Ministère de l’Enseignement Supérieur

Et de la Recherche Scientifique
Centre d’Études et des Métiers
École Supérieure de Management,
De Commerce et d’Informatique
(Sup ‘Management- Tchad)

---------------------------

Mémoire de Fin d’Études

Cycle Supérieur Approfondi

OPTION : INGENERIE RESEAU SECURITE TELECOM (IRST)

Thème :
« ÉTUDE DE MISE EN PLACE D’UNE SOLUTION SÉCURISÉ VPN : CAS DE LA
SONACIM »

Présenté par :

Mme Mastoura Djibrine Tahir

Jury :
Encadreur :
−

Année 2017/2018
DEDICACE

2
REMERCIEMENTS

3
LISTE DES FIGURES

4
LISTE DES TABLEAUX

5
LISTE DES ACRONYMES

6
TABLE DES MATIERES

7
AVANT-PROPOS

8
 CHAPITRE 1 : INTRODUCTION GENERALE

1.1 Contexte
Aujourd’hui sans doute la révolution technologique est une évidence. En effet, elle occupe
de plus en plus une place stratégique au sein des entreprises qui les utilisent le plus souvent
pour partager des informations, et généralement suivant le modèle client-serveur, dans
lequel les stations de travail des employés accèdent à des puissants serveurs distants. Le
besoin d’accès et la disponibilité de l’information à tous les postes des entreprises ont
entrainés l’émergence des réseaux locaux. La multiplication des réseaux locaux entrainera le
besoin d’interconnexion. Un nouveau challenge s’offre aux professionnels de l’informatique,
celui d’interconnecter les réseaux locaux entre eux afin que l’emplacement géographique ne
soit plus un indicap pour l’accès aux informations. C’est donc l’avènement de
l’interconnexion des réseaux locaux dont les technologies filaires en furent les pionniers.

Pendant que l'informatique est devenue pour l'entreprise un outil incontournable de

gestion, d’échange, d’organisation, de partage et de production, les données misent en
œuvre par le système d’information ainsi que les échanges internes et externes et les
données professionnelles stockées sont exposés aux actes des malveillances de différente
nature. La sécurité informatique en entreprise est donc une problématique car les
conséquences sont souvent plus lourdes. Notamment avec l’avènement de l’utilisation
d’internet, les entreprises pour des raisons de communication ou d’échanges d’informations
avec le siège ou une filiale distante s’exposent à des nombreuses menaces potentielles.
SONACIM ne fait pas exception à ces menaces surtout avec sa communauté (fonctionnaires,
responsables…) et ses différents sites.

Pour pallier aux problèmes de sécurité et d'interconnexion, il est donc primordial

d'implémenter des mécanismes et des solutions sûres, assurant la confidentialité et la
sécurité des échanges entre deux ou plusieurs entités à travers le réseau public. Cependant,
il existe plusieurs outils et moyens de sécurités disponibles, tels que les solutions matériels,
logiciels d'audits, les systèmes de détection d'intrusions (IDS), firewalls (pare-feu), l’antivirus,
les réseaux privés virtuels (VPN), etc.

Face à des nombreux problèmes rencontrés par SONACIM pour les échanges de ses
informations, il est donc question de trouver une solution à ces problèmes.

C’est dans ce contexte que s’intègre notre projet de fin d’étude qui consiste à relier les
différents sites de la SONACIM et permettre leur interconnexion d’une manière sécurisée à
travers un réseau d’un opérateur.

1.2 Problématique
Les réseaux informatiques sont de plus en plus répandus et complexe . L’internet est devenu
un outil indispensable et beaucoup utilisé dans des entreprises pour les échanges des
données. La gestion sécuritaire de cette technologie est devenue une préoccupation
majeure pour les entreprises modernes. Ainsi, les entreprises qui utilisent l'internet pour le
partage des informations continuent à rencontrer des difficultés quant à la sécurisation des
données.

9
SONACIM utilise donc les liaisons satellitaires VSAT mais de nombreuses difficultés de
communication et de diffusion de l'information sont rencontrées parmi lesquelles :

- Problème de coût ;
- Problème de lenteur ;
- Problème de sécurisation.

D'où la nécessité d'une intervention faisant appel aux moyens de sécurité informatique, car
lors d'échange des données entre ses différents sites, ces données transitent par le réseau
privé (operateur), ce qui les rendent possible d'être interceptées et rend la communication
vulnérable.

La SONACIM ne dispose pas la nouvelle technologie réseau informatique lui permettant de

partager les données et réunir les informations en temps réel. Le partage des fichiers se fait
traditionnellement en d'autres termes, les données sont collectées dans des clés USB pour
être expédier ou envoyer sur le réseau privé à travers les emails. Ces méthodes non fiables,
lents n’assurent pas la sécurité et occasionnent la perte ou la détérioration de l’information.

Pourquoi ne pas mettre en place un système qui rendra plus fiable et sécurisé le transfert de
ces informations entre les utilisateurs de même site ou de site distant  et à moindre cout?

C’est pour essayer de répondre à cette problématique que nous avons choisi d’étudier le
thème intitulé : « étude de mise en place d’une solution sécurisé VPN ».

Cette solution devrait constituer la boussole des services de transmissions à distance de

l’entreprise, il devient évident que la mise en place d’un tel système serait très judicieuse
pour la pérennité du système d’information de la SONACIM.

1.3 Objectifs de l’étude

1.3.1 Objectif général
L’objectif général de notre projet est la mise en place d’une interconnexion entre deux sites
distants à travers un VPN afin de faciliter les échanges de données et la communication en
toute sécurité au sein de la SONACIM.
L’intérêt majeur de ce projet est de découvrir les différents aspects de la sécurité sur la
transmission des données dans un réseau, à savoir, les Réseaux Privés Virtuels (VPN).

1.3.2 Objectifs spécifiques

Il est donc question ici pour nous de répondre aux attentes de la société en mettant
en place un réseau privé virtuel stable et opérationnel. Ceci nous amènera donc à
étudier différents aspects:

10
 - Le type de VPN le mieux adapté aux besoins de l’entreprise ;
- L’étanchéité du trafic entre les différents réseaux LAN, WAN, utilisateurs ;
- La sécurité des données ;
- Administration centralisée du système ;
- Réduction considérable de consommable tel que papier ;
- Accéder à distants à tout point du globe.

Une fois le réseau installé, nous réaliserons des tests afin de vérifier son bon
fonctionnement.

1.4 Approche méthodologique

Un travail scientifique suit toujours certaines méthodologies bien définies. Dans ce cas nous
nous sommes basés sur les méthodes et techniques

1.5 Organisation de l’étude

1.5.1 Délimitation du travail
Il est humainement impossible de réaliser un travail exhaustif. Ainsi notre travail ne traitera
pas tous les aspects relatifs à la construction des réseaux privés virtuels. Il se limitera à
présenter une architecture dans laquelle nous avons un routeur configuré comme serveur
du réseau et un ou deux autres comme clients. Nous ne parlerons pas non plus de tous les
concepts liés à la cryptographie des informations si ce n’est que utilisé ceux qui seront
étroitement liés à la sécurité.

1.5.2 Subdivision du travail

Hormis l’introduction générale et la conclusion générale, notre travail comprendra quatre
chapitres :

✔ Le deuxième chapitre : Présentation de l’entreprise (SONACIM).

✔ Le troisième chapitre : Théorique et est dédié sur les attaques qui compromettent la
circulation des données sur internet.
✔ Le quatrième chapitre : Présentation du concept du réseau privé virtuel
✔ Le cinquième chapitre : Conception du système
✔ Le sixième chapitre : Destiné à la pratique, d’où l’implémentation de la solution
sécurisé VPN.

