Académique Documents
Professionnel Documents
Culture Documents
UNVERSITE D’ANTANANARIVO
----------------------------
ECOLE SUPERIEURE POLYTECHNIQUE
----------------------------
DEPARTEMENT TELECOMMUNICATION
du DIPLOME d’INGENIEUR
Spécialité : Télécommunications
Option : Génie des Télécommunication et réseaux
Examinateurs :
Monsieur RANDRIARIJAONA Lucien Elino
Monsieur RATSIHOARANA Constant
Monsieur RANDRIATSIRESY Ernest
i
REMERCIEMENTS
Nous tenons avant tout à louer le Seigneur pour Sa grâce et Sa bonté qui nous ont donné la force
et la santé sans quoi nous n'aurions pu effectuer ce mémoire de fin d'études.
Nous tenons à adresser une profonde gratitude à nos parents, frères, sœurs et amis qui nous ont
accompagné et soutenu durant toutes ces années d'études.
ii
AVANT-PROPOS
iii
i
TABLE DES MATIERES
ABREVIATIONS..................................................................................................................................... v
INTRODUCTION GENERALE............................................................................................................. 1
CHAPITRE 1 : La technique VPN.......................................................................................................... 2
1.1. Généralités.......................................................................................................................................................... 2
1.1.1. Liaison louée [11] [13] ................................................................................................................................. 2
1.1.2. Vsat [17] [16] ............................................................................................................................................... 3
1.1.3. VPN [5] [13] [12] .......................................................................................................................................... 3
1.1.4. Contexte conduisant à VPN [23] ................................................................................................................ 3
1.1.5. Le but de VPN [23] ...................................................................................................................................... 4
1.1.6. Avantages de VPN [5] [12] .......................................................................................................................... 4
1.1.7. Marché cible du VPN [5] ............................................................................................................................. 5
1.2. Concept de base de VPN..................................................................................................................................... 5
1.2.1. Qu’est ce qu’un VPN [5] [3] ........................................................................................................................ 5
1.2.2. Les composants d’un VPN [5] .................................................................................................................... 6
1.2.3. Le tunneling [15] ......................................................................................................................................... 7
1.2.3.1. Définition [15]................................................................................................................................................... 7
1.2.3.2. Principe de fonctionnement [15]........................................................................................................................ 7
1.2.3.3. Les protocoles de tunnelisation [15]................................................................................................................... 8
1.2.4. Application des VPN [5] .............................................................................................................................. 8
1.2.4.1. VPN Accès distants [27]..................................................................................................................................... 8
1.2.4.2. VPN Intranet [27]............................................................................................................................................... 9
1.2.4.3. VPN Extranet [27]............................................................................................................................................. 9
ii
2.3.2.2. Composants des VPN MPLS [24].................................................................................................................... 30
iv
ABREVIATIONS
AH Authentication Header
ATM Asynchronous Transfer Mode
CA Certification Authority
CE Controller Edge router
CHAP Challenge Handshake Authentication Protocol
CoS Class of Service
CRL Certificate Revocation List
CR-LDP Constraint-Based Routing LDP
v
IKE Internet Key Exchange
IP Internet Protocol
IPcomp IP payload compression
IPSec Internet Protocol Security
IPSec IP Security
IS-IS Intermediate System to Intermediate System
ISP Internet Service provider
vi
PE Provider Edge Router
PHB Per Hop Behaviour
PKI Public Key Infrastructure
PPP Point to Point Protocol
PPP Point to Point Protocol
PPTP Point to Point Tunneling Protocol
PVC Private virtual Circuit
RC4 Rivest-Shamir-Adleman
RD Route Distinguisher
RIP Routing Information Protocol
RPC Remote Procedure Call
RSA Rivest Shamir Adleman
RSVP Resource reSerVation Protocol
SA Security Association
SAD Security Association Database
TLV Type-Longueur-Valeur
TTL Time To Live
vii
INTRODUCTION GENERALE
Divers domaines tels que le tourisme, les travaux publics, les extractions minières qui sont
depuis quelques temps les projets en vogue à Madagascar ont leur siège dans plusieurs localités.
Les bureaux administratifs sont le plus souvent en ville et d’autres sièges se situent aussi dans les
chantiers, certaines entreprises ont même des annexes dans toutes les villes. Ces entreprises qui
sont en permanentes collaborations doivent ainsi profiter des mêmes sources d’informations et
nécessitent la possibilité de pouvoir les acquérir, les mettre à jour à tout moment. Diverses
possibilités s’offrent à eux : une technologie qui relientrelie les différents sites par câble ou par
faisceaux hertziens par des liaisons louées ou des VSat. Le choix entre ces différentes
technologies dépend pourtant des besoins de l’entreprise et des contraintes qui lui sont imposées.
Parmi ces diverses solutions émerge le Virtual Private Network. Le VPN est une solution
proposée pour que plusieurs sites puissent s’interconnecter ou pour qu’un nomade de travail
puisse tout le temps accéder aux ressources du réseau local de son entreprise. Plusieurs raisons
font que l’on ait choisi VPN. Nous en verrons plus dans le développement.
Dans cet ouvrage, nous allons effectuer une étude théorique du dit VPN en développant les
protocoles de tunnelisation,n bases du VPN. Dans un second temps, nous allons le mettre en
œuvre dans deux systèmes d’exploitation différents qui est Microsoft Windows et Linux
accompagné d’un bref analyse de toute l’étude et du travail effectué sur ces deux systèmes.
1
CHAPITRE 1 : LA TECHNIQUE VPN
1.1.Généralités
Le succès croissant du télétravail et l'éclatement géographique des entreprises rendent
nécessaire la mise en œuvre de moyens sûrs pour accéder au réseau de l'entreprise depuis
l'extérieur .Certaines entreprises éprouvent donc le besoin de communiquer avec des filiales
d’autant plus que les travailleurs nomades sont de plus en plus nombreux. On assiste ainsi à une
croissance inexorable du trafic entre les sites d’un même réseau d’entreprise dû au développement
des applications d’entreprises.
Plusieurs solutions s’offrent à ces entreprises. Les télétravailleurs peuvent se procurer les
ressources du réseau local de son entreprise via l’Internet, par e-mail. Les entreprises multi sites
peuvent installer une liaison louée une communication par Vsat entre leurs sites. Ces entreprises
peuvent aussi opter pour la solution VPN pour interconnecter travailleurs nomades ou sites
annexes à l’Intranet d’une organisation.
Donnons nousDonnons-nous une brève notion sur toutes ces solutions.
2
1.1.2.Vsat [17] [16]
Vsat est une technique de communication par satellite. L’antenne Vsat est une antenne
parabolique de relativement petit diamètre. Il est utile pour relier deux sites géographiquement
éloignés.
3
Beaucoup d’organisations sont soumises à des contraintes de coût. C’est la première raison qui
sollicite le choix de la solution VPN. En effet, à part les frais d’installation et le coût des
infrastructures qui sont tous deux très chers, les frais mensuels d’une liaison louée est dans les
environs de 1 500 000 Ar pour un débit de 128k . Tandis que le coût mensuel d’une liaison par
Vsat est environ 3042 euros ou 8 128 224 Ar pour un débit de 128k.
Le coût de la communication VPN, à part les frais d’installation et le coût de l’infrastructure, se
résume au frais de connexion à Internet.
L’exclusion de l’envoi par e-mail des documents ou l’utilisation des bureaux à distance est due à
la non fiabilité du réseau Internet.
La plupart des entreprises tiennent aussi à conserver l’architecture Internet pour la couche
applicative, d’où leur intérêt pour la communication sous IP. Des applications basées sur Internet
sont en vogue notamment les applications de formation à distance et les applications multimédias.
4
Le VPN est beaucoup plus facile à gérer que les réseaux basés sur des technologies
classiques. En effet il y a une réduction des ressources humaine et financière de
l’entreprise affectée à cette tâche.
Le coût pour l’installation d’un VPN est largement moins cher que les autres solutions. Si
on veut
5
Figure 1.04 : VPN
6
1.2.3.Le tunneling [15]
1.2.3.1.Définition [15]
Le « tunneling » est une pratique courante visant à transporter un protocole (et ses
données) dans un autre protocole. Le protocole encapsulant, ou encore porteur, permet au
protocole sous-jacent de traverser de façon transparente un réseau pour lequel il n'est pas
forcément adapté. Ce peut être également une façon de masquer le contenu afin d'interconnecter
des réseaux privés par le biais d'un réseau public. Il s'agit dans ce cas de VPN. Les tunnels sont
établis entre les routeurs des deux entités qui veulent être interconnectées. Il permet de faire
circuler les informations de façon cryptée d’un bout à l’autre du tunnel à travers d’un réseau qui
est ici l’Internet. Les données à transférer peuvent être des trames ou des paquets d’un autre
protocole. Les données à transmettre peuvent être prises en charge par un protocole différent d’IP.
