Note d’information sur

les Réseaux Privés Virtuels sécurisés

(VPN)
(c) F. Butelle − 2000.

1 Pourquoi faire ?
Pratiquement tous les protocoles, surtout ceux d’Internet, transmettent les informations "en clair’’, ce qui
malheureusement facilite le travail d’espionnage puis d’attaque des machines d’un réseau. En particulier les
mots de passe sont transmis en clair !

Il n’est pas possible de changer les protocoles : ils sont normalisés. La solution consiste à encrypter à la
volée les paquets transmis, et de même à les décrypter à la réception avant de les donner au récepteur.

Les solutions proposées s’appuient souvent sur des routeurs/passerelles dédiés. Il est de bon ton de les
protéger aussi au moyen de règles de filtrage (voir la note sur les Firewalls). Il peut être utile aussi d’ajouter,
lorsque c’est possible, la technique de translation d’adresse (Network Address Translation : voir la note sur
ce sujet).

2 Solutions
Plusieurs mécanismes existent ; à différents niveaux des couches réseaux. Certains encryptent uniquement
les données (GnuPG pour le email), d’autres encryptent le niveau session (SSL,SSH), d’autres encryptent
tout ce qui se trouve au−dessus de IP (IPsec, SSH+PPP, etc.).

SSL "Secure Sockets Layer" est la solution la plus souvent adoptée pour le commerce électronique sur le
Web. SSL a été au départ proposé par Netscape. Pratiquement tous les clients Web supportent désormais
SSL, et les serveurs sont disponibles gratuitement. Pour les autres services (e−mail, ftp, telnet,etc.), des
solutions basées sur SSL existent mais restent encore assez délicates à mettre en œuvre sur tous les
environnements. Voir par exemple www.openssl.org et le schéma suivant :

SSL SSL

TCP TCP

IP IP

Station Station

SSH ‘‘Secure SHell’’ est au départ uniquement un telnet crypté avec des possibilités d’authentification par
clés publiques etc. Mais il fournit aussi la possibilité de transfert de fichiers cryptés (par scp) et le
‘‘tunneling’’ de tout traffic TCP standard (dit aussi "port forwarding"). Cette dernière possibilité permet de
‘‘détourner’’ tous les protocoles utilisant TCP pour les faire passer dans un tunnel crypté − c’est déjà en soi
un début de réseau virtuel privé. Mais ce n’est pas tout, puisque SSH offre une connexion cryptée en mode
texte, il est possible de lancer le protocole PPP au dessus, puis IP au dessus de PPP etc. Ce "bricolage"
permet d’avoir un nouveau réseau complètement crypté, même les véritables adresses des machines
sources et destination sont cryptées. Le seul défaut est le nombre de couches qui limite les performances
de cette technique. Voir www.ssh.com www.minet le schéma suivant :
 TCP UDP TCP UDP
Connexions
IP IP
cryptées
PPP PPP

SSH SSH
TCP UDP TCP TCP TCP UDP

IP IP IP IP

Station Passerelle Passerelle Station

IPsec semble la solution d’avenir, d’ailleurs il fait partie de IPv6, malheureusement il demande un
changement assez important des composants réseau des noyaux des systèmes d’exploitation. Il ne
supporte en général pas bien la translation d’adresse (NAT) contrairement à la technique SSH+PPP. Voir le
schéma suivant pour l’utilisation de IPSec en mode "tunnel" : dans ce mode, seules les passerelles/routeurs
(gateway) doivent disposer d’IpSec. Pour Linux voir www.freeswan.org et www.ip−sec.com

TCP UDP liaisons TCP UDP

cryptées
IP IP
TCP UDP IPSec IPSec TCP UDP

IP IP IP IP

Station Passerelle Passerelle Station

D’autres solutions existent mais sont moins généralisées. Citons toutefois PPTP (Point to Point Tunneling
Protocol) solution propriétaire de Microsoft. Il semble qu’il présente encore quelques défauts (entre autres :
la longueur des clés n’est pas configurable, la clé de session n’est pas aléatoire, etc.)