11
12
 CHAPITRE 2 : PRÉSENTATION GÉNÉRALE DE L’ORGANISME D’ACCUEIL

2.1 Introduction
Le réseau privé virtuel apparait comme l’un de services les plus populaires du marché des
télécommunications inter-entreprises, et ceci est dû à deux principaux éléments : la
situation du marché et les progrès techniques. De ce fait, sur le marché actuel, les
entreprises se doivent d'étendre leur présence à l'échelle internationale, car la
mondialisation et l’augmentation de la concurrence ont tous deux contribué à la
disparition des frontières nationales. C’est dans cette lignée que SONACIM voudrait
intégrer cette technologie afin de pouvoir sécuriser l’échange de ses information
tant en interne qu’à l’externes avec ses partenaires.

Dans ce chapitre, on va commencer par une brève description de la société d’accueil et présenter
son organigramme. Ensuite, nous allons détailler les limites de la solution dans les autres
chapitres.

2.2 Présentation de la SONACIM

2.2.1 Raison sociale, statut juridique et actionnariat
Créée par l’Assemblée Générale Constitutive du 11 octobre 2011, la Société Nationale de
Ciment Tchad (SONACIM TCHAD) est une entreprise parapublique spécialisée dans la
fabrication et la commercialisation du ciment de norme PC 32,5 et PO 42,5 conforme aux
standards internationaux. Entant que société anonyme, elle est dotée de la personnalité
morale et de l’autonomie financière. Avec conseil d’administration au capital de cinq cent
millions (500 000 000) FCFA repartie en pourcentage respectivement de 92% de la part du
Gouvernement Tchadien et 2% chacune des 04 communes dont la commune de Palan, Léré,
Fianga et Gounou Gaya.

La société a débuté ses activités avec unité de production, situé à Baoré dans le Mayo-Kebbi
Ouest et précisément à Bissi-Keda dans le département du Mayo Dalla (Pala), d’une capacité
annuelle de 200 000 tonnes de ciment. L’entrée en production de cette première cimenterie
du pays a marqué un tournant décisif dans la stratégie pour la diversification de l’économie
et l’amélioration de l’habitat au Tchad. Son siège social est à N’Djamena.
2.2.2 Activités
Les principales activités menées par la SONACIM se résument comme suit :
● Les achats et stocks des matières premières ;
● La production de ciment ;
● Les stocks des produits fabriqués ; 
● La vente de ciment.

13
2.2.3 Missions
La SONACIM a pour mission d’accompagner le gouvernement dans sa politique de l’habitat
et des infrastructures. Contribuer au développement économique, réaliser les études et
recherches en rapport avec ses activités.

Cependant, la SONACIM ne parvient pas à couvrir de manière adéquate les besoins de la

population tchadienne. Elle a pour mission :
● La prospection, la recherche, le développement, et la vente du ciment ;
● La réalisation des études additionnelles en rapport avec ses activités ;
● La formation et la promotion de son personnel nécessaire à la maîtrise de tous les
aspects du secteur cimenterie.

Pour un succès de sa mission, la SONACIM s'est dotée d'une structure cohérente et adaptée.
Tout en faisant une relecture de son organigramme en juillet 2016 avec pour conséquence la
modification de son organisation. Le nouvel organigramme a pris effet le 15 Aout 2017.

2.2.4 Organigramme de la SONACIM

L’organisation structurelle de la SONACIM est perceptible à travers son organigramme qui
présente schématiquement les liens hiérarchiques des différents services et leurs relations.

14
 Figure 1.2: Organigramme général de la SONACIM

2.3 Déroulement du stage

Durant notre stage de deux mois, nous avons eu l’opportunité d’identifier le besoin de la
société (SONACIM). C’est ce qui nous a permis de proposer une solution qui fait l’objet
de notre étude.

Ainsi, notre projet s’articule sur deux grands axes, le premier caractérisé par la recherche à
l’unification du réseau des données et avec celle de la voix, puis le deuxième axe dans
lequel nous abordons les différentes solutions de la communication unifiée afin de
choisir et mettre en œuvre le scénario le mieux adapté au réseau de la SONACIM.

Afin d’élucider notre problématique et de répondre aux objectifs annoncés plus haut, nous
nous sommes fixés avec nos encadreurs le planning de travail ci-après :

⮚ Définition de la problématique et spécification des besoins de la SONACIM liés à

l’optimisation des dépenses ;
⮚ Présentation des différentes solutions de la communication unifiée, et proposition
d’une solution finale en vue d’une implémentation.

Il faut signaler que la solution choisie concerne uniquement le réseau propre à la SONACIM,
et elle doit prendre en compte :

⮚ L’architecture du réseau existant et protocoles utilisés ;

⮚ Les exigences en termes de matériel nécessaire pour la réalisation (minimiser le
facteur coût) ;
⮚ La simplicité et l’évolutivité.

15
2.3.1 Spécification des besoins
L’entreprise « SONACIM » inclue deux sites distants notamment le siège de la société et
l’usine distant, en conséquent cela exige la mise en œuvre de dispositifs afin de faire face
aux problèmes suivants :
⮚ Absence d’interconnexion entre les deux sites ;
⮚ La difficulté d’accès au stock distant peut impacter sur le chiffre d’affaire, et la bonne
gestion des clients ;

2.4 Étude de l'existant

Dans cette partie, nous présenterions l’architecture du réseau existant des différents sites de
la SONACIM et nous décrivons les outils utilisés.

Ce chapitre est très important car une bonne connaissance de l’existant réseau informatique
au niveau de la SONACIM, permettra de choisir une bonne solution de réseaux locaux de
deux sites et de faire une interconnexion.

Aussi, l’occasion sera donnée pour porter des critiques sur le réseau informatique de la
SONACIM et de proposer des solutions pour une meilleure qualité de service.

2.4.1 Architecture réseau (SONACIM)

SONACIM dispose de deux réseaux locaux et leur architecture réseau est basée sur le mode
de communication Client-serveur. Les serveurs sont chargés de fournir des services aux
différents postes clients de l’entreprise.

Les deux réseaux sont constitués de plusieurs équipements dont :

● Modem VSAT Evolution X3 iDirect ;
● Deux routeurs de marque Mikrotik ;
● Deux Switches Cisco Catalyst 2950 24 ports et D-LINK DES-1024D;
● Access Point TP-Link ;
● Deux serveurs HP ProLiant DL380 et HP Compaq 500B MT ;
● Quinze (15) Imprimantes HP, Canon, Epson ;
● Quarante (40) Ordinateurs Portable et Bureau, HP, Toshiba, Dell, Lenovo.

De manière globale, l’architecture du réseau de la SONACIM se présente comme suit :

16
 Figure 2.2: Architecture réseau SONACIM

SONACIM utilise un réseau en étoile dans lequel tous les bureaux sont raccordés à un même
bureau (service informatique) à l’aide d’un système matériel appelé Switch qui est relié au
modem routeur Mikrotik pour l'accès à internet.

Chaque site est composé d'une technologie LAN, un réseau Ethernet câblé selon une norme
avec pour support la paire torsadée blindée (UTP) de catégorie 5e et 6e.
L'environnement serveur est assuré par de serveurs jouant le rôle de sauvegarde des
données.

2.5 Critique de l’existant

2.5.1 Points forts du système
Le système existant possède des atouts basés sur l’entreprise. Cette organisation tient sa
force des caractéristiques suivantes :
⮚ Tous les deux sites de la SONACIM sont dotés d’une connexion internet ;
⮚ Réseau local de chaque site opérationnel ;
⮚ Contrôleur de domaine déjà fonctionnel.

