Page 2

VPN principes et outils open source

PRAMBULE

Smile

Smile est une socit dingnieurs experts dans la mise en uvre de

solutions open source et lintgration de systmes appuys sur lopen
source. Smile est membre de lAPRIL, lassociation pour la promotion et la
dfense du logiciel libre, de Alliance Libre, PLOSS, et PLOSS RA, des
associations clusters rgionaux d'entreprises du logiciel libre.

Smile compte 480 collaborateurs en France, 600 dans le monde, ce qui en

fait la premire socit en France spcialise dans lopen source.
www.smile.fr

Depuis 2000, environ, Smile mne une action active de veille

technologique qui lui permet de dcouvrir les produits les plus
prometteurs de lopen source, de les qualifier et de les valuer, de manire
proposer ses clients les produits les plus aboutis, les plus robustes et
les plus prennes.

Cette dmarche a donn lieu toute une gamme de livres blancs couvrant
diffrents domaines dapplication. La gestion de contenus (2004), les
portails (2005), la business intelligence (2006), les frameworks PHP (2007),
la virtualisation (2007), et la gestion lectronique de documents (2008),
ainsi que les PGIs/ERPs (2008). Parmi les ouvrages publis en 2009,
citons galement Les VPN open source , et Firewall est Contrle de flux
open source , et Middleware , dans le cadre de la collection
Systme et Infrastructure .

Chacun de ces ouvrages prsente une slection des meilleures solutions

open source dans le domaine considr, leurs qualits respectives, ainsi
que des retours dexprience oprationnels.

Au fur et mesure que des solutions open source solides gagnent de

nouveaux domaines, Smile sera prsent pour proposer ses clients den
bnficier sans risque. Smile apparat dans le paysage informatique
franais comme le prestataire intgrateur de choix pour accompagner les
plus grandes entreprises dans ladoption des meilleures solutions open
source.

Smile Open Source Solutions

 Page 3
VPN principes et outils open source

Ces dernires annes, Smile a galement tendu la gamme des services proposs.
Depuis 2005, un dpartement consulting accompagne nos clients, tant dans les
phases davantprojet, en recherche de solutions, quen accompagnement de projet.
Depuis 2000, Smile dispose dun studio graphique, devenu en 2007 Smile Digital
agence interactive, proposant outre la cration graphique, une expertise e -
marketing, ditoriale et interfaces riches. Smile dispose aussi dune agence
spcialise dans la TMA (support et lexploitation des applications) et dun centre de
formation complet, Smile Training. Enfin, Smile est implant Paris, Lille, Lyon,
Grenoble, Nantes, Bordeaux, Poitiers, Aix-en-Provence et Montpellier. Et prsent
galement en Espagne, en Suisse, au Benelux, en Ukraine et au Maroc.

Quelques rfrences

Intranets et Extranets
Socit Gnrale - Caisse d'pargne - Bureau Veritas - Commissariat l'Energie Atomique - Visual -
www.smile.fr

CIRAD - Camif - Lynxial - RATP - Sonacotra - Faceo - CNRS - AmecSpie - INRA - CTIFL - Chteau de
Versailles - Banque PSA Finance - Groupe Moniteur - Vega Finance - Ministre de lEnvironnement -
Arjowiggins - JCDecaux - Ministre du Tourisme - DIREN PACA - SAS - CIDJ - Institut National de
lAudiovisuel - Cogedim - Diagnostica Stago Ecureuil Gestion - Prolea - IRP-Auto - Conseil Rgional
Ile de France - Verspieren - Conseil Gnral de la Cte dOr - Ipsos - Bouygues Telecom - Prisma
Presse - Zodiac - SANEF - ETS Europe - Conseil Rgional dIle de France - AON Assurances &
Courtage - IONIS - Structis (Bouygues Construction) - Degrmont Suez - GS1-France - DxO -
Conseil Rgional du Centre - Beaut Prestige International - HEC - Veolia

Internet, Portails et e-Commerce

Cadremploi.fr - chocolat.nestle.fr - creditlyonnais.fr - explorimmo.com - meilleurtaux.com -
cogedim.fr - capem.fr - Editions-cigale.com - hotels-exclusive.com - souriau.com - pci.fr - odit-
france.fr - dsv-cea.fr - egide.asso.fr - Osmoz.com - spie.fr - nec.fr - vizzavi.fr - sogeposte.fr - ecofi.fr -
idtgv.com - metro.fr - stein-heurtey-services.fr - bipm.org - buitoni.fr - aviation-register.com - cci.fr -
eaufrance.fr - schneider-electric.com - calypso.tm.fr - inra.fr - cnil.fr - longchamp.com - aesn.fr -
bloom.com - Dassault Systemes 3ds.com - croix-rouge.fr - worldwatercouncil.org - Projectif - credit-
cooperatif.fr - editionsbussiere.com - glamour.com - nmmedical.fr - medistore.fr - fratel.org - tiru.fr
- faurecia.com - cidil.fr - prolea.fr - bsv-tourisme.fr - yves.rocher.fr - jcdecaux.com - cg21.fr -
veristar.com - Voyages-sncf.com - prismapub.com - eurostar.com - nationalgeographic.fr - eau-
seine-normandie.fr - ETS Europe - LPG Systmes - cnous.fr - meddispar.com - Amnesty
International - pompiers.fr - Femme Actuelle - Stanhome-Kiotis - Gtes de France Bouygues
Immobilier - GPdis - DeDietrich - OSEO - AEP - Lagardre Active Mdia - Comexpo - Reed Midem -
UCCIFE - Pagesjaunes Annonces - 1001 listes - UDF - Air Pays de Loire - Jaccede.com - ECE Zodiac
- Polytech Savoie - Institut Franais du Ptrole - Jeulin - Atoobi.com - Notaires de France - Conseil
Rgional dIle-de-France - AMUE

Smile Open Source Solutions

 Page 4
VPN principes et outils open source

Applications mtier
Renault - Le Figaro - Sucden - Capri - Libration - Socit Gnrale - Ministre de lEmploi -
CNOUS - Neopost - Industries - ARC - Laboratoires Merck - Egide - ATEL-Hotels - Exclusive Hotels
- CFRT - Ministre du Tourisme - Groupe Moniteur - Verspieren - Caisse dEpargne - AFNOR -
Souriau - MTV - Capem - Institut Mutualiste Montsouris - Dassault Systmes - Gaz de France -
CAPRI Immobilier - Croix-Rouge Franaise - Groupama - Crdit Agricole - Groupe Accueil -
Eurordis - CDC Arkhineo

