Vous êtes sur la page 1sur 6
VIRTUAL PRIVATE NETWORKS Marc SCHAEFER 14 mai 2003
VIRTUAL PRIVATE NETWORKS
Marc SCHAEFER
14 mai 2003

EISI: Tel´ einf´

ormatique

Virtual Private Networks

1

Programme – Buts du cours – Motivations – Principes gen´ eraux´ – Protocoles – IPsec
Programme
– Buts du cours
– Motivations
– Principes gen´ eraux´
– Protocoles
– IPsec
– Questions

EISI: Tel´ einf´

ormatique

Virtual Private Networks

2

Buts du cours – connaˆıtre les raisons de mise en oeuvre – connaˆıtre les principes
Buts du cours
– connaˆıtre les raisons de mise en oeuvre
– connaˆıtre les principes gen´ eraux´
– avoir une idee´
des differents´
protocoles
– connaˆıtre les principes de IPsec
– etude´
de cas : FreeSWAN

EISI: Tel´ einf´

ormatique

Virtual Private Networks

Motivations reseau´ virtuel prive´ – flexibilite´ – un poste distant, via un reseau´ public bon
Motivations
reseau´
virtuel prive´
– flexibilite´
– un poste distant, via un reseau´
public bon marche,´ peut
acceder´
a` tous les services d’un reseau´
interne
– securit´
– les reseaux´
802.11 (wireless) n’offrent que des
mecanismes´
limites´
de securisation´
– vision unifiee´
d’un reseau´
complexe

EISI: Tel´ einf´

ormatique

Virtual Private Networks

Exemple gen´ eral´ 1.2.3.4 (adresse fournisseur) Internet interface de tunnel 194.38.85.100 sauf VPN 194.38.85.1
Exemple gen´ eral´
1.2.3.4 (adresse fournisseur)
Internet
interface de tunnel
194.38.85.100
sauf VPN
194.38.85.1
194.38.85.2
194.38.85.0/24
194.38.85.10
194.38.85.11 194.38.85.12
194.38.85.13
3 EISI: Tel´ einf´ ormatique Virtual Private Networks 5 Principes gen´ eraux´ – concept de
3
EISI: Tel´ einf´
ormatique
Virtual Private Networks
5
Principes gen´ eraux´
– concept de tunnel
– le traffic est
– chiffre´
– authentifie´
– negociation´
des propriet´ es´
de securit´
– aucune modification depuis l’exterieur´
du VPN
– avantage par rapport a` chiffrement par application ou couche
6
4

EISI: Tel´ einf´

ormatique

Virtual Private Networks

Tunnel 1.2.3.4 192.168.1.1 4.5.6.7 192.168.1.100 192.168.1.10
Tunnel
1.2.3.4
192.168.1.1
4.5.6.7
192.168.1.100
192.168.1.10

EISI: Tel´ einf´

ormatique

Virtual Private Networks

Proxy-arp : schema´ proxy−arp 192.168.1.100 192.168.1.1 192.168.1.0/24 192.168.1.10 192.168.1.12
Proxy-arp : schema´
proxy−arp
192.168.1.100
192.168.1.1
192.168.1.0/24
192.168.1.10
192.168.1.12
6 EISI: Tel´ einf´ ormatique Virtual Private Networks 8 Proxy-arp : buts – permettre aux
6
EISI: Tel´ einf´
ormatique
Virtual Private Networks
8
Proxy-arp : buts
– permettre aux ordinateurs du reseau´
interne de contacter des
ordinateurs connectes´
en dialup ou en VPN sans regles`
de
routage complexes tout en maintenant les ordinateurs
distants dans le memeˆ
sous-reseau.´
– le serveur de tunnels / de connexions modem (PPP) repond´
aux requetesˆ
ARP du sous-reseau.´
– alternative : separer´
clairement le sous-reseau´
VPN du sous
reseau´
d’entreprise et configurer le routage.
7

EISI: Tel´ einf´

ormatique

Virtual Private Networks

Protocoles multiples et varies´ : – PPP-over-SSH – PPTP – vtunnel – IPsec (standard) –
Protocoles
multiples et varies´
:
– PPP-over-SSH
– PPTP
– vtunnel
– IPsec (standard)
– IPv6

EISI: Tel´ einf´

ormatique

Virtual Private Networks

IPsec – base´ sur des tunnels IP-IP – authentifies´ (AH, Authentication Header) – chiffres´ +
IPsec
– base´ sur des tunnels IP-IP
– authentifies´
(AH, Authentication Header)
– chiffres´
+ authentifies´
(ESP, Encapsuling Security
Payload)
– mode transport ou tunnel (gw-gw)
– chiffrement par secrets partages´
(shared secrets, PSK) ou par
systeme`
a` cle´ rev´ el´ ee´
(public-key, RSA).
– IKE (Internet Key Exchange)
– certificats X.509
9 EISI: Tel´ einf´ ormatique Virtual Private Networks 11 – implementations´ : FreeSWAN, Cisco, Lucent,
9
EISI: Tel´ einf´
ormatique
Virtual Private Networks
11
– implementations´
: FreeSWAN, Cisco, Lucent, 3Com,
Borderware, Watchguard, Microsoft 2000/XP, Solaris 8,
PamOS.
10

EISI: Tel´ einf´

ormatique

Virtual Private Networks

12

FreeSWAN – implementation´ libre d’IPsec – supporte opportunistic encryption (via entrees´ DNS) – partie
FreeSWAN
– implementation´
libre d’IPsec
– supporte opportunistic encryption (via entrees´
DNS)
– partie kernel (tunneling AH et ESP) : KLIPS
– partie user-space (key-exchange daemons, IKE) : pluto
– scripts d’administration, gestion de cles,´
etc.
– chiffrement 3DES, gen´ eration´
RSA.
de cle´ de session optionnel

EISI: Tel´ einf´

ormatique

Virtual Private Networks

13

Format des datagrammes du tunnel Datagramme IPv4 header TCP Data tunnel AH nouveau header AH
Format des datagrammes du tunnel
Datagramme IPv4
header
TCP
Data
tunnel AH
nouveau header
AH
Header original
TCP
Data
mode transport
Header original
AH
TCP
Data
AH

EISI: Tel´ einf´

ormatique

Virtual Private Networks

14

Ref´ er´ ences http://www.vpnc.org VPN Consortium
Ref´ er´ ences
http://www.vpnc.org VPN Consortium

EISI: Tel´ einf´

ormatique

Virtual Private Networks

14-1

$Id: vpn.tex,v 1.2 2003/05/21 14:36:19 schaefer Exp $