VPN

Virtual Private Network

Alain AUBERT
alain.aubert@univ-st-etienne.fr 0

Qu’est ce qu’un VPN ?

• Virtuel Private Network: réseau privé virtuel
— Technique permettant à un ou plusieurs postes distants de communiquer de
manière sûre, tout en empruntant des infrastructures publiques (Internet ou
WAN opérateur)
— Technique apparue suite à un besoin croissant des entreprises de relier leurs
différents sites, de connecter facilement leurs employés mobiles ou leurs
télétravailleurs
Fournisseur ou client
Travailleur
mobile avec un
client VPN

VPN
Internet Firewall
Télétravailleur avec
sa BOX Siège
VPN social
WAN

1
VPN
Agence

1
 Principe de fonctionnement d’un VPN
• VPN repose sur un principe de « Tunnelling »
— Permet de faire circuler les informations de façon cryptée d’un bout à l’autre
du tunnel
— Les utilisateurs distants ont l’impression de de se connecter directement sur le
réseau de leur entreprise

• Principe de tunneling:
— Consiste à créer un chemin virtuel après avoir identifié l’émetteur et le
destinataire
— La source chiffre (crypte) les données et les achemine en empruntant le
chemin virtuel 2

Principe de fonctionnement d’un VPN

• Les réseaux privés virtuels simulent (chemin virtuel) un réseau
privé alors qu’ils utilisent en réalité une infrastructure d’accès
partagée comme Internet ou un WAN opérateur

• Les données à transmettre peuvent être prises en charge par un

protocole différent d’IP
— dans ce cas, le protocole de « Tunnelling » encapsule les données en ajoutant
une entête
— Le Tunneling est l’ensemble des processus d’encapsulation, de transmission et
de désencapsulation

• Principaux avantages d’un VPN:

— Sécurité: assure des communications sécurisées et chiffrées
— Simplicité: utilise les circuits de télécommunications classiques
— Économie: utilise Internet ou un WAN opérateur en tant que média principal de
transport, ce qui évite les coûts liés à la ligne dédiée

2
 Contraintes d’un VPN

• Le principe d’un VPN est d’être transparent pour les utilisateurs

et les applications

• Il doit être capable de mettre en œuvre les fonctionnalités

suivantes
— Authentification des utilisateurs: seuls les utilisateurs autorisés
doivent avoir accès au canal VPN
— Cryptage des données: lors de leur transport sur le réseau publique,
les données doivent être protégées par un cryptage efficace (ce qui
assure la confidentialité des données)
— Intégrité des données: : lors de leur transport sur le réseau publique,
les données ne doivent pas être modifiées

Confidentialité des données

• Algorithmes utilisés

Least secure Most secure

Key length:
- 56-bits Algorithmes de
Key length: chiffrement à clés
- 56-bits (3 times)
symétriques
Key lengths:
-128-bits
Diffie-Hellman DH7
-192 bits
-256-bits

Key length:
- 160-bits 5

3
 Intégrité des données
• Algorithmes utilisés

Least secure Most secure

Fonctions de
Hachage à sens
unique
Key length:
- 128-bits

Key length:
Diffie-Hellman - 160-bits) DH7

Authenticité des données

• Algorithmes utilisés

Diffie-Hellman DH7

4
 Différents types de VPN

• 3 types de VPN:

— VPN d’accès: permet aux utilisateurs itinérants d’accéder au réseau de leur

entreprise
— L’utilisateur se sert d’une connexion Internet afin d’établir une connexion
sécurisée

Différents types de VPN

• 3 types de VPN:

— L’Intranet VPN: utilisé pour relier 2 ou plusieurs Intranets d’une même

entreprise entre eux.
— Ce type de réseau est particulièrement utile au sein d’une entreprise possédant
plusieurs sites distants

5
 Différents types de VPN

• 3 types de VPN:

— L’Extranet VPN: une entreprise peut utiliser un VPN pour communiquer avec
ses clients ou ses partenaires
— Elle ouvre alors son réseau local. Dans ce cas il est nécessaire d’avoir une
authentification forte des utilisateurs ainsi qu’une trace des différents accès
— De plus, seule une partie des ressources sera partagée ce qui nécessite une
gestion rigoureuse des espaces d’échange

10

Protocoles utilisés

• 2 types de protocoles suivant le niveau de la couche OSI

auquel ils travaillent

— Les protocoles de niveau 2: PPTP ou LT2P

— Les protocoles de niveau 3: Ipsec ou MPLS

11

6
 Protocoles IPsec

• Ipsec: IP Security Protocol

• Protocole qui vise à sécuriser l’échange de données au niveau de
la couche réseau
• Basé sur 2 mécanismes

