Le concept de rseau priv virtuel

Les rseaux locaux d'entreprise (LAN ou RLE) sont des rseaux internes une organisation, c'est-dire que les liaisons entre machines appartiennent l'organisation. Ces rseaux sont de plus en plus souvent relis Internet par l'intermdiaire d'quipements d'interconnexion. Il arrive ainsi souvent que des entreprises prouvent le besoin de communiquer avec des filiales, des clients ou mme du personnel gographiquement loignes via internet. Pour autant, les donnes transmises sur Internet sont beaucoup plus vulnrables que lorsqu'elles circulent sur un rseau interne une organisation car le chemin emprunt n'est pas dfini l'avance, ce qui signifie que les donnes empruntent une infrastructure rseau publique appartenant diffrents oprateurs. Ainsi il n'est pas impossible que sur le chemin parcouru, le rseau soit cout par un utilisateur indiscret ou mme dtourn. Il n'est donc pas concevable de transmettre dans de telles conditions des informations sensibles pour l'organisation ou l'entreprise. La premire solution pour rpondre ce besoin de communication scuris consiste relier les rseaux distants l'aide de liaisons spcialises. Toutefois la plupart des entreprises ne peuvent pas se permettre de relier deux rseaux locaux distants par une ligne spcialise, il est parfois ncessaire d'utiliser Internet comme support de transmission. Un bon compromis consiste utiliser Internet comme support de transmission en utilisant un protocole d'"encapsulation" (en anglais tunneling, d'o l'utilisation impropre parfois du terme "tunnelisation"), c'est--dire encapsulant les donnes transmettre de faon chiffre. On parle alors de rseau priv virtuel (not RPV ou VPN, acronyme de Virtual Private Network) pour dsigner le rseau ainsi artificiellement cr. Ce rseau est dit virtuel car il relie deux rseaux "physiques" (rseaux locaux) par une liaison non fiable (Internet), et priv car seuls les ordinateurs des rseaux locaux de part et d'autre du VPN peuvent "voir" les donnes. Le systme de VPN permet donc d'obtenir une liaison scurise moindre cot, si ce n'est la mise en oeuvre des quipements terminaux. En contrepartie il ne permet pas d'assurer une qualit de service comparable une ligne loue dans la mesure o le rseau physique est public et donc non garanti.

Fonctionnement d'un VPN

Un rseau priv virtuel repose sur un protocole, appel protocole de tunnelisation (tunneling), c'est--dire un protocole permettant aux donnes passant d'une extrmit du VPN l'autre d'tre scurises par des algorithmes de cryptographie.

Le terme de "tunnel" est utilis pour symboliser le fait qu'entre l'entre et la sortie du VPN les donnes sont chiffres (cryptes) et donc incomprhensible pour toute personne situe entre les deux extrmits du VPN, comme si les donnes passaient dans un tunnel. Dans le cas d'un VPN tabli entre deux machines, on appelle client VPN l'lment permettant de chiffrer et de dchiffrer les donnes du ct utilisateur (client) et serveur VPN (ou plus gnralement serveur d'accs distant) l'lment chiffrant et dchiffrant les donnes du ct de l'organisation. De cette faon, lorsqu'un utilisateur ncessite d'accder au rseau priv virtuel, sa requte va tre transmise en clair au systme passerelle, qui va se connecter au rseau distant par l'intermdiaire d'une infrastructure de rseau public, puis va transmettre la requte de faon chiffre. L'ordinateur distant va alors fournir les donnes au serveur VPN de son rseau local qui va transmettre la rponse de faon chiffre. A rception sur le client VPN de l'utilisateur, les donnes seront dchiffres, puis transmises l'utilisateur ...

Les protocoles de tunnelisation

Les principaux protocoles de tunneling sont les suivants :

PPTP (Point-to-Point Tunneling Protocol) est un protocole de niveau 2 dvelopp par Microsoft, 3Com, Ascend, US Robotics et ECI Telematics. L2F (Layer Two Forwarding) est un protocole de niveau 2 dvelopp par Cisco, Northern Telecom et Shiva. Il est dsormais quasi-obsolte L2TP (Layer Two Tunneling Protocol) est l'aboutissement des travaux de l'IETF (RFC 2661) pour faire converger les fonctionnalits de PPTP et L2F. Il s'agit ainsi d'un protocole de niveau 2 s'appuyant sur PPP. IPSec est un protocole de niveau 3, issu des travaux de l'IETF, permettant de transporter des donnes chiffres pour les rseaux IP.

