Vous êtes sur la page 1sur 53

Les Réseaux Privés Virtuels

(VPN)

Définition d'un VPN

Un VPN est un réseau privé qui utilise


un réseau publique comme backbone
▪ Seulsles utilisateurs ou les groupes qui sont enregistrés
dans ce vpn peuvent y acceder.
▪ Les données transitent dans un tunnel après avoir été
chiffrées.
▪ Tout se passe comme si la connexion se faisait en dehors
d'infrastructure d'accès partagé comme Internet.

2
Réseaux : Virtual Private Network
Généralités

Un VPN ou RPV (réseau privé virtuel) est une technique permettant à un


ou plusieurs postes distants de communiquer de manière sure.

Il permet d'utiliser les infrastructures publiques (Internet).

Ce type de liaison est apparu suite à un besoin croissant des entreprises


de relier les différents sites de façon simple et économique.

Jusqu'à l'avènement des VPN, les sociétés devaient utiliser des liaisons
Transpac, ou des lignes louées (LS).

Les VPN ont permis de démocratiser ce type de liaison.


Réseaux : Virtual Private Network
Généralités
Réseaux : Virtual Private
Network
Généralités

Un réseau VPN repose sur un protocole appelé "protocole de tunneling".

Ce protocole permet de faire circuler les informations de l'entreprise de


façon cryptée d'un bout à l'autre du tunnel.

Les utilisateurs ont l'impression de se connecter directement sur le


réseau de leur entreprise.

Le tunneling consiste à construire un chemin virtuel après avoir identifié


l'émetteur et le destinataire.

La source chiffre les données et les achemine en empruntant ce chemin


virtuel.
Réseaux : Virtual Private Network
Généralités

Pour assurer un accès aisé et peu coûteux aux intranets / extranets


d'entreprise, les VPN d'accès simulent un réseau privé.

Ils utilisent en réalité une infrastructure d'accès partagé, comme Internet.

Les données à transmettre peuvent être prises en charge par un


protocole différent d'IP.

Dans ce cas, le protocole de tunneling encapsule les données en


ajoutant un en-tête.

Le tunneling est l'ensemble des processus d'encapsulation, de


transmission et de désencapsulation.
Réseaux : Virtual Private Network
Généralités

Les principaux avantages d'un VPN :

● Sécurité : assure des communications sécurisées et chiffrées;

● Simplicité : utilise les circuits de télécommunication classiques;

Économie : utilise Internet en tant que média principal de transport, ce


qui évite les coûts liés à une ligne dédiée.


Réseaux : Virtual Private Network
Généralités

Les contraintes d'un VPN :

Le principe d'un VPN est d'être transparent pour les utilisateurs et pour les
applications y ayant accès.

Il doit être capable de mettre en oeuvre les fonctionnalités suivantes :



Authentification d'utilisateur : seuls les utilisateurs autorisés doivent
avoir accès au canal VPN;

Cryptage des données : lors de leur transport sur Internet, les données
doivent être protégées par un cryptage efficace;

Gestion de clés : les clés de cryptage pour le client et le serveur doivent
pouvoir être générées et régénérées (pertes, vols, licenciement);

Prise en charge multi protocoles : la solution VPN doit supporter les 9
protocoles les plus utilisés sur Internet (en particulier IP).
Réseaux : Virtual Private Network
Sommaire

Les différents types de VPN


Réseaux : Virtual Private Network
Les différents types de VPN

Suivant les besoins, on référence 3 types de VPN :

● Le VPN d'accès;
● L'intranet VPN;
● L'extranet VPN.
Réseaux : Virtual Private Network
Les différents types de VPN

Le VPN d'accès : il est utilisé pour permettre à des utilisateurs itinérants


d'accéder au réseau de leur entreprise. L'utilisateur se sert d'une
connexion Internet afin d'établir une liaison sécurisée.
Réseaux : Virtual Les différents types de VPN
Private Network
L'intranet VPN : il est utilisé pour relier deux ou plusieurs intranets entre
eux. Ce type de réseau est particulièrement utile au sein d'une
entreprise possédant plusieurs sites distants.