7
1.2.3.3.Les protocoles de tunnelisation [15]
Les protocoles de tunnelisation sont des normes de communication utilisées pour gérer les
tunnels et encapsuler les données privées. Les technologies utilisant le Tunneling peuvent être
basées sur des protocoles de niveau 2, 2.5 , 3 et 5. PPTP et L2TP sont des protocoles de niveau 2,
MPLS un protocole de niveau 2.5, IPSec un protocole de niveau 3 et TLS ou SSL un protocole de
niveau 5.
8
L’utilisateur possède son propre logiciel client pour le VPN auquel cas il établit
directement la communication de manière cryptée vers le réseau de l’entreprise.
9
Une entreprise peut utiliser le VPN pour communiquer avec ses clients et ses partenaires. Elle
ouvre alors son réseau local à ces derniers. Dans ce cadre, il est fondamental que l'administrateur
du VPN puisse tracer les clients sur le réseau et gérer les droits de chacun sur celui-ci.
10
CHAPITRE 2 :LES PROTOCOLES DE TUNNELISATION DE NIVEAU 2
2.1.PPTP
2.1.1.Définition [8]
Le protocole PPTP ou Point-to-Point Tunneling Protocol est un protocole d’encapsulation
PPP sur IP conçu par Microsoft, permettant la mise en place de réseaux privés virtuels au dessus
d’un réseau public tel qu’Internet.
PPTP utilise une connexion TCP appelée connexion de contrôle PPTP pour créer, maintenir et
terminer le tunnel, ainsi qu’une version modifiée de GRE pour encapsuler des trames PPP sous
forme de données en tunnel. Les charges utiles des trames PPP encapsulées peuvent être cryptées
et/ou comprimées.
L'envoi PPP initial est crypté et encapsulé avec un en-tête PPP pour créer la trame PPP. La trame
PPP est alors encapsulée avec un en-tête GRE.
GRE est un protocole de mise en tunnel qui permet d' encapsuler n'importe quel paquet de
la couche réseau. Le paquet d'origine est la charge utile du paquet finale.
Par exemple, les serveurs de tunnel qui cryptent les données peuvent utiliser GRE à travers
Internet pour sécuriser les Réseaux Privés Virtuels. C’est un protocole client d’IP utilisant le
11
protocole IP 47. Le payload résultant GRE et PPP encapsulé est encapsulé avec un en-tête IP
contenant les adresses sources et destination IP appropriées pour le client PPTP et le serveur
PPTP.
Pour être envoyé sur une liaison LAN ou WAN, le datagramme IP est enfin encapsulé avec un en-
tête et une fin de message pour la technologie de couche data-link de l'interface physique sortante.
Lorsque les datagrammes IP sont envoyés sur une liaison WAN point à point telle que celle d'une
ligne téléphonique analogique, le datagramme IP est encapsulé avec un en-tête et une fin de
message PPP.
Chaque message de connexion de contrôle PPTP commence par un en-tête de longueur fixe de
huit (8) octets. Cet en-tête fixe contient :
La longueur totale du message L:
Le type de message PPTP T : Deux types de message sont indiqués : message de contrôle et
message de gestion
un nombre magique n : Ce nombre est toujours la constante 0x1A2B3C4D. Son utilité de base
est de permettre au récepteur de s’assurer qu’il est correctement synchronisé avec le flux de
données TCP. Il ne doit pas être utilisé pour resynchroniser le flux de données TCP au cas où
l’expéditeur fournit un message incorrectement formaté. La perte de synchronisation doit
entraîner immédiatement la fermeture de la session TCP de la liaison de contrôle.
12
Figure 2.03 : En-tête message de contrôle PPTP
13
La création d’un VPN à l’aide de PPTP implique trois processus :
Connexion et communication PPP : un client PPTP utilise une connexion PPP pour se connecter à
son ISP à l’aide d’une ligne téléphonique RTC ou un RNIS.
Connexion de contrôle PPTP : en utilisant la connexion à Internet établie par PPP, le protocole
PPTP crée une connexion de contrôle entre le client et le serveur PPTP. La connexion de
contrôle est une session TCP standard qui transmettra le contrôle des appels PPTP et la gestion
des informations. La session de la connexion de contrôle et les sessions transmises dans le
tunnel PPTP sont logiquement associées bien que différentes. Elle est responsable de
l’établissement, de la gestion et de la fermeture des sessions transportées dans le tunnel et sert
encore à déterminer la vitesse de transmission et les paramètres des tampons qui sont utilisés
pour réguler le flux de paquets PPP d’une session donnée dans le tunnel.
Tunnel PPTP : le protocole PPTP crée enfin des datagrammes IP contenant des paquets PPP
cryptés. Le tunnel est utilisé pour transporter tous les paquets PPP des sessions utilisateurs. Une
clé présente dans l’en-tête GRE indique à quelle session PPP particulière ce paquet appartient.
La valeur de cette clé est définie par la procédure d’établissement de l’appel qui fait partie de la
liaison de contrôle. L’en-tête GRE contient aussi l’acquittement et des informations de
séquencement qui sont utilisées pour contrôler les encombrements et pour détecter les erreurs
dans les tunnels.
14
Dans les deux cas, l’adresse IP allouée au client VPN doit être accessible par les hôtes sur
l’Intranet et vice versa.
Figure 2.05 : Adresses publiques et privées dans les données en tunnel PPTP
MPPE a été conçu au départ pour le cryptage sur une liaison point à point où les paquets
arrivent dans le même ordre que celui dans lequel ils ont été envoyés, et cela avec une faible
perte de paquets. Pour cet environnement, le décryptage d’un paquet dépend du décryptage du
paquet précédent. Toutefois, pour les réseaux VPN, les datagrammes IP envoyés sur Internet
peuvent arriver dans un ordre différent de celui dans lequel ils ont été envoyés, et un plus grand
nombre de paquets est susceptibles de se perdre. Toutefois, MPPE pour les connexions VPN
modifie la clé de cryptage pour chaque paquet. MPPE inclut un numéro d’ordre son l’en-tête. Si
les paquets sont perdus ou arrivent dans un ordre différent, les clés de cryptage sont modifiées
en fonction de leur numéro d’ordre.
15
2.1.4.4.Filtrage des paquets PPTP [13]
Un serveur VPN basé sur PPTP a généralement deux interfaces physiques : une
interface sur le réseau partagé ou public comme Internet, et une autre sur le réseau local. Il a
également une interface virtuelle se connectant à tous les clients VPN. Pour que le serveur VPN
puisse envoyer le trafic entre des clients VPN, l’envoi IP doit être activé sur toutes les
interfaces. Toutefois, avec l’activation de l’envoi entre les deux interfaces physiques, le serveur
VPN route tout le trafic IP du réseau partagé ou public vers l’Intranet. Pour protéger l’intranet
contre tout le trafic non envoyé par un client VPN, le filtrage des paquets PPTP doit être
configuré de telle sorte que le serveur VPN exécute uniquement le routage entre des clients
VPN et l’Intranet, et non pas entre des utilisateurs potentiellement malveillants sur le réseau
partagé ou public et l’intranet.
2.2.VPN L2TP
L2TP est issu de la convergence des protocoles PPTP et L2F. Il a été conçu pour
transporter des sessions PPP au travers d’un réseau IP. Développé à partir du protocole PPP, L2TP
est sans doute l’une des pierres angulaires des réseaux privés virtuels d’accès.
16
Figure 2.06 : Encapsulation de PPP dans L2TP
La charge utile PPP initial est encapsulé par en-tête PPP pour créer la trame PPP. A cette dernière
est ensuite ajoutée un en-tête L2TP qui est à son tour encapsulé dans un en-tête UDP avec les
adresses source et destination appropriée pour le client L2TP.
17
Ns : indique le numéro de séquence du message de contrôle ou de données, débutant de 0.
Nr : indique le numéro de séquence attendu pour le prochain messsage de contrôle.
Offset size : si présent, indique le nombre d’octets après l’en-tête L2TP.
Offset Pad : octets de bourrage.
18
4. Les informations d’authentification de l’utilisateur distant sont authentifiées par le LNS
corporation. L’utilisateur possède alors un lien PPP.
