Réseau privé virtuel VPN

Définition
Un réseau privé virtuel (pour Virtuel Private Network) est un
réseau qui permet l’utilisation de l’infrastructure publique
(Internet) pour transmettre des informations privées par le
biais d’un protocole de tunneling et de procédures de sécurité
afin de maintenir la confidentialité des données.
Privé : les échanges transitant par ce réseau sont confidentiels
pour les autres utilisateurs du réseau public.
Virtuel : le réseau privé ainsi créé n'est pas matérialisé par des
liens physiques.
Principe de fonctionnement
Un réseau VPN repose sur un protocole appelé “protocole de
tunneling”. Ce protocole permet de faire circuler les
informations de l’entreprise de façon cryptée d’un bout à
l’autre du tunnel. Ainsi, les utilisateurs ont l’impression de se
connecter directement sur le réseau de leur entreprise.
Le principe de tunneling consiste à construire un chemin
virtuel après avoir identifié l’émetteur et le destinataire. Par la
suite, la source chiffre les données et les achemine en
empruntant Ce chemin virtuel. Afin d’assurer un accès aisé et
peu coûteux aux intranets ou aux extranets d’entreprise, les
réseaux privés virtuels d’accès simulent un réseau privé, alors
qu’ils utilisent en réalité une infrastructure d’accès partagée,
comme Internet.
Fonctionnement de VPN
 Le VPN pour l’accès à distance

Le VPN d'accès est utilisé pour permettre à des utilisateurs

itinérants d'accéder au réseau privé. L'utilisateur se sert d'une
connexion Internet pour établir la connexion VPN. Il existe
deux cas:
 L'utilisateur demande au fournisseur d'accès de lui établir
une connexion cryptée vers le serveur distant : il
communique avec le NAS (Network Access Server) du
fournisseur d'accès et c'est le NAS qui établit la
connexion cryptée.
  L'utilisateur possède son propre logiciel client pour le
VPN auquel cas il établit directement la communication
de manière cryptée vers le réseau de l'entreprise.
Les deux méthodes possèdent chacune leurs avantages et leurs
inconvénients :
 La première permet à l'utilisateur de communiquer sur
plusieurs réseaux en créant plusieurs tunnels, mais
nécessite un fournisseur d'accès proposant un NAS
compatible avec la solution VPN choisie par l'entreprise.
De plus, la demande de connexion par le NAS n'est pas
cryptée Ce qui peut poser des problèmes de sécurité.
 Sur la deuxième méthode Ce problème disparaît puisque
l'intégralité des informations sera cryptée dès
l'établissement de la connexion. Par contre, cette solution
nécessite que chaque client transporte avec lui le logiciel,
lui permettant d'établir une communication cryptée. Nous
verrons que pour pallier Ce problème certaines
entreprises mettent en place des VPN à base de SSL,
technologie implémentée dans la majorité des navigateurs
Internet du marché.
Quelle que soit la méthode de connexion choisie, Ce type
d'utilisation montre bien l'importance dans le VPN d'avoir une
authentification forte des utilisateurs. Cette authentification
peut se faire par une vérification "login / mot de passe", par un
algorithme dit "Tokens sécurisés" (utilisation de mots de passe
aléatoires) ou par certificats numériques.
  L’intranet VPN

L'intranet VPN est utilisé pour relier au moins deux intranets

entre eux. Ce type de réseau est particulièrement utile au sein
d'une entreprise possédant plusieurs sites distants. Le plus
important dans Ce type de réseau est de garantir la sécurité et
l'intégrité des données.
Certaines données très sensibles peuvent être amenées à
transiter sur le VPN (base de données clients, informations
financières...). Des techniques de cryptographie sont mises en
œuvre pour vérifier que les données n'ont pas été altérées. Il
s'agit d'une authentification au niveau paquet pour assurer la
validité des données, de l'identification de leur source ainsi
que leur non-répudiation. La plupart des algorithmes utilisés
font appel à des signatures numériques qui sont ajoutées aux
paquets. La confidentialité des données est aussi basée sur des
algorithmes de cryptographie.
  L’extranet VPN