Applications dcisionnelles
IEDOM Yves Rocher - Bureau Veritas - Mindscape Horus Finance Lafarge Optimus
CecimObs ETS Europe Auchan Ukraine CDiscount Maison de la France Skyrock Institut
National de lAudiovisuel Pierre Audouin Consultant Arme de lair Jardiland Saint-Gobain
Recherche Xinek Projectif Companeo MeilleurMobile.com CG72 CoachClub
www.smile.fr

Smile Open Source Solutions

 Page 5
VPN principes et outils open source

Ce livre blanc
Ce livre blanc, consacr aux principes et outils des VPN, les rseaux
virtuels privs, appartient une collection traitant des outils
d'infrastructure, dans laquelle on peut ranger galement le livre blanc
intitul Plateformes web Hautes Performances - Principes
darchitecture et outils open source , paru dbut 2009, et le livre blanc
consacr aux firewalls.

Selon le schma habituel de nos livres blancs, nous prsentons ici la

fois les concepts fondamentaux, et une slection des meilleurs outils.

Nous exposons les caractristiques de chacun, les possibilits et outils

de leur mise en uvre et configuration, afin d'aider le lecteur dans la
slection d'outils adapts chaque contexte d'utilisation.
www.smile.fr

Smile Open Source Solutions

 Page 6
VPN principes et outils open source

Table des matires

PRAMBULE......................................................................................................2
SMILE.................................................................................................................................. 2
QUELQUES RFRENCES ............................................................................................................. 3
Intranets et Extranets............................................................................................................ 3
Internet, Portails et e-Commerce............................................................................................ 3
Applications mtier ............................................................................................................... 3
Applications dcisionnelles.................................................................................................... 4
CE LIVRE BLANC....................................................................................................................... 5
2 INTRODUCTION............................................................................................7
2.1 LE RSEAU DENTREPRISE..................................................................................................... 7
2.2 PRINCIPES....................................................................................................................... 8
2.2.1 Interconnexion............................................................................................................. 9
www.smile.fr

2.2.2 Tunnel....................................................................................................................... 10
Dimensionnement................................................................................................................ 13
3 LES VPN OPEN SOURCE...............................................................................14
3.1 OPENSSH.................................................................................................................... 14
3.1.1 Redirection de port.................................................................................................... 14
3.1.2 Tunnel scuris......................................................................................................... 15
3.2 OPENVPN.................................................................................................................... 16
3.2.1 Principe...................................................................................................................... 16
3.2.2 Poste rseau........................................................................................................... 17
3.2.3 Rseau rseau....................................................................................................... 17
3.3 IPSEC.......................................................................................................................... 18
3.3.1 Introduction............................................................................................................... 18
3.3.2 Gnralits................................................................................................................ 19
3.3.3 IPsec sous Linux et FreeBSD.....................................................................................20
3.3.4 IPsec sous OpenBSD................................................................................................. 22
3.4 OPENSWAN.................................................................................................................... 22
4 OUTILS DADMINISTRATION........................................................................23

5 EXEMPLES DARCHITECTURES ET RETOURS DEXPRIENCE....................24

5.1 PME.......................................................................................................................... 24
5.2 GRANDE ENTREPRISE........................................................................................................ 27
5.2.1 VPN 1 : Interconnexion dagences sur un lien ddi.................................................28
5.2.2 VPN 2 : Interconnexion dagences via Internet..........................................................29
5.2.3 VPN 3 : Connexion des employs mobiles.................................................................29
5.2.4 VPN 4 : Connexion temporaire avec un prestataire de services................................30
5.2.5 VPN 5 : Wifi scuris.................................................................................................30
6 CONCLUSION...............................................................................................31

Smile Open Source Solutions

 Page 7
VPN principes et outils open source

2 INTRODUCTION

2.1 Le rseau
dentreprise
Le rseau est au cur de la productivit dune entreprise, et volue en
mme temps quelle, au fil de sa croissance, dacquisitions, de
partenariats, de ses besoins de mobilit. Le rseau qui relie lensemble
des quipements au sein dun mme site gographique est gnralement
la proprit de lentreprise, tandis que les interconnexions entre ces
sites empruntent le plus souvent des infrastructures publiques ou du
moins non scurises.
www.smile.fr

On appelle Rseau Priv Virtuel, en anglais Virtual Private Network ou

donc VPN , lensemble des techniques permettant dtendre le Rseau
de lentreprise en prservant la confidentialit des donnes (Priv) et en
traversant les barrires physiques des rseaux traditionnels (Virtuel).

Certaines entreprises nont pas les moyens, ni parfois mme lintrt,

davoir des liens dinterconnexion ddis. La mise en place dune
interconnexion par VPN leur permet alors de connecter leurs propres
rseaux au travers dun rseau public, en particulier Internet, des
cots beaucoup plus faibles tout en conservant les garanties de scurit
ncessaires.

Les solutions VPN apportent gnralement les bnfices suivants :

Authentification par cl publique (bien plus scurise quun mot

de passe)

Confidentialit des changes (chiffrement)

Confidentialit a posteriori en cas de compromission des secrets

cryptographiques

Transport de paquets destination dun rseau priv via un

rseau public (encapsulation)

Le principal inconvnient lutilisation dun VPN porte sur les

performances, puisque le rseau Internet que l'on emprunte ne possde
pas les garanties de qualit de service dun rseau ddi. Nous verrons
plus loin que lencapsulation et le chiffrement ont galement un cot en
matire de performances.

Smile Open Source Solutions

 Page 8
VPN principes et outils open source

2.2 Principes
On distingue gnralement deux types de besoins pour les connexions
au rseau dentreprise :

Les connexions dun employ au rseau

Linterconnexion entre deux branches de lentreprise

En effet, si lobjectif est similaire, et si les moyens techniques mis en jeu

sont souvent les mmes, les diffrences conceptuelles entre ces deux
types daccs font qu'on utilisera le plus souvent des solutions
diffrentes pour grer ces deux cas.

