VPN Réseaux Privés Virtuels : les VPN
1 ) Introduction
VPN : Virtual Private Network ou RPV (réseau privé virtuel) en français est une technique permettant à un ou plusieurs postes distants de communiquer de manière sure, tout en empruntant les infrastructures publiques. Ce type de li son est apparu suite à un besoin croissant des entreprises de relier les différents sites, et ce de façon simple et économique.
Jusqu'à l'avènement des VPN, les sociétés devaient utiliser des li sons Transpac, ou des lignes louées. Les VPN ont permis de démocratiser ce type de li son.
Schéma d'un accès VPN :
2) Principe de fonctionnement d'un VPN
Un réseau VPN repose sur un protocole appelé "protocole de tunneling". Ce protocole permet de faire circuler les informations de l'entreprise de façon cryptée d'un bout à l'autre du tunnel.
Ainsi, es utilisateurs ont l'impression de se connecter directement sur le réseau de leur entreprise.
Le principe de tunneling consiste à construire un chemin virtuel après avoir identifié l'émetteur et le destinataire. Par la suite, la source chiffre les données et les achemine en empruntant ce chemin virtuel. Afin d'assurer un accès aisé et peu coûteux aux intranets ou aux extranets d'entreprise, les réseaux privés virtuels d'accès simulent un réseau privé, alors qu'ils utilisent en réalité une infrastructure d'accès partagée, comme Internet.
Les données à transmettre peuvent être prises en charge par un protocole différent d'IP. Dans Ce cas, le protocole de tunneling encapsule les données en ajoutant une en-tête. Le tunneling
est l'ensemble des processus d'encapsulation, de transmission et de désencapsulation.
Les principaux avantages d‘un VPN :
- Sécurité : assure des communications sécurisées et chiffrées.
- Simplicité : utilise les circuits de télécommunication classiques.
- Économie : utilise Internet en tant que média principal de transport, ce qui évite les coûts liés à une ligne dédiée.
3) Les contraintes d'un VPN
Le principe d'un VPN est d'être transparent pour les utilisateurs et pour les applications y ayant accès. Il doit être capable de mettre en œuvre les fonctionnalités suivantes :
- Authentification d'utilisateur : seuls les utilisateurs autorisés doivent avoir accès au canal VPN.
- Cryptage des données : lors de leur transport sur le réseau public, les données doivent être protégées par un cryptage efficace.
- Gestion de clés : les clés de cryptage pour le client et le serveur doivent pouvoir être générées et régénérées.
- Prise en charge multi protocole : la solution VPN doit supporter les protocoles les plus utilisés sur les réseaux publics en particuliers IP.
4) les différents types de VPN
Suivant les besoins, on référence 3 types de VPN :
- Le VPN d‘accès : il est utilisé pour permettre à des utilisateurs itinérants d'accéder au réseau de leur entreprise. L'utilisateur se sert d'une connexion Internet afin d'établir une liaison sécurisée.
- L‘intranet VPN : il est utilisé pour relier deux ou plusieurs intranets d'une même entreprise entre eux. Ce type de réseau est particulièrement utile au sein d'une entreprise possédant plusieurs sites distants. Cette technique est également utilisée pour relier des réseaux d'entreprise, sans qu'il soit question d'intranet (partage de données, de ressources, exploit ion de serveurs distants …
- L‘extranet VPN : une entreprise peut utiliser le VPN pour communiquer avec ses clients et ses partenaires. Elle ouvre alors son réseau local à ces derniers. Dans ce cas, il est nécessaire d'avoir une authentification forte des utilisateurs, ainsi qu'une trace des différents accès. De plus, seul une partie des ressources sera partagée, ce qui nécessite une gestion rigoureuse des espaces d'échange.
5) Les protocoles utilisés
Les protocoles utilisés dans le cadre d'un VPN sont de 2 types, suivant le niveau de la couche OSI auquel ils travaillent :
- Les protocoles de niveau 2 comme PPTP ou L2TP.
