LB Smile VPN

Page 2
VPN principes et outils open source
PRAMBULE
Smile
Smile est une socit dingnieurs experts dans la mise en uvre de solutions open source et lintgration de systmes appuys sur lopen source. Smile est membre de lAPRIL, lassociation pour la promotion et la dfense du logiciel libre, de Alliance Libre, PLOSS, et PLOSS RA, des associations clusters rgionaux d'entreprises du logiciel libre. Smile compte 480 collaborateurs en France, 600 dans le monde, ce qui en fait la premire socit en France spcialise dans lopen source. Depuis 2000, environ, Smile mne une action active de veille technologique qui lui permet de dcouvrir les produits les plus prometteurs de lopen source, de les qualifier et de les valuer, de manire proposer ses clients les produits les plus aboutis, les plus robustes et les plus prennes. Cette dmarche a donn lieu toute une gamme de livres blancs couvrant diffrents domaines dapplication. La gestion de contenus (2004), les portails (2005), la business intelligence (2006), les frameworks PHP (2007), la virtualisation (2007), et la gestion lectronique de documents (2008), ainsi que les PGIs/ERPs (2008). Parmi les ouvrages publis en 2009, citons galement Les VPN open source , et Firewall est Contrle de flux open source , et Middleware , dans le cadre de la collection Systme et Infrastructure . Chacun de ces ouvrages prsente une slection des meilleures solutions open source dans le domaine considr, leurs qualits respectives, ainsi que des retours dexprience oprationnels. Au fur et mesure que des solutions open source solides gagnent de nouveaux domaines, Smile sera prsent pour proposer ses clients den bnficier sans risque. Smile apparat dans le paysage informatique franais comme le prestataire intgrateur de choix pour accompagner les plus grandes entreprises dans ladoption des meilleures solutions open source.
www.smile.fr
Smile Open Source Solutions
Page 3
Ces dernires annes, Smile a galement tendu la gamme des services proposs. Depuis 2005, un dpartement consulting accompagne nos clients, tant dans les phases davantprojet, en recherche de solutions, quen accompagnement de projet. Depuis 2000, Smile dispose dun studio graphique, devenu en 2007 Smile Digital agence interactive, proposant outre la cration graphique, une expertise e marketing, ditoriale et interfaces riches. Smile dispose aussi dune agence spcialise dans la TMA (support et lexploitation des applications) et dun centre de formation complet, Smile Training. Enfin, Smile est implant Paris, Lille, Lyon, Grenoble, Nantes, Bordeaux, Poitiers, Aix-en-Provence et Montpellier. Et prsent galement en Espagne, en Suisse, au Benelux, en Ukraine et au Maroc.
Quelques rfrences
Intranets et Extranets
www.smile.fr
Socit Gnrale - Caisse d'pargne - Bureau Veritas - Commissariat l'Energie Atomique - Visual CIRAD - Camif - Lynxial - RATP - Sonacotra - Faceo - CNRS - AmecSpie - INRA - CTIFL - Chteau de Versailles - Banque PSA Finance - Groupe Moniteur - Vega Finance - Ministre de lEnvironnement Arjowiggins - JCDecaux - Ministre du Tourisme - DIREN PACA - SAS - CIDJ - Institut National de lAudiovisuel - Cogedim - Diagnostica Stago Ecureuil Gestion - Prolea - IRP-Auto - Conseil Rgional Ile de France - Verspieren - Conseil Gnral de la Cte dOr - Ipsos - Bouygues Telecom - Prisma Presse - Zodiac - SANEF - ETS Europe - Conseil Rgional dIle de France - AON Assurances & Courtage - IONIS - Structis (Bouygues Construction) - Degrmont Suez - GS1-France - DxO Conseil Rgional du Centre - Beaut Prestige International - HEC - Veolia
Internet, Portails et e-Commerce

Cadremploi.fr - chocolat.nestle.fr - creditlyonnais.fr - explorimmo.com - meilleurtaux.com cogedim.fr - capem.fr - Editions-cigale.com - hotels-exclusive.com - souriau.com - pci.fr - oditfrance.fr - dsv-cea.fr - egide.asso.fr - Osmoz.com - spie.fr - nec.fr - vizzavi.fr - sogeposte.fr - ecofi.fr idtgv.com - metro.fr - stein-heurtey-services.fr - bipm.org - buitoni.fr - aviation-register.com - cci.fr eaufrance.fr - schneider-electric.com - calypso.tm.fr - inra.fr - cnil.fr - longchamp.com - aesn.fr bloom.com - Dassault Systemes 3ds.com - croix-rouge.fr - worldwatercouncil.org - Projectif - creditcooperatif.fr - editionsbussiere.com - glamour.com - nmmedical.fr - medistore.fr - fratel.org - tiru.fr - faurecia.com - cidil.fr - prolea.fr - bsv-tourisme.fr - yves.rocher.fr - jcdecaux.com - cg21.fr veristar.com - Voyages-sncf.com - prismapub.com - eurostar.com - nationalgeographic.fr - eauseine-normandie.fr - ETS Europe - LPG Systmes - cnous.fr - meddispar.com - Amnesty International - pompiers.fr - Femme Actuelle - Stanhome-Kiotis - Gtes de France Bouygues Immobilier - GPdis - DeDietrich - OSEO - AEP - Lagardre Active Mdia - Comexpo - Reed Midem UCCIFE - Pagesjaunes Annonces - 1001 listes - UDF - Air Pays de Loire - Jaccede.com - ECE Zodiac - Polytech Savoie - Institut Franais du Ptrole - Jeulin - Atoobi.com - Notaires de France - Conseil Rgional dIle-de-France - AMUE
Page 4
Applications mtier
Renault - Le Figaro - Sucden - Capri - Libration - Socit Gnrale - Ministre de lEmploi CNOUS - Neopost - Industries - ARC - Laboratoires Merck - Egide - ATEL-Hotels - Exclusive Hotels - CFRT - Ministre du Tourisme - Groupe Moniteur - Verspieren - Caisse dEpargne - AFNOR Souriau - MTV - Capem - Institut Mutualiste Montsouris - Dassault Systmes - Gaz de France CAPRI Immobilier - Croix-Rouge Franaise - Groupama - Crdit Agricole - Groupe Accueil Eurordis - CDC Arkhineo
Applications dcisionnelles
IEDOM Yves Rocher - Bureau Veritas - Mindscape Horus Finance Lafarge Optimus CecimObs ETS Europe Auchan Ukraine CDiscount Maison de la France Skyrock Institut National de lAudiovisuel Pierre Audouin Consultant Arme de lair Jardiland Saint-Gobain Recherche Xinek Projectif Companeo MeilleurMobile.com CG72 CoachClub
www.smile.fr
Page 5
Ce livre blanc
Ce livre blanc, consacr aux principes et outils des VPN, les rseaux virtuels privs, appartient une collection traitant des outils d'infrastructure, dans laquelle on peut ranger galement le livre blanc intitul Plateformes web Hautes Performances - Principes darchitecture et outils open source , paru dbut 2009, et le livre blanc consacr aux firewalls. Selon le schma habituel de nos livres blancs, nous prsentons ici la fois les concepts fondamentaux, et une slection des meilleurs outils. Nous exposons les caractristiques de chacun, les possibilits et outils de leur mise en uvre et configuration, afin d'aider le lecteur dans la slection d'outils adapts chaque contexte d'utilisation.
www.smile.fr
Page 6
Table des matires

