Hack d’un jour

Histoire d’une cyber-agression “HACK”

Je vais vous conter l’histoire de mon ami “GBen” qui a été victime d’un cyber-agresseur.

 

 

INTRODUCTION / CONTEXE


 

Nous travaillons actuellement à l’étranger et sommes logés dans un hôtel.

Comme dans la majorité des hôtels, une connexion WiFi gratuite (sans login/mdp) est disponible.

GBen possède un ordinateur portable :

– OS : Windows XP non officiel
– antivirus : Panda
– spybot search and destroy gratuit

 

 

 

Premiers signes



15h59 – Réception d’un mail PayPal

Peu de temps avant notre départ du travail, GBen reçoit un mail de PayPal concernant un virement de 200 euros vers une personne qu’il ne connait pas. Le mail contenant paypal.fr, ce dernier pense à une arnaque et le bascule dans les SPAMs. Sûr de lui, il n’évoque pas la moindre inquiétude.

 

16h17 – Inquiétude

Finalement pas si sûr de lui, il veut checker son compte PayPal. Il n’arrive pas à s’y connecter mais ne sait pas si l’erreur vient de lui ou si il a juste oublié son mot de passe. Petite sueur mais bon on est bientôt rentré alors il se réconforte en se disant que depuis son PC il pourra en savoir d’avantage.

 

16h39 – Fracture oculaire

GBen rentre dans sa chambre, pressé d’en savoir plus, ouvre son ordinateur et tombe sur une image particulièrement généreuse (un fond d’écran d’un ton douteux exhibant une femme approchant le quintal en petite tenue sur une moto…).

“Ah quel est le c** qui a fait ça, c’est un coup d’Eric ça !!!”

Et voilà ! Tout de suite, je suis victime d’un amalgame. Certes je trouve un certain intérêt au monde numérique et j’aime faire de mauvaise blague mais tout de même…

 

16h47 – Dring dring

Le téléphone de ma chambre sonne, je décroche :

“C’est toi qui a changé mon fond d’écran ??? Tu n’as rien d’autre a faire sérieux ???”

Quelques échanges plus tard, il m’annonce que Spybot a terminé son analyse et qu’il a des trucs en rouges

 

16h53 – Des signes qui ne trompent pas

J’arrive dans sa chambre et je cherche le dossier dans lequel a été stocké le fond d’écran :

C:\Users\Gben\AppData\Roaming

Je lui glisse un léger “ça pue mec“… Et la BIM :  une image “anonymous” (comme il en existe des milliers sur le net) nous saute au yeux avec la visionneuse windows. Je jette un léger coup d’œil aux connexions en cours et remarque tout de suite que toutes les portes sont ouvertes… Allez on coupe tout et on analyse.

Je briefe rapidement GBen sur l’état actuel des choses :

– Quelqu’un possède un accès à son ordinateur soit de l’extérieur soit par le wifi gratuit
– Tu peux déjà te dire que le mec t’a potentiellement tout pris
– Tu te sens violé… C’est la merde mais peut-être qu’il est toujours en train de te violer alors ne traine pas, il faut agir !!!

 

16h58 – Un dialogue qui met dans le bain

– Heu… Eric… C’est bizarre, j’ai reçu ce mail de Paypal tout à l’heure… Je pensais que c’était un faux alors je l’ai basculé dans les SPAMs, mais je viens d’en recevoir un deuxième et grâce au PC je sais que ce n’est pas du pipeau…

Whhaaattt ??!!! Franchement pourquoi tu n’as pas vérifié direct avec ton portable ?

– J’ai essayé mais je ne me souvenais plus de mon mot de passe alors j’ai préféré attendre d’être rentré car tout mes identifiants et mots de passe sont enregistrés dans mon navigateur.

– Mec, je ne suis pas un expert mais en gros : tu as un mec qui vient de cambrioler ton appart’ numérique, il a peut-être même récupérer tout tes papiers, bon certes il aurait pu faire plus de mal car il nous a mis le fond d’écran ce qui nous a averti de sa présence, mais bon en ce moment il se ballade sur le net avec ton identité !!!!

Pris d’un élan de Sherlock Holmes, je me lance dans une cyber enquête pendant que Gben contacte sa banque et modifie tous ses mots de passe.

