Rapport de Stage Openvpn

Mise en place dun OpenVPN sous PfSense
5me Anne Rseaux, Scurit et Tlcoms, SupManagemnet Fs
Thme : Mise en place dun OpenVPN sous PfSense
Prsent par
Laoualy Ibrahim Bassirou
[email protected]
Laoualy Ibrahim Bassirou : [email protected]

Ddicace
Cest avec un grand plaisir que je ddie ce travail mon cher

pays le Niger et toute la communaut Nigrienne au Maroc.
Ce travail est aussi ddi tous les membres de la famille et
toutes mes connaissances.
A mes tuteurs du Maroc ainsi ceux du Niamey.
Une ddicace spciale ma future pouse inchallah
Rouweibaassirou
i

Remerciement
Cest avec un grand honneur que jai consacr cette page en
signe de gratitude et de reconnaissance mon encadreur Mme
Ibtihal Mouhib qui a assur la supervision de la ralisation de
ce projet par ses conseils et leurs aides prcieux.
Notre sincre gratitude sadresse galement tous nos
enseignantes et enseignants du dpartement

informatique du sup management.
De mme nous tenons remercier les membres de jury
pour lhonneur qui nous ont fait en acceptant de juger

notre travail.
Mes remerciements vont lendroit de tous les camarades
de la 5me Anne Rseaux, Scurit et Tlcoms.

A tous ceux qui mont aid de prs ou de loin la
ralisation de ce rapport de stage.
ii

Sigle et Abrviation
CA : Certificate Authority
Free BSD : Berkeley software distribution (BSD)
HTTPS: Hypertext Transfert Protocol
IEEE: Institute of Electrical and Electronics Engineers
IETF : Internet Egineering Task Force
IDS : Instrusive Detection System = dtecteur d'intrusion
IPSec: Internet Protocol Security
L2F : Layer 2 Forwarding
L2TP: Layer 2 Tunneling Protocol
MAC : Media Access Control
MAN: Metropolitan Area Network
NAT : Network Address Translation
OSI: Open System Interconnect
PPP : Point to Point Protocol
PPTP: Point-to-Point Tunneling Protocol
QOS: Quality Of Service
RADIUS : Remote Authentication Dial-In User Service
RFC: Request Form Comment
SSL: Secure Sockets Layer
VLAN: Virtual Locan Area Network
iii

Table des matires

Ddicace ..........................................................................................................................................................
Remerciement ............................................................................................................................................... ii
Sigle et Abrviation ...................................................................................................................................... iii
Introduction gnrale ....................................................................................................................................1
I.
Gnralits sur les attaques dans un rseau ........................................................................................2

1.
Les motivations des attaques ............................................................................................................2
2.
Mesure des risques............................................................................................................................2

2.1
Risques humains ........................................................................................................................2
2.2
Risques techniques ....................................................................................................................3
2.3
Risques juridiques ......................................................................................................................3
3.
Les types d'attaques ..........................................................................................................................3

3.1
Denial of Service ........................................................................................................................3
3.2
Sniffing .......................................................................................................................................4
3.3
Scanning ....................................................................................................................................4
3.4
Social Engineering......................................................................................................................5
3.5
Cracking .....................................................................................................................................6
3.6
Spoofing .....................................................................................................................................6
3.7
Man in the Middle .....................................................................................................................7
3.8
Hijacking ....................................................................................................................................7
4.
Les solutions de Protections ..............................................................................................................8

4.1
Un pare-feu :..............................................................................................................................8
4.2
Un logiciel Antivirus ...................................................................................................................8
4.3
Un logiciel anti- spyware ...........................................................................................................8
4.4
Dtecteur d'intrusions ...............................................................................................................9
4.5
Cryptage ....................................................................................................................................9
4.6
VPN ............................................................................................................................................9
Les caractristiques fondamentales d'un VPN : ................................................................................. 10

II.
Protocoles utiliss pour raliser une connexion VPN ........................................................................ 10

1.1
Le protocole Ppp......................................................................................................................... 10
1.2
Le protocole Pptp : ..................................................................................................................... 10
1.3
Le protocole L2tp : ...................................................................................................................... 11
1.4
Le protocole Ipsec :..................................................................................................................... 11
1.5
Le protocole MPLS ...................................................................................................................... 11
1.6
Le protocole SSL :........................................................................................................................ 12
III.
PRESENTATION GENERALE DE PFSENSE ......................................................................................... 12

iv

1.
Prsentation de pfSense................................................................................................................. 12
1.1
FreeBSD .................................................................................................................................. 13
1.2
VirtualBox ............................................................................................................................... 13
2.
2.1
3.
Prsentation OpenVPN ................................................................................................................... 14

Tableau de comparaison ............................................................................................................ 14
Installation et configuration de base de Pfsense .......................................................................... 15
3.1
Activation dune interface rseau .............................................................................................. 16
3.2
Installation de Pfsense................................................................................................................ 16
3.3
Poursuite de l'installation via linterface web ............................................................................ 21
4.
Installation du package OpenVPN Client Export Utility .................................................................. 24
5.
Cration d'une autorit de certification CA................................................................................. 24
6.
Cration dutilisateur OpenVPN et certificat priv pour lutilisateur ............................................. 26
7.
Configuration du serveur OpenVPN ............................................................................................... 27
8.
Configuration du Firewall ............................................................................................................... 30
9.
Configurer OpenVPN ct "client" ................................................................................................. 31
10.
Export du client openVPN et la configuration ............................................................................ 31
Conclusion .................................................................................................................................................. 33
Bibliographie............................................................................................................................................... 34
v