PRAMBULE......................................................................................................2
SMILE.................................................................................................................................. 2 QUELQUES RFRENCES ............................................................................................................. 3 Intranets et Extranets............................................................................................................ 3 Internet, Portails et e-Commerce............................................................................................ 3 Applications mtier ............................................................................................................... 3 Applications dcisionnelles.................................................................................................... 4 CE LIVRE BLANC....................................................................................................................... 5
2 INTRODUCTION............................................................................................7
2.1 LE RSEAU DENTREPRISE..................................................................................................... 7 2.2 PRINCIPES....................................................................................................................... 8 2.2.1 Interconnexion............................................................................................................. 9 2.2.2 Tunnel....................................................................................................................... 10 Dimensionnement................................................................................................................ 13
www.smile.fr
3 LES VPN OPEN SOURCE...............................................................................14

3.1 OPENSSH.................................................................................................................... 14 3.1.1 Redirection de port.................................................................................................... 14 3.1.2 Tunnel scuris......................................................................................................... 15 3.2 OPENVPN.................................................................................................................... 16 3.2.1 Principe...................................................................................................................... 16 3.2.2 Poste rseau........................................................................................................... 17 3.2.3 Rseau rseau....................................................................................................... 17 3.3 IPSEC.......................................................................................................................... 18 3.3.1 Introduction............................................................................................................... 18 3.3.2 Gnralits................................................................................................................ 19 3.3.3 IPsec sous Linux et FreeBSD.....................................................................................20 3.3.4 IPsec sous OpenBSD................................................................................................. 22 3.4 OPENSWAN.................................................................................................................... 22
4 OUTILS DADMINISTRATION........................................................................23 5 EXEMPLES DARCHITECTURES ET RETOURS DEXPRIENCE....................24

5.1 PME.......................................................................................................................... 24 5.2 GRANDE ENTREPRISE........................................................................................................ 27 5.2.1 VPN 1 : Interconnexion dagences sur un lien ddi.................................................28 5.2.2 VPN 2 : Interconnexion dagences via Internet..........................................................29 5.2.3 VPN 3 : Connexion des employs mobiles.................................................................29 5.2.4 VPN 4 : Connexion temporaire avec un prestataire de services................................30 5.2.5 VPN 5 : Wifi scuris.................................................................................................30
6 CONCLUSION...............................................................................................31
Page 7
2 INTRODUCTION
2.1 Le rseau dentreprise
Le rseau est au cur de la productivit dune entreprise, et volue en mme temps quelle, au fil de sa croissance, dacquisitions, de partenariats, de ses besoins de mobilit. Le rseau qui relie lensemble des quipements au sein dun mme site gographique est gnralement la proprit de lentreprise, tandis que les interconnexions entre ces sites empruntent le plus souvent des infrastructures publiques ou du moins non scurises. On appelle Rseau Priv Virtuel, en anglais Virtual Private Network ou donc VPN , lensemble des techniques permettant dtendre le Rseau de lentreprise en prservant la confidentialit des donnes (Priv) et en traversant les barrires physiques des rseaux traditionnels (Virtuel). Certaines entreprises nont pas les moyens, ni parfois mme lintrt, davoir des liens dinterconnexion ddis. La mise en place dune interconnexion par VPN leur permet alors de connecter leurs propres rseaux au travers dun rseau public, en particulier Internet, des cots beaucoup plus faibles tout en conservant les garanties de scurit ncessaires. Les solutions VPN apportent gnralement les bnfices suivants :
www.smile.fr
Authentification par cl publique (bien plus scurise quun mot de passe) Confidentialit des changes (chiffrement) Confidentialit a posteriori en cas de compromission des secrets cryptographiques Transport de paquets destination dun rseau priv via un rseau public (encapsulation)
Le principal inconvnient lutilisation dun VPN porte sur les performances, puisque le rseau Internet que l'on emprunte ne possde pas les garanties de qualit de service dun rseau ddi. Nous verrons plus loin que lencapsulation et le chiffrement ont galement un cot en matire de performances.
Page 8
2.2 Principes
On distingue gnralement deux types de besoins pour les connexions au rseau dentreprise :