Cette technique est également utilisée pour relier des réseaux


d'entreprise, sans qu'il soit question d'intranet (partage de données, de
ressources, exploitation de serveurs distants …);
Réseaux : Virtual Private Network
Les différents types de VPN

L'extranet VPN : une entreprise peut utiliser le VPN pour communiquer


avec ses clients et ses partenaires.

Elle ouvre alors son réseau local à ces derniers et il est nécessaire
d'avoir une authentification forte des utilisateurs, ainsi qu'une trace des
différents accès.

Souvent, seule une partie des ressources est partagée, ce qui nécessite
une gestion rigoureuse des espaces d'échange.
Objectifs et caractéristiques des VPN

• Étanchéité du trafic entre les différents réseaux privés virtuels

• Sécurité des communications :


▪ Confidentialité (chiffrement des données)
▪ Authentification (utilisateurs ou DATA)

• Notion de qualité de service


▪ Type best effort dans le cas de simples tunnels créés par l'utilisateur
▪ QOS bien meilleure dans le cadre d'une offre VPN d'opérateur

• Coût :
▪ Permet de réduire les coûts liés à l'infrastructure réseau des entreprises par la
mise en place d'une liaison vpn

Le tunneling
• Le VPN est basé sur la technique du tunnelling:
▪ Processus d’encapsulation, de transmission et de désencapsulation.
▪ Consiste à construire un chemin virtuel après avoir identifié l’émetteur et le
destinataire.
▪ La source chiffre les données et les achemine en empruntant ce chemin
virtuel.

• Les données à transmettre peuvent appartenir à un protocole


différent d’IP.

• Le protocole de tunnelling encapsule les données en rajoutant


une entête permettant le routage des trames dans le tunnel.

4
Sommaire

• Principes de "tunneling"
• Principaux usages des VPN
• Protocoles de "tunneling" des VPN
▪ Rappel sur PPP
▪ Protocoles PPTP, L2TP

• Sécuritédes connexions VPN

Rappel, Tunneling

• Caractéristiques :
Un tunnel sert à transporter des données d’un point A vers un point B,
au sens où les données qui "entrent" dans le tunnel en A "ressortent"
nécessairement en B.

• Exemples :

6
Tunnels – Principe de fonctionnement

• Le transport de données se fait par encapsulation :


▪ Extrémité du tunnel: données à transporter insérées dans un
paquet de protocole de "tunnélisation", puis dans un paquet
du protocole de transport de données.

▪ L'autre extrémité du tunnel: données extraites du protocole de


"tunnélisation" et poursuivent leur chemin sous leur forme initiale.

Tunnels – Principe de fonctionnement


Réseau IP de l'opérateur
R1 : routeur R2 : routeur
entrée du tunnel sortie du tunnel
LAN LAN

A Z
Tunnel IP dans IP
A→Z R1 → R2 GRE A → Z A→Z

• Un tunnel est créé entre R1 et R2 :


▪ Configuré dans les routeurs d’entrée et de sortie

• Le paquet ip privé (avec adresses IP privées) est encapsulé dans un paquet IP


public:
▪ Les adresses de R1 et R2 sont des adresses publiques

• Tunnel IP dans IP :
▪ Le protocole GRE permet d'encapsuler les papquets IP dans IP
▪ L'entête GRE permet d'annoncer le type de paquet encapsulé (IPv4)
8
Tunnels – Principaux protocoles
Différents protocoles:

• Passenger Protocol – Les données originales (IP…) àtransmettre.


• Encapsulating Protocol – Le protocole (GRE, IPSec, PPTP, L2TP) utilisé
pour encapsuler les données originales.
• Carrier Protocol – Le protocole employé par le réseau pour transporter les
données.

The original packet (Passenger protocol) is encapsulated inside


the encapsulating Protocol, which is then put inside the carrier
protocol’s header (usually IP) for transmission over the public
network.

