Je cherche depuis quelques temps à monter sur un de mes serveurs un accès
VPN qui permettrait à mes users d'accéder au réseau intene de l'entreprise
depuis chez eux, jusque là rien de bien extraordinaire...
Les postes de mes clients sont sous windows (2000 et XP principalement)
existe-t-il des projets open-source que me permettraient de monter un
serveur VPN à même d'authentifier des machines Windows ? Je suppose que pour
le protocole PPTP cela ne devrait pas poser de problème mais existe-t-il
l'équivalent pour l'authentification MS-CHAP v2 ?
Bon voilà déjà une partie de mon problème voici maintenant le seconde ! ;)
Le serveur sur lequel tournera le deamon VPN exécuté également un anti-virus
de passerelle (Trend InterScan VirusWall pour ne pas le citer) et j'aimerai
autant ne pas avoir à re-compiler le noyau car cet anti-virus est certifié
par Trend pour fonctionner avec ma distrib (RedHat 7.2 noyau 2.4.9) avec le
kernel "par défaut" et j'ai peur qu'en recompilant ce dernier je ne fasse
"sauter" mon droit au support si jamais d'aventure je venais à avoir un
soucis avec Interscan ... du genre "oui, mais vous avez touché au noyau et
dans ce cas nous pouvons plus garantir le bon fonctionnement blablablabla"
vous connaissez la rengaine.
Hors, d'après le peu de connaissance que j'ai un serveur VPN sous linux j'ai
vu que bons nombre d'entre eux nécessitaient soit une recompilation du
noyau, soit l'application d'un patch au noyau puis re-compilation etc.
Ma question est donc la suivante : Connaissez vous un projet open-source de
qualité qui me permettrait de monter un serveur VPN sur mon serveur en ayant
à toucher un minimum( et dans l'idéal pas du tout) au noyau. Le tout
tournant sur une redhat 7.2
Par avance je vosu remercie de votre aide et je vous souhaite à tous (et à
toutes) de passer de bonnes fêtes.
Je pensais PPTP sûr. Tu as une référence sur le sujet ?
PPTP n'assure pas l'intégrité des paquets transmis et ne propose pas, pour autant que je sache, d'autre possibilité d'authentification que PAP/CHAP/MsCHAP/MsCHAPv2 dans son implémentation de base. Sinon, je ne connais pas de faille dans le design.
PoPToP, parce qu'il repose directement sur pppd, doit pouvoir utiliser toutes les méthodes d'authentification supportées par lui, donc à priori EAP et par voie de conséquence des trucs un peu plus forts, en particulier de l'authentification mutuelle et de l'authentification forte.
En outre, PPTP a comme côté sympa de s'appuyer sur un tunnel GRE, ce qui permet d'y faire passer autre chose que de l'IP. Ceci dit, je préfère largement L2TP.
-- BOFH excuse #341:
HTTPD Error 666 : BOFH was here
Dans sa prose, Vincent Bernat nous ecrivait :
Je pensais PPTP sûr. Tu as une référence sur le sujet ?
PPTP n'assure pas l'intégrité des paquets transmis et ne propose pas,
pour autant que je sache, d'autre possibilité d'authentification que
PAP/CHAP/MsCHAP/MsCHAPv2 dans son implémentation de base. Sinon, je ne
connais pas de faille dans le design.
PoPToP, parce qu'il repose directement sur pppd, doit pouvoir utiliser
toutes les méthodes d'authentification supportées par lui, donc à
priori EAP et par voie de conséquence des trucs un peu plus forts, en
particulier de l'authentification mutuelle et de l'authentification forte.
En outre, PPTP a comme côté sympa de s'appuyer sur un tunnel GRE, ce qui
permet d'y faire passer autre chose que de l'IP. Ceci dit, je préfère
largement L2TP.
Je pensais PPTP sûr. Tu as une référence sur le sujet ?
PPTP n'assure pas l'intégrité des paquets transmis et ne propose pas, pour autant que je sache, d'autre possibilité d'authentification que PAP/CHAP/MsCHAP/MsCHAPv2 dans son implémentation de base. Sinon, je ne connais pas de faille dans le design.
PoPToP, parce qu'il repose directement sur pppd, doit pouvoir utiliser toutes les méthodes d'authentification supportées par lui, donc à priori EAP et par voie de conséquence des trucs un peu plus forts, en particulier de l'authentification mutuelle et de l'authentification forte.
En outre, PPTP a comme côté sympa de s'appuyer sur un tunnel GRE, ce qui permet d'y faire passer autre chose que de l'IP. Ceci dit, je préfère largement L2TP.
