Articles dans la catégorie ’Réseau



22
Mar

Création d’un VPN avec OpenVPN sous Centos 5

Dans cet article, nous allons créer un point d’accès vpn chargé de router l’ensemble du trafic des clients vpn.
Le système retenu pour créer ce point d’accés est une machine sous Centos 5 sur laquelle nous allons installer le logiciel OpenVPN.

Installation du serveur vpn :

Nous considérons que la machine est déjà installée sous Centos 5 et que les outils de développement y sont également installés (autoconf, automake, gcc, …). SELinux ainsi que IPtables sont désactivés.

Tous d’abord, nous allons installer la librairie lzo (téléchargeable en version 2.04 depuis ici, permettant de compresser en temps réel les flux qui transiteront par le tunnel :

[root@vador sources]# tar zxf lzo-2.04.tar.gz
[root@vador sources]# cd lzo-2.04
[root@vador lzo-2.04]# ./configure --prefix=/usr && make && make install

Nous pouvons ensuite installer openvpn depuis les sources, téléchargeables depuis le site officiel :

[root@vador sources]# tar zxf openvpn-2.1.4.tar.gz
[root@vador sources]# cd openvpn-2.1.4
[root@vador openvpn-2.1.4]# ./configure --prefix=/usr --sysconfdir=/etc/openvpn
[root@vador openvpn-2.1.4]# make && make install
[root@vador openvpn-2.1.4]# cp sample-scripts/openvpn.init /etc/init.d/
[root@vador openvpn-2.1.4]# chmod +x /etc/init.d/openvpn.init
[root@vador openvpn-2.1.4]# cd plugin/auth-pam/
[root@vador openvpn-2.1.4]# make
[root@vador auth-pam]# mkdir /usr/lib/openvpn
[root@vador auth-pam]# cp openvpn-auth-pam.so /usr/lib/openvpn/

Nous allons ensuite générer les certificats :

[root@vador auth-pam]# cd ../..
[root@vador openvpn-2.1.4]# cd easy-rsa/2.0/
[root@vador 2.0]# vi vars
[root@vador 2.0]# . ./vars
[root@vador 2.0]# ./clean-all
[root@vador 2.0]# ./build-ca
[root@vador 2.0]# ./build-key-server server
[root@vador 2.0]# ./build-dh
[root@vador 2.0]# mkdir -p /etc/openvpn/keys
[root@vador 2.0]# cp keys/ca.crt /etc/openvpn/keys/
[root@vador 2.0]# cp keys/ca.key /etc/openvpn/keys/
[root@vador 2.0]# cp keys/server.crt /etc/openvpn/keys/
[root@vador 2.0]# cp keys/server.key /etc/openvpn/keys/
[root@vador 2.0]# cp keys/dh1024.pem /etc/openvpn/keys/

Le fichier ca.crt sera a distribuer sur les clients.
Créons le fichier de configuration d’OpenVPN /etc/openvpn/openvpn.conf :

port 1194
proto udp
dev tun0

ca /etc/openvpn/keys/ca.crt
cert /etc/openvpn/keys/server.crt
key /etc/openvpn/keys/server.key
dh /etc/openvpn/keys/dh1024.pem


server 10.8.0.0 255.255.255.0
ifconfig-pool-persist ipp.txt

client-to-client

keepalive 10 120

comp-lzo
max-clients 100

user nobody
group nobody

# of the privilege downgrade.
persist-key
persist-tun

status /var/log/openvpn-status.log
log-append  /var/log/openvpn.log

verb  4

client-cert-not-required
plugin /usr/lib/openvpn/openvpn-auth-pam.so login

push "redirect-gateway def1"
push "dhcp-option DNS xxx.xxx.xxx.xxx"  #Optionnel : Adresse IP du serveur dns 

Ainsi configuré, OpenVPN écoutera sur le port 1194/udp et l’authentification se fera via login/mot de passe grace aux PAM. Ainsi, chaque utilisateur ayant un compte sur la machine pourra se connecter au VPN.
Il est possible d’aller plus loin en configurant les pam pour aller chercher les informations dans un annuaire LDAP par exemple.
La directive push « redirect-gateway def1 » permet de rediriger l’ensemble du trafic des clients via le VPN.
verb 4 pourra être diminué par la suite afin de rendre les logs moins volumineux.

[root@vador openvpn]# touch /var/log/openvpn.log
[root@vador openvpn]# touch /var/log/openvpn-status.log
[root@vador openvpn]# chown nobody:nobody /var/log/openvpn*.log

Nous pouvons ensuite demarrer openvpn grace à la commande :

/etc/init.d/openvpn.init start

Créons ensuite le script /etc/rc.d/rc.firewall qui permettra de masquerader le traffic provenant de l’interface virtuelle tun0.

