Solutions VPN

1. 1/04/2004 Journ�es th�matiques SIARS (Marseille) 1 Solutions VPN

2. 1/04/2004 Journ�es th�matiques SIARS (Marseille) 2 Pourquoi faire ? (1) Relier deux r�seaux locaux � travers Internet en s�affranchissant des filtres en entr�e de site. C�est le cas de labos multi-sites ou en cours de d�m�nagement. Permettre l�acc�s � des services internes depuis l�ext�rieur: Avec l�am�lioration de l�offre FAI (Haut d�bits ADSL), la demande des utilisateurs est de plus en plus forte pour acc�der au r�seau local du laboratoire de mani�re transparente� Pourquoi faire? Consulter l�intranet du labo, Utiliser la messagerie avec le serveur smtp du labo, Acc�der aux partages Windows, Utiliser les logiciels avec jetons, Acc�der aux sites de bibliographie en ligne�..

3. 1/04/2004 Journ�es th�matiques SIARS (Marseille) 3 Comment faire ? Il faut s�curiser les communications Remplacer ou s�curiser tous les protocoles ne chiffrant pas l�authentification ajouter �ventuellement le chiffrement des donn�es Solution => cr�er une connexion chiffr�e entre clients et serveurs On parle alors de tunnels applicatifs, tunnels et VPN

4. 1/04/2004 Journ�es th�matiques SIARS (Marseille) 4 Quelles solutions ? Chiffrer au niveau application (couche 7 ) Cr�er de nouvelles applications int�grant les fonctions cryptographiques SSH Chiffrer au niveau transport ( couche 4 ) Liaison logique entre des programmes qui chiffrent les communications. SSL (https, pops, imaps �) Chiffrer au niveau r�seau ( couche 3 ) Le chiffrement est effectu� directement au dessus du support r�seau => interface virtuelle

5. 1/04/2004 Journ�es th�matiques SIARS (Marseille) 5 VPN VPN : Virtual private Network � R�seau priv� virtuel Consiste � faire transiter un protocole par l�interm�diaire d��un autre Application dans IP ( port forwarding ) IP dans IP Ethernet, IPX, appletalk � dans IP G�n�ralisation du concept de tunnel C�est la valise diplomatique de l�informatique avec tous les dangers que cela comporte Extension du p�rim�tre de s�curit� � des machines externes

6. 1/04/2004 Journ�es th�matiques SIARS (Marseille) 6 VPN: Types de connexions R�seau � R�seau Equipe de recherche sur un autre site Station de mesure => Routage du VPN sur chacun des sites Machine � R�seau Utilisateurs itin�rants => Routage des clients VPN sur le site serveur Machine � Machine

7. 1/04/2004 Journ�es th�matiques SIARS (Marseille) 7 Que doit assurer un VPN ? Authentification ( de pr�f�rence forte ) Int�grit� Confidentialit� Protection contre le rejeu Eventuellement compression

8. 1/04/2004 Journ�es th�matiques SIARS (Marseille) 8 PPTP Protocole Ouvert M$ PPTP ( Point to Point Tunneling Protocol ) RFC 1701, 1702 et 1171 Microsoft authentification MS/CHAP V2 Microsoft chiffrement MPPE (RC4 40 ou 128 bits) PPTP ne fait aucun chiffrement Utilise deux canaux de communication Port 1723 TCP protocol IP 47 (GRE) pour les donn�es GRE: Generic Routing Encapsulation �tablissement d��une connexion PPP � l��int�rieur du canal de donn�e �ventuellement compress� et crypt�

9. 1/04/2004 Journ�es th�matiques SIARS (Marseille) 9 PPTP Protocole Ouvert M$ A n�utiliser que si c�est la seule solution Avantages: - Facile � installer (Windows depuis Win95 et Linux) Inconv�nients majeurs: - Faiblesse de l�authentification (attaque du mot de passe), - Protocole GRE/IP pas toujours trait� sur les routeurs de site ce qui n�cessite d�ouvrir tout IP vers le serveur VPN�.

10. 1/04/2004 Journ�es th�matiques SIARS (Marseille) 10 OpenVPN OpenVPN est un syst�me de r�seau priv� virtuel d�velopp� par James Yonan (jim@yonan.net) utilisant la librairie OpenSSL. Il permet une authentification forte des extr�mit�s du tunnel, il supporte les certificats X509 pour authentifier la session,le protocole TLS pour �changer les cl�s, la possibilit� d�utiliser un plugin PAM pour authentifier le client sur le serveur). Il existe deux types de tunnels VPN dans le syst�me propos� par James Yonan, " les tunnels IP rout�s" et " les tunnels par pont ethernet". Le tunnel " Bridged " ou pont, permet de faire un pont �thernet entre deux r�seaux. C�est de l�ethernet dans IP.Les interfaces VPN et LAN sont alors li�es entre elles en une seule entit� et permettent de communiquer entre les sous r�seaux concern�s.

