, cocher la case pour redémarrer le serveur automatiquement et cliquer sur le bouton Déployer pour commencer l’installation.
Page 8 Step 9: L’installation est terminée, quitter l’assistant en cliquant sur Fermer.
Page 9 Mise en place d’un VPN OpenVPN Step 1: Créer l’autorité de certificat Allez dans System > Cert. Manager Allez dans CAs et appuyai sur Add pour ajouter une autorité de certificat.
Page 10 Donnez un nom à l'autorité de certification, par exemple "CA-ITCONNECT-OPENVPN", ce nom sera visible seulement dans Pfsense. Choisissez la méthode "Create an internal Certificate Authority". Concernant le nom qui sera affiché dans les certificats, il s'agit du champ "Common Name", j'indique "it-connect" pour ma part. Remplissez les autres valeurs : la région, la ville, etc... et cliquez sur "Save" pour créer la CA.
Page 11 L’autorité de certificat doit apparaitre comme ceci : Step 2 : Créer le certificat serveur Allez dans Certificates
Page 12 Cliquer sur Add pour ajouter un nouveau certificat Choisissez la méthode "Create an Internal Certificate" puisqu'il s'agit d'une création, donnez-lui un nom (VPN-SSL-REMOTE-ACCESS) et sélectionnez l'autorité de certification au niveau du paramètre "Certificate authority". Par défaut, la validité du certificat est fixée à 3650 jours soit 10 ans. Le "Common Name" correspond là aussi au nom intégré dans le certificat, si vous souhaitez établir une connexion VPN basée sur un nom de domaine, il est préférable d'indiquer cette valeur ici.
Page 13 Après avoir cliqué sur "Save" pour valider la création du certificat, il apparaît dans la liste des certificats du Pare-feu :
Page 14 Step 3 : Créer les utilisateurs locaux Aller dans System>User Manager>Users>Edit Pour créer l'utilisateur, il faut indiquer un identifiant, un mot de passe... Ainsi que cocher l'option "Click to create a user certificate" : cela va ajouter le formulaire de création du certificat juste en dessous. Pour créer le certificat, on se base sur notre autorité de certification.
Page 15 Lorsque l'utilisateur est créé, il apparaît bien dans la base locale :
Page 16 Step 4 : Configurer le serveur OpenVPN Aller dans VPN>L2TP>OpenV Cliquer sur Add
Page 17 La première chose à faire, c'est de choisir le "Server Mode" suivant : Remote Access (SSL/TLS + User Auth). Pour le VPN, le protocole s'appuie sur de l'UDP, avec le port 1194 par défaut : je vous recommande d'utiliser un port différent. Pour l'interface, nous allons conserver "WAN" puisque c'est bien par cette interface que l'on va se connecter en accès distant. Au niveau de la partie chiffrement, un peu plus bas dans la page, vous devez sélectionner votre autorité de certification au niveau du champ "Peer Certificate Authority". En complément, sélectionnez le certificat Server au niveau du champ "Server certificate". Pour l'algorithme de chiffrement (Encryption Algorithm), nous pouvons passer sur de l'AES-256- CBC plutôt que de l'AES-128-CBC. La sécurité sera renforcée, mais cela impact légèrement les performances, car le processus de chiffrement est alourdi : il sera toujours possible de modifier cette valeur.
Page 18 Passons maintenant à la configuration de notre tunnel VPN en lui-même. - IPv4 Tunnel Network : adresse du réseau VPN, c'est-à-dire que lorsqu'un client va se connecter en VPN il obtiendra une adresse IP dans ce réseau au niveau de la carte réseau locale du PC - Redirect IPv4 Gateway : si vous cochez cette option, vous passez sur un full tunnel c'est-à-dire que tous les flux réseau du PC distant vont passer dans le VPN, sinon nous sommes en split-tunnel - IPv4 Local network : les adresses réseau des LAN que vous souhaitez rendre accessibles via ce tunnel VPN. Dans mon exemple, je souhaite rendre accessible le réseau 192.168.2.0/24 via le VPN. Si vous avez plusieurs valeurs à indiquer, il faut les séparer par une virgule - Concurrent connections : le nombre de connexions VPN simultanés que vous autorisez.
Page 19 Cocher la case Dynamic IP et utilisez la topologie « net30 – Isolated /30 network per client »
Page 20 Cocher la case DNS Default Domain, entrer votre nom de domaine, cocher également la case DNS Default Domain et entrer l’adresse IP de votre DNS. Dans la zone "Custom options", indiquez : auth-nocache. Cette option offre une protection supplémentaire contre le vol des identifiants en refusant la mise en cache.
Page 21 Validé la configuration.
Page 22 Step 5 : Créer les règles de firewall pour OpenVPN Aller dans Firewall>Rules>Edit
Page 23 Cliquez sur le menu "Firewall" > "WAN". Il est nécessaire de créer une nouvelle règle pour l'interface WAN, en sélectionnant le protocole UDP. La destination ce sera notre adresse IP publique donc sélectionnez "WAN address". Pour le port, prenez OpenVPN dans la liste ou alors indiquez votre port personnalisé. Si vous le souhaitez, vous pouvez ajouter une description à cette règle et activer les logs.
Page 24 Validez la création de la règle et appliquez la configuration. Appliquer les changements
Page 25 Ajoutez une nouvelle règle, cette fois-ci sur l'interface OpenVPN. La règle qui suit sert à autoriser l'accès en RDP à l'hôte 192.168.2.15 (qui fait bien parti du réseau autorisé dans la configuration du VPN) au travers du tunnel VPN. Vous devez créer une ou plusieurs règles en fonction des ressources auxquelles vos utilisateurs doivent accéder via le VPN, en limitant les flux au maximum.
Page 26 La configuration est terminée.
Page 27 Appliquer les modifications.