Le protocole PPTP
Le principe du protocole PPTP (Point To Point Tunneling Protocol) est de crer des trames sous le protocole PPP et de les encapsuler dans un datagramme IP. Ainsi, dans ce mode de connexion, les machines distantes des deux rseaux locaux sont connects par une connexion point point (comprenant un systme de chiffrement et d'authentification, et le paquet transite au sein d'un datagramme IP.

De cette faon, les donnes du rseau local (ainsi que les adresses des machines prsentes dans l'en-tte du message) sont encapsules dans un message PPP, qui est lui-mme encapsul dans un message IP.

Le protocole L2TP
Le protocole L2TP est un protocole standard de tunnelisation (standardis dans un RFC) trs proche de PPTP. Ainsi le protocole L2TP encapsule des trames protocole PPP, encapsulant ellesmmes d'autres protocoles (tels que IP, IPX ou encore NetBIOS).

Le protocole IPSec
IPSec est un protocole dfini par l'IETF permettant de scuriser les changes au niveau de la couche rseau. Il s'agit en fait d'un protocole apportant des amliorations au niveau de la scurit au protocole IP afin de garantir la confidentialit, l'intgrit et l'authentification des changes. Le protocole IPSec est bas sur trois modules :

IP Authentification Header (AH) concernant l'intgrit, l'authentification et la protection contre le rejeu. des paquets encapsuler Encapsulating Security Payload (ESP) dfinissant le chiffrement de paquets. ESP fournit la confidentialit, l'intgrit, l'authentification et la protection contre le rejeu. Security Assocation (SA) dfinissant l'change des cls et des paramtres de scurit. Les SA rassemblent ainsi l'ensemble des informations sur le traitement appliquer aux paquets IP (les protocoles AH et/ou ESP, mode tunnel ou transport, les algo de scurit utiliss par les protocoles, les cls utilises,...). L'change des cls se fait soit de manire manuelle soit avec le protocole d'change IKE (la plupart du temps), qui permet aux deux parties de s'entendre sur les SA

...

Mise en place d'un VPN sous Windows XP

Windows XP permet de grer nativement des rseaux privs virtuels de petite taille, convenant pour des rseaux de petites entreprises ou familiaux (appels SOHO, pour Small Office/Home Office). Ainsi pour mettre en place un rseau priv virtuel il suffit d'installer au niveau du rseau local un serveur d'accs distant (serveur VPN) accessible depuis Internet et de paramtrer chaque client pour lui permettre de s'y connecter.

Installation du serveur VPN sous Windows XP

Dans notre exemple nous admettrons que la machine destine faire office de serveur VPN sur le rseau local possde deux interfaces; une vers le rseau local (une carte rseau par exemple) et une vers Internet (une connexion ADSL ou une connexion par cble par exemple). C'est via son interface connecte Internet que les clients VPN se connecteront au rseau local. Afin de permettre cette machine de grer des rseaux privs virtuels, il suffit d'ouvrir l'lment Connexions rseau (Network Connection) dans le Panneau de configuration. Dans la fentre ainsi ouverte, double-cliquez sur Assistant de nouvelle connexion (New connection wizard) :

Appuyez ensuite sur la touche Suivant :

Parmi les trois choix proposs dans la fentre, slectionnez "Configurer une connexion avance" :

Dans l'cran suivant slectionnez "Accepter les connexions entrantes" :

L'cran suivant prsente des priphriques slectionner pour une connexion directe. Il se peut qu'aucun priphrique ne soit propos. Sauf besoin particulier vous n'aurez pas besoin d'en slectionner :

Dans la fentre suivante slectionnez "Autoriser les connexions prives virtuelles" :

Une liste des utilisateurs du systme apparat, il suffit de slectionner ou ajouter les utilisateurs autoriss se connecter au serveur VPN :

Slectionnez ensuite la liste des protocoles autoriss via le VPN :

Un clic sur le bouton Proprits associ au protocole TCP/IP permet de dfinir les adresses IP que le serveur affecte au client pour toute la dure de la session. Si le rseau local sur lequel se trouve

le serveur ne possde pas d'adressage spcifique vous pouvez laissez le serveur dterminer automatiquement une adresse IP. Par contre si le rseau possde un plan d'adressage spcifique vous pouvez dfinir la plage d'adresse affecter :

La configuration du serveur VPN est dsormais acheve, vous pouvez cliquer sur le bouton Terminer :

Installation du client VPN sous Windows XP

Afin de permettre un client de se connecter votre serveur VPN, il est ncessaire de dfinir tous les paramtres de connexion (adresse du serveur, protocoles utiliser, ...). L'assistant de nouvelle connexion disponible partir de l'icne Connexions rseau du panneau de configuration permet cette configuration :

Appuyez ensuite sur la touche Suivant :

Parmi les trois choix proposs dans la fentre, slectionnez "Connexion au rseau d'entreprise" :