Les connexions dun employ au rseau Linterconnexion entre deux branches de lentreprise
En effet, si lobjectif est similaire, et si les moyens techniques mis en jeu sont souvent les mmes, les diffrences conceptuelles entre ces deux types daccs font qu'on utilisera le plus souvent des solutions diffrentes pour grer ces deux cas. La connexion dun employ au rseau relve dune approche de type client-serveur. Le serveur est un concentrateur VPN central sur lequel chaque employ se connecte, obtenant ainsi, aprs authentification, laccs aux ressources de lentreprise. Bien souvent, les clients de ce VPN ne peuvent communiquer entre eux, hormis via une ressource du rseau (serveur de messagerie, etc.). La connexion du rseau dune filiale au sige de lentreprise peut parfois seffectuer suivant le mme principe. Par exemple, de grandes entreprises trs centralises, peuvent reposer sur un modle en toile :
www.smile.fr
Cela ressemble beaucoup la connexion demploys au rseau central, mais double sens : le rseau central peut son tour accder au rseau auxiliaire, permettant par exemple ladministration des postes de travail distance.
Page 9
En revanche ce modle est trs peu performant ds lors que les rseaux priphriques essaient de communiquer entre eux, puisque tout le trafic passe alors par un goulot dtranglement central.
2.2.1 Interconnexion
Dans dautres entreprises, ce modle nest pas pertinent. Par exemple, une entreprise structure en agences indpendantes de taille identique changeant frquemment des donnes ne peut pas fonctionner sur un modle en toile. Dans ce cas, il nest pas possible non plus de dfinir un "serveur" autrement que de faon arbitraire. La connexion entre plusieurs entits peut poser de vritables cassettes dadministration :
www.smile.fr
Ds que l'on dpasse 3 entits, lgalit entre les nuds nest pas retranscrite dans la topologie rseau : certains dentre eux doivent tre arbitrairement dsigns comme des serveurs. Heureusement, nous verrons que certaines protocoles de VPN ne fonctionnent pas selon le modle client-serveur, mais suivant un principe dcentralis. Dans ce cas la configuration se fait de faon identique sur chaque quipement.
On retrouve alors un meilleur quilibre entre les nuds. L'interconnexion entre n nuds ncessite
nn1 2
liens.
Page 10
Dans tout les cas, il est important que la topologie du VPN dinterconnexion reflte le fonctionnement de lentreprise.
2.2.2 Tunnel
Dans chacun des cas cits, le VPN permettra dtablir un tunnel , soit entre un poste et un rseau, soit entre deux rseaux. Un tunnel est une connexion rseau virtuelle, dont le trafic est en ralit dirig vers une autre interface rseau aprs avoir subi un traitement, gnralement une encapsulation et le chiffrement des informations contenues dans la trame. Lencapsulation permet, comme mentionn plus haut, de masquer la vritable destination dune trame rseau dans le cas o celle-ci serait destination dune IP prive. En effet, la plupart des rseaux dentreprise utilisent des adresses prives, car lobtention d'adresses publiques pour un usage interne pose de lourds problmes administratifs et est devenue impossible en raison de la pnurie d'adresse Ipv4. Elle est de ce fait rserve aux pionniers dInternet (militaires, universits, entreprises de tlcom...). Sans un VPN, une trame destination dun rseau priv ne peut pas circuler sur Internet :
www.smile.fr
Page 11
www.smile.fr
En revanche, via lencapsulation, on embarque cette trame dans une trame routable sur Internet, et voici ce que devient le schma prcdant :
Une trame encapsule ressemble ceci :
Page 12
www.smile.fr
Au niveau du systme dexploitation, une interface virtuelle sert rendre transparent le traitement de la trame. Ainsi nimporte quelle application peut fonctionner sans avoir connaissance du VPN :
Page 13
Il est bien sr possible denchaner les tunnels, si linterface de base est une interface virtuelle, le mme processus se rpte sur cette interface, encapsulant une nouvelle fois le trafic, et ce jusqu' retomber sur une interface physique de la machine, qui enverra rellement la trame sur le fil.
Dimensionnement
Lencapsulation, en particulier lorsquelle est complte par le chiffrement des changes, prsente un cot non ngligeable. Cest pourquoi les quipements VPN sont souvent ddis, ou cohabitent avec des firewalls rseau qui consomment peu de ressources. Le cot de lencapsulation est rarement limitant pour peu que lon utilise des serveurs rcents. Un serveur bas de gamme encaissera sans problmes 10 Mbps de trafic chiffr, un serveur un peu plus performant et quip de cartes rseau haut de gamme pourra assurer des connexions entre rseaux plus rapides (au dessus de 100 Mbps). Ces limites apparaissent en revanche beaucoup plus vite sur des quipements ddis possdant des processeurs de faible puissance.
www.smile.fr
Il est galement utile de noter que certains serveurs ou quipements spcialiss peuvent tre quips de puces d'acclration cryptographique, qui assurent le support dun ou plusieurs mcanismes de chiffrement. Pour peu que lon configure un mcanisme support au niveau du logiciel qui assure le chiffrement, et que le systme d'exploitation supporte cette fonctionnalit, le processeur sera considrablement dcharg.
Page 14
3 LES VPN OPEN SOURCE

Lopen source tant un mouvement pionnier en matire de technologies rseau, loffre en matire de VPN est trs fournie. Nous avons cependant choisi de prsenter les produits les plus matures, qui sont des rfrences dans leur domaine.
3.1 OpenSSH
OpenSSH est le logiciel le plus utilis pour lexport de console, il est utilis sur prs de 90% des serveurs de type UNIX dans le monde, pour les tches dadministration. Au fil des annes, OpenSSH sest toff de nombreuses fonctionnalits qui permettent de lutiliser bien au del de la classique console rseau que tous les administrateurs UNIX connaissent bien. Prcisons qu'il ne s'agit pas proprement parler d'une solution de VPN traditionnelle , mais elle fournit les mmes services plus petite chelle.
www.smile.fr
3.1.1 Redirection de port

La fonctionnalit alternative la plus connue de SSH est la redirection de ports. Une fois connect un serveur via une connexion SSH, un client peut demander ce que le serveur lui transmette des connexions vers dautres machines, la manire dun proxy via une encapsulation du trafic. Lune des principales applications de cette technique est de scuriser un protocole qui initialement ne lest pas, par exemple VNC :
Page 15
www.smile.fr
Ici, le serveur de destination nest pas accessible depuis Internet car VNC nest pas un protocole sr. En revanche, il est accessible depuis le serveur passerelle SSH, lui-mme accessible depuis Internet. Le client va donc s'authentifier auprs du serveur SSH, puis ouvrira une connexion VNC qui sera en clair entre le serveur et la passerelle SSH, puis chiffre de la passerelle lutilisateur. Une autre possibilit est louverture dun proxy dynamique. Une fois connect, le client peut utiliser le serveur SSH comme un proxy SOCKS, et sen servir pour relayer les connexions vers la plupart des services rseau, notamment les mails, la navigation web, etc. Cette possibilit ntant pas limite un seul serveur la fois, elle se rapproche dune configuration VPN. Ces applications de OpenSSH sont utiles dans certaines circonstances, et offrent certains avantages du VPN pour un cot de mise en place extrmement faible. Cependant elles sont vite limites, et rserves aux utilisateurs avertis, par exemple des administrateurs rseau.
3.1.2 Tunnel scuris

