Vous êtes sur la page 1sur 13

Les RPV (Réseaux Privés Virtuels) ou VPN (Virtual

Private Networks)
TODARO Cédric

Table des matières


1 De quoi s’agit-il ? 3
1.1 Introduction . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3
1.2 Avantages . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3
1.2.1 Économique . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3
1.2.2 Sécurité . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3

2 Trois cas de figure ! 4


2.1 VPN d’accès . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4
2.2 Intranet VPN . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4
2.3 Extranet VPN . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5

3 Éléments constitutifs 6

4 Les fonctionnalités 7

5 Les protocoles 8

6 Mise en œuvre 9

7 Solutions matérielles et logicielles 10


7.1 Solutions matérielles . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10
7.1.1 Solution "VPN Intégrés" . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10

1
TABLE DES MATIÈRES

7.1.2 Solution "VPN Autonomes" . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11


7.2 Solutions logicielles . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12

2 / 13
1 De quoi s’agit-il ?
1.1 Introduction
VPN signifie Virtual Private Network, ce que nous traduisons par RPV : Réseau Privé Virtuel.
C’est une technologie qui permet d’envoyer des données entre des ordinateurs appartenant
à des sites distants, par l’intermédiaire d’un inter-réseau public de la même manière que s’il
s’agissait d’une liaison privée point à point.

Il faut bien comprendre ce modèle : on construit par des moyens logiciels un réseau privé
au-dessus d’une infrastructure publique (Internet ou un réseau d’opérateur).

F IGURE 1 – Principe d’un VPN

1.2 Avantages
1.2.1 Économique

La particularité du VPN est justement qu’il peut bénéficier du support du réseau Internet,
gratuit dès lors que l’on possède des abonnements, plutôt que d’utiliser les lignes privées louées
qui ont l’inconvénient d’être onéreuses.

La principale raison pour implémenter un VPN est donc l’économie supposée par rapport à
tout autre type de connexion. Bien que les VPN nécessitent l’acquisition de produits matériels
et logiciels supplémentaires, le coût à terme de ce genre de communication est moindre.
L’entreprise ne paye que l’accès à l’Internet via son FAI et non une communication nationale
dans le cas d’une liaison RNIS ou un forfait dans le cas d’une Liaison spécialisée.

1.2.2 Sécurité

La technologie VPN assure la sécurité lors des connexions d’utilisateurs distants au réseau
interne de l’entreprise, notamment grâce au cryptage des données.

3 / 13
2 Trois cas de figure !
Il faut tout de suite noter qu’il existe trois types de connexion VPN :
– VPN d’accès
– Intranet VPN
– Extranet VPN

2.1 VPN d’accès


La connexion VPN d’accès distant qui sert à connecter un ordinateur à utilisateur unique à
un réseau privé. L’exemple type est une connexion VPN entre un télétravailleur et l’intranet de
son entreprise. On se sert ainsi aujourd’hui beaucoup de connexion VPN pour remplacer les
connexions RTC longue distance avec les collaborateurs itinérants. Ce type de connexion VPN
est nommé VPN d’Accès.

F IGURE 2 – VPN d’accès

L’utilisateur doit disposer d’une ligne d’accès à Internet. Sur son ordinateur, il configure une
connexion VPN à l’aide d’un « client » fourni par son entreprise (client Cisco VPN par exemple).

2.2 Intranet VPN


La connexion VPN routeur à routeur reliant deux portions de réseau privé éloignées mais
appartenant à la même entreprise. L’exemple type est une connexion VPN entre le siège d’une
société et une de ses agences. Ce type de connexion VPN est nommé Intranet VPN.

F IGURE 3 – Intranet VPN

4 / 13
2.3 Extranet VPN

2.3 Extranet VPN


La connexion VPN routeur à routeur reliant les réseaux privés de deux entreprises entretenant
des rapports commerciaux (client et fournisseur). Ce type de connexion VPN est nommé
Extranet VPN.

F IGURE 4 – Extranet VPN

Dans le cas d’une connexion VPN routeur à routeur (Intranet ou Extranet VPN) , il convient
de configurer précisément ces routeurs, de telle sorte que les deux réseaux privés sembleront
pouvoir dialoguer comme s’ils étaient simplement séparés par un seul routeur, occultant ainsi
Internet.

Cette solution est actuellement en grand développement. Elle est adaptée à la situation
très fréquente suivante : les sites A et B disposent chacun d’un abonnement internet, et de
ce fait dispose chacun d’une seule adresse IP publique, fournie par le FAI. La connexion VPN
permettra (en théorie) à n’importe quelle poste du site A d’entrer en communication avec
n’importe quel poste du site B.

