Vous êtes sur la page 1sur 26

DMZ

INTRODUCTION
Le DMZ veut dire zone démilitarisées, une notion beaucoup utilisée en réseau. DMZ, c’est quoi ?
Comment ça fonctionne ?

En première partie, je vais illustrer le principe de fonctionnement du DMZ. Puis en seconde partie, je
vais le expliquer fonctionnement du pare-feu.

I. PRINCIPE

Une zone démilitarisée sur un réseau va nous permettre de proposer un certain nombre de services à
l’extérieur et à l’intérieur du réseau, tout en protégeant ce réseau.

Qu’est-ce que cela veut dire ?

Regardons le schéma ci-dessus. Il y a le réseau interne, votre réseau actuel ; le réseau externe, internet
; le DMZ avec le pare-feu, un serveur web et un serveur de messagerie, côté interne, mais qui reste
disponible dans la DMZ.

Une DMZ est accessible à la fois par le réseau interne et le réseau externe. Cependant, le réseau
externe n’aura pas accès au réseau interne. Par contre, le réseau interne, lui, aura accès au réseau
externe.

II. LE PARE-FEU

Un pare-feu peut être sous la forme d’un logiciel ou d’un composant matériel. Il défend un ordinateur
local contre les virus ou les attaques malveillantes.
Revenons au schéma du début. Via le pare-feu, il y a les communications interdites, les lignes blanches.
Il y a aussi une communication autorisée, la ligne noire, celle-ci va nous permettre de comprendre que
notre réseau interne va pouvoir accéder à l’extérieur, aux serveurs web et de messagerie. De la même
façon, le réseau externe va pouvoir accéder aux serveurs web et de messagerie, mais lui n’aura pas
accès au réseau interne.

Ces règles sont appliquées sur le pare-feu. C’est par rapport au pare-feu, que nous pourrions définir si
ce n’est qu’une plage du réseau interne qui pourra accéder au réseau externe. En fonction de l’adresse
IP qu’elle a et de la plage du sous-réseau où elle se trouve, nous pourrions donc définir ses accès.

Ce qui ce passe, c’est qu’une DMZ va nous permettre par exemple d’émerger un serveur web, sur notre
propre réseau interne. De permettre d’offrir au réseau externe l’accès. Sans pour autant que la totalité
de notre réseau soit accessible, par exemple les machines utilisateurs.

Si vous utilisez sur votre ordinateur WAMP. Vous ouvrez votre port 80 de votre box internet. Vous
natez votre port sur votre machine. Si vous bloquez votre pare-feu pour cette machine uniquement et
que toutes les autres ne sont pas accessibles via le port 80 et via votre box. Alors, on pourrait dire que
votre machine sert en fait de DMZ.

Un autre schéma démontrant un DMZ. Nous pouvons voir que toutes les connexions passent par le
pare-feu. Elles sont dirigées vers la DMZ si les ports l’autorisent, sinon bloquées au pare-feu et de
même les postes clients ont eu accès vers le routeur internet et l’extérieur, mais aussi à l’aide du DMZ.

Conclusion

Pour conclure, une zone démilitarisée va nous permettre d’échanger avec l’extérieur, sans pour autant
mettre en danger notre réseau interne. Une notion très simple à comprendre, un pare-feu, un réseau
externe qui n’a pas accès au réseau interne, mais qui a accès à un certain nombre de service qui se
trouve avant le réseau interne.
En informatique, une zone démilitarisée, ou DMZ (en anglais, demilitarized zone) est un sous-réseau
séparé du réseau local et isolé de celui-ci et d'Internet (ou d'un autre réseau) par un pare-feu. Ce sous-
réseau contient les machines étant susceptibles d'être accédées depuis Internet, et qui n'ont pas
besoin d'accéder au réseau local.

Les services susceptibles d'être accédés depuis Internet seront situés en DMZ, et tous les flux en
provenance d'Internet sont redirigés par défaut vers la DMZ par le firewall. Le pare-feu bloquera donc
les accès au réseau local à partir de la DMZ pour garantir la sécurité. En cas de compromission d'un
des services dans la DMZ, le pirate n'aura accès qu'aux machines de la DMZ et non au réseau local.

Le nom provient à l'origine de la zone coréenne démilitarisée [réf. nécessaire].

La figure ci-contre représente une architecture DMZ avec un pare-feu à trois interfaces. L'inconvénient
est que si cet unique pare-feu est compromis, plus rien n'est contrôlé. Il est cependant possible
d'utiliser deux pare-feu en cascade afin d'éliminer ce risque. Il existe aussi des architectures de DMZ
où celle-ci est située entre le réseau Internet et le réseau local, séparée de chacun de ces réseaux par
un pare-feu.
FIREWALL
Un pare-feu1 (de l'anglais firewall) est un logiciel et/ou un matériel permettant de faire respecter la
politique de sécurité du réseau, celle-ci définissant quels sont les types de communications autorisés
sur ce réseau informatique. Il surveille et contrôle les applications et les flux de données (paquets).

I. FONCTIONNEMENT GENERAL
Le pare-feu est jusqu'à ces dernières années considéré comme une des pierres angulaires de la sécurité
d'un réseau informatique (il perd en importance au fur et à mesure que les communications basculent
vers le HTTP sur TLS (Transport Layer Security (TLS) ou Sécurité de la couche de transport, et son
prédécesseur Secure Sockets Layer (SSL), sont des protocoles de sécurisation des échanges sur
Internet. Le protocole SSL a été développé à l'origine par Netscape. L'IETF en a poursuivi le
développement en le rebaptisant Transport Layer Security (TLS). On parle parfois de SSL/TLS pour
désigner indifféremment SSL ou TLS), court-circuitant tout filtrage). Il permet d'appliquer une politique
d'accès aux ressources réseau (serveurs).

Il a pour principale tâche de contrôler le trafic entre différentes zones de confiance, en filtrant les flux
de données qui y transitent. Généralement, les zones de confiance incluent Internet (une zone dont la
confiance est nulle) et au moins un réseau interne (une zone dont la confiance est plus importante).

Le but est de fournir une connectivité contrôlée et maîtrisée entre des zones de différents niveaux de
confiance, grâce à l'application de la politique de sécurité et d'un modèle de connexion basé sur le
principe du moindre privilège.

Le filtrage se fait selon divers critères. Les plus courants sont :

l'origine ou la destination des paquets (adresse IP, ports TCP ou UDP, interface réseau, etc.) ;

les options contenues dans les données (fragmentation, validité, etc.) ;

les données elles-mêmes (taille, correspondance à un motif, etc.) ;

les utilisateurs pour les plus récents.

Un pare-feu fait souvent office de routeur et permet ainsi d'isoler le réseau en plusieurs zones de
sécurité appelées zones démilitarisées ou DMZ. Ces zones sont séparées suivant le niveau de confiance
qu'on leur porte.

