Ministère de l’Enseignement Supérieur

Et de la Recherche Scientifique
Centre d’Études et des Métiers
École Supérieure de Management,
De Commerce et d’Informatique
(Sup ‘Management- Tchad)

---------------------------

Mémoire de Fin d’Études

Cycle Supérieur Approfondi

OPTION : INGENERIE RESEAU SECURITE TELECOM (IRST)

Thème :
« ÉTUDE DE MISE EN PLACE D’UNE SOLUTION SÉCURISÉ VPN : CAS
DE LA SONACIM »

Présenté par :

Mme Mastoura Djibrine Tahir

Jury :
Encadreur :


1 Année
2017/2018
DEDICACE

2
REMERCIEMENTS

3
LISTE DES FIGURES

4
LISTE DES TABLEAUX

5
LISTE DES ACRONYMES

6
TABLE DES MATIERES

7
AVANT-PROPOS

8
 CHAPITRE 1 : INTRODUCTION GENERALE

1.1 Contexte
Aujourd’hui sans doute la révolution technologique est une évidence. En effet, elle occupe de
plus en plus une place stratégique au sein des entreprises qui les utilisent le plus souvent pour
partager des informations, et généralement suivant le modèle client-serveur, dans lequel les
stations de travail des employés accèdent à des puissants serveurs distants. Le besoin d’accès
et la disponibilité de l’information à tous les postes des entreprises ont entrainés l’émergence
des réseaux locaux. La multiplication des réseaux locaux entrainera le besoin
d’interconnexion. Un nouveau challenge s’offre aux professionnels de l’informatique, celui
d’interconnecter les réseaux locaux entre eux afin que l’emplacement géographique ne soit
plus un indicap pour l’accès aux informations. C’est donc l’avènement de l’interconnexion
des réseaux locaux dont les technologies filaires en furent les pionniers.

Pendant que l'informatique est devenue pour l'entreprise un outil incontournable de gestion,
d’échange, d’organisation, de partage et de production, les données misent en œuvre par le
système d’information ainsi que les échanges internes et externes et les données
professionnelles stockées sont exposés aux actes des malveillances de différente nature. La
sécurité informatique en entreprise est donc une problématique car les conséquences sont
souvent plus lourdes. Notamment avec l’avènement de l’utilisation d’internet, les entreprises
pour des raisons de communication ou d’échanges d’informations avec le siège ou une filiale
distante s’exposent à des nombreuses menaces potentielles. SONACIM ne fait pas exception à
ces menaces surtout avec sa communauté (fonctionnaires, responsables…) et ses différents
sites.

Pour pallier aux problèmes de sécurité et d'interconnexion, il est donc primordial

d'implémenter des mécanismes et des solutions sûres, assurant la confidentialité et la sécurité
des échanges entre deux ou plusieurs entités à travers le réseau public. Cependant, il existe
plusieurs outils et moyens de sécurités disponibles, tels que les solutions matériels, logiciels
d'audits, les systèmes de détection d'intrusions (IDS), firewalls (pare-feu), l’antivirus, les
réseaux privés virtuels (VPN), etc.

9
Face à des nombreux problèmes rencontrés par SONACIM pour les échanges de ses
informations, il est donc question de trouver une solution à ces problèmes.

C’est dans ce contexte que s’intègre notre projet de fin d’étude qui consiste à relier les
différents sites de la SONACIM et permettre leur interconnexion d’une manière sécurisée à
travers un réseau d’un opérateur.

1.2 Problématique
Les réseaux informatiques sont de plus en plus répandus et complexe. L’internet est devenu un
outil indispensable et beaucoup utilisé dans des entreprises pour les échanges des données. La
gestion sécuritaire de cette technologie est devenue une préoccupation majeure pour les
entreprises modernes. Ainsi, les entreprises qui utilisent l'internet pour le partage des
informations continuent à rencontrer des difficultés quant à la sécurisation des données.

SONACIM utilise donc les liaisons satellitaires VSAT mais de nombreuses difficultés de
communication et de diffusion de l'information sont rencontrées parmi lesquelles :

- Problème de coût ;
- Problème de lenteur ;
- Problème de sécurisation.

D'où la nécessité d'une intervention faisant appel aux moyens de sécurité informatique, car
lors d'échange des données entre ses différents sites, ces données transitent par le réseau privé
(operateur), ce qui les rendent possible d'être interceptées et rend la communication
vulnérable.

La SONACIM ne dispose pas la nouvelle technologie réseau informatique lui permettant de

partager les données et réunir les informations en temps réel. Le partage des fichiers se fait
traditionnellement en d'autres termes, les données sont collectées dans des clés USB pour être
expédier ou envoyer sur le réseau privé à travers les emails. Ces méthodes non fiables, lents
n’assurent pas la sécurité et occasionnent la perte ou la détérioration de l’information.

Pourquoi ne pas mettre en place un système qui rendra plus fiable et sécurisé le transfert de
ces informations entre les utilisateurs de même site ou de site distant  et à moindre cout?

C’est pour essayer de répondre à cette problématique que nous avons choisi d’étudier le
thème intitulé : « étude de mise en place d’une solution sécurisé VPN ».

10
Cette solution devrait constituer la boussole des services de transmissions à distance de
l’entreprise, il devient évident que la mise en place d’un tel système serait très judicieuse pour
la pérennité du système d’information de la SONACIM.

1.3 Objectifs de l’étude

1.3.1 Objectif général

L’objectif général de notre projet est la mise en place d’une interconnexion entre deux sites
distants à travers un VPN afin de faciliter les échanges de données et la communication en
toute sécurité au sein de la SONACIM.

L’intérêt majeur de ce projet est de découvrir les différents aspects de la sécurité sur la
transmission des données dans un réseau, à savoir, les Réseaux Privés Virtuels (VPN).

1.3.2 Objectifs spécifiques

Il est donc question ici pour nous de répondre aux attentes de la société en mettant en place un
réseau privé virtuel stable et opérationnel. Ceci nous amènera donc à étudier différents
aspects:

- Le type de VPN le mieux adapté aux besoins de l’entreprise ;

- L’étanchéité du trafic entre les différents réseaux LAN, WAN, utilisateurs ;
- La sécurité des données ;
- Administration centralisée du système ;
- Réduction considérable de consommable tel que papier ;
- Accéder à distants à tout point du globe.

Une fois le réseau installé, nous réaliserons des tests afin de vérifier son bon fonctionnement.

1.4 Approche méthodologique

Un travail scientifique suit toujours certaines méthodologies bien définies. Dans ce cas nous
nous sommes basés sur les méthodes et techniques:

11
1.5 Organisation de l’étude

1.5.1 Délimitation du travail

Il est humainement impossible de réaliser un travail exhaustif. Ainsi notre travail ne traitera
pas tous les aspects relatifs à la construction des réseaux privés virtuels. Il se limitera à
présenter une architecture dans laquelle nous avons un routeur configuré comme serveur du
réseau et un ou deux autres comme clients. Nous ne parlerons pas non plus de tous les
concepts liés à la cryptographie des informations si ce n’est que utilisé ceux qui seront
étroitement liés à la sécurité.

1.5.2 Subdivision du travail

Hormis l’introduction générale et la conclusion générale, notre travail comprendra quatre
chapitres :

 Le deuxième chapitre : Présentation de l’entreprise (SONACIM).

 Le troisième chapitre : Théorique et est dédié sur les attaques qui compromettent la
circulation des données sur internet.
 Le quatrième chapitre : Présentation du concept du réseau privé virtuel
 Le cinquième chapitre : Conception du système
 Le sixième chapitre : Destiné à la pratique, d’où l’implémentation de la solution
sécurisé VPN.

