Vous êtes sur la page 1sur 49

République Algérienne Démocratique et Populaire

Thème

Etude et mise en place d’une solution VPN dans un


réseau d’entreprise
Cas pratique aux sin de Algerie Telecom

Présentation de la part de :

- Roby Rachid

Promo 2020/2021
Remercîment
Nos premiers remerciements s’adressent à Dieu le tout
puissant qui par sa bonté et sa miséricorde nous a
permis d’avoir le courage, la foi et la volonté de mener à
bien ce travail.
Nous tenons aussi à remercier notre encadreur
madame Ben Tayebet co-encadreur monsieur
MouhamedMicharekqui ne nous a lésé d’aucune
information, qui a été présente à tout moment de la
réalisation de ce projet et surtout sans laquelle ce
modeste travail n’aurait jamais vu le jour, ainsi que les
membres du jury pour l’intérêt qu’ils ont portés à notre
recherche en acceptant d’examiner notre travail et de
l’enrichir par leurs propositions.
Nous remercions également tous les professeurs qui ont
contribués de près ou de loin à notre formation
universitaire, sans oublier toute personne qui nous a
aidés à mener à terme notre projet.

Merci à tous.
Dédicaces
Dédicaces Je dédie cet humble travail avec grand amour, sincérité et
fierté :
A mes chers parents ROBY MUSTAPHA et MEHOUAS AFIFA,
source de tendresse, de noblesse et d’affectation.
A mes chères frère Abd el malek, reyad et fatimazahra en témoignage
de la fraternité, avec mes souhaits de bonheur de santé et de succès.
Je dédie ce travaille surtout surtoutà mon encadreur Madame Ben
Tayeb
Son oublié ma tante Naima et moncousin Yousef Nefti
Et a monsieur amine et MouhamedMicharek
Et à tous les membres de ma famille.
A tous mes amis et à tout qui compulse ce modeste travail.
Plan du travail
I. Introduction Générale
II. Présentation de la structure d’accueil
III. Présentation du sujet (Problématique)
CHAPITRE 1 : Généralités sur la sécurité informatique
 Définition
 Principes
 Pourquoi (citer quelques attaques)
 Comment (citer les différents solutions)
  Conclusion
CHAPITRE 2 : Vue d’ensemble sur VPN/SSL
I. Introduction 
II. VPN
 Caractéristiques fondamentales d'un VPN
 Fonctionnement d’un VPN 
III. SSL
 Définition
 Les protocoles de base d’un VPN SSL
 Implantation d'un VPN SSL
IV. Algorithmes de Chiffrement utilisés dans les VPN/SSL 
 Algorithme de cryptage
 Algorithmes de hachages
CHAPITRE 3:  l’utilisationet Réalisationd’un VPN/SSL
III. L’utilisation d’un VPN/SSL
 Utilisation d’un VPN
 Utilisation d’un SSL avec VM wareworkstation
II. Réalisation
Introductuin
Logiciels Utilisés 
1. Le logiciel « GNS3 »
2. VmWAREwORKSTATION
3. TFTP Travil file transfer Protocole simplifié de transfert de fichiert de
fichiers
4. Anyconnect-win 2-7
Figure 01: Réseau VPN………….……………………………………………. 

Figure 02 VPN à accès distant via Internet…………………………………….

Figure 03 : Architecture VPN site a site………………………………………..

Figure 04:VPN de site à site via Backbone WAN……………………………..

Figure 05: Exemple d’emploi d’IPsec entre sites distants ( VPN site a site)….p

Figure 06 VPN avec Firewall Tirée de Gupta (2003) ………………………...p

Figure 07: Architecture du réseau privé virtuel…………………………….. p

Figure 08 : La technologie VPN SSL……………………………………….p

Figure 09 : VPN PPTP…………………………………..…………………..p

Figure 10 : VPN-L2TP………………………………………………………p

Figure 11: VPN-IPSec………………………………………………………p

Figure 12: table de comparaison des protocoles…………………………….p

Figure 13 : présentation d’un paquet AH………………………..……………p

Figure 14 : création d’une session SSL………………………………………p

Figure 15 : Implantation IPSec dans le datagramme IP………………..…….p

Figure 16 : présentation d’un paquet ESP……………………………………p

Figure 17 : présentation d’un paquet ESP……………………………………p


I.1. Introduction
Les réseaux informatiques sont aujourd’hui le cœur des systèmes
informatiques. On assiste à leur déploiement non seulement au niveau des
entreprises, des universités et institutions, mais aussi au niveau des particuliers.
Les réseaux apportent un moyen sûr et efficace pour la mise en œuvre d’une
plateforme de partage : communication entre ordinateurs distants, partage de
données, envoi de messages, accès à des bases de données délocalisées. 
Avec l’apparition des réseaux sans fil, le type d’informations transmises
s’est élargi grâce à des nouvelles vitesses de transmission et techniques de
codage qui offrent une plus grande fiabilité et un débit optimal. Cette capacité
ouvre la voie à de nouvelles perspectives notamment en termes d’applications
temps réel sensibles aux pannes et aux fluctuations du débit.
L’évolution des réseaux que nous venons d’évoquer pose un problème
majeur : la sécurité. En effet, les réseaux sans fil communiquent par voie
hertzienne, les ondes ne peuvent être confinées, il est donc facile pour un pirate
d’écouter le réseau si les informations circulent en clair. Il est primordial de
mettre en place les dispositifs nécessaires afin d’assurer une confidentialité des
données échangées sur ce type de réseaux. 
Ce cas est d’autant plus flagrant dans une entreprise, où un réseau sans fil
peut être installé sans que le service informatique n’en soit informé. Il suffit
qu’un employé relie un point d’accès au réseau pour que toutes les
communications internes soient rendues publiques. 
Le but de ce projet consistera d’abord à comprendre les différents aspects
des réseaux locaux sans fil afin de proposer un système de sécurité fiable,
adapté aux contraintes actuelles
2. Organisation du document :
Ce mémoire comporte 5 chapitres décrits comme suit : 
Le chapitre 1 «Généralités sur la sécurité informatiques» : aborde les concepts
généraux relatifs aux réseaux locaux sans fil ainsi que l’aspect sécurité dont il
est question dans notre projet. 
Le chapitre 2 «Vue d’ensemble sur VPN/SSL fil » :

