Sécurisation de base d’une connection openvpn

I – Introduction

Récemment j’ai lu un article qui m’a rappelé qu’en 15 ans il y avait toujours aussi peu de gens qui prenaient à coeur la sécurisation de leur PC et de leurs connections. Autant vous dire que pour un ancien ( oui je suis un vieux con … non non ça fait pas mal 😀 ) c’est dur à avaler.

Dans cet article, l’auteur ( qu’il me pardonne d’avoir oublié son nom ) démontrait avec aisance combien il était facile d’accéder à des ressources partagés ( houla tention là on attaque du langage technique … oui c’est dur je sais ) sur un proxy/vpn mal réglé.

Tout d’abord une petite précision utile. Le vpn existe depuis des lustres sur les ordinateurs. Il servait à l’origine pour sécuriser les liaisons inter-entreprises.

Ce n’est que depuis l’avènement des lois comme l’IPRED en suède ou la Hadopi en France ainsi que les divers censure dans des pays au charme touristique indéniable mais agrémenté d’une dictature féroce ( la Tunisie de Ben Ali, L’Égypte d’Hosni Moubarak, le Libye de Kadhafi ( du temps où notre bien aimé président voulait lui vendre des avions et des centrales nucléaires ), la Chine, l’Iran, que des coins qui rendrais un adorateur de l’uniforme heureux), que son usage a été détourné pour masquer notre Ip d’origine et nous faire changer de juridiction.

On lui a ajouté un proxy permettant ainsi ce changement d’IP.

Pour ceux qui débutent, il faut bien comprendre que tout ne fonctionne pas au top nickel et que ce que vous trouvez sur le marché est récent, et comme pour une voiture qui vient de sortir forcément ça déconne parfois et les premiers clients essuient souvent les plâtres ( pour les plus anciens rappelez vous de l’arrivée de free dans l’ADSL et tout le « bonheur » que ça a été ). Sans compter que certains fournisseur ne prennent pas forcément en compte la sécurité de leurs client ( eh oui tout les fournisseurs de vpn ne sont pas des anges ).

Du coup  il y a un minimum du minimum à respecter en matière de sécurité sur nos machines pour éviter que nos données personnelles que nous partageons sur notre réseau domestique ne se retrouve exposé à la vu de tous les utilisateurs utilisant les VPN ( eux non plus ne sont pas tous des saints ).

Allez trêve de bavardage, rentrons dans le vif du sujet.

II – On sort la clef de 12 et on se met au boulot

Ah là je vois que ça flippe un brin, ça mouille son slip, et ça commence à transpirer … relax c’est pas grand chose à faire.

Let’s Go

1- On commence par accéder aux cartes réseaux ( je vais devoir être général, la façon d’y parvenir variant d’un windows à un autre je vous renvoi à un bon moteur de recherche pour y parvenir ).

C’est là ou se trouvent tout ce qu’il faut pour régler votre carte réseau, wifi, connection pptp et … celui qui nous intéresse. Généralement il se nomme connection au réseau local 2 avec inscrit en dessous TAP – win32 Adapter …

2 – Vous allez dessus, vous cliquez avec le bouton droit et vous demandez les propriétés.

Vous risquez de constater que tout est coché ( relisez l’intro et vous comprendrez pourquoi … c’est un private network … réseau privé … donc pas réglé pour l’usage que nous en faisons ).

3 – vous décochez tous comme sur l’image suivante :

Vous cliquez sur OK et c’est bon. Plus personne du vpn n’aura accès à vos dossiers et imprimante partagés de votre machine.

Vous voyez c’était pas dur.

Bien sur n’oubliez pas d’avoir un antivirus bien à jour et un firewall bien réglé, n’oubliez pas aussi de vous pencher sur les réglages de votre navigateur qui lui aussi peut moucharder ( huuuum mon petit chrome que j’aime que tu m’espionnes et les petits javascripts et autres joyeusetés sympa ) si vous voulez vraiment être sur d’être suffisamment anonyme sur le net.

N’oubliez jamais, la sécurité sur internet ça commence par son PC.

Allez la prochaine fois je vous montre comment on monte un processeur avec une masse ! 😀

Bon vpn et bon surf

spiritstm

Share

Astrill sur routeur DD-WRT

Lorsque le blog du VPN test un « réseau privé virtuel » 😳 on a toujours une petite appréhension au moment de l’ installation sur notre routeur WNR 3500 L. Et encore cela c’est grandement amélioré depuis l’ année dernière…. foutu script !!!