12
13
 CHAPITRE 2 : PRÉSENTATION GÉNÉRALE DE L’ORGANISME
D’ACCUEIL

1
2.1 Introduction

Le réseau privé virtuel apparait comme l’un de services les plus populaires du marché des
télécommunications inter-entreprises, et ceci est dû à deux principaux éléments : la
situation du marché et les progrès techniques. De ce fait, sur le marché actuel, les
entreprises se doivent d'étendre leur présence à l'échelle internationale, car la mondialisation
et l’augmentation de la concurrence ont tous deux contribué à la disparition des
frontières nationales. C’est dans cette lignée que SONACIM voudrait intégrer cette
technologie afin de pouvoir sécuriser l’échange de ses information tant en interne qu’à
l’externes avec ses partenaires.

Dans ce chapitre, on va commencer par une brève description de la société d’accueil et

présenter son organigramme. Ensuite, nous allons détailler les limites de la solution dans les
autres chapitres.

1.6 Présentation de la SONACIM

1.6.1 Raison sociale, statut juridique et actionnariat

Créée par l’Assemblée Générale Constitutive du 11 octobre 2011, la Société Nationale de

Ciment Tchad (SONACIM TCHAD) est une entreprise parapublique spécialisée dans la
fabrication et la commercialisation du ciment de norme PC 32,5 et PO 42,5 conforme aux
standards internationaux. Entant que société anonyme, elle est dotée de la personnalité morale
et de l’autonomie financière. Avec conseil d’administration au capital de cinq cent millions
(500 000 000) FCFA repartie en pourcentage respectivement de 92% de la part du
Gouvernement Tchadien et 2% chacune des 04 communes dont la commune de Palan, Léré,
Fianga et Gounou Gaya.

14
La société a débuté ses activités avec unité de production, situé à Baoré dans le Mayo-Kebbi
Ouest et précisément à Bissi-Keda dans le département du Mayo Dalla (Pala), d’une capacité
annuelle de 200 000 tonnes de ciment. L’entrée en production de cette première cimenterie du
pays a marqué un tournant décisif dans la stratégie pour la diversification de l’économie et
l’amélioration de l’habitat au Tchad. Son siège social est à N’Djamena.
1.6.2 Activités
Les principales activités menées par la SONACIM se résument comme suit :
 Les achats et stocks des matières premières ;
 La production de ciment ;
 Les stocks des produits fabriqués ; 
 La vente de ciment.

1.6.3 Missions
La SONACIM a pour mission d’accompagner le gouvernement dans sa politique de l’habitat
et des infrastructures. Contribuer au développement économique, réaliser les études et
recherches en rapport avec ses activités.

Cependant, la SONACIM ne parvient pas à couvrir de manière adéquate les besoins de la

population tchadienne. Elle a pour mission :
 La prospection, la recherche, le développement, et la vente du ciment ;

 La réalisation des études additionnelles en rapport avec ses activités ;

 La formation et la promotion de son personnel nécessaire à la maîtrise de tous les

aspects du secteur cimenterie.

Pour un succès de sa mission, la SONACIM s'est dotée d'une structure cohérente et adaptée.
Tout en faisant une relecture de son organigramme en juillet 2016 avec pour conséquence la
modification de son organisation. Le nouvel organigramme a pris effet le 15 Aout 2017.

1.6.4 Organigramme de la SONACIM

L’organisation structurelle de la SONACIM est perceptible à travers son organigramme qui
présente schématiquement les liens hiérarchiques des différents services et leurs relations.

15
 Figure 1.2: Organigramme général de la SONACIM

1.7 Déroulement du stage

Durant notre stage de deux mois, nous avons eu l’opportunité d’identifier le besoin de la
société (SONACIM). C’est ce qui nous a permis de proposer une solution qui fait l’objet de
notre étude.

Ainsi, notre projet s’articule sur deux grands axes, le premier caractérisé par la recherche à
l’unification du réseau des données et avec celle de la voix, puis le deuxième axe dans lequel
nous abordons les différentes solutions de la communication unifiée afin de choisir et mettre
en œuvre le scénario le mieux adapté au réseau de la SONACIM.

Afin d’élucider notre problématique et de répondre aux objectifs annoncés plus haut, nous

16
nous sommes fixés avec nos encadreurs le planning de travail ci-après :

 Définition de la problématique et spécification des besoins de la SONACIM liés à

l’optimisation des dépenses ;
 Présentation des différentes solutions de la communication unifiée, et proposition
d’une solution finale en vue d’une implémentation.

Il faut signaler que la solution choisie concerne uniquement le réseau propre à la SONACIM,
et elle doit prendre en compte :

 L’architecture du réseau existant et protocoles utilisés ;

 Les exigences en termes de matériel nécessaire pour la réalisation (minimiser le
facteur coût) ;
 La simplicité et l’évolutivité.

1.7.1 Spécification des besoins

L’entreprise « SONACIM » inclue deux sites distants notamment le siège de la société et
l’usine distant, en conséquent cela exige la mise en œuvre de dispositifs afin de faire face aux
problèmes suivants :
 Absence d’interconnexion entre les deux sites ;
 La difficulté d’accès au stock distant peut impacter sur le chiffre d’affaire, et la bonne
gestion des clients ;

1.8 Étude de l'existant

Dans cette partie, nous présenterions l’architecture du réseau existant des différents sites de la
SONACIM et nous décrivons les outils utilisés.

Ce chapitre est très important car une bonne connaissance de l’existant réseau informatique au
niveau de la SONACIM, permettra de choisir une bonne solution de réseaux locaux de deux
sites et de faire une interconnexion.

Aussi, l’occasion sera donnée pour porter des critiques sur le réseau informatique de la
SONACIM et de proposer des solutions pour une meilleure qualité de service.

17
1.8.1 Architecture réseau (SONACIM)
SONACIM dispose de deux réseaux locaux et leur architecture réseau est basée sur le mode
de communication Client-serveur. Les serveurs sont chargés de fournir des services aux
différents postes clients de l’entreprise.

Les deux réseaux sont constitués de plusieurs équipements dont :

 Modem VSAT Evolution X3 iDirect ;
 Deux routeurs de marque Mikrotik ;
 Deux Switches Cisco Catalyst 2950 24 ports et D-LINK DES-1024D;
 Access Point TP-Link ;
 Deux serveurs HP ProLiant DL380 et HP Compaq 500B MT ;
 Quinze (15) Imprimantes HP, Canon, Epson ;
 Quarante (40) Ordinateurs Portable et Bureau, HP, Toshiba, Dell, Lenovo.

De manière globale, l’architecture du réseau de la SONACIM se présente comme suit :

18
 Figure 2.2: Architecture réseau SONACIM

SONACIM utilise un réseau en étoile dans lequel tous les bureaux sont raccordés à un même
bureau (service informatique) à l’aide d’un système matériel appelé Switch qui est relié au
modem routeur Mikrotik pour l'accès à internet.

Chaque site est composé d'une technologie LAN, un réseau Ethernet câblé selon une norme
avec pour support la paire torsadée blindée (UTP) de catégorie 5e et 6e.
L'environnement serveur est assuré par de serveurs jouant le rôle de sauvegarde des données.

1.9 Critique de l’existant

1.9.1 Points forts du système

Le système existant possède des atouts basés sur l’entreprise. Cette organisation tient sa
force des caractéristiques suivantes :
 Tous les deux sites de la SONACIM sont dotés d’une connexion internet ;
 Réseau local de chaque site opérationnel ;
 Contrôleur de domaine déjà fonctionnel.

1.9.2 Points faibles du système

Le système quoique opérationnel, n’est pas sans failles. Ainsi nous avons présenté plusieurs
problèmes parmi lesquelles on peut citer :
 Données non centralisée stockées sur des supports analogiques;
 Difficulté relatives à la confidentialité des informations échangées entre les sites;
 Données échangées de façon manuelle ;
 Pas de sécurité logicielle pour les réseaux existants (filtrage, authentification) ;
 Séparation entre les services, absence d’intégration et de communication entre les
ressources et services informatiques ;
 Evolution technologiques en domaine de communication non exploité.