La connexion dun employ au rseau relve dune approche de type

client-serveur. Le serveur est un concentrateur VPN central sur lequel
chaque employ se connecte, obtenant ainsi, aprs authentification,
www.smile.fr

laccs aux ressources de lentreprise. Bien souvent, les clients de ce

VPN ne peuvent communiquer entre eux, hormis via une ressource du
rseau (serveur de messagerie, etc.). La connexion du rseau dune
filiale au sige de lentreprise peut parfois seffectuer suivant le mme
principe. Par exemple, de grandes entreprises trs centralises, peuvent
reposer sur un modle en toile :

Cela ressemble beaucoup la connexion demploys au rseau central,

mais double sens : le rseau central peut son tour accder au
rseau auxiliaire, permettant par exemple ladministration des postes de
travail distance.

Smile Open Source Solutions

 Page 9
VPN principes et outils open source

En revanche ce modle est trs peu performant ds lors que les rseaux
priphriques essaient de communiquer entre eux, puisque tout le trafic
passe alors par un goulot dtranglement central.

2.2.1 Interconnexion
Dans dautres entreprises, ce modle nest pas pertinent. Par exemple,
une entreprise structure en agences indpendantes de taille identique
changeant frquemment des donnes ne peut pas fonctionner sur un
modle en toile. Dans ce cas, il nest pas possible non plus de dfinir
un "serveur" autrement que de faon arbitraire.

La connexion entre plusieurs entits peut poser de vritables casse-

ttes dadministration :
www.smile.fr

Ds que l'on dpasse 3 entits, lgalit entre les nuds nest pas
retranscrite dans la topologie rseau : certains dentre eux doivent tre
arbitrairement dsigns comme des serveurs.

Heureusement, nous verrons que certaines protocoles de VPN ne

fonctionnent pas selon le modle client-serveur, mais suivant un
principe dcentralis. Dans ce cas la configuration se fait de faon
identique sur chaque quipement.

On retrouve alors un meilleur quilibre entre les nuds.

nn1
L'interconnexion entre n nuds ncessite liens.
2

Smile Open Source Solutions

 Page 10
VPN principes et outils open source

Dans tout les cas, il est important que la topologie du VPN

dinterconnexion reflte le fonctionnement de lentreprise.

2.2.2 Tunnel
Dans chacun des cas cits, le VPN permettra dtablir un tunnel , soit
entre un poste et un rseau, soit entre deux rseaux.

Un tunnel est une connexion rseau virtuelle, dont le trafic est en

ralit dirig vers une autre interface rseau aprs avoir subi un
traitement, gnralement une encapsulation et le chiffrement des
informations contenues dans la trame.

Lencapsulation permet, comme mentionn plus haut, de masquer la

vritable destination dune trame rseau dans le cas o celle-ci serait
destination dune IP prive. En effet, la plupart des rseaux dentreprise
utilisent des adresses prives, car lobtention d'adresses publiques pour
www.smile.fr

un usage interne pose de lourds problmes administratifs et est

devenue impossible en raison de la pnurie d'adresse Ipv4. Elle est de
ce fait rserve aux pionniers dInternet (militaires, universits,
entreprises de tlcom...).

Sans un VPN, une trame destination dun rseau priv ne peut pas
circuler sur Internet :

Smile Open Source Solutions

 Page 11
VPN principes et outils open source
www.smile.fr

En revanche, via lencapsulation, on embarque cette trame dans une

trame routable sur Internet, et voici ce que devient le schma
prcdant :

Une trame encapsule ressemble ceci :

Smile Open Source Solutions

 Page 12
VPN principes et outils open source
www.smile.fr

Au niveau du systme dexploitation, une interface virtuelle sert

rendre transparent le traitement de la trame. Ainsi nimporte quelle
application peut fonctionner sans avoir connaissance du VPN :

Smile Open Source Solutions

 Page 13
VPN principes et outils open source

Il est bien sr possible denchaner les tunnels, si linterface de base est

une interface virtuelle, le mme processus se rpte sur cette interface,
encapsulant une nouvelle fois le trafic, et ce jusqu' retomber sur une
interface physique de la machine, qui enverra rellement la trame sur le
fil.

Dimensionnement
Lencapsulation, en particulier lorsquelle est complte par le
chiffrement des changes, prsente un cot non ngligeable. Cest
pourquoi les quipements VPN sont souvent ddis, ou cohabitent avec
des firewalls rseau qui consomment peu de ressources. Le cot de
lencapsulation est rarement limitant pour peu que lon utilise des
serveurs rcents. Un serveur bas de gamme encaissera sans
problmes 10 Mbps de trafic chiffr, un serveur un peu plus performant
et quip de cartes rseau haut de gamme pourra assurer des
connexions entre rseaux plus rapides (au dessus de 100 Mbps). Ces
www.smile.fr

limites apparaissent en revanche beaucoup plus vite sur des

quipements ddis possdant des processeurs de faible puissance.

Il est galement utile de noter que certains serveurs ou quipements

spcialiss peuvent tre quips de puces d'acclration
cryptographique, qui assurent le support dun ou plusieurs mcanismes
de chiffrement. Pour peu que lon configure un mcanisme support au
niveau du logiciel qui assure le chiffrement, et que le systme
d'exploitation supporte cette fonctionnalit, le processeur sera
considrablement dcharg.

Smile Open Source Solutions

 Page 14
VPN principes et outils open source

3 LES VPN OPEN SOURCE

Lopen source tant un mouvement pionnier en matire de technologies

rseau, loffre en matire de VPN est trs fournie. Nous avons cependant
choisi de prsenter les produits les plus matures, qui sont des
rfrences dans leur domaine.

3.1 OpenSSH

OpenSSH est le logiciel le plus utilis pour lexport de console, il est

utilis sur prs de 90% des serveurs de type UNIX dans le monde, pour
les tches dadministration. Au fil des annes, OpenSSH sest toff de
nombreuses fonctionnalits qui permettent de lutiliser bien au del de
www.smile.fr

la classique console rseau que tous les administrateurs UNIX

connaissent bien. Prcisons qu'il ne s'agit pas proprement parler d'une
solution de VPN traditionnelle , mais elle fournit les mmes services
plus petite chelle.

