Vous êtes sur la page 1sur 39

OFPPT

Spciale ddicace mes chres parents,


mon espoir sur cette terre, mon esprit et
mon cur qui moffre toujours ses sincres
prires.
A mes frres, mes amis, et mes surs qui
ont illumin mon chemin avec leurs conseils
dor
A mes adorables formateurs et formatrices,
mes guides vers le meilleur chemin et la
russite lavenir.
A notre directeur qui est toujours en
contacte avec nous et qui nous donnent
toujours loccasion de s'exprimer.
Et tout ceux qui nous donnent des
occasions
d'exprimer; de savoir;et de pratiquer nos
Ides pour Enrichir nos comptences et
pour partager nos connaissances.

1
11
TSTRI/GC
OFPPT

Je profite cette occasion pour que


jadresse mes plus vifs remerciement :

Dieu le plus puissant.


Tous mes formateurs et formatrices
pour leur soutien leur comprend leur
grand esprit leurs riches conseils et
leur encadrement durant toute ces
deux annes de formation au sein de
cette honorable tablissement.
Je tiens aussi honorer tous les
membres du personnel de la commune
urbaine de berrechid pour leur soutien,
leur aide et leur sympathie .Ainsi que
tous les chefs de services pour les
renseignements quils mont fournis.
Jespre que ce modeste rapport reflte
clairement le grand rle que joue
lexistence de la municipalit dans le
dveloppement du tissu urbain de la
ville de Berrechid.
2
11
TSTRI/GC
OFPPT

Sans oublie tout ceux qui ont


contribuent de prt ou de loin la
ralisation de cetravail.

Le stage demand par lInstitut Suprieur des techniques


dinformatique de Commerce et de Gestion constitue un complment
indispensable pour la formation du stagiaire, dont la mesure o il
permet de voir de prs la ralit du monde du travail et de comparer
cette dernire avec la thorie enseigne.

La priode du stage constitue une occasion dexaminer les


relations interpersonnelles, la coordination entre les services. Elle aide
comprendre le droulement du travail et se familiariser avec sa
culture.

Pour ce faire, nous avons pass un stage la commune de


Berrechid o nous avons eu loccasion dtre affectes au Service
informatique.

3
11
TSTRI/GC
OFPPT

I-Premire partie : prsentation de lorganisme de daccueil


1-Fiche didentit

o RAISON SOCIALE : Commune de Berrechid


o Adresse : Quartier administratif. BP322
BERRECHID
o FORME JURIDIQUE : Etablissement tatique
o Date de cration : 1992
o Effectif : 356 personnes
o Nombre des dpartements : 25 dpartements.
o Tlphone : 0522.33.70.04 022.33.64.85
o Fax : 0522.33.25.71
o E mail : commune-berr@menara.ma
o Site web : www.municipaliteberrechid.ma

4
11
TSTRI/GC
OFPPT

2- Lorganigramme :

5
11
TSTRI/GC
OFPPT

3- Description des services


3-1-Service de la gestion du conseil :
Cest le prsident qui soccupe de toutes les affaires de la commune de
Berrechid selon le vu le Dahir n 1.02.297 du 25 Rajab 1423 (03 Octobre
2002) portant promulgation de la loi n78.00 portant la charte communale
notamment larticle 54qui organise les collectivits locales et qui donne au
prsident le pouvoir de diriger tous les services de la municipalit.
Le secrtaire gnral dirige la commune urbaine en partie
administrative sous la responsabilit de monsieur le prsident du conseil
municipal.
Le conseil se runit obligatoirement quatre fois par an pendant le
mois de fvrier, davril, de juillet et doctobre, se droulant en quinze jours,
la session peut avoir un prolongement sous lapprobation du gouverneur.
Il peut galement avoir des sessions extraordinaires sous la demande
du prsident ou de lautorit. Les sessions peuvent voir des prsences de
certains chefs de services extrieurs.

3-2-Service des marchs :


Le Bureau des marchs est charg de la gestion administrative des
projets communaux. Tout projet dont le cot de ralisation dpasse

6
11
TSTRI/GC
OFPPT

100.000.00 dh ncessite la passation dun march, et un bons de commande


dans le cas contraire ; ainsi que les projets qui dpassent 1.000.000.00 dhs
ncessitent une approbation du Ministre, et du Gouverneur de la province
dans le cas contraire.

3-3Service de la comptabilit :
Le service de la comptabilit soccupe de lengagement des dpenses
et lordonnancement des mandats de paiement, il sengage galement
enregistrer toutes les oprations concernant les dpenses en fonctionnement
et dquipement dj autorises par lautorit tutelle, ministre de
lintrieur et le ministre de finances.

