Devenez Contributeurs sur le blog du VPN

Partagez vos expériences du VPN, un avis à donner sur un fournisseur VPN, un essai à nous communiquer, devenez alors contributeurs sur ce blog en vous inscrivant

Rien de plus simple, créer un Identifiant, donner une adresse mail. Ici pas de présentation , ni de C.V inutile.

Ce qui nous intéresse c’est votre apport et votre expérience.

Devenez Contributeurs sur le blog du VPN 9

De nombreux contributeurs ont déjà fait grandir ce blog, grâce à leur article et à  leur apport vous avez sans doute trouver une solution, découvert un point inattendu. Faîtes comme eux Partagez !

Share

Sécurisation de base d’une connection openvpn

I – Introduction

Récemment j’ai lu un article qui m’a rappelé qu’en 15 ans il y avait toujours aussi peu de gens qui prenaient à coeur la sécurisation de leur PC et de leurs connections. Autant vous dire que pour un ancien ( oui je suis un vieux con … non non ça fait pas mal 😀 ) c’est dur à avaler.

Dans cet article, l’auteur ( qu’il me pardonne d’avoir oublié son nom ) démontrait avec aisance combien il était facile d’accéder à des ressources partagés ( houla tention là on attaque du langage technique … oui c’est dur je sais ) sur un proxy/vpn mal réglé.

Tout d’abord une petite précision utile. Le vpn existe depuis des lustres sur les ordinateurs. Il servait à l’origine pour sécuriser les liaisons inter-entreprises.

Ce n’est que depuis l’avènement des lois comme l’IPRED en suède ou la Hadopi en France ainsi que les divers censure dans des pays au charme touristique indéniable mais agrémenté d’une dictature féroce ( la Tunisie de Ben Ali, L’Égypte d’Hosni Moubarak, le Libye de Kadhafi ( du temps où notre bien aimé président voulait lui vendre des avions et des centrales nucléaires ), la Chine, l’Iran, que des coins qui rendrais un adorateur de l’uniforme heureux), que son usage a été détourné pour masquer notre Ip d’origine et nous faire changer de juridiction.

On lui a ajouté un proxy permettant ainsi ce changement d’IP.

Pour ceux qui débutent, il faut bien comprendre que tout ne fonctionne pas au top nickel et que ce que vous trouvez sur le marché est récent, et comme pour une voiture qui vient de sortir forcément ça déconne parfois et les premiers clients essuient souvent les plâtres ( pour les plus anciens rappelez vous de l’arrivée de free dans l’ADSL et tout le « bonheur » que ça a été ). Sans compter que certains fournisseur ne prennent pas forcément en compte la sécurité de leurs client ( eh oui tout les fournisseurs de vpn ne sont pas des anges ).

Du coup  il y a un minimum du minimum à respecter en matière de sécurité sur nos machines pour éviter que nos données personnelles que nous partageons sur notre réseau domestique ne se retrouve exposé à la vu de tous les utilisateurs utilisant les VPN ( eux non plus ne sont pas tous des saints ).

Allez trêve de bavardage, rentrons dans le vif du sujet.

II – On sort la clef de 12 et on se met au boulot

Ah là je vois que ça flippe un brin, ça mouille son slip, et ça commence à transpirer … relax c’est pas grand chose à faire.

Let’s Go

1- On commence par accéder aux cartes réseaux ( je vais devoir être général, la façon d’y parvenir variant d’un windows à un autre je vous renvoi à un bon moteur de recherche pour y parvenir ).

C’est là ou se trouvent tout ce qu’il faut pour régler votre carte réseau, wifi, connection pptp et … celui qui nous intéresse. Généralement il se nomme connection au réseau local 2 avec inscrit en dessous TAP – win32 Adapter …

2 – Vous allez dessus, vous cliquez avec le bouton droit et vous demandez les propriétés.

Vous risquez de constater que tout est coché ( relisez l’intro et vous comprendrez pourquoi … c’est un private network … réseau privé … donc pas réglé pour l’usage que nous en faisons ).

3 – vous décochez tous comme sur l’image suivante :

Vous cliquez sur OK et c’est bon. Plus personne du vpn n’aura accès à vos dossiers et imprimante partagés de votre machine.

Vous voyez c’était pas dur.