5. Au final, le raccordement entre l’utilisateur distant et le réseau de l’entreprise est
semblable à n’importe quel raccordement PPP. Quand le FAI reçoit les trames de
l’utilisateur distant à travers le lien PPP, elles sont encapsulées dans L2TP, et expédiées à
travers le tunnel jusqu’au LNS. La passerelle du point de concentration reçoit ces trames,
désencapsule la trame L2TP, et les traite en tant que trames entrantes normales.
19
2.2.6.1.Extensible Authentication Protocol EAP [28]
Le protocole EAP définit une infrastructure permettant aux clients d'accès réseau et aux
serveurs d'authentification d'héberger des modules pour les méthodes et technologies
d'authentification actuelles et futures.
Avec EAP, le mécanisme d'authentification spécifique n'est pas choisi au cours de la phase
d'établissement de liaison de la connexion PPP ; en revanche, les homologues PPP négocient afin
d'effectuer EAP au cours de la phase d'authentification de la connexion. Lorsque la phase
d'authentification de connexion est atteinte, les homologues négocient l'utilisation d'un schéma
d'authentification EAP spécifique, appelé méthode EAP. Une fois l'accord négocié sur la méthode
EAP, le protocole EAP permet l'échange ouvert de messages entre le client d'accès et le serveur
d'authentification, lequel peut varier en fonction des paramètres de la connexion. La conversation
est constituée de demandes et de réponses concernant les informations d'authentification. La
méthode EAP détermine la longueur et les détails de la conversation d'authentification.
D'un point de vue architectural, une infrastructure EAP est constituée des éléments suivants :
Homologue EAP : Ordinateur qui tente d'accéder à un réseau, également appelé client d'accès.
Authentificateur EAP : Point d'accès ou serveur d'accès réseau qui nécessite une authentification
EAP avant d'accorder l'accès à un réseau.
Serveur d'authentification : Ordinateur serveur qui négocie l'utilisation d'une méthode EAP
spécifique avec un homologue EAP, qui valide les informations d'identification de l'homologue
EAP et qui autorise l'accès au réseau. En général, le serveur d'authentification est un serveur
RADIUS (Remote Authentication Dial-In User Service).
20
1. Le processus serveur pppd envoie une requête d’authentification spécifiant l’utilisation du
protocole PAP.
2. Puis le client accepte de s’authentifier.
3. Le client répond alors avec son nom PAP qui, très souvent, correspond au nom
d’utilisateur ainsi qu’avec son mot de passe.
4. la serveur valide ou rejette la tentative de connexion avec un acquittement positif ou
négatif. Cette requête acquittement peut contenir du texte visant à informer l’utilisateur de
l’état de la connexion.
PAP est le plus simple des protocoles d’authentification.
21
Ainsi, MS-CHAP propose une fonction de hachage propriétaire permettant de stocker un hash
intermédiaire du mot de passe sur le serveur. Lorsque la machine distante répond au défi, elle doit
ainsi préalablement hacher le mot de passe à l’aide l’algorithme propriétaire.
22
rapport performance/prix des équipements de routage, d’améliorer l’efficacité du routage et
d’enrichir les services de routage. MPLS traite la commutation en mode connecté, basé sur les
labels. MPLS peut être considéré comme interface apportant à IP le mode connecté et qui utilise
les services de niveau 2 (PPP, ATM, Ethernet, ATM, Frame Relay, SDH …).
23
autre et constitue ainsi une couche « 2,5 ». Il va permettre d’améliorer l’efficacité du routage tout
en gérant des contraintes de QoS.
Les éléments du réseau MPLS sont :
LSR : Label Switching Router – Commutateur de paquets MPLS
LER : Label Edge Router – Commutateurs situés en frontière des réseaux MPLS. On
distingue les « Ingress Node » qui insère des labels à l’entrée du réseau en fonction de la
QoS demandée et les « Egress Node » qui détruisent les labels en sortie du réseau MPLS.
FEC : Forwarding Equivalence Class – Définit les caractéristiques de QoS attribués au
flux traversant le réseau MPLS. C’est la représentation d’un groupe de paquets qui ont en
commun les mêmes besoins quant à leur transport.
LSP : Label Switching Path : Suite de labels définissant un chemin unique pour un flux
traversant le réseau MPLS.
Au niveau d’un LSR du nuage MPLS, la permutation d’étiquette est réalisée en analysant
une étiquette entrante, qui est ensuite permutée avec l’étiquette sortante et finalement envoyée au
noeud suivant. Les étiquettes ne sont imposées sur les paquets qu’une seule fois en périphérie du
réseau MPLS au niveau du Ingress Node où un calcul est effectué sur le datagramme afin de lui
affecter un label spécifique. Il est à noter que ce calcul n’est effectué qu’une fois. Une fois que le
datagramme d’un flux arrive à un Ingress node, le label affecté au paquet est supprimé, à l’autre
extrémité, par l’Egress Node.
Le mécanisme est donc le suivant : L’Ingress Node reçoit les paquets, réalise une classification de
ces paquets, y assigne un label et transmet les paquets labellisés au nuage MPLS. En se basant
24
uniquement sur les labels, les LSR du nuage MPLS commutent les paquets labellisés jusqu’à
l’Egress Node qui supprimera les labels et remet les paquets à sa destination finale.
L’affectation des étiquettes aux paquets dépend des groupes ou des classes de flux FEC et c’est le
protocole LDP qui s’occupe de la distribution de ces étiquettes au LSR. Les paquets appartenant à
une même classe FEC sont traités de la même manière. Le chemin établit par MPLS appelé LSP
est emprunté par tous les datagrammes de ce flux. L’étiquette est ajoutée entre la couche 2 et l’en-
tête de la couche 3 dans un environnement de paquet ou dans le champ VPI/VCI dans les réseaux
ATM.
Le switch LSR du nuage MPLS lit simplement les étiquettes, applique les services appropriés et
redirige les paquets en fonction des étiquettes. Ce schéma de consultation et de transfert MPLS
offre la possibilité de contrôler explicitement le routage en fonction des adresses sources et
destination, facilitant ainsi l’introduction de nouveaux services IP. Un flux MPLS est vu comme
un flux de niveau 2,5 appartenant au niveau 2 et niveau 3 du modèle OSI.
Le champ TTL de cet en-tête n’est pas redondant avec celui de la couche IP. Il est recopié par
l’Egress Node avant la sortie vers un réseau IP et évite ainsi aux LSR internes d’avoir à accéder
aux informations de l’en-tête de la couche de niveau 3.
25
2.3.1.4.Label Distribution Protocol : LDP [8]
La distribution implicite de labels aux LSR est réalisée par le protocole LDP. Le protocole
LDP définit un ensemble de procédures et de messages qui permettent l’échange des labels entre
les équipements du réseau MPLS. Il offre les services suivants :
annonce de la présence d’un LSR (en mode connecté, via UDP) ;
établissement, maintenance et fermeture d’une session entre LSR en mode connecté via
des sessions TCP ;
création, échange et suppression de labels dans une session TCP ;
messages d’information ou d’erreur dans une session TCP.
LDP permet l’échange de labels entre LSR selon deux modes et les LSR peuvent supporter chacun
indépendamment chacun de ces deux modes :
mode « unsolicted downstream » : chaque LSR informe les autres LSR sur les labels à
utiliser
mode « « downstream on demand » : le LSR désirant envoyer un paquet doit d’abord faire
une demande de label aux autres LSR.
La distribution dans le réseau peut, elle-même, s’effectuer selon deux modes :
mode indépendant : chaque LSR associe un label pour chaque FEC de manière
indépendante et en informe ses homologues. Dans ce mode, il est donc possible qu’un
label sortant soit envoyé d’un premier LSR vers un second avant que le label entrant n’ait
été reçu par le premier.
mode ordred : l’information qui associe un label à un FEC est propagée d’une extrémité à
l’autre du réseau MPLS ( en cascade). Dans ce mode, chaque LSR devra donc attendre de
recevoir l’information sur un label entrant avant de pouvoir propager l’information sur le
label sortant.
26
Le LSP n’est plus déterminé à chaque bond comme pour l’implicit routing : c’est l’ingress node
qui choisit le chemin de bout en bout. Au niveau du LSR au cœur du réseau, seul le label MPLS
est analysé mais pas l’en-tête du datagramme IP.
L’explicit routing permet à un opérateur de faire du traffic Engineering en imposant au réseau des
contraintes sur les flux, du point source jusqu’au point destination. Ainsi, des routes autres que le
plus court chemin peuvent être utilisées. Le réseau détermine lui-même le chemin en suivant les
étapes suivantes :
connaissance de l’état du réseau : topologie, bande passante d’un lien, bande passante
utilisée, bande passante restante.