3-4-Service de la rgie :
Le service de la rgie est un service parmi les services les plus
important de lactivit communale, et ce partir de la rforme de la loi
30/89 qua connue la gestion financire en vue dactualiser et damliorer le
rendement de ce service.
Cette loi, publie au bulletin officiel n : 4023 du7 Jommada 11410
(6/12/89), comporte trois principaux volets :
la reprise et lamlioration de lancienne fiscalit locale ;
la cration de nouveaux impts et taxes ;
lintroduction de nouvelles procdures en matires de contentieux et
de recouvrement.
Suite cette loi, ce service est devenu le service de dveloppement
des ressources financires locales se composant de plusieurs cellules :
1. Cellule de contrle ;
7
11
TSTRI/GC
OFPPT

2. Cellule de recettes
Cependant, il est le seul service dans la commune urbaine qui a pour
but la collecte des fonds ncessaires la couverture des diffrentes dpenses
exiges par lactivit communale.

3-5-Service du patrimoine et des affaires juridiques :


3-5-1- SERVICE DU PARTIMONE COMMUNAL :
Ce service se charge des oprations foncire concernant :
lacquisition, lchange, la cession, expropriation pour lutilit public et
loccupation temporaire du domaine public .Les lments constituant les
dossiers lacquisition, dchange, de la cession sont les mmes, ils sont
comme suit :
* note de prsentation o est cit les avantages de ce projet ;
* procs verbal de la dlibration du conseil ;
* procs verbal de la commission dexpertise ;
* Note sur la source de financement ;
* Rapport de lAutorit locale ;
* Le plan ;
* Projet de dcret si les capitaux verss sont suprieurs 15 millions Dh du
projet darrte dans le cas contraire.
Le cas de dcret ncessite lapprobation du Ministre de lintrieur et
des finances. Mais dans le cas dune expropriation pour lutilit publique, le
dossier se compose des autres lments fournir.
3-5-2 SERVICE DES AFFAIRES JURIDIQUES :
Ce service t cre dans le but dviter plusieurs problmes :

8
11
TSTRI/GC
OFPPT

La multitude des affaires judiciaires, lexcution tardive ou le refus


dexcution des verdicts, le problme provoqu par lavocat relativement
aux sommes dargent exiges de sa part incompatible avec son service .
Les tches accomplies par ce service sont :
Rception des plaintes crites ou orales et les classer selon leur
importance et leur degr dexigibilit, y rpondre, avoir des copies des
verdicts. Dans le cadre de ce service ; on parle galement de la police
administrative : cest une sorte de loi et un privilge accord au prsident
et qui lui donne le droit daccorder, dabolir au dinterdire une autorisation
pour des locos.

3-6-Bureau dordre :
Il est charg du travail administratif, des correspondances enregistres
envoyes o arrives et les distribuer au service concern.
Cest le prsident qui soccupe de toutes les affaires de la commune de
Berrechid selon le dcret royal qui organise les collectivits locales et qui
donne au prsident le pouvoir de diriger tous les services de la municipalit.
Le secrtaire gnral dirige la commune urbaine en partie
administrative sous la responsabilit de monsieur le prsident du conseil
municipal.
3-7-Services informatiques :
Formation personnelle

Formation assistant du personnel

Dveloppement des applications de gestion de services communaux

La maintenance des applications

Rparation des matriels

Accusation du matriel
9
11
TSTRI/GC
OFPPT

Elaboration des CPS ou les bandes de commandes concernant le


service informatique

Etude des plans d'information de la commune de berrechid

La conception et la mise a jours des sites de la commune

10
11
TSTRI/GC
OFPPT

II- Deuxime partie : les taches effectues :


Le service informatique est charg de :

Linformatisation des activits de lensemble des dpartements


Formation assistant du personnel
Dveloppement des applications de gestion de services communaux
La maintenance des applications
Rparation des matriels
Accusation du matriel
Elaboration des CPS ou les bandes de commandes concernant le
service informatique
Etude des plans d'information de la commune de Berrechid
La conception et la mise jour des sites de la commune
La gestion de rseau des services de l'tat civil de Berrechid et le
rseau de l'annexe de HAY HASSANI
L'interconnexion des deux bureaux de l'tat civil (Hay hassani et
Berrechid par internet).