3.1.1 Redirection de port

La fonctionnalit alternative la plus connue de SSH est la redirection
de ports.

Une fois connect un serveur via une connexion SSH, un client peut
demander ce que le serveur lui transmette des connexions vers
dautres machines, la manire dun proxy via une encapsulation du
trafic. Lune des principales applications de cette technique est de
scuriser un protocole qui initialement ne lest pas, par exemple VNC :

Smile Open Source Solutions

 Page 15
VPN principes et outils open source
www.smile.fr

Ici, le serveur de destination nest pas accessible depuis Internet car

VNC nest pas un protocole sr. En revanche, il est accessible depuis le
serveur passerelle SSH, lui-mme accessible depuis Internet. Le client
va donc s'authentifier auprs du serveur SSH, puis ouvrira une
connexion VNC qui sera en clair entre le serveur et la passerelle SSH,
puis chiffre de la passerelle lutilisateur.

Une autre possibilit est louverture dun proxy dynamique. Une fois
connect, le client peut utiliser le serveur SSH comme un proxy SOCKS,
et sen servir pour relayer les connexions vers la plupart des services
rseau, notamment les mails, la navigation web, etc.

Cette possibilit ntant pas limite un seul serveur la fois, elle se

rapproche dune configuration VPN.

Ces applications de OpenSSH sont utiles dans certaines circonstances,

et offrent certains avantages du VPN pour un cot de mise en place
extrmement faible. Cependant elles sont vite limites, et rserves aux
utilisateurs avertis, par exemple des administrateurs rseau.

3.1.2 Tunnel scuris

Les techniques de la partie prcdente sont gnralement utilises pour
des accs au rseau par un utilisateur. OpenSSH propose aussi une
solution dinterconnexion entre rseaux plus robuste : la redirection
dinterface.

Smile Open Source Solutions

 Page 16
VPN principes et outils open source

Elle permet de partager une carte rseau virtuelle entre deux

machines? Il sagit dune solution plus souple car lensemble des
capacits rseau de Linux sont accessibles (routage, filtrage, haute
disponibilit, etc.). Lensemble des trames rseau envoyes sur cette
carte virtuelle, dans un sens comme dans lautre, rapparait sur lautre
machine, aprs avoir t chiffr et transmis au travers la connexion
SSH.

Cette technique permet de monter rapidement un VPN entre deux

machines UNIX pour un besoin ponctuel, elle est cependant peu utilise
pour de linterconnexion dfinitive, au profit de solutions plus
interoprables et configurables.

OpenSSH offre donc des possibilits de VPN rduites, pratiques pour

une mise en place daccs rapide. Cependant labsence de connexion
avec un annuaire ou dintgration dans une PKI rend le dploiement de
OpenSSH grande chelle difficile.
www.smile.fr

3.2 OpenVPN

OpenVPN est le fer de lance dune catgorie de VPN assez rcente : les
VPN SSL. Ces derniers rutilisent les mcanismes du chiffrement SSL
pour authentifier et chiffrer les connexions.

OpenVPN est bas sur le produit OpenSSL, la principale implmentation

libre du protocole SSL, tant en terme de qualit que dadoption, et
sappuie sur ses routines de chiffrement et de vrification didentit pour
assurer une trs bonne scurisation des donnes.

Lutilisation de OpenVPN requiert une PKI X509, comme tout systme

bas sur SSL. Lavantage est bien sr de pouvoir rutiliser une PKI
existante, le certificat personnel dun utilisateur lui permettant de
sauthentifier auprs du VPN.

3.2.1 Principe
OpenVPN est une solution relativement complte qui permet plusieurs
modes de fonctionnement, plusieurs modes dencapsulation et plusieurs
mthodes dauthentification. Le point fort dOpenVPN est sa capacit
fonctionner presque sans configuration ds lors que lon possde une
PKI. Ce qui le rend trs attractif pour la mise en place dune solution de
connexion distance pour les employs dune entreprise.

Smile Open Source Solutions

 Page 17
VPN principes et outils open source

3.2.2 Poste rseau

Les avantages de OpenVPN en mode poste rseau sont multiples,
citons :

Intgration immdiate dans une PKI X509

Ne ncessite qu'un flux rseau sur le port 1194 (TCP/UDP au

choix) : les clients peuvent donc sans aucun problme se situer
derrire un quipement faisant des translations d'adresse.

Possibilit de traverser les proxies HTTPS, par exemple pour une

utilisation depuis un rseau dentreprise.

Possibilit de configurer le serveur pour tester la validit des

certificats selon nimporte quel critre (LDAP, Active Directory,
RADIUS, etc.)
www.smile.fr

Disponible sous Windows, Mac, et UNIX

3.2.3 Rseau rseau

OpenVPN est particulirement adapt aux configurations poste rseau,
mais il est galement utilisable en interconnexion de rseaux.

Dans ce cas de figure, son principal problme est sa dissymtrie, comme

voqu en dbut de ce livre blanc : il est indispensable de dsigner une
machine cliente et une machine serveur ce qui na pas vraiment de
sens dans une interconnexion un pour un. Cette dissymtrie se retrouve
aussi bien au niveau de la connexion proprement dire (si TCP est utilis)
que au niveau de lauthentification (le serveur vrifie lidentit du client).
De plus ladministration est considrablement alourdie car il est
ncessaire dcrire un fichier de configuration par serveur distant sur
chaque nud, et douvrir un port du firewall pour chaque connexion
ct serveur. Par exemple pour interconnecter compltement 6 nuds il
y a 15 connexions, donc 15 ouvertures de port faire, et ainsi de suite.

OpenVPN en mode rseau rseau nest donc adapt qu de petites

infrastructures, et on lui prfrera IPsec ds que le nombre de rseaux
interconnecter dpassera 4 ou 5.

Smile Open Source Solutions

 Page 18
VPN principes et outils open source

3.3 IPsec

3.3.1 Introduction
Contrairement OpenVPN, les VPN de type IPsec nutilisent pas SSL,
mais des protocoles de niveau 3 ddis : ESP et AH.