 

 

A la recherche de preuves



Analyse de Spybot

Ce logiciel permet de rechercher les spywares, adwares ou trojan présents dans votre système.

Je récupère l’analyse effectué par GBen et fait les comptes :

Ni plus ni moins de 5 RAT (Remote Access Trojan) dans le même dossier “C:\Users\Gben\AppData\Roaming” que celui des images importer par l’agresseur. Voici un de ces RATs :

RAT.PinMon: [SBI $36F1A822] Data (File, nothing done)
C:\Users\Gben\AppData\Roaming\dclogs\2018-10-21-1.dc
Category=Trojans
ThreatLevel=10
Weblink=http://forums.spybot.info/showthread.php?74416
Properties.size=4821
Properties.md5=F630059BDFC04917FDD1B51A8C6BFCF7
Properties.filedate=1540159224
Properties.filedatetext=2018-10-21 22:00:23

“Ouais cool Eric mais c’est quoi un RAT ??”

 

RAT

 

Qu’est ce qu’un RAT ?

RAT = Remote Acces Trojan

Ce trojan, installé par la victime, dissimulé dans une faille (souvent des mises à jour que la victime va facilement accepté), permet d’obtenir un accès à distance avec les privilèges administrateur de la victime.

Une fois le lien en place, l’agresseur a accès à l’intégralité de votre système, exemple :

– la totalité des fichiers (photos, fichiers personnels comme des relevés de compte ou des photocopies de pièces personnelles)
– la Webcam
– le micro
– la modification des bases de registre
– l’installation de programmes

“Oh abusé, bon par contre tu parles un peu chinois là… C’est quoi un trojan ?”

 

Trojan

C’est la pause “mythologie grecque” du professeur Eric :

Pendant dix ans, une armée s’est cassée les dents a essayer de prendre la ville de Troie sans jamais y parvenir. Alors, un gonze appelé Ulysse a eu une idée : “On va construire un putain de cheval en bois à leur offrir et on va se cacher dedans pour entrer dans la ville en même temps”

Bon l’idée est un peu grosse mais il faut se remettre dans le contexte, ça fait dix ans qu’ils galèrent… Du coup pourquoi pas ?

Ulysse offre ce cheval aux troyens. Deux qui se sont méfier : Laocoon et Cassandre, mais bon, Ulysse a annoncé “Je vous offre ceci en guise de trêve, si vous l’acceptez, on arrête de vous attaquer, et en plus on vous file des vivres et des femmes.”

Alléchant ! Alors les troyens ont accepté le cheval, et après avoir surveiller que les mecs se tirent, ils ont baissé leur garde et se la sont collée ! BBQ, femmes et alcool à gogo !!!!

Une fois les troyens bien rognés, les quelques soldats d’Ulysse sont sortis du cheval et ont ouvert la porte !!!! Ulysse et ses potos ont débarqué et ont zigouillé toute la viande saoule qui trainaient là !!!!

 

Voici ce qu’est un cheval de Troie (Trojan horse en anglais) :

C’est une fonctionnalité malveillante, cachée dans un logiciel ou une mise à jour qui sera installée avec l’accord de l’utilisateur bien sûr.

 

Historique du navigateur

Ce dernier n’est pas à négliger, je n’ai pas la connaissance nécessaire pour affirmer qu’un hackeur puisse ou non récupérer les mots de passe présent dans Chrome sachant que ces derniers sont encryptés avant d’être stockés dans le système.

 

 

Lors de nos recherches, il a fallu réfléchir à l’heure, car là où nous sommes nous avons 6h de moins qu’en France, et GBen a laissé l’heure française sur son PC.

15h56 heure locale = 21h56 heure FR

 

On fait le lien avec le mail de PayPal confirmant le virement à 15h59.

 

15h59 heure locale = 21h59 heure FR

 

On en conclut que l’attaquant n’a peut-être pas les compétences pour récupérer les mots de passe mais a simplement utilisé le navigateur et laissé faire le remplissage automatique. Nous avons recensé tous les identifiants et mots de passe présents dans la base de données de Chrome afin que GBen liste toutes ses actions de modification de mots de passe a effectuer (car il en restait par rapport à ses premières actions).