Recommandé

Windows server 2012 r2
Windows server 2012 r2Windows server 2012 r2
Windows server 2012 r2Ousmane BADJI
 
Cloud computing
Cloud computingCloud computing
Cloud computingIshakHAMEDDAH
 
Rapport de projet_de_fin_d__tudes__pfe__safwen (8)
Rapport de projet_de_fin_d__tudes__pfe__safwen (8)Rapport de projet_de_fin_d__tudes__pfe__safwen (8)
Rapport de projet_de_fin_d__tudes__pfe__safwen (8)safwenbenfredj
 
Mise en place d’un OpenVPN sous PfSense
Mise en place d’un OpenVPN sous PfSenseMise en place d’un OpenVPN sous PfSense
Mise en place d’un OpenVPN sous PfSenseLaouali Ibrahim bassirou Been Makao
 
radius
radiusradius
radiusmohamed hadrich
 
Agilité / DevOps / Continuous Integration / Continuous Delivery - Présentatio...
Agilité / DevOps / Continuous Integration / Continuous Delivery - Présentatio...Agilité / DevOps / Continuous Integration / Continuous Delivery - Présentatio...
Agilité / DevOps / Continuous Integration / Continuous Delivery - Présentatio...Michel-Marie Maudet
 
Cloud et Virtualisation
Cloud et VirtualisationCloud et Virtualisation
Cloud et VirtualisationMarc Jouve
 
Mémoire : Cloud iaas Slim Hannachi
Mémoire : Cloud iaas Slim HannachiMémoire : Cloud iaas Slim Hannachi
Mémoire : Cloud iaas Slim Hannachislim Hannachi
 

Recommandé

Windows server 2012 r2
Windows server 2012 r2Windows server 2012 r2
Windows server 2012 r2Ousmane BADJI
 
Cloud computing
Cloud computingCloud computing
Cloud computingIshakHAMEDDAH
 
Rapport de projet_de_fin_d__tudes__pfe__safwen (8)
Rapport de projet_de_fin_d__tudes__pfe__safwen (8)Rapport de projet_de_fin_d__tudes__pfe__safwen (8)
Rapport de projet_de_fin_d__tudes__pfe__safwen (8)safwenbenfredj
 
Mise en place d’un OpenVPN sous PfSense
Mise en place d’un OpenVPN sous PfSenseMise en place d’un OpenVPN sous PfSense
Mise en place d’un OpenVPN sous PfSenseLaouali Ibrahim bassirou Been Makao
 
radius
radiusradius
radiusmohamed hadrich
 
Agilité / DevOps / Continuous Integration / Continuous Delivery - Présentatio...
Agilité / DevOps / Continuous Integration / Continuous Delivery - Présentatio...Agilité / DevOps / Continuous Integration / Continuous Delivery - Présentatio...
Agilité / DevOps / Continuous Integration / Continuous Delivery - Présentatio...Michel-Marie Maudet
 
Cloud et Virtualisation
Cloud et VirtualisationCloud et Virtualisation
Cloud et VirtualisationMarc Jouve
 
Mémoire : Cloud iaas Slim Hannachi
Mémoire : Cloud iaas Slim HannachiMémoire : Cloud iaas Slim Hannachi
Mémoire : Cloud iaas Slim Hannachislim Hannachi
 
