Académique Documents
Professionnel Documents
Culture Documents
PRAMBULE
Smile
Cette dmarche a donn lieu toute une gamme de livres blancs couvrant
diffrents domaines dapplication. La gestion de contenus (2004), les
portails (2005), la business intelligence (2006), les frameworks PHP (2007),
la virtualisation (2007), et la gestion lectronique de documents (2008),
ainsi que les PGIs/ERPs (2008). Parmi les ouvrages publis en 2009,
citons galement Les VPN open source , et Firewall est Contrle de flux
open source , et Middleware , dans le cadre de la collection
Systme et Infrastructure .
Ces dernires annes, Smile a galement tendu la gamme des services proposs.
Depuis 2005, un dpartement consulting accompagne nos clients, tant dans les
phases davantprojet, en recherche de solutions, quen accompagnement de projet.
Depuis 2000, Smile dispose dun studio graphique, devenu en 2007 Smile Digital
agence interactive, proposant outre la cration graphique, une expertise e -
marketing, ditoriale et interfaces riches. Smile dispose aussi dune agence
spcialise dans la TMA (support et lexploitation des applications) et dun centre de
formation complet, Smile Training. Enfin, Smile est implant Paris, Lille, Lyon,
Grenoble, Nantes, Bordeaux, Poitiers, Aix-en-Provence et Montpellier. Et prsent
galement en Espagne, en Suisse, au Benelux, en Ukraine et au Maroc.
Quelques rfrences
Intranets et Extranets
Socit Gnrale - Caisse d'pargne - Bureau Veritas - Commissariat l'Energie Atomique - Visual -
www.smile.fr
CIRAD - Camif - Lynxial - RATP - Sonacotra - Faceo - CNRS - AmecSpie - INRA - CTIFL - Chteau de
Versailles - Banque PSA Finance - Groupe Moniteur - Vega Finance - Ministre de lEnvironnement -
Arjowiggins - JCDecaux - Ministre du Tourisme - DIREN PACA - SAS - CIDJ - Institut National de
lAudiovisuel - Cogedim - Diagnostica Stago Ecureuil Gestion - Prolea - IRP-Auto - Conseil Rgional
Ile de France - Verspieren - Conseil Gnral de la Cte dOr - Ipsos - Bouygues Telecom - Prisma
Presse - Zodiac - SANEF - ETS Europe - Conseil Rgional dIle de France - AON Assurances &
Courtage - IONIS - Structis (Bouygues Construction) - Degrmont Suez - GS1-France - DxO -
Conseil Rgional du Centre - Beaut Prestige International - HEC - Veolia
Applications mtier
Renault - Le Figaro - Sucden - Capri - Libration - Socit Gnrale - Ministre de lEmploi -
CNOUS - Neopost - Industries - ARC - Laboratoires Merck - Egide - ATEL-Hotels - Exclusive Hotels
- CFRT - Ministre du Tourisme - Groupe Moniteur - Verspieren - Caisse dEpargne - AFNOR -
Souriau - MTV - Capem - Institut Mutualiste Montsouris - Dassault Systmes - Gaz de France -
CAPRI Immobilier - Croix-Rouge Franaise - Groupama - Crdit Agricole - Groupe Accueil -
Eurordis - CDC Arkhineo
Applications dcisionnelles
IEDOM Yves Rocher - Bureau Veritas - Mindscape Horus Finance Lafarge Optimus
CecimObs ETS Europe Auchan Ukraine CDiscount Maison de la France Skyrock Institut
National de lAudiovisuel Pierre Audouin Consultant Arme de lair Jardiland Saint-Gobain
Recherche Xinek Projectif Companeo MeilleurMobile.com CG72 CoachClub
www.smile.fr
Ce livre blanc
Ce livre blanc, consacr aux principes et outils des VPN, les rseaux
virtuels privs, appartient une collection traitant des outils
d'infrastructure, dans laquelle on peut ranger galement le livre blanc
intitul Plateformes web Hautes Performances - Principes
darchitecture et outils open source , paru dbut 2009, et le livre blanc
consacr aux firewalls.