Enfin, le pare-feu est également souvent situé à l'extrémité de tunnel IPsec ou TLS. L'intégration du
filtrage de flux et de la gestion du tunnel est en effet nécessaire pour pouvoir à la fois protéger le trafic
en confidentialité et intégrité et filtrer ce qui passe dans le tunnel. C'est le cas notamment de plusieurs
produits du commerce nommés dans la liste ci-dessous.
II. Catégories de pare-feu
Les pare-feux sont un des plus vieux équipements de sécurité informatique et, en tant que tel, ont
subit à de nombreuses évolutions. Suivant la génération du pare-feu ou son rôle précis, on peut les
classer en différentes catégories.

a. Pare-feu sans état (stateless firewall)

C'est le plus vieux dispositif de filtrage réseau, introduit sur les routeurs. Il regarde chaque paquet
indépendamment des autres et le compare à une liste de règles préconfigurées.

Ces règles peuvent avoir des noms très différents en fonction du pare-feu :

« ACL » pour Access Control List (certains pare-feux Cisco),

politique ou policy (pare-feu Juniper/Netscreen),

filtres,

règles ou rules,

etc.

La configuration de ces dispositifs est souvent complexe et l'absence de prise en compte des machines
à états des protocoles réseaux ne permet pas d'obtenir une finesse du filtrage très évoluée. Ces pare-
feux ont donc tendance à tomber en désuétude mais restent présents sur certains routeurs ou
systèmes d'exploitation.

b. Pare-feu à états (stateful firewall)

Certains protocoles dits « à états » comme TCP introduisent une notion de connexion. Les pare-feux à
états vérifient la conformité des paquets à une connexion en cours. C’est-à-dire qu'ils vérifient que
chaque paquet d'une connexion est bien la suite du précédent paquet et la réponse à un paquet dans
l'autre sens. Ils savent aussi filtrer intelligemment les paquets ICMP qui servent à la signalisation des
flux IP.

Enfin, si les ACL autorisent un paquet UDP caractérisé par un quadruplet (ip_src, port_src, ip_dst,
port_dst) à passer, un tel pare-feu autorisera la réponse caractérisée par un quadruplet inversé, sans
avoir à écrire une ACL inverse. Ceci est fondamental pour le bon fonctionnement de tous les protocoles
fondés sur l'UDP, comme DNS par exemple. Ce mécanisme apporte en fiabilité puisqu'il est plus sélectif
quant à la nature du trafic autorisé. Cependant dans le cas d'UDP, cette caractéristique peut être
utilisée pour établir des connexions directes (P2P) entre deux machines (comme le fait Skype par
exemple).
c. Pare-feu applicatif

Dernière génération de pare-feu, ils vérifient la complète conformité du paquet à un protocole


attendu. Par exemple, ce type de pare-feu permet de vérifier que seul le protocole HTTP passe par le
port TCP 80. Ce traitement est très gourmand en temps de calcul dès que le débit devient très
important. Il est justifié par le fait que de plus en plus de protocoles réseaux utilisent un tunnel TCP
afin de contourner le filtrage par ports.

Une autre raison de l'inspection applicative est l'ouverture de ports dynamique. Certains protocoles
comme FTP, en mode passif, échangent entre le client et le serveur des adresses IP ou des ports
TCP/UDP. Ces protocoles sont dits « à contenu sale » ou « passant difficilement les pare-feux » car ils
échangent au niveau applicatif (FTP) des informations du niveau IP (échange d'adresses) ou du niveau
TCP (échange de ports). Ce qui transgresse le principe de la séparation des couches réseaux. Pour cette
raison, les protocoles « à contenu sale » passent difficilement voire pas du tout les règles de NAT
...dynamiques, à moins qu'une inspection applicative ne soit faite sur ce protocole.

Chaque type de pare-feu sait inspecter un nombre limité d'applications. Chaque application est gérée
par un module différent pour pouvoir les activer ou les désactiver. La terminologie pour le concept de
module est différente pour chaque type de pare-feu : par exemple : Le protocole HTTP permet
d'accéder en lecture sur un serveur par une commande GET, et en écriture par une commande PUT.
Un pare-feu applicatif va être en mesure d'analyser une connexion HTTP et de n'autoriser les
commandes PUT qu'à un nombre restreint de machines.

d. Pare-feu identifiant

Un pare-feu réalise l’identification des connexions passant à travers le filtre IP. L'administrateur peut
ainsi définir les règles de filtrage par utilisateur et non plus par adresse IP ou adresse MAC, et ainsi
suivre l'activité réseau par utilisateur.

Plusieurs méthodes différentes existent qui reposent sur des associations entre IP et utilisateurs
réalisées par des moyens variés. On peut par exemple citer authpf [archive] (sous OpenBSD) qui utilise
ssh pour faire l'association. Une autre méthode est l'identification connexion par connexion (sans avoir
cette association IP = utilisateur et donc sans compromis sur la sécurité), réalisée par exemple par la
suite NuFW, qui permet d'identifier également sur des machines multi-utilisateurs.

On pourra également citer Cyberoam qui fournit un pare-feu entièrement basé sur l'identité (en réalité
en réalisant des associations adresse MAC = utilisateur) ou Check Point avec l'option NAC Blade qui
permet de créer des règles dynamiques basée sur l'authentification Kerberos d'un utilisateur, l'identité
de son poste ainsi que son niveau de sécurité (présence d'antivirus, de patchs particuliers).

e. Pare-feu personnel

Les pare-feux personnels, généralement installés sur une machine de travail, agissent comme un pare-
feu à états. Bien souvent, ils vérifient aussi quel programme est à l'origine des données. Le but est de
lutter contre les virus informatiques et les logiciels espions.

f. Portail captif

Les portails captifs sont des pare-feux dont le but est d'intercepter les usagers d'un réseau de
consultation afin de leur présenter une page web spéciale (par exemple : avertissement, charte
d'utilisation, demande d'authentification, etc.) avant de les laisser accéder à Internet. Ils sont utilisés
pour assurer la traçabilité des connexions et/ou limiter l'utilisation abusive des moyens d'accès. On les
déploie essentiellement dans le cadre de réseaux de consultation Internet mutualisés filaires ou Wi-Fi
g. Technologies utilisées

Les pare-feux récents embarquent de plus en plus de fonctionnalités, parmi lesquelles on peut citer :

 Filtrage sur adresses IP / protocole,


 Inspection stateful2 et applicative,
 Intelligence artificielle pour détecter le trafic anormal,
 Filtrage applicatif :
 HTTP (restriction des URL accessibles),
 Courriel (Anti-pourriel),
 Logiciel antivirus, anti-logiciel malveillant

Traduction d'adresse réseau,

Tunnels IPsec, PPTP, L2TP,

Identification des connexions,

Serveurs de protocoles de connexion (telnet, SSH), de protocoles de transfert de fichier (SCP),

Clients de protocoles de transfert de fichier (TFTP),

Serveur Web pour offrir une interface de configuration agréable,

Serveur mandataire (« proxy » en anglais),

Système de détection d'intrusion (« IDS » en anglais)

Système de prévention d'intrusion (« IPS » en anglais)


PROXY
Un proxy est un composant logiciel informatique qui joue le rôle d'intermédiaire en se plaçant entre
deux hôtes pour faciliter ou surveiller leurs échanges.