Les techniques de la partie prcdente sont gnralement utilises pour des accs au rseau par un utilisateur. OpenSSH propose aussi une solution dinterconnexion entre rseaux plus robuste : la redirection dinterface.
Page 16
Elle permet de partager une carte rseau virtuelle entre deux machines? Il sagit dune solution plus souple car lensemble des capacits rseau de Linux sont accessibles (routage, filtrage, haute disponibilit, etc.). Lensemble des trames rseau envoyes sur cette carte virtuelle, dans un sens comme dans lautre, rapparait sur lautre machine, aprs avoir t chiffr et transmis au travers la connexion SSH. Cette technique permet de monter rapidement un VPN entre deux machines UNIX pour un besoin ponctuel, elle est cependant peu utilise pour de linterconnexion dfinitive, au profit de solutions plus interoprables et configurables. OpenSSH offre donc des possibilits de VPN rduites, pratiques pour une mise en place daccs rapide. Cependant labsence de connexion avec un annuaire ou dintgration dans une PKI rend le dploiement de OpenSSH grande chelle difficile.
www.smile.fr
3.2 OpenVPN
OpenVPN est le fer de lance dune catgorie de VPN assez rcente : les VPN SSL. Ces derniers rutilisent les mcanismes du chiffrement SSL pour authentifier et chiffrer les connexions. OpenVPN est bas sur le produit OpenSSL, la principale implmentation libre du protocole SSL, tant en terme de qualit que dadoption, et sappuie sur ses routines de chiffrement et de vrification didentit pour assurer une trs bonne scurisation des donnes. Lutilisation de OpenVPN requiert une PKI X509, comme tout systme bas sur SSL. Lavantage est bien sr de pouvoir rutiliser une PKI existante, le certificat personnel dun utilisateur lui permettant de sauthentifier auprs du VPN.
3.2.1 Principe
OpenVPN est une solution relativement complte qui permet plusieurs modes de fonctionnement, plusieurs modes dencapsulation et plusieurs mthodes dauthentification. Le point fort dOpenVPN est sa capacit fonctionner presque sans configuration ds lors que lon possde une PKI. Ce qui le rend trs attractif pour la mise en place dune solution de connexion distance pour les employs dune entreprise.
Page 17
3.2.2 Poste rseau

Les avantages de OpenVPN en mode poste rseau sont multiples, citons :

Intgration immdiate dans une PKI X509 Ne ncessite qu'un flux rseau sur le port 1194 (TCP/UDP au choix) : les clients peuvent donc sans aucun problme se situer derrire un quipement faisant des translations d'adresse. Possibilit de traverser les proxies HTTPS, par exemple pour une utilisation depuis un rseau dentreprise. Possibilit de configurer le serveur pour tester la validit des certificats selon nimporte quel critre (LDAP, Active Directory, RADIUS, etc.) Disponible sous Windows, Mac, et UNIX
www.smile.fr
3.2.3 Rseau rseau

OpenVPN est particulirement adapt aux configurations poste rseau, mais il est galement utilisable en interconnexion de rseaux. Dans ce cas de figure, son principal problme est sa dissymtrie, comme voqu en dbut de ce livre blanc : il est indispensable de dsigner une machine cliente et une machine serveur ce qui na pas vraiment de sens dans une interconnexion un pour un. Cette dissymtrie se retrouve aussi bien au niveau de la connexion proprement dire (si TCP est utilis) que au niveau de lauthentification (le serveur vrifie lidentit du client). De plus ladministration est considrablement alourdie car il est ncessaire dcrire un fichier de configuration par serveur distant sur chaque nud, et douvrir un port du firewall pour chaque connexion ct serveur. Par exemple pour interconnecter compltement 6 nuds il y a 15 connexions, donc 15 ouvertures de port faire, et ainsi de suite. OpenVPN en mode rseau rseau nest donc adapt qu de petites infrastructures, et on lui prfrera IPsec ds que le nombre de rseaux interconnecter dpassera 4 ou 5.
Page 18
3.3 IPsec
3.3.1 Introduction
Contrairement OpenVPN, les VPN de type IPsec nutilisent pas SSL, mais des protocoles de niveau 3 ddis : ESP et AH. ESP est un protocole qui permet dassurer la confidentialit et lintgrit des trames. Il est donc plus utilis que AH qui lui nassure que lintgrit. Cependant, contrairement AH, ce protocole ne garantit pas lintgrit du niveau 3, ce qui permet de lutiliser dans des situations de type NAT (o le niveau 3 du paquet est modifi pendant le trajet). En pratique, la plupart des solutions IPsec en mode client rseau implmentent le NAT-T (traverse de NAT), qui encapsule le trafic ESP dans des paquets UDP, leur permettant ainsi de traverser plus facilement les passerelles rseau.
www.smile.fr
Il existe deux modes dutilisation de IPsec : le mode transport, et le mode tunnel. Le mode transport est celui qui nous intresse le moins: il permet simplement de chiffrer le trafic entre deux machines partir du niveau 4. Ce mode est donc idal lorsque le routage est fait en amont et que les changes rseaux ont lieu sur un canal de communication non scuris. Une utilisation typique de cette utilisation est la protection dun rseau Wifi. Voici le fonctionnement dtaill du mode transport :
Un paquet a t rout destination dune machine protge par IPsec Les donnes (niveau 4) du paquet sont chiffres et encapsules dans un nouveau paquet ESP Le paquet ESP est envoy la destination La destination reoit le paquet en provenance dune source protge par IPsec La destination dchiffre le paquet et le traite.
Lautre mode dutilisation de IPsec est le mode tunnel, qui permet une encapsulation de toute la trame partir du niveau 3. Chaque tunnel possde une adresse de sortie vers laquelle est envoy lensemble du trafic. Voici le fonctionnement dtaill du mode tunnel :
Page 19
Un paquet arrive lentre du tunnel, destination du rseau de sortie. La destination et les donnes (niveau 3) du paquet sont chiffrs et encapsuls dans un nouveau paquet ESP Le paquet ESP est envoy lautre extrmit du tunnel. Cette dernire reoit le paquet en provenance de lentre du tunnel IPsec La sortie du tunnel dchiffre le paquet, et lenvoie sa destination dorigine.
www.smile.fr
On voit bien que le mode tunnel permet de "coller" virtuellement deux rseaux initialement disjoints, alors que le mode transport ne fait quassurer la scurit des donnes transmises. On est bien dans un cas de rseau priv virtuel. Il existe une ide prconue selon laquelle IPsec est exclusivement un protocole de VPN. En ralit IPsec est simplement un protocole de scurisation des changes rseau qui permet, dans un de ses modes de fonctionnement, de mettre en place un VPN.
3.3.2 Gnralits
IPsec est un protocole complexe, qui ncessite l'utilisation de multiples secrets cryptographiques dont la configuration est bien trop lourde pour tre gre facilement par un administrateur : il faudrait qu'il intervienne chaque tablissement de session. Cest pourquoi on utilise gnralement un troisime protocole, IKE, pour automatiser une grande partie de la ngociation. IKE permet de ngocier ltablissement de tous les paramtres du tunnel en se basant sur :