Ces différentes insuffisances créent une baisse de productivité (certains agents sont obligés de
se déplacer de bureau en bureau pour transmettre des informations et certains responsables
sont obligés de se déplacer et d’être physiquement présents à chaque réunion de travail).

19
1.10 Solution proposée

Nous essayons dans la mesure du possible d'envisager une politique optimale de partage des
informations afin que l'échange des ressources ne pose plus de problème au sein de la
SONACIM.

Nous définissons également des exigences qui permettront de mettre en place une solution
réseau économique, efficace et à moindre coût.

En vue de remédier toujours aux inquiétudes soulevées au travers la question posée dans la
partie précédente, nous allons mettre en place un VPN site à site, pour interconnecter les sites
distant de l'entreprise.

1.11 Conclusion

Ce chapitre nous a permis d’avoir une idée générale de la SONACIM, de son réseau
informatique tout en mettant en lumière les limites de ses réseaux actuels d’une part et
d’appréhender ses besoins relativement au projet d’autre part.

Notre mission s’intéresse de manière générale à améliorer la productivité des collaborateurs

en leur proposant un système complet plus efficace de contrôle, de gestion, d'intégration et
d'utilisation au quotidien de plusieurs formes de communications.

Ainsi, dans le chapitre qui suit nous verrons les différentes attaques qui compromettent la
circulation des données sur internet.

20
21
 CHAPITRE 3: LES ATTAQUES QUI COMPROMETTENT LA
CIRCULATION DES DONNEES SUR INTERNET
1

3.1 Introduction
Les attaques qui compromettent la circulation des données sur internet sont si nombreuses
qu’il serait illusoire de prétendre toutes les décrire. Mais néanmoins, il serait intéressent
d’appréhender celles qui sont les plus couramment exploitées par les pirates afin de mieux
cerner leur mode de fonctionnement pour mieux définir une politique de sécurité à adopter.

1.12 Les différentes attaques sur internet

Les attaques contre la circulation des données sur internet font partie des attaques
intentionnelles et reposent plus précisément sur les faiblesses des mécanismes
d’authentification, de la confidentialité et de l’intégrité. La majorité des protocoles réseaux
n’ont prévu aucun véritable mécanisme d’authentification et subissent cependant des
attaques qui s’appuient sur les faiblesses de cette dernière. Ces attaques sont par
exemple des attaques de type spoofing (usurpation d’identité), man-in-the-middle (l’homme
du milieu), sniffing (Attaques permettant d’écouter le trafic réseau) et l’Attaque par rejeux
etc.….

1.12.1 L’attaque de type l’homme du milieu ou Man-in-the-middle

Un pirate peut disposer de plusieurs méthodes connues pour s’interfacer entre deux
éléments d’un réseau. En effet, cette attaque consiste à faire transiter les échanges réseaux
entre deux entités à travers une troisième qui est sous le contrôle d’un pirate. Ce dernier
peut manipuler ces données à sa guise, tout en dissimulant entièrement à chaque acteur de
l’échange la réalité de son interlocuteur. Pour que cette attaque puisse être mise en œuvre, il
faut que, soit la machine du pirate se trouve physiquement dans le chemin réseau emprunté
par les flux de données ou soit le pirate réussisse à modifier le chemin réseau afin que sa
machine devienne un des points de passage. Ainsi par exemple un attaquant peut se faire
passer pour le serveur vis à vis d’un client et se faire passer pour un client vis à vis
d’un serveur, car son but étant de tracer l’authentification afin de récupérer les clés de

22
session et de déchiffrer les données échangées.

Figure 3.3: L'attaque de type man-in-the-middle

1.12.2 Attaques permettant d’écouter le trafic réseau (sniffing)

Ces attaques sont souvent utilisées par les pirates pour capturer les mots de passe. En effet,
lorsqu’on se connecte à un réseau utilisant le mode broadcaste, toutes les cartes réseaux
connectées à ce réseau reçoivent les données en transite sur ce dernier, mais seule la
machine concernée peut lire les trames en temps normal. Cependant, grâce à un « sniffer »,
il est possible d’intercepter les trames reçues par la carte réseau d’un système pirate et qui
ne lui sont pas destinées afin de tenter d’en déduire les clés de session et de pouvoir ainsi
déchiffrer les flux.

23
 Figure 4.3: L’attaque de type sniffing
1.12.3 Attaque par rejeux
Un pirate peut simplement "sniffer" le réseau comme dans l’attaque vue précédemment, et
après que le dialogue entre les deux parties soit terminé, il réémet les paquets
capturés vers le serveur afin de se faire passer pour le client sans pour autant connaître
les clés de session. Cela lui permet de rejouer une ancienne transaction et de s’authentifier
au près du serveur comme s’il était le client.

1.12.4 Attaque IP Spoofing

Ce type d’attaque consiste à l’usurpation d’adresse IP, ainsi un pirate peut par exemple
essayer de se faire passer pour un client au près d’un serveur. Pour cela, le pirate va
essayer de prévoir le numéro de séquence des paquets du serveur cible en envoyant
plusieurs paquets et en analysant l’algorithme d’incrémentation de ce numéro ; il va ensuite
rendre inopérante la machine autorisée à accéder au serveur cible, de façon à s’assurer
qu’elle ne répond pas à ce dernier. Le pirate falsifie son adresse IP en la remplaçant par
celle de la machine invalidée et profite pour envoyer une demande de connexion au
serveur cible. Ainsi les données en transit vers les services métiers pourraient être
détournées et corrompues.

Figure 5.3: L’attaque par usurpation d’identité

24
1.13 Mise en place d’une politique de sécurité

Une mise en place d’une politique de sécurité complète est préalablement difficile à
élaborer due à la diversité des aspects à considérer. En effet, une politique de sécurité peut
se définir par un certain nombre de caractéristiques à savoir : les niveaux où elle intervient,
les objectifs de cette politique et enfin les outils utilisés pour assurer cette sécurité.

Chaque aspect doit être pris en compte de manière à atteindre les objectifs de sécurité
voulus, en utilisant de façon coordonnée les différents outils à disposition.

1.13.1 Différents aspects de la sécurité

Une politique de sécurité s’élabore à plusieurs niveaux à savoir :

 La sécurisation de l’accès aux données de façon logicielle (authentification, contrôle

d’intégrité….).
 La sécurisation de l’accès physique aux données i.e. les serveurs doivent être placés
dans des salles blindées (qui empêchent les ondes électromagnétiques d’être captées)
avec badge d’accès…
 La sécurisation des données en sensibilisant les utilisateurs aux notions de sécurité, de
façon à limiter les comportements à risque.
 La responsabilité du responsable de sécurité informatique de s’informer
constamment, des nouvelles attaques du jours, des outils et des méthodes disponibles
de manière à pouvoir maintenir son système de sécurité à jour et à combler les
brèches de sécurité qui pourraient exister.

1.13.2 Objectifs

Les objectifs d’une politique de sécurité reposent sur les impératifs qui peuvent être
définis à plusieurs niveaux:

 Disponibilité : les données doivent rester accessibles aux utilisateurs à tout moment
et à tout instant.
 Confidentialité : les données ne doivent être visibles que par des personnes ayant
droit.

25
  Intégrité : on doit pouvoir s’assurer que les données protégées n’ont pas été altérées
par un individu non autorisée.
 Non répudiation : lorsqu’un fichier a subi des modifications, il faut pouvoir certifier
la personne qui l’a modifié, et cette dernière ne doit pas le nier.