Dans le cadre plus précis des réseaux informatiques, un proxy est alors un programme servant
d'intermédiaire pour accéder à un autre réseau, généralement internet. Par extension, on appelle aussi
« proxy » un matériel comme un serveur mis en place pour assurer le fonctionnement de tels services.

Attention : le proxy se situe au niveau de la couche application (HTTP, FTP, SSH, etc. de niveau 7). Une
erreur commune est d'utiliser la commande traceroute (ou tracert sous Windows) pour tenter de voir
le proxy. Il n'apparaît pas, car cette commande qui utilise le protocole réseau IP de niveau 3 ne peut
pas connaître le proxy.

I. Proxy réseau

Dans l'environnement plus particulier des réseaux, un serveur proxy (ou « serveur mandataire », en
français1) est une fonction informatique client-serveur qui a pour fonction de relayer des requêtes
entre une fonction cliente et une fonction serveur (couches 5 à 7 du modèle OSI).

Les serveurs proxys sont notamment utilisés pour assurer les fonctions suivantes :

 accélération de la navigation : mémoire cache, compression de données, filtrage des publicités


ou des contenus lourds (java, flash) ;
 la journalisation des requêtes (historique) ;
 la sécurité du réseau local ;
 le filtrage et l'anonymat.
II. Accès internet

Les fournisseurs d'accès à Internet (FAI) peuvent proposer des proxys pour la connexion de leurs
abonnés. Il faut pour cela que l'abonné paramètre correctement son système (via un logiciel
d'installation fourni par le FAI).

Mais il est également possible que le fournisseur d'accès utilise un proxy transparent (sans
configuration par l'utilisateur). Ce proxy permet par exemple au fournisseur d'accès de connaître les
habitudes de navigation de ses abonnés ou de réduire le nombre d'accès effectifs aux sites distants.

L'utilité des serveurs proxys est importante, notamment dans le cadre de la sécurisation des systèmes
d'information.

Par exemple, il est presque systématique en entreprise ou dans les établissements scolaires que l'accès
internet se fasse à travers un serveur proxy. L'internaute ne voit pas la différence, sauf quand il tente
de naviguer sur un site interdit, auquel cas il pourra recevoir un message d'erreur : un tel proxy est
appelé proxy filtrant. Il se peut aussi qu'une boite de dialogue s'ouvre et demande un identifiant et un
mot de passe avant de pouvoir surfer sur internet.

À l'inverse, un proxy peut aussi servir à contourner les filtrages. Supposons le cas d'un pays qui bloque
l'accès à certains sites considérés comme « subversifs », mais qui effectue ce filtrage uniquement en
se basant sur l'adresse du site que l'on souhaite visiter. Dans ce cas, en utilisant un proxy comme
intermédiaire (situé dans un autre pays donc non affecté par le filtrage), on peut s'affranchir du filtrage
(sauf bien sûr si l'adresse du proxy est elle-même interdite).

Le principe fonctionne également dans l'autre sens. Supposons qu'un site web n'accepte que les
internautes d'un certain pays (exemple concret : un site de campagne présidentielle américain qui
n'accepte que les connexions venant des États-Unis). Dans ce cas, en passant par un proxy situé aux
États-Unis, un internaute français pourra visiter le site.

Un troisième rôle du proxy est de compliquer la remontée vers l'internaute (anonymisation). Dans
l'exemple précédent, on a trompé le site américain qui n'était pas capable de remonter jusqu'à
l'internaute à travers le proxy. Certaines techniques avancées permettent de remonter à travers le
proxy. Dans ce cas, un internaute pourra utiliser de nombreux proxys en chaîne comme le réseau The
Onion Router (Tor) et stopper la connexion avant que ceux qui le traquent ne soient remontés jusqu'à
lui.
III. Proxy web
Normalement, l'utilisation d'un proxy complet se fait en configurant son navigateur ou son ordinateur.
Mais il existe une catégorie de proxy beaucoup plus simple d'utilisation : les proxys web. Il s'agit d'un
simple site web dont la page offre un champ permettant de taper l'adresse du site que l'on souhaite
visiter. Une fois saisie, la page demandée est affichée à l'intérieur de la première page. Mais l'adresse
qui apparaît dans la barre d'adresse est toujours celle du proxy.

Ce type de proxy est moins puissant qu'un proxy normal. En effet, les pages utilisant des techniques
avancées pour se mettre à jour elles-mêmes (AJAX) ne « savent » pas qu'elles passent par un proxy, et
donc tentent d'atteindre leurs serveurs directement. Si ce serveur était interdit, alors la requête
échoue. Par exemple, le proxy web Glype ne permet pas de consulter des sites comme Facebook ou
YouTube. La plupart des proxys web ne permettent pas non plus d'utiliser des sites sécurisés utilisant
HTTPS, comme les banques par exemple.

De nombreux proxys web sont disponibles gratuitement sur internet, principalement pour permettre
à des internautes de contourner les protections de leurs lieux de surf (entreprise, école, comme
expliqué précédemment). La plupart se financent en affichant de la publicité en plus de la page
demandée. Mais certains peuvent aussi essayer de capturer les mots de passe ou toute autre
information sensible (numéro de carte bancaire) ou même rediriger l'internaute vers un faux site. Il
faut donc être extrêmement prudent avant d'utiliser un proxy gratuit sur internet.

Le principe des proxys web est utilisé par les bibliothèques universitaires pour permettre à leurs
usagers d'accéder à des ressources en ligne pour lesquelles elles disposent d'un abonnement.
L'adresse IP du serveur proxy est déclarée auprès du prestataire qui donne accès au contenu aux
usagers passant à travers le proxy et se présentant donc avec l'adresse IP autorisée. Le système le plus
utilisé pour cet usage est EZproxy.
IV. Quelques serveurs proxy logiciels Pour HTTP
 Squid : serveur open source le plus utilisé.
 Gatejs : serveur et proxy HTTP open source avec comme objectif la performance, la
simplification et la factorisation des codes informatique.
 Privoxy : serveur open source dont l'objectif est la protection des informations personnelles
des utilisateurs. Le nom « Privoxy » vient de la contraction de « privacy » et « proxy ».
 FreeProxy (en) : serveur permettant une navigation anonyme et sécurisée sur le Web.
 JanusVM : serveur permettant une navigation anonyme et sécurisée sur le Web.
 JonDonym (auparavant nommé JAP pour Java Anon Proxy) : logiciel populaire et open source
pour connecter aux chaînes des anonymiseurs.
 Ghost navigator : navigateur web pré-configuré pour se connecter à plusieurs serveurs proxys
répartis dans plusieurs pays.
 TcpCatcher : serveur proxy TCP et HTTP gratuit à but éducatif.
 Microsoft Forefront Threat Management Gateway (en) : logiciel proposant un proxy et un
pare-feu.
 Varnish : serveur proxy simple et efficace.
 Proxy Olfeo : logiciel proposant un proxy en SaaS.
Programmés en PHP :
 Proxys mis en œuvre sur un serveur web, par exemple PHProxy2 ou Glype3.
Pour SSH
 SSH Proxy : serveur proxy open source pour le protocole SSH.
Pour IMAP
 ImapProxy : serveur proxy open source pour le protocole IMAP.