Un mot de passe partag Un certificat X509 Une cl publique DSA (similaires lauthentification SSH) Dautres critres selon les implmentations (mot de passe, etc.)
IPsec possde quelques srieux avantages par rapport aux autres solutions prsentes ici :
Le protocole est un standard industriel, il est implment dans de nombreux quipements rseaux de diffrentes constructeurs. Le choix de IPsec est donc un gage dinteroprabilit y compris avec des solutions propritaires.
Page 20
Le protocole est mature et trs rpandu, ses implmentations sont prouves. En termes rseau, le protocole fonctionne sur un port bien dfini quel que soit le nombre de clients, il suffit douvrir le firewall une seule fois pour supporter tout les futurs tunnels. IPsec se prte trs bien de gros quipements centraux supportant des centaines de tunnels.
En revanche :
La configuration dun VPN IPsec est complexe, mme avec le systme IKE. Au sein dune mme implmentation, la configuration est souvent simplifie. En revanche ds que lon souhaite se connecter une implmentation diffrente il faut configurer tous les paramtres explicitement. Certaines implmentations proposent des fonctionnalits avances qui ne sont pas disponibles dans dautres (notamment pour lauthentification).
www.smile.fr
3.3.3 IPsec sous Linux et FreeBSD

FreeBSD a t lun des premiers systmes dots dune implmentation IPsec. Cette implmentation t initie par le projet KAME, un conglomrat duniversits et de socits de tlcommunications japonaises. KAME sest rendu clbre pour avoir t un pionnier dIPv6, dont les fonctions de scurit ont t rcupres pour devenir IPsec. Nous mentionnerons par la suite FreeBSD car cest lOS de la famille BSD le plus connu, mais NetBSD et DragonflyBSD fonctionnent exactement de la mme faon, ayant eux-aussi hrit des travaux de KAME. Seul OpenBSD, qui sera dtaill plus loin, possde une implmentation diffrente. IPsec est un protocole fortement intgr dans les noyaux de Linux et de FreeBSD, presque transparent, contrairement OpenVPN qui lui est beaucoup plus haut niveau : il utilise sa propre interface virtuelle et est presque entirement gr par un processus au lieu de fonctions noyau. Limplmentation du protocole IPsec sous ces deux systmes est en deux parties. Dune part on retrouve limplmentation cot noyau des protocoles de chiffrement et dencapsulation, et dautre part les outils permettant ladministration et le dmon IKE pour lchange des cls. Ces outils sont la partie visible de limplmentation et sont communs Linux et FreeBSD : leur nom officiel est IPsec Tools . Notons titre de
Page 21
curiosit que si Linux et FreeBSD utilisent une implmentation noyau diffrente, tout deux partagent ces mmes outils, issus du projet KAME. La configuration de ces outils se fait en deux temps :

Configuration ct noyau Configuration de lchange de cls
Il est possible de ne configurer que le noyau si on spcifie tous les paramtres de la session IPsec manuellement, des fins de test. linverse, il est possible dutiliser le dmon dchange de cls pour mettre en place les rglages du noyau si il fonctionne en mode passif, cest dire s'il ne fait quattendre les connexions de clients. La configuration est assez peu intuitive. Voici une rgle qui dfinit un tunnel entre deux rseaux (10.0.1.0/24 et 10.0.2.0/24), dont les passerelles respectives sont 192.168.1.1 et 192.168.2.1 (on se place sur la passerelle 192.168.1.1, les rgles sont naturellement inverses sur lautre passerelle ) :
spdadd 10.0.1.0/24 10.0.2.0/24 any -P out ipsec esp/tunnel/192.168.1.1-192.168.2.1/require ; spdadd 10.0.2.0/24 10.0.1.0/24 any -P in ipsec esp/tunnel/192.168.2.1-192.168.1.1/require ;
www.smile.fr
Et la configuration associe au niveau du dmon IKE (racoon) :

# Phase 1 : connexion la passerelle distante et tablissement d'une session # chiffre au moyen d'un mot de passe partag remote 192.168.2.1 { exchange_mode main; proposal { encryption_algorithm 3des; hash_algorithm md5; authentication_method pre_shared_key; dh_group modp1024; } } # Phase 2 : ngociation du tunnel sainfo address 10.0.1.0/24 any address 10.0.2.0/24 any { encryption_algorithm 3des; authentication_algorithm hmac_md5; compression_algorithm deflate ; }
Page 22
3.3.4 IPsec sous OpenBSD