2.5.2 Points faibles du système

Le système quoique opérationnel, n’est pas sans failles. Ainsi nous avons présenté plusieurs
problèmes parmi lesquelles on peut citer :

17
 ⮚ Données non centralisée stockées sur des supports analogiques;
⮚ Difficulté relatives à la confidentialité des informations échangées entre les sites;
⮚ Données échangées de façon manuelle ;
⮚ Pas de sécurité logicielle pour les réseaux existants (filtrage, authentification) ;
⮚ Séparation entre les services, absence d’intégration et de communication entre les
ressources et services informatiques ;
⮚ Evolution technologiques en domaine de communication non exploité.

Ces différentes insuffisances créent une baisse de productivité (certains agents sont obligés
de se déplacer de bureau en bureau pour transmettre des informations et certains
responsables sont obligés de se déplacer et d’être physiquement présents à chaque
réunion de travail).

2.6 Solution proposée

Nous essayons dans la mesure du possible d'envisager une politique optimale de partage des
informations afin que l'échange des ressources ne pose plus de problème au sein de la
SONACIM.

Nous définissons également des exigences qui permettront de mettre en place une solution
réseau économique, efficace et à moindre coût.

En vue de remédier toujours aux inquiétudes soulevées au travers la question posée dans la
partie précédente, nous allons mettre en place un VPN site à site, pour interconnecter les
sites distant de l'entreprise.

2.7 Conclusion
Ce chapitre nous a permis d’avoir une idée générale de la SONACIM, de son réseau
informatique tout en mettant en lumière les limites de ses réseaux actuels d’une part et
d’appréhender ses besoins relativement au projet d’autre part.

Notre mission s’intéresse de manière générale à améliorer la productivité des collaborateurs

en leur proposant un système complet plus efficace de contrôle, de gestion, d'intégration et
d'utilisation au quotidien de plusieurs formes de communications.

Ainsi, dans le chapitre qui suit nous verrons les différentes attaques qui compromettent la
circulation des données sur internet.

18
19
1 CHAPITRE 3: LES ATTAQUES QUI COMPROMETTENT LA
CIRCULATION DES DONNEES SUR INTERNET

3.1 Introduction
Les attaques qui compromettent la circulation des données sur internet sont si nombreuses
qu’il serait illusoire de prétendre toutes les décrire. Mais néanmoins, il serait
intéressent d’appréhender celles qui sont les plus couramment exploitées par les
pirates afin de mieux cerner leur mode de fonctionnement pour mieux définir une
politique de sécurité à adopter.

3.2 Les différentes attaques sur internet

Les attaques contre la circulation des données sur internet font partie des attaques
intentionnelles et reposent plus précisément sur les faiblesses des mécanismes
d’authentification, de la confidentialité et de l’intégrité. La majorité des protocoles
réseaux n’ont prévu aucun véritable mécanisme d’authentification et subissent
cependant des attaques qui s’appuient sur les faiblesses de cette dernière. Ces
attaques sont par exemple des attaques de type spoofing (usurpation d’identité), man-
in-the-middle (l’homme du milieu), sniffing (Attaques permettant d’écouter le trafic
réseau) et l’Attaque par rejeux etc.….

3.2.1 L’attaque de type l’homme du milieu ou Man-in-the-middle

Un pirate peut disposer de plusieurs méthodes connues pour s’interfacer entre deux
éléments d’un réseau. En effet, cette attaque consiste à faire transiter les échanges
réseaux entre deux entités à travers une troisième qui est sous le contrôle d’un pirate.
Ce dernier peut manipuler ces données à sa guise, tout en dissimulant entièrement à
chaque acteur de l’échange la réalité de son interlocuteur. Pour que cette attaque
puisse être mise en œuvre, il faut que, soit la machine du pirate se trouve
physiquement dans le chemin réseau emprunté par les flux de données ou soit le
pirate réussisse à modifier le chemin réseau afin que sa machine devienne un des
points de passage. Ainsi par exemple un attaquant peut se faire passer pour le serveur
vis à vis d’un client et se faire passer pour un client vis à vis d’un serveur, car son but

20
 étant de tracer l’authentification afin de récupérer les clés de session et de déchiffrer
les données échangées.

Figure 3.3: L'attaque de type man-in-the-middle

3.2.2 Attaques permettant d’écouter le trafic réseau (sniffing)

Ces attaques sont souvent utilisées par les pirates pour capturer les mots de passe. En effet,
lorsqu’on se connecte à un réseau utilisant le mode broadcaste, toutes les cartes
réseaux connectées à ce réseau reçoivent les données en transite sur ce dernier, mais
seule la machine concernée peut lire les trames en temps normal. Cependant, grâce à
un « sniffer », il est possible d’intercepter les trames reçues par la carte réseau d’un
système pirate et qui ne lui sont pas destinées afin de tenter d’en déduire les clés de
session et de pouvoir ainsi déchiffrer les flux.

21
 Figure 4.3: L’attaque de type sniffing

3.2.3 Attaque par rejeux

Un pirate peut simplement "sniffer" le réseau comme dans l’attaque vue précédemment,
et après que le dialogue entre les deux parties soit terminé, il réémet les paquets
capturés vers le serveur afin de se faire passer pour le client sans pour autant
connaître les clés de session. Cela lui permet de rejouer une ancienne transaction et
de s’authentifier au près du serveur comme s’il était le client.

3.2.4 Attaque IP Spoofing

Ce type d’attaque consiste à l’usurpation d’adresse IP, ainsi un pirate peut par exemple
essayer de se faire passer pour un client au près d’un serveur. Pour cela, le pirate va
essayer de prévoir le numéro de séquence des paquets du serveur cible en envoyant
plusieurs paquets et en analysant l’algorithme d’incrémentation de ce numéro ; il va
ensuite rendre inopérante la machine autorisée à accéder au serveur cible, de façon à
s’assurer qu’elle ne répond pas à ce dernier. Le pirate falsifie son adresse IP en la
remplaçant par celle de la machine invalidée et profite pour envoyer une demande de
connexion au serveur cible. Ainsi les données en transit vers les services métiers
pourraient être détournées et corrompues.

Figure 5.3: L’attaque par usurpation d’identité

22
3.3 Mise en place d’une politique de sécurité
Une mise en place d’une politique de sécurité complète est préalablement difficile à
élaborer due à la diversité des aspects à considérer. En effet, une politique de sécurité
peut se définir par un certain nombre de caractéristiques à savoir : les niveaux où elle
intervient, les objectifs de cette politique et enfin les outils utilisés pour assurer cette
sécurité.

Chaque aspect doit être pris en compte de manière à atteindre les objectifs de sécurité
voulus, en utilisant de façon coordonnée les différents outils à disposition.

3.3.1 Différents aspects de la sécurité

Une politique de sécurité s’élabore à plusieurs niveaux à savoir :

⮚ La sécurisation de l’accès aux données de façon logicielle (authentification, contrôle

d’intégrité….).
⮚ La sécurisation de l’accès physique aux données i.e. les serveurs doivent être placés
dans des salles blindées (qui empêchent les ondes électromagnétiques d’être captées)
avec badge d’accès…
⮚ La sécurisation des données en sensibilisant les utilisateurs aux notions de sécurité, de
façon à limiter les comportements à risque.
⮚ La responsabilité du responsable de sécurité informatique de s’informer
constamment, des nouvelles attaques du jours, des outils et des méthodes disponibles
de manière à pouvoir maintenir son système de sécurité à jour et à combler les brèches
de sécurité qui pourraient exister.

3.3.2 Objectifs
Les objectifs d’une politique de sécurité reposent sur les impératifs qui peuvent être définis
à plusieurs niveaux:

⮚ Disponibilité : les données doivent rester accessibles aux utilisateurs à tout moment et
à tout instant.
⮚ Confidentialité : les données ne doivent être visibles que par des personnes ayant
droit.
⮚ Intégrité : on doit pouvoir s’assurer que les données protégées n’ont pas été altérées
par un individu non autorisée.
⮚ Non répudiation : lorsqu’un fichier a subi des modifications, il faut pouvoir certifier

23
 la personne qui l’a modifié, et cette dernière ne doit pas le nier.