Introduction à la technologie Cloud Computing
Introduction à la technologie Cloud ComputingIntroduction à la technologie Cloud Computing
Introduction à la technologie Cloud ComputingRaouia Bouabdallah
 
Présentation Docker
Présentation DockerPrésentation Docker
Présentation DockerColin LEVERGER
 
Mise en place d’un serveur radius
Mise en place d’un serveur radiusMise en place d’un serveur radius
Mise en place d’un serveur radiusJeff Hermann Ela Aba
 
Rapport Windows Serveur 2008 "Active Directory Management"
Rapport Windows Serveur 2008 "Active Directory Management"Rapport Windows Serveur 2008 "Active Directory Management"
Rapport Windows Serveur 2008 "Active Directory Management"Ayoub Rouzi
 
Formation libre OpenStack en Français
Formation libre OpenStack en FrançaisFormation libre OpenStack en Français
Formation libre OpenStack en FrançaisOsones
 
DevOps avec Ansible et Docker
DevOps avec Ansible et DockerDevOps avec Ansible et Docker
DevOps avec Ansible et DockerStephane Manciot
 
La sécurité des réseaux sans fil
La sécurité des réseaux sans filLa sécurité des réseaux sans fil
La sécurité des réseaux sans filsmiste
 
cours-supcom-virt.pptx
cours-supcom-virt.pptxcours-supcom-virt.pptx
cours-supcom-virt.pptxManellansari
 
Firewall Endian
Firewall EndianFirewall Endian
Firewall EndianFouad Root
 
Mini projet Zabbix
Mini projet ZabbixMini projet Zabbix
Mini projet ZabbixSamiMessaoudi4
 
Présentation docker et kubernetes
Présentation docker et kubernetesPrésentation docker et kubernetes
Présentation docker et kubernetesKiwi Backup
 
Étude et réalisation d’une application de contrôle d’un PC à distance en JAVA...
Étude et réalisation d’une application de contrôle d’un PC à distance en JAVA...Étude et réalisation d’une application de contrôle d’un PC à distance en JAVA...
Étude et réalisation d’une application de contrôle d’un PC à distance en JAVA...Bachir Benyammi
 
AUTOMATISATION DU DEPLOIEMENT ET DE LA GESTION DES RESEAUX VIRTUELS DANS LE C...
AUTOMATISATION DU DEPLOIEMENT ET DE LA GESTION DES RESEAUX VIRTUELS DANS LE C...AUTOMATISATION DU DEPLOIEMENT ET DE LA GESTION DES RESEAUX VIRTUELS DANS LE C...
AUTOMATISATION DU DEPLOIEMENT ET DE LA GESTION DES RESEAUX VIRTUELS DANS LE C...Khadidja BOUKREDIMI
 
Rapport sécurité
Rapport sécuritéRapport sécurité
Rapport sécuritéMohammed Zaoui
 
MISE EN PLACE D’ UN VPN (SITE-TO-SITE) AU SEIN D’ UNE ENTREPRISE : CAS DE LA ...
MISE EN PLACE D’ UN VPN (SITE-TO-SITE) AU SEIN D’ UNE ENTREPRISE : CAS DE LA ...MISE EN PLACE D’ UN VPN (SITE-TO-SITE) AU SEIN D’ UNE ENTREPRISE : CAS DE LA ...
MISE EN PLACE D’ UN VPN (SITE-TO-SITE) AU SEIN D’ UNE ENTREPRISE : CAS DE LA ...DENAGNON FRANCK ✔
 
Traitement distribue en BIg Data - KAFKA Broker and Kafka Streams
Traitement distribue en BIg Data - KAFKA Broker and Kafka StreamsTraitement distribue en BIg Data - KAFKA Broker and Kafka Streams
Traitement distribue en BIg Data - KAFKA Broker and Kafka StreamsENSET, Université Hassan II Casablanca
 
Mise En Place d'une Solution de Supervision Réseau
Mise En Place d'une Solution de Supervision Réseau Mise En Place d'une Solution de Supervision Réseau
Mise En Place d'une Solution de Supervision Réseau Yaya N'Tyeni Sanogo
 
Cloud_2022.pdf
Cloud_2022.pdfCloud_2022.pdf
Cloud_2022.pdfTaherbenabdallah1
 
HA Deployment Architecture with HAProxy and Keepalived
HA Deployment Architecture with HAProxy and KeepalivedHA Deployment Architecture with HAProxy and Keepalived
HA Deployment Architecture with HAProxy and KeepalivedGanapathi Kandaswamy
 
alphorm.com - Formation VMware vSphere 5
alphorm.com - Formation VMware vSphere 5alphorm.com - Formation VMware vSphere 5
alphorm.com - Formation VMware vSphere 5Alphorm
 