ESP est un protocole qui permet dassurer la confidentialit et lintgrit

des trames. Il est donc plus utilis que AH qui lui nassure que
lintgrit. Cependant, contrairement AH, ce protocole ne garantit pas
lintgrit du niveau 3, ce qui permet de lutiliser dans des situations de
type NAT (o le niveau 3 du paquet est modifi pendant le trajet). En
pratique, la plupart des solutions IPsec en mode client rseau
implmentent le NAT-T (traverse de NAT), qui encapsule le trafic ESP
dans des paquets UDP, leur permettant ainsi de traverser plus
facilement les passerelles rseau.
www.smile.fr

Il existe deux modes dutilisation de IPsec : le mode transport, et le mode

tunnel.

Le mode transport est celui qui nous intresse le moins: il permet

simplement de chiffrer le trafic entre deux machines partir du niveau
4. Ce mode est donc idal lorsque le routage est fait en amont et que
les changes rseaux ont lieu sur un canal de communication non
scuris. Une utilisation typique de cette utilisation est la protection
dun rseau Wifi.

Voici le fonctionnement dtaill du mode transport :

Un paquet a t rout destination dune machine protge par

IPsec

Les donnes (niveau 4) du paquet sont chiffres et encapsules

dans un nouveau paquet ESP

Le paquet ESP est envoy la destination

La destination reoit le paquet en provenance dune source

protge par IPsec

La destination dchiffre le paquet et le traite.

Lautre mode dutilisation de IPsec est le mode tunnel, qui permet une
encapsulation de toute la trame partir du niveau 3. Chaque tunnel
possde une adresse de sortie vers laquelle est envoy lensemble du
trafic.

Voici le fonctionnement dtaill du mode tunnel :

Smile Open Source Solutions

 Page 19
VPN principes et outils open source

Un paquet arrive lentre du tunnel, destination du rseau de

sortie.

La destination et les donnes (niveau 3) du paquet sont chiffrs et

encapsuls dans un nouveau paquet ESP

Le paquet ESP est envoy lautre extrmit du tunnel.

Cette dernire reoit le paquet en provenance de lentre du

tunnel IPsec

La sortie du tunnel dchiffre le paquet, et lenvoie sa destination

dorigine.

On voit bien que le mode tunnel permet de "coller" virtuellement deux

rseaux initialement disjoints, alors que le mode transport ne fait
quassurer la scurit des donnes transmises. On est bien dans un cas
de rseau priv virtuel.
www.smile.fr

Il existe une ide prconue selon laquelle IPsec est exclusivement un

protocole de VPN. En ralit IPsec est simplement un protocole de
scurisation des changes rseau qui permet, dans un de ses modes de
fonctionnement, de mettre en place un VPN.

3.3.2 Gnralits
IPsec est un protocole complexe, qui ncessite l'utilisation de multiples
secrets cryptographiques dont la configuration est bien trop lourde pour
tre gre facilement par un administrateur : il faudrait qu'il intervienne
chaque tablissement de session. Cest pourquoi on utilise
gnralement un troisime protocole, IKE, pour automatiser une grande
partie de la ngociation. IKE permet de ngocier ltablissement de tous
les paramtres du tunnel en se basant sur :

Un mot de passe partag

Un certificat X509

Une cl publique DSA (similaires lauthentification SSH)

Dautres critres selon les implmentations (mot de passe, etc.)

IPsec possde quelques srieux avantages par rapport aux autres

solutions prsentes ici :

Le protocole est un standard industriel, il est implment dans de

nombreux quipements rseaux de diffrentes constructeurs. Le
choix de IPsec est donc un gage dinteroprabilit y compris avec
des solutions propritaires.

Smile Open Source Solutions

 Page 20
VPN principes et outils open source

Le protocole est mature et trs rpandu, ses implmentations

sont prouves.

En termes rseau, le protocole fonctionne sur un port bien dfini

quel que soit le nombre de clients, il suffit douvrir le firewall une
seule fois pour supporter tout les futurs tunnels. IPsec se prte
trs bien de gros quipements centraux supportant des
centaines de tunnels.

En revanche :

La configuration dun VPN IPsec est complexe, mme avec le

systme IKE.

Au sein dune mme implmentation, la configuration est souvent

simplifie. En revanche ds que lon souhaite se connecter une
implmentation diffrente il faut configurer tous les paramtres
explicitement.
www.smile.fr

Certaines implmentations proposent des fonctionnalits

avances qui ne sont pas disponibles dans dautres (notamment
pour lauthentification).

3.3.3 IPsec sous Linux et FreeBSD

FreeBSD a t lun des premiers systmes dots dune implmentation
IPsec. Cette implmentation t initie par le projet KAME, un
conglomrat duniversits et de socits de tlcommunications
japonaises. KAME sest rendu clbre pour avoir t un pionnier dIPv6,
dont les fonctions de scurit ont t rcupres pour devenir IPsec.

Nous mentionnerons par la suite FreeBSD car cest lOS de la famille

BSD le plus connu, mais NetBSD et DragonflyBSD fonctionnent
exactement de la mme faon, ayant eux-aussi hrit des travaux de
KAME. Seul OpenBSD, qui sera dtaill plus loin, possde une
implmentation diffrente.

IPsec est un protocole fortement intgr dans les noyaux de Linux et de

FreeBSD, presque transparent, contrairement OpenVPN qui lui est
beaucoup plus haut niveau : il utilise sa propre interface virtuelle et
est presque entirement gr par un processus au lieu de fonctions
noyau.

Limplmentation du protocole IPsec sous ces deux systmes est en deux

parties. Dune part on retrouve limplmentation cot noyau des
protocoles de chiffrement et dencapsulation, et dautre part les outils
permettant ladministration et le dmon IKE pour lchange des cls.
Ces outils sont la partie visible de limplmentation et sont communs
Linux et FreeBSD : leur nom officiel est IPsec Tools . Notons titre de

Smile Open Source Solutions

 Page 21
VPN principes et outils open source

curiosit que si Linux et FreeBSD utilisent une implmentation noyau

diffrente, tout deux partagent ces mmes outils, issus du projet KAME.