OpenBSD utilise une implmentation et des outils dadministration similaires FreeBSD et Linux, ses principales diffrences sont :

Un seul fichier de configuration pour le noyau et le dmon IKE Syntaxe beaucoup plus accessible que IPsec Tools Prsence dun dmon de synchronisation des associations de scurit pour assurer la redondance de la passerelle IPsec et la bascule sans interruption de service en cas de panne ou d'arrt de maintenance.
La configuration de IPsec sous OpenBSD est particulirement simplifie. Voici le fichier de configuration tablissant un tunnel entre les deux passerelles de lexemple prcdent sous OpenBSD :
www.smile.fr
ike esp from 10.0.1.0/24 to 10.0.2.0/24 peer 192.168.2.1
Contrairement lexemple prcdent, il ny a aucune redondance, le tunnel et lchange de cls sont configurs au mme endroit. Bien entendu cette simplicit de la syntaxe cache une grande part dimplicite: ds lors quon voudra tablir un tunnel avec un autre systme que OpenBSD, il faudra prciser les paramtres comme lalgorithme de chiffrement utilis, la dure des sessions, etc. De mme si lon souhaite mettre en place une politique IPsec plus complexe quun simple tunnel.
3.4 Openswan
Openswan est une implmentation IPsec pour Linux, descendante du projet FreeS/WAN qui ft la premire implmentation complte de IPsec sous Linux avant dtre abandonn pour une implmentation officielle couple IPsec Tools. En comparaison IPsec Tools, Openswan prsente lavantage dune configuration plus simple, centralise dans un seul fichier :
conn net-to-net left=192.168.1.1 leftsubnet=10.0.1.0/24 leftid=192.168.1.1 leftnexthop=%defaultroute right=192.168.2.1 rightsubnet=10.0.2.0/24 rightid=192.168.2.1 rightnexthop=%defaultroute auto=add
# correct in many situations
# correct in many situations
Page 23
4 OUTILS DADMINISTRATION
Comme pour les firewalls, il existe des outils intgrs permettant dadministrer plus facilement des VPN. La plupart des distributions firewall comme IPCop ou pfSense, proposent une interface pour la mise en place de VPN via plusieurs protocoles, le plus souvent OpenVPN et IPsec. Ces outils permettent de faciliter ladministration au quotidien et de mettre facilement en place un VPN pour un administrateur qui ne matrise pas toutes les subtilits dun protocole comme IPsec. En revanche, pour des gros sites comportant des centaines de tunnels, lutilisation de scripts ou de fichiers de macros pour gnrer les configurations savrera souvent plus efficace quune interface cliquable.
www.smile.fr
Page 24
5 EXEMPLES DARCHITECTURES RETOURS DEXPRIENCE
ET
Aprs cette prsentation des outils et principes, nous allons maintenant prsenter quelques cas dutilisation courants de solutions VPN.
5.1 PME
Le premier exemple sera une petite entreprise disposant dune seule implantation. Lentreprise a externalis une partie de ses ressources informatiques dans un datacenter, mais na pas les moyens dun lien dinterconnexion ddi. De plus, lentreprise souhaite permettre certains de ses employs de travailler distance. Voici le schma de la situation :
www.smile.fr
Ct hbergeur, le seul quipement de routage disponible est un routeur Cisco, compatible IPsec. Ct local, lentreprise utilise une passerelle Linux servant de routeur et pare-feu. Le choix de IPsec pour linterconnexion entre les deux rseaux est donc naturel. Cependant, il aurait t possible dutiliser un des serveurs hbergs pour servir de
Page 25
passerelle pour une autre solution de VPN, telle que OpenVPN. Mais cette solution compliquerait lgrement le routage. Pour la connexion des employs mobiles au rseau, il est galement possible dutiliser un client Cisco pour se connecter directement la plate-forme hberge, et mettre en place une deuxime solution de VPN pour la connexion au rseau interne. Cependant, pour une plus grande souplesse, lentreprise a choisi OpenVPN, et ce pour plusieurs raisons :

Les employs nont quun logiciel client grer OpenVPN permet de grer finement les droits daccs en consultant lannuaire de lentreprise. OpenVPN permet de router le trafic aussi bien vers le rseau interne que vers le rseau hberg travers le tunnel IPsec dinterconnexion.
www.smile.fr
En revanche, cette solution prsente quelques inconvnients :
Elle est dpendante de ltat de la connexion de lentreprise Internet Si le client accde la plate forme hberge, les trames rseau font un allez-retour entre Internet et le routeur, ce qui est consommateur de bande passante.
Cette solution part bien sr du principe que les clients nomades sont intresss avant tout par les ressources prsentes sur le rseau interne et non sur le rseau hberg. En effet, si les connexions des clients nomades se font en majorit vers le rseau hberg, il sera plus efficace de les y connecter directement. De mme, si elles reprsentent la moiti de lutilisation du VPN, une connexion double aux deux rseaux est envisageable. Dans notre exemple, cependant, cette possibilit nest laisse qua titre de commodit, et reprsente une petite partie du trafic.
Page 26
Voici la situation finale :
www.smile.fr
Cette solution nous permet de constater deux choses :
Elle montre quon peut mettre en place, sur le mme quipement, des fonctions de filtrage, de routage et de VPN. Cest un cas relativement classique surtout dans les petites entreprises o une seule machine fait office de passerelle. Des produits intgrs comme IPCop ou pfSense se prtent trs bien ce rle. Elle montre que deux technologies de VPN peuvent cohabiter sur une mme machine.
Le dernier point mrite quelques claircissements : toutes les solutions de VPN ne sont pas par nature cumulables sur un mme quipement rseau. Selon que lencapsulation est effectue telle ou telle tape du traitement des trames, il peut y avoir des conflits. Dans la pratique, les solutions essayent de limiter leur impact et de se reposer sur des infrastructures standard (interfaces virtuelles, routage, etc.) de manire tre aussi transparentes que possible. Dans la pratique, IPsec et OpenVPN peuvent cohabiter sur un mme serveur, mais le routage des trames provenant de OpenVPN directement dans un tunnel IPsec tabli sur la mme machine ncessite une configuration particulirement subtile.
Page 27
5.2 Grande entreprise