Astrill nous a plus que surpris, c’est tout simplement l’ installation la plus simple, la plus rapide qui existe en ce moment. La modification apportée à l’ interface du firmware DD-WRT est d’ ailleurs à explorer par les autres fournisseurs de VPN

Il vous suffit de lancer le logiciel OpenVPN d’ Astrill, de cliquer sur l’ onglet Help puis de choisir Switch to expert => DD-WRT Setup

Vous cliquez sur Next

C’est aussi simple que cela !!! Le routeur n’est même pas à rebooter !!! Il vous suffit juste de rentrer votre login et password à l’ adresse locale: 192.168.1.1 pour voire la modification et l’ installation

Le plus intéressant est cette modification (mineure) de l’ interface du routeur avec une  » My Page » où vous pouvez configurer Astrill.

Les options sont simples: liste de serveurs (utiles pour les switchs – il faut néanmoins de déconnecter) – Serveurs où les applications P2P sont autorisés (ne vous fiez pas à cette liste car la France y est inclus !! – Il faut toujours choisir la Hollande ou la Suède) – VPN Mode: permet de faire passer via le VPN les sites internationaux ou tous les sites (même locaux). En fait comme on vous le montrera dans notre test d’ Astrill, ce VPN est particulièrement tourné pour les pays qui censurent internet comme la Chine.

Le seul défaut est l’ absence de connexion guard pour les applications. Le même défaut sera souligné sur l’ application OpenVPN

Pour le reste c’est du tout bon !!!

Share

Comment utiliser les réseaux sans-fil de façon un peu parano !

On vous publie en intégralité l’ article (Comment utiliser les réseaux sans-fil de façon un peu parano !) d’ un nos confrères, le blog eglis, sur l’ utilisation des réseaux sans-fil. On remercie Charles de nous avoir donné l’ autorisation de cette publication. Un article technique mais les lecteurs du blog apprécieront. 😀

Il y a quelques années, quand j’ai acheté mon premier portable, les réseau sans-fil était tout neuf. Personne ne les sécurisait, le wardrivin’ était à la mode dans mon entourage. J’avais même volontairement laissé mon wifi ouvert afin d’espionner mes voisins qui décidaient d’utiliser ma connexion internet. En faisant cela, j’ai réalisé ce qui se passe quand on ne contrôle pas notre dhcp et/ou notre gateway vers internet. C’est à ce moment que j’ai décidé d’encapsuler mes communications dans un tunnel VPN. J’ai essayé plusieurs technologies: IPSEC, CIPE, pptp, des tunnel SSH bidon, mais rien n’était satisfaisant, souvent trop de manipulations à faire à chaque fois qu’on se connecte. J’ai longtemps utilisé CIPE ( Crypto IP Encapsulation ) un logiciel très simple à configurer comparativement à IPSEC mais il comporte encore quelques lacunes. Un jour, apparu, OpenVPN!!

Depuis plusieurs années, j’utilise OpenVPN dès que j’ai besoin d’une solution vpn. Simple, stable, sécuritaire, supportant plusieurs niveau d’authentification, du proxy http, bref rien à dire de plus pour me convaincre. Il y a même des outils hyper simple à utiliser pour faire la gestion des clef SSL.

La première étape est de se configurer un serveur OpenVPN.

Voici mon setup. J’utilise Centos 5.5, mais n’importe quelle version de linux/bsd ferait le travail tout aussi bien. Il se peut que les path des logiciel ne soient pas au même endroit, mais le concept reste le même.

Voici les grande lignes:

* Installer OpenVPN sur le serveur
* Générer les clefs SSL
* Éditer le fichier server.conf
* Paramétrer notre firewall
* Copier certaines clefs vers nos clients ( portable, téléphone cellulaire, etc. )
* Configurer notre client pour se connecter sur notre serveur.
yum install openvpn
cd /etc/openvpn/
cd easy-rsa

### configurer le fichier "vars" et répondre aux questions qui nous sont demandées.

. ./vars
sh clean-all
sh build-ca
sh build-key-server my-srv
sh build-key my-cli1
sh build-key my-cli2
sh build-key my-cli3
sh build-dh
openvpn --genkey --secret ta.key
cp keys/*.crt ../keys/
cp keys/*.key ../keys/

Quant à la configuration du firewall, je n’entrerai pas dans les détails. Brièvement, j’utilise du SNAT étant donné que j’ai une ip fixe ( chez iWeb ), mais si j’étais hébergé à la maison j’utiliserais fort probablement du Masquerade et un Dyndns.