Introduction gnrale
Linformatique a t depuis plusieurs dcennie utilis pour faciliter les taches souvent
difficile pour les humaines. Dans les entreprise, son utilisation est devenue indispensable non
seulement pour son bon droulement de ses activits mais aussi pour rester en contact avec ses
partenaires distants. Pour une interconnexion scurise entre les sites distants dune mme
entreprise partageant les mmes ressources ou avec des partenaires, on fait recours des lignes
spcialises (LS), cette solution bien quelle est efficace prsente des contraintes de point de vue
cout de ralisation, de maintenance en cas de problme sur les cbles...
Lorsque cette raccordement va se faire lchelle dun pays voire dun continent, il faut
penser une solution plus souple tout en minimisant le cout, reli les sites via linternet peut tre
une meilleur solution. Etant donn que linternet est un rseau non scuris, les entreprise vont
recourt la solution de VPN pour changer leurs informations en toute scurit travers tunnel.
Dans notre rapport, nous allons essayer dtudier cette solution de VPN travers OpenVPN.
Ainsi ce rapport est scind sur trois parties primordiales :
La premire partie est porte sur les gnralits des attaques dans un rseau.
La deuxime partie prsente une tude quelques protocoles utiliss pour raliser une connexion
VPN
La troisime est rserve pour la partie pratique mais avant dans cette partie nous avons donn
une prsentation gnrale dans outils qui nous ont permis faire ce travail.

I.
Gnralits sur les attaques dans un rseau
La cybercriminalit se dfinit communment comme toute action illicite visant lintgrit dun
site informatique dtermin, ou bien mene laide dun outil informatique. Tout ordinateur
connect linternet est potentiellement vulnrable une attaque.
Une attaque est l'exploitation d'une faille d'un systme informatique des fins non connues par
l'exploitant du systme et gnralement prjudiciables.
Sur internet des attaques ont lieu en permanence, raison de plusieurs attaques par minute sur
chaque machine connecte.
Afin de contrer ces attaques il est indispensable de connatre les principaux types
d'attaques afin de mettre en uvre des dispositions prventives.
1. Les motivations des attaques

Les motivations des attaques peuvent tre de diffrentes sortes :
Obtenir un accs au systme ;

voler des informations, tels que des secrets industriels ou des proprits intellectuelles ;
rcuprer des donnes bancaires ;
s'informer sur l'organisation (entreprise de l'utilisateur, etc.) ;
troubler le bon fonctionnement d'un service ;
utiliser le systme de l'utilisateur comme rebond pour une attaque ;
menaces rprhensibles diverses, de type vengeance;
fraude commerciale;
abus de confiance et escroqueries diverses;
dtournements de mineurs;
Usurpation d'identits.
2. Mesure des risques

Dans le monde professionnel, les risques et les moyens de prvention sont essentiellement
valus en raison de leurs cots.
2.1 Risques humains

Les risques humains sont les plus importants, mme sils sont le plus souvent ignors ou
minimiss.
Linconscience et l'ignorance ;
Lespionnage ;
Le dtournement de mot de passe ;
Le sabotage ;

Lcoute ;
La fraude physique ;
Le vol de matriels ;
Le chantage ;
Labus de droit ;
Laccs illgitime ;
2.2 Risques techniques

Les risques techniques sont tout simplement ceux lis aux dfauts et pannes invitables que
connaissent tous les systmes matriels et logiciels. Cependant les pannes ont parfois des causes
indirectes, voire trs indirectes, donc difficiles prvoir.
Incidents lis au matriel

Incidents lis au logiciel
Incidents lis lenvironnement
2.3 Risques juridiques

Louverture des applications informatiques par le web et la multiplication des messages
lectroniques augmentent les risques juridiques lis l'usage des technologies de l'information.
On peut citer notamment :
Le non-respect de la lgislation relative la signature numrique ;

Les risques concernant la protection du patrimoine informationnel ;
Le non-respect de la lgislation relative la vie prive ;
Le non-respect des dispositions lgales relatives au droit de la preuve.
3. Les types d'attaques

Etant donn que les systmes informatiques mettent en uvre les diffrentes
composantes, allant de l'lectricit pour alimenter les machines au logiciel excut via le systme
d'exploitation et utilisant le rseau.
Les attaques peuvent intervenir chaque niveaux de la chaine chane, pour peu qu'il
existe une vulnrabilit exploitable.
3.1 Denial of Service

Le dni de service (en anglais denial of service) : technique visant gnrer des arrts de
service, et ainsi dempcher le bon fonctionnement dun systme. Ce type d'attaque peut aussi
bien tre utilis contre un serveur d'entreprise qu'un particulier reli internet.

3.2 Sniffing
Le reniflage (en anglais Sniffing) est une technique qui consiste analyser le trafic pour
rcuprer toutes les informations transitant sur un rseau.
Comment s'en protger ?
Utiliser de prfrence un switch (commutateur) plutt qu'un hub.

Utiliser des protocoles chiffrs pour les informations sensibles comme les mots de passe.
Utiliser un dtecteur de sniffer.
3.3 Scanning
Le scanning consiste balayer tous les ports sur une machine en utilisant un outil appel
scanner. Le scanner envoie des paquets sur plusieurs ports de la machine. En fonction de leurs
ractions, le scanner va en dduire si les ports sont ouverts. C'est un outil trs utile pour les
hackers. Cela leur permet de connaitre les points faibles d'une machine et ainsi de savoir par o
ils peuvent attaquer.