Le chapitre 3 «Réalisation et les outils d’un VPN/SSL» :


Introduction générale
3. Historique des réseaux informatiques
Peu après la seconde guerre mondiale, la nécessité de trouver un moyen de
communication fiable et universel devint primordiale. Dans le milieu
professionnel, les échanges se faisaient par disquette, rapidement cette solution
trouva ses limites dès lors qu’il s’agissait d’échanger des données avec d’autres
départements situés dans des zones géographiques éloignées. 
Avec l’augmentation de la taille des entreprises, il a fallu envisager un autre
moyen d’échange de données. 
En 1962, le docteur J.C.R. Licklider du MIT est nommé à l’ARPA1pour diriger
les recherches visant à créer un réseau reliant les principaux ordinateurs du
département américain de la défense. Le projet fut repris plus tard par Ivan
Sutherland, Bob Taylor et Lawrence G.Roberts
Début 1970, le Network Working Group (NWG) responsable du
développement d’un protocole de communication entre différents ordinateurs
annonce la finalisation du NCP (Network Control Program), protocole qui per
mettra de relier pas moins de 15 sites. 
En 1973, Bob Kahn chercheur à la DARPA (Defense ARPA), ex ARPA,
décide de relier les réseaux PRNET radio et SATNET satellitaire au réseau
terrestre ARPANET, ce n’est qu’en 1977 que la liaison fut établie grâce au
protocole TCP (Transmission Control Protocol) permettant le transport
d’informations entre des systèmes hétérogènes. 
En 1984, Sandy Lerner et Len Bosack fondent la société Cisco Systems qui
fabrique les premiers routeurs permettant d’interconnecter divers réseaux,
l’année connaît aussi la mise en place du DNS (Domain Name Server), une
solution utilisant des structures de bases de données distribuées qui répondait à
la croissance exponentielle du réseau ARPANET.
Début 1990, Tim Berners-Lee met au point le protocole HTTP (HyperText
Transfer Protcol) ainsi que le langage HTML (HyperText MarkupLanguage) qui
signent la fin d’ARPANET, c’est la naissance d’Internet.

1
Advanced ResearchProjectsAgrency (Agence du ministére américain de la défense pour la
recherche.
Introduction générale
II. Présentation de la structure d’accueil
Algérie Télécom est leader sur le marché Algérien des télécommunications
qui connaît une forte croissance. Elle offre une gamme complète de services de
voix et de données aux clients résidentiels et professionnels. Cette position
s’est construite par une politique d’innovation adaptée aux attentes des clients
et leurs besoins. 
Algérie Télécom est une société publique opérant sur le marché des ré seaux et
services de communications électroniques. Fondée en 2000 après la
restructuration du secteur des postes et télécommunications,
elle devient opérateur de télécommunications à part entière. 
Entrée officiellement en activité à partir du 1er janvier 2003, son ambition est
d’avoir un niveau élevé de performance technique, économique et sociale pour
se maintenir comme leader dans un marché des télécommunications en plein
essor.
Son ambition est d'avoir un niveau élevé de performance technique,
économique, et sociale pour se maintenir durablement leader dans son
domaine, dans un environnement devenu concurrentiel.
Son souci consiste, aussi, à préserver et développer sa dimension
internationale et participer à la promotion de la société de l'information en
Algérie.
Missions
L'activité majeure d'Algérie Télécom est de :
 Fournir des services de télécommunication permettant le transport et
l'échange de la voix, de messages écrits, de données numériques,
d'informations audiovisuelles…
 Développer, exploiter et gérer les réseaux publics et privés de
télécommunications;
 Etablir, exploiter et gérer les interconnexions avec tous les opérateurs des
réseaux
Les objectifs
ALGERIE TELECOM est engagée dans le monde des technologies de
l'information et de la communication avec les objectifs suivants :
Accroître l'offre de services téléphoniques et faciliter l'accès aux services de
télécommunications au plus grand nombre d'usagers, en particulier en zones
rurales;
Introduction générale
 Accroître la qualité de services offerts et la gamme de prestations rendues et
rendre plus compétitifs les services de télécommunications;
 Développer un réseau national de télécommunication fiable et connecté aux
autoroutes de l'information.
Organisation d'Algérie Télécom
ALGERIE TELECOM est organisée en Divisions, Directions Centrales, et
Régionales, a cette structure s'ajoutent deux filiales:
- Mobile (Mobilis)
- Télécommunications Spatiales (RevSat)
Le laboratoire des équipements de télécommunications (LET ALGER)
Est un établissement à caractère national dépondant de la direction territoriale
d’Alger (Algérie Telecom).
Il a pour mission d’assure certaines taches
 Département Bancaire (Transmission Données)
 Réalisations des lignes X25.
 Exploitation des réseaux.
 Prise en charge des dérangements des lignes X25.
 Département Approvisionnement
 Pièces détachées (composants électroniques).
 Equipements informatiques.
 Equipements Réseaux.
 Département WLL
 Maintenance des terminaux WLL
Introduction générale
Présentation du sujet: 
Notre travail consiste à concevoir un outil permettant l’authentification des
employés d’Algérie Télécom pour l’accès au réseau Intranet2. Cette application
gérera l’accès au réseau sans fil en se basant sur une authentification
biométrique. 
Les systèmes biométriques permettent la reconnaissance des utilisateurs en se
basant sur leurs caractéristiques, ces propriétés uniques chez chaque individu ont
favorisé le choix d’une telle technologie.
 Problématique:
Être informé c’est bien, pouvoir agir et réparer les erreurs c’est encore
mieux. Il est donc crucial d’analyser les failles du système actuel et ses impacts
sur l’entreprise dans un premier temps. Nous proposerons ensuite une solution
adaptée aux besoins de l’entreprise. 
Un réseau sans fil comparativement à un réseau filaire présente de
nombreux avantages notamment en matière de mobilité et de facilité de déploie
ment. Cependant, les signaux transmis via support sans fil constituent le point
faible d’un tel type de réseau qui contrairement à un réseau filaire où l’accès et
l’échange de données se font via support physique (câble réseau, liaison
optique,. . .).
Pour appuyer cette idée, nous citons les deux scénarios suivants : 
Premiers cas : supposons qu’une personne mal intentionnée arrive à accéder
accidentellement en étant à proximité du réseau, elle sera alors capable de
dérober des données confidentielles voire même saboter le réseau tout entier,
ce qui aurait des conséquences graves sur la gestion et le bon fonctionnement
de l’entreprise. 
Deuxième cas : provient du réseau interne lui-même. En effet, la sécurité est
souvent relâchée à ce niveau compte tenu de la confiance accordée aux
employés. Supposons que pour des raisons de sécurité, une partie des
utilisateurs n’ont pas accès au réseau sans fil d’un autre département. En
récupérant la clé de chiffrement, ils pourront facilement contourner le schéma
de sécurité mis en place en se faisant passer pour quelqu’un d’autre.Deux
points se dégagent de la problématique de notre travail : – Un réseau sans fil
est plus vulnérable aux attaques et risques d’intrusion qu’un réseau filaire. 
– Une clé de chiffrement ne constitue par un moyen sûr et efficace pour le
contrôle d’accès au réseau sans fil.