Doc portail-captif-pfsense
Doc portail-captif-pfsenseDoc portail-captif-pfsense
Doc portail-captif-pfsenseservinfo
 
Weos tunnel ssl hôte à site
Weos tunnel ssl hôte à siteWeos tunnel ssl hôte à site
Weos tunnel ssl hôte à siteFabian Vandendyck
 

Contenu connexe

Tendances

Introduction à la technologie Cloud Computing
Introduction à la technologie Cloud ComputingIntroduction à la technologie Cloud Computing
Introduction à la technologie Cloud ComputingRaouia Bouabdallah
 
Mise en place d’un serveur radius
Mise en place d’un serveur radiusMise en place d’un serveur radius
Mise en place d’un serveur radiusJeff Hermann Ela Aba
 
Rapport Windows Serveur 2008 "Active Directory Management"
Rapport Windows Serveur 2008 "Active Directory Management"Rapport Windows Serveur 2008 "Active Directory Management"
Rapport Windows Serveur 2008 "Active Directory Management"Ayoub Rouzi
 
Formation libre OpenStack en Français
Formation libre OpenStack en FrançaisFormation libre OpenStack en Français
Formation libre OpenStack en FrançaisOsones
 
DevOps avec Ansible et Docker
DevOps avec Ansible et DockerDevOps avec Ansible et Docker
DevOps avec Ansible et DockerStephane Manciot
 
La sécurité des réseaux sans fil
La sécurité des réseaux sans filLa sécurité des réseaux sans fil
La sécurité des réseaux sans filsmiste
 
cours-supcom-virt.pptx
cours-supcom-virt.pptxcours-supcom-virt.pptx
cours-supcom-virt.pptxManellansari
 
Firewall Endian
Firewall EndianFirewall Endian
Firewall EndianFouad Root
 
Présentation docker et kubernetes
Présentation docker et kubernetesPrésentation docker et kubernetes
Présentation docker et kubernetesKiwi Backup
 
Étude et réalisation d’une application de contrôle d’un PC à distance en JAVA...
Étude et réalisation d’une application de contrôle d’un PC à distance en JAVA...Étude et réalisation d’une application de contrôle d’un PC à distance en JAVA...
Étude et réalisation d’une application de contrôle d’un PC à distance en JAVA...Bachir Benyammi
 
AUTOMATISATION DU DEPLOIEMENT ET DE LA GESTION DES RESEAUX VIRTUELS DANS LE C...
AUTOMATISATION DU DEPLOIEMENT ET DE LA GESTION DES RESEAUX VIRTUELS DANS LE C...AUTOMATISATION DU DEPLOIEMENT ET DE LA GESTION DES RESEAUX VIRTUELS DANS LE C...
AUTOMATISATION DU DEPLOIEMENT ET DE LA GESTION DES RESEAUX VIRTUELS DANS LE C...Khadidja BOUKREDIMI
 
MISE EN PLACE D’ UN VPN (SITE-TO-SITE) AU SEIN D’ UNE ENTREPRISE : CAS DE LA ...
MISE EN PLACE D’ UN VPN (SITE-TO-SITE) AU SEIN D’ UNE ENTREPRISE : CAS DE LA ...MISE EN PLACE D’ UN VPN (SITE-TO-SITE) AU SEIN D’ UNE ENTREPRISE : CAS DE LA ...
MISE EN PLACE D’ UN VPN (SITE-TO-SITE) AU SEIN D’ UNE ENTREPRISE : CAS DE LA ...DENAGNON FRANCK ✔
 
Mise En Place d'une Solution de Supervision Réseau
Mise En Place d'une Solution de Supervision Réseau Mise En Place d'une Solution de Supervision Réseau
Mise En Place d'une Solution de Supervision Réseau Yaya N'Tyeni Sanogo
 
HA Deployment Architecture with HAProxy and Keepalived
HA Deployment Architecture with HAProxy and KeepalivedHA Deployment Architecture with HAProxy and Keepalived
HA Deployment Architecture with HAProxy and KeepalivedGanapathi Kandaswamy
 
alphorm.com - Formation VMware vSphere 5
alphorm.com - Formation VMware vSphere 5alphorm.com - Formation VMware vSphere 5
alphorm.com - Formation VMware vSphere 5Alphorm
 

Tendances (20)

Introduction à la technologie Cloud Computing
Introduction à la technologie Cloud ComputingIntroduction à la technologie Cloud Computing
Introduction à la technologie Cloud Computing
 