— AH: Authentication header  vise à assurer l’intégrité, l’authenticité

des datagrammes IP et la protection contre le rejeu. Par contre, il
n’assure la confidentialité des données

— ESP: Encapsulation Security Payload  permet l’authentification

des données, le cryptage des données et l’intégrité des données

12

Protocoles IPsec
Authentication Header
R1 All data is in plaintext.
R2

AH provides the following:

 Authentication
 Integrity

Encapsulating Security Payload

R1 Data payload is encrypted.
R2

ESP provides the following:

 Encryption
 Authentication
 Integrity

13

7
 Protocoles IPsec
• AH : Authentication header
1. The IP Header and data payload are hashed
IP Header + Data R2

Secret Hash
Key IP HDR AH Data
Authentication Data IP Header + Data
(00ABCDEF)
3. The new packet is
Internet
transmitted to the Hash
IPSec peer router Secret
Key
IP HDR AH Data
Recomputed Received
Hash = Hash
(00ABCDEF) (00ABCDEF)
R1
4. The peer router hashes the IP
2. The hash builds a new AH
header and data payload, extracts
header which is prepended
the transmitted hash and compares 14
to the original packet

Protocoles IPsec
• ESP : Encapsulation Security Payload

Internet
Router Router
IP HDR Data IP HDR Data

ESP ESP
New IP HDR ESP HDR IP HDR Data
Trailer Auth

Encrypted
Authenticated
• Provides confidentiality with encryption
• Provides integrity with authentication

15

8
 Problématique des mécanismes de
cryptage
• Les protocoles sécurisés ont recours à des algorithmes de cryptage
et ont donc besoin de clés de chiffrement
• Problématique: gestion des clés, c’est-à-dire la génération, la
distribution, le stockage et la suppression de clés
• Cette gestion est dévolue à des protocoles spécifique de gestion de
clés, à savoir:

— Isakmp ( Internet Security Association and Key Management Protocol)

protocole de gestion des clefs et des associations de sécurité pour
Internet
Une association de sécurité IPsec est une ”connexion” simplexe qui
fournit des services de sécurité au trafic qu’elle transporte. On peut aussi la
considérer comme une collection de données décrivant l’ensemble des
paramètres associés à une communication donnée.

16

Mise en œuvre sur routeur CISCO

Configuration de ISAKMP
10.0.1.0/24
10.0.1.3 R1 S0/0/0 S0/0/0
R2 10.0.2.3
172.30.1.2 172.30.2.2

Internet
Site 1 Site 2
Policy 110
DES
MD5 Tunnel
Preshare
86400
DH1

router(config)#
crypto isakmp policy priority
Defines the parameters within the IKE policy
R1(config)# crypto isakmp policy 110
R1(config–isakmp)# authentication pre-share
R1(config–isakmp)# encryption des
R1(config–isakmp)# group 1
R1(config–isakmp)# hash md5
R1(config–isakmp)# lifetime 86400 17

9
 Mise en œuvre sur routeur CISCO
Configuration de ISAKMP

18

Mise en œuvre sur routeur CISCO

Configuration de ISAKKMP

R1 attempts to establish a VPN tunnel with

R2 and sends its IKE policy parameters
10.0.1.0/24 10.0.2.0/24
S0/0/0
10.0.1.3 R1 S0/0/0 172.30.2.2 R2 10.0.2.3
172.30.1.2

Internet
Site 1 Policy 110
Preshare
Site 2
3DES Tunnel
SHA
DH2
43200
R2 must have an ISAKMP policy
configured with the same
parameters.
R1(config)# crypto isakmp policy 110 R2(config)# crypto isakmp policy 100
R1(config–isakmp)# authentication pre-share R2(config–isakmp)# authentication pre-share
R1(config–isakmp)# encryption 3des R2(config–isakmp)# encryption 3des
R1(config–isakmp)# group 2 R2(config–isakmp)# group 2
R1(config–isakmp)# hash sha R2(config–isakmp)# hash sha
R1(config–isakmp)# lifetime 43200 R2(config–isakmp)# lifetime 43200

19

10
 Mise en œuvre sur routeur CISCO
Configuration de la clé partagée
router(config)#
crypto isakmp key keystring address peer-address
router(config)#
crypto isakmp key keystring hostname hostname

Parameter Description
This parameter specifies the PSK. Use any combination of alphanumeric characters
keystring up to 128 bytes. This PSK must be identical on both peers.

peer-
This parameter specifies the IP address of the remote peer.
address
This parameter specifies the hostname of the remote peer.
hostname This is the peer hostname concatenated with its domain name (for example,
myhost.domain.com).