Bien sur n’oubliez pas d’avoir un antivirus bien à jour et un firewall bien réglé, n’oubliez pas aussi de vous pencher sur les réglages de votre navigateur qui lui aussi peut moucharder ( huuuum mon petit chrome que j’aime que tu m’espionnes et les petits javascripts et autres joyeusetés sympa ) si vous voulez vraiment être sur d’être suffisamment anonyme sur le net.

N’oubliez jamais, la sécurité sur internet ça commence par son PC.

Allez la prochaine fois je vous montre comment on monte un processeur avec une masse ! 😀

Bon vpn et bon surf

spiritstm

Share

Comment utiliser les réseaux sans-fil de façon un peu parano !

On vous publie en intégralité l’ article (Comment utiliser les réseaux sans-fil de façon un peu parano !) d’ un nos confrères, le blog eglis, sur l’ utilisation des réseaux sans-fil. On remercie Charles de nous avoir donné l’ autorisation de cette publication. Un article technique mais les lecteurs du blog apprécieront. 😀

Il y a quelques années, quand j’ai acheté mon premier portable, les réseau sans-fil était tout neuf. Personne ne les sécurisait, le wardrivin’ était à la mode dans mon entourage. J’avais même volontairement laissé mon wifi ouvert afin d’espionner mes voisins qui décidaient d’utiliser ma connexion internet. En faisant cela, j’ai réalisé ce qui se passe quand on ne contrôle pas notre dhcp et/ou notre gateway vers internet. C’est à ce moment que j’ai décidé d’encapsuler mes communications dans un tunnel VPN. J’ai essayé plusieurs technologies: IPSEC, CIPE, pptp, des tunnel SSH bidon, mais rien n’était satisfaisant, souvent trop de manipulations à faire à chaque fois qu’on se connecte. J’ai longtemps utilisé CIPE ( Crypto IP Encapsulation ) un logiciel très simple à configurer comparativement à IPSEC mais il comporte encore quelques lacunes. Un jour, apparu, OpenVPN!!

Depuis plusieurs années, j’utilise OpenVPN dès que j’ai besoin d’une solution vpn. Simple, stable, sécuritaire, supportant plusieurs niveau d’authentification, du proxy http, bref rien à dire de plus pour me convaincre. Il y a même des outils hyper simple à utiliser pour faire la gestion des clef SSL.

La première étape est de se configurer un serveur OpenVPN.

Voici mon setup. J’utilise Centos 5.5, mais n’importe quelle version de linux/bsd ferait le travail tout aussi bien. Il se peut que les path des logiciel ne soient pas au même endroit, mais le concept reste le même.

Voici les grande lignes:

* Installer OpenVPN sur le serveur
* Générer les clefs SSL
* Éditer le fichier server.conf
* Paramétrer notre firewall
* Copier certaines clefs vers nos clients ( portable, téléphone cellulaire, etc. )
* Configurer notre client pour se connecter sur notre serveur.
yum install openvpn
cd /etc/openvpn/
cd easy-rsa

### configurer le fichier "vars" et répondre aux questions qui nous sont demandées.

. ./vars
sh clean-all
sh build-ca
sh build-key-server my-srv
sh build-key my-cli1
sh build-key my-cli2
sh build-key my-cli3
sh build-dh
openvpn --genkey --secret ta.key
cp keys/*.crt ../keys/
cp keys/*.key ../keys/

Quant à la configuration du firewall, je n’entrerai pas dans les détails. Brièvement, j’utilise du SNAT étant donné que j’ai une ip fixe ( chez iWeb ), mais si j’étais hébergé à la maison j’utiliserais fort probablement du Masquerade et un Dyndns.

Éditer /etc/sysctl.conf et s’assurer que les lignes suivantes sont présentes:

net.ipv4.ip_forward = 1
net.ipv4.conf.default.rp_filter = 1

# relire notre config et l'appliquer
sysctl -p

iptables -t nat -A POSTROUTING -s 10.18.137.0/255.255.255.0 -o eth0 -j SNAT --to-source 72.55.147.X
iptables -I RH-Firewall-1-INPUT -d 72.55.147.X -p udp -m udp --dport 1194 -j ACCEPT
service iptables save

Ensuite, on peut éditer /etc/sysconfig/iptables ou votre quelconque script de firewall.