Le commerce électronique inter-entreprises nécessite qu’une

entreprise ait accès au réseau local (intranet) d’une autre
entreprise dans le cadre de transactions entre elle-même. On
appelle Extranet VPN le type de VPN qui permet à des
entreprises, partenaires, fournisseurs et utilisateurs de partager
certaines parties de leur réseau local respectif.
Bilan des caractéristiques fondamentales d’un VPN
Un système de VPN doit pouvoir mettre en oeuvre les
fonctionnalités suivantes :
Authentification d'utilisateur. Seuls les utilisateurs autorisés
doivent pouvoir s'identifier sur le réseau virtuel. De plus, un
historique des connexions et des actions effectuées sur le
réseau doit être conservé.
Gestion d'adresses. Chaque client sur le réseau doit avoir une
adresse privée. Cette adresse privée doit rester confidentielle.
Un nouveau client doit pourvoir se connecter facilement au
réseau et recevoir une adresse.
Cryptage des données. Lors de leurs transports sur le réseau
public les données doivent être protégées par un cryptage
efficace.
Gestion de clés. Les clés de cryptage pour le client et le
serveur doivent pouvoir être générées et régénérées.
Prise en charge multi-protocole. La solution VPN doit
supporter les protocoles les plus utilisés sur les réseaux publics
en particulier IP.
 Les protocoles VPN (tunnelisation)