2
Réseau informatique utilisé à l’intérieur d’une entreprise.
CHAPITRE 01
Généralités sur la sécurité informatique
Introduction
De nos jours, il est pratiquement devenu indispensable pour toute entreprise de
posséder son propre parc de réseau informatique interne, permettant ainsi la
communication de données ou tout simplement d'informations d'un pôle d'une
entreprise à un autre, et se présentant sous la forme d'un ensemble de matériels
réseaux (commutateurs, routeurs, etc.) reliés entre eux. Cependant, il est parfois
nécessaire de segmenter le réseau de façon logique pour des raisons sécuritaires
principalement, et ce par la segmentation du réseau en plusieurs réseaux virtuels
lesquels nous allons justement aborder précisément le réseau privé virtuel .

I. Définition:
5. Réseau privé:

      Couramment utilisés dans les entreprises, les réseaux privés entreposent


souvent des données confidentielles à l'intérieur de l'entreprise. De plus en plus,
pour des raisons d'interopérabilité, on y utilise les mêmes protocoles que ceux
utilisés dans l'Internet. On appelle alors ces réseaux privés « intranet ». Y sont
stockés des serveurs propres à l'entreprise en l'occurrence des portails, serveurs
de partage de données, etc. ... Pour garantir cette confidentialité, le réseau privé
est coupé logiquement du réseau internet. En général, les machines se trouvant à
l'extérieur du réseau privé ne peuvent accéder à celui-ci. L'inverse n'étant pas
forcément vrai. L'utilisateur au sein d'un réseau privé pourra accéder au réseau
internet.

6. Réseau privé virtuel: 

L'acronyme VPN correspond à Virtual Privat Network, c'est-à-dire un réseau


privé virtuel. Dans les faits, cela correspond à une liaison permanente, distante
et sécurisée entre deux sites d'une organisation. Cette liaison autorise la
transmission de données cryptées par le biais d'un réseau non sécurisé, comme
Internet. En d'autres termes, un réseau privé virtuel est l'extension d'un réseau
privé qui englobe les liaisons sur des réseaux partagés ou publics, tels
qu'Internet. Il permet d'échanger des données entre deux ordinateurs sur un
réseau partagé ou public, selon un mode qui émule une liaison privée point à
point3. 

3
J.P ARCHIER, « Les VPN,fonctionnement et mise en œuvre », éditions eni, 2011, p57.
Un VPN est un tunnel sécurisé permettant la communication entre deux entités y
compris au travers des réseaux peu sûrs comme peut l’être le réseau Internet.
Les VPNs ont pour objectif de contribuer à la sécurisation des échanges de
données privées, sensible sur les réseaux publics

Un tunnel rassemble des paquets IP avec des adresses internes qui sont confiés à
un équipement tel qu’un router ou un pare-feu. Celui-ci les envois sur un canal
souvent public (internet) à l’extrémité distante. Pour cela, les paquets internes
sont encapsulés dans des paquets IP avec des adresses IP public des extrémités
destinataire et source. L’équipement distant désencapsule chaque paquet pour
remettre sur le réseau des paquets doté des adresses locales source et destination4

Figure 1: Réseau VPN

Tirée de Deal (2008)

J.P ARCHIER, « Les VPN,fonctionnement et mise en œuvre », éditions eni, 2011


4
7. Concept de VPN:      

    Les réseaux locaux d'entreprise (LAN ou RLE) sont des réseaux internes à
une organisation, c'est-à-dire que les liaisons entre machines appartiennent à
l'organisation. Ces réseaux sont de plus en plus souvent reliés à Internet par
l'intermédiaire d'équipementsd'interconnexion.