• Le protocole d'encapsulation peut assurer également le


chiffrement des données.

Tunnels – Protocoles niveau 2, 3 & 4


▪Protocoles de niveau 2 : PPTP, L2TP tous les deux encapsulent
les données utiles (payload) dans une trame PPP qui sera
transmise àtravers Internet.
 Le tunnel est semblable à une session ;
 Les deux extrémités du tunnel doivent être d'accord et doivent
négocier des variables de configuration, assignation des adresses,
paramètres d’encryptions et/ou de compression ;
 Un mécanisme de gestion et de maintenance du tunnel.

▪Protocoles de niveau 3 : IPSec encapsule les paquets IP dans un


autre paquet IP avant de l'envoyer sur Internet.
 Les variables sont pré-configurées
 Pas de phase d'entretien de tunnel

•Protocoles de niveau 4 : utilise TLS/SSL pour sécuriser les


échanges au niveau de la couche Transport
10
Réseaux : Virtual Private Network
Sommaire

Les protocoles utilisés


Réseaux : Virtual Private Network
Les protocoles utilisés

Les protocoles utilisés dans le cadre d'un VPN sont de 2 types, suivant
le niveau OSI:

• Les protocoles de niveau 2 comme PPTP ou L2TP.


• Les protocoles de niveau 3 comme IPsec ou MLPS
Réseaux : Virtual Private Network
Les protocoles utilisés

PPP (Point to Point Protocol)

PPP est un protocole qui permet de transférer des données sur un lien
synchrone ou asynchrone.

Il est full duplex et garantit l'ordre d'arrivée des paquets.

Il encapsule les paquets Ip, Ipx et Netbeui dans des trames PPP, puis
transmet ces paquets encapsulés au travers de la liaison point à point.

PPP est employé généralement entre un client d'accès à distance et un


serveur d'accès réseau.

PPP n'est pas sécurisé mais sert de support aux protocoles PPTP ou
L2TP.
Réseaux : Virtual Private Network
Les protocoles utilisés

PPTP (Point to Point Tunneling Protocol)

Le principe du protocole PPTP est de créer des paquets et de les


encapsuler dans des datagrammes IP.

Le tunnel PPTP se caractérise par


● une initialisation du client ;


une connexion de contrôle entre le client et le serveur ;

la clôture du tunnel par le serveur.

Par la suite, une deuxième connexion est établie. Elle permet


d'encapsuler les paquets PPP dans des datagrammes IP.

C'est cette deuxième connexion qui forme le tunnel PPTP.


Réseaux : Virtual Private Network
Les protocoles utilisés
Réseaux : Virtual Private Network
Les protocoles utilisés

L2TP (Layer Two Tunneling Protocol)

L2TP, défini par la RFC2661, est issu de la convergence des protocoles


PPTP et L2F (Layer Two Forwarding).

Il est actuellement développé et évalué conjointement par Cisco ,


Microsoft, 3Com ainsi que d'autres acteurs du marché des réseaux.

Il permet l'encapsulation des paquets PPP au niveau des couches 2


(Frame Relay et Atm) et 3 (Ip).

Lorsqu'il est configuré pour transporter les données sur IP, L2TP peut
être utilisé pour faire du tunneling sur Internet.
Réseaux : Virtual Private Network
Les protocoles utilisés

L2TP repose sur deux concepts : les concentrateurs d'accès L2TP (LAC)
et les serveurs réseau L2TP (LNS).

L2TP n'intègre pas directement de protocole pour le chiffrement des


données. C'est pourquoi L'IETF préconise l'utilisation conjointe d'Ipsec et
L2TP
Réseaux : Virtual Private Network
Les protocoles utilisés

IPSec

IPSec, défini par la RFC2401, est un protocole qui vise à sécuriser


l'échange de données au niveau de la couche réseau.

Le réseau Ipv4 étant largement déployé et la migration vers Ipv6 étant


inévitable mais longue, il est intéressant de développer des techniques de
protection des données communes à Ipv4 et Ipv6.