La configuration de ces outils se fait en deux temps :

Configuration ct noyau

Configuration de lchange de cls

Il est possible de ne configurer que le noyau si on spcifie tous les

paramtres de la session IPsec manuellement, des fins de test.
linverse, il est possible dutiliser le dmon dchange de cls pour mettre
en place les rglages du noyau si il fonctionne en mode passif, cest
dire s'il ne fait quattendre les connexions de clients.

La configuration est assez peu intuitive. Voici une rgle qui dfinit un
tunnel entre deux rseaux (10.0.1.0/24 et 10.0.2.0/24), dont les
passerelles respectives sont 192.168.1.1 et 192.168.2.1 (on se place sur
www.smile.fr

la passerelle 192.168.1.1, les rgles sont naturellement inverses sur

lautre passerelle ) :
spdadd 10.0.1.0/24 10.0.2.0/24 any -P out ipsec
esp/tunnel/192.168.1.1-192.168.2.1/require ;
spdadd 10.0.2.0/24 10.0.1.0/24 any -P in ipsec
esp/tunnel/192.168.2.1-192.168.1.1/require ;

Et la configuration associe au niveau du dmon IKE (racoon) :

# Phase 1 : connexion la passerelle distante et tablissement d'une session
# chiffre au moyen d'un mot de passe partag
remote 192.168.2.1 {
exchange_mode main;
proposal {
encryption_algorithm 3des;
hash_algorithm md5;
authentication_method pre_shared_key;
dh_group modp1024;
}
}

# Phase 2 : ngociation du tunnel

sainfo address 10.0.1.0/24 any address 10.0.2.0/24 any {

encryption_algorithm 3des;
authentication_algorithm hmac_md5;
compression_algorithm deflate ;
}

Smile Open Source Solutions

 Page 22
VPN principes et outils open source

3.3.4 IPsec sous OpenBSD

OpenBSD utilise une implmentation et des outils dadministration
similaires FreeBSD et Linux, ses principales diffrences sont :

Un seul fichier de configuration pour le noyau et le dmon IKE

Syntaxe beaucoup plus accessible que IPsec Tools

Prsence dun dmon de synchronisation des associations de

scurit pour assurer la redondance de la passerelle IPsec et la
bascule sans interruption de service en cas de panne ou d'arrt
de maintenance.

La configuration de IPsec sous OpenBSD est particulirement simplifie.

Voici le fichier de configuration tablissant un tunnel entre les deux
passerelles de lexemple prcdent sous OpenBSD :
www.smile.fr

ike esp from 10.0.1.0/24 to 10.0.2.0/24 peer 192.168.2.1

Contrairement lexemple prcdent, il ny a aucune redondance, le

tunnel et lchange de cls sont configurs au mme endroit. Bien
entendu cette simplicit de la syntaxe cache une grande part dimplicite:
ds lors quon voudra tablir un tunnel avec un autre systme que
OpenBSD, il faudra prciser les paramtres comme lalgorithme de
chiffrement utilis, la dure des sessions, etc. De mme si lon souhaite
mettre en place une politique IPsec plus complexe quun simple tunnel.

3.4 Openswan

Openswan est une implmentation IPsec pour Linux, descendante du

projet FreeS/WAN qui ft la premire implmentation complte de IPsec
sous Linux avant dtre abandonn pour une implmentation officielle
couple IPsec Tools.

En comparaison IPsec Tools, Openswan prsente lavantage dune

configuration plus simple, centralise dans un seul fichier :
conn net-to-net
left=192.168.1.1
leftsubnet=10.0.1.0/24
leftid=192.168.1.1
leftnexthop=%defaultroute # correct in many situations
right=192.168.2.1
rightsubnet=10.0.2.0/24
rightid=192.168.2.1
rightnexthop=%defaultroute # correct in many situations
auto=add

Smile Open Source Solutions

 Page 23
VPN principes et outils open source

4 OUTILS DADMINISTRATION

Comme pour les firewalls, il existe des outils intgrs permettant

dadministrer plus facilement des VPN.

La plupart des distributions firewall comme IPCop ou pfSense,

proposent une interface pour la mise en place de VPN via plusieurs
protocoles, le plus souvent OpenVPN et IPsec. Ces outils permettent de
faciliter ladministration au quotidien et de mettre facilement en place
un VPN pour un administrateur qui ne matrise pas toutes les subtilits
dun protocole comme IPsec. En revanche, pour des gros sites
comportant des centaines de tunnels, lutilisation de scripts ou de
fichiers de macros pour gnrer les configurations savrera souvent
plus efficace quune interface cliquable.
www.smile.fr

Smile Open Source Solutions

 Page 24
VPN principes et outils open source

5 EXEMPLES DARCHITECTURES ET
RETOURS DEXPRIENCE

Aprs cette prsentation des outils et principes, nous allons maintenant

prsenter quelques cas dutilisation courants de solutions VPN.

5.1 PME
Le premier exemple sera une petite entreprise disposant dune seule
implantation. Lentreprise a externalis une partie de ses ressources
informatiques dans un datacenter, mais na pas les moyens dun lien
dinterconnexion ddi. De plus, lentreprise souhaite permettre
www.smile.fr

certains de ses employs de travailler distance.

Voici le schma de la situation :

Ct hbergeur, le seul quipement de routage disponible est un

routeur Cisco, compatible IPsec. Ct local, lentreprise utilise une
passerelle Linux servant de routeur et pare-feu. Le choix de IPsec pour
linterconnexion entre les deux rseaux est donc naturel. Cependant, il
aurait t possible dutiliser un des serveurs hbergs pour servir de

Smile Open Source Solutions

 Page 25
VPN principes et outils open source

passerelle pour une autre solution de VPN, telle que OpenVPN. Mais
cette solution compliquerait lgrement le routage.

Pour la connexion des employs mobiles au rseau, il est galement

possible dutiliser un client Cisco pour se connecter directement la
plate-forme hberge, et mettre en place une deuxime solution de VPN
pour la connexion au rseau interne.

Cependant, pour une plus grande souplesse, lentreprise a choisi

OpenVPN, et ce pour plusieurs raisons :

Les employs nont quun logiciel client grer

OpenVPN permet de grer finement les droits daccs en

consultant lannuaire de lentreprise.

OpenVPN permet de router le trafic aussi bien vers le rseau

interne que vers le rseau hberg travers le tunnel IPsec
www.smile.fr

dinterconnexion.