  Il arrive ainsi que des entreprises éprouvent le besoin de communiquer avec
des filiales, des clients ou même des personnels géographiquement éloignés via
internet. Pour autant, les données transmises sur Internet sont beaucoup plus
vulnérables que lorsqu'elles circulent sur un réseau interne à une organisation
car le chemin emprunté n'est pas défini à l'avance, ce qui signifie que les
données empruntent une infrastructure réseau publique appartenant à différents
opérateurs.

      Ainsi il n'est pas impossible que sur le chemin parcouru, le réseau soit écouté
par un utilisateur indiscret ou même détourné. Il n'est donc pas concevable de
transmettre dans de telles conditions des informations sensibles pour
l'organisation ou l'entreprise. La première solution pour répondre à ce besoin de
communication sécurisé consiste à relier les réseaux distants à l'aide de liaisons
spécialisées. Toutefois la plupart des entreprises ne peuvent pas se permettre de
relier deux réseaux locaux distants par une ligne spécialisée, il est parfois
nécessaire d'utiliser Internet comme support de transmission. Un bon compromis
consiste à utiliser Internet comme support de transmission en utilisant un
protocole d'encapsulation" (en anglais tunneling, d'où l'utilisation impropre
parfois du terme "tunnellisatio), c'est-à-dire encapsulant les données à
transmettre de façon chiffrée. On parle alors de réseau privé virtuel (noté RPV
ou VPN, acronyme de Virtual Private Network) pour désigner le réseau ainsi
artificiellement créé.

Ce réseau est dit virtuel car il relie deux réseaux "physiques" (réseaux locaux)
par une liaison non fiable (Internet), et privé car seuls les ordinateurs des
réseaux locaux de part et d'autre du VPN peuvent "voir" les données. Le système
de VPN permet donc d'obtenir une liaison sécurisée à moindre coût, si ce n'est la
mise en œuvre des équipements terminaux.

    En contrepartie il ne permet pas d'assurer une qualité de service comparable à


une ligne louée dans la mesure où le réseau physique est public et donc non
garanti.
8. Les types des réseaux privé virtuels

Le type de VPN est le type d'entités qui sont impliquées dans une connexion
VPN réelle. On compte ci-dessus les types les plus répandus en raison de leur
fréquente utilisation :

• VPN site à site,

• VPN d'accès distant,

• pare-feu VPN,

• VPN d’utilisateur à utilisateur (user to user),

• le réseau privé virtuel dédié.

Accès à distance via internet

Comme son nom l'indique, le VPN d'accès distant fournit à tout moment
l'accès à distance aux ressources d'une organisation sur l'Internet public, tout en
préservant la confidentialité des informations. Les VPNs à accès distant sont
généralement utilisés pour des connexions à faible bande passante ou de
connexions à haut débit

Figure 2 VPN à accès distant via Internet.

Tirée de Gupta (2003)


Le réseau privé virtuel de site à site

Pour ce type de réseau VPN on compte deux façons de déploiement qui sont les
suivantes :

1) Le réseau privé virtuel de site à site internet:

C'est un des cas les plus fréquents. Il s’agit de relier deux sites d'une même
entreprise ou bien le site d'une entreprise et celui d'un fournisseur, ou d'un
client. Mais il faut également que tout ou partie des machines des deux réseaux
puissent communiquer avec celles du réseau distant en utilisant les adresses
privées de chaque réseau. Généralement ce type de VPN est mis en place par
l'interconnexion de deux éléments Matériels (routeurs ou pare-feu) situés à la
frontière entre le réseau interne et le réseau publique de chaque site. Ce sont
ces matériels qui prennent en charge le cryptage, l'authentification et le routage
des paquets.

Dans le cas de l’utilisation des matériels spécifiques, des processeurs


spécialisés peuvent prendre en charge la partie cryptographique la plus
consommatrice de ressources CPU5.

Figure 03 : Architecture VPN site a site6

5
Cisco system, constructions la generations internet, 2000, p05.
6
Vincent Remazeilles. la s´ecurit´e des r´eseaux avec Cisco. Edition ENI.2009, p 30.
Appelé aussi Connexion d'ordinateurs sur un intranet. Le réseau privé virtuel de
site à site interne, est un VPN qui utilise une connexion en mode tunnel entre
deux passerelles VPN, pour protéger le trafic entre deux ou plusieurs sites. Les
emplacements de site à site sont communément référés à LAN-to-LAN (L2L).

Figure 04 : VPN de site à site via Backbone WAN.

Tirée de Gupta (2003)

1) Le réseau privé virtuel Site-to-Site par Internet:

La technologie VPN de site à site utilise la connectivité locale ISP sur les sites
des bureaux distants et un seul circuit à grande vitesse au bureau central. Ceci
permet à une entreprise d'éliminer les coûts récurrents mensuels des circuits à
grande vitesse, tels que le frame relay, et le maintien d'une architecture de
routage WAN.