Ces mécanismes sont couramment désignés par le terme IPSec pour IP


Security Protocols.

IPSec est basé sur deux mécanismes:

● AH → Authentification Header
● ESP → Encapsulating Security Payload
Réseaux : Virtual Private Network
Les protocoles utilisés

Authentification Header

AH vise à assurer l'intégrité et l'authenticité des datagrammes IP.

Il ne fournit par contre aucune confidentialité : les données fournies et


transmises par ce mécanisme ne sont pas encodées.

Encapsulating Security Payload

ESP peut aussi permettre l'authentification des données mais est


principalement utilisé pour le cryptage des informations.

Bien qu'indépendants, ces deux mécanismes sont presque toujours


utilisés conjointement.
Réseaux : Virtual Private Network
Les protocoles utilisés

La gestion des clefs

Les protocoles sécurisés ont recours à des algorithmes de cryptage, et


ont donc besoin de clefs.

Un des problèmes principaux dans ce cas est la gestion de ces clefs.

Par gestion, on entend la génération, la distribution, le stockage et la


suppression de ces clefs.

Ces différentes tâches sont dévolues à des protocoles spécifiques à


savoir :

● ISAKMP (Internet Security Association and Key Management Protocol)

● IKE (Internet Key Exchange)


Réseaux : Virtual Private Network
Les protocoles utilisés

IPSec

IPSec peut fonctionner dans un mode transport hôte à hôte ou bien dans
un mode tunnel réseau.

Mode transport

Dans le mode transport, ce sont uniquement les données transférées (le


payload du paquet IP) qui sont chiffrées et/ou authentifiées.

Le reste du paquet IP est inchangé et de ce fait le routage des paquets


n'est pas modifié.

Cependant, les adresses IP ne pouvant pas être modifiées sans


corrompre le hash de l'en-tête AH généré par IPSec, pour traverser un
NAT il faut avoir recours à l'encapsulation NAT-T.
Réseaux : Virtual Private Network
Les protocoles utilisés

Version sans NAT-T (NAT-Traversal)


Réseaux : Virtual Private Network
Les protocoles utilisés

Mode tunnel

En mode tunnel, c'est la totalité du paquet IP qui est chiffré et/ou


authentifié.

Le paquet est ensuite encapsulé dans un nouveau paquet IP avec une


nouvelle en-tête IP.

Au contraire du mode transport, ce mode supporte donc bien la


traversée de NAT.

Le mode tunnel est surtout utilisé pour créer des VPN permettant la
communication de réseau à réseau (eg. entre deux sites distants).
Réseaux : Virtual Private Network
Les protocoles utilisés

Version avec NAT-T (NAT-Traversal)


Réseaux : Virtual Private Network
Les protocoles utilisés

SSL (Secure Socket Layer)

SSL (Secure Socket Layer) est un protocole de niveau 4 utilisé par une
application pour établir un canal de communication sécurisé avec une
autre application.

SSL a deux grandes fonctionnalités :



l'authentification du serveur et du client à l'établissement de la
connexion ;

le chiffrement des données durant la connexion.
Réseaux : Virtual Private Network
Sommaire

Les implémentations
Réseaux : Virtual Private Network
Les implémentations

Implémentations logicielles:

Racoon, s'intègre au noyau Linux et permet de gérer les


authentifications suivantes:

● Mot de passe de groupe (tous les utilisateurs ont le même mdp)


● Login / password
● Certificats x509

OpenVPN, s'intalle comme paquetage et permet de gérer les


authentifications suivantes:

● Certificats SSL
● Login / password
3
1
Réseaux : Virtual Private Network
Les implémentations

Implémentations logicielles:

EJBCA (Enterprise Java Bean Certificates Authority), est


certainement la PKI la plus aboutie (gratuite) et permet de gérer :