-- BOFH excuse #341:
HTTPD Error 666 : BOFH was here
Julien Bordet
Julien Bordet wrote:
olafkewl wrote:
On 23 Dec 2003 12:48:20 GMT, Nicob wrote:
Ca, c'est pour IPsec (qui est d'ailleurs très bientôt intégré au noyau) Pour PPTP, même avec MSCHAP v2, il ne me semble pas qu'on touche au noyau.
oui, mais il faut patcher pppd ? non ?
oui, mais de nombreuses distributions (dont Mandrake, pour ne pas la citer), propre des rpms de pppd incluant ce patch.
s/propre/proposent/
Sorry
Julien Bordet wrote:
olafkewl wrote:
On 23 Dec 2003 12:48:20 GMT, Nicob <nicob@I.hate.spammers.com> wrote:
Ca, c'est pour IPsec (qui est d'ailleurs très bientôt intégré au noyau)
Pour PPTP, même avec MSCHAP v2, il ne me semble pas qu'on touche au
noyau.
oui, mais il faut patcher pppd ? non ?
oui, mais de nombreuses distributions (dont Mandrake, pour ne pas la
citer), propre des rpms de pppd incluant ce patch.
Ca, c'est pour IPsec (qui est d'ailleurs très bientôt intégré au noyau) Pour PPTP, même avec MSCHAP v2, il ne me semble pas qu'on touche au noyau.
oui, mais il faut patcher pppd ? non ?
oui, mais de nombreuses distributions (dont Mandrake, pour ne pas la citer), propre des rpms de pppd incluant ce patch.
s/propre/proposent/
Sorry
Erwann ABALEA
On 24 Dec 2003, Vincent Bernat wrote:
OoO En ce milieu de nuit étoilée du mardi 23 décembre 2003, vers 04:48, Erwann ABALEA disait:
Les postes de mes clients sont sous windows (2000 et XP principalement) existe-t-il des projets open-source que me permettraient de monter un serveur VPN à même d'authentifier des machines Windows ? Je suppose que pour le protocole PPTP cela ne devrait pas poser de problème mais existe-t-il l'équivalent pour l'authentification MS-CHAP v2 ?
Laisse tomber PPTP, MS-CHAP, MS-CHAPv2, ces protocoles sont troués.
Je pensais PPTP sûr. Tu as une référence sur le sujet ?
PPTP est propre et robuste si les algos utilisés sont eux aussi propres et robustes, ce qui n'est pas le cas si on fait du MS-CHAP ou MS-CHAPv2 (voir les cryptanalyses de Schneier et Mudge). Sous Windows, en natif, il semblerait qu'on ne puisse faire que du MS-CHAP ou MS-CHAPv2. Dans ce cas, PPTP n'est pas une solution, à moins bien sûr d'avoir un client PPTP qui supporte autre chose (TLS, ou n'importe quoi d'autre et de mieux pensé). Pour le chiffrement, je ne suis pas non plus certain que Microsoft Windows supporte autre chose que MPPE, et la première version est particulièrement faible (utiliser 2 fois une clé RC4, ça ne pardonne pas).
-- Erwann ABALEA - RSA PGP Key ID: 0x2D0EABD5 ----- Enfin, si vous pouviez me donner des détails sur ces petites choses qui agrémentent la vie de tous les jours sur le Net, ça m'intéresse. Si tu es blonde à forte poit .. heu non la je m'égare .. -+-TIB in <http://neuneu.mine.nu> : Si mamelle s'y met... -+-
On 24 Dec 2003, Vincent Bernat wrote:
OoO En ce milieu de nuit étoilée du mardi 23 décembre 2003, vers
04:48, Erwann ABALEA <erwann@abalea.com> disait:
Les postes de mes clients sont sous windows (2000 et XP
principalement) existe-t-il des projets open-source que me
permettraient de monter un serveur VPN à même d'authentifier des
machines Windows ? Je suppose que pour le protocole PPTP cela ne
devrait pas poser de problème mais existe-t-il l'équivalent pour
l'authentification MS-CHAP v2 ?
Laisse tomber PPTP, MS-CHAP, MS-CHAPv2, ces protocoles sont troués.
Je pensais PPTP sûr. Tu as une référence sur le sujet ?
PPTP est propre et robuste si les algos utilisés sont eux aussi propres et
robustes, ce qui n'est pas le cas si on fait du MS-CHAP ou MS-CHAPv2 (voir
les cryptanalyses de Schneier et Mudge). Sous Windows, en natif, il
semblerait qu'on ne puisse faire que du MS-CHAP ou MS-CHAPv2. Dans ce cas,
PPTP n'est pas une solution, à moins bien sûr d'avoir un client PPTP qui
supporte autre chose (TLS, ou n'importe quoi d'autre et de mieux pensé).
