Qu’on ne le veuille où non, Google est aujourd’hui un outil dont on ne peut se passer. La plupart des services fournis par Google sont de types SaaS (Sofware As A Service) et rentrent dans la famille du Cloud Computing.

Avec ce type de service, Google permet aux petites entreprises par exemple de délaisser leur réseau interne, pour une plate-forme entièrement collaborative et accessible depuis n’importe où via Internet. La seule contrainte : disposer d’un compte Gmail.

Donc que ferais-je sans Google ?

• Sans Google Search, je ne serais pas capable de trouver exactement ce que je veux sur la toile. Il n’y a pas débat à faire, Google est tout simplement le meilleur moteur de recherche sur cette planète. Ceux qui me contredisent n’auront qu’à me donner des exemples, mais à ce que je sache c’est aussi le plus utilisé. D’ailleurs, je me suis toujours demandé l’impact écologique du fond blanc de la page d’accueil qui fait consommer plus d’énergie selon moi…
• Sans Gmail, je n’aurais pas de boite mail regroupant 6 autres adresses provenant de domaines différents, une gestion des contacts synchronisée avec mon téléphone Android, et aussi son Gestionnaire de Tâches qui permet d’écrire des notes rapidement.
• Sans Google Agenda, je ne penserais à rien, et je raterais tous mes rendez-vous. Encore une fois, trouvez-moi un agenda collaboratif aussi puissant que celui-ci : import / export dans différents formats, invitations d’autres contacts à une réunion, etc.
• Sans Google Documents, je me trimbalerais sans cesse avec ma clef USB, et galèrerais à partager des documents avec mes amis ou collègues. Travailler sur un projet n’a jamais été aussi simple ! Ouvrir un document à plusieurs et y mettre des commentaires en direct, répond tout à fait à mes besoins.
• Sans Google Plus, je n’aurais aucun réseau social qui me permettrait de partager des idées avec les gens que je veux, en mélangeant travail et vie personnelle en toute confidentialité.
• Sans Picasa, je ne pourrais pas partager mes plus beaux souvenirs avec mon entourage, et il serait plus compliqué de montrer des photos avec tout le monde à la fois.
• Sans Google Reader, je ne pourrais pas lire tous mes flux RSS préférés à la fois, synchronisés avec mon téléphone portable.
• Sans Google Map, je me serais certainement perdu un bon millier de fois (en voiture grâce à l’application Android « Navigation » et à pied).
• Et enfin, sans Google Labs, chaque produit Google n’aurait aucun sens, et ne communiquerait pas avec les autres (exemple : interactions entre Gmail et l’Agenda).

Bref, j’ai beaucoup d’admiration pour ceux qui travaillent chez Google. Peu importe ce que l’on peut dire à leur sujet, ils auront toujours une longueur d’avance et me feront toujours aimer le web. Merci à eux, et aux concepteurs de tous ces services formidables…

Pour quoi faire : Mise en réseau de sites distants

Matériel minimum : Un serveur sous Debian GNU Linux, et un client sous Linux ou Windows ou MAC.

But : Mettre en place un moyen sécurisé et efficace qui permet d’interconnecter une machine distante dans un Intranet, avec le minimum de moyens possible.

Solution retenue : OpenVPN

Détail du travail : Configurer le PKI OpenSSL, configurer le serveur OpenVPN , puis configurer les clients.

Architecture réseau obtenue :

• Présentation d’OpenVPN

OpenVPN est une solution libre permettant de créer un réseau privé virtuel communément appelé VPN (Virtual Private Network), sur le protocole SSL (Secure Socket Layer).

L’avantage principal d’OpenVPN est de pouvoir interconnecter plusieurs réseaux (ou plusieurs ordinateurs distants) entre eux via une technique de « tunnel », et cela de manière sécurisée à l’aide du protocole SSL. Il existe deux modes de fonctionnement d’OpenVPN :

• le mode « bridge », qui permet d’interconnecter plusieurs réseaux distants.