● La création de certificats;
● Le renouvellement ;
● Certificats x509 ;
● SCEP (Simple Certificates Enrollment Protocol)
● OCSP (Open Certificates Status Protocol)
Réseaux : Virtual Private Network
Les implémentations

Implémentations matèrielles:

Plusieurs marques proposent des passerelles VPN:

● Zyxel USG100

● Cisco ASA5505

● Sonicwall VPN2000
Réseaux : Virtual Private Network
Les implémentations

Distributions dédiées et gratuites :

● Monowall

● PfSense

● IpCop
VPN – Usages (1)

• VPN accès distant :


▪ Permet à des utilisateurs itinérants d'accéder au réseau privé.
▪ L'établissement de la connexion VPN se fait via une connexion Internet.

• Deux cas :
▪La connexion est établie entre le NAS (Network Access Server) de l'ISP et
le serveur VPN disant.
▪ La connexion est établie entre le client (client vpn) le serveur VPN distant.

11
Source: Virtual Private Networking in Windows 2000: An Overview. Microsoft – White paper.

VPN – Usages (2)

• L'intranet VPN (vpn entre sites):


▪ Permet de relier plusieurs sites distants au sein d'une entreprise.
▪ Mise en œuvre avec des tunnels de niveau 3.
▪ Garantie une authentification au niveau paquet

12
VPN – Usages (3)

• Accès client distant via un intranet :


▪ Utilisé pour sécuriser un réseau d’un département du reste de l'intranet
d’une l'entreprise :
 Le réseau département étant séparé d’intranet par un serveur VPN
.
 Les utilisateurs doivent bénéficier des autorisations appropriées
pour établir une connexion VPN au serveur VPN.
 Pour tous les autres, le réseau du département est masqué.

13
Source: Virtual Private Networking in Windows 2000: An Overview. Microsoft – White paper.

Caractéristiques fondamentales d'un VPN

A Une solution de VPN devrait fournir au moins l'ensemble


des caractéristiques suivantes :

• Authentification

• Cryptage des données

• Adressage

• Filtrage de paquet

• Gestion des clés

• Support Multiprotocole.

14
Authentification

• Seuls les utilisateurs autorisés de la connexion VPN doivent


pouvoir s'identifier sur le réseau virtuel.

• Authentification au niveau utilisateur


▪ Protocole PPTP (niveau 2).
▪ Basée sur le schéma d'authentification de PPP (PAP, MS-CHAP-
v1&v 2).

• Authentification au niveau paquet:


▪ Protocole Ipsec (niveau 3).
▪ Identification de la source des données transmises, non-répudiation, etc.
▪ Basée sur les signatures numériques ajoutées aux paquets.

• Authentification de type EAP:


▪ EAP-TLS (RFC 2716) est une méthode d’authentification forte basée sur
15
des certificats à clés publique.

Cryptage de données

• Nécessité de cryptage des données pour protéger les


données échangées entre le client et le serveur VPN
▪ Le cryptage des données pour les tunnels PPTP (implémentation
Microsoft) utilise le protocole MPPE (Microsoft Point-to-Point
Encryption),

▪ Utilise l'algorithme RSA/RC4 pour créer une clé de cryptage basée sur le
mot de passe client.

16
Adressage

Attribuer au client VPN une adresse IP privée lors de la


connexion au réseau distant et garantir que cette adresse
reste confidentielle:
▪ Les protocoles de tunneling niveau 2 supportent une assignation dynamique
d'une adresse àun client, grace au protocole NCP (Network Control Protocol).

▪ Les protocoles de tunneling niveau 3 Layer 3 tunneling assument une


assignation statique d'une adresse aux extrémités du tunnel avant que celui-ci
soit établi.

17

Filtrage de paquets

• Mise en place de filtres sur l'interface correspondant à la


connexion à Internet du serveur VPN.
▪ Autoriser seulement le trafic VPN d'utilisateurs authentifiés

▪ Empêcher le serveur VPN de recevoir du trafic en dehors du trafic VPN.

▪ Assurer que seuls les données cryptées autorisées pénètrent au sortent


du LAN privé.