Comment s'en protg?
Scanner sa machine pour connaitre les ports ouverts

Surveiller les ports ouverts avec un firewall et fermer ceux qui ne sont pas utiles
Utiliser un IDS (dtecteur d'intrusion) ou mieux un IPS (prvention d'intrusion)
3.4 Social Engineering

Le social engineering est l'art de manipuler les personnes. Il s'agit ainsi d'une technique
permettant d'obtenir des informations d'une personne, qu'elle ne devrait pas donner en temps
normal, en lui donnant des bonnes raisons de le faire
Pourtant, une attaque par social engineering bien mene peut se rvler trs efficace. Elle n'est
donc pas prendre la lgre.
Avoir du bon sens pour flairer l'arnaque

Se mfier des personnes que l'on ne connat pas

3.5 Cracking
Le crackage des mots de passe consiste deviner le mot de passe de la victime.
Les craqueurs de mots de passe s'appliquent souvent un fichier contenant le nom des
utilisateurs ainsi que leur mot de passe encrypt.
Ces logiciels peuvent tester des mots de passe selon trois mthodes :
Attaque par dictionnaire : Le logiciel teste tous les mots de passe stocks dans un
fichier texte. Cette mthode est redoutable car en plus de sa rapidit, elle aboutit
gnralement puisque les mots de passe des utilisateurs lambda sont souvent des mots
existants.
Attaque hybride : le logiciel teste tous les mots de passe stocks dans un fichier texte et
y ajoute des combinaisons
Attaque brute-force : le logiciel teste toutes les combinaisons possibles Heureusement,
tester toutes les combinaisons prends beaucoup de temps. D'o l'utilit de changer de
mots de passe rgulirement.
Comment s'en protger
Choisir un mot de passe

Un mot de passe robuste doit satisfaire plusieurs critres :
o plus de 8 caractres
o utiliser la casse (majuscule/minuscule)
o utiliser des chiffres
Changer rgulirement de mot de passe
3.6 Spoofing
L'usurpation (en anglais spoofing) consiste se faire passer pour quelqu'un d'autre.
Voici quelques exemples d'usurpations :

o Usurpation de l'adresse IP
o Usurpation de l'adresse e-mail
o Usurpation WEB cest le principe du phishing

Gnralement, quand on parle d'usurpation ou de spoofing, on parle de l'usurpation de l'adresse
IP.

On ne peut pas empcher quelqu'un d'usurper une identit. En revanche, il faut tout prix tre
sr de l'identit de la machine avec laquelle on dialogue.
Utiliser des protocoles scuriss comme ssh qui empche le spoofing.
3.7 Man in the Middle

Man in the Middle signifie l'homme du milieu, cette une attaque qui a pour but de
s'insrer entre deux ordinateurs qui communiquent. Le pirate peut donc intercepter tout le trafic,
pire encore, il peut modifier le trafic avant de le renvoyer vers l'autre ordinateur.
Sur Internet, n'achetez que sur des sites scuriss.

Les sites scuriss commencent par "https" au lieu de "http". Il y a galement un cadenas
en bas de votre navigateur.
Sur un rseau, utilisez des protocoles scuriss.
3.8 Hijacking
Un pirate peut craquer (cible) le mot de passe de la session mais avec le mot de passe
robuste, cela lui prendra beaucoup de temps donc il passe au dtournement de session.

S'assurer que la communication est scurise
4. Les solutions de Protections

Il existe plusieurs solutions de protections tant sur le niveau infrastructure que dans le rseau,
nous allons voir quelque solution
La meilleure faon de protger votre ordinateur contre les logiciels malveillants, les logiciels
espions et les virus cest davoir trois types de logiciels de scurit installs sur votre ordinateur.
La plupart des logiciels de scurit payants comprennent les trois lments comme une suite de
scurits.
4.1 Un pare-feu :
Le pare-feu cela agit comme un portier pour protger votre ordinateur contre les attaques
entrantes par lInternet, en surveillant et en filtrant le trafic de donnes entrant ou sortant de votre
ordinateur.
4.2 Un logiciel Antivirus
Celui-ci contribue vous protger contre les virus, les chevaux de Troie et autres
menaces de scurit en scannant et en arrtant les virus en cours dinstallation sur votre
ordinateur. Si vous avez un virus install sur votre PC, le logiciel antivirus sera en mesure de le
retirer.
4.3 Un logiciel anti- spyware
Spyware est un logiciel malveillant qui se tlcharge secrtement sur votre ordinateur.
Une fois install, il peut surveiller votre activit, recueillir des informations sur vous et les
envoyer sur Internet, et mme contrler votre navigateur Web (appel hijacking ou
dtournement). Le logiciel anti-spyware scanne votre ordinateur pour dtecter cela, et