Pour SMTP
 SMAP : serveur proxy pour le protocole SMTP.

Multi-protocoles
 DeleGate (networking) (en) : serveur proxy multiplateforme multi-usage mandaté au niveau
applicatif ou au niveau session.
LOGICIELS DE FILTRAGE DE PAQUETS

I. Analyseur de paquets
Un analyseur de paquetsnote 1 est un logiciel pouvant lire ou enregistrer des données transitant par
le biais d'un réseau local non-commuté. Il permet de capturer chaque paquet du flux de données (en)
traversant le réseau, voire, décoder les paquets de données brutes, afficher les valeurs des divers
champs du paquet, et analyser leur contenu conformément aux spécifications ou RFC appropriées.
L'analyseur de paquets permet ainsi la résolution de problèmes réseaux en visualisant ce qui passe à
travers l'interface réseau, mais peut également servir à effectuer de la rétro-ingénierie réseau à des
buts d'interopérabilité, de sécurité ou de résolution de problème. Il peut aussi être utilisé pour
intercepter des mots de passe qui transitent en clair ou toute autre information non-chiffrée pour sa
capacité de consultation aisée des données non-chiffrées.

II. Fonctionnement
Lorsqu'une machine veut communiquer avec une autre sur un réseau non-commuté (relié par un hub
ou câblé en câble coaxial, qui sont des techniques obsolètes), elle envoie ses messages sur le réseau à
l'ensemble des machines et normalement seule la machine destinataire intercepte le message pour le
lire, alors que les autres l'ignorent. Ainsi en utilisant la méthode du reniflage (anglais sniffing), il est
possible d'écouter le trafic passant par un adaptateur réseau (carte réseau, carte réseau sans fil, etc.).

Pour pouvoir écouter tout le trafic sur une interface réseau, celle-ci doit être configurée dans un mode
spécifique, le « mode promiscuous ». Ce mode permet d'écouter tous les paquets passant par
l'interface, alors que dans le mode normal, le matériel servant d'interface réseau élimine les paquets
n'étant pas à destination de l'hôte. Par exemple, il n'est pas nécessaire de mettre la carte en mode «
promiscuous » pour avoir accès aux mots de passe transitant sur un serveur FTP, vu que tous les mots
de passe sont à destination dudit serveur.

Le renifleur de paquets (packet sniffer) décompose ces messages et les rassemble, ainsi les
informations peuvent être analysées à des fins frauduleuses (détecter des logins, des mots de passe,
des emails), analyser un problème réseau, superviser un trafic ou encore faire de la rétro-ingénierie.

III. Sécurité
La solution à ce problème d'indiscrétion est d'utiliser des protocoles de communication chiffrés,
comme SSH (SFTP, scp), SSL (HTTPS ou FTPS) (et non des protocoles en clair comme HTTP, FTP, Telnet).

La technique du reniflage peut être ressentie comme profondément malhonnête et indélicate, mais
elle est souvent nécessaire lorsque l'on est à la recherche d'une panne
PFSENSE
pfSense est un routeur/pare-feu open source basé sur le système d'exploitation FreeBSD. À l'origine
un fork de m0n0wall, il utilise le pare-feu à états Packet Filter, des fonctions de routage et de NAT lui
permettant de connecter plusieurs réseaux informatiques. Il comporte l'équivalent libre des outils et
services utilisés habituellement sur des routeurs professionnels propriétaires. pfSense convient pour
la sécurisation d'un réseau domestique ou de petite entreprise.

Après une brève installation manuelle pour assigner les interfaces réseaux, il s'administre ensuite à
distance depuis l'interface web et gère nativement les VLAN (802.1q).

Comme sur les distributions Linux, pfSense intègre aussi un gestionnaire de paquets pour installer des
fonctionnalités supplémentaires, comme un proxy, serveur VoIP1...

pfSense peut fonctionner sur du matériel de serveur ou domestique, sur des solutions embarquées,
sans toutefois demander beaucoup de ressources ni de matériel puissant.

La plate-forme doit être x86 ou x64, mais d'autres architectures pourraient être supportées à l'avenir

Configuration requise

pfsense peut être téléchargé en différentes versions selon le type d'utilisation et d'installation (avec
un moniteur et un clavier, ou par liaison série) :

Live CD with Installer, pour pouvoir l'installer vers le disque dur depuis un CD d'installation classique.

Live CD with Installer (on USB Memstick), adapté pour une installation depuis une clé USB.

Embedded Ce type d'installation est typiquement utilisé sur les systèmes embarqués où par manque
de place, pfSense est installé directement sur une carte mémoire ou sur une clé USB, sans recourir à
un disque dur. Cette version fonctionne spécialement sous NanoBSD pour réduire les accès à la carte
mémoire afin de ne pas l'endommager.