 

Traqueur d’activité

J’ai recours à un logiciel libre dont parle le blog du hackeur que vous retrouverez ici.

 

Présentation lastactivtyview

1. Jour de l’agression

J’ai observé l’activité lors de son absence et je n’ai trouvé que :

==================================================
Action Time : 23/10/2018 22:09:53 ---> Heure locale = 16h09
Description : Task Run
Filename : dimsjob.dll
Full Path : C:\Windows\system32\dimsjob.dll
More Information : SystemTask, \Microsoft\Windows\CertificateServicesClient\SystemTask
File Extension : dll
==================================================

==================================================
Action Time : 23/10/2018 17:37:53  ---> Heure locale = 11h37
Description : Run .EXE file
Filename : makecab.exe
Full Path : C:\Windows\SysWOW64\makecab.exe
More Information : Microsoft Corporation, Microsoft® Windows® Operating System, Microsoft® Cabinet Maker, 6.1.7600.16385 (win7_rtm.090713-1255)
File Extension : exe
==================================================

Après quelques recherches, il s’avère que makecab.exe est un fichier souvent facilement infecté, par contre, le “dimsjob.dll” aura un comportement particulier et attise ma curiosité (si jamais quelqu’un veut que je lui envoie afin qu’il puisse le décompressé et l’analyser, j’en serais ravi).

 

2. Jour de l’installation du RAT

Ce dernier me permet de pouvoir remonter à la première infection du RAT le 12 octobre 2018.

==================================================
Action Time : 12/10/2018 16:17:55
Description : System Shutdown
Filename :
Full Path :
More Information :
File Extension :
==================================================

==================================================
Action Time : 12/10/2018 16:17:54
Description : User Logoff
Filename :
Full Path :
More Information : Gben-PC\Gben
File Extension :
==================================================

==================================================
Action Time : 12/10/2018 16:05:12
Description : Software Crash
Filename : Explorer.EXE
Full Path : C:\Windows\Explorer.EXE
More Information : Explorer.EXE, 6.1.7601.23537, 57c44efe, ntdll.dll, 6.1.7601.23915, 59b94ee4, c015000f, 000000000008b0ca, dcc, 01d462348fd05015, C:\Windows\Explorer.EXE, C:\Windows\SYSTEM32\ntdll.dll, d597027d-ce27-11e8-be8d-001eecd5ac3b
File Extension : EXE
==================================================

==================================================
Action Time : 12/10/2018 16:05:09
Description : Software Crash
Filename : Explorer.EXE
Full Path : C:\Windows\Explorer.EXE
More Information : Explorer.EXE, 6.1.7601.23537, 57c44efe, SHELL32.dll, 6.1.7601.23893, 5993136a, c0000005, 00000000000503a2, dcc, 01d462348fd05015, C:\Windows\Explorer.EXE, C:\Windows\system32\SHELL32.dll, d3e2e37a-ce27-11e8-be8d-001eecd5ac3b
File Extension : EXE
==================================================

==================================================
Action Time : 12/10/2018 16:04:53
Description : Software Crash
Filename : Explorer.EXE
Full Path : C:\Windows\Explorer.EXE
More Information : Explorer.EXE, 6.1.7601.23537, 57c44efe, ntdll.dll, 6.1.7601.23915, 59b94ee4, c015000f, 000000000008b0ca, a08, 01d4623084afac99, C:\Windows\Explorer.EXE, C:\Windows\SYSTEM32\ntdll.dll, ca3f3fa9-ce27-11e8-be8d-001eecd5ac3b
File Extension : EXE
==================================================

==================================================
Action Time : 12/10/2018 16:04:48
Description : Software Crash
Filename : Explorer.EXE
Full Path : C:\Windows\Explorer.EXE
More Information : Explorer.EXE, 6.1.7601.23537, 57c44efe, SHELL32.dll, 6.1.7601.23893, 5993136a, c0000005, 00000000000503a2, a08, 01d4623084afac99, C:\Windows\Explorer.EXE, C:\Windows\system32\SHELL32.dll, c733f00f-ce27-11e8-be8d-001eecd5ac3b
File Extension : EXE
==================================================