11
11
TSTRI/GC
OFPPT

Schma du rseau

Le rseau de services de l'tat Le rseau de services de


civil de la commune l'tat civil de Hay hassani

12
11
TSTRI/GC
OFPPT

Troisime partie : le VPN

Internet est devenue aujourdhui ncessaire et avec eux les sites marchands
ont fleuris ainsi que les sites publicitaires. Nous retiendrons de tout a
quInternet est un vritable outil de communication. Mais il na pas su
s'voluer dans lutilisation de ses protocoles, et la plupart des protocoles
utiliss ont plusieurs annes dexistence et certains nont pas t cre dans
une optique ou le rseau prendrait une tel envergure. ainsi que les mots de
passe traversent les rseaux en clair, et l ou transitent des applications de
plus en plus critiques sur le rseaux, la scurit, elle, peu volu.
En parlent de scurit en faisant rfrence aux pirates, spyware, cheval de
Troie, virus, etc. Ils profitent de failles des protocoles, du systme, mais
surtout du faite que le rseau ntait pas dvelopp dans une
optique scurit .
Internet dans ce contexte l na pas la vocation dtre une zone scurise. la
plupart des donnes y circulent nue. On alors recours des algorithmes
de cryptage, pour garder nos donnes confidentielles.
Les connexions distantes au rseau de lentreprise sont dsormais devenues
une ncessit pour de nombreuses socits. Avec lavance du tltravail, du
temps de travail amnag, des missions nomades, le besoin de mettre en
place des systmes permettant de se connecter au rseau de lentreprise afin
daccder ses ressources sest affirm.

13
11
TSTRI/GC
OFPPT

Une connexion rseau priv virtuel ou VPN (Virtual Private Network)


permet deux entits de communiquer entres-elle de faon scurise en
passant par un rseau public (non scuris) comme Internet. Les rseaux
privs virtuels sont souvent utiliss dans le cadre de l'accs distance car ils
permettent un utilisateur lambda d'accder aux ressources internes de
l'entreprise en utilisant un rseau dont le cot de location est faible
(Internet) de manire scurise. Pour cela les rseaux privs virtuels
utilisent des protocoles spcifiques comme PPTP ou bien encore
L2TP/IPSEC appels protocole de tunnel.
Les protocoles de tunnel chiffrent les trames de donnes puis encapsulent
ces trames dans des paquets IP qui sont envoys sur Internet. La scurit
des donnes est maximale puisque les adresses IP prives (celle du client et
du serveur d'accs distant) sont chiffres. Il est donc impossible pour un
utilisateur non autoris d'avoir accs aux donnes circulant sur la toile.

14
11
TSTRI/GC
OFPPT

Dfinition
Quest ce quun VPN ?
Un rseau priv virtuel (VPN) est lextension dun rseau priv qui inclut
les liaisons avec des rseaux partags ou publics tels quInternet. Avec un
rseau VPN, il est possible transmettre des donnes entre deux ordinateurs
par le biais dun rseau partag ou public en mulant une liaison prive
point point. La mise en place d'un rseau priv virtuel consiste crer et
configurer un rseau priv virtuel.

Pour muler une liaison point point, les donnes sont encapsules avec un
en-tte contenant les informations de routage et permettant aux donnes de
traverser le rseau partag ou public pour atteindre son point darrt. Pour
muler une liaison prive, les donnes sont cryptes en vue dassurer leur
confidentialit. Les paquets qui sont intercepts sur le rseau partag ou
public sont indchiffrables sans les cls de cryptage. La liaison dans laquelle
les donnes prives sont encapsules et cryptes est une connexion de rseau
priv virtuel (VPN).

15
11
TSTRI/GC
OFPPT

2 - Principe de fonctionnement
2.1 - Principe gnral

Un rseau VPN repose sur un protocole appel "protocole de tunneling".


Ce protocole permet de faire circuler les informations de l'entreprise de
faon crypte d'un bout l'autre du tunnel. Ainsi, les utilisateurs ont
l'impression de se connecter directement sur le rseau de leur entreprise.

Le principe de tunneling consiste construire un chemin virtuel aprs


avoir identifi l'metteur et le destinataire. Par la suite, la source chiffre
les donnes et les achemine en empruntant ce chemin virtuel. Afin
d'assurer un accs ais et peu coteux aux intranets ou aux extranets
d'entreprise, les rseaux privs virtuels d'accs simulent un rseau priv,
alors qu'ils utilisent en ralit une infrastructure d'accs partage,
comme Internet.

Les donnes transmettre peuvent tre prises en charge par un


protocole diffrent d'IP. Dans ce cas, le protocole de tunneling encapsule
les donnes en ajoutant une en-tte. Le tunneling est l'ensemble des
processus d'encapsulation, de transmission et de dsencapsulation.

16
11
TSTRI/GC
OFPPT

2.2 - Fonctionnalits des VPN

Il existe 3 types standard d'utilisation des VPN. En tudiant ces schmas


d'utilisation, il est possible d'isoler les fonctionnalits indispensables
des VPN.
2.2.1 - Le VPN d'accs

Le VPN d'accs est utilis pour permettre des utilisateurs itinrants


d'accder au rseau priv. L'utilisateur se sert d'une connexion
Internet pour tablir la connexion VPN. Il existe deux cas:

- L'utilisateur demande au fournisseur d'accs de lui tablir une


connexion crypte vers le serveur distant : il communique avec le
NAS (Network Access Server) du fournisseur d'accs et c'est le
NAS qui tablit la connexion crypte.