I. Fonctionnalités
 Filtrage par IP source et destination, port du protocole, IP source et destination pour le trafic
TCP et UDP
 Capable de limiter les connexions simultanées sur une base de règle
 pfSense utilise p0f, un utilitaire permettant de filtrer le trafic en fonction du système
d'exploitation qui initie la connexion.
 Possibilité d'enregistrer ou de ne pas enregistrer le trafic correspondant à chaque règle.
 Politique très souple de routage possible en sélectionnant une passerelle sur une base par
règle (pour l'équilibrage de charge, basculement, connexions WAN multiples, etc)
 Utilisation d'alias permettant le regroupement et la désignation des adresses IP, des réseaux
et des ports, rendant ainsi votre jeu de règles de pare-feu propre et facile à comprendre,
surtout dans des environnements avec plusieurs adresses IP publiques et de nombreux
serveurs.
 Filtrage transparent au niveau de la Couche 2, le pare-feu est capable d'agir en pont filtrant.
 La normalisation des packets est utilisée, il n'y a donc aucune ambiguïté dans l'interprétation
de la destination finale du paquet. La directive « scrub » ré-assemble aussi des paquets
fragmentés, protège les systèmes d'exploitation de certaines formes d'attaque, et laisse les
paquets TCP contenant des combinaisons de Flags invalides.
 Activé dans pfSense par défaut Vous pouvez le désactiver si nécessaire. Cette option provoque
des problèmes pour certaines implémentations NFS, mais elle est sûre et devrait être laissée
activée sur la plupart des installations. Désactiver le filtre - vous pouvez désactiver entièrement
le filtre de pare-feu si vous souhaitez configurer pfSense comme un routeur pur.
 Network address translation (NAT)
 Rediriger les ports y compris les rangs et l'utilisation de plusieurs adresses IP publiques NAT
pour les adresses IP individuelles ou des sous-réseaux entiers. Redirection NAT Par défaut, le
NAT redirige tout le trafic sortant vers l'adresse IP WAN. Dans le cas de connexions WAN
multiples, le NAT redirige le trafic sortant vers l'adresse IP de l'interface WAN utilisée. NAT
réflexion : dans certaines configurations, NAT réflexion est possible si les services sont
accessibles par IP publique à partir de réseaux internes.
 Basculement base sur CARP et pfsync
 Common Address Redundancy Protocol ou CARP est un protocole permettant à un groupe
d'hôtes sur un même segment réseau de partager une adresse IP. Le nom CARP est en fait un
sigle qui signifie « Common Address Redundancy Protocol » (Protocole Commun De
Redondance D'Adresse), à ne pas confondre avec « Cache Array Routing Protocol » utilisé pour
faire de la répartition de charge de mandataires caches web Il a été créé pour contourner des
brevets. Ce protocole peut être utilisé pour faire de la redondance et de la répartition de
charge. Il supporte IPv4 et IPv6, et a le numéro de protocole 112. Il est supporté par pfSense
 pfsync assure la table d'état du pare-feu qui est répliquée sur tous les pare-feu configurés de
basculement. Cela signifie que vos connexions existantes seront maintenues dans le cas
d'échec, ce qui est important pour prévenir les perturbations du réseau.
 Load Balancing/ Répartition de charge :
 La répartition de charge du trafic sortant est utilisée avec plusieurs connexions WAN pour
assurer la répartition de charge et des capacités de basculement. Le trafic est dirigé vers la
passerelle souhaitée ou le groupe d'équilibrage local.
 VPN
 pfSense offre quatre options de connectivité VPN: IPSec, OpenVPN, PPTP et L2TP.
 RRD Graphiques
 Les graphiques RRD de pfSense mettent à jour des informations historiques sur les points
suivants : L'utilisation du processeur Le débit total État de Firewall Débit individuel pour toutes
les interfaces Paquets par seconde taux pour toutes les interfaces Interface WAN passerelle(s)
de temps de réponse ping Trafic des files d'attente de mise en forme sur les systèmes avec
lissage du trafic activé.
 Dynamic DNS
 Un client DNS dynamique est inclus pour vous permettre d'enregistrer votre adresse IP
publique avec un certain nombre de fournisseurs de services DNS dynamiques. DynDNS DHS
dnsExit DYNS easyDNS FreeDNS HE.net Loopia Namecheap No-IP ODS.org OpenDNS ZoneEdit
 Captive Portal
 Un Portail captif permet de forcer l'authentification, ou la redirection vers une page pour
l'accès au réseau. Ceci est communément utilisé sur les réseaux de points chauds (Hot Spots),
mais est également largement utilisé dans les réseaux d'entreprise pour une couche
supplémentaire de sécurité sur l'accès sans fil ou Internet. Ce qui suit est une liste des
fonctionnalités du portail captif de pfSense.
 Connexions simultanées maximum - Limiter le nombre de connexions au portail lui-même par
client IP. Cette fonctionnalité empêche un déni de service à partir d'ordinateurs clients
établissant des connexions réseau à plusieurs reprises sans authentification.
 Délai d'inactivité - Délai en minutes après lequel les sessions inactives seront fermées.
 Disk timeout - Forcer une déconnexion de tous les clients après le nombre défini de minutes.
 Logon fenêtre pop-up - Option pour faire apparaître une fenêtre avec un bouton Déconnexion.
 Redirection d'URL - Après authentification ou en cliquant sur le portail captif, les utilisateurs
peuvent être redirigés vers l'URL définie.
 Filtrage MAC - Par défaut, les filtres pfSense utilisent des adresses MAC. Si vous avez un sous-
réseau derrière un routeur sur une interface compatible de portail captif, chaque machine
derrière le routeur sera autorisée dès qu'un utilisateur est autorisé. Le filtrage MAC peut être
désactivé pour ces scénarios.
 Les options d'authentification - Il y a trois options d'authentification disponibles : Aucune
authentification - Cela signifie que l'utilisateur verra s'afficher votre page de portail sans avoir
à entrer d'information d'identification. Gestionnaire d'utilisateur local - Une base de données
d'utilisateur local peut être configurée et utilisée pour l'authentification. Authentification
RADIUS - Méthode d'authentification lorsque la base de données d'utilisateur est déportée sur
un serveur. La négociation entre pfSense et le serveur utilisera la norme RADIUS.
 Ré-authentification forcée - Possibilité de demander à forcer une ré-authentification.
authentification MAC RADIUS - Permet au portail captif d'utiliser l'adresse MAC du client pour
l'authentification à un serveur RADIUS au lieu du login. HTTP ou HTTPS - La page du portail
peut être configurée pour utiliser le protocole HTTP ou HTTPS. Pass-Through adresses MAC et
IP - des adresses MAC et IP peuvent être white-listées pour contourner le portail. Toutes les
machines s'authentifiant avec les adresses MAC et IP listées seront autorisées sans avoir
besoin de passer par le portail captif. Vous pouvez exclure certaines machines pour d'autres
raisons. Gestionnaire de fichiers - Ceci vous permet de télécharger des images pour les utiliser
dans vos pages du portail.
 Serveur DHCP et relais
 pfSense comprend à la fois les fonctionnalités de serveur DHCP et de relais DHCP.
 Une gestion de plugin vient parfaire l'installation de base, avec notamment Avahi (Zeroconf),
* FreeRADIUS, haproxy, Iperf, Squid, squidGuard, Nmap, short, Varnish, Zabbix.
VPN

En informatique, un réseau privé virtuel, abrégé VPN – Virtual Private Network (et RPV au Québec1),
est un système permettant de créer un lien direct entre des ordinateurs distants, en isolant ce trafic.
On utilise notamment ce terme dans le travail à distance, ainsi que pour l'accès à des structures de
type cloud computing, mais également en matière de services MPLS (MultiProtocol Label Switching
(MPLS) est un mécanisme de transport de données basé sur la commutation de labels1 (des
«étiquettes»), qui sont insérés à l'entrée du réseau MPLS et retirés à sa sortie. ).

Le VPN peut être de type point à point, utilisé entre un client et un concentrateur2 VPN (routeur
spécialisé, pare-feu, ou logiciel sur ordinateur), sur Internet par le biais d'un logiciel de VPN.

Dans une autre acception, le VPN peut exister sous la forme d'un réseau privé virtuel étanche et
distribué sur un nuage MPLS3. Les ordinateurs sur ce VPN y sont souvent raccordés physiquement, la
notion de « virtuel » se rapportant alors au fait que l'infrastructure MPLS fait circuler plusieurs réseaux
virtuels étanches entre eux.

De façon plus générale les VPN peuvent être classés selon les protocoles, services, et type de trafic
(couche OSI 2 ou 3) pouvant circuler en son sein.

