Création d’un VPN avec OpenVPN sous Centos 5

Dans cet article, nous allons créer un point d’accès vpn chargé de router l’ensemble du trafic des clients vpn.
Le système retenu pour créer ce point d’accés est une machine sous Centos 5 sur laquelle nous allons installer le logiciel OpenVPN.

Installation du serveur vpn :

Nous considérons que la machine est déjà installée sous Centos 5 et que les outils de développement y sont également installés (autoconf, automake, gcc, …). SELinux ainsi que IPtables sont désactivés.

Tous d’abord, nous allons installer la librairie lzo (téléchargeable en version 2.04 depuis ici, permettant de compresser en temps réel les flux qui transiteront par le tunnel :

[root@vador sources]# tar zxf lzo-2.04.tar.gz
[root@vador sources]# cd lzo-2.04
[root@vador lzo-2.04]# ./configure --prefix=/usr && make && make install

Nous pouvons ensuite installer openvpn depuis les sources, téléchargeables depuis le site officiel :

[root@vador sources]# tar zxf openvpn-2.1.4.tar.gz
[root@vador sources]# cd openvpn-2.1.4
[root@vador openvpn-2.1.4]# ./configure --prefix=/usr --sysconfdir=/etc/openvpn
[root@vador openvpn-2.1.4]# make && make install
[root@vador openvpn-2.1.4]# cp sample-scripts/openvpn.init /etc/init.d/
[root@vador openvpn-2.1.4]# chmod +x /etc/init.d/openvpn.init
[root@vador openvpn-2.1.4]# cd plugin/auth-pam/
[root@vador openvpn-2.1.4]# make
[root@vador auth-pam]# mkdir /usr/lib/openvpn
[root@vador auth-pam]# cp openvpn-auth-pam.so /usr/lib/openvpn/

Nous allons ensuite générer les certificats :

[root@vador auth-pam]# cd ../..
[root@vador openvpn-2.1.4]# cd easy-rsa/2.0/
[root@vador 2.0]# vi vars
[root@vador 2.0]# . ./vars
[root@vador 2.0]# ./clean-all
[root@vador 2.0]# ./build-ca
[root@vador 2.0]# ./build-key-server server
[root@vador 2.0]# ./build-dh
[root@vador 2.0]# mkdir -p /etc/openvpn/keys
[root@vador 2.0]# cp keys/ca.crt /etc/openvpn/keys/
[root@vador 2.0]# cp keys/ca.key /etc/openvpn/keys/
[root@vador 2.0]# cp keys/server.crt /etc/openvpn/keys/
[root@vador 2.0]# cp keys/server.key /etc/openvpn/keys/
[root@vador 2.0]# cp keys/dh1024.pem /etc/openvpn/keys/

Le fichier ca.crt sera a distribuer sur les clients.
Créons le fichier de configuration d’OpenVPN /etc/openvpn/openvpn.conf :

port 1194
proto udp
dev tun0

ca /etc/openvpn/keys/ca.crt
cert /etc/openvpn/keys/server.crt
key /etc/openvpn/keys/server.key
dh /etc/openvpn/keys/dh1024.pem


server 10.8.0.0 255.255.255.0
ifconfig-pool-persist ipp.txt

client-to-client

keepalive 10 120

comp-lzo
max-clients 100

user nobody
group nobody

# of the privilege downgrade.
persist-key
persist-tun

status /var/log/openvpn-status.log
log-append  /var/log/openvpn.log

verb  4

client-cert-not-required
plugin /usr/lib/openvpn/openvpn-auth-pam.so login

push "redirect-gateway def1"
push "dhcp-option DNS xxx.xxx.xxx.xxx"  #Optionnel : Adresse IP du serveur dns 

Ainsi configuré, OpenVPN écoutera sur le port 1194/udp et l’authentification se fera via login/mot de passe grace aux PAM. Ainsi, chaque utilisateur ayant un compte sur la machine pourra se connecter au VPN.
Il est possible d’aller plus loin en configurant les pam pour aller chercher les informations dans un annuaire LDAP par exemple.
La directive push « redirect-gateway def1 » permet de rediriger l’ensemble du trafic des clients via le VPN.
verb 4 pourra être diminué par la suite afin de rendre les logs moins volumineux.

