Proxy et VPN

Avec les récentes pantalonnades législatives qu'on a connu en France, entre hadopi et loppsi2, on a pas mal entendu parler de proxy et de vpn .

Proxy

Rapidement, le principe du proxy, ou serveur mandataire, c'est de s'interposer entre deux machines dans leur communication. Dans les films de hackers ultra forts, la police qui les traque se rend compte qu'ils utilisent plusieurs proxy pour cacher leur véritable adresse. On parle de proxy anonyme quand on peut passer des communications dans un sens, mais pas dans l'autre. Si on utilise un proxy anonyme, le serveur web au bout va voir l'ip du serveur proxy, mais ne pourra pas remonter plus haut, et donc connaitre notre véritable ip. Mais tous les proxy ne sont pas anonymes, et si ça peut-être un bon outil pour protéger sa vie privée, ça peut aussi être un moyen de contrôler et d'espionner les connections qui y transitent. C'est ce que la plupart des entreprises font pour contrôler l'accès à internet de leurs employés.

Le proxy, c'est donc un moyen de contrôler une connexion, en bien ou en mal. Moi je vais en parler de façon assez superficielle pour une utilisation tout bête, qui permet d'utiliser l'ip du serveur. Ça peut être pratique dans beaucoup de cas où la géolocalisation est utilisée pour brider l'usage d'un site ( banque, achat en ligne...).

Dans cet exemple, le serveur web voit l'adresse ip du serveur mandataire, mais comme celui-ci est anonyme, il ne peut remonter jusqu'à l'ip du client. Le serveur web peut-être remplacé par n'importe quel type de serveur, il verra toujours l'ip du proxy, mais pas plus haut. Si le proxy est en France et vous en Chine, le serveur en face ne s'en rend pas compte.

C'est comme si on téléphonait à un copain, pour qu'il appelle une fille qui ne le connaît pas de votre part. Si vous lui demandez, le copain peut refuser de lui dire de la part de qui il appelle. Et vous restez donc anonyme.

VPN

Le vpn, c'est une autre façon de protéger sa vie privée. Ça consiste à établir un tuyau entre deux ordinateurs, et à faire passer les données dedans. Ce tuyau, c'est du chiffrement. Ce qui veut dire que les données qui transitent entre votre client et le serveur ne peuvent être comprises que par eux. Un tiers peut très bien intercepter les données, mais il ne saura pas quoi en faire, ne pouvant les déchiffrer.

Par contre, ce qu'il est important de comprendre, c'est que ce qui sort de l'autre côté de l'ordinateur n'est pas chiffré. Vous perdez donc votre confidentialité à cet endroit. L'intérêt du vpn, ce n'est donc pas de chiffrer vos données entre deux points, mais de chiffre vos données entre un point sensible et un point qui lui est à l'abri ( dans une juridiction étrangère par exemple ).

Dans les grandes entreprises, c'est aussi un moyen de relier deux réseaux locaux en un seul. Si l'entreprise Meganul a deux succursales éloignées de plusieurs centaines de kilomètres, elle crée un lien virtuel encrypté entre les deux, et un employé peut ouvrir sa session de l'une ou l'autre des succursales de façon sécurisée.

Un autre exemple ? Si je suis dans un pays, dont l'internet me paraît douteux ( Chine, Égypte, France... ) , que je veux me connecter à mon service bancaire en ligne dans un autre pays avec un internet sain, et que j'ai un serveur vpn dans ce pays, je crée un lien virtuel qui protège mes données jusqu'à la zone libre.

Pour en savoir un peu plus, vous pouvez lire un article qui explique très bien tout ça, et un autre qui explique pourquoi il peut-être judicieux aujourd'hui en France (mais pas que ) d'utiliser un VPN.

Ouverture des ports

Pour que ces serveurs soient accessibles depuis l'extérieur, il faudra rediriger les ports 3128 pour le proxy et 1743 pour le VPN. Il est possible de changer le port du serveur proxy assez facilement. Pour celui du VPN employant PoPToP, c'est plus délicat...

Installation

L'installation depuis Webmin se fait comme pour les autres modules : trouver la page du module inutilisé et utiliser le lien qui vous propose d'installer le module.

Squid

Par défaut, Squid écoute sur le port 3128, et utilise vos nom d'utilisateur et mot de passe de session unix pour la connexion.

Pour les différents réglages, éditez le fichier /etc/squid/squid.conf à l'aide du gestionnaire de fichiers de Webmin. Trouvez et modifiez les différents paramètres :

Par défaut, la plupart des lignes ci-dessous sont précédées d'un "##" qu'il faut ôter lors de la modification pour que la ligne soit prise en compte.

http_access deny all en http_access allow all

http_port 3128 en http_port

https_port 3128 en https_port

client_db on en client_db off

forwarded_for on en forwarded_for off

dns_nameservers ip_dns_1 ip_dns_2

Pour utiliser les serveurs openDNS par exemple, ajoutez la ligne :

dns_nameservers 208.67.222.222 208.67.220.220

Il existe bien sûr des dizaines de réglages accessibles aussi bien dans le fichier de configuration que dans l'interface webmin, mais l'essentiel pour un usage basique est là.

VPN

Il existe plusieurs protocoles pour créer des liens virtuels, dont PPTP, IpSec et L2TP . Le premier est le plus simple à installer, mais aussi celui qui est le plus faible en terme de sécurité, et il est conseillé de ne pas l'utiliser car obsolète.Dans la mesure ou il compatible nativement avec Windows, il continue à être utilisé massivement.

PoPToP

Pour l'installation de ce module, il suffit de suivre le lien que vous propose Webmin sur sa page. Une fois installé, vous pouvez accéder aux réglages en vous rendant dans la partie "Réseau", puis "PPTP Vpn server".

PPTP server configuration :

Options PPP: RĂ©glez les ainsi :

Comptes PPP : Vous pouvez ici créer des comptes qui serviront à la connexion de clients vpn. Pour cela, cliquez sur le lien "Créer un nouveau compte PPP", puis spécifiez un login, un mot de passe et une adresse ip si vous êtes sur que le client qui utilisera ce compte aura une ip fixe. Cette mesure permet d'empêcher l'utilisation depuis une autre adresse et augmente donc la sécurité du serveur.

"Active connections" vous permet de visualiser les connexions actives sur le serveur, et de les désactiver au besoin.

Pour pouvoir accéder à internet depuis votre serveur VPN, il faut activer la redirection ip en éditant le fichier /etc/sysctl.conf et en y ajoutant la ligne suivante :

 net.ipv4.ip_forward=1 

Vous devriez pouvoir vous connecter au serveur depuis votre client en utilisant les informations des comptes précédemment configurés.

Chapitre suivant