• The peer-address or peer-hostname can be used, but must be

used consistently between peers.
• If the peer-hostname is used, then the crypto isakmp
identity hostname command must also be configured. 20

Mise en œuvre sur routeur CISCO

Configuration de la clé partagée
10.0.1.0/24 10.0.2.0/24
S0/0/0 10.0.2.3
10.0.1.3 R1 172.30.1.2
S0/0/0 R2
172.30.2.2

Internet
Site 1 Site 2
R1(config)# crypto isakmp policy 110
R1(config–isakmp)# authentication pre-share
R1(config–isakmp)# encryption 3des
R1(config–isakmp)# group 2
R1(config–isakmp)# hash sha
R1(config–isakmp)# lifetime 43200
R1(config-isakmp)# exit
R1(config)# crypto isakmp key cisco123 address 172.30.2.2
R1(config)#

Note:
R2(config)# crypto isakmp policy 110
• The keystring cisco1234 matches. R2(config–isakmp)# authentication pre-share
R2(config–isakmp)# encryption 3des
• The address identity method is R2(config–isakmp)# group 2
specified. R2(config–isakmp)# hash sha
R2(config–isakmp)# lifetime 43200
• The ISAKMP policies are compatible.
R2(config-isakmp)# exit
• Default values do not have to be R2(config)# crypto isakmp key cisco123 address 172.30.1.2
configured. R2(config)#
21

11
 Mise en œuvre sur routeur CISCO
Configuration du protocole Ipsec mis en
œuvre
router(config)#
crypto ipsec transform–set transform-set-name
transform1 [transform2] [transform3]]

crypto ipsec transform-set Parameters

Description
Command
This parameter specifies the name of the transform set
transform-set-name
to create (or modify).
Type of transform set. You may specify up to four
"transforms": one Authentication Header (AH), one
transform1,
Encapsulating Security Payload (ESP) encryption, one
transform2, transform3
ESP authentication. These transforms define the IP
Security (IPSec) security protocols and algorithms.

A transform set is a combination of IPsec transforms that enact a 22

security policy for traffic.

Mise en œuvre sur routeur CISCO

Configuration du protocole IPsec mis en
œuvre
Site 1 R1 172.30.1.2
172.30.2.2 R2 Site 2
A
Internet B
10.0.1.3 10.0.2.3
R1(config)# crypto isakmp key cisco123 address 172.30.2.2
R1(config)# crypto ipsec transform-set MYSET esp-aes 128
R1(cfg-crypto-trans)# exit
R1(config)#

Note:
• Peers must share the
same transform set R2(config)# crypto isakmp key cisco123 address 172.30.1.2
settings. R2(config)#crypto ipsec transform-set OTHERSET esp-aes 128
R2(cfg-crypto-trans)# exit

• Names are only locally

significant.
23

12
 Mise en œuvre sur routeur CISCO
Création d’un access list activant le VPN
entre les 2 sous réseaux

Site 1 Site 2
10.0.1.0/24 10.0.2.0/24

10.0.1.3 R1 R2 10.0.2.3

Internet
S0/0/0 S0/0/0
172.30.1.2 172.30.2.2
S0/1

Applied to R1 S0/0/0 outbound traffic:

R1(config)# access-list 110 permit tcp 10.0.1.0 0.0.0.255 10.0.2.0 0.0.0.255

Applied to R2 S0/0/0 outbound traffic:

R2(config)# access-list 101 permit tcp 10.0.2.0 0.0.0.255 10.0.1.0 0.0.0.255

24

Mise en œuvre sur routeur CISCO

Association de la configuration à
l’access list
router(config)#
crypto map map-name seq-num ipsec-manual

crypto map map-name seq-num ipsec-isakmp [dynamic dynamic-map-name]

crypto map Parameters

Command Parameters Description

Defines the name assigned to the crypto map set or indicates the name of the crypto
map-name
map to edit.
seq-num The number assigned to the crypto map entry.

ipsec-manual Indicates that ISAKMP will not be used to establish the IPsec SAs.

ipsec-isakmp Indicates that ISAKMP will be used to establish the IPsec SAs.