1.13.3 Les outils contribuant à la protection des données

De nos jours, il y a différents outils disponibles pour garantir une bonne protection des
données en interne qu’à l’externe d’une structure. Cependant, ils sont parfois utilisés
ensemble, de façon à sécuriser les différentes failles existantes dans un système, et parmi
ces outils on a :

 Le firewall qui permet de filtrer le trafic réseau entrant ;

 L’antivirus qui est utilisé sur des différentes machines dans un réseau afin de
vérifier si des virus ont pu se propager ;
 Le système de détection d’intrusion et de prévention utilisés pour limiter les
attaques sur les réseaux.
 Les VPN (Virtual Private Network) qui sont de plus en plus utilisés pour
transporter les données entre deux points à travers l’internet, car ils permettent un
cryptage de données qui transitent sur ce dernier.

1.14 Conclusion

En somme, les attaques contre la circulation des données sur internet reposent sur un
ensemble de faiblesses de sécurité touchant différents niveaux tels que l’authentification,
l’intégrité et la confidentialité. En effet ces attaques sont de plus en plus fréquentes et
peuvent impacter de manière directe ou indirecte les infrastructures réseaux aussi bien pour
des entreprises que pour des particuliers. Cependant, la politique de sécurité permet de
prévenir ou de s’en franchir de ces attaques, et il faut également noter qu’aujourd’hui, la
sécurité contre les attaques à distance se renforce de plus en plus contrairement à la sécurité
interne.

Ainsi, relativement au besoin de la SONACIM, le VPN apparait comme l’outil le mieux

adapté. Dans le chapitre suivant, le concept du réseau privé virtuel sera décrit dans sa

26
globalité, des architectures et solutions VPN seront proposées à fin de déboucher sur un choix
qui répondra au besoin de SONACIM.

CHAPITRE 4 : PRESENTATION DU CONCEPT DU RESEAU PRIVE

VIRTUEL

2.1 Introduction
Un Réseau Privé Virtuel (anglais : Virtual Private Network, VPN) est un moyen de
communication assurant la sécurité des transferts de données à travers l’internet entre des
entreprises ou des organisations et leurs filiales ou leurs utilisateurs d’une part, et des
entreprises et leurs clients d’autre part 1 . Ce concept moins coûteux qu’une liaison
spécialisée procure un niveau de sécurité (chiffrement, intégrité, confidentialité….) le plus
élevé possible. Il repose sur des protocoles appelés communément "protocoles de
tunneling", ces derniers font abstraction des distances entre les deux bouts du tunnel en
donnant l'impression aux utilisateurs ou aux clients de se connecter directement sur le
réseau local l’hôte. Il est très facile aux entreprises de tirer parti de l'infrastructure Internet
du VPN pour ajouter rapidement de nouveaux sites ou utilisateurs. Il est également possible
d'étendre de manière significative la portée du VPN sans étendre énormément
l'infrastructure. Mais il faut néanmoins noter que la qualité de service ne dépend que de
l’état de la toile.

2.2 Principe de fonctionnement

Le réseau VPN repose sur un principe de tunneling qui regroupe sur un ensemble de
protocoles permettant d’édifier un chemin virtuel après avoir identifié l'émetteur et le
1
http://www.cisco.com/web/FR/solutions/fr/vpn/index.html

27
récepteur, ainsi la source peut éventuellement chiffrer les données et les acheminer en
empruntant ce chemin virtuel. De ce fait, les flux de données traversant le réseau VPN sont
protégés contre tout accès aux non ayant droit. Ainsi, il est à rappeler que le tunneling est un
processus qui permet l’encapsulation d’un paquet à l’intérieur d’un autre paquet afin de
résoudre les problèmes de protocoles incompatibles.

Ces processus de tunneling reposent sur une certaine catégorie de protocoles appropriés qui
sont entre autres le protocole PPTP (Point-to-Point tunneling Protocol), le protocole L2F
(Layer 2 Forwarding), le protocole L2TP (Layer 2 Tunneling Protocol) et le protocole
IPsec (IP Security), tous ces protocoles sont repartis suivant les différentes couches du
modèle OSI (voir Figure 6.4).

Figure 6.4: Schéma récapitulatif du protocole de tunneling

2.3 Les différents types du réseau privé virtuel (RPV ou VPN)

Ce concept de réseau privé virtuel permet de définir deux types de VPN à savoir le VPN
site-to-site qui permet l’interconnexion des intranets et des extranets d’une part ; et le
VPN d’accès distant qui permet l’interconnexion d’un utilisateur itinérant à son intranet
ou à un extranet d’autre part.

2.3.1 Le VPN site-to-site

C’est une alternative aux réseaux étendus à relais de trames ou liaison spécialisée, il
permet aux entreprises d'étendre les ressources réseaux aux succursales (l’intranet VPN)
et aux sites de leurs partenaires (extranet VPN).

28
2.3.1.1 L'intranet VPN
Ce type de VPN permet d’interconnecter au moins deux réseaux internes distants d’une
même entreprise (par exemple les réseaux de plusieurs filiales). Il est à noter que sans VPN,
les entreprises seraient forcées d’utiliser des lignes dédiées (lignes louées) entre leurs
filiales, et ce procédé est cependant très onéreux surtout lorsqu’il s’agit de lignes
internationales. En effet, avec les VPN ces mêmes communications peuvent passer à travers
l’internet à un cout bien moindre sans souci de confidentialité ou d’intégrité de transferts.

Figure 7.4: Schéma représentatif de l’intranet VPN

2.3.1.2 L'extranet VPN

Ce type de VPN permet aux grandes entreprises de communiquer avec leurs clients ou leurs
partenaires stratégiques et d’ouvrir leur réseau local sur certains de leur service afin d’assurer
l’interopérabilité avec les diverses solutions que les partenaires peuvent implémenter. Dans ce
cadre, il est fondamental que l'administrateur du VPN puisse tracer les clients sur le réseau et
gérer les droits de chacun sur celui-ci. Tous les sites « e-commerce » ainsi que certaines
banques offrent ce type de connexion sécurisée à leurs clients.

29
 Figure 8.4: Schéma représentatif de l’extranet VPN

2.3.2 Le VPN d’accès

C’est une solution incontournable qui permet aux ayants droit itinérants d’accéder au réseau
privé distant en se servant d’une connexion internet pour établir la connexion VPN sans pour
autant compromettre leur politique de sécurité. De ce type de VPN, on distingue deux
méthodes distinctes :

 La première méthode permet à l’utilisateur de passer par un fournisseur d’accès pour

établir une connexion cryptée vers le serveur distant dont il veut accéder, mais la
demande de connexion par l’utilisateur vers son fournisseur d’accès n’est pas cryptée
et cela peut poser des problèmes de sécurité. Et l’avantage de cette méthode est qu’elle
permet à un utilisateur de pouvoir communiquer sur plusieurs réseaux tout en créant
plusieurs tunnels, et ceci nécessite que le fournisseur d’accès propose un NAS
(Network Access Server) compatible avec la solution VPN choisie par l’entreprise.

Figure 9.4: Schéma representatif-1 du VPN d’accès distant

30
  La seconde méthode quant à elle, exige que l'utilisateur ait son propre logiciel
client (VPN client) sur son ordinateur pour établir une connexion VPN vers le réseau
de l’entreprise. Il est à noter que dans cette seconde méthode, l'intégralité des
informations sera cryptée dès l'établissement de la connexion.

Figure 10.4: Schéma representatif-2 du VPN d’accès distant

Il est à rappeler que quelle que soit la méthode de connexion choisie, ce type d'utilisation
montre bien l'importance dans le VPN d'avoir une authentification forte des utilisateurs. Cette
authentification peut se faire par une vérification "login /mot de passe", par un algorithme dit
"Tokens sécurisés" (utilisation de mots de passe aléatoires) ou par certificats numériques.
Mise part cela, certaines entreprises implémentent des VPN à base de SSL (voir 4.4.2.1) que
nous verrons dans la suite du document.