3. Caractéristiques du VPN operateur site à site7:

Chaque site est relié au POP (Point Of Présence) le plus proche avec le
medium souhaité (ADSL, SDSL, fibre optique …….) et un routeur
complètement contrôlé par l’opérateur. Ensuite établit des tunnels ou des
circuits privatifs entre les différents sites au moyen des différents liens
interconnectant ses POP. La technologie pour ce faire varie en fonction des
avancées technologiques et c’est ainsi que nous sommes passés des réseaux en
Frame-Relay (Relai de trame) aux réseaux MPLS (Multi Protocol Label
Switching) qui sont maintenant les plus courants dans ce cadre-là. Selon le

Dromard Danièle et SERET Dominique, Architectures des réseaux, Pearson, Paris, p 82


7
désir du client et les possibilités techniques ou budgétaires, ce réseau privatif
peut être bâti avec différentes topologies  tous les sites secondaires convergent
vers le site central et c’est celui-ci qui fait le relais : technologie en hub (ou en
Etoile).

tous les sites peuvent communiquer directement entre eux : full mesh ou
maillage complet.

lessites les plus importants peuvent communiquer entre eux et les secondaires
passent obligatoirement par un des sites principaux.

l’opérateur supervise la totalité du réseau et peut affecter des classes de service


selon le type de trafic, ce qui permet de rendre prioritairement certains flux
.

Figure 05: Exemple d’emploi d’IPsec entre sites distants ( VPN site a site).
Le réseau privé virtuel d'utilisateur à utilisateur:

Un VPN de type utilisateur à utilisateur est essentiellement un mode de transport


de connexion de VPN entre deux appareils. Deux appareils peuvent être un
routeur et un serveur TFTP. Un utilisateur utilisant Telnet peut accéder à un
routeur, ou à plusieurs paires de connexions.

Le réseau privé virtuel Pare-feu:

Un pare-feu VPN est essentiellement un VPN de l'accès distant, ou une L2L


renforcés avec une sécurité supplémentaire et des fonctions de pare-feu. Les
Pare-feu VPN sont généralement utilisés, lorsqu’un côté de la connexion VPN a
besoin de la sécurité améliorée.

Figure 06: VPN avec Firewall Tirée de Gupta (2003)

Le réseau privé virtuel dédié:

Cette méthode utilise des lignes dédiées pour raccorder une filiale à un réseau
d'entreprise local (LAN).

Les connexions locales ISP et Internet sont utilisés pour créer un VPN entre le
routeur de la succursale et le routeur concentrateur de l'entreprise.
II.  Le principe de fonctionnement d’un VPN8:
 Le VPN repose sur un protocole de tunnellisation (tunneling), c'est-à-dire un
protocole qui permet le passage de données cryptées d'une extrémité du VPN à
l'autre grâce à des algorithmes. On emploie le terme « tunnel » pour symboliser
le fait que les données soient cryptées et de ce fait incompréhensible pour tous
les autres utilisateurs du réseau public (ceux qui ne se trouvent pas aux
extrémités du VPN). 

Dans le cas d'un VPN établi entre deux machines, on appelle client VPN
l'élément permettant de chiffrer et de déchiffrer les données du côté utilisateur
(client) et serveur VPN (ou plus généralement serveur d'accès distant) l'élément
chiffrant et déchiffrant les données du côté de l'organisation.

De cette façon, lorsqu'un utilisateur nécessite d'accéder au réseau privé virtuel,


sa requête va être transmise en clair au système passerelle, qui va se connecter
au réseau distant par l'intermédiaire d'une infrastructure de réseau public, puis va
transmettre la requête de façon chiffrée. L'ordinateur distant va alors fournir les
données au serveur VPN de son réseau local qui va transmettre la réponse de
façon chiffrée.

 A la  réception sur le client VPN de l'utilisateur, les données seront déchiffrées,
puis transmises à l'utilisateur. Pour émuler une liaison point à point, les données
sont encapsulées, ou enrobées, à l'aide d'une en-tête qui contient les informations
de routage pour leur permettre de traverser le réseau partagé ou public jusqu'à
leur destination finale. Pour émuler une liaison privée,les données sont cryptées
à des fins de confidentialité. Les paquets interceptés sur le réseau partagé ou
public restent indéchiffrables sans clé de décryptage. La liaison servant à
l'encapsulation et au cryptage des données privées est une connexion VPN.

8
SlimanouDehia, mise en place d’une solution VPN sur parce-feu, cas d’étude entreprise Tchin-
lait (candia), mémoire de fin de cycle, master professionnel en informatique, 2016-2017, p 17.
Etant donné que chaque point d'un réseau VPN est relié au réseau central par le
biais d'un tunnel, reliant la machine à un gateway Ainsi, tous les utilisateurs
passent par le même "portail", ce qui permet de gérer la sécurité des accès, ainsi
que le trafic utilisé par chacun. En effet, malgré son aspect sécurisé, un réseau
VPN reste une extension du réseau principal vers chaque employé qui y accède,
ce qui augmente d'autant le risque de failles. Centraliser les entrées au réseau
permet de renforcer la sécurité, et de mieux gérer la taille prise par le réseau
étendu.

III. Pourquoi réseaux privé virtuel?


Ce réseau est dit virtuel car il relie deux réseaux «physiques » (réseau locaux)
par une liaison non fiable (Internet), et privé car seuls les ordinateurs des
réseaux locaux de part et d’autre du VPN peuvent «  voir » les donnes.

Le système de VPN permet donc d'obtenir une liaison sécurisée à moindre coût,
si ce n'est la mise en œuvre des équipements terminaux. En contrepartie il ne
permet pas d'assurer une qualité de service comparable à une ligne louée dans la
mesure où le réseau physique est public et donc non garanti.

