Vous êtes sur la page 1sur 4

Mettre en uvre un VPN (rseau priv virtuel)

Un VPN (rseau priv virtuel) a pour fonction de faire abstraction des distances et de relier de faon scurise travers Internet les diffrentes entits dune entreprise. Ces entits peuvent tre des tablissements (sige social, agence, dpts, usines), des collaborateurs itinrants (nomades) ou travaillant domicile (tl-travailleurs). Elles peuvent tre galement des utilisateurs ne faisant pas partie de lentreprise (partenaires, fournisseurs, clients etc), tant autoriss accder certaines ressources. Concrtement, grce au VPN, les utilisateurs peuvent utiliser, distance et dans un environnement scuris, les logiciels mtiers ou les documents, qui sont installs sur le serveur de lentreprise. La scurit des VPN repose sur la mise en place de 2 systmes : lauthentification, qui autorise les 2 entits communiquer entre elles aprs avoir t identifies ; et le cryptage, qui rend indchiffrable les informations changes travers Internet, afin quelles ne puissent tre ni rcupres, ni lues par une personne trangre lentreprise.

Les architectures VPN sont de 3 types : le VPN intranet qui permet de connecter de faon permanente les diffrents tablissements de lentreprise ou les tltravaileurs avec le site principal. le VPN nomade qui est une extension du VPN Intranet. Il permet de connecter les utilisateurs nomades aux bureaux de lentreprise. Ce cas est trait dans la fiche Scuriser le nomadisme . et le VPN extranet qui est aussi une extension du VPN intranet. Il permet de connecter les utilisateurs ne faisant pas partie de lentreprise (partenaires, fournisseurs, clients). Ce cas est trait dans la fiche Scuriser les changes avec les partenaires .

Les technologies VPN les plus utilises sont de 3 types : Le VPN IPSEC repose sur la cration de tunnels de communication crypts et tanches construits travers Internet. Le VPN MPLS repose sur la cration de tunnels de communication tanches construits travers le rseau priv du fournisseur daccs Internet. Ce dernier matrise, gre et scurise entirement son rseau priv, qui est physiquement spar de lInternet. Le VPN SSL permet laccs scuris, travers Internet, aux logiciels mtier sans accder au reste du rseau interne de lentreprise. Cette technologie implique que les applications mtiers soient webises c..d. accessibles par les navigateurs Internet comme Internet Explorer, Firefox ou Opra.

Nous allons traiter dans cette fiche 2 cas de VPN intranet. Les VPN nomades et extranet sont quant eux traits dans les fiches Scuriser le nomadisme et Scuriser les changes avec les partenaires .

Cas 1 :

Lentreprise Enclade dsire relier de faon permanente et transparente son sige social son usine et ses 2 tltravailleurs, qui sont rpartis sur le territoire franais. Tous les

utilisateurs doivent travailler dans les mmes conditions, quelque soit le lieu. De plus lentreprise na ni le temps ni les comptences en interne pour assurer le suivi, le dpannage et le contrle du VPN. Cas 2 : Lentreprise Rha Services, quant elle, veut relier ses 2 sites. Elle veut galement que ses commerciaux sdentaires, qui travaillent leur domicile puissent saisir des devis, commandes pour leur clients, visualiser ltat des stocks et imprimer. La solution VPN mise en place est gre par lentreprise.

Cas 1 : Lentreprise Enclade


Lentreprise Enclade dsire relier de faon permanente et transparente son sige social son usine et ses 2 tltravailleurs, qui sont rpartis sur le territoire franais. Tous les utilisateurs doivent travailler dans les mmes conditions, quelque soit le lieux. De plus lentreprise na pas le temps ni les comptences en interne pour assurer le suivi, le dpannage et le contrle du VPN.

Facilit de mise en uvre : moyenne Facilit dexploitation : simple Hauteur de linvestissement humain : moyenne La solution technique adopte par lentreprise : Il a t dcid de dployer un VPN MPLS, fourni par un fournisseur daccs Internet. Cela implique linstallation sur chaque site dun routeur, qui va permettre le trafic VPN inter sites mais aussi laccs scuris Internet.

Installer en complment un pare-feu derrire le routeur daccs Internet mme sil est dit que le VPN oprateur protge lentreprise de toutes les menaces. On se protge ainsi des attaques en provenance de lintrieur. Ces attaques peuvent en fait tre lances partir de cls usb ou CD, consults sur les postes de travail. Un serveur Terminal Server Edition (TSE) est install au sige social. Il a pour fonction de raliser les oprations la place des utilisateurs distants, qui utilisent le client TSE intgr par dfaut au systme Windows 2000, XP et VISTA. Ce systme permet le travail distance sur les logiciels mtiers ou les documents, qui sont installs sur le serveur de lentreprise situ lui aussi au sige social.

Les rgles que lentreprise doit suivre pour mettre en uvre un VPN. Bien dimensionner le dbit Internet, c'est--dire le tuyau dans lequel vont transiter les trafics web et VPN.