En revanche, cette solution prsente quelques inconvnients :

Elle est dpendante de ltat de la connexion de lentreprise

Internet

Si le client accde la plate forme hberge, les trames rseau

font un allez-retour entre Internet et le routeur, ce qui est
consommateur de bande passante.

Cette solution part bien sr du principe que les clients nomades sont
intresss avant tout par les ressources prsentes sur le rseau interne
et non sur le rseau hberg. En effet, si les connexions des clients
nomades se font en majorit vers le rseau hberg, il sera plus efficace
de les y connecter directement. De mme, si elles reprsentent la moiti
de lutilisation du VPN, une connexion double aux deux rseaux est
envisageable. Dans notre exemple, cependant, cette possibilit nest
laisse qua titre de commodit, et reprsente une petite partie du trafic.

Smile Open Source Solutions

 Page 26
VPN principes et outils open source

Voici la situation finale :

www.smile.fr

Cette solution nous permet de constater deux choses :

Elle montre quon peut mettre en place, sur le mme quipement,

des fonctions de filtrage, de routage et de VPN. Cest un cas
relativement classique surtout dans les petites entreprises o une
seule machine fait office de passerelle. Des produits intgrs
comme IPCop ou pfSense se prtent trs bien ce rle.

Elle montre que deux technologies de VPN peuvent cohabiter sur

une mme machine.

Le dernier point mrite quelques claircissements : toutes les solutions

de VPN ne sont pas par nature cumulables sur un mme quipement
rseau. Selon que lencapsulation est effectue telle ou telle tape du
traitement des trames, il peut y avoir des conflits. Dans la pratique, les
solutions essayent de limiter leur impact et de se reposer sur des
infrastructures standard (interfaces virtuelles, routage, etc.) de manire
tre aussi transparentes que possible.

Dans la pratique, IPsec et OpenVPN peuvent cohabiter sur un mme

serveur, mais le routage des trames provenant de OpenVPN directement
dans un tunnel IPsec tabli sur la mme machine ncessite une
configuration particulirement subtile.

Smile Open Source Solutions

 Page 27
VPN principes et outils open source

5.2 Grande
entreprise
Dans ce deuxime exemple, on sintresse une entreprise plus
importante possdant :

Un sige hbergeant des applications mtier.

Plusieurs agences, dont certaines hbergent leurs propres

applications.

Une filiale ltranger qui ne permet pas la mise en place dun

lien rseau ddi.

Des employs en dplacement ou en tltravail susceptibles de se

connecter au rseau (leur poste, les applications, etc.).
www.smile.fr

Un prestataire qui assure la maintenance de certaines

applications.

Un rseau Wifi au sige, pour les visiteurs et les employs en

runion.

La mise en place de diffrents VPN permet de rpondre aux besoins

suivants :

VPN 1 : Interconnecter les rseaux dagence en garantissant la

scurit des transmissions.

VPN 2 : Connecter la filiale au rseau travers Internet

VPN 3 : Permettre aux employs de se connecter au rseau

VPN 4 : Permettre au prestataire de se connecter aux serveurs

dont il a la charge

VPN 5 : Permettre aux utilisateurs du Wifi de se connecter aux

applications internes de faon scurise.

Smile Open Source Solutions

 Page 28
VPN principes et outils open source

Chacun de ces VPN a des objectifs diffrents :

Authentifier les Assurer la Permettre laccs

utilisateurs confidentialit un rseau non-
routable
VPN 1 x
VPN 2 x x
VPN 3 x x x
VPN 4 x x
VPN 5 x x

La solution suivante a t retenue :

www.smile.fr

Voyons prsent les dtails.

5.2.1 VPN 1 : Interconnexion dagences sur un lien ddi

Il sagit plus dun cas dcole que dun rel besoin, la prsence dun lien
ddi permet dliminer la plupart des problmes dinterconnexion, en
particulier de routage, que lon peut rencontrer habituellement sur
Internet.

Cependant, par scurit, il est prfrable de protger par un VPN les

donnes qui circulent entre les filiales, afin dtre certain que les

Smile Open Source Solutions

 Page 29
VPN principes et outils open source

changes ne sont pas espionns ou pire, altrs, par une personne

stant introduite dans un local technique avec un analyseur de trames
par exemple.

Le besoin est donc relativement facile satisfaire, il sagit dun candidat

dsign pour IPsec en mode transport : pas de modification des adresses
rseau puisquon reste sur le rseau priv de lentreprise, et pas de
problmatique dauthentification complexe.

5.2.2 VPN 2 : Interconnexion dagences via Internet

Il s'agit cette fois d'un cas courant : la protection des donnes circulant
sur Internet est une ncessit, et il est indispensable dutiliser de
lencapsulation de paquets pour pouvoir router entre deux rseaux
privs.

Ici encore, le choix est rapide : IPsec en mode tunnel est tout dsign.
www.smile.fr

De plus l'interoprabilit de IPsec fait que si la filiale provient dun

rachat, les chances de sinterconnecter facilement avec les quipements
existants sont trs leves.

5.2.3 VPN 3 : Connexion des employs mobiles

Comme nous lavons dj voqu, ce type de VPN est assez diffrent des
deux premiers : en effet les clients nont pas dIP fixe, et souhaitent
seulement accder des ressources et non rendre leurs propres
ressources accessibles. Dautre part, il doit tre possible dauthentifier
chaque connexion bien quelles proviennent dIP inconnues lavance,
et il faut pouvoir anticiper les problmes tels que le vol de matriel.

OpenVPN permet de rpondre ces besoins, en sintgrant facilement

dans la PKI de lentreprise (ou en fournissant les outils pour crer une
PKI s'il nen existe pas), et en permettant une authentification forte : le
client devra dune part possder un certificat valide, et dautre part
fournir son login et son mot de passe au moment de la connexion pour
tre accept. De plus, des contrles au niveau de lannuaire permettront
de restreindre laccs aux membres dun groupe prdtermin.

Tous ces mcanismes sont prsents dans OpenVPN et ne demandent

que trs peu de configuration : il suffit dcrire quelques courts scripts
pour mettre en place les contrles ct serveur. Cette architecture
permet de changer facilement le mode dauthentification en fonction des
besoins, par exemple en cas de changement dannuaire, ou si lon
souhaite intgrer la notion de plage horaire.

