Un Virtual Private Network avec OpenVPN

Virtual Private Network ? Mais qu’est-ce que c’est ?

Un Virtual Private Network est vu comme une extension du réseau local et préserve la sécurité logique que l’on peut avoir à l’intérieur de celui-ci. Il correspond en fait à une interconnexion de réseaux locaux via une technique de « tunnel ».

On peut utiliser Internet comme support de transmission en utilisant un protocole de tunneling (en encapsulant les données à transmettre de façon chiffrée). On parle alors de VPN pour désigner le réseau ainsi artificiellement créé. Ce réseau est dit virtuel car il relie deux réseaux « physiques » (réseaux locaux) par une liaison non fiable (Internet), et privé car seuls les ordinateurs des réseaux locaux de part et d’autre du VPN peuvent accéder aux données en clair.

Ce qu’il faut savoir avant de commencer

Ce tuto a été réalisé en travaillant avec une machine virtuelle sous Debian 7  (le serveur OpenVPN). La machine cliente tourne sous Windows 7.

Dans mon cas, le serveur VPN aura pour adresse IP 192.168.0.3 et le client 192.168.0.5.

Utilisation de NAP + DHCP

Introduction au NAP

NAP ou « Network Access Protection » est une technologie Microsoft introduite dans Windows Server 2008 autrefois appelé « Network Access Quarantine Control » dans Windows Server 2003. NAP permet de contrôler l’accès réseau d’un hôte à partir de la conformité du système hôte en question. On détermine si un hôte est sain ou pas en fonction d’options configurées sur le serveur.

Cette fonctionnalité améliore donc la sécurité réseau des entreprises qui elles-mêmes définissent des stratégies pour les clients de leur réseau. Les machines sont définies comme étant saines et peuvent donc accéder au réseau si et seulement si, elles répondent aux exigences définies par l’administrateur (Firewall actif / mises à jours activées / antivirus activé / …). Dans le cas contraire, elles seront isolées et n’auront pas d’accès au réseau tant qu’elles ne seront pas en conformité avec les stratégies.

Une remarque importante est à souligner : bien que le NAP permet de protéger l’accès au réseau, un client dont le pc passe correctement les vérifications du service NAP et accède au réseau, peut tout à fait pirater ce dernier.

Administration des périphériques réseaux par l’intermédiaire de l’Active Directory

Introduction

De nos jours, la sécurité est une d’une grande importance dans la quasi-totalité des entreprises à haute responsabilité. Nombreux sont les outils permettant de rendre les attaques externes « impossibles ». Le problème qui se pose actuellement se passe en interne de l’entreprise. Il faut également assurer une certaine sécurité au sein de celle-ci.
Le rôle NPS (Network Policy Server) va aider à l’administration des périphériques réseaux (tel qu’un switch par exemple).

Explications

Pour mieux comprendre le but du NPS (et des notions qui en découlent), quelques définitions s’imposent :

  • Network Policy and Access Services :
    Regroupement logique de rôles présent sur Windows Serveur. Il contient entre autre le rôle Network Policy Server.
  • Network Policy Server :
    Il s’agit d’un rôle disponible sur Windows serveur 2008 et 2008 R2. Le NPS va gérer l’authentification (serveur RADIUS) par le biais de l’Active Directory mais également les autorisations selon différents modes de connexions (locale, VPN, …).Grâce à lui, nous pourrons :
  • Accéder aux ressources de l’entreprise via une connexion à distance
  • S’authentifier grâce à l’Active Directory
  • Gérer les droits grâce aux GPOs
  • RADIUS :
    Le NPS peut être utilisé comme serveur RADIUS, Remote Authentication Dial-In User Service, pour permettre l’authentification, l’autorisation et la gestion des clients RADIUS.
  • Password Authentication Protocol :
    PAP un protocole d’authentification point à point. Les données sont transmises en claires et par conséquent ce protocole est non sécurisé.
  • La Voice facile avec Trixbox !

