Génie Réseaux et Télécommunications ENSA Marrakech OpenVPN - TLS 2013 Un Travail de ISMAIL RACHDAOUI et MOUNIA EL ANBAL Encadré Par: Mr.ANAS ABOU ELKALAM
Jun 25, 2015
Génie Réseaux et Télécommunications ENSA Marrakech
OpenVPN - TLS
2013
Un Travail de ISMAIL RACHDAOUI et MOUNIA EL ANBAL
Encadré Par: Mr.ANAS ABOU ELKALAM
Module : Sécurité - GRT5 2013
Objectif
Mettre en place une architecture OpenVPN combiné avec
Architecture Cible
Client Windows VPN Server
Cinématique de configuration
1. Création du CA ( CertificatAuthority).
2. Création d’un certificat pour le serveur.
3. Création d’un certificat pour le client.
4. Création des paramètres
5. Créations des fichiers de configuration pour le client et le serveur.
6. Lancement du Test.
7. Capture des paquets sous Wiresahrk.
A la configuration !
‘Avant de commencer il est préferable de copier les fichier du
repertoire/usr/share/doc/openvpn/examples/easy
1. Création du CA ( CertificatAuthority)
Le client et le serveur doivent avoir le CA, comme nous faisons le test en local donc ca
sera une certificat auto-
faciliter la création des certificats, mais avant tous on doit initialiser les variabl
fichiers vars.
GRT5 2013
Mettre en place une architecture OpenVPN combiné avec SSL/TLS.
Client Windows VPN Server
de configuration
Création du CA ( CertificatAuthority).
certificat pour le serveur.
certificat pour le client.
paramètres DH ( deffi-hellman).
Créations des fichiers de configuration pour le client et le serveur.
Capture des paquets sous Wiresahrk.
Avant de commencer il est préferable de copier les fichier du
/usr/share/doc/openvpn/examples/easy-rsa/2.0/ à /home/user/openvpn/
n du CA ( CertificatAuthority) :
Le client et le serveur doivent avoir le CA, comme nous faisons le test en local donc ca
-signée, OpenVPN nous offre un script pré
faciliter la création des certificats, mais avant tous on doit initialiser les variabl
Tunnel VPN/TLS
1
Client Windows VPN Server
Créations des fichiers de configuration pour le client et le serveur.
/home/user/openvpn/’
Le client et le serveur doivent avoir le CA, comme nous faisons le test en local donc ca
signée, OpenVPN nous offre un script pré-developer pour
faciliter la création des certificats, mais avant tous on doit initialiser les variables du
2
Module : Sécurité - GRT5 2013
Maintenent on va executer les des commandes suiavantes pour suprimer les anciens
valeurs du fichiersvars.
. ./vars
./clean-all
On passe maintenent à la création du CA à l’aide du script build-ca.
On se met dans le répertoirekeys et on remarquera le création de deux fichiers ca.keyet
ca.crt.
Ps : Ca.crt doit obligatoirement être présent chez le client et le serveur.
3
Module : Sécurité - GRT5 2013
2. Création d’un certificat pour le serveur :
On va utiliser le script build-key-server pour créer et signer le certificat du serveur.
On se met encore une fois dans le répertoire keys pour s’assurer de la création du
certificat.
openVPN.crt : contient la clé publique.
openVPN.key : la clé privée du serveur.
openVPN.csr : le fichier d’extension Signature Request utilisé généralement par les
CA pour créer un certificat SSL.
4
Module : Sécurité - GRT5 2013
3. Création d’un certificat pour le client :
De même on va créer et signer un certificat pour le client, on doit créer autant de
certificat que de client qu’on a.
On va transférer à notre client client1.key (clé privée) et client1.crt (clé public).
5
Module : Sécurité - GRT5 2013
à ce stade là on a créer :
Certificat Clé privé Traitement
ca.crt ca.key Ca.crt doit être transférer au client et au serveur.
openVPN.crt openVPN.key Doivent être transfère au serveur seulement.
client1.crt client1.key Doivent être transfère au client seulement.
4. Création des paramètres DH (Deffi-Hellman):
Création des paramètres DH pour l’échange des clés entre le client et le serveur.
Les paramètres sont créés sous le nom dh1024.pem
dh1024.pem doit être présent uniquement dans le serveur.
6
Module : Sécurité - GRT5 2013
5. Création des fichiers de configuration pour le client et le serveur :
Fichier de configuration côté serveur
Fichier de configuration côté client
Ps : Redirect-gateway sert à encapsuler tout le traffic dans le tunnel VPN.
7
Module : Sécurité - GRT5 2013
6. Lancement des Test :
Sous le serveur :
La capture montre très bien le bien déroulement du lancement.
Sous le client :
8
Module : Sécurité - GRT5 2013
Voilà ! Notre client arrive à se connecter au serveur VPN et établir le tunnel SSL.
7. Capture des paquets sous Wiresahrk :
Pour s’assurer du bon fonctionnement du Tunnel on va essayer d’accéder à une page
Web hébergé sur le serveur et on sniffe le trafic qui circule pour l’analyser et voir l’effet
du Tunnel.
On remarque que tous le trafic passe pas le tunnel et impossible de voir le contenue des
paquets transmissent.