Un VPN recrée une connexion internet totalement sécurisée. Ni votre FAI, ni les
sites internet sur lesquels vous surfez ne sauront donc qui vous êtes. Ils peuvent
uniquement voir la localisation des serveurs VPN de votre fournisseur de VPN.

Il faut donc au préalable choisir sur l’application VPN le pays dans lequel vous
voulez apparaître. Vous naviguez ainsi non pas avec votre IP, mais avec une IP
mise à disposition par le VPN.

Le VPN est un prestataire de Réseaux Virtuels Privés, avec des points d’accès


dans plus de 120 pays, et notamment un VPN en France, au Canada, en
Belgique, en Suisse, au Royaume-Uni, au Luxembourg, aux États-Unis, en
Allemagne, aux Pays-Bas, en Russie, en Ukraine et en République Tchèque….
Chapitre 01: Généralités sur la sécurité informatiques

IV. Comment le VPN fonctionne concrètement ?


Un VPN masque l’adresse IP en laissant le réseau la rediriger vers un serveur
distant spécialement configuré et géré par l'hôte d'un VPN. Cela signifie que si
vous surfez en ligne au moyen d'un VPN, le serveur VPN devient la source de
vos données. Cela signifie que votre fournisseur d'accès Internet (FAI) et
d'autres tiers ne peuvent pas connaître les sites Web que vous visitez ni les
données que vous envoyez et recevez en ligne. Un VPN fonctionne comme un
filtre qui transforme toutes vos données en « charabia ». Même si quelqu'un
venait à mettre la main sur vos données, elles seraient inexploitables.
Conclusion

Dans ce chapitre en a présenté les notions de base nécessaires au


fonctionnement et la réalisation d’une solution VPN ainsi que les
différents protocoles utilisés notamment IP sec, sur qui est porté notre
choix. Le chapitre fera l’objet de la réalisation et simulation d’une
connexion VPN site-à-site.
Ce chapitre nous a permis d’introduire notre projet, après avoir
discuté de différentes failles liées au système actuel. Le chapitre
suivant sera la vue d’ensemble sur VPN/SSL, les propriétés de ce type
de réseaux y seront largement abordées.
Chapitre 02
Chapitre 02: vue d’ensemble sur VPN/SSL

I. Introduction
Dans ce chapitre nous allons d’abord définir ce qu’est pour nous
un VPN (Virtuel private network) ou RPV en français (Réseau
privé virtuel). Nous établirons en suite une classification de ces
VPN d’abord selon leur contexte d’utilisation. Ensuite nous
présentons rapidement les principaux protocoles. Enfin nous
terminerons en donnant quelques indications pour nous guider dans
le choix lors de la mise en place de VPN
II. VPN
1. Caractéristiques fondamentales d’un VPN9:
Un système de VPN doit pouvoir mettre œuvre les fonctionnalités suivantes

2.1. Authentification d’utilisateur

Seuls les utilisateurs autorisés doivent s’identifier sur le réseau virtuel. De


plus, un historique des connexions et des actions effectuées sur le réseau doit
être conservé.

2.2. Gestion s’adresses

Chaque client sur le réseau doit avoir une adresse privée. Cette adresse privée
doit rester confidentielle. Un nouveau client doit pouvoir se connecter
facilement au réseau et recevoir une adresse.

2.3. Cryptage des données

Lors de leurs transports sur le réseau public les données doivent être protégées
par un cryptage efficace.

9
S.LOHIER et A.QUIDELLEUR, ”Le r´eseau Internet des services aux infrastructures”,
DUNOD, 2010, p109.
Chapitre 02: vue d’ensemble sur VPN/SSL
2. Fonctionnement d’un VPN10 :
Un réseau privé repose sur un protocole, appelé protocole de tunnélisation
(tunneling), c’est-à-dire un protocole permettant aux données passant d’une
extrémité du VPN à l’autre d’être sécurisées par des algorithmes de
cryptographie (voir plus loin).
Le terme de « tunnel » est utilisé pour symboliser le fait qu’entre l’entrée et
la sortie du VPN les données sont chiffrées (cryptées) et donc
incompréhensible pour toute personne située entre les deux extrémités du
VPN, comme si les données passaient dans un tunnel.
Les réseaux locaux d’entreprise sont des réseaux internes à une organisation,
c’est-à-dire que les liaisons entre machines appartiennent à l’organisation.
Ces réseaux sont de plus en plus souvent reliés à Internet par l’intermédiaire
d’équipements d’interconnexion. Il arrive ainsi souvent que des entreprises
éprouvent le besoin de communiquer avec des filiales, des clients ou même
du personnel géographiquement éloignées via internet.
Pour autant, les données transmises sur Internet sont beaucoup plus
vulnérables que lorsqu’elles circulent sur un réseau interne à une organisation
car le chemin emprunté n’est pas défini à l’avance, ce qui signifie que les
données empruntent une infrastructure réseau publique appartenant à
différents opérateurs. Ainsi il n’est pas impossible que sur le chemin
parcouru, le réseau soit écouté par un utilisateur indiscret ou même détourné,
Il n’est donc pas concevable de transmettre dans de telles conditions des
information sensibles pour l’organisation ou l’entreprise ou l’intégrité et la
confidentialité des données ainsi que l’authentification des correspondants
sont fondamentaux Les techniques de chiffrement vont permettre de résoudre
ces problèmes
 Les trois caractéristiques qui vont rendre les réseaux plus surs
1) L’intégrité des données

On doit être en mesure de détecter si une donnée à été modifiée et être en


mesure d’empêcher totalement ce genre de modification.