Dans ce deuxime exemple, on sintresse une entreprise plus importante possdant :

Un sige hbergeant des applications mtier. Plusieurs agences, applications. dont certaines hbergent leurs propres
Une filiale ltranger qui ne permet pas la mise en place dun lien rseau ddi. Des employs en dplacement ou en tltravail susceptibles de se connecter au rseau (leur poste, les applications, etc.). Un prestataire applications. qui assure la maintenance de certaines
www.smile.fr
Un rseau Wifi au sige, pour les visiteurs et les employs en runion.
La mise en place de diffrents VPN permet de rpondre aux besoins suivants :
VPN 1 : Interconnecter les rseaux dagence en garantissant la scurit des transmissions. VPN 2 : Connecter la filiale au rseau travers Internet VPN 3 : Permettre aux employs de se connecter au rseau VPN 4 : Permettre au prestataire de se connecter aux serveurs dont il a la charge VPN 5 : Permettre aux utilisateurs du Wifi de se connecter aux applications internes de faon scurise.
Page 28
Chacun de ces VPN a des objectifs diffrents :
Authentifier les Assurer la utilisateurs confidentialit
Permettre laccs un rseau nonroutable
VPN 1 VPN 2 VPN 3 VPN 4 VPN 5 x x
x x x x x x x x
La solution suivante a t retenue :
www.smile.fr
Voyons prsent les dtails.
5.2.1 VPN 1 : Interconnexion dagences sur un lien ddi

Il sagit plus dun cas dcole que dun rel besoin, la prsence dun lien ddi permet dliminer la plupart des problmes dinterconnexion, en particulier de routage, que lon peut rencontrer habituellement sur Internet. Cependant, par scurit, il est prfrable de protger par un VPN les donnes qui circulent entre les filiales, afin dtre certain que les
Page 29
changes ne sont pas espionns ou pire, altrs, par une personne stant introduite dans un local technique avec un analyseur de trames par exemple. Le besoin est donc relativement facile satisfaire, il sagit dun candidat dsign pour IPsec en mode transport : pas de modification des adresses rseau puisquon reste sur le rseau priv de lentreprise, et pas de problmatique dauthentification complexe.
5.2.2 VPN 2 : Interconnexion dagences via Internet

Il s'agit cette fois d'un cas courant : la protection des donnes circulant sur Internet est une ncessit, et il est indispensable dutiliser de lencapsulation de paquets pour pouvoir router entre deux rseaux privs.
www.smile.fr
Ici encore, le choix est rapide : IPsec en mode tunnel est tout dsign. De plus l'interoprabilit de IPsec fait que si la filiale provient dun rachat, les chances de sinterconnecter facilement avec les quipements existants sont trs leves.
5.2.3 VPN 3 : Connexion des employs mobiles

Comme nous lavons dj voqu, ce type de VPN est assez diffrent des deux premiers : en effet les clients nont pas dIP fixe, et souhaitent seulement accder des ressources et non rendre leurs propres ressources accessibles. Dautre part, il doit tre possible dauthentifier chaque connexion bien quelles proviennent dIP inconnues lavance, et il faut pouvoir anticiper les problmes tels que le vol de matriel. OpenVPN permet de rpondre ces besoins, en sintgrant facilement dans la PKI de lentreprise (ou en fournissant les outils pour crer une PKI s'il nen existe pas), et en permettant une authentification forte : le client devra dune part possder un certificat valide, et dautre part fournir son login et son mot de passe au moment de la connexion pour tre accept. De plus, des contrles au niveau de lannuaire permettront de restreindre laccs aux membres dun groupe prdtermin. Tous ces mcanismes sont prsents dans OpenVPN et ne demandent que trs peu de configuration : il suffit dcrire quelques courts scripts pour mettre en place les contrles ct serveur. Cette architecture permet de changer facilement le mode dauthentification en fonction des besoins, par exemple en cas de changement dannuaire, ou si lon souhaite intgrer la notion de plage horaire. Cette solution prsente cependant un inconvnient : OpenVPN ncessite un logiciel install sur les postes client (il est cependant multi-
Page 30
plateformes et lger), et nest quipements tels que les PDA.
pas
toujours
disponible
sur
les
5.2.4 VPN 4 : Connexion temporaire avec un prestataire de services

Ce cas est similaire au VPN 3 : on souhaite permettre laccs des ressources internes depuis lextrieur. La courte dure de vie de cet accs, et la relation entre les deux intervenants font qu'un systme client-serveur est adapt. On a choisi OpenVPN car la configuration rseau est plus simple : il n'y a quun port ouvrir en entre pour lentreprise, et un port ouvrir en sortie pour le prestataire. De plus le prestataire peut garder son certificat X.509 et le rutiliser pour une future intervention sur un autre serveur. On notera quun tunnel SSH est parfois suffisant pour ce type dutilisation, et partage les avantages de OpenVPN en termes de facilit de mise en place, mais est plus compliqu manipuler pour le prestataire.
www.smile.fr
5.2.5 VPN 5 : Wifi scuris