Cette solution prsente cependant un inconvnient : OpenVPN ncessite

un logiciel install sur les postes client (il est cependant multi-

Smile Open Source Solutions

 Page 30
VPN principes et outils open source

plateformes et lger), et nest pas toujours disponible sur les

quipements tels que les PDA.

5.2.4 VPN 4 : Connexion temporaire avec un prestataire de

services
Ce cas est similaire au VPN 3 : on souhaite permettre laccs des
ressources internes depuis lextrieur. La courte dure de vie de cet
accs, et la relation entre les deux intervenants font qu'un systme
client-serveur est adapt. On a choisi OpenVPN car la configuration
rseau est plus simple : il n'y a quun port ouvrir en entre pour
lentreprise, et un port ouvrir en sortie pour le prestataire. De plus le
prestataire peut garder son certificat X.509 et le rutiliser pour une
future intervention sur un autre serveur.

On notera quun tunnel SSH est parfois suffisant pour ce type

dutilisation, et partage les avantages de OpenVPN en termes de facilit
www.smile.fr

de mise en place, mais est plus compliqu manipuler pour le

prestataire.

5.2.5 VPN 5 : Wifi scuris

On oublie trop souvent que les rseaux Wifi sont par nature trs
difficiles scuriser : lensemble du trafic peut tre intercept par
nimporte quelle station, et les protocoles de scurit les plus rpandus
(WEP et WAP) souffrent de failles qui les rendent pratiquement inutiles
et crent lillusion de la scurit. Les protocoles de scurisation plus
srieux, comme WPA-Entreprise sont pour leur part difficiles mettre
en place.

Un VPN permet de protger efficacement le trafic sur un rseau Wifi. Il

sagit dune mthode alternative peu employe mais trs robuste. En
effet alors que les solutions telles que WEP tentent de scuriser les
couches infrieures de la transmission (1 et 2), un VPN se place
lgrement plus haut (gnralement la couche 3 voire 4 pour IPsec en
mode transport). De plus, au plan cryptographique, les algorithmes des
VPN sont beaucoup plus fiables et la phase dauthentification, qui est le
talon dAchille de la scurit Wifi, est beaucoup plus sre.

Ce cas de figure reprend donc lidentique les principes du VPN 3, la

diffrence que le rseau intermdiaire nest plus Internet mais le rseau
Wifi de lentreprise, et que le point de sortie du VPN nest plus au cur
du rseau mais limit aux serveurs dapplication.

On notera que cette solution est celle utilise dans certaines salons sur
la scurit informatique pour protger les rseaux Wifi contre la
curiosit des participants.

Smile Open Source Solutions

 Page 31
VPN principes et outils open source

6 CONCLUSION

D'une manire gnrale, la scurit est l'un des domaines de

prdilection de l'open source, d'une part parce que l'ouverture du code
est un prrequis l'assurance d'intgrit et l'absence de back-doors, et
d'autre part parce que le peer-review que permet la libre diffusion est la
condition ncessaire d'un code de qualit.

En matire de VPN, les solutions open source sont particulirement

matures et robustes, et couramment utilises. OpenVPN et les diverses
implmentations IPsec sont au coude coude en matire de
fonctionnalit, et le choix final se fera bien souvent sur la facilit de
mise en place de telle ou telle solution ou sur la ncessit d'interagir
avec des quipements propritaires qui souvent liminent OpenVPN de
www.smile.fr

lquation.

Si ce petit avant-got vous a sembl pertinent, n'hsitez pas faire

appel l'expertise de Smile pour dployer vos solutions de scurit et
d'infrastructure.

Smile Open Source Solutions

Les livres blancs Smile
Introduction lopen source
et au Logiciel Libre
Son histoire, sa philosophie, ses grandes figures,
son march, ses modles conomiques, ses
modles de support et modles de dveloppement.
[52 pages]
Gestion de contenus : les solutions
open source
Dans la gestion de contenus, les meilleures
solutions sont open source. Du simple site la
solution entreprise, dcouvrez loffre des CMS open
source. [58 pages]
Portails : les solutions open source
Pour les portails aussi, lopen source est riche en
solutions solides et compltes. Aprs les CMS,
Smile vous propose une tude complte des
meilleures solutions portails. [50 pages]
200 questions pour choisir un CMS
Toutes les questions quil faut se poser pour choisir
loutil de gestion de contenu rpondra le mieux
vos besoins. [46 pages]
Les livres blancs Smile sont
Conception d'applications web
tlchargeables
gratuitement sur Synthse des bonnes pratiques pour l'utilisabilit
et l'efficacit des applications mtier construites en
www.smile.fr technologie web. [61 pages]
Les frameworks PHP
Une prsentation complte des frameworks et
composants qui permettent de rduire les temps
de dveloppement des applications, tout en
amliorant leur qualit. [77 pages]
Contactez-nous, nous serons heureux de vous prsenter nos ralisations de manire plus approfondie !
+33 1 41 40 11 00 / sdc@smile.fr
Les 100 bonnes pratiques du web
Cent et quelques bonnes pratiques du web ,
usages et astuces, incontournables ou tout
simplement utiles et qui vous aideront construire
un site de qualit. [26 pages]
ERP/PGI: les solutions open source
Des solutions open source en matire dERP sont
tout fait matures et gagnent des parts de march
dans les entreprises, apportant flexibilit et cots
rduits. [121 pages]
GED : les solutions open source
Les vraies solutions de GED sont des outils tout
fait spcifiques ; lopen source reprsente une
alternative solide, une large couverture
fonctionnelle et une forte dynamique. [77 pages]
Rfrencement : ce quil faut savoir
Grce ce livre blanc, dcouvrez comment
optimiser la "rfrenabilit" et le positionnement
de votre site lors de sa conception. [45 pages]
Dcisionnel : les solutions open source
Dcouvrez les meilleurs outils et suites de la
business intelligence open source.
[78 pages]
Collection Systme et Infrastructure :
Virtualisation open source [41 pages]
Architectures Web open source [177 pages]
Firewalls open source [58 pages]
VPN open source [31 pages]
Cloud Computing [42 pages]
Middleware [91 pages]