Pour le chiffrement, je ne suis pas non plus certain que Microsoft Windows
supporte autre chose que MPPE, et la première version est particulièrement
faible (utiliser 2 fois une clé RC4, ça ne pardonne pas).
--
Erwann ABALEA <erwann@abalea.com> - RSA PGP Key ID: 0x2D0EABD5
-----
Enfin, si vous pouviez me donner des détails sur ces petites choses qui
agrémentent la vie de tous les jours sur le Net, ça m'intéresse.
Si tu es blonde à forte poit .. heu non la je m'égare ..
-+-TIB in <http://neuneu.mine.nu> : Si mamelle s'y met... -+-
OoO En ce milieu de nuit étoilée du mardi 23 décembre 2003, vers 04:48, Erwann ABALEA disait:
Les postes de mes clients sont sous windows (2000 et XP principalement) existe-t-il des projets open-source que me permettraient de monter un serveur VPN à même d'authentifier des machines Windows ? Je suppose que pour le protocole PPTP cela ne devrait pas poser de problème mais existe-t-il l'équivalent pour l'authentification MS-CHAP v2 ?
Laisse tomber PPTP, MS-CHAP, MS-CHAPv2, ces protocoles sont troués.
Je pensais PPTP sûr. Tu as une référence sur le sujet ?
PPTP est propre et robuste si les algos utilisés sont eux aussi propres et robustes, ce qui n'est pas le cas si on fait du MS-CHAP ou MS-CHAPv2 (voir les cryptanalyses de Schneier et Mudge). Sous Windows, en natif, il semblerait qu'on ne puisse faire que du MS-CHAP ou MS-CHAPv2. Dans ce cas, PPTP n'est pas une solution, à moins bien sûr d'avoir un client PPTP qui supporte autre chose (TLS, ou n'importe quoi d'autre et de mieux pensé). Pour le chiffrement, je ne suis pas non plus certain que Microsoft Windows supporte autre chose que MPPE, et la première version est particulièrement faible (utiliser 2 fois une clé RC4, ça ne pardonne pas).
-- Erwann ABALEA - RSA PGP Key ID: 0x2D0EABD5 ----- Enfin, si vous pouviez me donner des détails sur ces petites choses qui agrémentent la vie de tous les jours sur le Net, ça m'intéresse. Si tu es blonde à forte poit .. heu non la je m'égare .. -+-TIB in <http://neuneu.mine.nu> : Si mamelle s'y met... -+-
Vincent Bernat
OoO La nuit ayant déjà recouvert d'encre ce jour du mardi 23 décembre 2003, vers 23:26, Cedric Blancher disait:
Dans sa prose, Vincent Bernat nous ecrivait :
Je pensais PPTP sûr. Tu as une référence sur le sujet ?
PPTP n'assure pas l'intégrité des paquets transmis et ne propose pas, pour autant que je sache, d'autre possibilité d'authentification que PAP/CHAP/MsCHAP/MsCHAPv2 dans son implémentation de base. Sinon, je ne connais pas de faille dans le design.
En gros, dans Windows, il n'y a rien inclus en standard pour faire des VPN ? On peut directement lui coller un IPsec pris sur le site de MS ? -- BOFH excuse #375: Root name servers corrupted.
OoO La nuit ayant déjà recouvert d'encre ce jour du mardi 23 décembre
2003, vers 23:26, Cedric Blancher <blancher@cartel-securite.fr>
disait:
Dans sa prose, Vincent Bernat nous ecrivait :
Je pensais PPTP sûr. Tu as une référence sur le sujet ?
PPTP n'assure pas l'intégrité des paquets transmis et ne propose
pas, pour autant que je sache, d'autre possibilité
d'authentification que PAP/CHAP/MsCHAP/MsCHAPv2 dans son
implémentation de base. Sinon, je ne connais pas de faille dans le
design.
En gros, dans Windows, il n'y a rien inclus en standard pour faire des
VPN ? On peut directement lui coller un IPsec pris sur le site de MS ?
--
BOFH excuse #375:
Root name servers corrupted.
OoO La nuit ayant déjà recouvert d'encre ce jour du mardi 23 décembre 2003, vers 23:26, Cedric Blancher disait:
Dans sa prose, Vincent Bernat nous ecrivait :
Je pensais PPTP sûr. Tu as une référence sur le sujet ?