18
Support Multi-protocole

La solution VPN doit supporter les protocoles les plus utilisés


sur les réseaux publiques en particulier IP.

Les Protocoles de tunneling niveau 2 peuvent supportent


plusieurs protocoles de liaisons de données (Ethernet, PPP,
FR, MPLS, etc).

Les Protocoles de tunneling niveau 3, tels que IPSEC,


supportent uniquement les couches cibles utilisant le
protocole IP.

19

Les tunnels de niveau 2


(liaison de données)

20
Point-to-Point Tunneling Protocol

21

Point-to-Point Tunneling Protocol

• Protocole qui utilise une connexion PPP à travers le


réseau TCP/IP pour établir une connexion vpn :
▪ Le client PPTP se connecte à un serveur d'accès (NAS) chez l'ISP :
 Initiation d'une connexion PPP vers l'ISP pour accéder à Internet.

▪ Le NAS établit ensuite une connexion VPN utilisant PPTP vers le


serveur VPN :
 PPTP encapsulation des trames PPP cryptés dans des datagrammes
IP grâce au protocole d'encapsulation GRE ;

• Trois composants :
▪ La connexion PPP ;
▪ La Connexion de contrôle PPTP ;
▪ Encapsulation et transmission des données PPTP ;
22
PPTP : Schéma général

23

PPTP : Encapsulation

24
Le protocole PPP

• PPTP utilise PPP pour se connecter à un ISP (NAS).


• Protocole de niveau 2 permettant d'encapsuler des paquets
IP sur une liaison point àpoint.
• Encapsulation de plusieurs protocoles au moyen de son
composant NCP (Network Control Protocol) dans des trames
PPP:
▪ Protocoles de la couche réseau transportées dans une trame PPP
▪ NCP pour chaque protocole de la couche réseau; IPCP pour IP

• Établissement et contrôle de la liaison avec LCP (Link


Control Protocol):
▪ Négocie et définit les options de contrôle sur la liaison de données.

25

Établissement d’une session PPP

• Trois phases principales :


▪ Établissement de liaison ,
▪ Authentification optionnelle,
▪ Configuration du protocole de la couche réseau.

26
Session PPP – Phase 1

• Établissement de liaison :
▪Chaque équipement PPP envoie des paquets LCP pour configurer, tester
et terminer la liaison de données.
▪Les Paquets LCP contiennent un champs d’option de configuration
permettant de négocier l’utilisation d’options telles que :
 compression de certains champs PPP
 protocole d’authentification de liaison

27

Session PPP – Phase 2

• Authentification optionnelle :
▪L’authentification a lieu avant d’entrer dans le phase de protocole de la
couche réseau, une fois que le protocole d’authentification a été choisi.
▪ Différentes méthodes d’authentification:
✓ Password Authentication Protocol (PAP),
✓ Challenge Handshake Authentication Protocol (CHAP),
✓ Microsoft Challenge Handshake Authentication Protocol (MS-CHAP).

28
Session PPP – Phase 3

 Protocole de couche réseau :


▪ Les équipements PPP envoient des paquets NCP pour choisir et configurer
un ou plusieurs protocoles de la couche réseau (tel que IP).
▪ Choix du protocole (IPCP par exemple), assignation d’une @IP au client,
envoie des datagrammes de chaque protocole sur la liaison.

29

Authentification PPP (1)

• PAP (PPP Authentification Protocol RFC1334) :


▪ Authentification auprès du NAS par un nom d’utilisateur/mot de passe.
▪ Le mot de passe circule en clair.

• Inconvénients :
▪ Schéma d’authentification non sécurisé:
 Un tiers pourrait capturer le nom et le mot de passe de l'utilisateur
 Aucune protection contre les attaques par le rejeu n’est fournie.