==================================================
Action Time : 12/10/2018 15:46:20
Description : Software Installation
Filename : FlashUtil32_31_0_0_122_pepper.exe
Full Path : C:\Windows\SysWOW64\Macromed\Flash\FlashUtil32_31_0_0_122_pepper.exe
More Information : Adobe Flash Player 31 PPAPI
File Extension : exe
==================================================

==================================================
Action Time : 12/10/2018 15:43:47
Description : Task Run
Filename : sc.exe
Full Path : C:\Windows\system32\sc.exe
More Information : SvcRestartTask, \OfficeSoftwareProtectionPlatform\SvcRestartTask
File Extension : exe
==================================================

==================================================
Action Time : 12/10/2018 15:36:00
Description : User Logon
Filename :
Full Path :
More Information : WORKGROUP\Gben
File Extension :
==================================================

==================================================
Action Time : 12/10/2018 15:35:42
Description : System Started
Filename :
Full Path :
More Information :
File Extension :
==================================================

Deux programmes ont été exécuté :

– sc.exe
– Une mise à jour d’Adobe

N’oublions pas que le trojan est dissimulé dans un logiciel bénin.

 

 

Enquête



 

TcpView

Afin d’être certains de cette connexion, nous avons mis en place un analyseur de connexions qui nous permit donc d’analyser les portes ouvertes dans notre connexions Internet.

 

Grâce au site Web whois, nous avons récupéré les informations nécessaires à l’identification du lien TCP qui appartient à la société Panda, mais on peut observer une adresse qui envoie un SYN_SENT afin d’avertir une adresse distante, voici les informations révélées par whois :

 

inetnum: 176.162.192.0 – 176.175.255.255
netname: BOUYGTEL
descr: Bouygues Telecom Division Mobile
descr: Pool for APN 2G/3G/4G End users
country: FR
admin-c: NOCB2-RIPE
tech-c: NOCB2-RIPE
status: ASSIGNED PA
mnt-by: BYTEL-MNT
mnt-lower: BYTEL-MNT
created: 2017-03-13T08:32:18Z
last-modified: 2017-03-13T08:32:18Z
source: RIPE

Nous pensons avoir trouvé le coupable car les adresses destinataires des virements PayPal étaient à connotations françaises.

 

 

Dépannage



Voilà, il est quasiment minuit et nous avons fait un bon bout de chemin ce soir. Cependant nous n’avons pas assez d’éléments (et sûrement pas assez de compétences dans le domaine) pour aller plus loin.

Nous attaquons la réparation du laptop de GBen :

extraction et nettoyage des données sensibles et personnelles de Gben (analyse avec Avast et spybot)
formatage de la bête
installation d’un ubuntu, (ça lui suffira, et ce sera plus sûr qu’un logiciel XP non officiel)

 

 

 

CONCLUSION


 

GBen et moi-même ne sommes pas des experts en cyber-attaques et pourtant cette histoire va nous servir. Faites attention à votre “vie numerique”, car notre environnement (personnel et professionnel) est de plus en plus dépendant du cyberespace (Internet).

 

Nous avons créé un moyen mémo technique, il faut “mettre du SAVON :

-> Source : Toujours vérifier les liens, les adresses de sites Web, n’insérer jamais de clef usb dont vous ne connaissez pas la source (clef trouvé par exemple)

-> Analyse : Je conseille d’effectuer une analyse mensuelle à l’aide d’un anti-virus, un anti-malware et un anty-spyware

-> Vpn : Protection de votre identité et surtout lorsque vous utilisez une connexion WiFi gratuite (je vais rédiger un article sur ce risque)

-> Officiel : N’utilisez que des programmes officiels et mettez les à jour régulièrement

-> Naïf : L’utilisateur l’es toujours !!! L’erreur humaine est souvent la cause première d’une infection. Prenez conscience et intéressez vous au monde numérique et surtout aux risques qui y sont liés !!!

 

Merci à GBen d’avoir accordé au site le droit de raconter son histoire et merci au blog du hackeur qui est devenu pour moi un site de référence.

 

En espérant que cette mésaventure puisse vous servir à ne pas vivre pareil !

N’hésitez pas à me la faire savoir !!