Calcul d’un chemin répondant aux contraintes spécifiées. Les extensions d’OSPF et IS-IS
sont nécessaires.
Etablissement du ER-LSP ( Explicitly Routed Path). La source connaît le chemin complet
de l’Ingress Node à l’Egress Node et c’est elle qui spécifie les LSR à l’intérieur du LSP. Il
y a deux options de signalisations spécifiées pour l’établissement du LSP : RSVP ou CR-
LDP.
Envoi du trafic sur le chemin trouvé.
Supervision de l’état des LSP et le transmet à l’IGP.
Ré-optimisation de LSP quand nécessaire
27
Differential Services : DiffServ
28
Une table VRF est construite et maintenue au niveau du LER d’entrée. Elle n’est
seulement consultable que par les paquets émis par un site faisant partie du VPN du site émetteur.
Cette table contient les routes reçues du CE directement connecté ainsi que les autres LER. La
distribution des routes est contrôlée via EBGP s’appuyant sur des attributs permettant d’identifier
l’ensemble des tables VRF auxquelles un LER distribue les routes ainsi que les sites autorisées à
lui fournir les routes.
Un identifiant RD ou Route Distinguisher est associée à chaque route distincte. Cela
permet d’affecter une adresse VPN IPv4 ou VPN-IPv6 unique à chaque IP VPN en associant le
RD et l’adresse IP cible VPN. Un LER en entrée va rajouter ce RD alors qu’un LER sortie va le
supprimer. Les routes VPN-IPv4/6 sont échangées entre les différents LER via BGP.
Les routes VPN-IPv4/6 sont utilisées pour le contrôle (échange d’information entre les CE
et les LER, échange entre les LER, établissement des LSP entre les LER) alors que le transfert du
trafic utilisateur s’appuie sur MPLS et des adresses IPv4/6.
La création d’un tunnel VPN en MPLS exige de gérer une pile de profondeur 2 au niveau
du paquet. En effet, un premier niveau de label sert à gérer le prochain saut en terme de LER
déterminé par un protocole style BGP (il correspond au numéro de VC ou VPN associé) et l’autre
niveau sert à gérer le prochain saut en terme de LSR dans le tunnel au sein du réseau MPLS
déterminé par IGP.
Au sein d’un VPN, un paquet arrivant sur le LER d’entrée MPLS, se voit attribuer suivant
le « forwarding table » un premier label représentant le VPN et le routeur LER de sortie de celui-
ci au sein du réseau VPN. Pour transiter via un LSP du LER d’entrée jusqu’au LER de sortie, un
deuxième niveau de label est empilé permettant la commutation par label classique de proche en
proche. Une fois le paquet arrivé au bout du tunnel, le deuxième label est dépilé et le premier label
ne donne accès qu’aux informations de routage associé au bon VPN.
Pour créer des VPN clients, il est donc nécessaire d’isoler les flux de chacun des clients. Pour cela,
le label MPLS est constitué de non plus d’un label mais de 2 labels :
le premier label de l’extérieur identifie le chemin vers le LSR destination, et change à
chaque bond.
Le second label de l’intérieur spécifie le VPN-ID attribué au VPN et n’est pas modifié
entre LSR source et le LSR destination.
C’est le LSR source qui applique ces 2 labels au paquet de data lorsqu’un VPN est utilisé :
29
Figure 2.15 : Encapsulation MPLS
30
CHAPITRE 3 :PROTOCOLE DE NIVEAU 3 : IPSEC
31
Authenticité des données : IPSec permet de s’assurer qu’aucun paquet n’a subi de modification
quelconque (attaque dit active) durant son trajet.
Protection contre les écoutes et analyses de trafic : IPSec permet de chiffrer les adresses IP
réelles de la source et de la destination, ainsi que tout l’en-tête IP correspondant. C’est le mode de
tunneling, qui empêche tout attaquant à l’écoute d’inférer des informations sur les identités réelles
des extrémités du tunnel, sur les protocoles utilisés au dessus d’IPSec, sur l’application utilisant le
tunnel (timing-attacks et autres)
Protection contre le rejeu : IPSec permet de se prémunir contre les attaques consistant à capturer
un ou plusieurs paquets dans le but de les envoyer à nouveau sans pour les avoir déchiffrer pour
bénéficier des mêmes avantages que l’envoyeur initial.
32
3.4.Les protocoles d’IPSec [26] [7]
IPSec repose sur plusieurs protocoles différents dont certains existent à part entière hors
d’IPSec qui lui offre en retour une grande souplesse d’utilisation.
33
les données (en mode tunnel, ceci comprend la totalité des champs, y compris les en-têtes,
du datagramme IP encapsulé dans le datagramme protégé par AH)
version (4 en IPv4 et 6 en IPv6)
longueur totale du datagramme (en IPv4)
longueur des données (en IPv6)
identification
protocole ou en-tête suivant
adresse IP de l’émetteur
adresse IP du destinataire
AH n’assure pas la confidentialité : les données sont signées mais pas chiffrées. AH ne spécifie
pas d’algorithme de signature particulier
34
3.4.4.SA – Association de sécurité [26] [7]
Une association de sécurité IPSec est une « connexion » simplexe qui fournit des services
de sécurité au trafic qu’elle transporte. On peut aussi la considérer comme une structure de
sécurité de données servant à stocker l’ensemble des paramètres associés à une communication
donnée. Les services de sécurité sont apportés par la SA par l’intermédiaire de AH ou ESP, mais
pas des deux. Une SA est unidirectionnelle donc il faut deux associations pour protéger les deux
sens d’une communication. Chaque association est identifiée de manière unique à l’aide d’un
triplet dont les composants sont :
l’adresse de destination des paquets ;
l’identifiant du protocole de sécurité utilisé (AH ou ESP) ;
un index de paramètre de sécurité SPI.
Remarque : Un SPI, qui est choisi par le récepteur, est un bloc de 32 bits inscrit en clair dans l’en-
tête de chaque paquet échangé.
Les SA actives sont regroupées dans une SAD ou Security Association Database. La SPD
est consultée pendant le traitement de tout datagramme IP, entrant ou sortant, y compris les
datagrammes non-IPSec. Pour chaque datagramme, trois comportements sont envisageables : le
rejeter, l’accepter sans traitement IPSec, ou appliquer IPSec. Dans le troisième cas la SPD précise
en outre quels traitements IPSec appliquer (ESP, AH, mode tunnel ou transport, quels algorithmes
de signature et/ou chiffrement utiliser)
Les plus importants de ces termes sont récapitulés ci-dessous :
SPD (Security Policy Database) Base de données définissant la politique de sécurité
SA une entrée de la SPD
SAD la liste des SA en cours d’utilisation
35
Il définit une façon de procéder. Dans un premier temps, un certain nombre de paramètres
de sécurité propres à Isakamp sont mis en place afin d’établir entre les deux tiers un canal
protégé. Dans un second temps, le canal est utilisé pour négocier les SA pour les
mécanismes de sécurité que l’on souhaite utlisé (AH et ESP par exemple).
Il définit des formats de messages, par l’intermédiaire de blocs ayant chacun un rôle précis
et permettant de former des messages clairs.
Il présente un certain nombre d’échanges types qui permettent des négociations présentant
des propriétés différentes : protection ou non de l’identité.
36
Dans le cas où le paquet reçu est un paquet IP, la SPD permet de savoir si ce paquet a le droit de
passer ou non.
3.5.VPN et IPSEC
Quand on choisit IPSec pour sécuriser les connexions à distance telle que les VPN, on peut
l’utiliser avec d’autres protocoles de tunnelisation. On peut avoir par exemple un VPN L2TP
IPSEC. Dans ce cas, le tunneling des données L2TP passe par plusieurs niveaux d’encapsulation.
La charge utile PPP initiale est encapsulé avec un en-tête PPP et un en-tête L2TP. La paquet L2TP
encapsulé est ensuite encapsulé avec un en-tête UDP. En fonction de la stratégie IPSec, le
message UDP est crypté et encapsulé avec un en-tête et un code de fin IPSec ESP et un code de
fin IPSec Authentication. La paquet IPSec est encapsulé avec un en-tête IP final contenant les
37
adresses IP source et cible du client VPN et du serveur VPN. Enfin, pour être envoyé sur une
liaison WAN, la datagramme IP est encapdulé avec un en-tête et un code de fin PPP.
38
connexions protégées AH, de nouvelles clés de hachage sont générées toutes les heures ou suite au
transfert de 2 Go de données.
