3. Sommaire
V-----Les Catégories D’architecture de VPN
VI---Installation et configuration de OpenVpn et easy-rsa
1-Configuration Firewall
2-Configuration OpenVpn client Windows
VII--Conclusion
4. INTRODUCTION GENERALE
1-Introduction :
Le nerf de la guerre en matière de sécurité informatique dans les systèmes d’informations est
justement … l’information, l’objectif dans un cas est de la dérober dans le but de l’exploiter ou
de la revendre comme une liste de client par exemple, soit dans un autre cas d’en empêcher son
utilisation avec son blocage dans l’intention de nuire à sa cible. L’ensemble des attaques
informatiques rentre soit dans le premier cas soit dans le second.
La sécurité est le sentiment de sureté, dans laquelle quelqu’un ou quelque chose n’est pas
directement exposé à des situations critiques ou sous la menace de risque comme un risque de
défaillance, d’accident ou de détérioration. Cette notion est globale mais la sécurité se découpe
en plusieurs types, par exemple la sécurité physique, la sécurité politique, la sécurité routière …
et dans le cas abordé ici, la sécurité informatique.
5. I---INTRODUCTION GENERALE
2-Principes et Notion de Base :
La confidentialité : Garantir que l’accès à l’information et aux données n’est autorisé que pour les entités ou
personnes autorisées à les consulter.
La disponibilité : Ici il faut garantir que la ressource ou l’information sera disponible à tout moment, ou a
minima accessible quand une personne souhaitera l’utiliser.
L’intégrité : Garantir que les données ou informations stockées ne soient pas modifiées par un tiers, c'est-à-dire
quelles conservent leur pertinence et empêchant une altération de celle-ci.
La non-répudiation : Ici une liaison avec une partie du droit et de la justice est présente, cela consiste à
interdire ou empêcher à une entité ou une personne d’avoir la possibilité de nier sa participation ou son
intégration au sien d’une action.
L’authentification : Assurer qu’une personne ou une entité soit bien celle qu’elle prétend être, cela inclut donc
de pouvoir vérifier la véracité de ses propos à son égard.
6. INTRODUCTION GENERALE
3-Definition :
Un VPN est un réseau privé virtuel permettant de connecter plusieurs réseaux distants
de manière sécurisée a travers un tunnel via une connexion non sécurisée Ex: Internet
L'utilisation de ce système va donc nous permettre d'accéder à tous les ordinateurs
connectés sur le même VPN et de ce fait avoir un accès au réseau interne (de votre
domicile ou encore de votre entreprise)
Notre Etude portera sur la mise en place un serveur OpenVpn
Sur une distribution Linux notamment Centos7
8. III---Information sur OpenVPN
OpenVPN est un serveur open source permettant d’authentifier deux sites
distants, au travers d’un tunnel sécurisé, ceci par :
Une clé privée partagé à l’avancé
Des certificats électroniques ;
Authentification username/password
9. IV---Principe de Fonctionnement de
OpenVPN
Pour cela, le serveur OpenVPN utilise la bibliothèque openssl et le protocole SSL/TLS pour
construire des tunnels VPN, afin de connecter deux sites. Le port source et destination du tunneling
est le port 1194 sur le protocole UDP. Le choix du Protocol UDP a été fait car il permet de ne pas
encombrer le trafic, car les ports TCP peuvent conduire à des dégradations des performances du
réseau.
Les données sont transportées de façon chiffrée au travers de ce tunnel communiquant. Toutefois
l’outil n’est pas compatible avec les autres logiciels du marché comme Ipsec
NB : Il faut noter qu’il existe de mode de tunnel :
• Le tunnel IP : dont le pilote réseau s’appelle tun. On parle ici de tunneling en mode routage ;
• Le tunnel Ethernet : dont le pilote réseau s’appelle tap. On parle ici de tunneling en mode
bridge ou pont
10. V---Les Catégories D’architecture de VPN
Il existe plusieurs catégories d’architecture VPN :
Tunnel Transparent
Dans ce mode, OpenVPN transporte les données dans le tunnel sans aucune authentification, ni
garanti d’intégrité ou de confidentialité des données. En un mot, il n’y a aucune sécurité dans ce
mode et les données peuvent être visualisées lorsqu’elles transitent sur le réseau dans le tunnel.
Pour activer le mode Transparent, vous devez désactiver la sécurité dans le fichier de configuration
du serveur.
Pas d’intégrité : auth none
Pas de chiffrement : cipher none
11. Les Catégories D’architecture de VPN
Tunnel à clé partagé
Dans ce mode, les données sont transportées par OpenVPN dans le tunnel de manière sécurisé. Les deux
passerelles OpenVPN une combinaisons permanente et sécrète. Cela, par la création de clé partagé. Ce mode est
simple à mettre à œuvre comparé au tunnel SSL/TLS.