3.3.3 Les outils contribuant à la protection des données

De nos jours, il y a différents outils disponibles pour garantir une bonne protection des
données en interne qu’à l’externe d’une structure. Cependant, ils sont parfois utilisés
ensemble, de façon à sécuriser les différentes failles existantes dans un système, et
parmi ces outils on a :

⮚ Le firewall qui permet de filtrer le trafic réseau entrant ;

⮚ L’antivirus qui est utilisé sur des différentes machines dans un réseau afin de
vérifier si des virus ont pu se propager ;
⮚ Le système de détection d’intrusion et de prévention utilisés pour limiter les
attaques sur les réseaux.
⮚ Les VPN (Virtual Private Network) qui sont de plus en plus utilisés pour
transporter les données entre deux points à travers l’internet, car ils permettent un
cryptage de données qui transitent sur ce dernier.

3.4 Conclusion
En somme, les attaques contre la circulation des données sur internet reposent sur un
ensemble de faiblesses de sécurité touchant différents niveaux tels que
l’authentification, l’intégrité et la confidentialité. En effet ces attaques sont de plus en
plus fréquentes et peuvent impacter de manière directe ou indirecte les infrastructures
réseaux aussi bien pour des entreprises que pour des particuliers. Cependant, la
politique de sécurité permet de prévenir ou de s’en franchir de ces attaques, et il faut
également noter qu’aujourd’hui, la sécurité contre les attaques à distance se renforce
de plus en plus contrairement à la sécurité interne.

Ainsi, relativement au besoin de la SONACIM, le VPN apparait comme l’outil le mieux adapté.
Dans le chapitre suivant, le concept du réseau privé virtuel sera décrit dans sa globalité, des
architectures et solutions VPN seront proposées à fin de déboucher sur un choix qui
répondra au besoin de SONACIM.

24
 CHAPITRE 4 : PRESENTATION DU CONCEPT DU RESEAU PRIVE VIRTUEL

3.5 Introduction
Un Réseau Privé Virtuel (anglais : Virtual Private Network, VPN) est un moyen de
communication assurant la sécurité des transferts de données à travers l’internet entre
des entreprises ou des organisations et leurs filiales ou leurs utilisateurs d’une part, et
des entreprises et leurs clients d’autre part1. Ce concept moins coûteux qu’une liaison
spécialisée procure un niveau de sécurité (chiffrement, intégrité, confidentialité….) le
plus élevé possible. Il repose sur des protocoles appelés communément "protocoles de
tunneling", ces derniers font abstraction des distances entre les deux bouts du tunnel
en donnant l'impression aux utilisateurs ou aux clients de se connecter directement sur
le réseau local l’hôte. Il est très facile aux entreprises de tirer parti de l'infrastructure
Internet du VPN pour ajouter rapidement de nouveaux sites ou utilisateurs. Il est
également possible d'étendre de manière significative la portée du VPN sans étendre
énormément l'infrastructure. Mais il faut néanmoins noter que la qualité de service ne
dépend que de l’état de la toile.

3.6 Principe de fonctionnement

Le réseau VPN repose sur un principe de tunneling qui regroupe sur un ensemble de
protocoles permettant d’édifier un chemin virtuel après avoir identifié l'émetteur et le
récepteur, ainsi la source peut éventuellement chiffrer les données et les acheminer en
empruntant ce chemin virtuel. De ce fait, les flux de données traversant le réseau VPN
sont protégés contre tout accès aux non ayant droit. Ainsi, il est à rappeler que le
tunneling est un processus qui permet l’encapsulation d’un paquet à l’intérieur d’un
autre paquet afin de résoudre les problèmes de protocoles incompatibles.

Ces processus de tunneling reposent sur une certaine catégorie de protocoles appropriés
qui sont entre autres le protocole PPTP (Point-to-Point tunneling Protocol), le
protocole L2F (Layer 2 Forwarding), le protocole L2TP (Layer 2 Tunneling Protocol) et le
protocole IPsec (IP Security), tous ces protocoles sont repartis suivant les différentes
couches du modèle OSI (voir Figure 6.4).
1 http://www.cisco.com/web/FR/solutions/fr/vpn/index.html

25
 Figure 6.4: Schéma récapitulatif du protocole de tunneling

3.7 Les différents types du réseau privé virtuel (RPV ou VPN)

Ce concept de réseau privé virtuel permet de définir deux types de VPN à savoir le VPN site-
to-site qui permet l’interconnexion des intranets et des extranets d’une part ; et le
VPN d’accès distant qui permet l’interconnexion d’un utilisateur itinérant à son
intranet ou à un extranet d’autre part.

3.7.1 Le VPN site-to-site

C’est une alternative aux réseaux étendus à relais de trames ou liaison spécialisée, il
permet aux entreprises d'étendre les ressources réseaux aux succursales (l’intranet
VPN) et aux sites de leurs partenaires (extranet VPN).

3.7.1.1 L'intranet VPN

Ce type de VPN permet d’interconnecter au moins deux réseaux internes distants d’une
même entreprise (par exemple les réseaux de plusieurs filiales). Il est à noter que sans
VPN, les entreprises seraient forcées d’utiliser des lignes dédiées (lignes louées) entre
leurs filiales, et ce procédé est cependant très onéreux surtout lorsqu’il s’agit de lignes
internationales. En effet, avec les VPN ces mêmes communications peuvent passer à
travers l’internet à un cout bien moindre sans souci de confidentialité ou d’intégrité de
transferts.

26
 Figure 7.4: Schéma représentatif de l’intranet VPN

3.7.1.2 L'extranet VPN

Ce type de VPN permet aux grandes entreprises de communiquer avec leurs clients ou leurs
partenaires stratégiques et d’ouvrir leur réseau local sur certains de leur service afin
d’assurer l’interopérabilité avec les diverses solutions que les partenaires peuvent
implémenter. Dans ce cadre, il est fondamental que l'administrateur du VPN puisse tracer les
clients sur le réseau et gérer les droits de chacun sur celui-ci. Tous les sites « e-commerce »
ainsi que certaines banques offrent ce type de connexion sécurisée à leurs clients.

Figure 8.4: Schéma représentatif de l’extranet VPN

27
3.7.2 Le VPN d’accès
C’est une solution incontournable qui permet aux ayants droit itinérants d’accéder au réseau
privé distant en se servant d’une connexion internet pour établir la connexion VPN sans pour
autant compromettre leur politique de sécurité. De ce type de VPN, on distingue deux
méthodes distinctes :

⮚ La première méthode permet à l’utilisateur de passer par un fournisseur d’accès pour

établir une connexion cryptée vers le serveur distant dont il veut accéder, mais la
demande de connexion par l’utilisateur vers son fournisseur d’accès n’est pas cryptée
et cela peut poser des problèmes de sécurité. Et l’avantage de cette méthode est qu’elle
permet à un utilisateur de pouvoir communiquer sur plusieurs réseaux tout en créant
plusieurs tunnels, et ceci nécessite que le fournisseur d’accès propose un NAS
(Network Access Server) compatible avec la solution VPN choisie par l’entreprise.

Figure 9.4: Schéma representatif-1 du VPN d’accès distant

⮚ La seconde méthode quant à elle, exige que l'utilisateur ait son propre logiciel
client (VPN client) sur son ordinateur pour établir une connexion VPN vers le réseau
de l’entreprise. Il est à noter que dans cette seconde méthode, l'intégralité des
informations sera cryptée dès l'établissement de la connexion.