FingerInTheNet

Présentation des Wildcard

Wildcard = Masque inverse.

Qui utilise les WildCard mask ?

  • Le protocole OSPF.
  • Le protocole EIGRP.
  • Les Access-list.

Pourquoi ?

  • Vous le découvrirez au fil de la leçon 🙂
Chapitre 1

Présentation des WildCard Mask

Masque de 255.255.255.0 =  Wildcard Mask de 0.0.0.255.

Comme vous l’avez compris, il suffit d’inverser les bits comme nous pouvons le voir dans l’image qui suit :

Wildcard de base
Wildcard de base

Que va faire le Wildcard ?

  • 0 = Ce bit doit être identique au bit de l’adresse fourni.
  • 1 = Ignore ce bit.

Si nous avons un Wildcard de 0.0.0.255, il va donc ignorer le dernier octet et vas se concentrer uniquement sur les 3 premiers octets, notre adresse réseau !

Chapitre 2

Conversion des wildcard mask

1er Octet 3eme Octet

/0 = 0.0.0.0 = 255.255.255.255 /1 = 128.0.0.0 = 127.255.255.255 /2 = 192.0.0.0 = 63.255.255.255 /3 = 224.0.0.0 = 31.255.255.255 /4 = 240.0.0.0 = 15.255.255.255 /5 = 248.0.0.0 = 7.255.255.255 /6 = 252.0.0.0 = 3.255.255.255 /7 = 254.0.0.0 = 1.255.255.255 /8 = 255.0.0.0 = 0.255.255.255

/17 = 255.255.128.0 = 0.0.127.255 /18 = 255.255.192.0 = 0.0.63.255 /19 = 255.255.224.0 = 0.0.31.255 /20 = 255.255.240.0 = 0.0.15.255 /21 = 255.255.248.0 = 0.0.7.255 /22 = 255.255.252.0 = 0.0.3.255 /23 = 255.255.254.0 = 0.0.1.255 /24 = 255.255.255.0 = 0.0.0.255

2eme Octet 4eme Octet

/9 = 255.128.0.0 = 0.127.255.255 /10 = 255.192.0.0 = 0.63.255.255 /11 = 255.224.0.0 = 0.31.255.255 /12 = 255.240.0.0 = 0.15.255.255 /13 = 255.248.0.0 = 0.7.255.255 /14 = 255.252.0.0 = 0.3.255.255 /15 = 255.254.0.0 = 0.1.255.255 /16 = 255.255.0.0 = 0.0.255.255

/25 = 255.255.255.128 = 0.0.0.127 /26 = 255.255.255.192 = 0.0.0.63 /27 = 255.255.255.224 = 0.0.0.31 /28 = 255.255.255.240 = 0.0.0.15 /29 = 255.255.255.248 = 0.0.0.7 /30 = 255.255.255.252 = 0.0.0.3 /31 = 255.255.255.254 = 0.0.0.1 /32 = 255.255.255.255 = 0.0.0.0

Chapitre 3

Objectif des Wildcard mask

Je dois mettre en place une ACL pour protéger deux LAN :

R1(config)# ip access-list extended ACL_Fingerinthenet_01
R1(config-ext-nacl)# remark ************ NETWORK 1 **********
R1(config-ext-nacl)# permit ip 128.168.0.0 0.0.0.255 www.google.fr
R1(config-ext-nacl)# permit ip 128.168.0.0 0.0.0.255 www.fingerinthenet.com
R1(config-ext-nacl)# permit ip 128.168.0.0 0.0.0.255 www.facebook.com
R1(config-ext-nacl)# remark ************ NETWORK 2 **********
R1(config-ext-nacl)# permit ip 192.168.0.0 0.0.0.255 www.google.fr
R1(config-ext-nacl)# permit ip 192.168.0.0 0.0.0.255 www.fingerinthenet.com
R1(config-ext-nacl)# permit ip 192.168.0.0 0.0.0.255 www.facebook.com
R1(config-ext-nacl)# remark ***************** DENY **************
R1(config-ext-nacl)# deny ip any any log

Comment faire pour raccourcir cette ACL en gardant le même niveau de sécurité ? En jouant sur le wildcard mask !

Comment ?