Éditer /etc/sysctl.conf et s’assurer que les lignes suivantes sont présentes:

net.ipv4.ip_forward = 1
net.ipv4.conf.default.rp_filter = 1

# relire notre config et l'appliquer
sysctl -p

iptables -t nat -A POSTROUTING -s 10.18.137.0/255.255.255.0 -o eth0 -j SNAT --to-source 72.55.147.X
iptables -I RH-Firewall-1-INPUT -d 72.55.147.X -p udp -m udp --dport 1194 -j ACCEPT
service iptables save

Ensuite, on peut éditer /etc/sysconfig/iptables ou votre quelconque script de firewall.

Voici mon fichier de configuration

local 72.55.147.X
port 1194
proto udp
dev tun
ca keys/ca.crt
cert keys/serveur.crt
key keys/serveur.key  # This file should be kept secret
dh keys/dh2048.pem
server 10.18.137.0 255.255.255.0
ifconfig-pool-persist ipp.txt
push "redirect-gateway def1"
push "dhcp-option DNS 10.18.137.1"   # rediriger son dns sur une machine qu'on contôle!
keepalive 10 120
tls-auth keys/ta.key 0 # This file is secret
comp-lzo
persist-key
persist-tun
status openvpn-status.log
verb 3

Ensuite il faut copier nos clef « clients » vers nos ordinateurs portables. Dans mon cas, j’utilise TunnelBlick sur macosx et le client OpenVPN qui vient avec Android.

Pour utiliser OpenVPN sur son cellulaire il faut malheureusement l’avoir préalablement rooté son appareil. Je n’entrerai pas dans ces détails, mais sur ce site ils ont tout expliqué comment faire: http://www.cyanogenmod.com/ Lorsque CyanogenMod-6.0, de préférence, est installé, on va dans le Market, on installe OpenVPN-Installer et OpenVPN-Settings. Ensuite, il faut copier les clefs ca.crt, ta.key, my-cliX.crt. my-cliX.key dans un répertoire qui s’appelle openvpn à la racine de notre carte SD.

Voici le fichier de configuration que j’ai sur mon appareil: Notez qu’il a été créé par OpenVPN-Settings et qu’il est ensuite facilement éditable à partir de notre ordinateur.

client
dev tun
proto udp
remote 72.55.147.X 1194
resolv-retry infinite
nobind
persist-key
persist-tun
ca ca.crt
cert my-cliX.crt
key my-cliX.key
tls-auth ta.key 1
comp-lzo
verb 4

Ceci étant fonctionnel, j’ai tout de même quelques désagréments. Le vpn ne s’accroche pas automatiquement au démarrage du wifi. Si le téléphone tombe en veille ça cause parfois problème lors du réveil. Quand on est dans un environnement où il y a plusieurs bornes ( cégep, université, etc ), il se peut qu’en se déplaçant, et qu’on change de borne, le routing se brise, mais rien de terrible… Off/On du vpn et le tour est joué.

Attention à votre batterie! Elle se vide à vue d’oeil.

On espère que cela va créer des vocations. Merci au blog.eglis !!!

Share

ExpressVpn en test

Expressvpn est un fournisseur de VPN situés aux États-Unis (We are a US company, and this agreement is governed by US law.) depuis 2009 qui offre un pack OpenVPN-PPTP-L2TP (ces deux derniers protocoles sont activés sur demande au support) pour $12.95 mensuel.

ExpressVPN, comme tous les serveurs U.S, applique donc le même privacy policy sur trois niveaux:

1- In addition to the information you provide through our order-form, we may store the following pieces of data: IP address, times when connected to our service, and the total amount of data transfered per day. We store this to be able to deliver the best possible network experience to you. We keep this information secure and private.

2- If we receive complaints regarding copyrighted materials such as music and movies being shared over our network, we may filter traffic to see which account is sending it, and then cancel that account.

3- We do not as a matter of ordinary practice store private information about individual user activities on our network, such as emails, chats, VOIP calls, websites visited, etc. However, should we receive a valid request from US law enforcement officials, we may be forced to comply, even with no warning to the user.

Ce même forfait peut être pris pour une durée de 6 mois ($65.95 – 15% discount) et un AN ($119.95 – 23% discount). L’ avantage de s’ abonner sur une longue durée est d’ obtenir un rabais substantiel.