• le mode « routed », qui permet d’interconnecter des machines distantes, et donc d’appliquer un filtrage plus précis.

• Installation des paquetages serveur

Avant de pouvoir installer les paquetages d’OpenVPN, il est nécessaire d’avoir installé :

• les options du noyau par défaut

• la librairie LZO

• la librairie OpenSSL (ainsi que ses composants de développement)

Tous les paquetages nécessaires se trouvent dans les dépôts officiels.

Sur notre serveur Debian, la commande suivante installera les paquets :

apt-get install openssl libssl-dev liblzo1 liblzo-dev openvpn

Grâce à APT, le système de gestion de paquetages de la distribution Debian, les dépendances seront résolues, et l’application s’installe sans soucis.

• Génération des clés

Pour mettre en place notre infrastructure à clés publiques (PKI), il va falloir générer :

• une clé de pour le protocole d’échange diffie-hellman (dh1024.key)

• une clé et un certificat pour l’autorité de certification (ca.crt, ca.key)

• une clé et un certificat pour le serveur (srv-vpn1.key, srv-vpn1.crt)

• une clé et un certificat pour chaque client (client1.crt, client1.key)

Pour cela, des scripts existent pour simplifier la tâche. Il suffit d’exécuter un terminal en root, et de se déplacer dans le répertoire suivant :

su – root

cd /usr/share/doc/openvpn/examples/easy-rsa/2.0

Création de l’autorité de certification :

Éditer le fichier « vars » afin de paramétrer la PKI :

vim vars

• export KEY_COUNTRY=« FR »

• export KEY_PROVINCE=« France »

• export KEY_CITY= »Paris »

• export KEY_ORG=« Organisation « 

• export KEY_EMAIL=« contact@organisation.fr »

Initialisation des variables :

. ./vars

Ensuite, création du répertoire qui contiendra les clés :

./clean-all

Génération du certificat principal du serveur (ca.crt) et la clé correspondante (ca.key):

./build-ca

Nous confirmons les paramètres en appuyant à chaque fois sur [Entrée], sauf pour le Common Name, où il faut renseigner le « hostname » du serveur (exemple : srv-vpn1).

Création du certificat et de la clé pour le serveur OpenVPN :

./build-key-server srv-vpn1

Nous confirmons les paramètres en appuyant à chaque fois sur [Entrée]. Ce n’est pas la peine de renseigner le paramètre « Challenge Password ».

La signature du certificat se fait en renseignant [Y]qu’il faudra confirmer toujours avec [Y].

Création du certificat et de la clé pour un client OpenVPN :

./build-key client1

Nous confirmons les paramètres en appuyant à chaque fois sur [Entrée]. Chaque Common Name doit être différent pour chaque client (ici, nous renseignerons « client1 »). Ce n’est pas la peine de renseigner le paramètre « Challenge Password ». La signature du certificat se fait en renseignant [Y] qu’il faudra confirmer toujours avec [Y]. Cette procédure est à faire pour chaque client.

Création du paramètre Diffie Hellman :

./build-dh

Mise en place des certificats et des clés :

Copie vers le répertoire du service OpenVPN :

mv ./keys/ca.crt /etc/openvpn/
mv ./keys/serveur.crt /etc/openvpn/
mv ./keys/serveur.key /etc/openvpn/
mv ./keys/dh1024.pem /etc/openvpn/

Création de l’utilisateur du processus OpenVPN :

Dans un soucis de sécurité toujours, nous allons créer le groupe « openvpn », puis l’utilisateur « openvpn » (sans shell, et sans répertoire de connexion) qui exécutera le processus OpenVPN :

groupadd openvpn
useradd -d /dev/null -g openvpn -s /bin/false openvpn

• Configuration du service OpenVPN :

Nous allons partir de l’exemple fournis avec les paquetages :

cd /usr/share/doc/openvpn/examples/sample-config-files/
gunzip server.conf.gz
cp server.conf /etc/openvpn/

vim /etc/openvpn/server.conf

Voici la configuration :