    Trixbox en quelques mots :

    Trixbox (connu auparavant sous le nom d’ Asterisk@Home) est un logiciel libre d’ autocommutateur téléphonique privé (PBX) ou IPBX basé sur le logiciel libre Asterisk.

    Trixbox a été offert initialement sous le nom d’Asterisk@Home. En octobre 2006, le produit a été renommé Trixbox après que Digium, l’éditeur du produit Asterisk, eut demandé que le mot « asterisk » ne soit pas utilisé dans le nom du produit.
    Le changement de nom était d’autant plus justifié que le produit avait à cette époque beaucoup plus de fonctionnalités qu »Astérisk.

    Trixbox CE est le logiciel qui a été téléchargé le plus souvent dans la liste des projets réalisés à partir du logiciel libre Asterisk selon Sourceforge.net.

    Trixbox CE est 100 % libre et sous licence GPLv2. Les membres fondateurs du projet Trixbox CE sont Kerry Garrison et Andrew Gillis.

    Il existe également une version PRO de Trixbox, déclinée sous plusieurs versions  :

    • Standard Edition (SE) ;
    • Enterprise Edition (EE) ;
    • Call Center Edition (CCE) ;
    • Unified Agent Edition (UAE).

    Le CD Trixbox inclut le noyau CentOS pour le système d’exploitation, Asterisk pour la partie IPBX et interface web, et Flash Operator Panel (FOP) pour la partie graphique de l’interface web.

    Une fois le produit installé, l’administration de Trixbox est entièrement réalisée depuis une interface web. Seul un accès SSH peut être parfois utile lors de l’ajout de nouveaux modules fonctionnels, comme par exemple les modules de gestion des téléphones SIP de Aastra Technologies.

    Source : wikipedia.org

    Enoncé de l’exercice:

    Vous disposez de la plage d’adresses IP 192.168.X.0 / 24X est un chiffre choisit aléatoirement (disons ici 1).

    Configuration basique 

    1. Vous mettez en place deux IP-PBX en machine virtuelle « Trixbox » :
    2. Sur la trixbox1, vous créez deux extensions 101 et 102
    3. Sur la trixbox2, vous créez trois extensions 201 202 et 203
    4. 201 et 202 savent s’appeler et communiquer ensemble
    5. 101 et 102 savent s’appeler et communiquer ensemble

    L’Active Directory pour débutants

    L’Active Directory, c’est quoi ? 

    L’Active Directory est un annuaire référençant les personnes (nom, prénom, numéro de téléphone, …) mais également toute sorte d’objet (serveurs, imprimantes, …).

    Il permet de recenser toutes les informations concernant le réseau, que ce soient les utilisateurs, les machines ou les applications. Il constitue ainsi le noyau central de toute l’architecture réseau et a pour vocation de permettre à un utilisateur de retrouver et d’accéder à n’importe quelle ressource identifiée par ce service. 

    Active Directory est donc un outil destiné aux utilisateurs mais constitue également un outil d’administration et de gestion du réseau. Il fournit des outils permettant de gérer la répartition de l’annuaire sur le réseau, sa duplication, la sécurisation et le partitionnement de l’annuaire de l’entreprise.

    La structure d’Active Directory lui permet de gérer de façon centralisée des réseaux pouvant aller de quelques ordinateurs à des réseaux d’entreprises répartis sur de multiples sites.

    Préparatif

    Un laboratoire vaut mieux qu’un long discours. Nous allons en apprendre d’avantage en nous amusant.

    Vous aurez besoin d’une machine Windows Server 2008 R2 ainsi que d’une machine cliente (ici un Windows Seven).

    Le serveur aura 2 cartes réseaux, une vers Internet et l’autre vers le réseau local.
    Celle vers Internet sera en DHCP (chez moi 192.168.1.X) et celle concernant le réseau local sera en statique (10.1.X.X,  X = 1 donc l’adresse du serveur 2008 sera 10.1.1.1/24).

    Le domaine sera Namurdomain.be.