39
CHAPITRE 4 : PROTOCOLE DE NIVEAU 5 : SSL
40
Il définit un protocole de gestion et de négociation
41
Parmi les algorithmes de codage, le SSL possède la particularité de combiner l'utilisation
de clefs symétriques et clefs asymétriques. Les clefs asymétriques sont mieux adaptées à
l'authentification. Le protocole de négociation SSL est en mesure, à partir des clefs publique et
privée du client et du serveur, d'établir une communication entre les deux parties avec une clef
"secrète" publique, dont la taille (128 bits) est bien inférieure à celle des clefs publiques
traditionnelles (1024 bits).
42
8. Le serveur, lui aussi satisfait du handshake du client, répond par un message SERVER-
FINISHED. Il est prêt à passer au niveau supérieur de chiffrement proposé par le client. Il
indique lui aussi que la phase de négociation est terminée.
43
CHAPITRE 5 :MISE EN ŒUVRE DE VPN
Le poste de travail avec lequel nous allons installer ce serveur a les caractéristiques suivantes :
Processeur Intel Pentium IV
Mémoire morte 30 Go
Mémoire vive 256 Go
Système d’exploitation Windows XP Professionnel Service Pack2
Avant de faire l’installation, on va partitionner le disque dans
Démarrer
Panneau de configuration
Outils d’administration
Gestion de l’ordinateur
Stockage
44
Gestion du disque
La partition actuelle du disque est :
C : Partition1 [NTFS] 9897 Mo<15681 Mo libres>
D : Partition2 [Inconnu] 17133 Mo <6697 Mo libres>
On va partitionner le disque en quatre : deux partitions nécessaires pour Windows Server 2003 et
deux partitions pour d’autres utilisations.
On aura donc :
C : Partition1 [NTFS] 9897 Mo<3054 Mo libres>
D : Partition2 [NTFS] 2097 Mo<2097 Mo libres>
E : Partition3 [NTFS] 14682 Mo<14682 Mo libres>
F : Partition4 [Inconnu] 3825 Mo<3835 Mo libres>
Espace libre
45
9) Faire cet ordinateur membre d’un groupe : WORKGROUP (on choisit de faire de
l’ordinateur membre d’un groupe car on le configurera en tant que contrôleur de domaine
après l’installation).
Le DNS permet la conversion des noms en adresses IP. C’est comme un annuaire qui associe à un
nom explicite une adresse IP. C’est un système permettant d’établir une correspondance entre une
adresse IP et un nom de domaine, et de trouver une information à partir d’un nom de domaine.
46
Service d’authentification Internet
Service de quarantaine pour les clients distants
Service WINS
Service TCP simplifié
Système DNS
Cocher sur Système DNS.
Cliquer sur Installer.
47
Figure 5.01 : Création d’une zone principale
Un fichier de zone va être créé. C’est dans ce fichier que vont être stockées toutes les informations
à propos de cette zone. Le nom du fichier est polytech.com.dns
Des options sur la manière dont se feront les mises à jour sont proposées. On choisira d’autoriser à
la fois les mises à jours dynamiques sécurisées et non sécurisées pour qu’on ait pas de problème
de non reconnaissance de poste de travail ou d’utilisateur.
48
Figure 5.03 : Choix sur les mises à jour DNS
49
5.1.3.4.Configuration
On choisit de créer un nouveau domaine et faire de l’ordinateur un contrôleur de domaine pour ce
nouveau domaine.
On donne un nom polytech.com au nouveau domaine ainsi qu’un Nom de domaine NetBIOS
POLYTECH
Comme pour le DNS, il faut indiquer les dossiers où seront stockées la base de données et le
journal ainsi que le dossier qui doit être partagé en tant que volume du système.
50
Figure 5.06 : Indication des dossiers nécessaires
Cette installation se termine par la définition du mot de passe utilisé lorsque l’ordinateur sera
redémarré en mode Restauration des services d’annuaires.
51
5.1.4.Installation d’un serveur DHCP
5.1.4.2.Mode de fonctionnement
Le protocole DHCP utilise un modèle client serveur. L’administrateur réseau désigne un
ou plusieurs serveurs DHCP comme responsable de la gestion des informations relatives à la
configuration de TCP/IP et de leur transmission aux clients. Avec un serveur DHCP installé et
configuré sur un réseau, les clients DHCP peuvent obtenir de manière dynamique leur adresse IP
et les paramètres de configuration associés à chaque fois qu’ils ouvrent et se connectent au réseau.
Les serveurs DHCP fournissent cette configuration sous forme d’offre de bail d’adresse aux
clients qui la demandent.
5.1.4.3.Installation
Pour configurer DHCP dans Windows Server 2003, on procède comme suit :
Cliquer sur Démarrer
Ouvrir Panneau de Configuration
Ouvrir Ajouter ou supprimer des programmes
Cliquer sur Ajouter ou supprimer des composants Windows
Cocher Service de mise en réseau
Cliquer sur Détails
Les options suivantes sont proposées :
Protocole DHCP
Proxy RPC sur http
Service d’authentification Internet
Service Wins
Service TCP simplifié
Système DNS
Cocher sur DHCP
52
Il faut paramétrer le serveur DHCP pour qu’il fonctionne selon les besoins. Pour cela, on doit
créer une étendue.
Il faut ensuite définir la plage d’adresse que le serveur DHCP va distribuée et les plages d’adresses
qui seront exclues. Pour certaines raisons telles que risque de conflit d’adresses IP entre client et
serveurs ou possibilités d’ajout d’équipement, ou autres situations imprévues, il est préférable
d’exclure une adresse ou une plage d’adresse.
La plage de l’Etendue1 va de 192.168.0.5 à 192.168.0.15 et on va exclure 192.168.0.1 à
192.168.0.4.
53
Figure5.09 : Définition des plages d’adresse
Une durée de bail va ensuite être spécifiée. Un bail est un intervalle de temps, spécifié par un
serveur DHCP, pendant laquelle un ordinateur client peut utiliser une adresse IP affectée. La durée
d’un bail détermine sa date d’expiration et la fréquence avec laquelle le client doit le renouveler
auprès du serveur.
Les ordinateurs fonctionnant avec Windows Server 2003 utilisent les serveurs WINS pour
convertir le nom NETBIOS d’ordinateurs en adresse IP. Il faut donc indiquer qui est ce serveur
WINS. Le nôtre est ici WINSERVER
54
Figure 5.11 : Indication du Serveur WINS
55
On choisit Accès VPN pour pouvoir faire une connexion VPN.
56
Figure 5.14 : Choix sur le type de connexion réseau
On demande ici de donner un nom à la connexion. Il n’y a pas de règle de choix ni syntaxe de ce
nom mais il est plus explicite si on lui donne le nom du domaine auquel on veut se connecter.
57
Figure 5.16 : Définition du nom de la connexion
Si on choisit de sélectionner « Ne pas établir la connexion initiale », lors d’une connexion VPN,
Windows ne va pas se connecter au réseau public avant d’établir une connexion virtuelle, il va
directement établir cette connexion virtuelle. La tentative de connexion sera alors un échec si le
poste de travail client n’est pas connecté au réseau public.
Lors de la sélection du serveur VPN, on a le choix entre mettre le nom FQDN du domaine auquel
on veut se connecter ou son adresse IP publique.
58
Figure 5.18 : Indication du nom du serveur VPN
5.1.8.Test de connexion
Cliquer Démarrer
Connexions
Connexion Polytech.com
La fenêtre Connexion sur Wanadoo s’affiche d’abord puis connecter au réseau public, la fenêtre
de demande d’identification dans le domaine s’affiche.
On saisie le nom d’utilisateur et le mot de passe puis on clique sur connexion.
La fonctionnalité Bureau à distance sous Windows permet d'accéder à une session Windows qui
est en cours sur un ordinateur à partir d'un autre ordinateur. On peut par exemple, l'utiliser pour se
connecter à son ordinateur de travail depuis son domicile et accéder à toutes les applications, à
tous les fichiers et à toutes les ressources réseau, comme si l’utilisateur distant se trouve à son
bureau. Bureau à distance permet également à plusieurs utilisateurs de disposer de plusieurs
sessions actives sur un même ordinateur. Cela signifie que plusieurs utilisateurs peuvent laisser
59
leurs applications ouvertes et conserver leurs sessions Windows, même si d'autres utilisateurs sont
connectés à ces sessions.
5.1.9.1.Configuration du serveur
Démarrer
Panneau de configuration
Système
Utilisation à distance
Il faut ensuite cocher Autoriser les utilisateurs à se connecter à distance à cet ordinateur.
60
5.1.9.2.Configuration du client à distance
Nous n’avons pas pu configurer les différents rôles du serveur tels que service DHCP et DNS sans
que le serveur ne soit connecté à un ordinateur par câble afin de former le réseau local.
