Vous êtes sur la page 1sur 6

EISI: Teleinformatique

Virtual Private Networks

Buts du cours

V IRTUAL P RIVATE N ETWORKS

Marc SCHAEFER
14 mai 2003

EISI: Teleinformatique

Virtual Private Networks

Programme

Buts du cours
Motivations
Principes generaux
Protocoles
IPsec
Questions

connatre les raisons de mise en oeuvre


connatre les principes generaux
avoir une idee des differents protocoles
connatre les principes de IPsec
e tude de cas : FreeSWAN

EISI: Teleinformatique

Virtual Private Networks

Motivations

concept de tunnel
le traffic est
chiffre
authentifie
negociation des proprietes de securite
aucune modification depuis lexterieur du VPN
avantage par rapport a` chiffrement par application ou couche
6

flexibilite
un poste distant, via un reseau public bon marche, peut
acceder a` tous les services dun reseau interne
securite
les reseaux 802.11 (wireless) noffrent que des
mecanismes limites de securisation
vision unifiee dun reseau complexe

Virtual Private Networks

Exemple general

1.2.3.4 (adresse fournisseur)

Internet
interface de tunnel
194.38.85.100

sauf VPN
194.38.85.1
194.38.85.2








194.38.85.0/24

194.38.85.10
194.38.85.11

194.38.85.12
194.38.85.13

Virtual Private Networks

Principes generaux

reseau virtuel prive

EISI: Teleinformatique

EISI: Teleinformatique

EISI: Teleinformatique

Virtual Private Networks

Tunnel

permettre aux ordinateurs du reseau interne de contacter des


ordinateurs connectes en dialup ou en VPN sans r`egles de
routage complexes tout en maintenant les ordinateurs
distants dans le meme sous-reseau.
le serveur de tunnels / de connexions modem (PPP) repond
aux requetes ARP du sous-reseau.
alternative : separer clairement le sous-reseau VPN du sous
reseau dentreprise et configurer le routage.

192.168.1.1
4.5.6.7

192.168.1.100

192.168.1.10

Virtual Private Networks

Proxy-arp : schema

proxyarp
192.168.1.100

192.168.1.1
192.168.1.0/24

192.168.1.10

192.168.1.12

Virtual Private Networks

Proxy-arp : buts

1.2.3.4

EISI: Teleinformatique

EISI: Teleinformatique

EISI: Teleinformatique

Virtual Private Networks

multiples et varies :
PPP-over-SSH
PPTP
vtunnel
IPsec (standard)
IPv6

EISI: Teleinformatique

Virtual Private Networks

IPsec

base sur des tunnels IP-IP


authentifies (AH, Authentication Header)
chiffres + authentifies (ESP, Encapsuling Security
Payload)
mode transport ou tunnel (gw-gw)
chiffrement par secrets partages (shared secrets, PSK) ou par
syst`eme a` cle revelee (public-key, RSA).
IKE (Internet Key Exchange)
certificats X.509

Virtual Private Networks

implementations : FreeSWAN, Cisco, Lucent, 3Com,


Borderware, Watchguard, Microsoft 2000/XP, Solaris 8,
PamOS.

Protocoles

EISI: Teleinformatique

10

11

EISI: Teleinformatique

Virtual Private Networks

12

FreeSWAN

Virtual Private Networks

Datagramme IPv4

tunnel AH

mode transport
AH

TCP

Data

nouveau header AH

Header original

AH

Header original

TCP

TCP

Data

http://www.vpnc.org VPN Consortium

13

Format des datagrammes du tunnel

header

Virtual Private Networks

References

implementation libre dIPsec


supporte opportunistic encryption (via entrees DNS)
partie kernel (tunneling AH et ESP) : KLIPS
partie user-space (key-exchange daemons, IKE) : pluto
scripts dadministration, gestion de cles, etc.
chiffrement 3DES, generation de cle de session optionnel
RSA.

EISI: Teleinformatique

EISI: Teleinformatique

Data

14

EISI: Teleinformatique

Virtual Private Networks

$Id: vpn.tex,v 1.2 2003/05/21 14:36:19 schaefer Exp $

14-1