- L'utilisateur possde son propre logiciel client pour le VPN


auquel cas il tablit directement la communication de manire
crypte vers le rseau de l'entreprise.

Les deux mthodes possdent chacune leurs avantages et leurs


inconvnients :

La premire permet l'utilisateur de communiquer sur plusieurs


rseaux en crant plusieurs tunnels, mais ncessite un fournisseur
d'accs proposant un NAS compatible avec la solution VPN
choisie par l'entreprise. De plus, la demande de connexion par le
Nas n'est pas crypte Ce qui peut poser des problmes de scurit.

17
11
TSTRI/GC
OFPPT

Sur la deuxime mthode, ce problme disparat puisque


l'intgralit des informations sera crypte ds l'tablissement de
la connexion. Par contre, cette solution ncessite que chaque client
transporte avec lui le logiciel, lui permettant d'tablir une
communication crypte. Nous verrons que pour pallier ce
problme certaines entreprises mettent en place des VPN base
de SSL, technologie implmente dans la majorit des navigateurs
Internet du march.

Quelle que soit la mthode de connexion choisie, ce type d'utilisation


montre bien l'importance dans le VPN d'avoir une authentification
forte des utilisateurs. Cette authentification peut se faire par une
vrification "login / mot de passe", par un algorithme dit "Tokens
scuriss" (utilisation de mots de passe alatoires) ou par certificats
numriques.

2.2.2 - L'intranet VPN

L'intranet VPN est utilis pour relier au moins deux intranets entre
eux. Ce type de rseau est particulirement utile au sein d'une
entreprise possdant plusieurs sites distants. Le plus important dans
ce type de rseau est de garantir la scurit et l'intgrit des donnes.
Certaines donnes trs sensibles peuvent tre amenes transiter sur
le VPN (base de donnes clients, informations financires...). Des
techniques de cryptographie sont mises en oeuvre pour vrifier que les
donnes n'ont pas t altres. Il s'agit d'une authentification au
niveau paquet pour assurer la validit des donnes, de l'identification
de leur source ainsi que leur non rpudiation. La plupart des
algorithmes utiliss font appel des signatures numriques qui sont
ajoutes aux paquets. La confidentialit des donnes est, elle aussi,
base sur des algorithmes de cryptographie. La technologie en la
matire est suffisamment avance pour permettre une scurit quasi
parfaite. Le cot matriel des quipements de cryptage et dcryptage
ainsi que les limites lgales interdisent l'utilisation d'un codage "
18
11
TSTRI/GC
OFPPT

infaillible ". Gnralement pour la confidentialit, le codage en lui-


mme pourra tre moyen faible, mais sera combin avec d'autres
techniques comme l'encapsulation IP dans IP pour assurer une
scurit raisonnable.

2.2.3 - L'extranet VPN

Une entreprise peut utiliser le VPN pour communiquer avec ses


clients et ses partenaires. Elle ouvre alors son rseau local ces
derniers. Dans ce cadre, il est fondamental que l'administrateur du
VPN puisse tracer les clients sur le rseau et grer les droits de chacun
sur celui-ci.

2.2.4 - Bilan des caractristiques fondamentales d'un VPN

Un systme de VPN doit pouvoir mettre en oeuvre les fonctionnalits


suivantes :

Authentification d'utilisateur. Seuls les utilisateurs autoriss


doivent pouvoir s'identifier sur le rseau virtuel. De plus, un
historique des connexions et des actions effectues sur le
rseau doit tre conserv.
Gestion d'adresses. Chaque client sur le rseau doit avoir
une adresse prive. Cette adresse prive doit rester
confidentielle. Un nouveau client doit pourvoir se connecter
facilement au rseau et recevoir une adresse.

Cryptage des donnes. Lors de leurs transports sur le


rseau public les donnes doivent tre protges par un
cryptage efficace.

Gestion de cls. Les cls de cryptage pour le client et le


serveur doivent pouvoir tre gnres et rgnres.

19
11
TSTRI/GC
OFPPT

Prise en charge multiprotocole. La solution VPN doit


supporter les protocoles les plus utiliss sur les rseaux
publics en particulier Ip.

Le VPN est un principe : il ne dcrit pas l'implmentation effective de


ces caractristiques. C'est pourquoi il existe plusieurs produits
diffrents sur le march dont certains sont devenus standard, et mme
considrs comme des normes.