On oublie trop souvent que les rseaux Wifi sont par nature trs difficiles scuriser : lensemble du trafic peut tre intercept par nimporte quelle station, et les protocoles de scurit les plus rpandus (WEP et WAP) souffrent de failles qui les rendent pratiquement inutiles et crent lillusion de la scurit. Les protocoles de scurisation plus srieux, comme WPA-Entreprise sont pour leur part difficiles mettre en place. Un VPN permet de protger efficacement le trafic sur un rseau Wifi. Il sagit dune mthode alternative peu employe mais trs robuste. En effet alors que les solutions telles que WEP tentent de scuriser les couches infrieures de la transmission (1 et 2), un VPN se place lgrement plus haut (gnralement la couche 3 voire 4 pour IPsec en mode transport). De plus, au plan cryptographique, les algorithmes des VPN sont beaucoup plus fiables et la phase dauthentification, qui est le talon dAchille de la scurit Wifi, est beaucoup plus sre. Ce cas de figure reprend donc lidentique les principes du VPN 3, la diffrence que le rseau intermdiaire nest plus Internet mais le rseau Wifi de lentreprise, et que le point de sortie du VPN nest plus au cur du rseau mais limit aux serveurs dapplication. On notera que cette solution est celle utilise dans certaines salons sur la scurit informatique pour protger les rseaux Wifi contre la curiosit des participants.
Page 31
6 CONCLUSION
D'une manire gnrale, la scurit est l'un des domaines de prdilection de l'open source, d'une part parce que l'ouverture du code est un prrequis l'assurance d'intgrit et l'absence de back-doors, et d'autre part parce que le peer-review que permet la libre diffusion est la condition ncessaire d'un code de qualit. En matire de VPN, les solutions open source sont particulirement matures et robustes, et couramment utilises. OpenVPN et les diverses implmentations IPsec sont au coude coude en matire de fonctionnalit, et le choix final se fera bien souvent sur la facilit de mise en place de telle ou telle solution ou sur la ncessit d'interagir avec des quipements propritaires qui souvent liminent OpenVPN de lquation. Si ce petit avant-got vous a sembl pertinent, n'hsitez pas faire appel l'expertise de Smile pour dployer vos solutions de scurit et d'infrastructure.
www.smile.fr
Les livres blancs Smile

Introduction lopen source et au Logiciel Libre
Son histoire, sa philosophie, ses grandes figures, son march, ses modles conomiques, ses modles de support et modles de dveloppement. [52 pages] Cent et quelques bonnes pratiques du web , usages et astuces, incontournables ou tout simplement utiles et qui vous aideront construire un site de qualit. [26 pages]
Les 100 bonnes pratiques du web
ERP/PGI: les solutions open source

Des solutions open source en matire dERP sont tout fait matures et gagnent des parts de march dans les entreprises, apportant flexibilit et cots rduits. [121 pages]
Gestion de contenus : les solutions open source
Dans la gestion de contenus, les meilleures solutions sont open source. Du simple site la solution entreprise, dcouvrez loffre des CMS open source. [58 pages]
GED : les solutions open source

Les vraies solutions de GED sont des outils tout fait spcifiques ; lopen source reprsente une alternative solide, une large couverture fonctionnelle et une forte dynamique. [77 pages]
Portails : les solutions open source

Pour les portails aussi, lopen source est riche en solutions solides et compltes. Aprs les CMS, Smile vous propose une tude complte des meilleures solutions portails. [50 pages]
Rfrencement : ce quil faut savoir

Grce ce livre blanc, dcouvrez comment optimiser la "rfrenabilit" et le positionnement de votre site lors de sa conception. [45 pages]
200 questions pour choisir un CMS

Toutes les questions quil faut se poser pour choisir loutil de gestion de contenu rpondra le mieux vos besoins. [46 pages]
Dcisionnel : les solutions open source

Dcouvrez les meilleurs outils et suites de la business intelligence open source. [78 pages]
Conception d'applications web

Synthse des bonnes pratiques pour l'utilisabilit et l'efficacit des applications mtier construites en technologie web. [61 pages]
Collection Systme et Infrastructure :

Virtualisation open source [41 pages] Architectures Web open source [177 pages] Firewalls open source [58 pages] VPN open source [31 pages] Cloud Computing [42 pages] Middleware [91 pages]
Les livres blancs Smile sont tlchargeables gratuitement sur www.smile.fr

Les frameworks PHP
Une prsentation complte des frameworks et composants qui permettent de rduire les temps de dveloppement des applications, tout en amliorant leur qualit. [77 pages]
Contactez-nous, nous serons heureux de vous prsenter nos ralisations de manire plus approfondie ! +33 1 41 40 11 00 / sdc@smile.fr

LB Smile VPN

Transféré par

Informations du document

Titre original

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

LB Smile VPN

Transféré par

Droits d'auteur :

Formats disponibles

Page 2

VPN principes et outils open source

Smile Open Source Solutions

VPN principes et outils open source

Internet, Portails et e-Commerce

Smile Open Source Solutions

VPN principes et outils open source

VPN principes et outils open source

VPN principes et outils open source

Table des matires

3 LES VPN OPEN SOURCE...............................................................................14

4 OUTILS DADMINISTRATION........................................................................23 5 EXEMPLES DARCHITECTURES ET RETOURS DEXPRIENCE....................24

Smile Open Source Solutions

VPN principes et outils open source

Smile Open Source Solutions

VPN principes et outils open source

Smile Open Source Solutions

VPN principes et outils open source

Smile Open Source Solutions

VPN principes et outils open source

Smile Open Source Solutions

VPN principes et outils open source

Une trame encapsule ressemble ceci :

Smile Open Source Solutions

VPN principes et outils open source

Smile Open Source Solutions

VPN principes et outils open source

Smile Open Source Solutions

VPN principes et outils open source

3 LES VPN OPEN SOURCE

3.1.1 Redirection de port

Smile Open Source Solutions

VPN principes et outils open source

3.1.2 Tunnel scuris

Smile Open Source Solutions

VPN principes et outils open source

Smile Open Source Solutions

VPN principes et outils open source

3.2.2 Poste rseau

3.2.3 Rseau rseau

Smile Open Source Solutions

VPN principes et outils open source

Smile Open Source Solutions

VPN principes et outils open source

Smile Open Source Solutions

VPN principes et outils open source

3.3.3 IPsec sous Linux et FreeBSD

Smile Open Source Solutions

VPN principes et outils open source

Configuration ct noyau Configuration de lchange de cls

Et la configuration associe au niveau du dmon IKE (racoon) :

Smile Open Source Solutions

VPN principes et outils open source

3.3.4 IPsec sous OpenBSD

ike esp from 10.0.1.0/24 to 10.0.2.0/24 peer 192.168.2.1

# correct in many situations

# correct in many situations

Smile Open Source Solutions

VPN principes et outils open source

Smile Open Source Solutions

VPN principes et outils open source

5 EXEMPLES DARCHITECTURES RETOURS DEXPRIENCE

VPN principes et outils open source