- Les protocoles de niveau 3 comme IPsec ou MLPS
5.1 le protocole PPP
PPP (Point to Point Protocol) est un protocole qui permet de transférer des données sur un lien synchrone ou asynchrone. Il est full duplex et garantit l'ordre d'arrivée des paquets. Il encapsule les paquets Ip, Ipx et Netbeui dans des trames PPP, puis transmet ces paquets encapsulés au travers de la li son point à point. PPP est employé généralement entre un client d'accès à distance et un serveur d'accès réseau
Ce protocole n'est pas un protocole sécurisé mais sert de support aux protocoles PPTP ou L2TP.
5.2 Le protocole PPTP
PPTP (Point to Point Tuneling Protocol , définit par la Rfc 2637, est un protocole qui utilise une connexion PPP à travers un réseau Ip en créant un réseau privé virtuel (VPN).
Microsoft a implémenté ses propres algorithmes afin de l'intégrer dans ses versions de Windows. Ainsi, PPTP est une solution très employée dans les produits VPN commerciaux à cause de son intégration au sein des systèmes d'exploit ion Windows. PPTP est un protocole de niveau 2 qui permet l'encryptage des données ainsi que leur compression. L'authentification se fait grâce au protocole Ms-Chap
Le principe du protocole PPTP est de créer des paquets sous le protocole PPP et de les encapsuler dans des datagrammes IP.
Le tunnel PPTP se caractérise par une initialisation du client, une connexion de contrôle entre le client et le serveur ainsi que par la clôture du tunnel par le serveur.
Lors de l'établissement de la connexion, le client effectue d'abord une connexion avec son fournisseur d'accès Internet. Cette première connexion établit une connexion de type PPP et permet de faire circuler des données sur Internet.
Par la suite, une deuxième connexion est établi Elle permet d'encapsuler les paquets PPP dans des datagrammes IP. C'est cette deuxième connexion qui forme le tunnel PPTP.
5.3 Le protocole L2TP
L2TP (Layer Two Tuneling Protocol), définit par la Rfc 2661, est issu de la convergence des protocoles PPTP et L2F (Layer Two Forwarding). Il est actuellement développé et évalué conjointement par Cisco , Microsoft 3Com ainsi que d'autres acteurs du marché des réseaux. Il permet l'encapsulation des paquets PPP au niveau des couches 2 (Frame Relay et Atm) et 3 (Ip). Lorsqu'l est configuré pour transporter les données sur IP, L2TP peut être utilisé pour faire du tunnelling sur Internet. L2TP repose sur deux concepts :
les concentrateurs d'accès L2TP (Lac : L2TP Access Concentrator) et les serveurs réseau L2TP (Lns : L2TP Network Server). L2TP n'i ègre pas directement de protocole pour le chiffrement des données. C'est pourquoi L'IETF préconise l’utilisation conjointe d'Ipsec et L2TP
5.4 Le protocole Ipsec
Ipsec, définit par la Rfc 2401, est un protocole qui vise à sécuriser l'échange de données au niveau de la couche réseau. Le réseau Ipv4 étant largement déployé et la migration vers Ipv6 étant inévitable, mais néanmoins longue, il est apparu intéressant de développer des techniques de protection des données communes à Ipv4 et Ipv6. Ces mécanismes sont couramment désignés par le terme Ipsec pour Ip Security Protocols. Ipsec est basé sur deux mécanismes. Le premier, AH, pour Authentification Header vise à assurer l'intégrité et l'authenticité des datagrammes IP. Il ne fournit par contre aucune confidentialité :
les données fournies et transmises par ce "protocole" ne sont pas encodées. Le second, Esp, pour Encapsulating Security Payload peut aussi permettre l'authentification des données mais est principalement utilisé pour le cryptage des informations. Bien qu'indépendants ces deux mécanismes sont presque toujours utilisés conjointement..