#!/bin/sh
/sbin/modprobe iptable_nat
/sbin/modprobe ip_nat_ftp
echo 1 > /proc/sys/net/ipv4/ip_forward
/sbin/iptables -F FORWARD
/sbin/iptables -F INPUT
/sbin/iptables -A FORWARD -s 10.8.0.0/24 -j ACCEPT
/sbin/iptables -A FORWARD -i tun0 -o eth0 -j ACCEPT
/sbin/iptables -A INPUT -s 10.8.0.0/24 -j ACCEPT
/sbin/iptables -t nat -A POSTROUTING -s 10.8.0.0/24 -j MASQUERADE

Rendons le exécutable avec la commande :

chmod +x /etc/rc.d/rc.firewall

et nous pouvons modifier le fichier /etc/rc.local afin que rc.firewall soit lancé au démarrage de la machine.
La configuration du point d’accés et désormais terminée. Il faut juste s’assurer que le port 1194/udp est ouvert pour les clients.

Configuration d’un client vpn sous linux :

Pour cet exemple, nous allons configurer un client fonctionnant sous Ubuntu. Installons le plugin openvpn pour le networkmanager :

sudo apt-get install network-manager-openvpn-gnome

Il faut ensuite redemarrer le network-manager (ou la machine pour les plus fénéants 🙂 ).

Sur l’applet de configuration de réseau, nous choisissons « Configurer le VPN » :

La passerelle est l’adresse IP de notre serveur OpenVPN.
Le certificat du ca est le fichier ca.crt récupéré du répertoire /etc/openvpn/keys sur le serveur.

Cliquer sur « Avancé » et activer la compression lzo :

Après activation du vpn, à l’aide de la commande traceroute, nous voyons bien que le traffic passe par le vpn (10.8.0.1) :

Configuration d’un client vpn sous windows :

Il faut installer le logiciel Openvpn-GUI disponible ici. Installer le pilote
TAP-Win32 (soit depuis l’installation, soit depuis le menu demarrer->openvpn).

Dans le répertoire c:\program files\openvpn\config, placer le fichier ca.crt récupéré sur le serveur.

Éditer un fichier c:\program files\openvpn\config\client.ovpn :

### Client configuration file for OpenVPN
client
dev tun
remote 192.168.0.10 1194   # Adresse & port du serveur openvpn
proto udp
nobind
resolv-retry infinite
persist-key
persist-tun
ca ca.crt
cipher BF-CBC
comp-lzo
verb 3
auth-user-pass
route-method exe
route-delay 2

La connexion au vpn se fait par un clic droit sur l’icone openvpn dans la zone de notification et en cliquant sur connect.

1
Fév

Mise en place du port knocking sous CentOS

Le port Knocking est une méthode permettant d’ouvrir dynamiquement des ports protégés par un pare-feu. Pour cela, une suite de connexion sur plusieurs ports doit être effectuée. Un processus tourne alors en arrière-plan et vérifie régulièrement le journal de connexion du pare-feu pour ouvrir un port spécifique si une séquence est détectée.

Cette technique est notamment utilisée pour protéger l’accès au port 22 (SSH) d’une machine.

Pour mettre en place le port knocking sous CentOS, nous allons utiliser le démon knockd disponible à cette adresse. L’installation à partir des sources consistent à installer tout d’abord les dépendances puis le démon knockd.

yum install gcc libpcap-devel
cd /usr/local/src/
wget http://www.zeroflux.org/proj/knock/files/knock-0.5.tar.gz
tar -xzvf knock-0.5.tar.gz
./configure
make
make install

Ensuite, il vous faut supprimer la règle autorisant SSH en entrée sur le serveur.

vi /etc/sysconfig/iptables

#-A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 22 -j ACCEPT

– Redémarrez le pare-feu : service iptables restart

Il vous faut maintenant définir la séquence de port à « frapper » pour ouvrir le port SSH. Dans notre exemple, nous choisissons les ports 2222, 3333 et 4444.

vi /etc/knockd.conf

[options]
UseSyslog
PidFile = /var/run/knockd.pid
Interface = eth0

[opencloseSSH]
sequence = 2222,3333,4444
seq_timeout = 15
tcpflags = syn
start_command = /sbin/iptables -I INPUT -s %IP% -p tcp --dport 22 -j ACCEPT
cmd_timeout = 60
stop_command = /sbin/iptables -D INPUT -s %IP% -p tcp --dport 22 -j ACCEPT

La séquence doit être effectuée dans les 15 secondes et vous avez 60 secondes pour vous connecter en SSH sur le serveur.

Il ne vous reste plus qu’à lancer le démon knockd.