30
Authentification PPP (2)

• CHAP (Challenge Handshake Authentication Protocol, RFC1994) :


▪ Challenge qui authentifie l’utilisateur auprès du NAS :
1. Le NAS envoie au user un "challenge" crypté avec un "secret partagé".
2. Le user répond avec une valeur calculée en utilisant une fonction de
hachage (MD5) le tout crypté avec le "secret partagé".
3. Le NAS vérifie la réponse avec son propre calcul du hachée prévue. Si
les valeurs concordent, le connexion est établie.
4. A des intervalles aléatoires, le NAS envoie un nouveau "challenge" au
user, et répète les étapes 1 à3.

▪ "challenge" CHAP = Session ID + nombre aléatoire.

▪ Authentification basée sur un "secret partagé" dérivé d'un mot de passe


stocké “en clair” sur le NAS.

31

Authentification PPP (3)

• MS-CHAP-v2 (Microsoft PPP CHAP Extensions version 2):


▪ Authentification mutuelle des deux pairs :
 Le NAS vérifie que le client d'accès a la connaissance du mot de passe de
l'utilisateur et le client d'accès vérifie que le NAS a la connaissance du mot de
passe de l'utilisateur.

▪ Le serveur utilise les hachés du mot de passe du client, conservés dans


une base de données, plutôt que le mot de passe “en clair”.

32
Connexion de contrôle PPTP

• Messages de contrôle entre client/serveur PPTP :


▪ Établissement, maintien et terminaison du tunnel PPTP.
▪ Messages transmis dans des segments TCP.

• Format d'un Message de contrôle PPTP :

33

Transmission de données PPTP

• Encapsulation des trames PPP dans des datagrammes IP :


▪ Datagrammes IP créés en utilisant le protocole GRE
 GRE : Generic Routing Encapsulation

• Format d'un datagramme IP créé par PPTP :

34
Scénario de la démonstration

35

L2F & L2TP

36
Layer 2 Forwarding

• Protocole développé Cisco Systems (RFC 2341)

• L2F fournit un tunnel sécurisé entre utilisateurs distants et


la passerelle VPN
▪ Authentification basée sur PPP / Chiffrement basé sur PPP

• Composants :
▪ Tunnel L2F entre l’ISP et le serveur d’accès distant
▪ Connexion PPP entre le client et l’ISP, que l’ISP fait suivre au serveur
d’accès distant via le tunnel L2F

37

Layer 2 Tunneling Protocol

• L2TP = Fusion de PPTP et de L2F (RFC 2661)

• Transport en tunneling de trames PPP via Internet :


▪ Repose sur le protocole UDP (port 1701) qui lui même repose sur IP
▪ L'Encapsulation : Layer-2-->IP--> UDP--> L2TP--> PPP--> IP

• Deux composants :
▪ LAC (L2TP Access Concentrator) : Client L2TP (NAS du ISP)
▪ LNS (L2TP Network Server) : Seveur L2TP

• Tunnel entre le LAC et le LNS :


▪L'utilisateur (mobile) utilise le tunnel L2TP créé à travers internet pour se
relier au réseau privé.

38
Schéma de l'architecture

39

L2TP Access Concentrator

• Permet de relayer le trafic entre le LNS et l'utilisateur


▪ Encapsulation de n'importe quel protocole transporté dans la trame PPP.

• Permet de négocier le LCP et l’authentification de


l'utilisateur :
▪ Données de négociation recueillies expédiées au LNS.

40
L2TP Network Server

• Équipement final de la connexion PPP

41

L2TP – Résumé
• Schéma protocolaire d'établissement de tunnel

42
L2TP/IPSec : Encapsulation

43

Quelques Liens

•Virtual Private Networking in Windows 2000: An Overview.


Microsoft – White paper.

• Les protocoles de tunnelisation et de sécurisation des échanges.


(HervéSchauer Consultants)

• Le protocole PPP - Transparents Ghislaine Labouret


(www.labouret.net/ppp)

• How Virtual Private Networks work. Cisco – White paper.

• Microsoft L2TP/IPSec VPN Client Overview

• RFC 2661 - Document de normalisation de L2TP

44