Firefox | AbiWord | Gnumeric | Gimp | MPlayer | Ekiga | Pidgin | GQview | PCMan | FluxBox | Grisbi | LinuxFR | Framasoft | Léa-Linux | Lolix | LinuxGraphic

RSS: Blog | Wiki | Forum

Spec 004 - VPN Technicien

Un article de Easyneuf.

Sommaire

Sommaire

Afin de pouvoir éventuellement fournir un service de qualité quant à la maintenance de l'EasyGate à distance par des techniciens autorisés, sans compromettre la sécurité et sans nécessiter une quelconque intervention de l'utilisateur, il est nécessaire de mettre en place un accès sécurisé et exclusif entre les possesseurs d'EasyGate et les techniciens.

Release Note

Les notes de release telles qu'elles devront apparaître si les specs sont implémentées et acceptées dans la distribution.

Cas d'usage

  • Pour accéder en ligne de commande mais aussi graphiquement à une EasyGate, une combinaison de SSH et de NX pourrait être installée sur cette dernière.
  • Seulement pour qu'un technicien puisse s'y connecter de l'extérieur, les ports adéquats doivent être redirigés par le routeur.
  • Si par malheur les identifiants et mot de passe de maintenance de l'EasyGate venaient à être compromis (cassés ou divulgués), alors l'ensemble des EasyGates connectées à internet pourraient être piraté par n'importe qui.
  • Comme il semble difficilement gérable d'utiliser une combinaison unique d'identifiant et de mot de passe de maintenance pour chaque EasyGate, une autre solution doit être envisagée.
  • La solution la plus adéquate à ce problème est la mise en place d'un VPN de maintenance.
  • Dès qu'une EasyGate a accès à internet, elle se connecte automatiquement au serveur VPN de maintenance qui servira également de routeur du réseau des techniciens vers le réseau de maintenance
  • Ainsi les techniciens pourront accéder aux EasyGate comme si elles étaient en local et ceci sans les rendre directement accessibles via Internet.
  • Seulement une personne mal intentionnée pourrait récupérer le certificat de l'EasyGate afin de se connecter au VPN de maintenance et tenter soit de s'attaquer aux EasyGates soit au réseau des techniciens.
  • Afin de se prémunir contre cela, le VPN n'autorisera pas les clients à se voir entre eux et le routage réciproque en provenance du VPN ne sera pas autorisé afin de bloquer l'accès au réseau des techniciens.

Aspects concernés

Du point de vue de l'EasyOS, il suffira simplement d'installer OpenVPN, le configurer, y ajouter les certificats et le rajouter à la liste des services à démarrer automatiquement au boot.

Design

Le design me semble complet.

Implémentation

  • Mettre en place un serveur VPN du coté Neuf. Il devra refuser le mode "client-to-client", autoriser le mode "duplicate-cn", et router unidirectionnellement le réseau des techniciens vers le réseau de maintenance.
  • Ajouter OpenVPN dans l'EasyOS, le configurer pour qu'il se connecte au serveur mis en place décrit précedemment.
  • Faire générer au serveur VPN un certificat et le rajouter à l'image de l'EasyGate

Futur

Si vous avez des idées surtout n'hésitez pas ;-)

Problèmes à résoudre

À ma connaissance, aucun.

Plan de test

Les personnes en charge des serveurs mis à disposition pour le projet EasyNeuf pourraient mettre en place un serveur VPN de test (et fournir le certificat adéquat). Il sera simple ensuite de tester la solution en vérifiant que la communication entre le serveur VPN de test et un client EasyOS est effective.

Récupérée de « http://wiki.easyneuf.org/index.php/Spec_004_-_VPN_Technicien »