3 - Protocoles utiliss pour raliser une connexion VPN


Nous pouvons classer les protocoles que nous allons tudier en deux
catgories:

Les protocoles de niveau 2 comme PPTP et L2TP.

Les protocoles de niveau 3 comme IPSEC ou MPLS.

Il existe en ralit trois protocoles de niveau 2 permettant de raliser des


VPN : PPTP (de Microsoft), L2F (dvelopp par CISCO) et enfin L2TP.
Nous n'voquerons dans cette tude que PPTP et L2TP : le protocole L2F
ayant aujourd'hui quasiment disparut. Le protocole PPTP aurait sans
doute lui aussi disparut sans le soutien de Microsoft qui continue
l'intgrer ses systmes d'exploitation Windows. L2TP est une volution de
PPTP et de L2F, reprenant les avantages des deux protocoles.

Les protocoles de couche 2 dpendent des fonctionnalits spcifies pour


PPP (Point to Point Protocol), c'est pourquoi nous allons tout d'abord
rappeler le fonctionnement de Ce protocole.

3.1 - Rappels sur PPP

PPP (Point to Point Protocol) est un protocole qui permet de transfrer


des donnes sur un lien synchrone ou asynchrone. Il est full duplex et
garantit l'ordre d'arrive des paquets. Il encapsule les paquets IP, IPX et
Netbeui dans des trames PPP, puis transmet ces paquets encapsuls au
travers de la liaison point point. PPP est employ gnralement entre
un client d'accs distance et un serveur d'accs rseau (NAS). Le
protocole PPP est dfini dans la Rfc 1661 appuy de la Rfc 2153.

3.1.1 - Gnralits

PPP est l'un des deux protocoles issus de la standardisation des


communications sur liaisons sries (Slip tant le deuxime). Il permet
20
11
TSTRI/GC
OFPPT

non seulement l'encapsulation de datagrammes, mais galement la


rsolution de certains problmes lis aux protocoles rseaux comme
l'assignation et la gestion des adresses (Ip, X25 et autres).

Une connexion PPP est compose principalement de trois parties :

Une mthode pour encapsuler les datagrammes sur la liaison


srie. PPP utilise le format de trame HDLC (Hight Data Level
Control) de l'ISO (International Standartization Organisation).

Un protocole de contrle de liaison (LCP - Link Control Protocol)


pour tablir, configurer et tester la connexion de liaison de
donnes.

Plusieurs protocoles de contrle de rseaux (NCPS - Network


Control Protocol) pour tablir et configurer les diffrents
protocoles de couche rseau.

3.2 - Le protocole PPTP


PPTP, dfinit par la Rfc 2637, est un protocole qui utilise une connexion
PPP travers un rseau IP en crant un rseau priv virtuel (VPN).
Microsoft a implment ses propres algorithmes afin de l'intgrer dans
ses versions de windows. Ainsi, PPTP est une solution trs employe dans
les produits VPN commerciaux cause de son intgration au sein des
systmes d'exploitation Windows. PPTP est un protocole de niveau 2 qui
permet l'encryptage des donnes ainsi que leur compression.
L'authentification se fait grce au protocole Ms-Chap de Microsoft qui,
aprs la cryptanalyse de sa version 1, a rvl publiquement des failles
importantes. Microsoft a corrig ces dfaillances et propose aujourd'hui
une version 2 de Ms-Chap plus sre. La partie chiffrement des donnes
s'effectue grce au protocole Mppe (Microsoft Point-to-Point
Encryption).

Le principe du protocole PPTP est de crer des paquets sous le protocole


PPP et de les encapsuler dans des datagrammes IP. PPTP cre ainsi un
tunnel de niveau 3 dfinis par le protocole Gre (Generic Routing
Encapsulation). Le tunnel PPTP se caractrise par une initialisation du
client, une connexion de contrle entre le client et le serveur ainsi que
par la clture du tunnel par le serveur. Lors de l'tablissement de la
connexion, le client effectue d'abord une connexion avec son fournisseur
d'accs Internet. Cette premire connexion tablie une connexion de type
PPP et permet de faire circuler des donnes sur Internet. Par la suite,
21
11
TSTRI/GC
OFPPT

une deuxime connexion dial-up est tablie. Elle permet d'encapsuler les
paquets PPP dans des datagrammes IP. C'est cette deuxime connexion
qui forme le tunnel PPTP. Tout trafic client conu pour Internet
emprunte la connexion physique normale, alors que le trafic conu pour
le rseau priv distant, passe par la connexion virtuelle de PPTP.