Présentation Docker
Présentation DockerPrésentation Docker
Présentation Docker
 
Mise en place d’un serveur radius
Mise en place d’un serveur radiusMise en place d’un serveur radius
Mise en place d’un serveur radius
 
Rapport Windows Serveur 2008 "Active Directory Management"
Rapport Windows Serveur 2008 "Active Directory Management"Rapport Windows Serveur 2008 "Active Directory Management"
Rapport Windows Serveur 2008 "Active Directory Management"
 
Formation libre OpenStack en Français
Formation libre OpenStack en FrançaisFormation libre OpenStack en Français
Formation libre OpenStack en Français
 
DevOps avec Ansible et Docker
DevOps avec Ansible et DockerDevOps avec Ansible et Docker
DevOps avec Ansible et Docker
 
La sécurité des réseaux sans fil
La sécurité des réseaux sans filLa sécurité des réseaux sans fil
La sécurité des réseaux sans fil
 
cours-supcom-virt.pptx
cours-supcom-virt.pptxcours-supcom-virt.pptx
cours-supcom-virt.pptx
 
Firewall Endian
Firewall EndianFirewall Endian
Firewall Endian
 
Mini projet Zabbix
Mini projet ZabbixMini projet Zabbix
Mini projet Zabbix
 
Présentation docker et kubernetes
Présentation docker et kubernetesPrésentation docker et kubernetes
Présentation docker et kubernetes
 
Étude et réalisation d’une application de contrôle d’un PC à distance en JAVA...
Étude et réalisation d’une application de contrôle d’un PC à distance en JAVA...Étude et réalisation d’une application de contrôle d’un PC à distance en JAVA...
Étude et réalisation d’une application de contrôle d’un PC à distance en JAVA...
 
AUTOMATISATION DU DEPLOIEMENT ET DE LA GESTION DES RESEAUX VIRTUELS DANS LE C...
AUTOMATISATION DU DEPLOIEMENT ET DE LA GESTION DES RESEAUX VIRTUELS DANS LE C...AUTOMATISATION DU DEPLOIEMENT ET DE LA GESTION DES RESEAUX VIRTUELS DANS LE C...
AUTOMATISATION DU DEPLOIEMENT ET DE LA GESTION DES RESEAUX VIRTUELS DANS LE C...
 
Rapport sécurité
Rapport sécuritéRapport sécurité
Rapport sécurité
 
MISE EN PLACE D’ UN VPN (SITE-TO-SITE) AU SEIN D’ UNE ENTREPRISE : CAS DE LA ...
MISE EN PLACE D’ UN VPN (SITE-TO-SITE) AU SEIN D’ UNE ENTREPRISE : CAS DE LA ...MISE EN PLACE D’ UN VPN (SITE-TO-SITE) AU SEIN D’ UNE ENTREPRISE : CAS DE LA ...
MISE EN PLACE D’ UN VPN (SITE-TO-SITE) AU SEIN D’ UNE ENTREPRISE : CAS DE LA ...
 
Traitement distribue en BIg Data - KAFKA Broker and Kafka Streams
Traitement distribue en BIg Data - KAFKA Broker and Kafka StreamsTraitement distribue en BIg Data - KAFKA Broker and Kafka Streams
Traitement distribue en BIg Data - KAFKA Broker and Kafka Streams
 
Mise En Place d'une Solution de Supervision Réseau
Mise En Place d'une Solution de Supervision Réseau Mise En Place d'une Solution de Supervision Réseau
Mise En Place d'une Solution de Supervision Réseau
 
Cloud_2022.pdf
Cloud_2022.pdfCloud_2022.pdf
Cloud_2022.pdf
 
HA Deployment Architecture with HAProxy and Keepalived
HA Deployment Architecture with HAProxy and KeepalivedHA Deployment Architecture with HAProxy and Keepalived
HA Deployment Architecture with HAProxy and Keepalived
 
alphorm.com - Formation VMware vSphere 5
alphorm.com - Formation VMware vSphere 5alphorm.com - Formation VMware vSphere 5
alphorm.com - Formation VMware vSphere 5
 

Similaire à Mini projet bureau à distance sécurisé

Doc portail-captif-pfsense
Doc portail-captif-pfsenseDoc portail-captif-pfsense
Doc portail-captif-pfsenseservinfo
 
Weos tunnel ssl hôte à site
Weos tunnel ssl hôte à siteWeos tunnel ssl hôte à site
Weos tunnel ssl hôte à siteFabian Vandendyck
 