# Port en écoute (pris au hasard par mesure de sécurité)
# Attention à bien configurer le NAT sur le routeur, pour pouvoir rediriger le port vers le serveur
port 2829
 
# Utilisation du protocole UDP, plus sécurisé
proto udp
 
# Configuration de l'interface en mode "routed"
dev tun
 
# Définition des chemins des certificats/clés
ca ca.crt
cert srv-vpn1.crt
key srv-vpn1.key
 
# Paramètres Diffie hellman
dh dh1024.pem
 
# Adresse du réseau virtuel
server 10.8.0.0 255.255.255.0
 
# Indique au client la route vers le réseau Intranet
push "route 172.48.0.0 255.255.255.0"
 
# Indique au client les informations DNS
 
push "dhcp-option DOMAIN organisation.fr"
 
# Ping tous les 10sec, si au bout de 120sec il n'y a pas de réponse alors déconnexion
keepalive 10 120
 
# Compression
comp-lzo
 
# Restriction du processus à un utilisateur
user openvpn
group openvpn
 
# Pour que la connexion persiste
persist-key
persist-tun
 
# Fichier de sorties de logs
status openvpn-status.log
 
# Verbosité standard des logs
verb 4

Redémarrage du service OpenVPN :

/etc/init.d/openvpn restart

Nous allons autoriser le serveur VPN à faire transiter des paquets vers un autre réseau :

echo 1 > /proc/sys/net/ipv4/ip_forward

Pour automatiser le dernier paramètre, il suffit de décommenter la ligne

net.ipv4.ip_forward=1

dans le fichier /etc/sysctl.conf.

• Installation des paquetages client :

• Sur un client Debian, la commande suivante installera les paquets nécessaires :

apt-get install openvpn liblzo1

• Sur un client Microsoft Windows, nous utiliserons le logiciel OpenVPN-GUI (disponible à l’URL http://openvpn.se/download.html)

• Configuration du client :

• Si le client est sous Linux, il faut créer un fichier de configuration situé dans /etc/openvpn :

vim /etc/openvpn/server.conf

• Si le client est sous Windows, il faudra éditer le fichier config situé dans C:\Program Files\OpenVPN\

Voici la configuration :

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20

client
dev tun
proto udp
 
# Adresse IP publique du serveur VPN, et son port d'écoute
remote 220.0.0.1 2829
resolv-retry infinite
nobind
persist-key
persist-tun
ca ca.crt
cert client1.crt
key client1.key
comp-lzo
verb 4
 
# Rajouter ces 2 lignes pour un client Windows Vista
# ou Seven :
route-method exe
route-delay 2

Pour lancer la connexion sur Windows, il suffit de faire un clic droit sur l’icône « OpenVPN » situé à gauche de l’horloge et de choisir l’option « Connecter ».

Sur Linux, un redémarrage du service OpenVPN sera suffisant.

Une fois connecté, le client distant est dans le réseau privé virtuel, qui connait la route vers le réseau Intranet. Le serveur VPN étant la passerelle, les machines de l’Intranet n’ont pas besoin de connaître la route vers le réseau privé.

Pour vérifier l’état de la connexion, ou pour détecter le moindre de soucis, un

tail -f /var/log/syslog

ou encore la lecture du fichier openvpn-status.log renseigne toutes les informations nécessaires.

Pour aller plus loin :

Installer un serveur Proxy dans l’Intranet peut permettre au client de surfer sur Internet comme s’il était dans l’Intranet. Très utile pour déjouer les filtrages réseaux appliqués par certains FAI, ou tout simplement lorsque l’on se trouve derrière un proxy. Les paquets HTTP seront encapsulés dans le tunnel VPN, et décapsulés en sortie, et vice-versa pour le retour.

Voici ce que j’appellerais un mémento des tâches courantes sous Windows 2008 R2 lors du déploiement d’une AD (Active Directory).