L’ordre de configuration des rôles du serveur compte énormément. Dans les documents qu’on a
vu, il a été conseillé de configurer d’abord DHCP, puis DNS et enfin configurer le serveur comme
contrôleur de domaine et cela n’a pas marché. Le domaine n’a pu être construit et DHCP et DNS
n’ont pas fonctionné. En effet, DHCP ne distribue pas d’adresse IP et les utilitaires de test dcdiag
et netdiag ont signalé des erreurs. Il a donc fallu réinstaller complètement le système
d’exploitation et essayer à chaque fois une combinaison de l’ordre de configuration de ces rôles
61
pour enfin arriver à la procédure suivante : il faut d’abord configurer le service DNS qui va
permettre de nommer le domaine qu’on veut construire et établir une relation avec ses adresses IP.
On configure ensuite le serveur pour être un contrôleur de domaine et puis on configure DHCP et
les autres rôles viennent après. Il y a peut être d’autres manières de procéder mais c’est celle-ci qui
nous a permis de construire notre domaine.
Le serveur a été attaqué par un ver nommé MSBlast. MSBlast est un ver qui provoque un arrêt du
serveur dans la minute qui vient. Nous ne savions pas au début que c’était un ver et on l’a
interprété comme faille sur le système, une mauvaise manipulation ou une mauvaise installation
du système d’exploitation. Nous en sommes même venus à refaire l’installation. Nous avons
trouvé ensuite la solution qui a été proposé par Microsoft Windows.
62
Processeur : Pentium III
Mémoire vive : 128 Mo
Espace disque : 12 Go
4. Type d’installation :
o Bureau personnel
o Poste de travail
o Serveur
• Personnalisé
On choisit le Personnalisé pour gagner un contrôle total du processus d’installation, y compris les
paquetages de logiciel à installer et les préférences authentiques.
63
Partitionnement avec DiskDruid
Il faut 3 partitions au moins pour installer le système Fedora Core.
une partition contenant la racine du système de fichiers Linux appelée partition root
une partition offrant un espace de pagination au système. La taille de cette partition
appelée swap est généralement le double de la RAM présente sur la machine
une partition dédiée à /boot qui contient l’image du noyau Linux. La taille de cette
partition est de 10 Mo à 100 Mo.
Le type de partition primaire ou logique sur laquelle est installé Linux n’a pas d’importance.
64
Figure 5.19 : Choix du système d’exploitation démarré par défaut
Le mot de passe du chargeur de démarrage empêche que les utilisateurs envoient des options
arbitraires au noyau. L’utilisation de mot de passe est recommandée por une sécurité optimale
donc on va activer l’option d’utilisation de mot de passe.
7. Configuration du pare-feu
Un pare-feu se trouve entre l’ordinateur et le réseau et détermine les ressources de l’ordinateur
auxquelles des utilisateurs distants peuvent avoir accès à travers le réseau. Un pare-feu
correctement configuré peut améliorer de façon importante la sécurité du système lors de toute
transaction avec l’extérieur.
o Elevé
• Moyen
Pas de pare-feu
Avec personnalisation :
http
FTP
• SSH
• DHCP
Courrier SMTP
Telnet
65
Le compte root est uniquement pour l’administration. Mot de passe : ***********
10. Configuration de l’authentification :
• Activer le mot de passe MD5
• Activer le mot de passe masqué
o Activer NIS
o Activer LDAP
o Activer Kerberos
o Activer SMB
L’activation de MD5 permet d’utiliser un mot de passe long jusqu’à 256 caractères.
L’activation du mot de passe masqué fournit une méthode très sécurisée de mémorisation
de mot de passe.
Activer NIS permet d’utiliser un groupe d’ordinateurs dans le même domaine NIS avec un mot de
passe et un fichier de groupe commun. les paramètres suivants sont à compléter
Activer LDAP consolide certains types d’informations au sein de votre organisation.
Activer Kerberos : Kerberos est un système sécurisé qui fournit des services d’authentification du
réseau.
Activer l’authentification SMB : cette option indique PAM afin qu’il utilise SMB pour
authentifier les utilisateurs.
Serveur SMB : Indique sur quel serveur SMB votre poste de travail se connecte pour
l’authentification.
BUREAU
Système X Window
66
GNOME est un interface utilisateur graphique puissante qui comprend un tableau de bord,
un bureau, des icônes de système et un gestionnaire de fichiers graphiques.
Environnement de bureau KDE.
KDE est une interface utilisateur puissantre comprenant un tableau de bord, un bureau, des
icônes de système et un gestionnaire de fichiers graphiques.
APPLICATION
Editeurs
Parfois appelés éditeurs de texte, ces programmes vous permet d’éditer et de créer des
fichiers textes. Ils comprennent Emac et Vi.
Engineering et scientifiques
Ce groupe comprend les paquetages pour exécuter des calculs mathématiques, le traçage et
la conversion d’unité.
Internet graphique
Ce groupe contient une messagerie eléctronique en modalité texte ety des clients de
conversation.
Bureau/Productivité
Les applications comprennent des suites de bureau, des afficheurs PDF et bien plus encore.
Son et vidéo.
Ce groupe de paquetage vous permet de travailler sur le système avec du son et des
images, de l’enregistrement de CD à la lecture de CD audio et de fichiers multimédias.
Authoring et publishing
67
Ce gropupe comprend des paquetages qui vous aident à manipuler et scanner des images.
Jeux et Divertissements.
SERVEURS
Outils de configuration du serveur
Ce groupe de paquetage permet d’exécuter un nom de serveur DNS (Bind) sur le système.
Serveur FTP
Ces outils comprennent des serveurs basés sur comme CIPE, DHCP et Telnet.
DEVELOPPEMENT
Outils de dédeloppement
Ces outils comprennent des outils de dévelopeement mémoire comme automake, gcc, perl,
python ainsi que des déboggeurs.
Développement du noyau
68
Développement du logiciel X
Ce groupe est un ensemble d’administration graphique pour le système, ainsi que pour la
gestion des comptes utilisateurs et la configuration matérielle du système.
Outils de système
Ce groupe est un ensemble de différents outils pour le système, ainsi qu’un client pour la
connexion aux ports SMB et d’outils permettant de gérer le trafic dans le réseau.
Support d’impression
Installer ces outils pour habiliter le système à imprimer ou agir comme un serveur
d’impression.
5.2.2.Configuration réseau
Dans le fichier /etc/sysconfig/network
NETWORKING=yes
HOST= LinServer.polytech.com
Le fichier /etc/sysconfig/network-scripts/ifcfg-eth0
IPADDR= 192.168.0.x
5.2.3.1.Démarrage du daemon
Avant de configurer DNS il est nécessaire de démarrer le daemon named.
# /etc/init.d/named start
69
pour voir la définition d’une zone. Les fichiers de création d’une zone se trouvent dans
/etc/named.conf
On va ajouter les zones principales directes et indirectes.
Il est intéressant de mettre dans ce fichier l’adresse du FAI au cas où DNS ne pourra pas résoudre
les noms.
Options {
directory "/var/named " ;
forward first ;
forwarders {
193.251.141.253;
};
};
zone "." IN {
type hint ;
file "named.ca" ;
};
zone "." IN {
type hint ;
file "named.ca" ;
};
zone "localdomain" IN {
type master ;
file "localdomain.zone" ;
};
zone "0.0.127.in-addr.arpa" IN {
type master ;
file "named.local" ;
};
zone "polytech.com" IN {
type master;
file "db.polytech.com" ;
};
zone "0.168.192.in-addr.arpa" IN {
70
type master;
file "db.0.168.192" ;
};
Il faut donc créer les fichiers db.polytech.com et db.0.168.192 dans /var/named qui devront être
identiques respectivement aux fichiers localdomain.zone et named.ca.
Directory indique l’emplacement des fichiers de zone tels que localdomaine.zone, named.ca,
db.polytech.com et db.0.168.192.