Dans l'cran suivant slectionnez "Connexion rseau priv virtuel" :

Entrez ensuite un nom dcrivant au mieux le nom du rseau priv virtuel auquel vous souhaitez vous connecter :

L'cran suivant permet d'indiquer si une connexion doit tre tablie pralablement la connexion au rseau priv virtuel. La plupart du temps (si vous tes sur une connexion permanente, un accs ADSL ou cble) il ne sera pas ncessaire d'tablir la connexion puisque l'ordinateur est dj connect Internet, dans le cas contraire slectionnez la connexion tablir dans la liste :

Afin d'accder au serveur d'accs distant (serveur VPN ou hte) il est indispensable de spcifier son adresse (adresse IP ou nom d'hte). Si celui-ci ne possde pas une adresse IP fixe, il sera ncessaire de l'quiper d'un dispositif de nommage dynamique (DynDNS) capable de lui affecter un nom de domaine et de spcifier ce nom dans le champ ci-dessous :

Une fois la dfinition de la connexion VPN termine, une fentre de connexion demandant un nom d'utilisateur (login) et un mot de passe s'ouvre vous :

Avant de se connecter il est ncessaire de procder quelques rglages en cliquant sur le bouton Proprits en bas de fentre. Une fentre comportant un certain nombre d'onglets permet ainsi de paramtrer plus finement la connexion. Dans l'onglet Gestion de rseau slectionnez le protocole PPTP dans la liste droulante, slectionnez le protocole Internet (TCP/IP) et cliquez sur Proprits :

La fentre s'affichant permet de dfinir l'adresse IP que la machine cliente aura lors de la connexion au serveur d'accs distant. Cela permet d'avoir un adressage cohrent avec l'adressage distant. Ainsi le serveur VPN est capable de faire office de serveur DHCP, c'est--dire de fournir automatiquement une adresse valide au client VPN. Pour ce faire il suffit de slectionner l'option "Obtenir une adresse automatiquement" :

Dans le cas o le client utilise le DHCP, si le serveur affecte une adresse IP interne, le client sera connect au rseau d'entreprise et bnficiera des services de celui-ci mais n'aura plus accs Internet via l'interface utilise car l'adresse IP n'est pas routable. Afin de permettre au client d'tre connect au VPN tout en ayant accs Internet travers cette connexion il faut que le serveur VPN soit configur de telle manire partager sa connexion Internet ! Ainsi le bouton Avanc permet de faire en sorte que le client utilise la passerelle du serveur VPN dans le cas o ce dernier partage sa connexion :

Afin de pouvoir mettre en place la liaison VPN, il est ncessaire que les firewalls intermdiaires, notamment le pare-feu natif de XP, soient configurs de manire laisser s'tablir la connexion. Ainsi, il est ncessaire de dsactiver le pare-feu natif de Windows XP de la faon suivante : Dans le panneau de configuration cliquez sur Connexions rseau, Cliquez avec le bouton droit sur la connexion que vous utilisez, Slectionnez l'onglet Paramtres avancs, Assurez-vous que l'option Pare-feu de connexion Internet est dsactive

Un VPN repose sur un protocole, appel protocole de tunnelisation, c'est--dire un protocole permettant aux donnes passant d'une extrmit l'autre du VPN d'tre scurises par des algorithmes de cryptographie. Le terme tunnel est utilis pour symboliser le fait qu'entre l'entre et la sortie du VPN les donnes sont chiffres et donc normalement incomprhensibles pour toute personne situe entre les deux extrmits du VPN, comme si les donnes passaient dans un tunnel. De plus, crer un tunnel signifie aussi encapsuler un protocole dans un protocole de mme niveau du modle OSI (IP dans IPSec par exemple). Dans le cas d'un VPN tabli entre deux machines, on appelle client VPN l'lment permettant de chiffrer les donnes l'entre et serveur VPN (ou plus gnralement serveur d'accs distant) l'lment dchiffrant les donnes en sortie. Ainsi, lorsqu'un systme extrieur un rseau priv (client nomade, agence ou travailleur domicile) souhaite se connecter au rseau de son entreprise :

Les paquets (qui contiennent les donnes) sont chiffrs par le client VPN (selon l'algorithme dcid par les deux interlocuteurs lors de l'tablissement du tunnel VPN) et ventuellement signs. Ils sont transmis par le biais du rseau transporteur (internet en gnral). Ils sont reus par le serveur VPN qui les dchiffre et les traite si les vrifications requises sont correctes.

Au XXIe sicle, la plupart des oprateurs telecom ont adopt la technologie MPLS pour la mise en uvre d'un service un peu abusivement appel VPN car n'offrant pas de confidentialit en l'absence de chiffrement