Toujours demander le mot de passe au client TSE, afin dviter qu'un pirate ayant pris le contrle de l'ordinateur se connecte au serveur TSE distant, mme s'il ignore le mot de passe de l'utilisateur. Brider lenvironnement de travail des utilisateurs distants (TSE), afin de les empcher de raliser des oprations dangereuses sur le serveur TSE, comme larrter ou provoquer des coupures. Cette restriction est possible sur un serveur Windows grce aux objets de stratgie de groupe (GPO), qui permet dappliquer des rgles de scurit centralises. Ces 3 rgles doivent tre compltes par les recommandations de bases, qui sont nonces dans la fiche Protection minimale de son environnement de travail et qui doivent tre appliques sur tous les

sites de lentreprise et les postes de travail des tltravailleurs

Cas 2 : lentreprise Rha Services


Lentreprise Rha Services, quant elle, veut relier ses 2 sites de faon permanente. Elle veut galement que ses commerciaux sdentaires, qui travaillent leur domicile puissent saisir des devis, commandes pour leur clients, visualiser ltat des stocks et imprimer. La solution VPN mise en place est gre par lentreprise.

Facilit de mise en uvre : difficile Facilit dexploitation : difficile Hauteur de linvestissement humain : difficile

La solution technique adopte par lentreprise : Il a t dcid dinstaller un concentrateurs VPN sur chacun des 2 sites, derrire le routeur daccs Internet, afin de les relier de faon permanente par un tunnel de communication crypt travers Internet. Sur les postes de travail des tltravailleurs :

Un client VPN est install. Ce client est en fait un logiciel, qui cre la demande un tunnel de communication chiffr, afin dassurer la confidentialit des changes entre le tltravailleur et le rseau interne de lentreprise. Ce tunnel nest cr quaprs lidentification de lutilisateur par la saisie dun login et mot de passe dans ce client. Le client TSE, intgr par dfaut au systme Windows 2000, XP et VISTA est galement utilis, afin de permettre le travail distance sur les logiciels mtiers et les documents de lentreprise.

Un serveur Terminal Server Edition (TSE) est install au sige social. Il a pour fonction de raliser les oprations la place des utilisateurs distants et dutiliser les logiciels mtier et les documents qui sont installs sur le serveur de lentreprise situ aussi dans le sige social.

Les rgles que lentreprise doit suivre pour mettre en uvre un VPN. Bien dimensionner le dbit Internet, c'est--dire le tuyau dans lequel vont transiter les trafics web et VPN.

Toujours demander le mot de passe au client TSE, afin dviter qu'un pirate ayant pris le contrle de l'ordinateur se connecte au serveur TSE distant, mme s'il ignore le mot de passe de l'utilisateur. Brider lenvironnement de travail des utilisateurs distants (TSE), afin de les empcher de raliser des oprations dangereuses sur le serveur TSE, comme larrter ou provoquer des coupures. Cette restriction est possible sur un serveur Windows grce aux objets de stratgie de groupe (GPO), qui permet dappliquer des rgles de scurit centralises.

Dployer imprativement sur le site central des outils de surveillance et de contrle comme des pare-feu rseaux et applicatifs, des dtecteurs dintrusion (IDS, IPS), des antivirus, antispyware, antirootkits, afin de protger le VPN contre toutes les menaces dintrusions, de vols ou de corruption. Remarque : certaines appliances multifonction comme les botiers Arkoon ou Netasq embarquent les

diffrentes fonctions de scurits qui sont ncessaires la protection d un systme informatique comme le pare-feu rseau et applicatif, la dtection et prvention dintrusion, le filtrage web, le concentrateur VPN, lantivirus, lantispyware et lantispam. Superviser et contrler rgulirement le VPN en utilisant les diffrents rapports qui peuvent tre gnrs par le pare-feu et le dtecteur dintrusion.

Toutes ces rgles doivent tre compltes par les recommandations de bases, qui sont nonces dans la fiche Protection minimale de son environnement de travail et qui doivent tre appliques sur tous les sites et les postes de travail des tltravailleurs.

Les rgles que lentreprise doit suivre pour scuriser lutilisation du client VPN par les tltravailleurs. Bloquer les trafics non crypts comme le trafic Internet et la messagerie, lorsque le tunnel VPN est cr. On empche ainsi un pirate dattaquer par rebond c'est--dire de se faufiler travers le tunnel chiffr et de sintroduire sur le rseau de lentreprise, partir dInternet. Ne pas mmoriser le mot de passe de connexion de lutilisateur et obliger sa saisie. On vite ainsi quun pirate qui vole le PC portable ou qui russit prendre son contrle, ne puisse sintroduire dans le rseau interne de lentreprise. Ces 2 rgles doivent tre compltes par les recommandations de bases nonces dans la fiche Protection minimale de son environnement de travail , qui doivent tre appliques sur les postes de travail des tltravailleurs.