La connexion entre les ordinateurs est gérée de façon transparente par un logiciel de VPN, créant un
tunnel entre eux. Les ordinateurs connectés au VPN sont ainsi sur le même réseau local (virtuel), ce
qui permet de passer outre d'éventuelles restrictions sur le réseau (comme des pare-feux ou des
proxys).
VPN
I. Présentation des VPN
Les entreprises ont besoin de moyens à la fois sécurisés, fiables et économiques permettant
d'interconnecter plusieurs réseaux, par exemple pour que les filiales et les fournisseurs puissent se
connecter au réseau du siège de l'entreprise. De plus, avec l'augmentation du nombre de
télétravailleurs, les entreprises ont un besoin croissant de moyens sécurisés, fiables et économiques
de connecter aux ressources présentes sur les sites de l'entreprise les employés travaillant dans de
petites structures ou des bureaux à domicile (SOHO), ainsi qu'à d'autres emplacements distants.

Comme illustré dans la figure ci-dessous, les entreprises utilisent des VPN pour créer une connexion
réseau privée de bout en bout sur des réseaux tiers, tels qu'Internet. Le tunnel supprime la barrière de
distance et permet aux utilisateurs distants d'accéder aux ressources réseau du site central. Un VPN
est un réseau privé créé par tunneling sur un réseau public, généralement Internet. Un VPN est un
environnement de communication dans lequel l'accès est strictement contrôlé de manière à autoriser
les connexions homologues au sein d'une communauté définie d'intérêt.

Les premiers VPN étaient exclusivement des tunnels IP qui n'incluaient ni l'authentification ni le
chiffrement des données. Par exemple, le protocole GRE (Generic Routing Encapsulation) est un
protocole de tunneling développé par Cisco capable d'encapsuler différents types de paquets de
protocoles de couche réseau au sein de tunnels IP, mais ne prenant pas en charge le chiffrement. Cela
crée une liaison point à point vers des routeurs Cisco au niveau de points distants sur un interréseau
IP.

À l'heure actuelle, l'implémentation sécurisée de VPN avec chiffrement, tels que des VPN IPsec,
correspond à ce qu'on entend habituellement par réseau privé virtuel.

Une passerelle VPN est requise pour l'implémentation de VPN. La passerelle VPN peut être un routeur,
un pare-feu ou un périphérique Cisco ASA (Adaptive Security Appliance). Un périphérique ASA est un
pare-feu autonome qui allie un pare-feu, un concentrateur VPN ainsi qu'un système de protection
contre les intrusions en une seule image logicielle.
La figure ci-dessus présente quatre connexions VPN différentes passant par un cloud Internet et
retournant vers le bâtiment principal de l'entreprise, le site principal. Le site principal est équipé d'un
pare-feu Cisco ASA utilisé pour connecter le cloud ou le réseau de l'entreprise. Le premier type de VPN
connecté au site principal est un partenaire commercial équipé d'un routeur Cisco. Le deuxième type
de VPN est un bureau régional équipé d'un pare-feu Cisco ASA. Le troisième type de connexion est un
petit bureau/bureau à domicile équipé d'un routeur Cisco. Le dernier type de connexion VPN est un
ordinateur portable de l'employé mobile sur lequel Cisco AnyConnect est installé.

II. Bénéfices des réseaux privés virtuels

Comme le montre la figure ci-dessous, un VPN utilise des connexions virtuelles qui sont routées via
Internet depuis le réseau privé de l'entreprise jusqu'au site ou à l'hôte distant. Les informations issues
d'un réseau privé sont transportées de manière sécurisée sur le réseau public afin de constituer un
réseau virtuel.

a. Les avantages d'un VPN sont les suivants :

 Réductions des coûts : les VPN permettent aux entreprises d'utiliser un transport Internet tiers
et économique pour la connexion des bureaux et des utilisateurs distants au site principal,
éliminant par conséquent le besoin de disposer de liaisons WAN et de bancs de modem dédiés
et onéreux. De plus, avec l'apparition de technologies économiques haut-débit, telles que la
technologie DSL, les entreprises peuvent utiliser les VPN pour diminuer leurs coûts de
connectivité tout en augmentant en même temps la bande passante de connexion à distance.
 Évolutivité : les VPN permettent aux entreprises d'utiliser l'infrastructure d'Internet des FAI et
des périphériques, ce qui permet d'ajouter facilement de nouveaux utilisateurs. Les grandes
entreprises peuvent ajouter des volumes importants de capacité sans ajouter d'infrastructure
importante.
 Compatibilité avec la technologie haut débit : les VPN permettent aux travailleurs mobiles et
aux télétravailleurs de bénéficier d'une connectivité haut-débit rapide, comme la technologie
DSL et le câble, pour accéder au réseau de leur entreprise. La connectivité haut-débit offre
flexibilité et efficacité. Les connexions haut-débit rapides peuvent également être une solution
rentable pour connecter des bureaux distants.
 Sécurité : les VPN peuvent inclure des mécanismes de sécurité offrant un niveau de sécurité
très élevé grâce à l'utilisation de protocoles de chiffrement et d'authentification avancés qui
protègent les données de tout accès non autorisé.

La figure des connexions Internet de VPN illustre trois types VPN connectés à un cloud Internet :
succursale, utilisateur mobile et petit bureau/bureau à domicile. Une connexion de canal libellée VPN
relie chaque type au cloud Internet. Une autre connexion de canal relie le cloud Internet à un bâtiment
libellé Site central.

III. Différents types de VPN

1. Réseaux privés virtuels de site à site

Un VPN de site à site est créé lorsque les périphériques situés des deux côtés de la connexion VPN
connaissent par avance la configuration VPN, comme le montre la figure ci-dessous.

Le VPN reste statique et les hôtes internes ne savent pas qu'un VPN existe. Dans un VPN de site à site,
les hôtes finaux envoient et reçoivent le trafic TCP/IP normal par l'intermédiaire d'une « passerelle »
VPN. La passerelle VPN est responsable de l'encapsulation et du chiffrement de la totalité du trafic
sortant issu d'un site spécifique. La passerelle VPN envoie ensuite ce trafic sur Internet par le biais d'un
tunnel VPN jusqu'à une passerelle VPN homologue au niveau du site cible. Lors de la réception, la
passerelle VPN homologue élimine les en-têtes, déchiffre le contenu et relaie le paquet vers l'hôte
cible au sein de son réseau privé.

Un VPN site à site est une extension d’un réseau étendu classique. Les VPN site à site connectent entre
eux des réseaux entiers. Ils peuvent par exemple connecter un réseau de filiale au réseau du siège
d'une entreprise. Par le passé, une connexion par ligne louée ou Frame Relay était requise pour
connecter des sites, mais comme la plupart des entreprises disposent aujourd'hui d’un accès à
Internet, ces connexions peuvent être remplacées par des VPN site à site.
2. VPN d'accès à distance

Lorsqu'un VPN de site à site est utilisé pour la connexion de réseaux entiers, un VPN d'accès à distance
prend en charge les besoins en matière de télétravailleurs, d'utilisateurs mobiles, d'extranet et de
trafic entre les consommateurs et les entreprises. Un VPN d'accès à distance est créé lorsque les
informations sur le VPN ne sont pas configurées de manière statique, mais qu'elles permettent au
contraire des modifications dynamiques. Ce VPN d'accès à distance peut également être activé et
désactivé. Les VPN d'accès à distance prennent en charge une architecture client/serveur, dans
laquelle le client VPN (hôte distant) obtient un accès sécurisé au réseau de l'entreprise via un serveur
VPN en périphérie du réseau, comme illustré dans la figure.