2.3.3 Les caractéristiques fondamentales d'un réseau VPN

Le réseau VPN est un réseau de communication basé sur les principales caractéristiques
suivantes :

 Authentification d'utilisateur

Seuls les utilisateurs autorisés doivent pouvoir s'identifier sur le réseau virtuel. De plus, un
historique des connexions et des actions effectuées sur le réseau doit être conservé.

 Gestion d'adresses

Chaque client sur le réseau doit avoir une adresse privée. Cette adresse privée doit rester
confidentielle. Un nouveau client doit pouvoir se connecter facilement au réseau et recevoir
une adresse.

31
  Cryptage des données

Lors de leurs transports sur le réseau public, les données doivent être protégées par un
cryptage efficace.

 Gestion de clés

Les clés de cryptage pour le client et le serveur doivent pouvoir être générées et
régénérées.

 Prise en charge multi-protocoles

La solution VPN doit supporter les protocoles les plus utilisés sur les réseaux publics en
particulier IP.

2.4 Protocoles de « tunneling » utilisés pour réaliser une connexion VPN

Dans le concept VPN, il existe deux catégories de protocoles qui sont entre autre les
protocoles nécessitant souvent du matériel particulier et les protocoles ne nécessitant qu'une
couche logicielle.

2.4.1 Les protocoles nécessitant souvent du matériel particulier

2.4.1.1 Le protocole PPP (Point to Point Protocol)
Défini dans les normes RFC 1661 et 2153, ce protocole n’est pas en réalité un protocole
permettant l’établissement d’un VPN mais il est très souvent utilisé pour transférer les
informations au travers d’un VPN. Il est à noter que c’est un protocole synchrone et
asynchrone qui utilise HDLC (High-Level Data Link Control) comme base d’encapsulation
et un Frame Check Sequence (FCS) HDLC pour la détection des erreurs tout en garantissant
l’ordre d’arrivée des paquets. Il est aussi full duplex, et permet également le multiplexage
simultané de plusieurs protocoles de niveau 3 du modèle OSI (i.e. encapsulations des
paquets IP, IPX et NetBEUI, … dans des trames PPP). Traditionnellement, le protocole PPP
était employé entre un client d'accès à distance et un serveur d'accès réseau sur une liaison
RTC (Réseau Téléphonique Commuté) via des modems. Le protocole PPP présentement
désuet, est remplacé par des protocoles (PPTP, L2F, L2TP...), offrant une meilleure
garantie de sécurité, mais il est à mentionner que dans tous les cas, ces protocoles de couche 2
dépendent des fonctionnalités spécifiées pour PPP.

32
2.4.1.2 Le protocole L2F (Layer 2 Forwarding Protocol)
Défini dans la norme RFC 2341, développé par Cisco, Northern Telecom et Shiva, le
protocole L2F est un protocole de niveau 2 (liaison des données) qui aujourd’hui quasi-
obsolète, il permet à un serveur d’accès distant de véhiculer le trafic sur PPP et transférer ces
données jusqu’à un serveur L2F (routeur ….). Ce serveur L2F désencapsule les paquets et les
envoie sur le réseau.

2.4.1.2.1 Fonctionnement

Il faut noter que contrairement à PPTP et L2TP, L2F n’a pas besoin du logiciel VPN client.
Cependant le fonctionnement d’une communication basée sur le protocole L2F s’appuie sur
la:

 Création d’un tunnel L2F entre l’ISP et le serveur d’accès distant;

 Connexion PPP entre le client et l’ISP que celui-ci fait suivre au serveur d’accès
distant via le tunnel L2F.

Ce protocole est le plus souvent utilisé dans les solutions VPN d’accès (voir 4.3.2), mais il
est progressivement remplacé par L2TP (voir 4.4.1.4) qui est plus souple.

Figure 11.4: Schéma de VPN d’accès distant fonctionnant sur L2F

2.4.1.3 Le protocole PPTP (Point to Point Transfert Protocol)

Conçu par Microsoft et Définit dans la norme RFC 2637, le protocole PPTP est un protocole
de niveau 2 utilisant le port TCP 1723, il est nativement intégré dans les systèmes
d’exploitation Windows et son principe est d’encapsuler des trames PPP (Point to Point

33
Protocol)2 dans un paquet IP. Cela permet de relier deux réseaux par une connexion point-à-
point virtuelle acheminée par une connexion IP sur internet et faisant croire aux deux
réseaux qu'ils sont reliés par une ligne directe. Pour ce protocole, la compression de bout en
bout peut être réalisée par MPPC (Microsoft Point to Point Compression), l'authentification
se fait grâce au protocole MsChap (1 ou 2) de Microsoft ou le protocole PAP (Password
Authentification Protocol), et enfin le chiffrement des données s'effectue grâce au protocole
MPPE (Microsoft Point-to-Point Encryption). C’est une solution très employée dans les
produits VPN commerciaux à cause de son incorporation dans les systèmes d'exploitation
Windows.

Figure 12.4: Schéma récapitulatif du tunnel PPTP

2.4.1.3.1 Fonctionnement
Lors de l'établissement d’une connexion VPN, le client effectue d’abord en premier
lieu une connexion avec son fournisseur d'accès internet. Cette première connexion permet
d’établir une connexion de type PPP et de faire circuler des données sur internet. Après ceci,
une deuxième connexion dial-up est établie, et c’est cette dernière connexion qui permet
l’encapsulation des paquets PPP dans des datagrammes IP et formant ainsi le tunnel PPTP. Il
est à mentionner que tout trafic client conçu pour Internet emprunte la connexion
normale, par contre le trafic conçu pour le réseau privé distant passe par la connexion
virtuelle de PPTP.

2.4.1.4 Le protocole L2TP

Définit par la norme RFC 2661, le protocole L2TP est un protocole de niveau deux (2)
utilisant le port UDP 1701 comme port source et destination ; ce protocole est sans
conteste l'une des pierres angulaires des réseaux privés virtuels d'accès distant3, il est issu

de la convergence du protocole PPTP de Microsoft et du Protocole L2F de Cisco.

2
https://fr.wikipedia.org/wiki/Point-to-Point_Protocol
3
http://csrc.nist.gov/publications/drafts/SP800-113/Draft-SP800-113.pdf

34
 Figure 13.4: Schéma récapitulatif du tunnel L2TP

2.4.1.4.1 Fonctionnement
Le protocole L2TP utilise les avantages du protocole de communication PPP pour prolonger
un accès réseau vers un site distant à travers un tunnel4.
Les éléments sur les deux côtés du tunnel sont composés d'un concentrateur d’accès ou LAC
(L2TP Access Concentrator) qui peut être intégré à la structure d'un réseau commuté comme
le réseau téléphonique commuté (RTC) ou encore associé à un système d'extrémité PPP
prenant en charge le protocole L2TP; et d'un serveur du réseau distant LNS (L2TP
Network Server) fonctionnant sur toute plateforme prenant en charge la terminaison PPP.
Le LAC termine la connexion physique du PPP au point de présence (Point Of Presence
ou POP) d'un ISP et établit une session virtuelle PPP à travers le tunnel vers le LNS.
En effet, Il faut noter que le protocole L2TP peut gérer plusieurs tunnels simultanément.
Cependant il est à rappeler que par manque de confidentialité (i.e. pas de chiffrement des
données) que procure le L2TP, il est souvent conseillé de l’utiliser conjointement avec le
protocole IPsec (Internet Protocol security) car le protocole L2TP peut assurer la
compression des trames PPP à l'aide du mécanisme MPPC (Microsoft Point-to-Point
Compression) mais pas leur cryptage, et de même la liaison entre le LAC et le client n’est
pas sécurisée.