• Présentation d’Active Directory

Active Directory est le nom du service d’annuaire LDAP de Microsoft. Son objectif principal est de centraliser les services d’identification et d’authentification à un réseau d’ordinateurs utilisant Windows. Il permet aux administrateurs réseaux la gestion des utilisateurs, le déploiement de logiciels, la gestion des mises à jour, et en règle générale, la gestion des ressources réseau (partages de fichiers, imprimantes, etc).

• Les pré-requis

Pour installer Active Directory, il faut d’abord disposer d’un système Windows Server. L’installation des rôles se fait par différents assistants de configuration. Pour nos clients, ils sont sur Windows Seven.

Informations serveur :

- adresse IP : 192.168.0.1 /24

- nom NetBios : SRV-DOM1

- Contrôleur du domaine : intra.company.com

Nous allons maintenant voir comment créer une unité d’organisation, un groupe, un utilisateur avec un profil errant, donner des droits sur les répertoires, créer un lecteur réseau, et créer des stratégies de groupe.

Nota : Nous utiliserons Powershell comme langage de scripting.

Pour comprendre réellement le fonctionnement, rien de mieux qu’une étude de cas concrète. Une entreprise, un service, des utilisateurs…

• Création de l’OU (Unité d’organisation) « ServiceCompta »
  

$objDomain = [ADSI]« LDAP://localhost:389/dc=intra,dc=company,dc=com »
$objOU = $objDomain.Create(« organizationalUnit », « ou=ServiceCompta »)
$objOU.SetInfo()

• Création du groupe « Chefs » :

$objOU = [ADSI]« LDAP://localhost:389/ou=ServiceCompta,dc=intra,dc=company,dc=com »

$objGroupe = $objOU.Create(« group », « cn=Chefs »)
$objGroupe.Put(« sAMAccountName », « Chefs »)
$objGroupe.SetInfo()

• Création de l’utilisateur « cdubois » :

$objOU = [ADSI]« LDAP://localhost:389/ou=ServiceCompta,dc=intra,dc=company,dc=com »

$objUser = $objOU.Create(« user », « cn=Christine Dubois »)

# sAMAccountName est le seul attribut obligatoire à spécifier pour créer un compte :

$objUser.put(« sAMAccountName », « cdubois »)

# A spécifier pour bénéficier d’une ouverture de session Kerberisée :

$objUser.put(« userprincipalName »,  » cdubois@company.com »)

# Prénom :

$objUser.put(« givenName », « Christine »)

# Nom :

$objUser.put(« sn », « Dubois »)

# Numéro de téléphone :

$objUser.put(« telephoneNumber », « 0193928322″)

# Description :

$objUser.put(« description », « Chef Expert comptable »)

# Nom affiché (celui qui sera visible dans l’annuaire Exchange) :

$objUser.put(« displayName », « Christine Dubois »)

# Chemin du profil (si profil errant) :

$objUser.put(« profilePath« , « \\SRV-DOM1\profils\cdubois« )

# Script d’ouverture de session

$objUser.put(« scriptPath », « logonScript.bat »)

# Chemin du répertoire homedirectory :

$objUser.put(« homeDirectory », « \\SRV-DOM1\users\cdubois »)

# Lettre du répertoire homedirectory :

$objUser.put(« homeDrive », « H: »)

$objUser.SetInfo()

 

→ Il est nécessaire de créer les répertoires profils (qui contiendra les profils itinérants), users (qui contiendra les HomeDirectory), puis un dossier « cdubois » dans le répertoire « users ».