28
 Figure 10.4: Schéma representatif-2 du VPN d’accès distant

Il est à rappeler que quelle que soit la méthode de connexion choisie, ce type d'utilisation
montre bien l'importance dans le VPN d'avoir une authentification forte des utilisateurs.
Cette authentification peut se faire par une vérification "login /mot de passe", par un
algorithme dit "Tokens sécurisés" (utilisation de mots de passe aléatoires) ou par certificats
numériques. Mise part cela, certaines entreprises implémentent des VPN à base de SSL
(voir 4.4.2.1) que nous verrons dans la suite du document.

3.7.3 Les caractéristiques fondamentales d'un réseau VPN

Le réseau VPN est un réseau de communication basé sur les principales caractéristiques
suivantes :
⮚ Authentification d'utilisateur
Seuls les utilisateurs autorisés doivent pouvoir s'identifier sur le réseau virtuel. De plus, un
historique des connexions et des actions effectuées sur le réseau doit être conservé.

⮚ Gestion d'adresses
Chaque client sur le réseau doit avoir une adresse privée. Cette adresse privée doit rester
confidentielle. Un nouveau client doit pouvoir se connecter facilement au réseau et recevoir
une adresse.

⮚ Cryptage des données

Lors de leurs transports sur le réseau public, les données doivent être protégées par un
cryptage efficace.

⮚ Gestion de clés
Les clés de cryptage pour le client et le serveur doivent pouvoir être générées et
régénérées.

⮚ Prise en charge multi-protocoles

La solution VPN doit supporter les protocoles les plus utilisés sur les réseaux publics en
particulier IP.

3.8 Protocoles de « tunneling » utilisés pour réaliser une connexion VPN

Dans le concept VPN, il existe deux catégories de protocoles qui sont entre autre les
protocoles nécessitant souvent du matériel particulier et les protocoles ne nécessitant
qu'une couche logicielle.

29
3.8.1 Les protocoles nécessitant souvent du matériel particulier
3.8.1.1 Le protocole PPP (Point to Point Protocol)
Défini dans les normes RFC 1661 et 2153, ce protocole n’est pas en réalité un protocole
permettant l’établissement d’un VPN mais il est très souvent utilisé pour transférer les
informations au travers d’un VPN. Il est à noter que c’est un protocole synchrone et
asynchrone qui utilise HDLC (High-Level Data Link Control) comme base d’encapsulation et
un Frame Check Sequence (FCS) HDLC pour la détection des erreurs tout en garantissant
l’ordre d’arrivée des paquets. Il est aussi full duplex, et permet également le multiplexage
simultané de plusieurs protocoles de niveau 3 du modèle OSI (i.e. encapsulations des
paquets IP, IPX et NetBEUI, … dans des trames PPP). Traditionnellement, le protocole PPP
était employé entre un client d'accès à distance et un serveur d'accès réseau sur une liaison
RTC (Réseau Téléphonique Commuté) via des modems. Le protocole PPP présentement
désuet, est remplacé par des protocoles (PPTP, L2F, L2TP...), offrant une meilleure
garantie de sécurité, mais il est à mentionner que dans tous les cas, ces protocoles de
couche 2 dépendent des fonctionnalités spécifiées pour PPP.

3.8.1.2 Le protocole L2F (Layer 2 Forwarding Protocol)

Défini dans la norme RFC 2341, développé par Cisco, Northern Telecom et Shiva, le protocole
L2F est un protocole de niveau 2 (liaison des données) qui aujourd’hui quasi-obsolète, il
permet à un serveur d’accès distant de véhiculer le trafic sur PPP et transférer ces données
jusqu’à un serveur L2F (routeur ….). Ce serveur L2F désencapsule les paquets et les envoie
sur le réseau.

3.8.1.2.1 Fonctionnement
Il faut noter que contrairement à PPTP et L2TP, L2F n’a pas besoin du logiciel VPN client.
Cependant le fonctionnement d’une communication basée sur le protocole L2F s’appuie sur
la:

⮚ Création d’un tunnel L2F entre l’ISP et le serveur d’accès distant;

⮚ Connexion PPP entre le client et l’ISP que celui-ci fait suivre au serveur d’accès
distant via le tunnel L2F.

Ce protocole est le plus souvent utilisé dans les solutions VPN d’accès (voir 4.3.2), mais il est
progressivement remplacé par L2TP (voir 4.4.1.4) qui est plus souple.

30
 Figure 11.4: Schéma de VPN d’accès distant fonctionnant sur L2F

3.8.1.3 Le protocole PPTP (Point to Point Transfert Protocol)

Conçu par Microsoft et Définit dans la norme RFC 2637, le protocole PPTP est un protocole
de niveau 2 utilisant le port TCP 1723, il est nativement intégré dans les systèmes
d’exploitation Windows et son principe est d’encapsuler des trames PPP (Point to Point
Protocol)2 dans un paquet IP. Cela permet de relier deux réseaux par une connexion
point-à-point virtuelle acheminée par une connexion IP sur internet et faisant croire
aux deux réseaux qu'ils sont reliés par une ligne directe. Pour ce protocole, la
compression de bout en bout peut être réalisée par MPPC (Microsoft Point to Point
Compression), l'authentification se fait grâce au protocole MsChap (1 ou 2) de
Microsoft ou le protocole PAP (Password Authentification Protocol), et enfin le
chiffrement des données s'effectue grâce au protocole MPPE (Microsoft Point-to-Point
Encryption). C’est une solution très employée dans les produits VPN commerciaux à
cause de son incorporation dans les systèmes d'exploitation Windows.

Figure 12.4: Schéma récapitulatif du tunnel PPTP

3.8.1.3.1 Fonctionnement
Lors de l'établissement d’une connexion VPN, le client effectue d’abord en premier
lieu une connexion avec son fournisseur d'accès internet. Cette première connexion
permet d’établir une connexion de type PPP et de faire circuler des données sur
internet. Après ceci, une deuxième connexion dial-up est établie, et c’est cette

2 https://fr.wikipedia.org/wiki/Point-to-Point_Protocol

31
 dernière connexion qui permet l’encapsulation des paquets PPP dans des
datagrammes IP et formant ainsi le tunnel PPTP. Il est à mentionner que tout trafic
client conçu pour Internet emprunte la connexion normale, par contre le trafic conçu
pour le réseau privé distant passe par la connexion virtuelle de PPTP.

3.8.1.4 Le protocole L2TP

Définit par la norme RFC 2661, le protocole L2TP est un protocole de niveau deux (2)
utilisant le port UDP 1701 comme port source et destination ; ce protocole est sans
conteste l'une des pierres angulaires des réseaux privés virtuels d'accès distant3, il est

issu de la convergence du protocole PPTP de Microsoft et du Protocole L2F de Cisco.

Figure 13.4: Schéma récapitulatif du tunnel L2TP

3.8.1.4.1 Fonctionnement
Le protocole L2TP utilise les avantages du protocole de communication PPP pour prolonger
un accès réseau vers un site distant à travers un tunnel4.
Les éléments sur les deux côtés du tunnel sont composés d'un concentrateur d’accès ou
LAC (L2TP Access Concentrator) qui peut être intégré à la structure d'un réseau
commuté comme le réseau téléphonique commuté (RTC) ou encore associé à un
système d'extrémité PPP prenant en charge le protocole L2TP; et d'un serveur du
réseau distant LNS (L2TP Network Server) fonctionnant sur toute plateforme prenant
en charge la terminaison PPP. Le LAC termine la connexion physique du PPP au point
de présence (Point Of Presence ou POP) d'un ISP et établit une session virtuelle PPP à
travers le tunnel vers le LNS. En effet, Il faut noter que le protocole L2TP peut gérer

3http://csrc.nist.gov/publications/drafts/SP800-113/Draft-SP800-113.pdf
4 www.frameip.com/l2tp-pppoe-ppp-ethernet/index.html

32
 plusieurs tunnels simultanément. Cependant il est à rappeler que par manque de
confidentialité (i.e. pas de chiffrement des données) que procure le L2TP, il est
souvent conseillé de l’utiliser conjointement avec le protocole IPsec (Internet Protocol
security) car le protocole L2TP peut assurer la compression des trames PPP à l'aide du
mécanisme MPPC (Microsoft Point-to-Point Compression) mais pas leur cryptage, et de
même la liaison entre le LAC et le client n’est pas sécurisée.