4
www.frameip.com/l2tp-pppoe-ppp-ethernet/index.html

35
 Figure 14.4: Schéma de VPN d’accès distant fonctionnant sur L2TF

2.4.1.5 Le protocole IPsec

Définit par la norme RFC 2401, le protocole IPsec est un protocole qui désigne un ensemble
de mécanismes destinés à sécuriser l'échange de données à travers internet. En effet, le
protocole IPsec est un protocole de protection des données sur internet commun à Ipv4 et
Ipv6, de ce fait le matériel impliqué dans les VPN site to site sont les passerelles de
sécurités des différents réseaux (routeurs, boitiers dédiés….), leur configuration nécessite
l'installation et la configuration d'IPsec sur chacun de ces équipements afin de protéger les
échanges de données entre les différents sites. Par contre pour des connexions nomades
(employés itinérants…), le matériel impliqué est la porte d'entrée du réseau (serveur d'accès
distants, liaison internet…) et les machines utilisées par les employés (ordinateur portable).
Ces mécanismes de sécurité communément désignés par le terme IPsec et qui viennent
s’ajouter au traitement IP classique, reposent d’une part sur le protocole AH (Authentication
Header) qui vise à garantir l'intégrité et l'authenticité des datagrammes IP, et d’autre part sur
ESP (Encapsulating Security Payload) qui permet l’encapsulation des données et cryptage
des données.
Bien qu'indépendants, ces deux mécanismes sont souvent utilisés conjointement ; à ces
derniers vient s’ajouter le protocole IKE (Internet Key Exchange) qui permet de gérer les
échanges des clés ou les associations entre protocoles de sécurité.

2.4.1.5.1 Authentication Header (AH)

Décrit par la norme RFC 2402, le protocole AH est conçu pour assurer l’intégrité et
l’authentification des datagrammes IP sans chiffrement des données (i.e. sans
confidentialité). Le principe d’AH est d’adjoindre au datagramme IP classique un champ
supplémentaire permettant à la réception de vérifier l’authenticité des données incluses dans
le datagramme. Il est à noter que l’utilisation du protocole AH interdit l’utilisation des
mécanismes de translation d’adresses. En effet, le contenu de la trame n’étant pas chiffré, le
protocole AH ajoute une signature numérique au paquet IP sortant (un mécanisme de
translation d’adresses réécrivant l’adresse source fausse systématiquement le calcul de
vérification de la signature numérique effectuée à l’autre bout du tunnel VPN).

36
 Figure 15.4: Tunnel IPsec utilisant le protocole AH

2.4.1.5.2 Encapsulating Security Payload (ESP)

Ce protocole a pour premier rôle de garantir la confidentialité, mais peut aussi assurer
l’authenticité des données ; son principe est de générer à partir d’un datagramme IP
classique, un nouveau datagramme dans lequel les données et éventuellement l’entête
original sont chiffrés (utilisant les algorithmes AES, 3DES, DES..).

Figure 16.4: Tunnel IPsec utilisant le protocole ESP

2.4.1.5.3 IKE (Internet Key Exchange)

Utilisant le port UDP 500, le protocole IKE est un mécanisme d’échange des clefs, qui

37
intervient une fois qu’IPsec ait déjà bien définit la politique de sécurité avec le choix des
algorithmes utilisés et leur portée. De ce fait, on peut mettre en œuvre l’authentification soit
en supposant que les deux extrémités se partagent déjà un secret pour la génération de clés
de sessions, soit en utilisant des certificats et des signatures numériques RSA. Les
machines ou les entités passerelles traitent ensuite les données avec la politique de
sécurité associée.

2.4.1.5.4 Les deux modes de fonctionnement d’IPsec

2.4.1.5.4.1 Le mode transport

Ce mode prend un flux de niveau transport (couche de niveau 4 du modèle OSI) et réalise
les mécanismes de signature et de chiffrement puis transmet les données à la couche IP.
Dans ce mode, l'insertion de la couche IPsec est transparente entre TCP et IP. Le
protocole TCP envoie ses données vers IPsec comme s’il les envoie vers IPv4.
L'intérêt de ce mode réside dans une relative facilité de mise en œuvre. Par contre son
inconvénient réside dans le fait que l'en-tête extérieur est produit par la couche IP c'est-à-
dire sans masquage d'adresse (voir 4.4.1.5.1.) ; de plus, le fait de terminer les
traitements par la couche IP ne permet pas de garantir la non-utilisation des options
IP potentiellement dangereuses.

Figure 17.4: Schéma récapitulatif d’IPsec en mode transport

2.4.1.5.4.2 Le mode tunnel

Dans ce mode, les données envoyées par l'application traversent la pile de protocoles jusqu'à
la couche IP incluse, puis sont envoyées vers le module IPsec dont l’encapsulation en mode
tunnel permet le masquage d'adresses (Il est à noter que le mode tunnel est utilisé entre
deux passerelles de sécurité (routeur, firewall, ...) alors que le mode transport se situe entre
deux hôtes.

38
 Figure 18.4: Schéma récapitulatif d’IPsec en monde tunnel

2.4.2 Les protocoles ne nécessitant qu'une couche logicielle

2.4.2.1 Le protocole SSL VPN
Le protocole SSL (Secure Socket Layer) permet la transmission de données chiffrées.
C'est un protocole de niveau 4 du modèle OSI et a été créé par Netscape. Cette technologie
est acceptée par les navigateurs, mais aussi par les serveurs. Un organisme est chargé de
mettre en place des certificats de confiance pour tous les sites qui utilisent le protocole SSL,
dans le but de bien identifier un site et l'organisme qui le gère.

2.5 CONCLUSION
À travers ce chapitre, on a pu cerner tout ce qui concerne les VPN du point de vue
catégories des VPN existantes, types des VPN, leur fonctionnement (les protocoles utilisés).
De ce fait, certaines solutions perdurent uniquement par la facilité de leur mise en place
(VPN accès distant), par contre d’autres solutions nécessitent des implémentations à grande
échelles (VPN site to site).
Dans le chapitre qui suit, nous présenterons les différentes architectures et solutions VPN
proposées par le constructeurs Cisco et en fin déboucher sur un choix qui répondra au besoin
de la SONACIM.

39
 CHAPITRE 5 : CONCEPTION DU SYSTÈME

3.1 Introduction
Un système étant un ensemble des composants solidement agencés pour la réalisation d’un
but précis. La configuration de chaque composante devra être soigneusement optimisée pour
créer un système qui répond aux objectifs ultimes pour lesquels il a été conçu. Ainsi, la tâche
de concevoir un système commence par une étude approfondie des fonctions requises. Et la
forme découlera de toutes ces exigences.

3.2 Conception générale

Dans l’ensemble des besoins qui se sont posés, il est impératif dans ce travail de mettre en
place une solution de gestion du réseau logique qui devra combiner la réduction du coût dans
la gestion de la bande passante, la stabilité et par-dessus, tout en offrant une évolutivité facile
du réseau VPN.

40
De manière générale, l’architecture de notre topologie est constitué des types de routeurs, Hub
ou concentrateur du réseau qui est le routeur coordonnant toutes les échanges du réseau ainsi
que des routeurs clients ou Spokes. Les routeurs du réseau VPN sont reliés par deux
catégories des tunnels.

Nous pouvons également constater qu’il y’a conceptuellement deux catégories de tunnels :

- Un tunnel statique : c’est une liaison permanente entre le routeur serveur avec le
routeur client. Il permet de maintenir la communication permanente entre les deux
types de routeurs et ainsi permettre au routeur Client d’émettre des requêtes au routeur
Serveur.
- Un tunnel dynamique : c’est un tunnel de communication entre les routeurs clients.
Créer après la résolution du bond ou saut suivant par le routeur serveur, ce tunnel
permet de mettre en place une communication directe entre routeurs clients sans
passer par le routeur serveur.