Les VPN d'accès à distance sont utilisés pour la connexion d'hôtes individuels devant accéder en toute
sécurité au réseau de leur entreprise via Internet. La connexion Internet utilisée par les télétravailleurs
est généralement une connexion haut-débit.

Il se peut qu'un logiciel client VPN doive être installé sur le périphérique final de l'utilisateur mobile,
par exemple le logiciel Cisco AnyConnect Secure Mobility Client sur chaque hôte. Lorsque l'hôte tente
d'envoyer du trafic, le logiciel Cisco AnyConnect VPN Client encapsule et chiffre ce trafic. Les données
chiffrées sont ensuite envoyées via Internet vers la passerelle VPN située à la périphérie du réseau
cible. Dès réception, la passerelle de VPN adopte le même comportement que pour des VPN site à site.

Remarque : le logiciel Cisco AnyConnect Secure Mobility Client est basé sur les outils précédents Cisco
AnyConnect VPN Client et Cisco VPN Client, et permet d'améliorer l'expérience VPN des utilisateurs
sur un plus grand nombre de périphériques mobiles et de smartphones. Ce client prend en charge IPv6.

La figure illustre la topologie d'un VPN d'accès à distance. En dehors du cloud Internet, il y a un
ordinateur portable libellé Client qui initie la connexion VPN. De l'autre côté du cloud Internet, un autre
routeur est installé à la périphérie du cloud. Il se trouve à l'intérieur d'un bâtiment. Le bâtiment est
également équipé d'un périphérique de sécurité libellé périphérique de terminaison de VPN. Il existe
une connexion de canal entre l'ordinateur portable et l'appareil de terminaison de VPN.
3. DMVPN

DMVPN (Dynamic Multipoint VPN) est une solution logicielle de Cisco qui permet de créer plusieurs
VPN de façon simple, dynamique et évolutive. Elle a pour objectif de simplifier la configuration tout en
apportant plus de flexibilité et de simplicité à la connexion entre les sites centraux et les filiales. Il s'agit
d'une topologie en étoile (hub-to-spoke), comme illustré dans la figure 1.

Grâce aux tunnels DMVPN, les filiales peuvent également communiquer directement entre elles,
comme illustré dans la figure 2.

DMVPN s'appuie sur les technologies suivantes :

 Protocole NHRP (Next Hop Resolution Protocol)


 Tunnels mGRE (Multipoint Generic Routing Encapsulation)
 Chiffrement IPSec (IP Security)

NHRP est un protocole de mise en cache et de résolution d'adresse de couche 2 similaire au protocole
ARP. NHRP crée une base de données de mappage distribuée regroupant les adresses IP publiques de
tous les rayons du tunnel. NHRP est un protocole client/serveur composé du concentrateur NHRP
appelé NHS (Next Hop Server) et des satellites NHRP appelés NHC (Next Hop Clients).

GRE (Generic Routing Encapsulation) est un protocole de tunneling développé par Cisco, capable
d'encapsuler une large variété de types de paquets de protocoles au sein de tunnels IP. Une interface
de tunnel mGRE permet à une interface GRE de prendre en charge plusieurs tunnels IPSec. mGRE
permet de créer des tunnels attribués de façon dynamique par le biais d'une source de tunnel
permanente (au niveau du concentrateur) et de destinations de tunnel attribuées de manière
dynamique, créées au besoin (au niveau des rayons). Cela réduit la taille et simplifie la complexité de
la configuration.

Comme d'autres types de VPN, DMVPN s'appuie sur IPsec pour sécuriser le transport d'informations
privées sur des réseaux publics, notamment Internet.

IV. Protocole GRE


Le protocole GRE (Generic Routing Encapsulation) est un exemple de protocole de tunneling VPN de
site à site de base, non sécurisé. Le protocole GRE est un protocole de tunneling développé par Cisco,
capable d'encapsuler une large variété de types de paquets de protocoles au sein de tunnels IP. Le
protocole GRE crée une liaison point à point vers des routeurs Cisco au niveau de points distants sur
un interréseau IP.

Le protocole GRE est conçu pour gérer le transport du trafic multiprotocole et multidiffusion IP entre
deux ou plusieurs sites, qui peuvent ne posséder que de la connectivité IP. Il peut également
encapsuler plusieurs types de paquets de protocoles au sein d'un tunnel IP.

Comme le montre la figure, une interface de tunnel prend en charge un en-tête pour chacun des
éléments suivants :

 Un protocole encapsulé (ou protocole passager), comme IPv4, IPv6, AppleTalk, DECnet ou IPX
 Un protocole d'encapsulation (ou protocole porteur), tel que GRE
 Un protocole d'acheminement de couche transport, par exemple IP, qui est le protocole qui
transporte le protocole encapsulé

La figure illustre une topologie de protocole GRE (Generic Routing Encapsulation). Il y a un routeur à
chaque extrémité du cloud présenté. Une connexion LAN installée en dehors du cloud se connecte à
chaque routeur. Une connexion de canal relie le routeur à gauche au routeur à droite. Au-dessus du
canal, le texte Tunnel GRE (protocole de l'opérateur) est écrit. En dessous du canal, le texte Réseau IP
apparaissent (protocole de transport) est écrit. 5 rectangles adjacents à un autre s'étendent de gauche
à droite sous la figure de la topologie. Les 5 rectangles sont libellés ainsi de gauche à droite : IP, GRE,
IP, TCP et données. Les deux premiers (IP et GRE) sont de la même couleur. Les 3 rectangles restants
sont tous identiques, mais les deux premiers ont une couleur différente. Les trois derniers rectangles
à droite (IP, TCP et données) sont regroupés sous le titre Paquet IP d'origine (protocole de type «
passager »).
a. Caractéristiques du protocole GRE

Le protocole GRE est un protocole de tunneling développé par Cisco, capable d'encapsuler une large
variété de types de paquets de protocoles au sein de tunnels IP, en créant une liaison point à point
virtuelle vers des routeurs Cisco au niveau de points distants sur un interréseau IP. Le tunneling IP à
l'aide du protocole GRE permet l'extension du réseau au sein d'un environnement fédérateur à
protocole unique. Il réalise cette opération en connectant des sous-réseaux multiprotocole dans un
environnement fédérateur à protocole unique.

Le protocole GRE possède les caractéristiques suivantes :

Il est défini en tant que norme IETF (RFC 2784).

Dans l'en-tête IP externe, la valeur 47 est utilisée dans le champ de protocole afin d'indiquer qu'un
en-tête GRE va suivre.

L'encapsulation GRE utilise un champ de type de protocole dans l'en-tête GRE afin de prendre en
charge l'encapsulation de n'importe quel protocole OSI de couche 3. Les types de protocoles sont
définis dans la norme RFC 1700 en tant que protocoles « EtherTypes ».

Le protocole GRE est lui-même sans état ; par défaut, il n'inclut pas de dispositifs de contrôle de flux.