2.2.2 Tunnel....................................................................................................................... 10
Dimensionnement................................................................................................................ 13
3 LES VPN OPEN SOURCE...............................................................................14
3.1 OPENSSH.................................................................................................................... 14
3.1.1 Redirection de port.................................................................................................... 14
3.1.2 Tunnel scuris......................................................................................................... 15
3.2 OPENVPN.................................................................................................................... 16
3.2.1 Principe...................................................................................................................... 16
3.2.2 Poste rseau........................................................................................................... 17
3.2.3 Rseau rseau....................................................................................................... 17
3.3 IPSEC.......................................................................................................................... 18
3.3.1 Introduction............................................................................................................... 18
3.3.2 Gnralits................................................................................................................ 19
3.3.3 IPsec sous Linux et FreeBSD.....................................................................................20
3.3.4 IPsec sous OpenBSD................................................................................................. 22
3.4 OPENSWAN.................................................................................................................... 22
4 OUTILS DADMINISTRATION........................................................................23
2 INTRODUCTION
2.1 Le rseau
dentreprise
Le rseau est au cur de la productivit dune entreprise, et volue en
mme temps quelle, au fil de sa croissance, dacquisitions, de
partenariats, de ses besoins de mobilit. Le rseau qui relie lensemble
des quipements au sein dun mme site gographique est gnralement
la proprit de lentreprise, tandis que les interconnexions entre ces
sites empruntent le plus souvent des infrastructures publiques ou du
moins non scurises.
www.smile.fr
2.2 Principes
On distingue gnralement deux types de besoins pour les connexions
au rseau dentreprise :
En revanche ce modle est trs peu performant ds lors que les rseaux
priphriques essaient de communiquer entre eux, puisque tout le trafic
passe alors par un goulot dtranglement central.
2.2.1 Interconnexion
Dans dautres entreprises, ce modle nest pas pertinent. Par exemple,
une entreprise structure en agences indpendantes de taille identique
changeant frquemment des donnes ne peut pas fonctionner sur un
modle en toile. Dans ce cas, il nest pas possible non plus de dfinir
un "serveur" autrement que de faon arbitraire.
Ds que l'on dpasse 3 entits, lgalit entre les nuds nest pas
retranscrite dans la topologie rseau : certains dentre eux doivent tre
arbitrairement dsigns comme des serveurs.
nn1
L'interconnexion entre n nuds ncessite liens.
2
2.2.2 Tunnel
Dans chacun des cas cits, le VPN permettra dtablir un tunnel , soit
entre un poste et un rseau, soit entre deux rseaux.
Sans un VPN, une trame destination dun rseau priv ne peut pas
circuler sur Internet :
Dimensionnement
Lencapsulation, en particulier lorsquelle est complte par le
chiffrement des changes, prsente un cot non ngligeable. Cest
pourquoi les quipements VPN sont souvent ddis, ou cohabitent avec
des firewalls rseau qui consomment peu de ressources. Le cot de
lencapsulation est rarement limitant pour peu que lon utilise des
serveurs rcents. Un serveur bas de gamme encaissera sans
problmes 10 Mbps de trafic chiffr, un serveur un peu plus performant
et quip de cartes rseau haut de gamme pourra assurer des
connexions entre rseaux plus rapides (au dessus de 100 Mbps). Ces
www.smile.fr
3.1 OpenSSH
Une fois connect un serveur via une connexion SSH, un client peut
demander ce que le serveur lui transmette des connexions vers
dautres machines, la manire dun proxy via une encapsulation du
trafic. Lune des principales applications de cette technique est de
scuriser un protocole qui initialement ne lest pas, par exemple VNC :
Une autre possibilit est louverture dun proxy dynamique. Une fois
connect, le client peut utiliser le serveur SSH comme un proxy SOCKS,
et sen servir pour relayer les connexions vers la plupart des services
rseau, notamment les mails, la navigation web, etc.