[root@vador openvpn]# touch /var/log/openvpn.log
[root@vador openvpn]# touch /var/log/openvpn-status.log
[root@vador openvpn]# chown nobody:nobody /var/log/openvpn*.log

Nous pouvons ensuite demarrer openvpn grace à la commande :

/etc/init.d/openvpn.init start

Créons ensuite le script /etc/rc.d/rc.firewall qui permettra de masquerader le traffic provenant de l’interface virtuelle tun0.

#!/bin/sh
/sbin/modprobe iptable_nat
/sbin/modprobe ip_nat_ftp
echo 1 > /proc/sys/net/ipv4/ip_forward
/sbin/iptables -F FORWARD
/sbin/iptables -F INPUT
/sbin/iptables -A FORWARD -s 10.8.0.0/24 -j ACCEPT
/sbin/iptables -A FORWARD -i tun0 -o eth0 -j ACCEPT
/sbin/iptables -A INPUT -s 10.8.0.0/24 -j ACCEPT
/sbin/iptables -t nat -A POSTROUTING -s 10.8.0.0/24 -j MASQUERADE

Rendons le exécutable avec la commande :

chmod +x /etc/rc.d/rc.firewall

et nous pouvons modifier le fichier /etc/rc.local afin que rc.firewall soit lancé au démarrage de la machine.
La configuration du point d’accés et désormais terminée. Il faut juste s’assurer que le port 1194/udp est ouvert pour les clients.

Configuration d’un client vpn sous linux :

Pour cet exemple, nous allons configurer un client fonctionnant sous Ubuntu. Installons le plugin openvpn pour le networkmanager :

sudo apt-get install network-manager-openvpn-gnome

Il faut ensuite redemarrer le network-manager (ou la machine pour les plus fénéants 🙂 ).

Sur l’applet de configuration de réseau, nous choisissons « Configurer le VPN » :

La passerelle est l’adresse IP de notre serveur OpenVPN.
Le certificat du ca est le fichier ca.crt récupéré du répertoire /etc/openvpn/keys sur le serveur.

Cliquer sur « Avancé » et activer la compression lzo :

Après activation du vpn, à l’aide de la commande traceroute, nous voyons bien que le traffic passe par le vpn (10.8.0.1) :

Configuration d’un client vpn sous windows :

Il faut installer le logiciel Openvpn-GUI disponible ici. Installer le pilote
TAP-Win32 (soit depuis l’installation, soit depuis le menu demarrer->openvpn).

Dans le répertoire c:\program files\openvpn\config, placer le fichier ca.crt récupéré sur le serveur.

Éditer un fichier c:\program files\openvpn\config\client.ovpn :

### Client configuration file for OpenVPN
client
dev tun
remote 192.168.0.10 1194   # Adresse & port du serveur openvpn
proto udp
nobind
resolv-retry infinite
persist-key
persist-tun
ca ca.crt
cipher BF-CBC
comp-lzo
verb 3
auth-user-pass
route-method exe
route-delay 2

La connexion au vpn se fait par un clic droit sur l’icone openvpn dans la zone de notification et en cliquant sur connect.

Protéger Apache de slowloris

Slowloris est un exploit permettant de faire un DoS sur beaucoup de serveurs web (Apache 1.x, 2.x, dhttpd,…). Slowloris garde les connections vers le serveur HTTP ouvertes en envoyant des requêtes partielles et continue d’envoyer régulièrement des entêtes afin d’éviter la fermeture des sockets.

Slowloris nécessite deux modules PERL installables avec la commande :

perl -MCPAN -e ‘install IO::Socket::INET’
perl -MCPAN -e ‘install IO::Socket::SSL’

L’attaque se fait en suite avec la commande :

./slowloris -dns www.monserveur.com -port 80

Slowloris nécessite que toutes les sockets du serveurs soient libres avant de pouvoir bloquer entierement le serveur web, ce qui peut prendre un certain temps sur les sites chargés.

A l’heure actuelle, apache ne possède pas de directives de configuration permettant de se protéger contre ce genre d’attaque.

Il est possible de détecter facilement  les attaques  effectuées à l’aide de Slowloris car elles génèrent des erreurs de type « internal dummy connections » ou bien des messages  stipulant l’incapacité de lire les headers HTTP dans les logs d’apache.