supprime tout logiciels espions quil trouve. En gardant le logiciel anti-spyware active, il peut
empcher les logiciels espions dtre install ds la premire fois.
Autres outils de scurit utiles davoir install sur votre PC comprennent les filtres antispam pour bloquer les messages non sollicits et le contrle parental pour vous aider garder vos
enfants en scurit en ligne.
4.4 Dtecteur d'intrusions
Un dtecteur d'intrusions (en anglais Instrusive Detection System) est un systme capable
de dtecter une tentative d'intrusion sur votre systme. Il stoppe la majeure partie des attaques
recenses.
L'IDS coute le trafic rseau et analyse les paquets pour prvenir des actions suspectes et les
arrter.
4.5 Cryptage
Internet est un rseau non scuris, ds que l'on souhaite envoyer des informations
confidentielles une autre personne, il faut donc les crypter. Il existe deux grands types de
chiffrement :
Le chiffrement cl prive (dit aussi symtrique)
Le chiffrement cl prive consiste utiliser la mme cl pour crypter et dcrypter le message.
Les personnes voulant communiquer et eux-seules doivent possder la cl pour pouvoir crypter
et dcrypter les messages. Ds lors se pose le problme de l'change de la cl.
Exemple : DES
Le chiffrement cl publique (dit aussi asymtrique)
Le chiffrement cl publique consiste en l'utilisation d'une cl diffrente pour crypter ou
dcrypter. Le propritaire de la cl prive donne la cl publique tout le monde et garde l'autre
cl. Ainsi, on peut lui envoyer des messages chiffrs avec la cl publique mais personne ne peut
le dcrypter part le propritaire l'aide de sa cl prive. Avec ce chiffrement, le problme de
l'change de cl ne se pose plus. Mais, la communication ne peut se faire que dans un sens, il
faudrait alors deux autres cls pour dialoguer dans l'autre sens.
Exemple : RSA
4.6 VPN
Un VPN (Virtual Private Network) est une liaison scurise entre deux parties via un
rseau public, en gnral Internet (ligne RTC, Numris, xDSL, cble), pour assurer
lauthentification des deux parties, lintgrit des donnes et le chiffrage
La mise en place dun VPN est base sur des plateformes de cryptage. La technologie VPN
garantit des changes scuriss d'informations sensibles, accessibles depuis n'importe quel
endroit, du moment qu'une connexion Internet est disponible.

Les caractristiques fondamentales d'un VPN :
Un systme de VPN doit pouvoir mettre en uvre les fonctionnalits suivantes :
Authentification d'utilisateur. Seuls les utilisateurs autoriss doivent pouvoir s'identifier
sur le rseau virtuel.
Gestion d'adresses. Chaque client sur le rseau doit avoir une adresse prive. Cette
adresse prive doit rester confidentielle.
Cryptage des donnes. Lors de leurs transports sur le rseau public les donnes doivent
tre protges par un cryptage efficace.
Gestion de cls. Les cls de cryptage pour le client et le serveur doivent pouvoir tre
gnres et rgnres.
Prise en charge multi protocole. La solution VPN doit supporter les protocoles les plus
utiliss sur les rseaux publics en particulier IP.
II. Protocoles utiliss pour raliser une connexion

VPN
Nous pouvons classer les protocoles que nous allons tudier en deux catgories:
Les protocoles de niveau 2 comme Pptp et L2tp.
Les protocoles de niveau 3 comme Ipsec ou Mpls
1.1 Le protocole Ppp

Ppp (Point to Point Protocol) Rfc 1661 appuy de la Rfc 2153.est un protocole qui permet
de transfrer des donnes sur un lien synchrone ou asynchrone. Il est full duplex et garantit
l'ordre d'arrive des paquets. Il encapsule les paquets Ip, Ipx et Netbeui dans des trames Ppp, puis
transmet ces paquets encapsuls au travers de la liaison point point. Ppp est employ
gnralement entre un client d'accs distance et un serveur d'accs rseau (Nas).
1.2 Le protocole Pptp :

Le Point-To-Point Tunneling Protocol (PPTP) (RFC) 2637 en juillet 1999, est un
protocole dencapsulation sappuyant sur le protocole PPP pour la communication. Ce protocole
ne peut travailler que sur des rseaux IP. Historiquement parlant, ce protocole a t implment
pour la premire fois par Cisco, il fut ensuite repris par Microsoft dans ses systmes Windows.
10

1.3 Le protocole L2tp :

L2TP est un protocole combinant les avantages du PPTP de Microsoft et du Layer 2
Forwarding (L2F) de Cisco, dcrit dans la RFC 2661 et a t cr par lInternet Egineering Task
Force (IETF), il sappuie lui aussi sur le protocole PPP. Le protocole L2TP est aujourdhui
principalement utilis par les Fournisseurs dAccs Internet (FAI ou ISP en anglais). L2TP est
la plupart du temps coupl IPSsec pour scuriser les donnes, comme dcrit dans la RFC 3193,
en effet, L2TP ne s'occupe que du transport des donnes et non de leur confidentialit.
1.4 Le protocole Ipsec :

IIPsec, dfinit par la RFC 2401, est un protocole qui vise scuriser l'change de donnes
au niveau de la couche rseau. Le rseau Ipv4 tant largement dploy et la migration vers Ipv6
tant invitable, mais nanmoins longue, il est apparu intressant de dvelopper des techniques
de protection des donnes communes Ipv4 et Ipv6. Ces mcanismes sont couramment dsigns
par le terme Ipsec pour Ip Security Protocols. Ipsec est bas sur deux mcanismes. Le premier,
AH, pour Authentification Header vise assurer l'intgrit et l'authenticit des datagrammes IP.
Il ne fournit par contre aucune confidentialit : les donnes fournies et transmises par Ce
"protocole" ne sont pas encodes. Le second, Esp, pour Encapsulating Security Payload peut
aussi permettre l'authentification des donnes mais est principalement utilis pour le cryptage des
informations. Bien qu'indpendants ces deux mcanismes sont presque toujours utiliss
conjointement. Enfin, le protocole Ike permet de grer les changes ou les associations entre
protocoles de scurit. Avant de dcrire ces diffrents protocoles, nous allons exposer les
diffrents lments utiliss dans IPsec.
1.5 Le protocole MPLS