Le protocole GRE n'inclut aucun mécanisme de sécurité fort destiné à protéger ses données utiles.

L'en-tête GRE, avec l'en-tête IP de tunneling indiqué sur la figure, crée un minimum de 24 octets de
surcharge supplémentaire pour les paquets qui transitent par le tunnel.

L'en-tête d'un paquet GRE encapsulé est illustré sous la forme de cinq rectangles. Les mêmes que dans
la dernière figure. 5 rectangles adjacents à un autre s'étendent de gauche à droite sous la figure de la
topologie. Les 5 rectangles sont libellés ainsi de gauche à droite : IP, GRE, IP, TCP et données. Les deux
premiers (IP et GRE) sont de la même couleur. Les 3 rectangles restants sont tous identiques, mais les
deux premiers ont une couleur différente. Le rectangle GRE est divisé en deux sous-rectangles
(indicateurs et type de protocole). Le champ d'en-tête des indicateurs identifie la présence de champs
d'en-tête facultatifs. Le type de protocole indiqué spécifie le type de données utiles. EtherType 0x800
est utilisé pour IPv4.
V. IP SEC
IPsec (Internet Protocol Security), défini par l'IETF comme un cadre de standards ouverts pour assurer
des communications privées et protégées sur des réseaux IP, par l'utilisation des services de sécurité
cryptographiques1, est un ensemble de protocoles utilisant des algorithmes permettant le transport
de données sécurisées sur un réseau IP. IPsec se différencie des standards de sécurité antérieurs en
n'étant pas limité à une seule méthode d'authentification ou d'algorithme et c'est la raison pour
laquelle il est considéré comme un cadre de standards ouverts1. De plus, IPsec opère à la couche
réseau (couche 3 du modèle OSI) contrairement aux standards antérieurs qui opéraient à la couche
application (couche 7 du modèle OSI), ce qui le rend indépendant des applications, et veut dire que les
utilisateurs n'ont pas besoin de configurer chaque application aux standards IPsec

a. Présentation

Réalisée dans le but de fonctionner avec le protocole IPv6, la suite de protocoles IPsec a été adaptée
pour l'actuel protocole IPv4. Son objectif est d'authentifier et de chiffrer les données : le flux ne pourra
être compréhensible que par le destinataire final (confidentialité) et la modification des données par
des intermédiaires ne pourra être possible (intégrité). IPsec est souvent un composant de VPN, il est à
l'origine de son aspect sécurité (canal sécurisé ou tunneling). La mise en place d'une architecture
sécurisée à base d'IPsec est détaillée dans la RFC 43012.

b. Fonctionnement

Lors de l'établissement d'une connexion IPsec, plusieurs opérations sont effectuées :

Échange des clés

Un canal d'échange de clés, sur une connexion UDP depuis et vers le port 500 (ISAKMP (en) pour
Internet Security Association and Key Management Protocol).
Le protocole IKE (Internet Key Exchange) est chargé de négocier la connexion. Avant qu'une
transmission IPsec puisse être possible, IKE est utilisé pour authentifier les deux extrémités d'un tunnel
sécurisé en échangeant des clés partagées. Ce protocole permet deux types d'authentifications, PSK
(secret prépartagé ou secret partagé) pour la génération de clefs de sessions RSA ou à l'aide de
certificats.

Ces deux méthodes se distinguent par le fait que l'utilisation d'un certificat signé par une tierce-partie
appelée Autorité de certification (CA) assure la non-répudiation. Tandis qu'avec l'utilisation de clefs
RSA, une partie peut nier être à l'origine des messages envoyés.

IPsec utilise une association de sécurité (Security association) pour dicter comment les parties vont
faire usage de AH (Authentication header), protocole définissant un format d'en-tête spécifique
portant les informations d'authentification, et de l'encapsulation de la charge utile d'un paquet.

Une association de sécurité (SA) est l'établissement d'information de sécurité partagée entre deux
entités de réseau pour soutenir la communication protégée. Une SA peut être établie par une
intervention manuelle ou par ISAKMP (Internet Security Association and Key Management Protocol).

ISAKMP est défini comme un cadre pour établir, négocier, modifier et supprimer des SA entre deux
parties. En centralisant la gestion des SA, ISAKMP réduit la quantité de fonctionnalité reproduite dans
chaque protocole de sécurité. ISAKMP réduit également le nombre d'heures exigé par l'installation de
communications, en négociant tous les services simultanément3.

c. Transfert des données

Un ou plusieurs canaux de données par lesquels le trafic du réseau privé est véhiculé, deux protocoles
sont possibles :

le protocole no 51, AH, (Authentication Header) fournit l'intégrité et l'authentification. AH


authentifie les paquets en les signant, ce qui assure l'intégrité de l'information. Une signature unique
est créée pour chaque paquet envoyé et empêche que l'information soit modifiée3.

le protocole no 50, ESP (Encapsulating Security Payload), en plus de l'authentification et l'intégrité,


fournit également la confidentialité par l'entremise de la cryptographie.

Modes de fonctionnement

Différence mode transport / mode tunnel

IPsec peut fonctionner dans un mode transport hôte à hôte ou bien dans un mode tunnel réseau.

Mode transport

Dans le mode transport, ce sont uniquement les données transférées (la partie payload du paquet IP)
qui sont chiffrées et/ou authentifiées. Le reste du paquet IP est inchangé et de ce fait le routage des
paquets n'est pas modifié. Néanmoins, les adresses IP ne pouvant pas être modifiées par le NAT sans
corrompre le hash de l'en-tête AH généré par IPsec, AH ne peut pas être utilisé dans un environnement
nécessitant ces modifications d'en-tête. En revanche, il est possible d'avoir recours à l'encapsulation
NAT-T pour encapsuler IPSec ESP. Le mode transport est utilisé pour les communications dites hôte à
hôte (Host-to-Host).
Mode tunnel

En mode tunnel, c'est la totalité du paquet IP qui est chiffré et/ou authentifié. Le paquet est ensuite
encapsulé dans un nouveau paquet IP avec un nouvel en-tête IP. Au contraire du mode transport, ce
mode supporte donc bien la traversée de NAT quand le protocole ESP est utilisé. Le mode tunnel est
utilisé pour créer des réseaux privés virtuels (VPN) permettant la communication de réseau à réseau
(c.a.d. entre deux sites distants), d'hôte à réseau (accès à distance d'un utilisateur) ou bien d'hôte à
hôte (messagerie privée.)

Algorithmes cryptographiques

Pour que les réalisations d'IPsec interopèrent, elles doivent avoir un ou plusieurs algorithmes de
sécurité en commun. Les algorithmes de sécurité utilisés pour une association de sécurité ESP ou AH
sont déterminés par un mécanisme de négociation, tel que Internet Key Exchange (IKE)4.

Les algorithmes de chiffrement et d'authentification pour IPsec encapsulant le protocole ESP et AH


sont :

HMAC-SHA1-96 (RFC 2404)

AES-CBC (RFC 3602)

Triple DES-CBC (RFC 2451)

AES-GCM (RFC 4106)

Vous aimerez peut-être aussi