/usr/sbin/knockd -d

Depuis votre client, essayez maintenant de vous connecter en SSH sur votre serveur. La connexion est maintenant impossible puisque le pare-feu n’autorise plus le port 22 en entrée. Par contre le serveur SSH est toujours à l’écoute. Récupérez par exemple le client Knock pour Windows.

Depuis un poste sous Windows, en ligne de commande, « frappez les ports » : knock.exe 192.168.0.100 2222 3333 4444

Vous pouvez maintenant vous connecter normalement en SSH sur votre serveur dans un certain laps de temps.

7
Sep

Installation de Dell OpenManage Server Administrator sur CentOS 5.3

Cet article décrit tous les étapes pour installer Dell OpenManage Server Administrator sur un serveur Dell doté d’un système CentOS 5.3.

– Placez-vous dans le répertoire suivant : cd /usr/local/src/
– Téléchargez la dernière version de Dell Open Manage : wget http://ftp.us.dell.com/sysman/OM_6.1.0_ManNode_A00.tar.gz
– Créez le répertoire suivant : mkdir OM_6.1.0_ManNode_A00
– Décompressez l’archive : tar -xzvf OM_6.1.0_ManNode_A00.tar.gz -C OM_6.1.0_ManNode_A00
– Placez-vous dans le répertoire suivant : cd OM_6.1.0_ManNode_A00
– Éditez le fichier de configuration suivant : vi setup.sh

GBL_OS_TYPE=${GBL_OS_TYPE_RHEL5}
GBL_OS_TYPE_STRING="RHEL5"

– Installez la dépendance suivante avec l’utilitaire YUM : yum install compat-libstdc++-33
– Créez le répertoire suivant : mkdir /usr/local/omsa/
– Lancez le script d’installation : sh linux/supportscripts/srvadmin-install.sh –prefix /usr/local/omsa/ -d -s -r -w

Installing the selected packages.

Préparation...              ########################################### [100%]
1:srvadmin-omilcore      ########################################### [  6%]
To start all installed services without a reboot,
enter the following command:  srvadmin-services.sh  start
2:srvadmin-omcommon      ########################################### [ 12%]
3:srvadmin-hapi          ########################################### [ 18%]
4:srvadmin-syscheck      ########################################### [ 24%]
5:srvadmin-deng          ########################################### [ 29%]
6:srvadmin-omacore       ########################################### [ 35%]
7:srvadmin-isvc          ########################################### [ 41%]
8:srvadmin-omauth        ########################################### [ 47%]
9:srvadmin-wsmanclient   ########################################### [ 53%]
10:srvadmin-idrac-componen########################################### [ 59%]
11:srvadmin-jre           ########################################### [ 65%]
12:srvadmin-cm            ########################################### [ 71%]
13:srvadmin-idracadm      ########################################### [ 76%]
14:srvadmin-idracdrsc     ########################################### [ 82%]
15:srvadmin-iws           ########################################### [ 88%]
16:srvadmin-omhip         ########################################### [ 94%]
17:srvadmin-storage       ########################################### [100%]

Le répertoire d’installation par défaut de Dell OpenManage se situe à l’emplacement /opt/dell/srvadmin/omsa/.

– Lancez les différents services de Dell OpenManage Server Administrator : srvadmin-services.sh start

Starting Systems Management Device Drivers:
Starting dell_rbu:                                         [  OK  ]
Starting ipmi driver: Already started                      [  OK  ]
Démarrage de snmpd :                                       [  OK  ]
Starting Systems Management Data Engine:
Starting dsm_sa_datamgr32d:                                [  OK  ]
Starting dsm_sa_eventmgr32d:                               [  OK  ]
Starting dsm_sa_snmp32d:                                   [  OK  ]
Starting DSM SA Shared Services:                           [  OK  ]
Starting DSM SA Connection Service:                        [  OK  ]

Dell OpenManage sera lancé automatiquement au démarrage du serveur.

– Éditez le fichier contenant les règles du pare-feu : vi /etc/sysconfig/iptables

-A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 1311 -j ACCEPT

– Redémarrez le pare-feu : service iptables restart
– A l’aide d’un navigateur Web, vous pouvez vous rendre sur l’interface Web de Dell OpenManage Server Administrator en entrant l’URL suivante : https://xxx.xxx.xxx.xxx:1311/.

dell_openmanage

Pour arrêter OMSA, il suffit de lancer la commande suivante : /usr/bin/srvadmin-services.sh stop.

Pour activer OMSA avec l’agent SNMPD : /etc/init.d/dataeng enablesnmp.

Pour procéder à la désinstallation d’OMSA, il suffit de lancer le script suivant : /usr/bin/srvadmin-uninstall.sh.

Le thème Celadon pour WordPress a été créé par Themes Boutique