(Default value) Indicates that CET will be used instead of IPsec for protecting the
cisco
traffic.
(Optional) Specifies that this crypto map entry references a preexisting static crypto
dynamic map. If this keyword is used, none of the crypto map configuration commands are
available.
(Optional) Specifies the name of the dynamic crypto map set that should be used as 25
dynamic-map-name
the policy template.

13
 Mise en œuvre sur routeur CISCO
Association de la configuration à
l’access list
Command Description
Used with the peer, pfs, transform-set, and security-association
set commands.

peer [hostname | ip-

Specifies the allowed IPsec peer by IP address or hostname.
address]
pfs [group1 | group2] Specifies DH Group 1 or Group 2.

Specify list of transform sets in priority order. When the ipsec-manual

transform-set parameter is used with the crypto map command, then only one transform set
can be defined. When the ipsec-isakmp parameter or the dynamic parameter
[set_name(s)] is used with the crypto map command, up to six transform sets can be
specified.

security-association
Sets SA lifetime parameters in seconds or kilobytes.
lifetime
match address [access- Identifies the extended ACL by its name or number. The value should match
the access-list-number or name argument of a previously defined IP-extended
list-id | name] ACL being matched.

no Used to delete commands entered with the set command.

exit Exits crypto map configuration mode.

26

Mise en œuvre sur routeur CISCO

Association de la configuration à
l’access list
Site 1 Site 2
10.0.1.0/24 10.0.2.0/24
R1 R2
10.0.2.3
10.0.1.3
Internet
S0/0/0
172.30.2.2

R3

S0/0/0
172.30.3.2

R1(config)# crypto map MYMAP 10 ipsec-isakmp

R1(config-crypto-map)#
R1(config-crypto-map)#
R1(config-crypto-map)#
R1(config-crypto-map)#
R1(config-crypto-map)#
R1(config-crypto-map)#
match address 110
set peer 172.30.2.2 default
set peer 172.30.3.2
set pfs group1
set transform-set mine
set security-association lifetime seconds 86400

Multiple peers can be specified for redundancy.

27

14
 Mise en œuvre sur routeur CISCO
Application de la CMAP à une interface
Site 1 Site 2
10.0.1.0/24 10.0.2.0/24
10.0.1.3 R1 R2
10.0.2.3
Internet
S0/0/0 S0/0/0
172.30.1.2 172.30.2.2

MYMAP

router(config-if)#

crypto map map-name

R1(config)# interface serial0/0/0

R1(config-if)# crypto map MYMAP

• Applies the crypto map to outgoing interface

• Activates the IPsec policy
28

Mise en œuvre de VPN

• Dépend étroitement
— du type de VPN (VPN d’accès, l’intranet VPN ou l’Extranet VPN)
— de la fréquence d’utilisation

• Nécessite l’utilisation systématique

— d’un serveur qui aura en charge la partie authentification, cryptage et
décryptage
— d’un client assurant la partie cryptage et décryptage et aussi la connexion vers
le serveur
• Lorsqu'un utilisateur (client nomade, agence ou travailleur à domicile)
souhaite se connecter au réseau de son entreprise :
— Les paquets (qui contiennent les données) sont chiffrés par le client VPN (selon
l'algorithme décidé par les deux interlocuteurs lors de l'établissement du tunnel
VPN) et éventuellement signés.
— Ils sont transmis par le biais du réseau transporteur (Internet en général).
— Ils sont reçus par le serveur VPN qui les déchiffre, les traite et regarde si les
vérifications requises sont correctes.

29

15
 Mise en œuvre LOGIGIEL de VPN
• Windows et les VPN
— Windows a été un des instigateurs de PPTP et a intégré très tôt dans ses
plateformes le outils permettant de mettre en œuvre les VPN
— Coté serveur, Windows 2003 intègre les outils permettant de mettre en œuvre
un VPN
— Coté client Windows XP intègre de façon native à travers un assistant la
création d’un réseau privé VPN

• Linux et les VPN

— Linux dispose aussi des outils permettant de mettre en œuvre les VPN
– PPTPD coté serveur
– PPTP coté client
— Ce sont des démons (services sous Linux) qu’il faut paramétrer et lancer 30

Mise en œuvre MATERIEL de VPN

• Consiste à déléguer le Tunnelling au matériel mis en place en

sortie d’entreprise, à savoir le routeur
• De la même façon , les constructeurs de fournissent aussi des
logiciels clients afin de prendre en compte le VPN d’accès pour
des clients itinérants

31

16