Question à se poser : Quelle est la différence avec ses deux LAN :

  • 1er octet = Le Bit numéro 2 est différent.
  • 2e octet = IDEM.
  • 3e octet = IDEM.
  • 4e octet = /24 donc c’est notre partie client.

Notre but est donc d’ignorer le bit 2 du premier octet et tous les bits du dernier octet.

Nous en concluons donc le Wildcard  64.0.0.255.

Wildcard - Avancée
Wildcard – Avancée
Wildcard - Zoom
Wildcard – Zoom

La règle de flux possédant le réseau 128.168.0.0 et le wildcard 64.0.0.255 va autoriser les flux suivant :

– de 128.128.0.0 a 128.128.0.255.
– de 192.128.0.0 a 192.128.0.255.

Nous pouvons donc en conclure l’ACL suivante :

R1(config)# ip access-list extended ACL_Fingerinthenet_02
R1(config-ext-nacl)# remark ************ NETWORK 1 ET 2 **********
R1(config-ext-nacl)# permit ip 128.168.0.0 64.0.0.255 www.google.fr
R1(config-ext-nacl)# permit ip 128.168.0.0 64.0.0.255 www.fingerinthenet.com
R1(config-ext-nacl)# permit ip 128.168.0.0 64.0.0.255 www.facebook.com
R1(config-ext-nacl)# remark ***************** DENY **************
R1(config-ext-nacl)# deny ip any any log

les access-lists ACL_Fingerinthenet_01 et ACL_Fingerinthenet_02 vont matcher EXACTEMENT LE MÊME FLUX !!!!!

Chapitre 4

Conclusion

  • Configuration simplifiée.
  • Économie de travail CPU.

En espérant que cet article vous a été utile ! N’hésitez pas à me la faire savoir !!

FingerInTheNet.com

OpenVPN sous Pfsense

INTRODUCTION


Problématique de base :

Imaginons que nous ayons une entreprise avec plusieurs sites géographiques.

Chaque site géographique possède sa propre liaison Internet.

Au niveau de la législation française, nous sommes obligés d’authentifier et d’archiver l’activité de nos utilisateurs.

Pour ce faire, nous avons décidé d’installer sur chaque site un serveur PfSense.

Tous nos administrateurs sont au niveau du site principal. Il faut donc que nos administrateurs puissent accéder à distance à chaque serveur PfSense Distant.

Nous allons donc mettre en place une liaison VPN entre notre site principal et nos sites isolés. Cela nous permettra :

– de pouvoir administrer nos sites distants de manière sécurisés
– d’avoir un échange de donnée possible entre nos LAN Internet (enregistrement centralisé des Logs, intégration de nos ordinateurs distants dans un domaine unique, etc.)

 

Avec un serveur PfSense, nous pouvons mettre en place plusieurs types de VPN :

IPSec (nécessite 2 IP WAN fixes)
L2TP (nécessite 2 IP WAN fixes)
OpenVPN (nécessite un seul IP WAN fixe)
PPTP (nécessite 2 IP WAN fixes)

 

Dans notre cas, nous allons partir sur la mise en place d’un OpenVPN.

Pourquoi ? Car ce VPN à l’avantage de fonctionner en mode client/serveur et donc ne nécessite qu’une seul IP WAN Fixe sur un de nos sites.

 

Vu que nous allons raccorder plusieurs OpenVPN sur notre site principal, le plus judicieux est de mettre l’adresse IP publique de notre site principale en fixe.

Tout fournisseur d’accès proposent ce service (généralement payant).

 

 

 

Configuration de notre liaison OpenVPN



Pour ce faire, nous allons configurer ce dernier étape par étape.

Afin de mieux comprendre comment le mettre en place, nous allons commencer au niveau de notre poste d’administration (situé sur la partie serveur).

 

 

Configuration PfSense du site principale



 

Configuration de l’OpenVPN


Jusqu’ici, rien de compliqué. Nous avons un Lan qui va être NATé via l’IP Wan de notre box pour qu’il puisse naviguer sur internet.

La première chose à faire sur notre PfSense c’est de créer notre partie « Serveur ».

Pour ce faire, nous devons aller dans l’onglet « VPN > OpenVPN ».