On adjoint au message une clé calculée en fonction de ce message de telle


manière qu’il soit extrêmement difficile de modifier le message sans modifier la
clé de hachage.

Joseph Gehring, “Software Projects with Computer Networks”,CNT 4104,Florida Gulf Coast
10

University, Fall 2011p 69.


Chapitre 02: vue d’ensemble sur VPN/SSL
2) La confidentialité des données

On doit pouvoir faire en sorte que seules les personnes autorisées aient accès à
l’information.

3) L’authentification des correspondants

On doit être en mesure de prouver son identité le réseau

La première solution pour répondre à ce besoin de communication sécurisé


consiste à relier les réseaux à l’aide de liaisons spécialisées. Toutefois la plupart
entreprises ne peuvent pas se permettre de relier deux réseaux locaux distants
par ligne spécialisée, il est parfois nécessaire d’utiliser Internet comme support
de transmission.

Un bon compromis consiste à utiliser Internet comme support de transmission


en utilisant un protocole d’encapsulation qui est le tunneling c’est-à-dire,
encapsulant les données à transmettre de façon chiffrée. On parle alors de VPN
(Virtual PrivateNetwork). Les VPN ont aujourd’hui pris une place importante
dans les réseaux informatique et l’informatique distribuées. Nous verrons ici
quelles sont les principales caractéristiques des VPN. Nous nous intéresserons
ensuite aux protocoles permettant leur mise en place.

Figure 07: Architecture du réseau privé virtuel


Chapitre 02: vue d’ensemble sur VPN/SSL
2.4. Gestion de clés

Les clés de cryptage pour le client et serveur doivent pouvoir être générées et
régénérées.

2.5. Prise en charge multi protocole

La solution VPN doit supporter les protocoles les plus utilisés sur les réseaux
publics en particulier IP.

Le VPN est un principe : il ne décrit pas l’implémentation effective de ces


caractéristiques. C’est pourquoi il existe plusieurs produits différents sur le
marché dont certains sont devenus standard, et même considérés comme des
normes

III. SSL (Secure Sockets Layer)


1. Définition11:

Ce protocole ou plutôt ces protocoles sont en plein essor car très simples de mise
en œuvre et utilisant le port (443), ce qui facilite le franchissement des firewalls.
Dans un certain nombre de cas, ils ne nécessitent qu’un simple navigateur pour
être utilisables. Ils sont maintenant implémentés de façon native dans d’autres
logiciels (client de messagerie, client FTP).

SSL (Secure Socket Layer) est un protocole à négociation (on parle du

« handshake » SSL), développé à l'origine par Netscape en 1994. Il a pour but


de sécuriser les transactions Internet, par authentification du client (un
navigateur la plupart du temps) et du serveur, et par chiffrement de la session.
La sécurisation des connexions à l'aide du protocole SSL doit assurer que :

• La connexion assure la confidentialité des données transmises

• La connexion assure que les données transmises sont intègres

• L'identité des correspondants peut être authentifiée

• La connexion est fiable La version 2.0 vient de Netscape et la version 3.0, qui
est actuellement la plus répandue, à reçu les contributions de la communauté

11
ANSSI. RGS Annexe B1 : Mécanismes cryptographiques, règles et recommandations
concernant le choix et le dimensionnement des mécanismes cryptographiques, version 1.20, 2010
Chapitre 02: vue d’ensemble sur VPN/SSL
internationale en 1996. TLS (Transport Layer Security protocol), développé par
l'IETF, est la version 3.1 de SSL. SSL ne dépend pas des applications utilisées
Chapitre 02: vue d’ensemble sur VPN/SSL
lors des transactions et s'applique sous les protocoles HTTP, FTP, Telnet... etc.
Clients et serveurs commencent par s'authentifier

Figure 08 : La technologie VPN SSL


Tirée de vu (2009)
 Les fonctionnalités SSL :

On associe généralement SSL au cryptage. Or un certificat SSL remplit quatre


fonctions bien distinctes, toutes indispensables à la protection de la
confidentialité et de la sécurité des clients et utilisateurs : cryptage, intégrité,
authentification et non-répudiation.
 CRYPTAGE
Le cryptage utilise des algorithmes mathématiques pour transformer les données
et les rendre exclusivement lisibles par les parties concernées. Dans le cadre
d’une transaction sécurisée par SSL, les clés privées et publiques fournies avec
le certificat numérique du serveur jouent un rôle déterminant dans la
sécurisation des données envoyées et reçues par le navigateur Web.
 INTÉGRITÉ
En cryptant les données pour les rendre exclusivement lisibles par les parties
concernées, les certificats SSL assurent également leur intégrité. En d’autres
termes, ces données ne pouvant être lues par aucun tiers, leur modification en
cours de transit s’avère par conséquent impossible. Si les données cryptées
étaient modifiées, elles seraient de fait rendues inutilisables – ce qui ne saurait
échapper aux parties concernées. La moindre tentative d’interférence est donc
automatiquement repérée.
Chapitre 02: vue d’ensemble sur VPN/SSL
 AUTHENTIFICATION
L’émission d’un certificat numérique par une autorité de certification permet
essentiellement de valider l’identité de l’organisme – ou de la personne – à
l’origine de la demande de certificat. Les certificats SSL sont associés à un nom
de domaine Internet. La vérification par l’AC de l’identité du propriétaire du
domaine en question permet aux utilisateurs de savoir dans un premier temps à
qui ils ont affaire. Ainsi, lorsque vous vous connectez sur un site sécurisé par
SSL comme Amazon.fr, le certificat identifie le propriétaire comme étant la
société Amazon, Inc. Vous avez ainsi l’assurance d›être sur le véritable site
exploité par Amazon.
 NON-RÉPUDIATION
La non-répudiation se caractérise par l’association de fonctions de cryptage, de
protection de l’intégrité et d’authentification. En clair, aucune partie prenante à
une transaction sécurisée ne peut légitimement affirmer que ses
échanges/communications provenaient d’une autre personne ou entité. Cette
caractéristique supprime toute possibilité pour l’une des parties de répudier ou
de « se rétracter » par rapport à des informations communiquées en ligne
2. Les protocoles de base d’un VPN SSL :
Le Protocoles de VPN :
Les principaux protocoles de tunneling sont les suivants :
 PPTP : (Point To Point Tunneling Protocol) a été développé par en
collaboration avec Ascend et 3 Com. Il s’inspire du Protocol PPP (point to
point Protocol) et permet d’établir des connexions PPP au travers de réseaux
IP comme l’Internet.
Le PPTP est une transmission sécurisée du trafic Windows. Développé par
Microsoft, 3Com, et Ascend Communications. Il fonctionne à la couche 2
(couche de liaison de données) du modèle OSI. PPTP est une extension du
protocole Point-to-Point (PPP). Par conséquent, il utilise les fonctionnalités de
PPP telles que l'encapsulation multiple des protocoles, comme IP, IPX et
NetBEUI, .et les protocoles PAP, CHAP et MS-CHAP pour authentifier les
appareils PPTP