3.3 Architecture de la solution proposée

Après l’analyse de l’infrastructure informatique et l’étude de l’existant de la SONACIM, nous
aboutissons à la conclusion que, les connexions au réseau internet de la SONACIM ne sont
pas contrôlée, ni sécurisée, ce qui crée un vrai problème pour tout le réseau.
D’où l’idée d’intégrer dans son système une solution permettant d’une part la sécurisation de
chaque site et d’autre part d’assurer de nouvelles fonctionnalités comme le fait de pouvoir
accéder à son ordinateur de bureau à distance.

3.4 Choix de la technologie VPN site à site à mettre en place

De nos jours, plusieurs solutions VPN site à site, flexibles et riches en fonctionnalités sont
fournies. Ces solutions sont construites sur les quatre (4) technologies VPN sous-jacentes: le
GRE-VPN, le VPN Meshed (VPN maillé), le VPN multipoint dynamique (DMVPN) et le
VPN GET (Group Encrypted Transport). Chaque technologie bénéficie et est personnalisée
pour répondre aux exigences de déploiement spécifiques.

41
3.4.1 Le GRE VPN
Generic Routing Encapsulation (GRE ou Encapsulation Générique de Routage) initialement
développé par Cisco est un protocole de mise en tunnel qui permet d’encapsuler n’importe
quel paquet de la couche réseau dans n’importe quel paquet de la couche réseau (ex : IP dans
IP). GRE VPN utilise les mêmes fonctions que DMVPN hub-and-spoke (voir 5.3.3), mais il
nécessite une configuration plus complexe.
Il est une solution fiable de communication sécurisée, à condition d’utiliser IP Sec comme
solution de cryptage.

3.4.2 Le VPN Meshed (VPN maillé)

C’est une topologie maillée qui présente une évolution du VPN hub-and-spoke (voir 5.3.3).
Dans cette architecture, tous les sites sont reliés les uns aux autres, et présentent l’avantage de
disposer plusieurs routes vers les autres sites, mais l’inconvénient est qu’elle nécessite
beaucoup de configuration en raison du nombre de tunnels actifs. En effet, il existe une
formule pour calculer le nombre de liens requis dans ce type de VPN. La formule est la
suivante : L= N (N-1)/2, ou N est le nombre de routeurs dans le réseau privé virtuel.

Figure 19.5: Schéma récapitulatif du VPN maillé

42
3.4.3 Le VPN multipoints dynamique (Dynamic Multipoint VPN (DMVN))

Le VPN multipoint dynamique (DMVPN) est une solution cisco qui fournit une architecture
VPN évolutive. En effet, DMVPN utilise l’encapsulation de routage générique (GRE) pour le
tunneling, le protocole NHRP (Next Hop Résolution Protocol) pour les informations de
transfert et de transfert à la demande, et IPsec pour fournir un réseau de recouvrement
sécurisé pour pallier les insuffisances des tunnels VPN de site à site. DMVPN est basée sur
une architecture centralisée et prend en compte divers types d’utilisateurs dont les travailleurs
mobiles, les télétravailleurs et même les utilisateurs d’extranet.

Le DMVPN propose deux modèles de déploiement possibles :

 Le modèle Hub-and-spoke : chaque spoke possède une interface GRE permettant de
monter le tunnel vers le HUB. Tous trafics entre les Spokes passent par le HUB. Ce
modèle ne prend pas en compte les liaisons entre les spokes.
 Le modèle Spoke-to-Spoke : chaque spoke doit disposer d’une interface mGRE
permettant aux tunnels dynamiques de transiter vers les autres spokes. Ce modèle
prend en compte les liaisons entre différents spokes et offre une grande évolutivité de
la configuration pour les périphériques.

3.4.4 Le VPN GET (Group Encrypted Transport)

C’est le VPN de derrière génération du constructeur Cisco. Dans son architecture, il élimine
la notion de création de tunnels entre les différents sites tout en offrant un nouveau IPsec se
basant sur la confiance des membres du groupe avec des routeurs qui se partagent les mêmes
méthodologies de sécurité.
Serveur
VPN

Routeur
client 1
Routeur
client 3
Routeur
client 2

43
Figure 20.5: Schéma récapitulatif du GET VPN

44

GRE-VPN
 Permet le transport
du trafic multicast
et de routage sur un
VPN IPsec ;
 Prise en charge de
protocoles non IP ;
Avantages  Supporte la QoS.
interopérabilité Plusieurs fournisseurs
Topologie Maillage à petite échelle
Routage Prise en charge
QOS Prise en charge
VPN MESHED (VPN
DMVPN
maillé)
 Fournit un cryptage  Réduction des dépenses d’exploitation
entre les sites ; et d’immobilisation en intégrant la
voix et la vidéo à la sécurité VPN ;
 Supporte la QoS.  Simplification de la communication
de la branche par une connectivité
directe branche à branche pour les
applications telles que la voix sur IP ;
 Réduction de la complexité de
déploiement par la mise en place
d’une configuration simple, réduisant
les difficultés de déploiement des
VPN ;
 Amélioration de la résilience de
l’activité en empêchant les
perturbations et les services critiques.
Le routage se fait avec la technologie
Ipsec.
Plusieurs fournisseurs Routeur Cisco seulement
Hub et spoke ;
Maillage à petite échelle Maillage partiel spoke-a-spoke à la
demande;
Pas prise en charge Prise en charge
Prise en charge Prise en charge
3.4.5 Comparaison des technologies VPN site-à-site
GET-VPN
 Simplifie l'intégration du
cryptage sur les réseaux étendus
WAN IP et multi protocole Label
Switching (MPLS) ;
 Simplifie la gestion du cryptage à
l'aide d'une "clé de groupe" au
lieu de paires de clés point à
point ;
 Permet une connectivité tout-à-
tout évolutive et gérable entre les
sites ;
 Prise en charge de la qualité de
service (QoS), du multicast et du
routage.
Routeur Cisco seulement
Hub et spoke ;Any to any
Prise en charge
Prise en charge
3.4.5.1 Choix Technologique
Suite à ce qui précède, notre choix c’est porté sur le DMVPN pour les raisons suivante :
 Réduction des dépenses d’exploitation et d’immobilisation en permettant l’intégration
de la voix et la vidéo à la sécurité VPN ;
 Simplification de la communication de la branche par une connectivité directe branche
à branche ;
 Réduction de la complexité de déploiement par la mise en place d’une configuration
simple, réduisant les difficultés de déploiement des VPNs ;
 Amélioration de la résilience de l’activité en empêchant les perturbations et les
services critiques. Le routage se fait avec la technologie IPsec.

3.4.5.1.1 Principe de fonctionnement de DMVPN

3.4.5.1.1.1 Tunnels génériques d’encapsulation de routage (GRE)

Le protocole GRE fournit la connectivité avec une grande variété de protocoles de couche
réseau en encapsulant et en transférant ces paquets sur un réseau IP. L’utilisation originale des
tunnels GRE était de fournir un mécanisme de transport pour les protocoles hérités non
routables tels que DECnet, l’architecture de réseau de systèmes (SNA), ou IPX.

Les tunnels GRE ont été utilisés comme une solution de contournement rapide pour les
conceptions de routage incorrect, ou comme une méthode pour passer le trafic à travers un
pare-feu ou une liste de contrôle d’accès. DMVPN utilise l’encapsulation multipoint GRE
(mGRE) et prend en charge les protocoles de routage dynamique, ce qui élimine la plupart des
problèmes de support associés aux autres technologies VPN. Les tunnels GRE sont classés
comme réseau de superposition car ils sont situés au-dessus d’un réseau de transport existant,
également connu sous le nom de réseau sous-jacent.

