Ce document décrit la sécurisation d'un serveur de bureau à distance (RDS) via l'installation d'un VPN OpenVPN, soulignant l'importance de chiffrer les communications avec ce type de serveur. Il détaille les étapes nécessaires pour installer le serveur RDS ainsi que celles pour configurer le VPN, y compris la création d'une autorité de certification et la configuration des utilisateurs. Enfin, il propose des considérations de sécurité pour établir les accès nécessaires via le VPN.

1. Page 1
Sécurisation d’un serveur RDS
Réalisé par :
- Sami MESSAOUDI

2. Page 2
Sommaire
Table des matières
Présentation.......................................................................................................................................3
Installation du serveur RDS................................................................................................................4
Mise en place d’un VPN OpenVPN .....................................................................................................9

3. Page 3
Présentation
Le service de bureau à distance (RDS) est une architecture centralisée qui permet à un utilisateur de
se connecter à un bureau distant, se service utilise les protocoles RDP.
Les échanges entre un utilisateur et le serveur RDS ne sont pas cryptés, cela pose un problème de
sécurité.
Dans se mini projet, j’ai décidé de l’associer à un VPN open source OpenVPN.
Quelle est l’avantage d’installé un VPN ?
Le VPN va permettre par le biais d’un système de certificat de créer un tunnel, ce qui rendra plus
sécurisé l’échange d’information entre les clients et le réseau de l’entreprise.
Il va donc permettre de sécuriser le service de bureau à distance.
Voici un exemple d’infrastructure possible.

4. Page 4
Installation du serveur RDS
Pré requis : Le déploiement standard des services de bureaux à distance nécessite un
domaine Active Directory.
Step 1: Cliquer sur gérer
Step 2: Aller dans « Ajouter des rôles et fonctionnalités »

5. Page 5
Step 3: Cliquer sur suivant
Step 4: Cliquer sur « Installation des services Bureau à Distance »

6. Page 6
Step 5: Sélectionner « Démarrage rapide »
Step 6 : Sélectionner « Déploiement de bureaux basés sur une session »

7. Page 7
Step 7: Sélectionner le serveur et faite suivant
Step 8: Un résumé de la configuration s’affiche, cocher la case pour redémarrer le
serveur automatiquement et cliquer sur le bouton Déployer pour commencer
l’installation.

8. Page 8
Step 9: L’installation est terminée, quitter l’assistant en cliquant sur Fermer.

9. Page 9
Mise en place d’un VPN OpenVPN
Step 1: Créer l’autorité de certificat
Allez dans System > Cert. Manager
Allez dans CAs et appuyai sur Add pour ajouter une autorité de certificat.

10. Page 10
Donnez un nom à l'autorité de certification, par exemple "CA-ITCONNECT-OPENVPN", ce nom sera
visible seulement dans Pfsense. Choisissez la méthode "Create an internal Certificate Authority".
Concernant le nom qui sera affiché dans les certificats, il s'agit du champ "Common Name",
j'indique "it-connect" pour ma part. Remplissez les autres valeurs : la région, la ville, etc... et cliquez
sur "Save" pour créer la CA.

11. Page 11
L’autorité de certificat doit apparaitre comme ceci :
Step 2 : Créer le certificat serveur
Allez dans Certificates

12. Page 12
Cliquer sur Add pour ajouter un nouveau certificat
Choisissez la méthode "Create an Internal Certificate" puisqu'il s'agit d'une création, donnez-lui un
nom (VPN-SSL-REMOTE-ACCESS) et sélectionnez l'autorité de certification au niveau du paramètre
"Certificate authority".
Par défaut, la validité du certificat est fixée à 3650 jours soit 10 ans. Le "Common Name"
correspond là aussi au nom intégré dans le certificat, si vous souhaitez établir une connexion
VPN basée sur un nom de domaine, il est préférable d'indiquer cette valeur ici.