11. 1/04/2004 Journ�es th�matiques SIARS (Marseille) 11 OPENVPN Le tunnel ��routed�� consiste � transporter de l�IP dans IP , n�cessite une modification du routage et de ce fait , s�impl�mente principalement sur des passerelles en t�te de r�seau.Il ne transmet pas les broadcasts et ne permet pas le partage de fichiers Windows. Le chiffrement du tunnel peut se faire par cl� partag�e, bi-cl�s RSA ou certificats. L�utilisation en client-serveur n�cessite l�utilisation de certificats. Le tunnel utilise le port 5000(ou 1194) par d�faut et le protocole UDP (on peut passer en TCP mais ce n�est pas recommand�).

12. 1/04/2004 Journ�es th�matiques SIARS (Marseille) 12 OPENVPN sch�ma 1 Postes nomades � r�seau:

13. 1/04/2004 Journ�es th�matiques SIARS (Marseille) 13 OPENVPN sch�ma 2 R�seau � r�seau:

14. 1/04/2004 Journ�es th�matiques SIARS (Marseille) 14 OpenVPN impl�mentation Le mode choisi ici est un tunnel de type pont. Les essais r�alis�s ont pour but de connecter les PC nomades au r�seau local du laboratoire. Le tunnel fonctionne en client-serveur avec allocation dynamique d�adresses IP par le serveur au client. Le client s�authentifie par son certificat personnel CNRS et un login Unix sur le serveur VPN. Les machines utilis�es pour monter ce tunnel: Serveur VPN : PC Debian Woody Clients:PC Debian woody, PC Windows 2000

15. 1/04/2004 Journ�es th�matiques SIARS (Marseille) 15 OpenVPN configuration Pr�paration du serveur Le serveur doit valider un certain nombre de pr� requis afin de pouvoir faire tourner OpenVPN correctement : Avoir les options noyau correctement param�tr�es, Avoir la librairie LZO install�e sur le syst�me, Avoir les outils de bridging sous Linux ( brctl de Lennert Buytenhek buytenh@gnu.org) - Avoir la librairie OpenSSL install�e (ainsi que les composants Dev) Si vous utilisez un Linux de type Debian : apt-get install bridge-utils openssl libssl-dev liblzo1 liblzo-dev

16. 1/04/2004 Journ�es th�matiques SIARS (Marseille) 16 OPENVPN configuration Pour les autres distributions Linux/Unix : R�cup�rez et installez : La librairie LZO : http://www.oberhumer.com/opensource/lzo/download/lzo-1.08.tar.gztar zxvf lzo-1.08.tar.gz cd lzo-1.08 ./configure && make && make check && make test make install (avec le compte root) La librairie openssl :http://www.openssl.org/source/openssl-0.9.7e.tar.gztar zxvf openssl-0.9.7e.tar.gz ./config && make && make test && make install Brctl :http://prdownloads.sourceforge.net/bridge/bridge-utils-1.0.4.tar.gz tar zxvf bridge-utils-1.0.4.tar.gz cd bridge-utils-1.0.4 ./configure && make && make install

17. 1/04/2004 Journ�es th�matiques SIARS (Marseille) 17 OPENVPN configuration Ajout des options dans le kernel si elles n�y sont pas : pour tester: modprobe tun Localisation du driver tun dans le fichier .config : Device Driver -> Networking support -> Networking Options -> Universal Tun/Tap device driver support -> 802.1d Ethernet Bridging - Recompiler le noyau en validant dans .config le module ci-dessus

18. 1/04/2004 Journ�es th�matiques SIARS (Marseille) 18 OpenVPN Installation Etapes � r�aliser pour l�installation d�OPENVPN : Compilation et installation du logiciel Compilation du module PAM pour authentifier les clients Impl�mentation des certificats CNRS Cr�ation du fichier de configuration serveur

19. 1/04/2004 Journ�es th�matiques SIARS (Marseille) 19 OpenVPN Compilation T�l�charger l'archive sur openvpn.sourceforge.net : http://prdownloads.sourceforge.net/openvpn/openvpn-2.0_rc17.tar.gz tar zxvf openvpn-2.0_rc17.tar.gz cd openvpn-2.0_rc17 ./configure make make install ?Le logiciel �volue beaucoup, prendre toujours la derni�re version

20. 1/04/2004 Journ�es th�matiques SIARS (Marseille) 20 OpenVPN Compilation du module PAM Ajouter, s��il est absent, le module libpam-dev (devlopment files for PAM) - A partir du r�pertoire d�installation d�openvpn, aller dans le sous r�pertoire plugin/auth-pam (attention cette possibilit� n�existe que dans la derni�re version d�OpenVPN) Lancer make, on obtient le module openvpn-auth-pam.so Ce module va �tre utilis� pour identifier le client dans la base des comptes Unix du serveur.