Voici mon fichier de configuration

local 72.55.147.X
port 1194
proto udp
dev tun
ca keys/ca.crt
cert keys/serveur.crt
key keys/serveur.key  # This file should be kept secret
dh keys/dh2048.pem
server 10.18.137.0 255.255.255.0
ifconfig-pool-persist ipp.txt
push "redirect-gateway def1"
push "dhcp-option DNS 10.18.137.1"   # rediriger son dns sur une machine qu'on contôle!
keepalive 10 120
tls-auth keys/ta.key 0 # This file is secret
comp-lzo
persist-key
persist-tun
status openvpn-status.log
verb 3

Ensuite il faut copier nos clef « clients » vers nos ordinateurs portables. Dans mon cas, j’utilise TunnelBlick sur macosx et le client OpenVPN qui vient avec Android.

Pour utiliser OpenVPN sur son cellulaire il faut malheureusement l’avoir préalablement rooté son appareil. Je n’entrerai pas dans ces détails, mais sur ce site ils ont tout expliqué comment faire: http://www.cyanogenmod.com/ Lorsque CyanogenMod-6.0, de préférence, est installé, on va dans le Market, on installe OpenVPN-Installer et OpenVPN-Settings. Ensuite, il faut copier les clefs ca.crt, ta.key, my-cliX.crt. my-cliX.key dans un répertoire qui s’appelle openvpn à la racine de notre carte SD.

Voici le fichier de configuration que j’ai sur mon appareil: Notez qu’il a été créé par OpenVPN-Settings et qu’il est ensuite facilement éditable à partir de notre ordinateur.

client
dev tun
proto udp
remote 72.55.147.X 1194
resolv-retry infinite
nobind
persist-key
persist-tun
ca ca.crt
cert my-cliX.crt
key my-cliX.key
tls-auth ta.key 1
comp-lzo
verb 4

Ceci étant fonctionnel, j’ai tout de même quelques désagréments. Le vpn ne s’accroche pas automatiquement au démarrage du wifi. Si le téléphone tombe en veille ça cause parfois problème lors du réveil. Quand on est dans un environnement où il y a plusieurs bornes ( cégep, université, etc ), il se peut qu’en se déplaçant, et qu’on change de borne, le routing se brise, mais rien de terrible… Off/On du vpn et le tour est joué.

Attention à votre batterie! Elle se vide à vue d’oeil.

On espère que cela va créer des vocations. Merci au blog.eglis !!!

Share

Entre confidentialité et sécurité

L’ idée d’ un billet (ambitieux) autour de la confidentialité et de la sécurité m ‘est venu à la suite de FireSheep, du firewall NAT de VyprVPN et du besoin grandissant du tout à chacun de protéger sa vie privée

La suite de ce billet n’est pour l’ instant qu’ hypothèse et demande à être vérifié sans a priori, je vous remercie par avance de votre participation. Si vous avez des infos, des expériences à nous faire partager au sujet des Anti-Virus, des pare-feu, des navigateurs et de leur options de sécurité, des certificats SSL et des logiciels pour effacer toutes traces de surf (comme CCleaner) alors n’ hésitez pas à commenter ce billet que j’ espère le plus efficient possible

Ce billet (à compléter au fur et à mesure grâce à mes recherches et à vos commentaires) voudrait avoir deux axes de développement

  • Différencier Sécurité et confidentialité. La sécurité s ‘entend par protection, empêcher toutes intrusions extérieures dans son réseau (wifi // ports, …) ou bien cacher son I.P réelle. Contrairement à une idée reçu un VPN  a besoin d’ être bien couplé à un Anti-Virus, Firewall et Routeur pour offrir le maximum de sécurité. La confidentialité concerne toutes les traces que notre activité sur le net laisse (cookies, historique de navigation, I.P sur les logs, ….), on peut la mettre en parallèle avec la notion de vie privée. Ainsi les VPN ont un rôle à jouer au niveau de l’ I.P car ces derniers empêchent toutes intrusions publicitaires par exemple ou bien permettent  simplement à tout internaute de ne pas lier ses habitudes de surf à son I.P.
  • Montrer que le VPN doit faire partie intégrante d’ une suite logicielle permettant d’ optimiser la sécurité d’ un réseau. Faire du VPN une partie d’ un tout. La meilleure preuve que seul un VPN ne rend pas votre réseau infaillible est la fonction NAT

NAT ? Le NAT effectue une traduction d’adresses entre votre réseau local (LAN) et le réseau internet, afin de « masquer » les machines du réseau local. Même si vous avez plusieurs ordinateurs connectés, vu d’internet on ne voit qu’une seule adresse IP: celle de votre box. Les modems-routeurs (fonction NAT) sécurisent en partie votre ou vos ordinateurs. Tous les ordinateurs de votre réseau local seront protégés contre les connexions entrantes, une première ligne de défense, mais ne contrôle absolument pas les connexions sortantes.