Figure 14.4: Schéma de VPN d’accès distant fonctionnant sur L2TF

3.8.1.5 Le protocole IPsec

Définit par la norme RFC 2401, le protocole IPsec est un protocole qui désigne un ensemble
de mécanismes destinés à sécuriser l'échange de données à travers internet. En effet,
le protocole IPsec est un protocole de protection des données sur internet commun à
Ipv4 et Ipv6, de ce fait le matériel impliqué dans les VPN site to site sont les passerelles
de sécurités des différents réseaux (routeurs, boitiers dédiés….), leur configuration
nécessite l'installation et la configuration d'IPsec sur chacun de ces équipements afin
de protéger les échanges de données entre les différents sites. Par contre pour des
connexions nomades (employés itinérants…), le matériel impliqué est la porte d'entrée
du réseau (serveur d'accès distants, liaison internet…) et les machines utilisées par les
employés (ordinateur portable). Ces mécanismes de sécurité communément désignés
par le terme IPsec et qui viennent s’ajouter au traitement IP classique, reposent d’une
part sur le protocole AH (Authentication Header) qui vise à garantir l'intégrité et
l'authenticité des datagrammes IP, et d’autre part sur ESP (Encapsulating Security
Payload) qui permet l’encapsulation des données et cryptage des données.

33
Bien qu'indépendants, ces deux mécanismes sont souvent utilisés conjointement ; à ces
derniers vient s’ajouter le protocole IKE (Internet Key Exchange) qui permet de gérer
les échanges des clés ou les associations entre protocoles de sécurité.

3.8.1.5.1 Authentication Header (AH)

Décrit par la norme RFC 2402, le protocole AH est conçu pour assurer l’intégrité et
l’authentification des datagrammes IP sans chiffrement des données (i.e. sans
confidentialité). Le principe d’AH est d’adjoindre au datagramme IP classique un champ
supplémentaire permettant à la réception de vérifier l’authenticité des données
incluses dans le datagramme. Il est à noter que l’utilisation du protocole AH interdit
l’utilisation des mécanismes de translation d’adresses. En effet, le contenu de la trame
n’étant pas chiffré, le protocole AH ajoute une signature numérique au paquet IP
sortant (un mécanisme de translation d’adresses réécrivant l’adresse source fausse
systématiquement le calcul de vérification de la signature numérique effectuée à
l’autre bout du tunnel VPN).

Figure 15.4: Tunnel IPsec utilisant le protocole AH

34
3.8.1.5.2 Encapsulating Security Payload (ESP)
Ce protocole a pour premier rôle de garantir la confidentialité, mais peut aussi assurer
l’authenticité des données ; son principe est de générer à partir d’un datagramme IP
classique, un nouveau datagramme dans lequel les données et éventuellement l’entête
original sont chiffrés (utilisant les algorithmes AES, 3DES, DES..).

Figure 16.4: Tunnel IPsec utilisant le protocole ESP

3.8.1.5.3 IKE (Internet Key Exchange)

Utilisant le port UDP 500, le protocole IKE est un mécanisme d’échange des clefs, qui
intervient une fois qu’IPsec ait déjà bien définit la politique de sécurité avec le choix
des algorithmes utilisés et leur portée. De ce fait, on peut mettre en œuvre
l’authentification soit en supposant que les deux extrémités se partagent déjà un
secret pour la génération de clés de sessions, soit en utilisant des certificats et des
signatures numériques RSA. Les machines ou les entités passerelles traitent
ensuite les données avec la politique de sécurité associée.

3.8.1.5.4 Les deux modes de fonctionnement d’IPsec

3.8.1.5.4.1 Le mode transport

Ce mode prend un flux de niveau transport (couche de niveau 4 du modèle OSI) et réalise
les mécanismes de signature et de chiffrement puis transmet les données à la couche
IP. Dans ce mode, l'insertion de la couche IPsec est transparente entre TCP et IP. Le
protocole TCP envoie ses données vers IPsec comme s’il les envoie vers IPv4.

35
L'intérêt de ce mode réside dans une relative facilité de mise en œuvre. Par contre son
inconvénient réside dans le fait que l'en-tête extérieur est produit par la couche IP
c'est-à-dire sans masquage d'adresse (voir 4.4.1.5.1.) ; de plus, le fait de terminer
les traitements par la couche IP ne permet pas de garantir la non-utilisation des
options IP potentiellement dangereuses.

Figure 17.4: Schéma récapitulatif d’IPsec en mode transport

3.8.1.5.4.2 Le mode tunnel

Dans ce mode, les données envoyées par l'application traversent la pile de protocoles
jusqu'à la couche IP incluse, puis sont envoyées vers le module IPsec dont
l’encapsulation en mode tunnel permet le masquage d'adresses (Il est à noter que le
mode tunnel est utilisé entre deux passerelles de sécurité (routeur, firewall, ...) alors
que le mode transport se situe entre deux hôtes.

Figure 18.4: Schéma récapitulatif d’IPsec en monde tunnel

3.8.2 Les protocoles ne nécessitant qu'une couche logicielle

3.8.2.1 Le protocole SSL VPN
Le protocole SSL (Secure Socket Layer) permet la transmission de données chiffrées.
C'est un protocole de niveau 4 du modèle OSI et a été créé par Netscape. Cette technologie
est acceptée par les navigateurs, mais aussi par les serveurs. Un organisme est chargé
de mettre en place des certificats de confiance pour tous les sites qui utilisent le
protocole SSL, dans le but de bien identifier un site et l'organisme qui le gère.

36
3.9 CONCLUSION
À travers ce chapitre, on a pu cerner tout ce qui concerne les VPN du point de vue
catégories des VPN existantes, types des VPN, leur fonctionnement (les protocoles
utilisés). De ce fait, certaines solutions perdurent uniquement par la facilité de leur
mise en place (VPN accès distant), par contre d’autres solutions nécessitent des
implémentations à grande échelles (VPN site to site).
Dans le chapitre qui suit, nous présenterons les différentes architectures et solutions VPN
proposées par le constructeurs Cisco et en fin déboucher sur un choix qui répondra au
besoin de la SONACIM.

37
 CHAPITRE 5 : CONCEPTION DU SYSTÈME

3.10 Introduction
Un système étant un ensemble des composants solidement agencés pour la réalisation d’un
but précis. La configuration de chaque composante devra être soigneusement optimisée
pour créer un système qui répond aux objectifs ultimes pour lesquels il a été conçu.
Ainsi, la tâche de concevoir un système commence par une étude approfondie des
fonctions requises. Et la forme découlera de toutes ces exigences.

3.11 Conception générale

Dans l’ensemble des besoins qui se sont posés, il est impératif dans ce travail de mettre en
place une solution de gestion du réseau logique qui devra combiner la réduction du coût
dans la gestion de la bande passante, la stabilité et par-dessus, tout en offrant une
évolutivité facile du réseau VPN.

De manière générale, l’architecture de notre topologie est constitué des types de routeurs,
Hub ou concentrateur du réseau qui est le routeur coordonnant toutes les échanges du
réseau ainsi que des routeurs clients ou Spokes. Les routeurs du réseau VPN sont reliés par
deux catégories des tunnels.