Exemple de configuration de serveur VPN distant avec NAT entrant pour le traf...
Exemple de configuration de serveur VPN distant avec NAT entrant pour le traf...Exemple de configuration de serveur VPN distant avec NAT entrant pour le traf...
Exemple de configuration de serveur VPN distant avec NAT entrant pour le traf...Regis VPN
 
Authentification par certificat (clear box)
Authentification par certificat (clear box)Authentification par certificat (clear box)
Authentification par certificat (clear box)Ousmane BADJI
 
Génération de certificats SSL
Génération de certificats SSLGénération de certificats SSL
Génération de certificats SSLFabian Vandendyck
 
Reseau entreprise
Reseau entrepriseReseau entreprise
Reseau entrepriseSAIDRAISS2
 
Mise en place d'active directory sous windows serveur 22
Mise en place d'active directory sous windows serveur 22Mise en place d'active directory sous windows serveur 22
Mise en place d'active directory sous windows serveur 22ImnaTech
 
Mise en place d'un vpn site à site avec pfsense
Mise en place d'un vpn site à site avec pfsenseMise en place d'un vpn site à site avec pfsense
Mise en place d'un vpn site à site avec pfsensePape Moussa SONKO
 
Certifs x509
Certifs x509Certifs x509
Certifs x509hamduvski
 
Serveur ftp
Serveur ftpServeur ftp
Serveur ftpSam Rich
 
Authentification TLS/SSL sous OpenVPN
Authentification TLS/SSL sous OpenVPNAuthentification TLS/SSL sous OpenVPN
Authentification TLS/SSL sous OpenVPNIsmail Rachdaoui
 
Vpn d’acces avec cisco asa 5500 et client
Vpn d’acces avec cisco asa 5500 et clientVpn d’acces avec cisco asa 5500 et client
Vpn d’acces avec cisco asa 5500 et clientManassé Achim kpaya
 
Weos 3G routeur vers Smartphone
Weos 3G routeur vers SmartphoneWeos 3G routeur vers Smartphone
Weos 3G routeur vers SmartphoneFabian Vandendyck
 
Mise en place d’un serveur proxy : Cas du CCProxy
Mise en place d’un serveur proxy : Cas du CCProxyMise en place d’un serveur proxy : Cas du CCProxy
Mise en place d’un serveur proxy : Cas du CCProxyJeff Hermann Ela Aba
 
Installation et-configuration-d-un a175
Installation et-configuration-d-un a175Installation et-configuration-d-un a175
Installation et-configuration-d-un a175Maryem Maryemtii
 
Configurer ldaps sur un dc (avec une
Configurer ldaps sur un dc (avec uneConfigurer ldaps sur un dc (avec une
Configurer ldaps sur un dc (avec uneNovencia Groupe
 

Similaire à Mini projet bureau à distance sécurisé (20)

Doc portail-captif-pfsense
Doc portail-captif-pfsenseDoc portail-captif-pfsense
Doc portail-captif-pfsense
 
Weos tunnel ssl hôte à site
Weos tunnel ssl hôte à siteWeos tunnel ssl hôte à site
Weos tunnel ssl hôte à site
 
Exemple de configuration de serveur VPN distant avec NAT entrant pour le traf...
Exemple de configuration de serveur VPN distant avec NAT entrant pour le traf...Exemple de configuration de serveur VPN distant avec NAT entrant pour le traf...
Exemple de configuration de serveur VPN distant avec NAT entrant pour le traf...
 
Authentification par certificat (clear box)
Authentification par certificat (clear box)Authentification par certificat (clear box)
Authentification par certificat (clear box)
 
BTS E4 SYSLOG
BTS E4 SYSLOGBTS E4 SYSLOG
BTS E4 SYSLOG
 
Génération de certificats SSL
Génération de certificats SSLGénération de certificats SSL
Génération de certificats SSL
 
Mini projet nextcloud
Mini projet nextcloudMini projet nextcloud
Mini projet nextcloud
 
Reseau entreprise
Reseau entrepriseReseau entreprise
Reseau entreprise
 
Mise en place d'active directory sous windows serveur 22
Mise en place d'active directory sous windows serveur 22Mise en place d'active directory sous windows serveur 22
Mise en place d'active directory sous windows serveur 22
 
Implémentation d'openvpn
Implémentation d'openvpnImplémentation d'openvpn
Implémentation d'openvpn
 
Serveur lamp
Serveur lampServeur lamp
Serveur lamp
 
Mise en place d'un vpn site à site avec pfsense
Mise en place d'un vpn site à site avec pfsenseMise en place d'un vpn site à site avec pfsense
Mise en place d'un vpn site à site avec pfsense
 