• Ajout de l’utilisateur « Christine Dubois » au groupe « Chefs » :

$groupe = [ADSI]« LDAP://localhost:389/cn=Chefs,ou=ServiceCompta,dc=intra,dv=company,dc=com
$utilisateur = « CN=Christine Dubois,ou=ServiceCompta,dc=intra,dc=company,dc=com »
$groupe.member += $utilisateur
$groupe.psbase.commitchanges()

• Vérification des membres du groupe « Chefs » :

$groupe = ([ADSI]« LDAP://localhost/cn=Chefs,ou=ServiceCompta,dc=intra,dc=company,dc=com »)
$groupe.member

• Création d’un répertoire commun pour le service Comptabilité :

Nous allons créer un dossier D:\Partages, puis un dossier « ServiceCompta », ainsi qu’un sous-dossier « Commun », pour enfin le partager sur le réseau avec le script suivant :

$FolderPath = « D:\Partages\ServiceCompta\Commun »
$ShareName = « CommunServiceCompta »
$Type = 0
$objWMI = [wmiClass] ‘Win32_share’
$objWMI.create($FolderPath, $ShareName, $Type)

• Donner des droits sur les répertoires :

- Pour que le répertoire précédemment créé soit accessible par les utilisateurs du service comptabilité, il faut attribuer les bons droits au répertoire Commun:

Les membres du groupe Chefs et Experts ont les permissions de Lecture/écriture sur le répertoire commun, alors que les stagiaires n’ont qu’un droit de lecture.

- Le répertoire « profil » doit avoir les droits en Lecture/Écriture pour « Tout le monde ».

- Les répertoires HomeDirectory (situés dans \\SRV-DOM1\users) doivent avoir les droits en Lecture/Écriture pour leur propriétaires.

• Créer le script de connexion :

Pour que les utilisateurs du service de comptabilité puissent accéder au répertoire partagé en tant que lecteur réseau, il faut ajouter ces lignes dans le script batch « logonScript.bat » situé dans \\SRV-DOM1\netlogon.

@echo off
net use Z: \\SRV-DOM1\CommunServiceCompta

Ainsi, quand les utilisateurs du service comptabilité se connecteront, ils auront le lecteur réseau automatiquement créé.

• Créer des stratégies de groupe :

Dans la « Gestion de stratégies de groupe », nous créons une GPO liée à l’unité d’organisation ServiceCompta, puis nous l’éditons.

Nous activons les éléments suivants :

« Empêcher l’accès au panneau de configuration »

« Interdire l’accès aux propriétés d’un réseau local »

« Empêcher les utilisateur de partager des fichiers dans leur profil ».

Nous ajoutons une URL dans les favoris d’Internet Explorer, qui donne accès à la page principale de l’Intranet. Nous pouvons encore modifier toute sorte de paramètre de configuration et de sécurité.

Ce ne sont que des exemples… bien entendu, une « vraie » GPO ne se fait pas en quelques minutes, mais il est intéressant d’y explorer toutes ses fonctionnalités, notamment ses nouveautés depuis Windows Seven.

Une fois les paramètres remplis, fermer la fenêtre, et appliquer la GPO aux différents groupes de l’unité d’organisation « ServiceCompta ».

• Configuration du client

La dernière étape consiste à rentrer le client dans le domaine « intra.company.com ». Une fois l’ordinateur redémarré, l’utilisatrice Christine Dubois peut se connecter à son ordinateur et utiliser les ressources du domaine. Nous pouvons constater qu’elle n’a pas accès au panneau de configuration, et qu’elle a un lecteur réseau pour le répertoire commun à son service. Si la GPO n’est pas tout de suite prise en compte, lancer la commande « gpupdate /force ».

• Modifier la politique des mots de passe et de date d’expiration

Le script en VBS (Visual Basic Script) suivant permet de modifier la politique des mots de passe pour une unité d’organisation :

• Suppression des mots de passe qui n’expirent jamais
• Demande aux utilisateurs de changer leur mot de passe dès la prochaine connexion
• Modifie la date d’expiration du compte au dernier jour de 2011.