On a bien aimé l’ OpenVPN Gui d’ ExpressVPN car son ExpressVPN Gui pré-configuré est tout d’ abord très pratique: vous y retrouvez l’ ensemble des adresses disponibles , le login/password sont mémorisés et le temps de connexion est assez rapide

Ses IP bien qu’ étant publiques et partagées restent accessibles et la confidentialité (relative) d’ ExpressVPN est son avantage par rapport aux concurrents Étasuniens (VyprVPN, AceVPN, StrongVPN). A part les IP Britannique  qui m’ont souvent affiché des restrictions: quotas dépassés // utilisateurs déjà actifs les IP de Hollande marchent parfaitement. En plus les switchs étant illimités entre les Huit serveurs on peut aisément visionner du streaming sur plus de 72 minutes.

Les expatriés français pourront aisément se connecter à Facebook (au vu des ranges d’ IP d’ ExpressVPN qui sont peu diffusés) sans aucune restriction ce qui est un sacré avantage pour garder le contact avec sa famille et amis. Les rediffusions des émissions télés françaises (qui appliquent la restriction géographique) si vous êtes à l’ étranger sont en « théorie » disponibles car ExpressVPN fournit des IP françaises

Cette « confidentialité » d’ ExpressVPN (et de ses ranges d’ IP) est géniale pour ceux qui utilisent JustinTV. A contrario des serveurs connus comme VPNTunnel.Se, VyprVPN les IP de ExpressVPN ne sont pas blacklistés. Ainsi avec trois serveurs aux États-Unis vous pouvez visionner JustinTV sans être obligé d’ y souscrire. Les « gros serveurs VPN » sont classés parmi ceux qui excédent le nombre d’ utilisateurs limite !!!

Bien évidemment ExpressVPN peut s’ installer sur tous les supports qui acceptent le PPTP (Routeur, Iphone, Ipad). Néanmoins l’ OpenVPN sur routeur est impossible à ce jour malgré mes tests (clé ta.key) et l’ absence de support de la part de ce VPN

Il existe néanmoins des points négatifs:

  • Restriction: You can configure ExpressVPN on as many computers as you like, though only one of them can be connected to the VPN at a time. C’est le vrai défaut de ce serveur car vous ne pouvez l’ utiliser simultanément. C’est dommage car un des intérêts des VPN et de pouvoir sécuriser le réseau domestique et les ordinateurs familiaux connectés en Wifi !!!
  • L’ adresse française renvoie en Hollande !!!
  • ExpressVPN est encore une petite structure. C’est le défaut de sa qualité.
Share

TuVPN sur firmware DD-WRT

UPDATE MARS 2012: TUVPN a pris la décision de bloquer l’ ensemble des applications de P2P sur son réseau. Pour en savoir plus: Plus de P2P chez TUVPN

Vous êtes nombreux à attendre ce tuto d’ installation de TUVPN sur un routeur modifié avec firmware DD-WRT

L’ installation du firmware a été maintes fois expliquée sur ce blog du VPN. Le plus important est d’ avoir la mention VPN sur votre page d’ accès 192.168.1.1

L’ installation de l’ OpenVPN sur routeur est plus complexe chez TuVPN que chez les autres serveurs VPN car ce dernier utilise en plus un certificat Client ta.key qui signe les paquets échangés à l’aide d’une clef secrète partagée entre le Client et le Serveur

Le blog du VPN vous offre deux tutos. Préférez le premier via un copier/coller d’un script qui est d’une rapidité étonnante

1- Installation via script

Onglet Administration => Commands pour y copier le fichier tuvpn.sh

Modification du fichier tuvpn.sh (Le support de Tuvpn vous le fournit pour installer l’ openvpn). Cette étape est primordiale car il vous faut y insérer votre login et password

Ouvrez votre fichier .sh avec votre Bloc-notes. A la ligne echo -e « tuvpn_username\npassword »> /tmp/ovpn/pass

, vous remplacez tuvpn_username par votre login tuvpn (ex: tuvpn_abcdxyz ) et password par votre mot de passe (ex: tuvpn)

Votre ligne modifiée est alors: echo –e “tuvpn_abcdxyz\ntuvpn”> /tmp/ovpn/pass

Copier ce fichier.sh modifié dans votre case Commands

Sauvegardez en cliquant sur Save Custom Script

Copiez ce script sh /tmp/custom.sh dans votre case Commands et cliquez sur Run Commands

Le message de réussite est indiquée par cette une ligne size….