5.5 Les mécanismes de cryptage
Les protocoles sécurisés ont recours à des algorithmes de cryptage, et ont donc besoin de clefs. Un des problèmes principal dans ce cas est la gestion de ces clefs. Par gestion, on entend la génération, la distribution, le stockage et la suppression de ces clefs. Ces différentes tâches sont dévolues à des protocoles spécifiques de gestion de ces cléfs, à savoir :
- Isakmp (Internet Security Association and Key Management Protocol)
- Ike (Internet Key Exchange)
5.6 Le protocole SSL
Ssl (Secure Socket Layer) est un protocole de couche 4 (niveau transport) utilisé par une application pour établir un canal de communication sécurisé avec une autre application.
Ssl a deux grandes fonctionnalités : l‘authentification du serveur et du client à l‘établissement de la connexion et le chiffrement des données durant la connexion.
SSL est le dernier arrivé dans le monde des Vpn, mais il présente un gros avantages dans la mesure ou coté client, il ne nécessite qu'un navigateur Internet standard. Ce protocole est celui qui est utilisé en standard pour les transactions sécurisées sur Internet
L'inconvénient néanmoins de ce type de protocole est qu'il se limite au protocole https, ce qui n'est pas le seul besoin de connexion des entreprises.
6) La mise en Œuvre d'un VPN
La mise en Œuvre d'un VPN, et donc les moyens utilisés dépendent étroitement du type de VPN dont il agit, ainsi que de la fréquence d'utilisation.
La mise en Œuvre d'un VPN nécessite systématiquement l'utilisation d'un serveur qui aura en charge la partie authentification, cryptage et décryptage et d'un client assurant la partie cryptage / décryptage et qui assurera la partie connexion vers un serveur. De plus, le client aura souvent la charge d'initialiser la connexion, sauf en cas de connexion permanente.
6.1 Utilisation de logiciels
6.1.1 Windows et les VPN
Windows a été un des instigateurs de PPTP et à intégrer très tôt dans ses plateformes les outils permettant de mettre en Œuvre les VPN.
Coté serveur, Windows 2000 ou 2003 intègre les outils permettant de mettre en Œuvre un VPN.
Coté client, Windows XP intègre de façon native à travers un assistant la création d'un réseau privé VPN
l'encryptage et l'authentification des utilisateurs est réalisée grâce à la couche MSCHAP
6.1.2 Linux et les VPN
De la même façon que sous Windows, Linux dispose des outils permettant de créer un VPN :
- PPTPD coté serveur
- PPTP coté client
Ce sont de part et d'autre des daemons (services sous Linux) qu'il faut paramétrer et lancer.
6.1.3 Navigateur Internet
Les navigateurs Internet prennent tous en compte le cryptage et l'authentification vers un serveur à travers le protocole https.
6.1.4 Liaison mixte
Linux, Windows, Unix, Solaris … Tous ces OS ont la possibilité de gérer des connexions VPN, puisque ces connexions font appel à des protocoles standards définit dans des RFC. La mise en Œuvre en est néanmoins plus complexe puisqu'elle fait appel à un empilage de couches, la partie la plus complexe étant l'authentification et l’accès ensuite aux ressources partagées une fois le canal établit.
Microsoft offre une bibliothèque d composants permettant l'interconnexion entre monde hétérogène, les SFU (Services for Unix).
Windows Services for UNIX v3.5 offre aux informaticiens et aux développeurs les outils et l'environnement dont ils ont besoin pour une interopérabilité entre les environnements Windows et UNIX/Linux et la migration des applications UNIX vers Windows (référence : Microsoft).
6.1.5 Conclusion sur cette partie
La mise en Œuvre peut être simple dans le cas de déploiement en environnement homogène, et dans le cas d'un VPN d'accès. Dans le cas de li son d'Intranet, il est souvent fait appel à des prestataires de service qui réalisent cette partie de façon transparente pour les utilisateurs.
6.2 Utilisation de matériel
6.2.1 Présentation
L’utilisation de matériel consiste en fait à déléguer le tuneling au matériel mis en place en sortie d'entreprise, à savoir les routeurs. La plupart des routeurs offrent des possibilités de création de VPN.