La zone « polytech.com » est faite pour les recherches directes ce qui veut dire la translation
d’adresse IP à partir du nom de la machine. La zone « 0.168.192.in-addr.arpa » pour les
recherches inversées ce qui veut dire une translation de nom à partit d’ adresse IP
Le fichier /var/named/localdomain.zone :
$TTL 86400
@ IN SOA localhost.root (
42 ; serial
3H ; refresh
15M ; retry
1W ;expiry
1D) ; minimum
IN NS localhost
Localhost IN A 127.0.0.1
Le fichier /var/named/named.local :
$TTL 86400
@ IN SOA localhost. (
1997022700 ; serial
28800 ; Refresh
14400 ; Retry
71
3600000 ; Expire
86400 ; Minimum
IN NS localhost
1 IN PTR localhost
Le fichier db.polytech.com :
$TTL 86400
@ IN SOA LinServer root (
42 ; serial
3H ; refresh
15M ; retry
1W ;expiry
1D) ; minimum
IN NS LinServer. Root.LinServer. (
LinServer IN A 192.168.0.20
Le fichier db.0.168.192 :
$TTL 86400
@ IN SOA LinServer. (
1997022700 ; serial
28800 ; Refresh
14400 ; Retry
3600000 ; Expire
86400 ; Minimum
IN NS LinServer
20 IN PTR LinServer
72
Le fichier resolv.conf :
5.2.3.5.Récapitulation
Le nom du service est : BIND
Le daemon est : named
Les fichiers configuration se trouvent dans :
- /var/named.ca
- /var/named.conf
- /var/named.local
- /etc/resolv.conf
- /etc/sysconfig/network
Le nom : les paquetages nécessaires sont : bind, bind-utils, caching-nameserver.
5.2.3.6.Configuration du client
Le fichier /etc/resolv.conf doit être modifié comme suit :
Domain polytech.com
Nameserver 192.168.0.20
5.2.3.7.Test de fonctionnement
nslookup est une commande qui permet de tester le bon fonctionnement du DNS.
# nslookup LinServer
Il s’affiche :
Serveur : LinServer
Adresse : 192.168.0.20
Nom : LinServre.polytech.com
Adresse : 192.168.0.20
73
5.2.4.Installation de OpenVPN
5.2.4.3.Capacité de OpenVPN
Une fois la connexion établie entre le client et le serveur, OpenVPN est capable, à travers un port
TCP/UDP configurable (défaut 1194) d’encapsuler n’importe quel paquet du réseau IP :
- utilisant des protocoles dynamiques des deux extrémités ;
- utilisant du NAT ;
- utilisant une compression de la connexion qui s’adapta en temps réel afin d’optimiser le
débit ;
- utilisant un port de l’interface réseau vers une interface TAP virtuelle;
- Utilisant un échange de clés statiques, pré-partagées ou dynamique.
74
5.2.4.5.Installation de OpenVPN
On va installer la version openvpn-1.4.3. et le configurer pour créer un tunnel avec un cryptage
par clé symétrique.
1. L’installation de OpenVPN nécessite l’installation des paquets suivants :
- liblzo-dev
- liblzo1
- libssl-dev
- libssl0.9.6
- openssl-devel-0.9.7f-7.i386
- autoconf-2.59-5.noarch.rpm
- automake17-1.7.9-6.noarch.rpm
On installe les paquets .rpm paquets avec la commande « rpm –i ».
Exemple : rpm –i auto autoconf-2.59-5.noarch.rpm
.Configure est une commande qui construit un nouveau fichier makefile. Cest un script shell qui
s’exécute, recherche les éléments logiciels et effectue même divers essais pour savoir ce qui
fonctionne. Il prend ensuite ses instructions dans Makefile.in et construit le fichier makefile qui
fonctionnera correctement sur le système.
Make : a pour but de déterminer automatiquement quelles parties qu’un gros programme ont
besoin d’être recompilées et exécute les commandes nécessaires pour les recompiler.
75
4. Créer une clé de cryptage avec openvpn
# openvpn --genkey --secret Bnsd14
Bnsd14 est la clé secrète
Il faut copier cette clé sur chaque machine établissant VPN. Le fichier doit se trouver dans le
répertoire courant où on exécute la commande pour lacer VPN.
5. Créer le tunnel
Sur la machine serveur exécuter la commande :
# openvpn --port 8000 --dev tun1 --ifconfig 192.168.0.20 192.168.0.21 --verb5 --secret
Bnsd14
Explication :
196.192.235.12 : adresse IP publique du serveur VPN
--port 8000 : utliser le port 8000 pour la communication
--dev tun1 : interface réseau virtuel qui constitue en quelque sorte le bout du tunnel au bout du
serveur.
--ifconfig 192.168.0.20 192.168.0.21 : va permettre d’attribuer les adresses IP à chaque bout du
tunnel
--verb5 : le niveau de bavardage que l’on souhaite pour openvpn.
196.192.235.12 : IP public du serveur VPN
76
nouveau 2.6.18.1. On a réussi à recompiler le noyau mais le fait est que cette recompilation
exigeait aussi une mise à jour des paquets et d’autres configurations qu’on aqu’on n’a pas pu
déterminer lesquelles.
La mise en œuvre de VPN sous Linux débute par l’installation des paquets nécessaires et de
l’installation de OpenVPN. La configuration qui se fait avec une ligne de commande se porte sur :
la création d’une clé secrète entre le client et le serveur
la création du tunnel
la commande de lancement de OpenVPN en spécifiant le port à utiliser pour la
communication, l’interface virtuelle à utiliser, la configuration des adresses IP.
Si on fait un bref analyse, on peut constater que la configuration de VPN sous Windows se penche
plutôt sur surtout sur la convivialité du service offert à l’utilisateur. Windows demande le type de
la connexion à mettre en œuvre et il le configure, il ne demande que des informations qui peuvent
être interceptées par le grand public. Exemple : le nom qu’on va donner à la connexion, l’adresse
IP du serveur ou juste le nom du serveur VPN.
La configuration sur Linux s’est effectuée sur des lignes de commandes qui créent pas à pas et
point par point le tunnel entre le client et le serveur. Les informations demandées sont plus
compliquées que celles de Windows.
Le déploiement de VPN sous Linux requiert beaucoup plus de connaissance en matière de réseau
informatique. Son avantage est que l’utilisateur sait ce qui se passe et sait ce qu’il fait. Il lui est
donc possible d’adapter la configuration à ses besoins. Ce qui n’est pas le cas avec Windows car
77
il offre surtout un service qui se rue surtout sur la facilité d’utilisation tout en essayant de prévoir
les besoins de chaque type d’utilisateur.
78
CONCLUSION GENERALE
Cette sécurité si bien promue est fortement liée au protocole utilisé car à chaque protocole
correspond un type de chiffrement. PPTP utilise par exemple MPPE comme protocole de sécurité
et L2TP utilise IPSec. Cependant MPLS, par défaut n’utilise pas de chiffrement pour sécuriser son
tunnel mais il se base sur la création d’un deuxième label. On peut, toutefois, lui associer à IPSec.
Ces protocoles peuvent être choisis lors de la configuration d’une connexion VPN selon le
système d’exploitation employé.
Windows et Linux sont les deux systèmes d’exploitation les plus en vogue actuellement.
Chacun d’eux ont leur propre avantage et leur propre vision. Comme nous l’avant vu lors de la
mise en œuvre de VPN, il y a une différence entre l’installation et la création d’une connexion
VPN sous Windows et sous Linux et l’on peut en tirer que le choix entre les des deux dépend du
besoin de l’utilisateur. Linux par exemple est plus approprié aux développeurs, aux chercheurs, ou
à toute personne qui veut savoir « le pourquoi » de tout ce qui se passe dans un système
d’exploitation afin de pouvoir maîtriser son système et en tirer profit. Windows, d’une autre part,
est un système d’exploitation grand public. Certes, il peut parfois coûter très cher, mais il est facile
à utiliser. Il tente de solutionner directement aux problèmes des entreprises et de chaque utilisateur
coûte que coûte. Il est plus proche de l’utilisateur et surtout fait pour ceux qui veulent du résultat
sans se soucier du « comment cela s’est fait ».
A chaque organisation donc correspond un type exact de VPN selon ses exigences, veut-
elle un VPN Accès distant, Extranet ou Intranet, quel protocole va-t-elle utilisée, quel sera son
79
système d’exploitation. C’est la que l’ingénieur fait son travail, il se doit de faire une étude de cas
d’une organisation et de pouvoir proposer la solution idéale.
80
ANNEXE 1 : PPP (POINT TO POINT PROTOCOL)
Le protocole PPP a été spécifié pour les besoins des connexions TCP/IP aux réseaux Internet à
partir de liaison modem. Ce protocole permet non seulement de réaliser une interconnexion IP via
le réseau mais décrit également les procédures d’attribution d’adresse, le multiplexage du
protocole de niveau 3, la compression des données et la détection des erreurs.
PPP supporte les liaisons asynchrone et synchrone, trois composants sont pour cela utilisés :
- HDLC pour l’encapsulation des datagrammes
- LCT (Link Control Protocol) pour établir, configurer et tester la liaison.
- NCP (Network Control Protocol) pour établir et configurer différents protocoles de niveau
3 comme IP, IPx ou DecNet qui peuvent être multiplexés sur une seule liaison.