Lorsque vous êtes connecté à un VPN votre ordinateur est directement accessible depuis internet : N’importe qui peut essayer de s’y connecter à partir de votre IP publique. La majorité des fournisseurs VPN vous donnent une IP publique. Certains VPN  donnent une IP Privée de type 10.x.x.x ou 172.16.x.x ou 192.168.x.x. Lorsque le VPNfonctionne alors votre protection NAT cesse. Cette fonction NAT est donnée par votre modem routeur (Freebox , NeufBox, liveBox, …) qui attribue à chaque poste connecté une adresse adresse IP privée (10.x.x.x ou 172.16.x.x ou 192.168.x.x). La box en mode routeur agit comme intermédiaire entre votre réseau local et internet. La connexion directe d’internet vers votre ordinateur n’est plus possible, à moins de mettre en place une redirection de ports (port forwarding !!!). En mode routeur, votre réseau local (192.168.x.x) est isolé du réseau internet par le routeur qui contrôle les échanges.

Ip publique ou Ip privée ?

Non les IP publiques que donnent les serveurs VPN ne sont pas dangereuses. Ne courez pas après un VPN qui offre absolument une IP privée car souvent tous les clients du fournisseurs VPN partagent la même IP publique. Inconvénient important car si un utilisateur se fait blacklisté alors tous les utilisateurs (connecté avec une IP privée) de cette ip publique se font blacklister.

Les solutions ?

  • Prendre l’ option firewall NAT. Certains fournisseurs de VPN comme VyprVPN propose une sécurité supplémentaire à ses utilisateurs VPN : le pare-feu NAT. Protection facultative et proposée en option à 5 $ mensuel. Seules les connexions émanant de votre machine seront autorisées à entrer. Non seulement votre réseau est protégé des attaques entrantes mais en plus vous bénéficier des IP publiques dédiées qui ne sont pas blacklistés par les autres utilisateurs. Vous avez donc la protection du mécanisme NAT et une IP publique dédié

Entre confidentialité et sécurité 10

  • Installer un pare-feu personnel type Zone alarm, Sygate, Kerio. Pour les utilisateurs de Windows il existe le firewall intégré de l’ O.S. C’est la solution la moins couteuse et la plus simple. Un firewall bien configuré conviendra à la majorité des utilisateurs.
  • Protéger votre ordinateur avec un Anti-virus efficace et mis à jour régulièrement. On ne peut que vous conseiller AntiVir dans sa version gratuite. La version payante intègre quant à elle un ensemble d’ outils sécuritaire comme le firewall intégré, l’ antispyware, l’ antiphishing,…. la liste est longue. Avira AntiVir Premium V10 coûte 19.95 € pour UN An.
  • Installer votre VPN sur un routeur firewall. C’ est notre solution préférée sur le blog UN VPN n’ assure t-il pas ses fonctions de confidentialité et de sécurité qu’ implanter sur un routeur ?. Un routeur a deux avantages:
  1. En cas de déconnexions de votre vpn, votre I.P réelle ne réapparaît pas. Cela à l’ avantage de se passer d’ un logiciel tiers (comme VPNcheck) et d’ être quasi-infaillible (c ‘est du hardware !!!)
  2. Un routeur comme l’ Asus WNR3500L permet de rendre tous vos ports « STEALTH » ou  « MASQUÉ » , cela signifie que votre ordinateur est invisible pour des pirates venant d’Internet et protégé par un firewall ou tout autre logiciel similaire. Surtout même après l’ implantation de votre VPN, tous vos ports restent masqués. Vous rétablissez votre pare-feu NAT
Share

Méfiez-vous des points d’accès Wifi non sécurisés à cause de FireSheep

Méfiez-vous des points d’accès Wifi non sécurisés à cause de FireSheep 11FireSheep l’ extension pour le navigateur Firefox est un vrai danger pour tous les internautes qui se connectent via un réseau Wifi sans fil non sécurisé à un certain nombres de sites comme Twitter, WordPress, Yahoo, Facebook. La liste complète des sites qui permettent à cette extension de montrer sa dangerosité est longue (Amazon, Basecamp, bit.ly, Cisco, CNet, Dropbox, Enom, Evernote, FaceBook, Flickr, FourSquare, Github, Google, Gowalla, Hacker News, Harvest, Windows Live, New York Times, Pivotal Tracker, ToorCon: San Diego, Slicehost, Tumblr, Twitter, WordPress, Yahoo, Yelp).