Analysons deux méthodes pour se protéger :

1. Installation de  mod_antiloris sur centos & apache v2

mod_antiloris permet de se protéger contre slowloris en comptant le nombre de connexions simultanées par adresse ip et en interdisant toute nouvelle connexion ayant dépassé un nombre limite autorisé (5 par défaut).mod_antiloris fonctionne sur Apache v2

L’installation se fait par :

yum install httpd-devel
wget  ftp://ftp.monshouwer.eu/pub/linux/mod_antiloris/mod_antiloris-0.4.tar.bz2
tar jxf mod_antiloris-0.4.tar.bz2
cd mod_antiloris-0.4
apxs -a -i -c mod_antiloris.c
service httpd restart

Le nombre de requête simultanées autorisé peut être modifié via la directive ipreadlimit dans le fichier de configuration d’apache.

2. Utilisation d’iptables

Une autre façon de se protéger d’une attaque de slowloris est d’utiliser des règles iptables.
Slowloris  utilise différents port sources pour chaque connexion. De ce fait, chaque connexion est vue comme étant
nouvelle . Il est donc possible  de limiter le nombre de nouvelles connexions pour une adresse IP donnée durant un certain laps de temps.

Exemple :

iptables -I INPUT -p tcp -m state –state NEW –dport 80 -m recent –name antislowloris –set

iptables -I INPUT -p tcp -m state –state NEW –dport 80 -m recent –name antislowloris –update –seconds 10–hitcount 5 -j DROP

iptables -A INPUT -p tcp –dport 80 -j ACCEPT

Dans cet exemple, on limite le nombre à 5 nouvelles connexions par adresse IP toutes les 10 secondes et on rejette les autres paquets provenant de cette adresse IP lorsque le seuil est dépassé.

On peut cependant remarquer les limitations de ces méthodes : la protection peut générer un certain nombre de rejets indésirables sur les serveurs chargés, notamment lorsque les « clients » passent par une passerelle NAT ou un proxy pour atteindre le serveur.

Une solution plus adaptée est donc de mettre en place un reverse proxy non vulnérable en amont du serveurs apache.

3. Utilisation de HAProxy

HAProxy est un reverse proxy servant a faire du load-balancing HTTP. Il a l’avantage de ne pas être vulnérable. L’idée est la suivante : le serveur HAProxy écoute sur le port 80/TCP et redirige les requêtes sur le port 8080/TCP (port sur lequel Apache sera en écoute).

Installation de HAProxy :

wget http://haproxy.1wt.eu/download/1.3/src/haproxy-1.3.22.tar.gz
tar zxf haproxy-1.3.22.tar.gz
cd haproxy-1.3.22
make TARGET=linux26 ARCH=i386
make install

Éditons ensuite un nouveau fichier /etc/haproxy.cfg (adapté depuis l’exemple fourni ici ) :

haproxy

Pour démarrer HAProxy, il suffit de placer dans /etc/rc.local la ligne (arrêtez Apache auparavant s’il écoute sur le port 80/TCP) :

/usr/local/sbin/haproxy -f /etc/haproxy.cfg &

Il faut ensuite changer le port d’écoute d’apache dans le fichier httpd.conf pour le faire écouter sur le port 8080/TCP en lieu et place du port 80/TCP :

# Port 80
Port 8080

Pensez également à changer les éventuelles références au port 80 dans les définitions des vhosts si vous en avez.
Redémarrer apache. Il est bien évident que le port 8080/tcp ne doit pas être accessible depuis l’extérieur.

Si l’on regarde les logs apache, on s’aperçoit que toutes les requêtes proviennent de l’adresse 127.0.0.1. Normal, puisque c’est HAProxy qui relaie les requêtes.Il faut donc installer un module apache nommé mod_rpaf pour pouvoir avoir des logs apache exploitables possédant la véritable adresse IP du client :

wget http://stderr.net/apache/rpaf/download/mod_rpaf-0.6.tar.gz
tar zxf mod_rpaf-0.6.tar.gz
cd mod_rpaf-0.6
apxs -i -a -c mod_rpaf.c    (pour apache v1)
apxs -i -c -n mod_rpaf-2.0.so mod_rpaf-2.0.c   (pour apache v2)

Il faut ensuite modifier le fichier httpd.conf :

RPAFenable On
RPAFsethostname On
RPAFproxy_ips 127.0.0.1 10.0.0.1
RPAFheader X-Forwarded-For

Et redémarrer le serveur Web.