Plusieurs protocoles peuvent tre associs PPTP afin de scuriser les


donnes ou de les compresser. On retrouve videment les protocoles
dvelopps par Microsoft et cits prcdemment. Ainsi, pour le processus
d'identification, il est possible d'utiliser les protocoles PAP (Password
Authentification Protocol) ou MsChap. Pour l'encryptage des donnes, il
est possible d'utiliser les fonctions de MPPE (Microsoft Point to Point
Encryption). Enfin, une compression de bout en bout peut tre ralise
par MPPC (Microsoft Point to Point Compression). Ces divers
protocoles permettent de raliser une connexion VPN complte, mais les
protocoles suivants permettent un niveau de performance et de fiabilit
bien meilleur.

3.3 - Le protocole L2TP


L2TP, dfinit par la Rfc 2661, est issu de la convergence des
protocoles PPTP et L2F. Il est actuellement dvelopp et valu
conjointement par Cisco Systems, Microsoft, Ascend, 3Com ainsi que
d'autres acteurs cls du march des rseaux. Il permet l'encapsulation
des paquets PPP au niveau des couches 2 (Frame Relay et Atm) et 3
(Ip). Lorsqu'il est configur pour transporter les donnes sur IP,
L2TP peut tre utilis pour faire du tunnelling sur Internet. L2TP
repose sur deux concepts : les concentrateurs d'accs L2TP (Lac :
L2TP Access Concentrator) et les serveurs rseau L2TP (Lns : L2TP
Network Server). L2TP n'intgre pas directement de protocole pour
le chiffrement des donnes. C'est pourquoi L'IETF prconise
l'utilisation conjointe d'IPSEC et L2TP.

22
11
TSTRI/GC
OFPPT

3.4 Le protocole IPSEC


IPSEC, dfinit par la Rfc 2401, est un protocole qui vise scuriser
l'change de donnes au niveau de la couche rseau. Le rseau IPV4
tant largement dploy et la migration vers IPV6 tant invitable,
mais nanmoins longue, il est apparu intressant de dvelopper des
techniques de protection des donnes communes IPV4 et IPV6. Ces
mcanismes sont couramment dsigns par le terme IPSEC pour IP
Security Protocols. IPSEC est bas sur deux mcanismes. Le premier,
AH, pour Authentification Header vise assurer l'intgrit et
l'authenticit des datagrammes IP. Il ne fournit par contre aucune
confidentialit : les donnes fournies et transmises par ce "protocole"
ne sont pas encodes. Le second, ESP, pour Encapsulating Security
Payload peut aussi permettre l'authentification des donnes mais est
principalement utilis pour le cryptage des informations. Bien
qu'indpendants ces deux mcanismes sont presque toujours utiliss
conjointement.

Enfin, le protocole IKE permet de grer les changes ou les associations


entre protocoles de scurit. Avant de dcrire ces diffrents
protocoles, nous allons exposer les diffrents lments utiliss dans
IPSEC.

3.5 - Le protocole MPLS


Le protocole MPLS est un brillant rejeton du "tout IP". Il se prsente
comme une solution aux problmes de routage des datagrammes IP
vhiculs sur Internet. Le principe de routage sur Internet repose sur des
tables de routage. Pour chaque paquet les routeurs, afin de dterminer le
prochain saut, doivent analyser l'adresse de destination du paquet
contenu dans l'entte de niveau 3. Puis il consulte sa table de routage
pour dterminer sur quelle interface doit sortir le paquet. Ce mcanisme
de recherche dans la table de routage est consommateur de temps CPU
et avec la croissance de la taille des rseaux ces dernires annes, les
23
11
TSTRI/GC
OFPPT

tables de routage des routeurs ont constamment augment. Le protocole


MPLS fut initialement dvelopp pour donner une plus grande puissance
aux commutateurs Ip, mais avec l'avnement de techniques de
commutation comme CEF (Cisco Express Forwarding) et la mise au
point de nouveaux ASIC (Application Specific Interface Circuits), les
routeurs IP ont vu leurs performances augmenter sans le recours
MPLS.

3.5.1 - Principe de fonctionnement de MPLS

Le principe de base de MPLS est la commutation de labels. Ces labels,


simples nombres entiers, sont insrs entre les en-ttes de niveaux 2 et
3, les routeurs permutant alors ces labels tout au long du rseau
jusqu' destination, sans avoir besoin de consulter l'entte Ip et leur
table de PPTP

PPTP prsente l'avantage d'tre compltement intgr dans les


environnements Windows. Ceci signifie en particulier que l'accs au rseau
local distant pourra se faire via le systme d'authentification de Windows
NT : RADIUS et sa gestion de droits et de groupe. Cependant comme
beaucoup de produit Microsoft la scurit est le point faible du produit :

Mauvaise gestion des mots de passe dans les environnements mixtes win
95/NT

Faiblesses dans la gnration des cls de session : ralis partir d'un


hachage du mot de passe au lieu d'tre entirement gnres au hasard.
(facilite les attaques force brute )

Faiblesses cryptographiques du protocole MsCHAP 1 corriges dans la


version 2 mais aucun contrle sur cette version n'a t effectu par une
entit indpendante.

