Réseaux Privés Virtuels – VPN
- Introduction
- Principe de fonctionnement
- Les principaux avantages du VPN
- Les principaux Inconvénients du VPN
- Les différents types de VPN
- Caractéristiques fondamentales du VPN
- Protocoles de tunnelisation
- Le protocole IPSec
Introduction
VPN : Virtual Private Network ou RPV (réseau virtuel privé) en français est une technique permettant à un ou plusieurs poste distants de communiquer de manière sure, tout en empruntant les infrastructures publique non sures. Ce type de liaison est apparu suite à un besoin croissant des entreprise de relier les différents sites, et ce de façon simple et économique.
Un réseau VPN repose sur un protocole appelé "protocole de tunneling". Ce protocole permet de faire circuler les informations de l'entreprise de façon cryptée d'un bout à l'autre du tunnel. Ainsi, les utilisateurs ont l'impression de se connecter directement sur le réseau de leur entreprise.
Le principe de tunneling consiste à construire un chemin virtuel après avoir identifié l'émetteur et le destinataire. Par la suite, la source chiffre les données et les achemine en empruntant Ce chemin virtuel. Afin d'assurer un accès aisé et peu coûteux aux intranets ou aux extranets d'entreprise, les réseaux privés virtuels d'accès simulent un réseau privé, alors qu'ils utilisent en réalité une infrastructure d'accès partagée, comme Internet.
Les données à transmettre peuvent être prises en charge par un protocole différent d'IP. Dans Ce cas, le protocole de tunneling encapsule les données en ajoutant un en-tête.
Le tunneling est l'ensemble des processus d'encapsulation, de transmission et de dés-encapsulation.
- La sécurité : assure des communications sécurisées et chiffrées.
- La simplicité : utilise les circuits de télécommunication classiques.
- L’économie : utilise internet en tant que média principal de transport, ce qui évite les coûts des liaisons dédiées.
- La qualité de service (et les délais d’acheminement) n’est pas garantie
- Les performances ne sont pas toujours au rendez-vous.
Selon les besoins on référence 3 types de VPN :
- Le VPN d'accès
- L'intranet VPN
- L'extranet VPN
Le VPN d'accès
Le VPN d'accès : est utilisé pour permettre à des utilisateurs itinérants d'accéder au réseau privé. L'utilisateur se sert d'une connexion Internet pour établir la connexion VPN.
L'intranet VPN
L'intranet VPN est utilisé pour relier au moins deux intranets entre eux. Ce type de réseau est particulièrement utile au sein d'une entreprise possédant plusieurs sites distants. Le plus important dans Ce type de réseau est de garantir la sécurité et l'intégrité des données. Certaines données très sensibles peuvent être amenées à transiter sur le VPN (base de données clients, informations financières...). Des techniques de cryptographie sont mises en œuvre pour vérifier que les données n'ont pas été altérées.
L'extranet VPN
Une entreprise peut utiliser le VPN pour communiquer avec ses clients et ses partenaires. Elle ouvre alors son réseau local à ces derniers. Dans Ce cadre, il est fondamental que l'administrateur du VPN puisse tracer les clients sur le réseau et gérer les droits de chacun sur celui-ci.
Un système de VPN doit pouvoir mettre en œuvre les fonctionnalités suivantes :
Authentification d'utilisateur: Seuls les utilisateurs autorisés doivent pouvoir s'identifier sur le réseau virtuel. De plus, un historique des connexions et des actions effectuées sur le réseau doit être conservé.
Gestion d'adresses: Chaque client sur le réseau doit avoir une adresse privée. Cette adresse privée doit rester confidentielle. Un nouveau client doit pouvoir se connecter facilement au réseau et recevoir une adresse.
Cryptage des données: Lors de leurs transports sur le réseau public les données doivent être protégées par un cryptage efficace.
Gestion de clés: Les clés de cryptage pour le client et le serveur doivent pouvoir être générées et régénérées.
Prise en charge multi protocole: La solution VPN doit supporter les protocoles les plus utilisés sur les réseaux publics en particulier IP.
Les protocoles utilisés dans le cadre d’un VPN sont de 2 types, suivant la couche OSI dans laquelle ils travaillent :
Les protocoles de niveau 2: comme PPTP et L2TP.
Les protocoles de niveau 3: comme IPsec ou MPLS.
PPTP : Point To Point Tunneling Protocol correspond à une version sécurisée de PPP. Il utilise une connexion PPP à travers un réseau IP en créant un réseau privé virtuel (VPN).
PPP : (Point to Point Protocol) est un protocole qui permet de transférer des données sur un lien synchrone ou asynchrone. Il est full duplex et garantit l'ordre d'arrivée des paquets. Il encapsule les paquets Ip, Ipx et Netbeui dans des trames PPP, puis transmet ces paquets encapsulés au travers de la liaison point à point.
L2TP : définit par la Rfc 2661, est issu de la convergence des protocoles PPTP et L2F. Il est actuellement développé et évalué conjointement par Cisco Systems, Microsoft, Ascend, 3Com ainsi que d'autres acteurs clés du marché des réseaux. Il permet l'encapsulation des paquets PPP au niveau des couches 2 (Frame Relay et ATM) et 3 (IP). Lorsqu'il est configuré pour transporter les données sur IP, L2tp peut être utilisé pour faire du tunnelling sur Internet.
IPSec est un protocole défini par l'IETF permettant de sécuriser les échanges au niveau de la couche réseau. Il s'agit en fait d'un protocole apportant des améliorations au niveau de la sécurité au protocole IP afin de garantir la confidentialité, l'intégrité et l'authentification des échanges.
Le protocole IPSec est basé sur trois modules :
IP Authentification Header (AH):
Le protocole AH garantit l’authentification, le contrôle d’intégrité de l’ensemble du paquet (données + en-têtes IP), et la protection contre le rejeu.
Encapsulating Security Payload (ESP):
Le protocole ESP est un en-tête de protocole inséré dans un datagramme IP pour garantir la confidentialité, l’authentification, l’intégrité et la protection contre le rejeu.
ESP garantit la confidentialité grâce à une unité de chiffrement.
Security Assocation (SA):
SA définit l’ensemble des opérations IPSec devant être appliquées aux datagrammes qui y affèrent.
Chaque SA contient un certain nombre de paramètres.
Une SA est une relation à sens unique entre un émetteur et un destinataire. Par conséquent les SA sont unidirectionnelles. Pour protéger le trafic dans les deux directions, on doit établir deux SA.