Le protocole MPLS est un brillant rejeton du "tout ip". Il se prsente comme une solution
aux problmes de routage des datagrammes IP vhiculs sur Internet. Le principe de routage sur
Internet repose sur des tables de routage. Pour chaque paquet les routeurs, afin de dterminer le
prochain saut, doivent analyser l'adresse de destination du paquet contenu dans l'entte de niveau
3. Puis il consulte sa table de routage pour dterminer sur quelle interface doit sortir le paquet.
Ce mcanisme de recherche dans la table de routage est consommateur de temps Cpu et avec la
croissance de la taille des rseaux ces dernires annes, les tables de routage des routeurs ont
constamment augment. Le protocole MPLS fut initialement dvelopp pour donner une plus
grande puissance aux commutateurs Ip, mais avec l'avnement de techniques de commutation
comme Cef (Cisco Express Forwarding) et la mise au point de nouveaux Asic (Application
Specific Interface Circuits), les routeurs IP ont vu leurs performances augmenter sans le recours
Mpls.
11

1.6 Le protocole SSL :

SSL (Secure Sockets Layer) est un protocole de couche 4 (niveau transport) utilis par
une application pour tablir un canal de communication scuris avec une autre application. Il
fournit un accs scuris (via un tunnel ddicac) vers des applications spcifiques de l'entreprise
ou de l'administration.
Le grand avantage de cette mthode rside dans sa simplicit: on utilise seulement son browser
habituel et on n'utilise pas de client spcifique ou de matriel spcifique.
Avec SSL VPN, les utilisateurs distants ou les utilisateurs mobiles peuvent avoir un accs des
applications bien dtermines sur l'intranet de leur organisation depuis n'importe quel accs
Internet. Cependant, l'accs aux ressources internes est plus limit que celui fourni par un VPN
IPSEC, puisque l'on accde uniquement aux services qui ont t dfinis par l'administrateur du
VPN (par exemple les portails et sites Web, les fichiers ou le courrier lectronique).
Contrairement aux techniques VPN de type IPSEC, PPTP, L2TP, la technique VPN SSL se situe
un niveau du modle rseau ISO bien suprieur, en l'occurrence le niveau 5, c'est--dire
"session applicative". Comme IPSEC, SSL utilise principalement des certificats numriques pour
l'tablissement de communications scurises.
III. PRESENTATION GENERALE DE PFSENSE

1. Prsentation de pfSense
PfSense a t cr en 2004 comme un fork du projet mOnOwall, pour viser une
installation sur un PC plutt que sur du matriel embarqu. PfSense est base sur Free BSD, en
visant les fonctions de firewall et routeur.
PfSense est puissante, en bonne partie car elle est base sur Free BSD, mais aussi assez simple
d'accs, car elle fournit une interface web pour la configuration, (en plus de l'interface console).
Je recommande quand mme de connaitre les commandes basiques de Free BSD en mode
console, au moins pour pouvoir rcuprer la configuration en cas d'erreur (par exemple une
mauvaise route qui vous empche de joindre le firewall...). Cette interface web n'est accessible
par dfaut qu' partir du LAN.
PfSense est une distribution Free BSD ddi firewall / routeur.
Le firewall est bas sur Paquet Filter. Toute la configuration du systme est stocke dans
un fichier xml (/cf/conf/config.xml).
Performances sont lies au matriel.
Linstallation ainsi que la configuration PfSense va se raliser sur un systme
dexploitation de type Free BSD. Il est possible dmuler le systme dexploitation Free
BSD grce VMware ou Virtualbox.
12

Plusieurs packages disponibles dans PfSense permettent de mettre en place un VPN client
suivant diffrentes technologies telles que (OpenVPN, IPSec, L2TP, PPTP) :
OpenVPN: OpenVPN est une solution flexible, puissante solution de VPN SSL
supportant une large gamme de systmes dexploitation client. Elle peut tre mise en
uvre en PfSense partir du package http://openvpn.net/
IPSec: permet la connectivit avec tout dispositif de support standard IPsec. Ceci est le
plus gnralement utilis pour la connectivit du site aux installations PfSense. IPSEc
peut tre mise en uvre en PfSense partir du package
http://tools.ietf.org/html/rfc4301
L2TP: Cette option va grer le Layer 2 Tunneling Protocol (L2TP) qui signifie protocole
de tunnellisation de niveau 2. Il sagit dun protocole rseau utilis pour crer des
rseaux privs virtuels (VPN). Cette technologie peut tre mise en place partir du
package http://tools.ietf.org/html/rfc7546
PPTP: est une option populaire VPN, car presque tous les OS sont dots dun client
PPTP, y compris toutes les versions de Windows depuis Windows 95 OSR2. Le serveur
Pfsense PPTP peut utiliser une base de donnes dutilisateur local, ou dun serveur
RADIUS pour lauthentification. PPTP peut tre utilis en pfSense partir du package :
http://www.ietf.org/rfc/rfc2637.txt
1.1 FreeBSD
FreeBSD est un systme d'exploitation avanc pour les plates-formes modernes de
type serveur, station de travail et systmes embarqus. Le code de base de FreeBSD a t
dvelopp, amlior et optimis continuellement pendant plus de trente ans. Il est dvelopp et
maintenu par une importante quipe de personnes. FreeBSD propose des fonctionnalits rseau
avances, une scurit pousse et des performances de haut niveau. FreeBSD est utilis par
certains des sites web les plus visits ainsi que par la plupart des systmes embarqus orients
rseau et des systmes de stockage les plus rpandus. En savoir plus
https://www.freebsd.org/fr/about.html
1.2 VirtualBox
VirtualBox est un x86 et AMD64 puissante / Intel64 virtualisation produit pour
l'entreprise ainsi que l'utilisation de la maison. Non seulement est VirtualBox extrmement riche
en fonctionnalits, produit de haute performance pour les clients de l'entreprise, il est galement
la seule solution professionnelle qui est disponible gratuitement en Open Source Software sous
les termes de la licence GNU General Public License (GPL) version 2 Voir "A propos de
VirtualBox "pour une introduction.
Actuellement, VirtualBox fonctionne sur Windows, Linux, Macintosh, et les htes Solaris
et prend en charge un grand nombre de systmes d'exploitation invits, y compris mais non
limit Windows (NT 4.0, 2000, XP, Server 2003, Vista, Windows 7, Windows 8, Windows 10
), DOS / Windows 3.x, Linux (2.4, 2.6, 3.x et 4.x), Solaris et OpenSolaris, OS / 2, et OpenBSD.
13