Identification des paquets non implmente : vulnrabilit aux attaques de


type spoofing

3.6 - L2TP / IPSEC

Les mcanismes de scurit mis en place dans IPSEC sont plus robustes
et plus reconnus que ceux mis en place par Microsoft dans PPTP. Par
dfaut le protocole L2TP utilise le protocole IPSEC. Cependant si le
serveur distant ne le supporte pas L2TP pourra utiliser un autre
protocole de scurit. Il convient donc de s'assurer que l'ensemble des
quipements d'un VPN L2TP implmente bien le protocole IPSEC.
24
11
TSTRI/GC
OFPPT

IPSEC ne permet d'identifier que des machines et non pas des


utilisateurs. Ceci est particulirement problmatique pour les utilisateurs
itinrants. Il faut donc prvoir un service d'authentification des
utilisateurs. Dans le cas de connexion dial-up c'est l'identifiant de
connexion qui sera utilis pour authentifier l'utilisateur. Mais dans le cas
de connexion via Internet il faudra prvoir une phase d'authentification
supplmentaire l'tablissement du tunnel.

D'autre part IPSEC n'offre aucun mcanisme de QOS, ce qui limite ses
applications : toutes les applications de voix sur Ip ou de vido sur Ip
sont impossibles ou seront amenes tre compltement dpendantes des
conditions de traffic sur l'internet public.

Enfin IPSEC cause de la lourdeur des oprations de


cryptage/dcryptage rduit les performances globales des rseaux.
L'achat de priphriques ddis, coteux est souvent indispensable.

3.7 - MPLS

MPLS est aujourd'hui la solution apparaissant comme la plus mature du


march. La possibilit d'obtenir une QOS garantie par contrat est un
lment qui pse fortement dans la balance des dcideurs. Cependant,
seuls des oprateurs spcialiss fournissent Ce service Ce qui peut poser
de nouveaux problmes. Tout d'abord, Ce sont ces oprateurs de services
qui fixent les prix. Ce prix inclus forcement une marge pour le
fournisseur de service. D'autre part certaines entreprise ne souhaitent
pas sous traiter leurs communications un seul oprateur. En effet
l'explosion de la bulle boursire autour des valeurs technologiques a
suscit une vague de faillite d'oprateurs rseaux et de nombreuses
entreprises ont vu leurs connexions coupes du jour au lendemain. Ce
risque est aujourd'hui fortement pris en compte par les dcideurs
informatiques. Cependant utiliser plusieurs oprateurs pour la gestion
du VPN complique d'autant la gestion et la configuration de celui-ci.

Enfin l'tendu d'un VPN-MPLS est aujourd'hui limit par la capacit de


l'oprateur de service couvrir de vastes zones gographiques.

25
11
TSTRI/GC
OFPPT

3.8 - MPLS / IPSEC


MPLS IPSEC
Qualit de service Permet d'attribuer des Le transfert se faisant sur
priorits au trafic par le biais l'Internet public, permet
de classes de service seulement un service "best
effort"

Cot Infrieur celui des rseaux Faible grce au transfert via


Frame Relay et Atm mais le domaine Internet public
suprieur celui des autres
VPN IP.

Scurit Comparable la scurit Scurit totale grce la


offerte par les rseaux Atm et combinaison de certificats
Frame Relay existants numriques et de Pki pour
l'authentification ainsi qu'
une srie d'options de
cryptage, triple DES et AES
notamment
Applications compatibles Toutes les applications, y Accs distance et nomade
compris les logiciels scuris. Applications sous IP,
d'entreprise vitaux exigeant notamment courrier
une qualit de service leve lectronique et Internet.
et une faible latence et les Inadapt au trafic en temps
applications en temps rel rel ou priorit leve
(vido et voix sur IP)

Etendue Dpend du rseau MPLS du Trs vaste puisque repose sur


fournisseur de services l'accs Internet
Evolutivit Evolutivit leve puisque Les dploiements les plus
n'exige pas une vastes exigent une
interconnexion d'gal gal planification soigneuse pour
entre les sites et que les rpondre notamment aux
dploiements standard problmes d'interconnexion
peuvent prendre en charge site site et de peering
plusieurs dizaines de milliers
de connexions par VPN
Frais de gestion du rseau Aucun traitement exig par le Traitements supplmentaires
routage pour le cryptage et le
dcryptage

Vitesse de dploiement Le fournisseur de services Possibilit d'utiliser


doit dployer un routeur l'infrastructure du rseau Ip
MPLS en bordure de rseau existant
pour permettre l&148; accs
client
Prise en charge par le client Non requise. Le MPLS est Logiciels ou matriels client
une technologie rseau requis