Le danger est omniprésent: Lorsque vous vous connectez à un de ses sites à partir d’ un réseau sans fil non sécurisé alors une personne extérieure qui a installé cette extension voit exactement tout ce que vous y faîtes et peut aussi hacker, voler votre compte.

Le principe est simple: Lorsque vous ouvrez une session sur un site tel que Facebook, celui-ci émet un cookie d’autorisation. En gros, ce cookie vous permet de naviguer d’une page à l’autre sur le site sans devoir constamment réinscrire votre mot de passe. Une personne qui utilise FireSheep récupérera votre cookie Facebook et ouvrira une session active sur votre réseau social favori. Les cookies de session pour maintenir la connexion de l’utilisateur sont évidemment utiles, mais il expose les utilisateurs à des problèmes de sécurité importants pour ceux qui accèdent le Web depuis un point d’accès Wifi non sécurisé.

Le résultat est impressionnant: J’avoue avoir été un peu sceptique lors de la sortie de ce plugin FireSheep. Cette méthode de « Session hijacking« , en interceptant les cookies de connexion émis sur des réseaux wifi non protégés, existe depuis longtemps et était réservée à des patriciens du hacking. FireSheep c’est la facilité à portée de main. En le testant moi même j’ ai été bluffé.

Les motivations de l’ auteur: E. Butler veut dénoncer le manque de sécurité que propose les sites Web . Les sites négligent cet aspect en ne fournissant pas de certificat SSL. Il veut pousser les sites à parfaire leur sécurité afin d’éviter que leurs utilisateurs fassent l’ objet d’ attaques inutiles. Le règne du SSL !!! Le concepteur du plugin ne veut pas dénoncer le Wifi non sécurisé mais le manque de connexion en HTTPS.

Solutions: L’ auteur en préconise trois (HTTPS-EverywhereForce-TLS — VPN) tout en montrant les limites de chaque solution.

Pour les VPN, il en souligne deux (en Anglais dans le texte et cité intégralement):

  • While we metnioned that VPNs and SSH tunnels can be helpful just above this, we want to emphasize that it’s just pushing the problem to that VPN or SSH endpoint. Your traffic will then leave that server just as it would when it was leaving your laptop, so anyone running Firesheep or other tools could access your data in the same way. These are solutions that require at least some understanding of networking and risks at hand. A blind suggestion of “Use a VPN” doesn’t really solve the problem and may just provide a false sense of security.En fait il pose le problème, récurrent, de la confiance que nous devons avoir vis à vis de notre fournisseur de VPN. C’est pourquoi il faut privilégier les VPN bien établis et sérieux comme VyprVPN

  • Another problem with VPNs is that they don’t work all the time. Sometimes they just disconnect, and your traffic is all routed over your normal interface without any notice. The built in VPN clients on OSX, the iPhone, and iPad are particularly bad at this. C’est pourquoi il faut privilégier l’ OpenVPN plus stable, privilégier des VPN qui assurent une technique et une stabilité de connexion quasi-irréprochable. Ne pas hésiter à installer GuizmoOVPN sur son iphone, ipad.

La sécurité et nous le rejoignons sur ce point ne peut être assurée seulement par un outils, un protocole, un logiciel, …. Les VPN, sujet sur le blog qui nous passionne, sont un outils qui doivent s’ intégrer, rejoindre s’ accumuler à un ensemble. Même si cet outils seul est déjà extrêmement efficace.

Lors de nos tests les résultats anti-FireSheep sont probants avec un VPN !!! On a utilisé VpnTunnel.Se et VyprVPN. Aucun soucis, la colonne latérale est restée vide, VyprVPN et Vpntunnel sont en plus deux VPN de confiance.

Share