13. Page 13
Après avoir cliqué sur "Save" pour valider la création du certificat, il apparaît dans la liste des
certificats du Pare-feu
:

14. Page 14
Step 3 : Créer les utilisateurs locaux
Aller dans System>User Manager>Users>Edit
Pour créer l'utilisateur, il faut indiquer un identifiant, un mot de passe... Ainsi que cocher l'option
"Click to create a user certificate" : cela va ajouter le formulaire de création du certificat juste en
dessous. Pour créer le certificat, on se base sur notre autorité de certification.

15. Page 15
Lorsque l'utilisateur est créé, il apparaît bien dans la base locale :

16. Page 16
Step 4 : Configurer le serveur OpenVPN
Aller dans VPN>L2TP>OpenV
Cliquer sur Add

17. Page 17
La première chose à faire, c'est de choisir le "Server Mode" suivant : Remote Access (SSL/TLS +
User Auth).
Pour le VPN, le protocole s'appuie sur de l'UDP, avec le port 1194 par défaut : je vous
recommande d'utiliser un port différent. Pour l'interface, nous allons conserver "WAN" puisque
c'est bien par cette interface que l'on va se connecter en accès distant.
Au niveau de la partie chiffrement, un peu plus bas dans la page, vous devez sélectionner votre
autorité de certification au niveau du champ "Peer Certificate Authority". En complément,
sélectionnez le certificat Server au niveau du champ "Server certificate".
Pour l'algorithme de chiffrement (Encryption Algorithm), nous pouvons passer sur de l'AES-256-
CBC plutôt que de l'AES-128-CBC. La sécurité sera renforcée, mais cela impact légèrement les
performances, car le processus de chiffrement est alourdi : il sera toujours possible de modifier cette
valeur.

18. Page 18
Passons maintenant à la configuration de notre tunnel VPN en lui-même.
- IPv4 Tunnel Network : adresse du réseau VPN, c'est-à-dire que lorsqu'un client va se connecter en
VPN il obtiendra une adresse IP dans ce réseau au niveau de la carte réseau locale du PC
- Redirect IPv4 Gateway : si vous cochez cette option, vous passez sur un full tunnel c'est-à-dire que
tous les flux réseau du PC distant vont passer dans le VPN, sinon nous sommes en split-tunnel
- IPv4 Local network : les adresses réseau des LAN que vous souhaitez rendre accessibles via ce
tunnel VPN. Dans mon exemple, je souhaite rendre accessible le réseau 192.168.2.0/24 via le VPN. Si
vous avez plusieurs valeurs à indiquer, il faut les séparer par une virgule
- Concurrent connections : le nombre de connexions VPN simultanés que vous autorisez.

19. Page 19
Cocher la case Dynamic IP et utilisez la topologie « net30 – Isolated /30 network per
client »

20. Page 20
Cocher la case DNS Default Domain, entrer votre nom de domaine, cocher également la
case DNS Default Domain et entrer l’adresse IP de votre DNS.
Dans la zone "Custom options", indiquez : auth-nocache. Cette option offre une protection
supplémentaire contre le vol des identifiants en refusant la mise en cache.

21. Page 21
Validé la configuration.

22. Page 22
Step 5 : Créer les règles de firewall pour OpenVPN
Aller dans Firewall>Rules>Edit

23. Page 23
Cliquez sur le menu "Firewall" > "WAN". Il est nécessaire de créer une nouvelle règle
pour l'interface WAN, en sélectionnant le protocole UDP.
La destination ce sera notre adresse IP publique donc sélectionnez "WAN
address". Pour le port, prenez OpenVPN dans la liste ou alors indiquez votre port
personnalisé.
Si vous le souhaitez, vous pouvez ajouter une description à cette règle et activer les logs.

24. Page 24
Validez la création de la règle et appliquez la configuration.
Appliquer les changements

25. Page 25
Ajoutez une nouvelle règle, cette fois-ci sur l'interface OpenVPN.
La règle qui suit sert à autoriser l'accès en RDP à l'hôte 192.168.2.15 (qui fait bien parti du
réseau autorisé dans la configuration du VPN) au travers du tunnel VPN. Vous devez créer une ou
plusieurs règles en fonction des ressources auxquelles vos utilisateurs doivent accéder
via le VPN, en limitant les flux au maximum.

26. Page 26
La configuration est terminée.

27. Page 27
Appliquer les modifications.