Des informations d’en tète supplémentaires sont ajoutées au paquet lorsque le routeur
encapsule le paquet pour le tunnel GRE. Les nouvelles informations d’en tête contiennent
l’adresse IP de la destination. Les nouveaux en tête IP permettent au paquet d’être acheminé
entre les deux extrémités du tunnel sans inspection de la charge utile du paquet. Une fois que
le paquet atteint le point de terminaison distant, les en-têtes GRE sont supprimés et le paquet
d’origine sera transféré entre les routeurs du LAN comme indique la figure ci-dessous.

46
3.4.5.1.1.2 Le protocole NHRP (Next Hope Resolution Protocol)
Le protocole de résolution du prochain saut (NHRP) est une extension du mécanisme de
routage ATM ARP qui est parfois utilisé pour améliorer l’efficacité du routage du trafic
informatique sur le réseau NBMA (Non-Broadcast Multiple Access). Il peut être utilisé par un
expéditeur pour déterminer un itinéraire avec le plus petit nombre de sauts à un récepteur.

Ce protocole diffère des protocoles de type ARP ce qui permet l’optimisation du routage sur
plusieurs sous-réseaux IP. NHRP est implémenté au moy en de serveurs de saut suivant dans
les sous-réseaux IP.

NHRP est un protocole client-serveur qui permet aux périphériques de s’enregistrer sur des
réseaux directement connectés. Les serveurs NHRP (Next-Hop Servers) sont chargés
d’enregistrer les adresses ou les réseaux, de maintenir un référentiel NHRP et de répondre aux
requêtes reçues par les clients du prochain saut (NHC). NHC et le NHS sont de nature
transactionnelle.

DMVPN utilise des tunnels GRE multipoint, ce qui nécessite une méthode de mappage entre
les adresses IP du tunnel et l’adresse IP physique. Les Hubs DNVPN (NHC) sont configurés
de manière statique avec l’adresse IP physique, des concentrateurs (NHS) afin qu’ils puissent
enregistrer leur adresse IP du tunnel et de MBMA (transport) avec les hubs (NHS). Lorsqu’un
tunnel de hub à hub est établie, les messages NHRP fournissent les informations nécessaires
pour que les hubs se localisent afin qu’ils puissent construire un tunnel DMVPN de hub à hub.
Les messages NHRP permettent également à un hub de localiser un réseau distant.

3.4.5.1.1.3 Le routage
Le routage [2] est le processus qu’un routeur utilise pour transmettre des paquets vers un
réseau de destination. Un routeur prend des décisions en fonction de l’adresse IP de
destination d’un paquet. Tout le long du chemin, les divers équipements se servent de
l’adresse IP de destination pour orienter le paquet dans la bonne direction afin qu’il arrive à
destination. Pour prendre les bonnes décisions, les routeurs doivent connaître la direction à
prendre jusqu’aux réseaux distants. Il existe deux types de routage à savoir :
 Le routage statique : Le routage statique est le fait de l’administrateur, les routes sont
spécifiées manuellement dans la table de routage ;

47
  Le routage dynamique: Routage effectué à l’aide d’un protocole de routage
dynamique qui remplit la table de routage du routeur et partage ses informations avec
les autres routeurs du réseau. Dans la panoplie des protocoles de routage dynamique,
chacun ayant son propre caractéristique et son propre fonctionnement. Le tableau 2
Explique les différents comportements des protocoles de routage dynamique
lorsqu’ils fonctionnent avec la technologie DMVPN.

Tableau 1: Comportement des protocoles de routage face au DMVPN

Type de Annonce Convergence CPU Scalabilité

topologies des routes
EIGR Hub vers Spoke Bon Rapide Traitement Inférieur
P
Spoke vers Spoke élevé
OSPF Hub vers Spoke meilleur Rapide Traitement Inférieur
Spoke vers Spoke élevé
BGP Hub vers Spoke Bon Très lent Moyen Moyen
Spoke vers Spoke
RIPV2 Hub vers Spoke Médiocre Très lent Faible Élevé
Autres Hub vers Spoke Médiocre Très lent Faible Élevé

3.4.5.1.1.4 Choix du protocole de routage

Nous pouvons constater sur le tableau 2, seul les protocoles OSPF, EIGRP et BGP permettent
de faire du trafic Spoke vers le Spoke et Spoke vers Hub, ce qui ne donne pas la chance aux
autres pour être utilisé pour un réseau maillé complet ou partiel. Comment alors départager
ces trois (3) protocoles ?

La caractéristique la plus notable partagée par l’ensemble de ces protocoles consiste pour un
routeur à diffuser de façon périodique la totalité de sa table de routage sur toutes ses interfaces
qui participent au protocole. Le seul protocole dérogeant à cette règle est EIGRP, protocole
propriétaire de CISCO qui remplace IGRP. En effet, les mises à jour d’EIGRP ne sont ni
diffusées, ni générées de façon périodique pas plus qu’elles ne contiennent l’entièreté de la
table de routage.

3.5 Conclusion

48
 CHAPITRE 6 : IMPLÉMENTATION DE LA SOLUTION
SÉCURISÉE VPN

4.1 Introduction
Ce travail de fin d’étude est une solution de gestion des réseaux VPN en évolution. Après bien
sûr deux chapitres minutieusement traités pour donner une idée précise à ce travail, ce dernier
chapitre est consacré à l’implémentation de la solution pour vérifier le développement fait
dans les précédents chapitres. La simulation sera faite par des moyens matériels et logiciels
d’un ordinateur devant regrouper un certain nombre d’exigences.
Comme dit ci-haut, ce chapitre sera purement pratique pour donner vie à notre étude et celui-
ci sera structuré en regroupant toutes les étapes pour la réalisation de cette étude et c’est dans
le but de permettre aux lecteurs passionnés par l’administration réseau et plus précisément des
réseaux privés virtuels en particulier de se sentir dans le bain du sujet pour une mise en place
ultérieure selon les brèches qu’ils rencontreront dans le présent travail.

4.2 Simulation de la solution

4.2.1 Prérequis matériels

Avant la mise en place d’un projet informatique, il est toujours nécessaire de réunir toutes les
conditions tant matérielles que logicielles pour une avancée sans jambages du projet.

 L’ordinateur doit avoir une mémoire vive ayant au moins une capacité de 4 Gb ;
 L’ordinateur doit avoir un microprocesseur qui supporte l’émulation.

Ceci revient à dire que nous devons éviter les architectures trop robustes si nous ne disposons
pas d’une machine performante ou ayant peu de mémoire.

49
4.2.2 Prérequis logiciels
 Le simulateur Packet Tracer

Le choix du logiciel Packet tracer pour cette mise en place est très pratique pour représenter
une maquette d’un réseau. Packet Tracer sert à reproduire une architecture physique ou
logique complète avant la mise en production.

 IOS Cisco
Ce système d’exploitation Cisco permet de connecter les réseaux et celui-ci doit être
téléchargé chez Cisco selon la série de notre matériel que nous désirons interconnecter et pour
le compte de notre simulation.

4.3 Mise en place de la simulation de la solution

4.3.1 Adressage réseau

Notre topologie réseau d’études donne les détails de toutes les adresses IP des interfaces des
routeurs ainsi que des ordinateurs de simulation afin de comprendre la façon dont
l’acheminement du trafic se procèdera.

Tableau 2: Adressage de la topologie à implémenter

Id Équipement Plan de nommage IP Publique IP tunnel IP LAN

1 R1
2 R2
3 R3

50
[2] Available: http://www.nyuplanet.eu/ccna/semestre4/course/module7/7.2.1.1/7.2.1.1.html

51