Certifs x509
Certifs x509Certifs x509
Certifs x509
 
Serveur ftp
Serveur ftpServeur ftp
Serveur ftp
 
Authentification TLS/SSL sous OpenVPN
Authentification TLS/SSL sous OpenVPNAuthentification TLS/SSL sous OpenVPN
Authentification TLS/SSL sous OpenVPN
 
Vpn d’acces avec cisco asa 5500 et client
Vpn d’acces avec cisco asa 5500 et clientVpn d’acces avec cisco asa 5500 et client
Vpn d’acces avec cisco asa 5500 et client
 
Weos 3G routeur vers Smartphone
Weos 3G routeur vers SmartphoneWeos 3G routeur vers Smartphone
Weos 3G routeur vers Smartphone
 
Mise en place d’un serveur proxy : Cas du CCProxy
Mise en place d’un serveur proxy : Cas du CCProxyMise en place d’un serveur proxy : Cas du CCProxy
Mise en place d’un serveur proxy : Cas du CCProxy
 
Installation et-configuration-d-un a175
Installation et-configuration-d-un a175Installation et-configuration-d-un a175
Installation et-configuration-d-un a175
 
Configurer ldaps sur un dc (avec une
Configurer ldaps sur un dc (avec uneConfigurer ldaps sur un dc (avec une
Configurer ldaps sur un dc (avec une
 