Nous pouvons également constater qu’il y’a conceptuellement deux catégories de tunnels :

- Un tunnel statique : c’est une liaison permanente entre le routeur serveur avec le
routeur client. Il permet de maintenir la communication permanente entre les deux
types de routeurs et ainsi permettre au routeur Client d’émettre des requêtes au routeur
Serveur.
- Un tunnel dynamique : c’est un tunnel de communication entre les routeurs clients.
Créer après la résolution du bond ou saut suivant par le routeur serveur, ce tunnel
permet de mettre en place une communication directe entre routeurs clients sans
passer par le routeur serveur.

38
3.12 Architecture de la solution proposée
Après l’analyse de l’infrastructure informatique et l’étude de l’existant de la SONACIM, nous
aboutissons à la conclusion que, les connexions au réseau internet de la SONACIM ne sont
pas contrôlée, ni sécurisée, ce qui crée un vrai problème pour tout le réseau.
D’où l’idée d’intégrer dans son système une solution permettant d’une part la sécurisation de
chaque site et d’autre part d’assurer de nouvelles fonctionnalités comme le fait de pouvoir
accéder à son ordinateur de bureau à distance.

3.13 Choix de la technologie VPN site à site à mettre en place

De nos jours, plusieurs solutions VPN site à site, flexibles et riches en fonctionnalités sont
fournies. Ces solutions sont construites sur les quatre (4) technologies VPN sous-jacentes: le
GRE-VPN, le VPN Meshed (VPN maillé), le VPN multipoint dynamique (DMVPN) et le VPN
GET (Group Encrypted Transport). Chaque technologie bénéficie et est personnalisée pour
répondre aux exigences de déploiement spécifiques.

3.13.1 Le GRE VPN

Generic Routing Encapsulation (GRE ou Encapsulation Générique de Routage) initialement
développé par Cisco est un protocole de mise en tunnel qui permet d’encapsuler n’importe
quel paquet de la couche réseau dans n’importe quel paquet de la couche réseau (ex : IP dans
IP). GRE VPN utilise les mêmes fonctions que DMVPN hub-and-spoke (voir 5.3.3), mais il
nécessite une configuration plus complexe.
Il est une solution fiable de communication sécurisée, à condition d’utiliser IP Sec comme
solution de cryptage.

3.13.2 Le VPN Meshed (VPN maillé)

C’est une topologie maillée qui présente une évolution du VPN hub-and-spoke (voir 5.3.3).
Dans cette architecture, tous les sites sont reliés les uns aux autres, et présentent l’avantage
de disposer plusieurs routes vers les autres sites, mais l’inconvénient est qu’elle nécessite
beaucoup de configuration en raison du nombre de tunnels actifs. En effet, il existe une
formule pour calculer le nombre de liens requis dans ce type de VPN. La formule est la
suivante : L= N (N-1)/2, ou N est le nombre de routeurs dans le réseau privé virtuel.

39
 Figure 19.5: Schéma récapitulatif du VPN maillé

3.13.3 Le VPN multipoints dynamique (Dynamic Multipoint VPN (DMVN))

Le VPN multipoint dynamique (DMVPN) est une solution cisco qui fournit une architecture
VPN évolutive. En effet, DMVPN utilise l’encapsulation de routage générique (GRE) pour le
tunneling, le protocole NHRP (Next Hop Résolution Protocol) pour les informations de
transfert et de transfert à la demande, et IPsec pour fournir un réseau de recouvrement
sécurisé pour pallier les insuffisances des tunnels VPN de site à site. DMVPN est basée sur
une architecture centralisée et prend en compte divers types d’utilisateurs dont les travailleurs
mobiles, les télétravailleurs et même les utilisateurs d’extranet.

Le DMVPN propose deux modèles de déploiement possibles :

⮚ Le modèle Hub-and-spoke : chaque spoke possède une interface GRE permettant de
monter le tunnel vers le HUB. Tous trafics entre les Spokes passent par le HUB. Ce
modèle ne prend pas en compte les liaisons entre les spokes.
⮚ Le modèle Spoke-to-Spoke : chaque spoke doit disposer d’une interface mGRE
permettant aux tunnels dynamiques de transiter vers les autres spokes. Ce modèle
prend en compte les liaisons entre différents spokes et offre une grande évolutivité de
la configuration pour les périphériques.

3.13.4 Le VPN GET (Group Encrypted Transport)

C’est le VPN de derrière génération du constructeur Cisco. Dans son architecture, il élimine
la notion de création de tunnels entre les différents sites tout en offrant un nouveau IPsec se

40
basant sur la confiance des membres du groupe avec des routeurs qui se partagent les
mêmes méthodologies de sécurité.
Serveur
VPN

Routeur
client 1
Routeur
client 3
Routeur
client 2

Figure 20.5: Schéma récapitulatif du GET VPN

41

GRE-VPN
● Permet le transport
du trafic multicast
et de routage sur un
VPN IPsec ;
● Prise en charge de
protocoles non IP ;
Avantages ● Supporte la QoS.
interopérabilit Plusieurs fournisseurs
é
Topologie Maillage à petite échelle
Routage Prise en charge
QOS Prise en charge
3.13.5 Comparaison des technologies VPN site-à-site
VPN MESHED (VPN
DMVPN
maillé)
● Fournit un cryptage ● Réduction des dépenses d’exploitation
entre les sites ; et d’immobilisation en intégrant la
voix et la vidéo à la sécurité VPN ;
● Supporte la QoS. ● Simplification de la communication
de la branche par une connectivité
directe branche à branche pour les
applications telles que la voix sur IP ;
● Réduction de la complexité de
déploiement par la mise en place
d’une configuration simple, réduisant
les difficultés de déploiement des
VPN ;
● Amélioration de la résilience de
l’activité en empêchant les
perturbations et les services critiques.
Le routage se fait avec la technologie
Ipsec.
Plusieurs fournisseurs Routeur Cisco seulement
Hub et spoke ;
Maillage à petite échelle Maillage partiel spoke-a-spoke à la
demande;
Pas prise en charge Prise en charge
Prise en charge Prise en charge
3.13.5.1 Choix Technologique
Suite à ce qui précède, notre choix c’est porté sur le DMVPN pour les raisons suivante :
⮚ Réduction des dépenses d’exploitation et d’immobilisation en permettant l’intégration
de la voix et la vidéo à la sécurité VPN ;
⮚ Simplification de la communication de la branche par une connectivité directe branche
à branche ;
⮚ Réduction de la complexité de déploiement par la mise en place d’une configuration
simple, réduisant les difficultés de déploiement des VPNs ;
⮚ Amélioration de la résilience de l’activité en empêchant les perturbations et les
services critiques. Le routage se fait avec la technologie IPsec.

3.13.5.1.1Principe de fonctionnement de DMVPN

3.13.5.1.1.1 Tunnels génériques d’encapsulation de routage (GRE)

Le protocole GRE fournit la connectivité avec une grande variété de protocoles de couche
réseau en encapsulant et en transférant ces paquets sur un réseau IP.
L’utilisation originale des tunnels GRE était de fournir un mécanisme de
transport pour les protocoles hérités non routables tels que DECnet,
l’architecture de réseau de systèmes (SNA), ou IPX.

Les tunnels GRE ont été utilisés comme une solution de contournement rapide pour les
conceptions de routage incorrect, ou comme une méthode pour passer le trafic à travers un
pare-feu ou une liste de contrôle d’accès. DMVPN utilise l’encapsulation multipoint GRE
(mGRE) et prend en charge les protocoles de routage dynamique, ce qui élimine la plupart
des problèmes de support associés aux autres technologies VPN. Les tunnels GRE sont
classés comme réseau de superposition car ils sont situés au-dessus d’un réseau de
transport existant, également connu sous le nom de réseau sous-jacent.