26
11
TSTRI/GC
OFPPT

Pr requis et Configuration initiale des machines


(obligatoire)
o 1.0. Disposez de deux machines, un client (XP) un serveur (2003
SERVEUR)
o 1.1. Attribuez une adresse IP fixe au serveur [SERVEUR]
o 1.2. attribuez une adresse IP fixe au client[XP]
o 1. 3. Vrifiez que la connectivit est bonne entre les deux
machines [XP]
o 1.4. Vrifiez que le service Routage et accs distant est dsactiv
[XP et SERVEUR]
o 1.5. Vrifiez que le service DNS et que le service WINS sont
bien dsinstalls [XP et SERVEUR]
o 1.6. Installez le service dannuaire Active Directory
[SERVEUR]
o 1.7. Configurez xp pour quil joigne le domaine du serveur [XP]

2. Configuration de connexions VPN clientes (obligatoire)


o 2.1. Crez une connexion au rseau priv virtuel pour tester le
bon fonctionnement du serveur VPN de votre partenaire [XP]
o 2.2. Essayez dtablir la connexion VPN client en utilisant le
compte Administrateur [XP]

3. Installation du serveur VPN et configuration des options


gnrales (obligatoire)
o 3.1. Activez et configurez le routage et laccs distant
[SERVEUR]
o 3.2. Configurer le serveur VPN pour attribuer des adresses IP
aux clients parmi une plage dadresses IP statiques.
[SERVEUR]
o 3.3. Inscrivez le serveur VPN dans le service dannuaire Active
Directory [SERVEUR].

27
11
TSTRI/GC
OFPPT

VPN sous 2003 serveurs :


Les tapes de configuration VPN sous 2003 Server :

28
11
TSTRI/GC
OFPPT

Faire Dmarrer ; panneau de configuration ; connexion rseau ; assistant nouvelle


connexion

29
11
TSTRI/GC
OFPPT

Faire Suivant

Choisir configurer une connexion avance et faire suivant

30
11
TSTRI/GC
OFPPT

Choisissez accepter les connexions entrantes

Slectionnez la case cocher

31
11
TSTRI/GC
OFPPT

Cochez Autoriser les connexions prives virtuelles

Slectionnez les utilisateurs autoriss utiliser le VPN.

32
11
TSTRI/GC
OFPPT

Slectionnez Internet protocole TCP/IP puis cliquez sur Proprits.

Spcifier la plage dadresse


33
11
TSTRI/GC
OFPPT

Cliquer sur terminer pour quitter lassistant

34
11
TSTRI/GC
OFPPT

Configurer VPN sous Windows xp:


Pour crer une connexion VPN sous Windows XP, affichez la page listant les
connexions rseau (clic droit / proprits sur l'icne favoris rseau) puis
lancez l'Assistant Nouvelle Connexion

Cliquez sur Suivant

35
11
TSTRI/GC
OFPPT

Slectionnez Connexion au rseau d'entreprise

Choisir connexion rseau priv virtuel

36
11
TSTRI/GC
OFPPT

Spcifier le nom de la connexion

Saisir le nom de serveur

37
11
TSTRI/GC
OFPPT

Cliquer sur termin pour quitter lassistant

38
11
TSTRI/GC
OFPPT

Cette tude des solutions VPN, met en vidence une forte concurrence
entres les diffrents protocoles pouvant tre utiliss. Nanmoins, il est
possible de distinguer deux rivaux sortant leurs pingles du jeu, savoir
IPSEC et MPLS. Ce dernier est suprieur sur bien des points, mais il assure
,en outre, simultanment la sparation des flux et leur confidentialit. Le
dveloppement rapide du march pourrait bien cependant donner
l'avantage au second. En effet, la mise en place de VPN par IP entre
gnralement dans une politique de rduction des cots lis
l'infrastructure rseau des entreprises. Les VPN sur IP permettent en effet
de se passer des liaisons loues de type Atm ou Frame Relay. Le cot des
VPN IP est actuellement assez intressant pour motiver de nombreuses
entreprises franchir le pas. A performance gales un VPN MPLS cote
deux fois moins cher qu'une ligne ATM. Mais si les solutions base de
MPLS prennent actuellement le devant face aux technologies IPSEC c'est
principalement grce l'intgration possible de solution de tlphonie sur
IP. La qualit de service offerte par le MPLS autorise en effet ce type
d'utilisation. Le march des VPN profite donc de l'engouement actuel pour
ces technologies qui permettent elles aussi de rduire les cots des
infrastructures de communication. Les VPN sont donc amens prendre de
plus en plus de place dans les rseaux informatiques.

39
11
TSTRI/GC