Liens

Accueil

Liste de diffusion

Dates, heure,lieu et sujet(s) des rencontres

Commanditaires

A propos de...

Autres Liens...

Photos

WP8 pour Linux

Logiciels

Fureteurs

Courriels

Suites Bureautique

OpenOffice 2.0
(Français)(Anglais)

Graphisme

The Gimp 2.2

Création d'un point d'accès sans fil sécurisé avec Linux et Open VPN

* Comment créer un point d'accès sans-fils sécurisé avec Linux et OpenVPN

* Pourquoi un réseau sans-fils ?

Pas de fils à installer
Liberté de mouvement

* Pourquoi un point d'accés fait maison ?

Matériel est disponible
Fléxibilité
Sécurité

* Pré-requis

Un ordinateur avec Linux installé et connecté à internet
Une carte réseau sans-fils inutilisée et reconnue par Linux

* Schéma du réseau

internet
   |
   |  point d'accés
+--+-----------------+
| eth0(x.x.x.x)      |
|  |                 |
| forward et masq    |     client
|  |                 |   +--------------------+
| ath0(192.168.44.1) |   | eth0(192.168.44.2) |
+--+-----------------+   +--+-----------------+
   .                        .
   ......sans-fils...........

* Configurer la carte réseau sans-fils

iwconfig ath0 mode master
Le mode ad-hoc peut remplacer le mode master
iwconfig ath0 essid CLO channel 3
ifconfig ath0 192.168.44.1

* Configurer le nat et le forwarding

Avertissement: ce firewall est simplifié à l'extrême et insécure
echo 1 > /proc/sys/net/ipv4/ip_forward
iptables -F
iptables -F -t nat
iptables -P OUTPUT ACCEPT
iptables -P INPUT ACCEPT
iptables -P FORWARD ACCEPT
iptables -t nat -A POSTROUTING -o eth0 -s 192.168.44.1/24 -j MASQUERADE

(Note du Webmestre : la dernière commande iptables risque d'apparaître sur deux lignes, mais elle doit être tapée sur une seule)

* Comment se brancher à un point d'accés sans-fils avec Linux ?

iwconfig eth0 essid CLO mode managed
Utiliser le mode ad-hoc si le point d'accés l'utilise
ifconfig eth0 192.168.44.2
Tester la connection vers le point d'accés : ping 192.168.44.1
route add default gw 192.168.44.1
echo "nameserver y.y.y.y" > /etc/resolv.conf
Tester la connection vers internet : lynx google.ca

* Configurer les adresses, les routes et les serveurs de noms automatiquement

Utiliser dhcpd et named sur le serveur
Utiliser dhcpcd ou dhclient ou pump sur les clients

* Pourquoi sécuriser son point d'accés sans-fils ?

Abus de la bande passante
Utilisation à des fins illégales
Capture de mot de passe
Accés à des serveurs internes vulnérables

* Comment activer le WEP avec Linux ?

Sur le point d'accés
iwconfig ath0 key s:LINUX
iwconfig ath0 enc restricted
Sur les clients
iwconfig eth0 key s:LINUX
Tester la connection vers le point d'accés : ping 192.168.44.1

* Pourquoi aller plus loin que le WEP ?

Le WEP est vulnérable
http://airsnort.shmoo.com/

* Qu'est-ce qu'un VPN ?

Réseau privé virtuel
Privé : accés sécurisé
Virtuel : machine distante déjà en réseau
Tunnel entre deux machines

* Pourquoi choisir OpenVPN ?

Facile à configurer
Sécure
Disponible pour plusieurs systèmes d'exploitation

* Schéma du réseau

internet
   |
   |  point d'accés
+--+-----------------+
| eth0(x.x.x.x)      |
|  |                 |
| forward et masq    |     client
|  |                 |   +--------------------+
| tun0(192.168.88.1) |   | tun0(192.168.88.x) |
|  |                 |   |  |                 |
| openvpn            |   | openvpn            |
|  |                 |   |  |                 |
| ath0(192.168.44.1) |   | eth0(192.168.44.2) |
+--+-----------------+   +--+-----------------+
   .                        .
   ......sans-fils...........

* Installer OpenVPN

Pré-requis : openssl, lzo (optionnel)
Télécharger http://prdownloads.sourceforge.net/openvpn/openvpn-2.0_rc6.tar.gz
tar xzvf openvpn-2.0_rc6.tar.gz
cd openvpn-2.0_rc6
./configure && make && make install
mkdir /etc/openvpn
cp sample-config-files/server.conf /etc/openvpn/
cp sample-config-files/client.conf /etc/openvpn/
cp -r easy-rsa /etc/openvpn/
Répéter sur chaque clients

* Créer les certificats et les clés sur le point d'accés

cd /etc/openvpn/easy-rsa
cat > /etc/openvpn/easy-rsa/vars
export KEY_CONFIG=/etc/openvpn/easy-rsa/openssl.cnf
export KEY_DIR=/etc/openvpn/keys
export KEY_SIZE=1024
export KEY_COUNTRY=CA
export KEY_PROVINCE=QC
export KEY_CITY=GATINEAU
export KEY_ORG="CLO"
export KEY_EMAIL="germste@gmail.com"
^D
. vars
./clean-all
./build-ca
./build-key server
./build-key client
./build-dh
chmod -R go-rxw /etc/openvpn/keys

* Configurer OpenVPN sur le point d'accès

cat > /etc/openvpn/server.conf
local 192.168.44.1
port 1194
proto udp
dev tun0
ca keys/ca.crt
cert keys/server.crt
key keys/server.key
dh keys/dh1024.pem
server 192.168.88.0 255.255.255.0
push "redirect-gateway"
keepalive 10 120
cipher DES-EDE3-CBC
^D

* Reconfigurer le masquage et le forwarding pour restreindre l'accés à internet

Avertissement: ce firewall est simplifié à l'extrême et insécure
echo 1 > /proc/sys/net/ipv4/ip_forward
iptables -F
iptables -t nat -F
iptables -P OUTPUT ACCEPT
iptables -P INPUT ACCEPT
iptables -P FORWARD DROP
iptables -A FORWARD -o tun0 -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A FORWARD -i tun0 -j ACCEPT
iptables -t nat -A POSTROUTING -o eth0 -s 192.168.88.1/24 -j MASQUERADE

* Démarrer OpenVPN sur le serveur

modprobe tun
openvpn --mktun --dev tun0
openvpn --cd /etc/openvpn --config /etc/openvpn/server.conf --daemon

* Transporter les clés et les certificats vers les clients

scp /etc/openvpn/keys/ca.crt /etc/openvpn/keys/client.crt \
/etc/openvpn/keys/client.key 192.168.44.2:/etc/openvpn/keys/

* Configurer OpenVPN sur les clients

cat > /etc/openvpn/client.conf
client
dev tun0
proto udp
remote 192.168.44.1 1194
ca keys/ca.crt
cert keys/client.crt
key keys/client.key
cipher DES-EDE3-CBC
^D

* Démarrer openvpn sur les clients

modprobe tun
openvpn --mktun --dev tun0
openvpn --cd /etc/openvpn --config /etc/openvpn/client.conf --daemon
Tester la connection par le tunnel : ping 192.168.88.1
Tester la connection vers internet : lynx google.ca

* À faire

Essayer IPSec

* Liens

http://openvpn.net
http://www.hpl.hp.com/personal/Jean_Tourrilhes/Linux/Wireless.html
http://oob.freeshell.org/nzwireless/LWAP-HOWTO.html

_______________________________________________