Thème 1 : VPN avec openvpn et ssh
à réaliser par groupes de 1 ou 2 étudiants.
présentation des vpn/openvpn
Cahier des charges
- monter une maquette vmware openvpn en mode tun
- un poste client C1 sur le réseau NAT vmware (il a un ip lui permettant un accès à internet)
- un routeur GW2 avec 2 cartes réseaux :
- une sur le réseau NAT vmware (il a un ip lui permettant un accès à internet)
- une sur le réseau host only avec l'ip 192.168.10.2
- un serveur interne S3 sur hostonly avec l'ip 192.168.10.3
- mettez en place un serveur openvpn en mode tun sur GW de façon à ce que C1 puisse accèder à S3
- C1 continue à accèder à internet directement
- vous expliquerez les éléments pertinents des tables de routage de C1, GW2 et S3.
- évolution de la maquette
- faites évoluer la maquette de façon à ce que C1 accède à internet en passant par le serveur vpn (et continue à accèder à S3).
- vous expliquerez quelles modifications sont nécessaires
- ssh -w : on vous demande de refaire la maquette du cas No 1 en remplaçant openvpn par ssh -w.
date de rendu des projets : 15/03/201 minuit
Thème 2 : VPN avec openvpn: authentification
Cahier des charges
On part sur la base de la maquette openvpn du thème 1. On vous demande
d'étudier les divers modes d'authentification d'openvpn, de les
comparer et de préciser les avantages et inconvénients de chacun. Tous
les modes étudiés devront être testés en pratique sur votre maquette.
Vous incluerez dans votre étude au moins les 5 modes suivants :
- pas d'authentification
- authentification par clef secrète partagée
- authentification par certificats
- authentification par certificats avec création d'une sous-autorité de certification chargée de générer les certificats
- authentification par login/mot de passe
date de rendu des projets : vendredi 15/03/2015 minuit
Thème 3 : authentification
à réaliser seul
On vous demande de mettre en oeuvre et d'étudier 2 solutions
différentes permettant de palier certains problèmes de
l'authentification par mot de passe :
- keylogger sur la machine, personne qui vous regarde pendant la phase de connexion (ou caméra)
- réseau peu sur (i.-e. le trafic est intégralement sniffé)
l'une des deux solutions sera forcément celles des mots de passe jetables (opie). L'autre est laissée à votre libre initiative.
des yubikeys pourront vous être fournies à partir de la mi-avril si nécessaire.
date de rendu des projets : dimanche 26 avril minuit dernier délai (pénalité (dépendant du retard) en cas de retard)