21. 1/04/2004 Journ�es th�matiques SIARS (Marseille) 21 OPENVPN Gestion des certificats Cr�ation d�un r�pertoire certs pour d�poser cl� et certificats. R�cup�ration du certificat et de la cl� priv�e du serveur (� demander � la CA CNRS): serveur.key et serveur.crt Concat�nation des CA CNRS et CNRS-Standard dans CNRS- total.crt Cr�ation des param�tres Diffie Hellman: openssl dhparam �out dh1024.pem 1024

22. 1/04/2004 Journ�es th�matiques SIARS (Marseille) 22 OpenVPN Cr�ation du pont Fichier de mise en place du pont , � lancer au d�marrage: #!/bin/bash modprobe tun modprobe bridge openvpn --mktun --dev tap0 brctl addbr br0 brctl addif br0 eth0 brctl addif br0 tap0 ifconfig tap0 0.0.0.0 promisc up ifconfig eth0 0.0.0.0 promisc up ifconfig br0 194.199.99.6 netmask 255.255.255.0 broadcast 194.199.99.255 (on met l� ce qu�on avait avant sur eth0)

23. 1/04/2004 Journ�es th�matiques SIARS (Marseille) 23 OpenVPN Fichier de configuration serveur Configuration du Serveur pour le mode Ethernet Bridge # # OpenVPN bridge config serveur Linux port 5000 dev tap0 mode server server-bridge 194.199.99.6 255.255.255.0 194.199.99.28 194.199.99.29 # crypto config plugin ./openvpn-auth-pam.so other tls-server

24. 1/04/2004 Journ�es th�matiques SIARS (Marseille) 24 OPENVPN Fichier de configuration serveur (suite) dh /root/vpn_essai/certs/dh1024.pem ca /root/vpn_essai/certs/CNRS-total.crt cert /root/vpn_essai/certs/a3-6.cnrs-mrs.fr.crt key /root/vpn_essai/certs/a3-6.cnrs-mrs.fr.key duplicate-cn persist-key persist-tun ping-timer-rem ping-restart 600 ping 10 comp-lzo user nobody group nobody verb 3

25. 1/04/2004 Journ�es th�matiques SIARS (Marseille) 25 OPENVPN Lancement du VPN openvpn --daemon --config br_conf.conf --log vpn.log openvpn s�initialise en utilisant le fichier de configuration br_conf.conf et se met en attente d�une connexion cliente, les informations sont collect�es dans le fichier vpn.log Pour d�autres options de lancement: http://openvpn.net/man.html

26. 1/04/2004 Journ�es th�matiques SIARS (Marseille) 26 Installation du client Windows R�cup�ration et installation de la distribution: openvpn-2.0_rc16-gui-1.0_rc4-install.exe En cliquant sur l�ex�cutable, la distribution s�installe par d�faut dans le r�pertoire C:\Program Files\OpenVPN et cr�e le device virtuel TAP. OpenVPN GUI d�marre automatiquement et le dossier config (C:\Program Files\OpenVPN\config) est scann� � la recherche de fichiers .ovpn, une icone apparait dans la barre des taches. R�cup�ration du certificat utilisateur et les CA CNRS: Cr�ation du fichier de configuration client .ovpn

27. 1/04/2004 Journ�es th�matiques SIARS (Marseille) 27 Installation du Client Windows Mise en place de l�authentification forte avec les certificats CNRS Standard: Cr�er un r�pertoire certs sous OPENVPN/config o� on va mettre tout ce qui concerne l�authentification. R�cup�rer les CA CNRS et CNRS-Standard sur le site de l�UREC: CNRS.crt et CNRS-Standard.crt, et concat�ner les deux dans le fichier CNRS-tout.crt Exporter � partir du navigateur concern� notre certificat personnel : lemien.p12, le s�parer en deux �l�ments: la cl�: openssl pkcs12 -nocerts -in lemien.p12 -out lemien standard.pem le certificat: openssl pkcs12 -clcerts -nokeys -in lemien.p12 -out lemien-standardcrt.pem

28. 1/04/2004 Journ�es th�matiques SIARS (Marseille) 28 Installation du client Windows Fichier de config du client Windows # # OpenVPN bridge config, windows client side # OK 11-03-05 # remote 194.199.99.6 port 5000 dev tap client tls-client auth-user-pass ca ./certs/CNRS-total.crt cert ./certs/lemien-standardcrt.pem key ./certs/lemien-standard.pem up openvpn.bat ping 10 comp-lzo verb 4

29. 1/04/2004 Journ�es th�matiques SIARS (Marseille) 29 Installation du client Linux/Unix L�installation est identique � celle vue ci-dessus pour le serveur La compilation du module PAM est inutile La gestion des certificats est la m�me que sous Windows Le fichier de configuration du client est le m�me que pour le client Windows.