Des informations d’en tète supplémentaires sont ajoutées au paquet lorsque le routeur
encapsule le paquet pour le tunnel GRE. Les nouvelles informations d’en tête contiennent
l’adresse IP de la destination. Les nouveaux en tête IP permettent au paquet d’être
acheminé entre les deux extrémités du tunnel sans inspection de la charge utile du paquet.
Une fois que le paquet atteint le point de terminaison distant, les en-têtes GRE sont
supprimés et le paquet d’origine sera transféré entre les routeurs du LAN comme indique la
figure ci-dessous.

43
3.13.5.1.1.2 Le protocole NHRP (Next Hope Resolution Protocol)
Le protocole de résolution du prochain saut (NHRP) est une extension du mécanisme de
routage ATM ARP qui est parfois utilisé pour améliorer l’efficacité du routage du trafic
informatique sur le réseau NBMA (Non-Broadcast Multiple Access). Il peut être utilisé par un
expéditeur pour déterminer un itinéraire avec le plus petit nombre de sauts à un récepteur.

Ce protocole diffère des protocoles de type ARP ce qui permet l’optimisation du routage sur
plusieurs sous-réseaux IP. NHRP est implémenté au moy en de serveurs de saut suivant dans
les sous-réseaux IP.

NHRP est un protocole client-serveur qui permet aux périphériques de s’enregistrer sur des
réseaux directement connectés. Les serveurs NHRP (Next-Hop Servers) sont chargés
d’enregistrer les adresses ou les réseaux, de maintenir un référentiel NHRP et de répondre
aux requêtes reçues par les clients du prochain saut (NHC). NHC et le NHS sont de nature
transactionnelle.

DMVPN utilise des tunnels GRE multipoint, ce qui nécessite une méthode de mappage entre
les adresses IP du tunnel et l’adresse IP physique. Les Hubs DNVPN (NHC) sont configurés de
manière statique avec l’adresse IP physique, des concentrateurs (NHS) afin qu’ils puissent
enregistrer leur adresse IP du tunnel et de MBMA (transport) avec les hubs (NHS). Lorsqu’un
tunnel de hub à hub est établie, les messages NHRP fournissent les informations nécessaires
pour que les hubs se localisent afin qu’ils puissent construire un tunnel DMVPN de hub à
hub. Les messages NHRP permettent également à un hub de localiser un réseau distant.

3.13.5.1.1.3 Le routage
Le routage [2] est le processus qu’un routeur utilise pour transmettre des paquets vers un
réseau de destination. Un routeur prend des décisions en fonction de l’adresse IP de
destination d’un paquet. Tout le long du chemin, les divers équipements se servent de
l’adresse IP de destination pour orienter le paquet dans la bonne direction afin qu’il arrive à
destination. Pour prendre les bonnes décisions, les routeurs doivent connaître la direction à
prendre jusqu’aux réseaux distants. Il existe deux types de routage à savoir :
− Le routage statique : Le routage statique est le fait de l’administrateur, les routes sont
spécifiées manuellement dans la table de routage ;
− Le routage dynamique: Routage effectué à l’aide d’un protocole de routage
dynamique qui remplit la table de routage du routeur et partage ses informations avec
les autres routeurs du réseau. Dans la panoplie des protocoles de routage dynamique,
chacun ayant son propre caractéristique et son propre fonctionnement. Le tableau 2
Explique les différents comportements des protocoles de routage dynamique
lorsqu’ils fonctionnent avec la technologie DMVPN.

44
Tableau 2: Comportement des protocoles de routage face au DMVPN

Type de Annonce Convergence CPU Scalabilité

topologies des routes
EIGRP Hub vers Spoke Bon Rapide Traitement Inférieur
Spoke vers élevé
Spoke
OSPF Hub vers Spoke meilleur Rapide Traitement Inférieur
Spoke vers élevé
Spoke
BGP Hub vers Spoke Bon Très lent Moyen Moyen
Spoke vers
Spoke
RIPV2 Hub vers Spoke Médiocre Très lent Faible Élevé
Autres Hub vers Spoke Médiocre Très lent Faible Élevé

3.13.5.1.1.4 Choix du protocole de routage

Nous pouvons constater sur le tableau 2, seul les protocoles OSPF, EIGRP et BGP permettent
de faire du trafic Spoke vers le Spoke et Spoke vers Hub, ce qui ne donne pas la chance aux
autres pour être utilisé pour un réseau maillé complet ou partiel. Comment alors départager
ces trois (3) protocoles ?

La caractéristique la plus notable partagée par l’ensemble de ces protocoles consiste pour un
routeur à diffuser de façon périodique la totalité de sa table de routage sur toutes ses
interfaces qui participent au protocole. Le seul protocole dérogeant à cette règle est EIGRP,
protocole propriétaire de CISCO qui remplace IGRP. En effet, les mises à jour d’EIGRP ne sont
ni diffusées, ni générées de façon périodique pas plus qu’elles ne contiennent l’entièreté de
la table de routage.

3.14 Conclusion

45
 CHAPITRE 6 : IMPLÉMENTATION DE LA SOLUTION SÉCURISÉE
VPN

3.15 Introduction
Ce travail de fin d’étude est une solution de gestion des réseaux VPN en évolution. Après
bien sûr deux chapitres minutieusement traités pour donner une idée précise à ce travail, ce
dernier chapitre est consacré à l’implémentation de la solution pour vérifier le
développement fait dans les précédents chapitres. La simulation sera faite par des moyens
matériels et logiciels d’un ordinateur devant regrouper un certain nombre d’exigences.
Comme dit ci-haut, ce chapitre sera purement pratique pour donner vie à notre étude et
celui-ci sera structuré en regroupant toutes les étapes pour la réalisation de cette étude et
c’est dans le but de permettre aux lecteurs passionnés par l’administration réseau et plus
précisément des réseaux privés virtuels en particulier de se sentir dans le bain du sujet pour
une mise en place ultérieure selon les brèches qu’ils rencontreront dans le présent travail.

3.16 Simulation de la solution

3.16.1 Prérequis matériels

Avant la mise en place d’un projet informatique, il est toujours nécessaire de réunir toutes
les conditions tant matérielles que logicielles pour une avancée sans jambages du projet.

⮚ L’ordinateur doit avoir une mémoire vive ayant au moins une capacité de 4 Gb ;
⮚ L’ordinateur doit avoir un microprocesseur qui supporte l’émulation.

Ceci revient à dire que nous devons éviter les architectures trop robustes si nous ne
disposons pas d’une machine performante ou ayant peu de mémoire.

3.16.2 Prérequis logiciels

⮚ Le simulateur Packet Tracer

Le choix du logiciel Packet tracer pour cette mise en place est très pratique pour représenter
une maquette d’un réseau. Packet Tracer sert à reproduire une architecture physique ou
logique complète avant la mise en production.

46
 ⮚ IOS Cisco
Ce système d’exploitation Cisco permet de connecter les réseaux et celui-ci doit être
téléchargé chez Cisco selon la série de notre matériel que nous désirons interconnecter et
pour le compte de notre simulation.

3.17 Mise en place de la simulation de la solution

3.17.1 Adressage réseau
Notre topologie réseau d’études donne les détails de toutes les adresses IP des interfaces
des routeurs ainsi que des ordinateurs de simulation afin de comprendre la façon dont
l’acheminement du trafic se procèdera.

Tableau 3: Adressage de la topologie à implémenter

Id Équipemen Plan de IP IP tunnel IP LAN

t nommage Publique
1 R1
2 R2
3 R3

47
[2] Available:
http://www.nyuplanet.eu/ccna/semestre4/course/module7/7.2.1.1/7.2.1.1.html

48