2. Prsentation OpenVPN
OpenVPN est un logiciel libre permettant de crer un rseau priv (VPN). Ce logiciel,
disponible dans PfSense, permet des paires de sauthentifier entre eux laide dune cl prive
partage lavance ou laide de certificats. Pour chiffrer ses donnes, OpenVPN utilise le
protocole SSLv3 de la librairie OpenSSL aussi prsente dans PfSense.
2.1 Tableau de comparaison
Clients mobiles
OpenVPN
IPSec
PPTP
Oui
Ne supporte pas
NAT- T ce qui
empche
lutilisation de
client mobiles
derrire du NAT
Oui
Utiliser IP statiques ou
dynamiques
Static IP : Oui
Dynamic IP :
V2.0
Static IP : Oui
Dynamic IP : Un
seul point final
autoris
Filtrage de traffic VPN
Prvu dans la
V2.0
Oui
Oui
Type dauthentification
Shared Key,
Certificat
Pre Shared
Key,
Certificat
Local user
database,
RADIUS server
(Authentification,
Accounting)
Fonctionnalits du
mcanisme non encore
implmentes dans
PfSense
Celles
manquantes dans
la V2.0
DPD, XAuth,
NAT-T
et autres
Static IP :
Oui Dynamic
IP : Oui
14

3. Installation et configuration de base de Pfsense

Notre travail se fera sur la machine Virtualbox, nous avons pris :
une machine Serv2008r2 pour le test

une machine Pf_Site1
une machine Pf_Site2
Linstallation ainsi que la configuration Pfsense va se raliser sur un systme dexploitation de type
FreeBSD.
Pour commencer, on tlcharge liso https://www.pfsense.org/download/
Les prrequis matriels

Minimale
CPU
400 Mhz (100Mhz)
Mmoire RAM
512M (256 min).
Disque Dur
2Go
Cartes rseaux
2 ou plus suivant le rseau

Pour crer notre machine virtuelle, il est ncessaire de suivre les tapes suivantes :
1. Cliquez sur Nouveau afin de commencer linstallation de la nouvelle machine.
2. Cliquez sur Suivant puis rentrez le nom de votre ordinateur Pf_Site1 et slectionnez le systme
dexploitation que vous voulez virtualiser BSD - FreeBSD .
3. Choisissez la mmoire que vous voulez disposez sur votre systme virtualis (256 Mo).
4. Slectionnez Crer un nouveau disque dur en vrifiant que la case Disque dur damorage est
coche.
5. Afin de crer un disque dur ayant une taille variable (conseill), il est ncessaire de slectionner Image
disque taille dynamique puis slectionnez la taille de disque (2Go)
6. Cliquez ensuite deux fois sur Terminer afin de terminer la mise en place de la machine
virtuelle.
3.1 Activation dune interface rseau

Pour lutilisation de Pfsense, il est ncessaire dactiver deux interfaces rseaux, dont lune pour le WAN et
lautre pour LAN
3.2 Installation de Pfsense
Dmarrez votre ordinateur partir du cd de limage iso de pfSense ;

A l'cran de bienvenue, tapez 1 pour choisir le boot pfSense ou laissez dmarrer avec l'option par
dfaut.
16

Les VLAN ne seront pas utiliss, on tape n.

Ensuite vient la configuration des interfaces rseaux. FreeBSD dtecte le nombre de cartes rseaux, et
y attribue des noms (em0, em1 dans notre cas).
17

Une fois les interfaces configures, il est ncessaire dinstaller PfSense en dur sur le disque dur, dans
le menu affich on tape le choix 99 .
Nous choisissons la mthode la plus rapide et facile.

L'installation qui va suivre se fait en acceptant toutes les options par dfaut. Il suffit d'accepter toutes
les demandes (formatage si ncessaire et cration de la partition).
< Accepte these Settings > puis en validant.
l'invite Slectionner une tche, choisissez rapide / Easy Install.
18

Cette installation va occuper la totalit du disque dur qui est pourquoi je slectionne OK pour
continuer.
L'installation dmarre .................. ..
19

Redmarrez et retirez le CD / DVD dans le tiroir du lecteur.
Avant tout, il est conseill de changer l'IP sur la machine de Pfsense pour plus de simplicit par la suite. Pour
cela, dans le menu de Pfsense, tapez lechoix 2 : Set LAN IP adresse.
20

Enfin au aura le menu suivant
Tableau recaptitatif des interfaces

Pfsense site 1
Type de rseau
IP de interface
WAN
10.0.2.20
Masque de sous
rseau
255.255.255.0
Pfsense site 2
LAN
WAN
LAN
192.168.2.1
10.0.2.15
192.168.3.1
255.255.255.0
255.255.255.0
255.255.255.0
3.3 Poursuite de l'installation via linterface web

Ouvrez ensuite votre navigateur Web, puis entrez http://192.168.2.1, par dfaut on met :
Identifiant : admin
Mot de passe : Pfsense
21

Une fois identifie, on serait appel faire la configuration initiale pour prparer notre serveur.
Finalement, on est enfin arriv l'interface web :
Allez ensuite dans System, puis General Setup.
22