Les réseaux privés virtuels s’appuient, comme la plupart des

technologies réseaux, sur des protocoles. Plusieurs protocoles
sont utilisés dans la technologie VPN.
Nous pouvons classer les protocoles que nous allons étudier en
trois catégories:
Les protocoles de niveau 2 comme PPTP, L2TP et L2F.
Les protocoles de niveau 3 comme IPSec ou MPLS.
Les protocoles de niveau 4 comme SSL et SSH
Il existe en réalité trois protocoles de niveau 2 permettant de
réaliser des VPN : PPTP (de Microsoft), L2F (développé par
CISCO) et enfin L2TP. Nous n'évoquerons dans cette étude
que PPTP et L2TP : le protocole L2F ayant aujourd'hui
quasiment disparut. Le protocole PPTP aurait sans doute lui
aussi disparut sans le soutien de Microsoft qui continue à
l'intégrer à ses systèmes d'exploitation Windows. L2TP est
une évolution de PPTP et de L2F reprenant les avantages des
deux protocoles.
Les protocoles de couche 2 dépendent des fonctionnalités
spécifiées pour PPP, c'est pourquoi nous allons tout d'abord
rappeler le fonctionnement de ce protocole.
Modélisation, Mise en œuvre et Tests de fonctionnement
Le principe de la modélisation d’IPSEC est la définition
commune, au niveau de l’équipement source et de
l’équipement destination, d’une association permettant de
définir les flux à chiffrer notamment à partir des adresses IP,
les algorithmes cryptographiques à utiliser et bien évidemment
le mode ESP ou AH.
Ce principe relativement simple à la base peut s’avérer
difficile à mettre en œuvre. En effet, les traitements réalisés au
niveau des paquets IP (ajout d’information dans le
datagramme, masquage des entêtes en mode tunnel) peuvent
s’avérer incompatibles avec les fonctions de translations
d’adresses IP (NAT), ainsi qu’avec d’éventuelles règles de
fragmentation des paquets IP.
Par ailleurs, le type de chiffrement utilisé par IPSEC est le
chiffrement symétrique (DES, 3DES, AES), ce qui nécessite le
partage d’un même élément secret entre la source et le
destinataire.
La communication de cet élément secret peut se faire de façon
manuelle dans le respect des procédures pas toujours simple à
mettre en œuvre si l’on veut assurer un niveau satisfaisant de
sécurité. Cette communication peut aussi se faire de façon
automatique en mettant en œuvre le protocole IKE. Ce
protocole permet d’échanger non seulement les éléments
secrets mais aussi les autres paramètres d’une association
IPSEC. Ce protocole peut s’appuyer sur une infrastructure de
gestion de clés qui est assez sophistiqué et fait bien souvent
l’objet d’implémentations propriétaires.
La performance est un point important à prendre en compte
absolument lors de la mise en œuvre d’IPSEC. C’est la raison
pour laquelle il faut faire un déploiement.
Les étapes du déploiement
IPSEC s’insérant au cœur même du réseau, son déploiement
requiert avant tout une étape d’identification des besoins. Il
convient tout d’abord d’établir le plan du réseau et d’identifier
les communications à sécuriser. Dans ce but, l’établissement
d’une cartographie des flux peut s’avérer nécessaire. Une fois
les communications à sécuriser identifiées, il convient de
choisir le type de sécurisation souhaitée :
- chiffrement et/ou authentification des données
- mode d’authentification des tiers
- trafic a chiffré
- algorithmes à utiliser et autres
Une fois ces choix globaux établis, on peut passer à une
seconde phase qui consiste à identifier les équipements
concernés par la mise en œuvre de la politique de sécurité
retenue et à définir les règles à faire appliquer par chaque
équipement. C’est également à cette étape qu’interviendra
éventuellement le choix de la méthode d’authentification à
laquelle auront recours les équipements IPSEC.
Différentes phases d’IPSec
Etant donné la complexité de mise en place et de configuration
d’IPSEC, nous allons aborder uniquement la méthode
concernant la configuration pour les routeurs Cisco et en
utilisant comme méthode d’authentification les clefs pré
partagées.
Tout d’abord il faut s’assurer que le routeur en question
dispose de cette option .Pour cela il suffit de taper en mode
configuration « cry » puis de faire tabulation si la commande
se termine alors le routeur fait l’IPSEC sinon il faut
télécharger chez Cisco l’IOS Security pour votre équipement.
La configuration d’IPSEC s’effectue en six étapes :
Nous devons d’abord activer le moteur « isakmp » en utilisant
la commande:
Router (config)# crypto isakmp enable
1. Définir la politique ISAKMP en précisant
- Le numéro de la politique X
Router (config)# crypto isakmp policy X
- La méthode d’authentification des équipements
Router (config-isakmp)# authentication pre-share
- L’algorithme de chiffrement a utilisé (DES, 3DES, AES)
Router (config-isakmp)# encryption 3des
- Le groupe Diffie-Hellman Y (1, 2, 5) pour l’échange de clef
Router (config-isakmp)# group Y
- L’algorithme de hachage pour créer des empreintes.
Router (config-isakmp)# hash sha
2. Créer une transform set en donnant :
Le nom de la transform set, le mode de transport a utilisé,
l’algorithme de chiffrement et
l’algorithme de hachage pour la création d’empreinte.
Router (config)#crypto ipsec transform-set TRANX esp-
3des esp-sha-hmac
3. Crée la clef partagée et éventuellement l’associée avec son
correspondant
Router (config)#crypto isakmp key MaCle address
A.B.C.D
Avec A.B.C.D l’adresse distant.
4. Mettre en place des ACL pour :
Le trafic a chiffré qui peut/doit emprunter le VPN, nous allons
autoriser le trafic depuis le
site X vers le site Y. Il faut utiliser une ACL étendue.
Router (config)#access-list 101 permit ip X.Y.Z.0 0.0.0.255
X’.Y’.Z’.0 0.0.0.255
5. Créer une crypto map avec :
Un nom qui sera le nom de notre crypto map, l’adresse de
notre(s) correspondant(s)
Le (s) nom (s) de la transform-set associé et l’ACL qui lui est
associé
Router (config)#crypto map CRYPTOVPN 10 ipsec-
isakmp
Router (config-crypto-map)#set peer A.B.C.D
Router (config-crypto-map)# set security-association
lifetime seconds 3600
Router (config-crypto-map)#set transform-set TRANX
Router (config-crypto-map)# match address 101
6. Appliqué la crypto map sur l’interface de sortie.
Router (config)#interface serial x/y/z (ou interface Fast
x/y)
Router (config-if)#crypto map CRYPTOVPN
Apres la configuration d’IPSec reste à faire les tests de
fonctionnements
Pour la mise en place du tunnel IPSec il faut que les deux
phases d’IKE réussissent à savoir:
- IKE Phase 1
- IKE Phase 2
Afin de vérifier le bon fonctionnement du VPN, plusieurs
commandes sont à votre disposition
show crypto engine connections active : permet de voir les
connexions cryptées actives
Router #sh crypto engine connections active
show crypto ipsec transform-set : permet de voir les différents
types d'encodage actifs.
Router #show crypto ipsec transform-set
Une fois le tunnel IPSEC établit il ne reste qu’a faire les
vérifications pour cela nous procéderons comme suit :
- Ping de l’adresse privée du routeur voisin
- Ping des machines distantes
- Observation des communications entre les deux équipements
terminaux
- Observation des connexions actives
Accès à distance sur les applications et autres tests possibles