Afin d’établir la communication, le protocole PPP envoie des trames LCP pour établir la liaison et
optionnellement configurer la ligne. Des trames NCP sont ensuite échangées pour sélectionner et
paramétrer un ou plusieurs protocoles réseaux. Des mécanismes de temporisation permettent de
couper la liaison en cas d’inactivité prolongée.
La procédure LQM (Link Quality Monitor) coupe la liaison lorsque la qualité de service calculée
tombe au dessous d’un pourcentage prédefini.
La liaison PPP utilise les principes, la terminologie et la structure des trames du protocole HDLC.
Une trame PPP est de la forme :
81
FCS : est un code de détection d’erreur de type CRC sur 16 bits. La procédure de négociation
permet de sélectionner un code qui permet de renforcer la détection des bits.
82
ANNEXE 2 DES : (DATA ENCRYPTION STANDARD)
DES est un algorithme à clé symétrique (ou à clé secrète). Sa clé est de 56 bits de long. C’est
un système de chiffrement par bloc de 64 bits. DES transforme un bloc de 64 bits en un autre bloc
de 64 bits. DES fonctionne en trois étapes :
- permutation initiale et fixe d’un bloc
- le résultat est soumis à 16 itérations d’une transformation, ces itérations dépendent à
chaque ronde d’une autre clé partielle de 48 bits. Cette clé de ronde intermédiaire est
calculée à partir de la clé initiale de l’utilisateur (grâce à un réseau de tables de substitution
et d’opérateurs XOR). Lors de chaque ronde, le bloc de 64 bits est découpé en deux blocs
de 32 bits, et ces blocs sont échangés l’un avec l’autre selon un schéma de Fiestel. Le bloc
de 32 bits ayant le poids le plus fort subira une transformation.
- Le dernier résultat de la dernière ronde est transformé par la fonction inverse de la
permutation initiale.
83
84
ANNEXE 3 : RSA
C’est en 1978 que l’algorithme à clé publique Ron RIVEST, ADI Shamir et Leonard
ADLEMAN est apparu. C’est un système à clé publique car l’algorithme n’est pas caché, la clé de
codage est de ce fait appelée clé publique.
Pour coder un message, l’émetteur va utiliser la clé publique que le destinataire a préalablement
publiée. La clé publique est un ensemble de lettre et de chiffre qui vont permettre d’envoyer au
destinataire des messages confidentiels. Cela veut dire que tout le monde peut connaître la clé
publique qui permet de crypter les messages uniquement au destinataire qui a publié la clé mais
seul ce dernier pourra déchiffrer ce qui a été codé avec sa clé publique grâce à sa clé privée.
Chiffrement : le message doit être remplacé par un chiffre par exemple le rang de l’alphabet ou le
code ASCII. Ensuite on découpe le message par bloc de x longueurs tel que x<n avec n et e la clé
publique.
Le bloc B est chiffré par la formule : C=Bemod n où C est un bloc de message chiffré à envoyer
vers le destinataire.
La génération des deux clés se fait en choisissant deux grand nombre p et q et de calculer le
produit :
n=p*q
On choisit ensuite un nombre e tel que e et (p-1)(q-1) soient premiers entre eux. Le nombre e est
appelé clé de chiffrement aléatoire. On utilise l’algorithme d’Euclide étendu pour calculer d. d
étant la clé de déchiffrement
d=e-1 mod((p-1)(q-1)
85
ANNEXE 4 : MPPE OU MICROSOFT POINT TO POINT PROTOCOL
MPPE est un chiffrement de paquets transitant sur PPP, basé sur l’algorithme RSA RC4.
RC4 est un chiffre symétrique de jet avec une taille arbitraire. Il a été créé par Ron Rivest de
sécurité RSA en 1987.
La variante exportable de RC4 utilise une variante de 40 bits. Cette taille principale est vulnérable
à une attaque de force brutale en utilisant la technologie courante.
Les chiffrent de jet peut être considéré comme un chiffre de bloc avec une longueur de bloc
vraiment petite.
86
ANNEXE 5 : MD5 (MESSAGE DIGEST 5)
MD5 est une fonction une fonction de hachage cryptographique qui permet d’obtenir pour chaque
message une empreinte numérique avec une probabilité très forte que, pour deux messages
différents, leurs empreintes soient différentes.
MD5 travaille avec un message de taille variable et produit une empreinte de 128 bits. Le message
est divisé en blocs de 512 bits, on applique un remplissage de manière à avoir un message dont la
longueur est un multiple de 512. Le remplissage se présente comme suit :
- on ajoute un « 1 » à la fin du message
- on ajoute une séquence de « 0 »
- on écrit la taille du message, un entier codé sur 64 bits.
Ce remplissage est toujours appliqué même si la longueur du message peut être divisé par 512.
L’algorithme principal travaille avec un état sur 128 bits. Il est lui-même en 4 mots de 32 bits : A,
B, C et D. Ils sont initialisés au début avec des constantes. L’algorithme utilise ensuite les blocs
provenant du message à hacher, ces blocs vont modifier l’état interne. Les opérations sur un bloc
se décomposent en quatre étapes, elles-mêmes divisées en 16 opérations similaires basées sur une
fonction non linéaire F qui varie selon la ronde, une addition et une rotation vers la gauche.
87
BIBLIOGRAPHIE
[2] B.Lanlard, EFS, IPSEC, SSL : Mise en œuvre de la sécurité sous Windows Server 2003, ENI,
2006
[3] B.Sonntag, J.Steinberg et T.Speed, SSL VPN : Accès Web et Extranets sécurisés, Eyrolles,
2006
[5] http://eicon.fr/solutions/shiva_VPN
[6] http://frameip.com/l2tp-pppoe-ppp-ethernet.html
[7] http://ietf.org/rfc/rfc2401.txt
[8] http://ietf.org/rfc/rfc2637.txt
[9] http://ietf.org/rfc/rfc3931.txt
[10] http://supinfo-projects.com
[11] http://www.amba.fr/Encyclopedie-du-web-1.html
[12] http://www.bib.umontreal.ca/outils-informatiques
[13] http://www.laboratoire-microsoft.org/articles/win
[14] http://www.opt.pf/st.html
88
[15] http://www.securiteinfo.com/crypto/tunnel.html
[16] http://www.telesat.ca/fre/telecom/vsat.html
[17] http://www.wikipédia.org/wiki/Vsat
[18] J.RAZAKARIVONY, Cryptographie et Sécurité Réseaux, Cours 5ème année, Dép. Tél.-
E.S.P.A., A.U. : 2005-2006
[19] L.E.RANDRIARIJAONA, Technologie des hauts débits, Cours 5ème année, Dép. Tel.-
E.S.P.A., A.U. : 2005-2006
[20] P. MATHON, VPN Mise en œuvre sous Windows Server 2003, ENI, 2004
[24] http://www.frameip.com/mpls
[25] http://www.commentcamarche.net
[26] http://www.frameip.com/ipsec
[28] http://www.labo-cisco.com/
[29] http://ietf.org/rfc/rfc2246.txt
89
90
FICHE DE RENSEIGNEMENTS
Nom : RANOHARISOA
Prénoms : Haingo Nirina
Adresse de l’auteur : Lot 56 H Ter Antanety Alasora
Pagination : 93
Tableaux :2
Figures : 47
91
RESUME :
Le Réseau Privé Virtuel est une technique qui permet d’étendre un réseau local d’une entreprise à
des utilisateurs distants autorisés avec un VPN Accès distant ou des sites annexes avec un VPN
Intranet ou Extranet. VPN se base sur un support de réseau public qui est l’Internet et il assure les
fonctionnalités telles que : authentification des utilisateurs, encryption des données, administration
des clés. Plusieurs protocoles de tunnelisation permettent ainsi de créer une connexion VPN dont :
PPTP, L2TP, IPSec, PPTP et MPLS. VPN peut être mis en œuvre sur divers système
d’exploitation. Toutefois, pour n’importe quel système il faut un serveur VPN, un client VPN et
une connexion Internet pour les deux pour q’une connexion VPN puisse être établie.
ABSTRACT:
Virtual Private Network is a secure way to provide access to the corporate network for remote and
authorized users with remote access VPN or remote networks with VPN LAN-to-LAN. VPM
message traffic is carried over Internet. VPN ensure user authentication, data encryption and key
administration. Secure VPN protocols include the following : PPTP, L2TP, IPSec and MPLS.
VPN can be deployed on different operating system as Windows or Linux. VPN connection
requires VPN server, VPN client and Internet connection.
92