Pour viter que les mal intentionn branchs sur le LAN essayent de se connecter l'interface
web. On doit effectuer quelques configurations :
System > Advanced
Activer le https pour que la connexion entre vous et le serveur soit chiffr.
Changer le numro de port pour accder l'interface web. (suprieur 49152)
Cochez la case pour supprimez la redirection automatique vers l'interface web lors de la
connexion l'adresse ip du serveur sur le port 80.
Activer le SSH pour viter de passer par la console.
Entrez un numro de port suprieur 49152 diffrent du port de l'interface web choisi cidessus.
Cochez la case si vous dsirez que le mot de passe de l'interface web soit demand lors de
l'accs la console.
Pour se connecter en SSH je me connecte avec l'ip du serveur sur le port 54321.
23

4. Installation du package OpenVPN Client Export Utility

Il Le paquet correspondant se nomme OpenVPN Client Export Utility . Cet outil permet
l'export directement partir de pfSense d'un client prconfigur OpenVPN pour Windows
ou d'un fichier de configuration pour Mac OSX viscosit.
System >> packages >> Available Packages.
Slectionner Open Vpn Client Export Utility et cliquer sur + pour linstaller.
Confirmer linstallation
A la fin, nous aurons un message
5. Cration d'une autorit de certification CA

Cot serveur OpenVPN
System > Cert Manager :
24

Dans longlet Cas cliquer sur + pour crer une nouvelle autorit de certification
serveur VPN.
On remplit les champs comme suit :

Desciptive name : VPN Server2 CA
Method : Create an internal Certificate Authority
Key length : 2048 bits
Digest Algorithm : SHA256
Lifetime : 3650 (10 ans)
Country Code : Fes
State or Province : Fes
City : Fes
Organization : Fes
Email Address : [email protected]
Common Name : VPNCA
Et on enregistre et Notre certificat CA est cr.
25

6. Cration dutilisateur OpenVPN et certificat priv pour

lutilisateur
System >> User Manager
Dans longlet Users cliquer sur + pour crer un nouvel utilisateur puis on renseigne les
champs :
Cliquer sur click to create a user certificate partir du CA cr plus haut.

Notre certificat pour le client OpenVPN est cr.
Les certificats sont cres
26

Si on remarque quon a rgnr les certificats CA et du cot clients
7. Configuration du serveur OpenVPN

OpenVPN est bas sur un mode de fonctionnement client-serveur. PfSense soit dfinit
comme un client ou un serveur ne changera strictement rien d'un point de vue rseau.
Cependant, si on souhaite connecter plusieurs sites distants sur un site principal, les sites
distants dont des "clients".
27

Configurer OpenVPN ct "serveur"
On commence par la Configuration interface WAN OpenVPN

Il faut quon configure le firewall afin quil coute sur le port WAN.
VPN >> OpenVPN puis Onglet Wizard
On dfinit le type dauthentification comptes locaux, mais sinon on peut faire du LDAP ou
du RADIUS.
On choisit le certificat CA quon a cr bien plus haut et qui va valider le certificat donn au
PC mobile.
On slectionne le certificat du serveur, on fais suivant puis on slectionne le certificat client
quon vient de crer.
Cliquer sur l'icne en forme de "+" pour ajouter un serveur VPN puis on remplit les champs
28

29

8. Configuration du Firewall
Il est maintenant ncessaire d'autoriser le flux VPN au niveau du firewall. Se rendre dans
Firewall >> Rules :
Sur l'interface sur laquelle le serveur OpenVPN est en coute, crer une rgle autorisant le
trafic atteindre l'adresse IP et le port du serveur OpenVPN.
Dans notre exemple, nous travaillons sur l'interface WAN et l'adresse IP de notre pfSense sur
notre WAN est 10.0.2.15 ce qui donne :
Interface : WAN
Protocol : UDP
Source : si l'adresse IP publique du site distant est connue et fixe, la renseigner en
choisissant le type "Single host or alias"
Destination : type "Single host or alias", adresse 10.0.2.15
Destination port range : port choisi lors de la configuration du serveur OpenVPN, soit 1194
Ce qui nous donne la rgle suivante :
La configuration ct serveur est termine. Il nous reste simplement penser autoriser ou

filtrer nos flux transitant travers notre nouvelle interface OpenVPN.
30

9. Configurer OpenVPN ct "client"

Sur le pfSense du site "client", se rendre dans VPN >> OpenVPN. Puis cliquer sur
l'onglet "Client".
Cliquer sur l'icne en forme de "+" pour ajouter un client VPN.
La configuration ct client est termine. Il nous reste simplement penser autoriser ou
filtrer nos flux transitant travers notre nouvelle interface OpenVPN.
10. Export du client openVPN et la configuration

PfSense permet, grce au package install OpenVPN Client Export Utility , d'exporter
un excutable pour l'installation et la configuration du client sous Windows.
VPN >> OpenVPN >> onglet 'Client Export'
On tlcharge le client qui correspond notre Systme.