PPTP n'assure pas l'intégrité des paquets transmis et ne propose pas, pour autant que je sache, d'autre possibilité d'authentification que PAP/CHAP/MsCHAP/MsCHAPv2 dans son implémentation de base. Sinon, je ne connais pas de faille dans le design.
En gros, dans Windows, il n'y a rien inclus en standard pour faire des VPN ? On peut directement lui coller un IPsec pris sur le site de MS ? -- BOFH excuse #375: Root name servers corrupted.
Cedric Blancher
Dans sa prose, Vincent Bernat nous ecrivait :
En gros, dans Windows, il n'y a rien inclus en standard pour faire des VPN ?
Pour faire un vrai VPN, dûment authentifié, non. Tout ce qu'on a, c'est PPTP, avec les faiblesses évoquées par Erwann et ses carences en authentification, sans compter que c'est client/serveur. On pourrait certes faire du gateway/gateway avec, mais c'est clairement pas fait pour.
On peut directement lui coller un IPsec pris sur le site de MS ?
Win2k/XP/2003 supportent IPSEC en standard. Utiliser un autre OS de chez MS relève de la douce gangrène mentale :
. Win9x/Me n'ont aucune sécurité et ne sont que source de problèmes . WinNT4 WS n'est plus supporté par MS depuis le 20 juin 2003[1] . WinNT4 Server ne sera plus supporté à partir du 31 décembre 2003[2]
Bonne année, et bonne migration, à tous les possesseurs de serveurs NT4... Les gens taquins diront qu'après l'an 2000, l'an 2004 devrait passer comme un lettre à la poste ;)
-- TM> C'est cense representer quoi les ^W^W^" ? Ca représente toute l'étendue de l'incommensurable incapacité à comprendre Usenet de certains neuneus. -+- MLG in Guide du Neuneu d'Usenet : Usenet 1 - Neuneu 0 -+-
Dans sa prose, Vincent Bernat nous ecrivait :
En gros, dans Windows, il n'y a rien inclus en standard pour faire des VPN
?
Pour faire un vrai VPN, dûment authentifié, non. Tout ce qu'on a, c'est
PPTP, avec les faiblesses évoquées par Erwann et ses carences en
authentification, sans compter que c'est client/serveur. On pourrait
certes faire du gateway/gateway avec, mais c'est clairement pas fait pour.
On peut directement lui coller un IPsec pris sur le site de MS ?
Win2k/XP/2003 supportent IPSEC en standard. Utiliser un autre OS de chez
MS relève de la douce gangrène mentale :
. Win9x/Me n'ont aucune sécurité et ne sont que source de problèmes
. WinNT4 WS n'est plus supporté par MS depuis le 20 juin 2003[1]
. WinNT4 Server ne sera plus supporté à partir du 31 décembre 2003[2]
Bonne année, et bonne migration, à tous les possesseurs de serveurs
NT4... Les gens taquins diront qu'après l'an 2000, l'an 2004 devrait
passer comme un lettre à la poste ;)
--
TM> C'est cense representer quoi les ^W^W^" ?
Ca représente toute l'étendue de l'incommensurable incapacité à
comprendre Usenet de certains neuneus.
-+- MLG in Guide du Neuneu d'Usenet : Usenet 1 - Neuneu 0 -+-
En gros, dans Windows, il n'y a rien inclus en standard pour faire des VPN ?
Pour faire un vrai VPN, dûment authentifié, non. Tout ce qu'on a, c'est PPTP, avec les faiblesses évoquées par Erwann et ses carences en authentification, sans compter que c'est client/serveur. On pourrait certes faire du gateway/gateway avec, mais c'est clairement pas fait pour.
On peut directement lui coller un IPsec pris sur le site de MS ?
Win2k/XP/2003 supportent IPSEC en standard. Utiliser un autre OS de chez MS relève de la douce gangrène mentale :
. Win9x/Me n'ont aucune sécurité et ne sont que source de problèmes . WinNT4 WS n'est plus supporté par MS depuis le 20 juin 2003[1] . WinNT4 Server ne sera plus supporté à partir du 31 décembre 2003[2]
Bonne année, et bonne migration, à tous les possesseurs de serveurs NT4... Les gens taquins diront qu'après l'an 2000, l'an 2004 devrait passer comme un lettre à la poste ;)
-- TM> C'est cense representer quoi les ^W^W^" ? Ca représente toute l'étendue de l'incommensurable incapacité à comprendre Usenet de certains neuneus. -+- MLG in Guide du Neuneu d'Usenet : Usenet 1 - Neuneu 0 -+-