5 / 13
3 Éléments constitutifs
Dans le cas d’une connexion VPN d’accès distant, plusieurs éléments sont nécessaires :
– le serveur VPN : situé dans l’entreprise, qui accepte les connexions VPN des clients.
– le client VPN : distant, qui se connecte au serveur VPN.
– le tunnel : portion de connexion dans laquelle les données sont encapsulées.
– la connexion VPN : portion de connexion dans laquelle les données sont chiffrées.

F IGURE 5 – Client / Serveur / Tunnel VPN

En fait, dans une connexion VPN sécurisée, les données sont chiffrées et encapsulées dans la
même portion de la connexion. Tout cela se réalise avec des protocoles de "Tunneling" décrits
au §5.

6 / 13
4 Les fonctionnalités
Un système de VPN sécurisé doit pouvoir mettre en oeuvre les fonctionnalités suivantes :
– Authentification d’utilisateur : Seuls les utilisateurs autorisés doivent pouvoir s’identifier sur
le réseau virtuel. Un historique des connexions et des actions effectuées sur le réseau peut
être défini et conservé. Inversement, le client peut également être amené à authentifier le
serveur afin de se protéger des faux serveurs VPN.
– Gestion d’adresses : Chaque client sur le réseau dispose d’une adresse privée et confi-
dentielle. Un nouveau client doit pourvoir se connecter facilement au réseau et recevoir
une adresse.
– Cryptage des données : Lors de leur transport sur le réseau public les données doivent
être protégées par un cryptage efficace.
– Gestion de clés : Les clés de cryptage pour le client et le serveur doivent pouvoir être
générées et régénérées.
– Prise en charge multiprotocole : La solution VPN doit supporter les protocoles les plus utilisés
sur les réseaux publics en particulier IP.

La mise en œuvre d’un VPN aboutit à l’encapsulation des données, avec ajout d’un en-tête
aux données privées afin de leur permettre de traverser Internet.

VPN est un principe : il ne décrit pas l’implémentation effective de ces caractéristiques. C’est
pourquoi il existe plusieurs produits différents sur le marché dont certains sont devenus standard,
et même considérés comme des normes.

7 / 13
5 Les protocoles
Les protocoles permettant un tunneling sécurisé se classent en deux catégories (qui ne
s’excluent pas !) :
– Les protocoles de niveau 2 comme PPTP (soutenu par Microsoft), L2F (développé par Cisco)
et L2TP (évolution reprenant les avantages des 2 précédents), tous étant dépendants de
PPP.

F IGURE 6 – Configuration client sous Windows 7

– Les protocoles de niveau 3 comme IpSec ou MPLS.

F IGURE 7 – Tunnel IPSEC

– A ces deux catégories peut s’ajouter le protocole SSL, de niveau 4, dans le cadre de
VPN-SSL.

F IGURE 8 – Logo Secure Sockets Layer

8 / 13
6 Mise en œuvre
Deux scénarios sont envisageables quant au positionnement du serveur VPN de l’entreprise.
– Serveur VPN en périphérie de réseau : Ici, le serveur VPN est aussi le serveur Proxy qui
donne accès à Internet pour le LAN ; il est également le pare-feu du réseau local et assure
le mécanisme NAT. Il dispose forcément de 2 interfaces réseau.

F IGURE 9 – Serveur VPN en périphérie de réseau

– Serveur VPN à l’intérieur d’une DMZ : La configuration des éléments sera plus ou moins
complexe selon la topologie du réseau de l’entreprise. Nous pouvons citer quelques
logiciel serveurs VPN (OpenVPN, UltraVPN, EasyVPN mais aussi son intégration dans les
versions serveur de windows).

F IGURE 10 – Serveur VPN à l’intérieur de la DMZ

9 / 13
7 Solutions matérielles et logicielles
7.1 Solutions matérielles
L’offre actuelle de solutions VPN est répartie en deux catégories : VPN autonomes et VPN intégrées,
comprenant par exemple les pare-feu (firewall) ou les routeurs VPN. Ce sont les solutions VPN in-
tégrées qui offrent potentiellement les plus importantes économies de coûts. Actuellement, des
pare-feu déjà déployés, comme le "Cisco PIX", le "Nokia Checkpoint Firewall" et le "Watchguard
Firebox", intègrent déjà des capacités VPN en option.

7.1.1 Solution "VPN Intégrés"

Pratiquement tous les routeurs, y compris les routeurs d’accès modulaires Cisco, intègrent
également une solution VPN. Le coût associé à ces solutions est généralement déjà compris
dans le coût du routeur ou du pare-feu. Dans ce type de scénario, activer des services VPN ne
nécessite que quelques paramétrages du pare-feu ou du routeur.