Cliquez sur 'Windows Installer' en face de 'nomade' puis suivez les instructions.
31

Aprs linstallation du OpenVPN GUI, nous ouvrons larchive de configuration et y extraire

les fichiers cet emplacement sur la machine avec laquelle nous allons tablir la connexion
VPN.
Lorsque nous lanons OpenVPN GUI, nous obtenons une icne reprsentant un petit poste
de travail de couleur rouge qui nous indique que notre connexion au serveur VPN nest pas
active.
Pour activer notre connexion VPN, nous faisons un clic droit sur licne de la barre de tche
OpenVPN . Puis nous cliquons sur Connect.
Une fois que nous aurons cliqu sur Connect, nous obtenons la fentre suivante avec une
bote de dialogue nous demandant denter le mot de passe.
Si la connexion VPN se droule sans aucun problme, licne dans notre barre de tche
change de couleur et devient verte. La connexion notre serveur VPN est fonctionnelle.
32

Conclusion
Le dveloppement de la technologie et de linformatique en particulier, a beaucoup
facilit les transactions entre les entreprises. Les donnes peuvent tre changes via linternet
en toute scurit avec limplmentions de protocole de scurit. Cette implmentation et
ladministration rseau ncessite souvent la matrise des diffrentes technologies et les faire
travailler ensembles. Le travail se complique encore si ladministration et la configuration de
tout cela se fait manuellement.
Heureusement, des outils puissants existent, qui intgre plusieurs solutions de scurit comme
lexemple de PfSense.
Cet Outil est en effet un gestionnaire central doutils rseaux. On peut ainsi faire
travailler ensemble un pare feu, un routeur, un serveur VPN, un Proxy, un outil de dtection
dattaque rseau etc Le tout sur un seul et mme Serveur. On peut par exemple crer trs
facilement des Backups pour ne pas se retrouver avec un seul point nvralgique dans notre
rseau Bref nous pensons que PfSense est voue exister et se dvelopper.
Dans notre travail nous avons mis en place et test une solution OpenVNP au niveau de
chaque site tout en activant le routage entre les deux sites pour que les sites puissent changer
les donnes en toute scurit via le tunnel OpenVPN.
33

Bibliographie
Etude des principaux services fournis par PfSense, Rdacteurs :

Anthony COSTANZO, Damien GRILLAT, Lylian LEFRANCOIS
VPN OpenVPN site site sur pfSense, Auteur : M. Grgory

Bernard - [email protected]
Webographie
https://www.freebsd.org/fr/
https://www.virtualbox.org/
https://doc.ubuntu-fr.org/virtualbox
https://www.pfsense.org/
http://www.senat.fr/rap/r11-681/r11-681_mono.html
http://www.commentcamarche.net/contents/47-piratage-etattaques-informatiques
https://www.osnet.eu/fr/content/liste-configuration-pfsense
34

Rapport de Stage Openvpn

Transféré par

Droits d'auteur :

Formats disponibles

Rapport de Stage Openvpn

Transféré par

Informations du document

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

Rapport de Stage Openvpn

Transféré par

Droits d'auteur :

Formats disponibles

Mise en place dun OpenVPN sous PfSense

5me Anne Rseaux, Scurit et Tlcoms, SupManagemnet Fs

Thme : Mise en place dun OpenVPN sous PfSense

Laoualy Ibrahim Bassirou : [email protected]

Mise en place dun OpenVPN sous PfSense

Cest avec un grand plaisir que je ddie ce travail mon cher

Mise en place dun OpenVPN sous PfSense

enseignantes et enseignants du dpartement

pour lhonneur qui nous ont fait en acceptant de juger

de la 5me Anne Rseaux, Scurit et Tlcoms.

ralisation de ce rapport de stage.

Mise en place dun OpenVPN sous PfSense

Mise en place dun OpenVPN sous PfSense

Table des matires

Gnralits sur les attaques dans un rseau ........................................................................................2

Les motivations des attaques ............................................................................................................2

Mesure des risques............................................................................................................................2

Risques humains ........................................................................................................................2

Risques techniques ....................................................................................................................3

Risques juridiques ......................................................................................................................3

Les types d'attaques ..........................................................................................................................3

Denial of Service ........................................................................................................................3

Man in the Middle .....................................................................................................................7

Les solutions de Protections ..............................................................................................................8

Un logiciel Antivirus ...................................................................................................................8

Un logiciel anti- spyware ...........................................................................................................8

Dtecteur d'intrusions ...............................................................................................................9

Les caractristiques fondamentales d'un VPN : ................................................................................. 10

Protocoles utiliss pour raliser une connexion VPN ........................................................................ 10

Le protocole Pptp : ..................................................................................................................... 10

Le protocole L2tp : ...................................................................................................................... 11

Le protocole Ipsec :..................................................................................................................... 11

Le protocole MPLS ...................................................................................................................... 11

Le protocole SSL :........................................................................................................................ 12

PRESENTATION GENERALE DE PFSENSE ......................................................................................... 12

Mise en place dun OpenVPN sous PfSense

Prsentation OpenVPN ................................................................................................................... 14

Activation dune interface rseau .............................................................................................. 16

Poursuite de l'installation via linterface web ............................................................................ 21

Installation du package OpenVPN Client Export Utility .................................................................. 24

Cration d'une autorit de certification CA................................................................................. 24

Cration dutilisateur OpenVPN et certificat priv pour lutilisateur ............................................. 26

Configuration du serveur OpenVPN ............................................................................................... 27

Configuration du Firewall ............................................................................................................... 30

Configurer OpenVPN ct "client" ................................................................................................. 31

Export du client openVPN et la configuration ............................................................................ 31

Mise en place dun OpenVPN sous PfSense

Laoualy Ibrahim Bassirou : [email protected]

Mise en place dun OpenVPN sous PfSense

Gnralits sur les attaques dans un rseau

1. Les motivations des attaques

Obtenir un accs au systme ;

2. Mesure des risques

2.1 Risques humains

Laoualy Ibrahim Bassirou : [email protected]

Mise en place dun OpenVPN sous PfSense

2.2 Risques techniques

Incidents lis au matriel

2.3 Risques juridiques

Le non-respect de la lgislation relative la signature numrique ;