Cependant il faut noter des désagréments dont :
• L’échange de la clé sur les deux routeurs
• Ne pas pouvoir renouveler la clé partager
• Ne pas disposer d’authentification au niveau des passerelles
• Pour générer la clé partage vous allez effectuer
Exemple : openvpn –genkey –secret /home/goku/key.txt
12. Les Catégories D’architecture VPN
Tunnel SSL/TLS (solution PKI)
• Dans ce mode, chaque équipement doit disposer de ses propres clés privées
et publique. Cette dernière étant en fait intégrée à un certificat. Il faut aussi
noter que dans ce mode l’autorité de certificat (CA) est également stockée sur
chaque passerelle VPN
13. VI---Installation et configuration de OpenVpn
et easy-rsa
Tout d’abord nous allons installer epel-release:
[root@server yaya]# yum install -y epel-release
Ensuite installer les paquets OpenVpn et easy-rsa:
[root@server yaya]# yum install -y openvpn easy-rsa
Et copier le fichier de configuration server.conf dans le repertoire /etc/openvpn/
[root@server yaya]# cp /usr/share/doc/openvpn-2.4.5/sample/sample-config-
files/server.conf /etc/openvpn/
14. Installation et configuration de OpenVpn et
easy-rsa
Génération des clefs de notre serveur (server1) et de notre client (client1)
Pour ça nous allons nous rendre dans le répertoire suivant:
[root@server openvpn]# cd /usr/share/easy-rsa/3.0.3
Ensuite taper les commandes suivantes
[root@server 3.0.3]# ./easyrsa init-pki
[root@server 3.0.3]# ./easyrsa build-ca nopass
[root@server 3.0.3]# ./easyrsa gen-req server1 nopass
[root@server 3.0.3]# ./easyrsa gen-req client1 nopass
15. Installation et configuration de OpenVpn et
easy-rsa
[root@server 3.0.3]# ./easyrsa sign-req server server1 nopass
tapez yes
Confirm request details: yes
[root@server 3.0.3]# ./easyrsa sign-req client client1 nopass
Confirm request details: yes
[root@server 3.0.3]# ./easyrsa gen-dh
16. Installation et configuration de OpenVpn et
easy-rsa
Configuration du fichier server.conf
[root@server yaya]# gedit /etc/openvpn/server.conf
Mettre le chemin des clefs aux lignes suivantes
78 ca /usr/share/easy-rsa/3.0.3/pki/ca.crt
79 cert /usr/share/easy-rsa/3.0.3/pki/issued/server1.crt
80 key /usr/share/easy-rsa/3.0.3/pki/private/server1.key
85 dh /usr/share/easy-rsa/3.0.3/pki/dh.pem
17. Installation et configuration de OpenVpn et
easy-rsa
Décommettez la ligne suivante :
92 topology subnet
200 push "dhcp-option DNS 208.67.222.222«
201 push "dhcp-option DNS 208.67.220.220«
274 user nobody
275 group nobody
18. Installation et configuration de OpenVpn et
easy-rsa
Et commentez cette ligne car cette clef n ’a pas été généré dans le cas contraire
vous pouvez la decommentez
244 ;tls-auth ta.key 0 # This file is secret
Configuration du routage
On se rend dans le fichier de configuration suivant
gedit /etc/sysctl.conf puis on renseigne tout en bas la ligne suivante
net.ipv4.ip_forward = 1
19. Installation et configuration de OpenVpn et
easy-rsa
1-Configuration de notre firewall :
Nous allons adapter notre firewall à la configuration et autorisé notre OpenVpn avec
les commandes suivantes
root@server pki]# firewall-cmd --permanent --zone=trusted --add-masquerade
[root@server pki]# firewall-cmd --permanent --add-service=openvpn
[root@server pki]# firewall-cmd –reload
Ensuite on redemarre le serveur OpenVpn
[root@server pki]# systemctl restart openvpn@server
20. Installation et configuration de OpenVpn et
easy-rsa
2-Configuration partie du client Windows:
Utiliser l’outils winscp pour rechercher vos clefs et certificat sur votre serveur
Il se connecte via le port 22 connu pour être utilisé par ssh ou encore installez
et configurez ssh sur votre serveur enfin de récupérer vos clefs de façon
sécurisée ensuite télécharger openvpn gui comme client la dernière version de
préférence
21. Configuration partie du client Windows
Vous allez récupérez le fichier client qui se trouve
directory et l’ouvrir avec Word pad et le configurer comme suite :
remote 192.168.10.10 1194 adresse de votre serveur suivit du port
;remote my-server-2 1194
ca ca.crt
cert client1.crt
key client1.key
#tls-auth ta.key 1 commentez cette ligne
Panneau de configuration->shortcuts->configuration
sample file directory
22. Configuration partie du client Windows
Panneau de configuration->shortcuts->configuration
file directory
Copier la clefs et certificate et le fichier client configuré
dans ce dossier
1
2
23. Configuration partie du client Windows
Démarrer openvpn gui entant que administrateur
Ensuite connecter vous
Et si vous taper ipconfig vous pouvez
Voir une adresse qui vous a été assigné par le serveur
24. VII---Conclusion
Nous avons vue à travers cet article, les différentes architectures du serveur
OpenVPN, ainsi que le concept d’infrastructure PKI. Je vous invite à vous
reporter au manuel de votre distribution pour l’installation du serveur, après
avoir compris certains concepts du serveur à travers cet article.