Mini projet bureau à distance sécurisé

  • 1. Page 1 Sécurisation d’un serveur RDS Réalisé par : - Sami MESSAOUDI
  • 2. Page 2 Sommaire Table des matières Présentation.......................................................................................................................................3 Installation du serveur RDS................................................................................................................4 Mise en place d’un VPN OpenVPN .....................................................................................................9
  • 3. Page 3 Présentation Le service de bureau à distance (RDS) est une architecture centralisée qui permet à un utilisateur de se connecter à un bureau distant, se service utilise les protocoles RDP. Les échanges entre un utilisateur et le serveur RDS ne sont pas cryptés, cela pose un problème de sécurité. Dans se mini projet, j’ai décidé de l’associer à un VPN open source OpenVPN. Quelle est l’avantage d’installé un VPN ? Le VPN va permettre par le biais d’un système de certificat de créer un tunnel, ce qui rendra plus sécurisé l’échange d’information entre les clients et le réseau de l’entreprise. Il va donc permettre de sécuriser le service de bureau à distance. Voici un exemple d’infrastructure possible.
  • 4. Page 4 Installation du serveur RDS Pré requis : Le déploiement standard des services de bureaux à distance nécessite un domaine Active Directory. Step 1: Cliquer sur gérer Step 2: Aller dans « Ajouter des rôles et fonctionnalités »
  • 5. Page 5 Step 3: Cliquer sur suivant Step 4: Cliquer sur « Installation des services Bureau à Distance »
  • 6. Page 6 Step 5: Sélectionner « Démarrage rapide » Step 6 : Sélectionner « Déploiement de bureaux basés sur une session »
  • 7. Page 7 Step 7: Sélectionner le serveur et faite suivant Step 8: Un résumé de la configuration s’affiche, cocher la case pour redémarrer le serveur automatiquement et cliquer sur le bouton Déployer pour commencer l’installation.
  • 8. Page 8 Step 9: L’installation est terminée, quitter l’assistant en cliquant sur Fermer.
  • 9. Page 9 Mise en place d’un VPN OpenVPN Step 1: Créer l’autorité de certificat Allez dans System > Cert. Manager Allez dans CAs et appuyai sur Add pour ajouter une autorité de certificat.
  • 10. Page 10 Donnez un nom à l'autorité de certification, par exemple "CA-ITCONNECT-OPENVPN", ce nom sera visible seulement dans Pfsense. Choisissez la méthode "Create an internal Certificate Authority". Concernant le nom qui sera affiché dans les certificats, il s'agit du champ "Common Name", j'indique "it-connect" pour ma part. Remplissez les autres valeurs : la région, la ville, etc... et cliquez sur "Save" pour créer la CA.
  • 11. Page 11 L’autorité de certificat doit apparaitre comme ceci : Step 2 : Créer le certificat serveur Allez dans Certificates
  • 12. Page 12 Cliquer sur Add pour ajouter un nouveau certificat Choisissez la méthode "Create an Internal Certificate" puisqu'il s'agit d'une création, donnez-lui un nom (VPN-SSL-REMOTE-ACCESS) et sélectionnez l'autorité de certification au niveau du paramètre "Certificate authority". Par défaut, la validité du certificat est fixée à 3650 jours soit 10 ans. Le "Common Name" correspond là aussi au nom intégré dans le certificat, si vous souhaitez établir une connexion VPN basée sur un nom de domaine, il est préférable d'indiquer cette valeur ici.
  • 13. Page 13 Après avoir cliqué sur "Save" pour valider la création du certificat, il apparaît dans la liste des certificats du Pare-feu :
  • 14. Page 14 Step 3 : Créer les utilisateurs locaux Aller dans System>User Manager>Users>Edit Pour créer l'utilisateur, il faut indiquer un identifiant, un mot de passe... Ainsi que cocher l'option "Click to create a user certificate" : cela va ajouter le formulaire de création du certificat juste en dessous. Pour créer le certificat, on se base sur notre autorité de certification.
  • 15. Page 15 Lorsque l'utilisateur est créé, il apparaît bien dans la base locale :
  • 16. Page 16 Step 4 : Configurer le serveur OpenVPN Aller dans VPN>L2TP>OpenV Cliquer sur Add
  • 17. Page 17 La première chose à faire, c'est de choisir le "Server Mode" suivant : Remote Access (SSL/TLS + User Auth). Pour le VPN, le protocole s'appuie sur de l'UDP, avec le port 1194 par défaut : je vous recommande d'utiliser un port différent. Pour l'interface, nous allons conserver "WAN" puisque c'est bien par cette interface que l'on va se connecter en accès distant. Au niveau de la partie chiffrement, un peu plus bas dans la page, vous devez sélectionner votre autorité de certification au niveau du champ "Peer Certificate Authority". En complément, sélectionnez le certificat Server au niveau du champ "Server certificate". Pour l'algorithme de chiffrement (Encryption Algorithm), nous pouvons passer sur de l'AES-256- CBC plutôt que de l'AES-128-CBC. La sécurité sera renforcée, mais cela impact légèrement les performances, car le processus de chiffrement est alourdi : il sera toujours possible de modifier cette valeur.
  • 18. Page 18 Passons maintenant à la configuration de notre tunnel VPN en lui-même. - IPv4 Tunnel Network : adresse du réseau VPN, c'est-à-dire que lorsqu'un client va se connecter en VPN il obtiendra une adresse IP dans ce réseau au niveau de la carte réseau locale du PC - Redirect IPv4 Gateway : si vous cochez cette option, vous passez sur un full tunnel c'est-à-dire que tous les flux réseau du PC distant vont passer dans le VPN, sinon nous sommes en split-tunnel - IPv4 Local network : les adresses réseau des LAN que vous souhaitez rendre accessibles via ce tunnel VPN. Dans mon exemple, je souhaite rendre accessible le réseau 192.168.2.0/24 via le VPN. Si vous avez plusieurs valeurs à indiquer, il faut les séparer par une virgule - Concurrent connections : le nombre de connexions VPN simultanés que vous autorisez.
  • 19. Page 19 Cocher la case Dynamic IP et utilisez la topologie « net30 – Isolated /30 network per client »
  • 20. Page 20 Cocher la case DNS Default Domain, entrer votre nom de domaine, cocher également la case DNS Default Domain et entrer l’adresse IP de votre DNS. Dans la zone "Custom options", indiquez : auth-nocache. Cette option offre une protection supplémentaire contre le vol des identifiants en refusant la mise en cache.
  • 21. Page 21 Validé la configuration.
  • 22. Page 22 Step 5 : Créer les règles de firewall pour OpenVPN Aller dans Firewall>Rules>Edit
  • 23. Page 23 Cliquez sur le menu "Firewall" > "WAN". Il est nécessaire de créer une nouvelle règle pour l'interface WAN, en sélectionnant le protocole UDP. La destination ce sera notre adresse IP publique donc sélectionnez "WAN address". Pour le port, prenez OpenVPN dans la liste ou alors indiquez votre port personnalisé. Si vous le souhaitez, vous pouvez ajouter une description à cette règle et activer les logs.
  • 24. Page 24 Validez la création de la règle et appliquez la configuration. Appliquer les changements
  • 25. Page 25 Ajoutez une nouvelle règle, cette fois-ci sur l'interface OpenVPN. La règle qui suit sert à autoriser l'accès en RDP à l'hôte 192.168.2.15 (qui fait bien parti du réseau autorisé dans la configuration du VPN) au travers du tunnel VPN. Vous devez créer une ou plusieurs règles en fonction des ressources auxquelles vos utilisateurs doivent accéder via le VPN, en limitant les flux au maximum.
  • 26. Page 26 La configuration est terminée.
  • 27. Page 27 Appliquer les modifications.