Puis vous rebootez votre routeur pour que le script s’ installe

On obtient alors une adresse en Roumanie

Nos plus:

– Copiez ce script: killall openvpn dans votre ligne de commande (Onglet Administration // Commands ) pour arrêter votre openVPN

– Avec forfait SharedIP vous bénéficiez en plus de l’ adresse générique: vpn.tuvpn.com à

bucharest.tuvpn.com (Romania)
chicago.tuvpn.com (USA)
london.tuvpn.com (UK)
2 x amsterdam.tuvpn.com (The Netherlands)
2 x madrid.tuvpn.com (Spain)
steinsel.tuvpn.com (Luxembourg)
kualalumpur.tuvpn.com (Malaysia)
montreal.tuvpn.com (Canada)
roubaix.tuvpn.com (France)

Pour switcher d’ un serveur à un autre il vous suffit de changer cette ligne nvram set ovpn_cfg=’remote vpn.tuvpn.com 1194 en cliquant sur Edit et d’ y mettre l’ adresse de TUVPN voulue. Sauvegardez en cliquant sur Save Custom Script

2- Installation via Putty

Trois pré-requis: Il faut télécharger deux logiciels et un fichier.

 
  1. Télécharger NotePad++ => Plus pratique que le NotePad de Windows, plus ergonomique.
  2. Télécharger Putty => Permettra de se connecter en SSH à votre routeur et d’ installer le fichier
  3. Demander au support de TuVPN le fichier tuvpn.sh pour configurer un routeur avec firmware DD-WRT => Ce fichier installe l’ OpenVPN sur votre routeur

Connectez-vous sur votre routeur (192.168.1.1) avec votre Login et Mot de passe. Dans l’ onglet Services // Services, Secure shell et System log doivent être activés (Enabled)

Puis dans l’ onglet Administration // Management , vous activez SSH Management

Puis cliquez sur Apply Settings et rebooter votre routeur

Configuration via Putty:

Après installation de Putty, dans  Host Name, mettez votre adresse locale du routeur. Ici c’est: 192.168.1.1

Puis cliquez sur Open, une fenêtre de sécurité s’ ouvre, vous cliquez sur OUI. Une fenêtre DOS s’ ouvre, mettez votre login et le  mot de passe du routeur

Puis vous copier // coller ce fameux fichier tuvpn.sh. Validez en cliquant sur Entrée. Fermez la fenêtre, rebootez votre routeur et profitez d’ une adresse Angalise pour profiter de la BBC: Site anglais qui rediffuse les 10 chaînes de la BBC, et les 11 radios, une sorte de M6Replay anglais mais il faut une IP britannique !!!

Nos plus:

Pour vous déconnecter de l’ OpenVPN il vous suffit de taper killall openvpn dans le terminal Putty

– Pour redémarrez l’ OpenVPN de TuVPN tapez ceci: openvpn –daemon –config /tmp/ovpn/tuvpn.con dans votre terminal Putty

– Pour switcher d’ adresse, arrêtez votre OpenVPN, modifiez votre fichier tuvpn.sh et changer cette ligne nvram set ovpn_cfg=’remote vpn.tuvpn.com 1194 pour y mettre l’ adresse de TUVPN voulue

Il ne vous reste plus qu’à réinstaller ce nouveau fichier

BILAN:

L’ installation de l’ OpenVPN sur routeur DD-WRT était le seul manque de TuVPN. Avec ce tuto le manque est comblé et TuVPN pourra être utiliser avec votre routeur préféré. Le WNR3500L qui a servit de base pour tester cette configuration est parfaitement adapté. Les vitesses ont été stables sur les Newsgroups avec Giganews comme serveur Usenet

Ce tuto est l’ occasion idéale de vous rappeler que TuVPN offre des promotions plus qu’ intéressante en utilisant les codes suivants lors du paiement:

1MS05 (EUR Locations) – le premier mois avec IP partagée à 5€

1MD05 (EUR Locations) – le premier mois avec IP dédiée à 5€

3MS21 – For a  3 MONTH SHARED IP SERVICE for 21€

6MS30 – For a 6 MONTH SHARED IP SERVICE for 30€

3MD21 – For a 3 MONTH DEDICATED IP SERVICE for 21€

6MD30 – For a 6 MONTH DEDICATED IP SERVICE for 30€

Si vous souscrivez à l’ offre de 6 mois le prix mensuel revient à 5 euros mensuel ce qui fait de Tuvpn le meilleur rapport qualité/prix du marché des VPN

Share