30. 1/04/2004 Journ�es th�matiques SIARS (Marseille) 30 OpenVPN Conclusions L�installation du logiciel ne pr�sente pas de difficult� particuli�re sous Linux , est tr�s facile sous Windows (� partir de 2000). L�utilisation des certificats CNRS est un plus (dur�e de vie des certificats ?) Les communications se font en UDP sur le port 5000, ce qui ne pose pas de probl�me d�ouverture sur les routeurs. Il faut tester maintenant la r�sistance du serveur � plusieurs clients simultan�s. Attention: Le mode Bridge ne marche pas avec un VPN serveur Windows 2000 (XP ou 2003 seulement).

31. 1/04/2004 Journ�es th�matiques SIARS (Marseille) 31 Open VPN R�f�rences http://www.nbs-system.com/article/openvpn2_howto (en Fran�ais) http://openvpn.net/man.html http://openvpn.net/ http://www.pavelec.net/adam/openvpn/bridge (serveur pont Windows) http://www.sans.org/rr/whitepapers/vpns/1459.php (crypto)

32. 1/04/2004 Journ�es th�matiques SIARS (Marseille) 32 SSL Explorer SSL-Explorer est un logiciel libre r�alisant un VPN construit sur OpenSSL et d�velopp� en JAVA (http://sourceforge.net/projects/sslexplorer) C�est une solution ne n�cessitant aucun logiciel sp�cifique sur les clients, un navigateur suffit (acc�s https sur le serveur, les plugins JAVA sur le navigateur sont n�cessaires). Fonctionnalit�s: acc�s aux partages Windows, acc�s � l�intranet par Web-forwarding, redirection de ports, authentification des clients sur Active-Directory ou database locale, Management par interface Web, Possiblit� de cr�er diff�rents profils utilisateurs, Support� sous Windows 2000/2003 et RedHat (autres Linux aussi..).

33. 1/04/2004 Journ�es th�matiques SIARS (Marseille) 33 SSL Explorer

34. 1/04/2004 Journ�es th�matiques SIARS (Marseille) 34 SSL Explorer

35. 1/04/2004 Journ�es th�matiques SIARS (Marseille) 35 SSL Explorer Installation R�cup�rer le JRE 5.0 Java run time environnement) Par exemple, sur le site Sun,le fichier jre-1_5_0_01-linux-i586.bin et l�installer. R�cup�rer SSL-Explorer chez sourceforge.net unzip sslexplorer_linux_gui_0_1_8_01.zip Archive: sslexplorer_linux_gui_0_1_8_01.zip creating: sslexplorer_setup_0_1_8/ inflating: sslexplorer_setup_0_1_8/sslexplorer_linux_0_1_8.sh inflating: sslexplorer_setup_0_1_8/CHANGES inflating: sslexplorer_setup_0_1_8/LICENSE.txt inflating:sslexplorer_setup_0_1_8/SSL_Explorer_Reference_Guide.pdf cd sslexplorer_setup_0_1_8/ �.Rajouter le chemin du binaire java dans le PATH �. ./sslexplorer_linux_0_1_8.sh �.interface graphique d�installation� Initialisation du serveur: Lancer <chemin d�install>setup-sslexplorer Sous le navigateur, se connecter sur http://serveur:28080 et g�n�rer un certificat auto-sign�, puis ajouter un user, etc�puis shutdown Lancer alors sslexplorer-console et attendre un moment(�),puis ouvrir sur un navigateur https://serveur, on a acc�s au login/password du VPN.

36. 1/04/2004 Journ�es th�matiques SIARS (Marseille) 36 SSL Explorer Conclusions Pas beaucoup test� pour l�instant, mais : Avantages: Facile � installer et utiliser (Linux et Windows), Voisinage r�seau et partages Windows accessibles, Proxy-web pour l�intranet, Possibilit� de redirection de ports (avec le client java),� Inconv�nients: Authentification des utilisateurs insuffisante (les certificats vont arriver dans les prochaines versions), Impossible d�installer un certificat serveur CNRS, N�cessiter de configurer � la main sur le client les diff�rentes fonctionnalit�s ? pas transparent du tout (!)

37. 1/04/2004 Journ�es th�matiques SIARS (Marseille) 37 VPN Conclusions C�est un outil efficace extr�mement puissant� mais � aussi une arme redoutable ?tr�s bien authentifier les ext�mit�s mais �a ne suffit pas (virus..) Quelques questions : Pour quels services ? Ou mettre le point d�entr�e dans l�architecture r�seau ? Que faut il comme s�curit� sur le poste client ? A n�utiliser que dans le cadre d�une architecture d�j� s�curis�e