Const ADS_IF_DONT_EXPIRE_PASSWD = &h10000

set colItems = GetObject (« LDAP://ou=ServiceCompta, dc=intra, dc=compta, dc=com »)

colItems.Filter = Array(« user »)

For Each objUser in colItems

‘—Supprime les mots de passe qui n’expirent pas

intUAC = objUser.Get(« userAccountControl »)

If ADS_IF_DONT_EXPIRE_PASSWD AND intUAC Then

objUser.Put « userAccountControl », intUAC XOR ADS_IF_DONT_EXPIRE_PASSWD

objUser.SetInfo

End If

‘– Force l’utilisateur à modifier son mot de passe dès la prochaine connexion

objUser.Put « pwdLastSet », 0

objUser.SetInfo

‘– Modifie la date d’expiration du compte utilisateur

objUser.AccountExpirationDate = « 01/01/2012″

objUser.SetInfo

Next

• Évolutions possibles des scripts d’administration

Les scripts proposés dans cette activité peuvent évoluer au fil du temps. Par exemple, si beaucoup d’utilisateurs viendraient à s’ajouter au réseau, il pourrait être intéressant de développer une fonction permettant d’importer les informations directement depuis un fichiers Excel (.xls).

Pour les autres, il y a Linux, et c’est très bien aussi ; mais je pouvais pas m’empêcher de partager ces quelques connaissances…

Voici une archive comprenant les scripts.

Enjoy !

Non, je n’ai pas bu un coup avec eux (ou alors je ne m’en rappelle plus oO) mais j’ai accès à leur réseau privé virtuel (VPN) depuis quelques jours.

Pour 5 euros par mois (payable par trimestre, 15 euros), Ipredator propose de surfer anonymement, et pour pas cher.

What else ? ben c’est tout, et c’est déjà pas mal.

Télécharger en P2P en France est devenu un crime, donc pour 5 euros par mois, je reste un mec cool et je n’irai pas en prison pour ça.

J’ai testé le débit, et certains ne seront pas d’accord avec moi, mais je trouve qu’il est convenable (400 en DL et 50 en UP).

Allé hop ! on s’inscrit : https://www.ipredator.se/?lang=en

Je compte refaire mon site perso (my1.fr) complemenent avec cette fois ci du php/sql, ce qui engendrera surement plein de bugs au début vu mon niveau débutant. Le blog restera sous WordPress.

A très bientôt, joyeuses fêtes…

Avant tout chose, il est préférable de commencer par l’installation, qui requiert parfois des connaissances. Par exemple, à l’installation de Debian, combien de partitions doit-je créer ou quel service dois-je activer…
Ce manuel est sous forme de paquet et décrit le processus d’installation d’une station Debian.

Ca y est, vôtre Debian est installée, et vous êtes dessus. Vous ne savez pas faire grand chose et vous aimeriez vous documenter sur par exemple comment installer un paquet, configurer Apache ou carrément commencer par une compilation du noyau (bon ça c’est pour l’humour =) ). Et ben sachez qu’il existe un manuel de référence pour Debian disponible en html ou en pdf qui vous aidera dans beaucoup de domaines notemment dans l’administration système.

Vous avez pris la main sur vos paquets d’installés, tout marche à peu près comme il le faut mais vous vous posez l’ultime question : Suis-je protégé ? Installer un pare-feu ou même un anti-virus, pourquoi pas ? Cette documentation (lien html et pdf) est celle que j’utilise pour sécuriser ma machine et je la trouve très complête.

Les documentations sont souvent mises à jour et complétées par encore plus d’information pertinentes. J’invite donc tous ceux qui sont comme moi, qui en apprennent tous les jours et qui aiment ça parce que se documenter c’est parfois chercher soi même pour mieux comprendre. Grâce à cette documentation par exemple, j’ai pu créer mon script firewall avec iptables.

D’autres sources sont sur le site de debian.

Merci aux auteurs…

Il se veut “original et novateur”.
Il y aura une section qui présentera des paquets, une section où vous pourrez discuter sur le salon debian-fr via une interface web (MUCkl), une section de scripts fait maison, puis une section de liens intéressants.

Si vous êtes intéressé pour contribuer (relectures, rédaction d’article, mise en page…) rendez-vous sur le salon debian-fr.

Voici la page expliquant le projet.

N’hésitez pas à me contacter pour poser toute sorte de question, toute contribution est la bienvenue !

Merci d’avance