Dans l’onglet « Serveur », nous allons cliquer sur le petit “+” afin de créer notre serveur OpenVPN.

 

 

Les paramètres à mettre en place sont les suivants :

 

Server Mode : Peer to Peer (Shared Key).

Pour monter notre VPN, nous allons utiliser un secret partagé (shared key).

Ce secret va être commun à tous nos clients ainsi qu’avec notre serveur. Il va falloir le copier-coller à chaque fois que nous allons paramétrer une connexion OpenVPN.

Ce secret est automatiquement généré par le serveur.

Interface : Interface WAN.

IPv4 Tunnel Network : Mettez une adresse réseau type 10.10.10.0 /24 (ce réseau est un réseau privé de classe A).

Le tunnel OpenVPN a besoin de cette information pour fonctionner, il faut juste faire attention à ce que le réseau choisi soit assez grand pour d’accueillir tous nos clients OpenVPN et qu’il ne soit pas utilisé autre part.

Une fois le paramétrage fini, cliquez sur « Save ».

Notre serveur OpenVPN est configuré !

Il ne reste plus qu’à intervenir sur notre firewall afin de laisser passer les flux dont nous avons besoin.

 

Configuration du Firewall


Pour ce faire, aller dans l’onglet « Firewall > Rules ».

On peut voir que chaque interface possède un firewall.

Par défaut, personne ne peut emprunter notre tunnel et toutes les demandes de connexion VPN venant de l’extérieur sont bloquées par le firewall WAN. Nous allons donc autoriser ces flux.

 

Au niveau du firewall OpenVPN :

 

Au niveau du firewall WAN :

 

 

Configuration de notre accès Internet


Par défaut, une box refuse toutes demandes de connexion venant de l’extérieur vu qu’elle ne sait pas à qui cette demande est destinée (vu que la box fait du NAT).

Nous allons donc indiquer à la box que si une demande de connexion VPN vient de l’extérieur, sur le port par défaut utilisé par OpenVPN (UDP 1194), elle devra la rediriger vers notre Pfsense.

Pour ce faire, nous allons mettre en place du port-forwarding (redirection de port).

Vu le nombre de box différentes présentes sur le marché, le mieux est de faire une recherche sur Google avec la référence de la box ainsi que le mot “port-forwarding”.

 

 

Configuration PfSense de nos sites isolés



 

Configuration de l’OpenVPN


La première chose à faire sur notre PfSense c’est de créer notre partie « Client » (vous trouverez la configuration sur l’image ci-dessous).

 

 

 

 

 

 

Server host or address 

Il va falloir mettre l’adresse IP du serveur OpenVPN telle qu’elle est vue sur Internet. Ce sera donc l’adresse IP de la patte WAN de la box « maison mère ».

Comment obtenir cette adresse ? Il faut aller sur le site www.mon-ip.com à partir d’un poste de la maison mère et le tour est joué !

Shared Key

Copier-coller le secret partagé du serveur ici.

IPv4 Tunnel Network

Mettre le même Network que le serveur.

Il ne reste plus qu’à intervenir sur notre firewall afin de laisser passer les flux dont nous avons besoin !

 

Configuration du Firewall


Pour ce faire, aller dans l’onglet « Firewall > Rules ».

Comme c’est le client qui doit faire la demande de connexion, il n’est pas nécessaire d’ajouter une règle au niveau du firewall WAN. Nous allons uniquement intervenir sur le firewall OpenVPN pour ajouter les mêmes règles que la partie serveur :

 

Configuration de notre accès INTERNET


Il n’y à pas d’action à mener sur les BOX Internet de nos sites isolés vu qu’ils sont en mode “Client”. Ce sont eux qui font faire la demande d’ouverture du tunnel OpenVPN.

 

 

Test de bon fonctionnement



Pour tester votre connexion VPN, essayerzd’accéder à la page d’administration du PfSense distant depuis un poste du site principal.

Si cela ne fonctionne pas, il va falloir vérifier les logs de nos firewalls ou si l’un de nos flux n’a pas été bloqué.

Ce schéma de principe peut vous aider dans votre recherche de panne :

 

 

En espérant que vous avez apprécié cet article !

N’hésitez pas à me la faire savoir !!

FingerInTheNet.com