- l'avantage de cette solution est qu'elle est totalement transparente pour les utilisateurs, puisqu'ils ont l’impression d'avoir un réseau en contenu avec une simple gestion des accès classique.
- Pour les administrateurs, de la même façon, ils gèrent les autorisations aux ressources sans s'occuper du VPN puisqu'il est prise en charge par les routeurs.
Cette solution est celle qui est de plus en plus utilisée par les entreprises, voire même externalisée vers des prestataires tiers (France telecom, cegetel, word on line, olenane … )qui prennent en charge la fourniture et le paramétrage des routeurs, la mise à disposition des infrastructures, les interventions en cas de panne ?
De la même façon, les grands des routeurs fournissent également des logiciels clients afin de prendre en compte le VPN d'accès pour des clients itinérants.
6.2.2 paramétrage de routeurs
Exemple DLINK :
Des outils chez CISCO ( référence CISCO) :
Cisco Easy VPN
Cisco Easy VPN est une extension logicielle pour les routeurs et les dispositifs de sécurité Cisco qui simplifie considérablement le déploiement des VPN pour les bureaux distants et les télétravailleurs.
Cisco Easy VPN s‘articule autour de Cisco Unified Client Framework. Il centralise toute la gestion des clés et des politiques, et réduit la complexité du déploiement des VPN.
Les deux composants de Cisco Easy VPN sont Cisco Easy VPN Remote et Cisco Easy VPN Server Cisco Easy VPN Remote permet aux routeurs et aux dispositifs de sécurité Cisco
D‘établir et de gérer automatiquement un tunnel VPN vers un équipement sous Cisco Easy VPN Server en faisant l‘économie des complications d‘une configuration à distance. Cisco
Easy VPN Server accepte les appels entrants des équipements sous Cisco Easy VPN Remote ou des clients logiciels VPN et garantit a mise à jour de leurs politiques de sécurité avant l'établissement de ces connexions. Cisco Easy VPN fournit une méthode de gestion cohérente des politiques et des clés des connexions et offre un multiple choix d‘équipements VPN distants œ routeurs, clients hardware ou clients logiciels œ lors d‘un même déploiement vers n'importe quelle plateforme sous Cisco Easy VPN Server.
Cisco Easy VPN s‘articule autour de Cisco Unified Client Framework. Il centralise toute la gestion des clés et des politiques, et réduit la complexité du déploiement des VPN.
Les deux composants de Cisco Easy VPN sont Cisco Easy VPN Remote et Cisco Easy VPN Server Cisco Easy VPN Remote permet aux routeurs et aux dispositifs de sécurité Cisco
D‘établir et de gérer automatiquement un tunnel VPN vers un équipement sous Cisco Easy VPN Server en faisant l‘économie des complications d‘une configuration à distance. Cisco
Easy VPN Server accepte les appels entrants des équipements sous Cisco Easy VPN Remote ou des clients logiciels VPN et garantit a mise à jour de leurs politiques de sécurité avant l'établissement de ces connexions. Cisco Easy VPN fournit une méthode de gestion cohérente des politiques et des clés des connexions et offre un multiple choix d‘équipements VPN distants œ routeurs, clients hardware ou clients logiciels œ lors d‘un même déploiement vers n'importe quelle plateforme sous Cisco Easy VPN Server.
6.3 Exemple d'infrastructure
très bon article.
RépondreSupprimerTrès bel article, j'ai suggéré les deux sites suivants similaires à cet article。
RépondreSupprimer翻墙软件
Great article, thanks for sharing. Now more and more netizens use VPN. There are some free VPNs, but I personally recommend paid VPNs. 翻墙软件
RépondreSupprimerThank you for sharing. There are many excellent VPNs now, such as EXpress VPN, Surfshark VPN, etc. 科学上网
RépondreSupprimerYou can use a PC , and you can also hide your IP address, improve wifi network security, and prevent DNS leaks
RépondreSupprimer35 Must-See TED Talks
RépondreSupprimer