Comme l’utilisation de réseaux VPN se fait généralement dans le cadre d’une politique de
sécurité réseau complète, disposer d’une solution VPN intégrée peut permettre de réaliser des
économies considérables en termes d’administration, notamment dans des environnements
qui comprennent plusieurs pare-feu, routeurs et passerelles VPN.

Le Routeur Cisco 892 1 est un bon exemple d’un solution intégrée.

F IGURE 11 – Cisco 892 - Routeur 10/100/1000 jusqu’à 50 tunnels VPN

1. Cisco892 sur le site ndm.net - http://www.ndm.net/lan/Cisco/cisco-892-integrated-services-router

10 / 13
7.1 Solutions matérielles

7.1.2 Solution "VPN Autonomes"

Les solutions VPN autonomes, que l’on appelle généralement des concentrateurs VPN,
trouvent principalement leur place dans les entreprises ayant besoin de gérer plusieurs milliers
de connexions VPN simultanées. Aucune solution VPN intégrée et aucun serveur VPN n’offre
autant de fiabilité, de performances et une telle capacité de montée en puissance. Le coût,
en revanche, s’en ressent et vous risquez de payer très cher un concentrateur VPN d’entreprise
qui offre ce type de fonctionnalités.

Nous pouvons citer en exemple, le DIGI Transport VC7400 2 gérant jusqu’à 3000 tunnels VPN.

F IGURE 12 – VC7400 - Jusqu’à 3000 tunnels VPN

2. Documentation technique du VC7400 - http://www.digi.com/pdf/ds_digitransportvc7400.pdf

11 / 13
7.2 Solutions logicielles

7.2 Solutions logicielles


Il faut aussi considérer les options offertes par la mise en place d’un serveur VPN pour des
connexions sécurisées via internet.

Microsoft, Novell, UNIX, AS400 et Linux permettent d’utiliser des services VPN (certains mieux
que d’autres). Il est probable que vous utilisiez déjà ces systèmes d’exploitation et que vous les
maîtrisiez.

Mettre en place un serveur VPN peut vous faire réaliser des économies importantes si vous ne
disposez pas d’un pare-feu ou d’un routeur VPN.

F IGURE 13 – OpenVPN (Linux/Windows)


F IGURE 14 – OpenSWAN (Linux)

F IGURE 16 – plus simplement dans l’OS du ser-


F IGURE 15 – Tinc (Linux) veur

Utiliser des serveurs VPN implique généralement une meilleure intégration dans le réseau,
notamment pour l’authentification. Les entreprises qui utilisent principalement Microsoft pourront
bénéficier de l’intégration transparente des services VPN dans Windows 2000 et éventuellement
de ISA Server quand il s’agit de créer des services VPN en conjonction avec Active Directory,
les certificats et les cartes à puce (smart cards ).

Les postes clients ou les sites sous système d’exploitation Microsoft n’auront pas de problèmes
particuliers pour installer ou utiliser des logiciels client VPN.

Mais les économies de coûts s’arrêteront là. En termes de sécurité, de fiabilité et de coût,
les serveurs VPN ne sont pas la panacée. Cela ne surprendra personne qu’une solution VPN
matérielle offre une meilleure fiabilité qu’une solution basée sur un système d’exploitation
serveur comme ceux de Microsoft.

Il en va de même pour les pare-feu et les routeurs. Les coûts associés à la maintenance et à
l’administration s’ajoutent au forfait mensuel. De plus, le coût de la mise en place d’un serveur
VPN peut dépasser les 2500 dollars ( 2600 euros) , si vous additionnez le coût du matériel et des
logiciels (sauf Linux qui est l’exception qui confirme la règle).

12 / 13
TABLE DES FIGURES

Table des figures


1 Principe d’un VPN . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3
2 VPN d’accès . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4
3 Intranet VPN . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4
4 Extranet VPN . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5
5 Client / Serveur / Tunnel VPN . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6
6 Configuration client sous Windows 7 . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8
7 Tunnel IPSEC . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8
8 Logo Secure Sockets Layer . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8
9 Serveur VPN en périphérie de réseau . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9
10 Serveur VPN à l’intérieur de la DMZ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9
11 Cisco 892 - Routeur 10/100/1000 jusqu’à 50 tunnels VPN . . . . . . . . . . . . . . . . 10
12 VC7400 - Jusqu’à 3000 tunnels VPN . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11
13 OpenVPN (Linux/Windows) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12
14 OpenSWAN (Linux) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12
15 Tinc (Linux) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12
16 plus simplement dans l’OS du serveur . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12

13 / 13

Vous aimerez peut-être aussi