3.2 OpenVPN
OpenVPN est le fer de lance dune catgorie de VPN assez rcente : les
VPN SSL. Ces derniers rutilisent les mcanismes du chiffrement SSL
pour authentifier et chiffrer les connexions.
3.2.1 Principe
OpenVPN est une solution relativement complte qui permet plusieurs
modes de fonctionnement, plusieurs modes dencapsulation et plusieurs
mthodes dauthentification. Le point fort dOpenVPN est sa capacit
fonctionner presque sans configuration ds lors que lon possde une
PKI. Ce qui le rend trs attractif pour la mise en place dune solution de
connexion distance pour les employs dune entreprise.
3.3 IPsec
3.3.1 Introduction
Contrairement OpenVPN, les VPN de type IPsec nutilisent pas SSL,
mais des protocoles de niveau 3 ddis : ESP et AH.
Lautre mode dutilisation de IPsec est le mode tunnel, qui permet une
encapsulation de toute la trame partir du niveau 3. Chaque tunnel
possde une adresse de sortie vers laquelle est envoy lensemble du
trafic.
3.3.2 Gnralits
IPsec est un protocole complexe, qui ncessite l'utilisation de multiples
secrets cryptographiques dont la configuration est bien trop lourde pour
tre gre facilement par un administrateur : il faudrait qu'il intervienne
chaque tablissement de session. Cest pourquoi on utilise
gnralement un troisime protocole, IKE, pour automatiser une grande
partie de la ngociation. IKE permet de ngocier ltablissement de tous
les paramtres du tunnel en se basant sur :
Un certificat X509
En revanche :
Configuration ct noyau
La configuration est assez peu intuitive. Voici une rgle qui dfinit un
tunnel entre deux rseaux (10.0.1.0/24 et 10.0.2.0/24), dont les
passerelles respectives sont 192.168.1.1 et 192.168.2.1 (on se place sur
www.smile.fr
3.4 Openswan
4 OUTILS DADMINISTRATION
5 EXEMPLES DARCHITECTURES ET
RETOURS DEXPRIENCE
5.1 PME
Le premier exemple sera une petite entreprise disposant dune seule
implantation. Lentreprise a externalis une partie de ses ressources
informatiques dans un datacenter, mais na pas les moyens dun lien
dinterconnexion ddi. De plus, lentreprise souhaite permettre
www.smile.fr
passerelle pour une autre solution de VPN, telle que OpenVPN. Mais
cette solution compliquerait lgrement le routage.
dinterconnexion.
Cette solution part bien sr du principe que les clients nomades sont
intresss avant tout par les ressources prsentes sur le rseau interne
et non sur le rseau hberg. En effet, si les connexions des clients
nomades se font en majorit vers le rseau hberg, il sera plus efficace
de les y connecter directement. De mme, si elles reprsentent la moiti
de lutilisation du VPN, une connexion double aux deux rseaux est
envisageable. Dans notre exemple, cependant, cette possibilit nest
laisse qua titre de commodit, et reprsente une petite partie du trafic.
5.2 Grande
entreprise
Dans ce deuxime exemple, on sintresse une entreprise plus
importante possdant :
Ici encore, le choix est rapide : IPsec en mode tunnel est tout dsign.
www.smile.fr
On notera que cette solution est celle utilise dans certaines salons sur
la scurit informatique pour protger les rseaux Wifi contre la
curiosit des participants.
6 CONCLUSION
lquation.
Une prsentation complte des frameworks et VPN open source [31 pages]
composants qui permettent de rduire les temps
Cloud Computing [42 pages]
de dveloppement des applications, tout en
amliorant leur qualit. [77 pages] Middleware [91 pages]
Contactez-nous, nous serons heureux de vous prsenter nos ralisations de manire plus approfondie !
+33 1 41 40 11 00 / sdc@smile.fr