Figure 09 : VPN PPTP


Tirée de http://www.labo-microsoft.org
Consulté 28 octobre 2013
Chapitre 02: vue d’ensemble sur VPN/SSL
 L2F : (Layer 2 Forwarding) est un protocole similaire à PPTP développé par
CISCO, Nerther Telecom et Shiva, permettant d’encapsuler PPP dans IP a fin
de créer des réseaux privés virtuels

L2F fournit des mécanismes permettant de créer des tunnels pour transporter des
trames se niveau provenant de protocoles de niveau supérieurs

 L2TP : (Layer 2 Tunneling Protocol) est issu de la convergence des


protocoles PPTP et L2F

L2TP permet l’encapsulation des paquets de données au niveau des couches 2et
3 pour crées un tunnel de communication entre deux utilisateurs, L2TP come
PPTP pont utilisés pour transférer des datagrammes de type PPP via un tunnel
supporte par IP.

Développé par System Cisco, L2TP est une combinaison de Layer 2 Forwarding
(L2F) et PPTP. Il est à base d'une technologie PPP, par conséquent, il utilise des
fonctionnalités de celui-ci, telle que la gestion de contrôle de session, la
répartition et l'affectation des adresses, et du routage. L2TP permet au trafic
multi protocole d’être chiffré, puis être envoyé sur n'importe quel support qui
soutient le cheminement point à point de L2TP. Il utilise UDP comme une
méthode d'encapsulation pour des travaux d'entretien du tunnel et les données
utilisateur. Les paquets L2TP sont protégés par ESP IPsec en mode transport.
Par conséquent, la mise en œuvre L2TP inclura l'utilisation de IPsec.

Figure 10 : VPN-L2TP


Tirée de http://www.frameip.com
consulté le 28 sept 2013
Chapitre 02: vue d’ensemble sur VPN/SSL
 IP Sec : est un protocole de niveau 3, issu des travaux de l’IETE, permettant
de transporter des données pour les réseaux IP. C’est à ce protocole que nous
allons s’intéresser par la suite vu ses multiples avantages comparant à
d’autres protocoles existants.

Figure 11 : VPN-IPSec


Tirée de http://www.ipworld.vn
Consulté le 28 septembre 2013

Quelques avantages supplémentaires sont l'économie de bande passante, d'une


part parce que la compression des en-têtes des données transmises est prévue par
ce standard, et d'autre part parce que celui-ci ne fait pas appel à de trop lourdes
techniques d'encapsulation, comme par exemple les tunnels PPP sur lien SSH. Il
permet également de protéger des protocoles de bas niveau comme ICMP et
IGMP,RIP,…etc.
IPsec présente en outre l'intérêt d'être une solution évolutive, puisque les
algorithmes de chiffrement et d'authentification à proprement parler sont
spécifiés séparément du protocole lui-même. Elle a cependant l'inconvénient
inhérent à sa flexibilité : sa grande complexité rend son implémentation délicate.
Les différents services offerts par le protocole IPsec sont ici détaillés. Les
manières de les combiner entre eux que les implémentations sont tenues de
supporter sont ensuite présentées. Les moyens de gestion des clefs de
chiffrement et signature sont étudiés et les problèmes d'interopérabilité associés
sont évoqués. Enfin, un aperçu rapide de quelques implémentations IPsec, en
s'intéressant essentiellement à leur conformité aux spécifications est donné.
Chapitre 02: vue d’ensemble sur VPN/SSL
 Comparaison des protocoles de tunnélisation :

Figure 12: table de comparaison des protocoles

2) Les deux modes d'échange IPsec :


Une communication entre deux hôtes, protégée par IPsec, est susceptible de
fonctionner suivant deux modes différents : le mode transport et le mode
tunnel. Le premier offre essentiellement une protection aux protocoles de
niveau supérieur, le second permet quant à lui d'encapsuler des datagrammes IP
dans d'autres datagrammes IP, dont le contenu est protégé.
L'intérêt majeur de ce second mode est qu'il rend la mise en place de passerelles
de sécurité qui traitent toute la partie IPsec d'une communication et transmettent
les datagrammes épurés de leur partie IPsec à leur destinataire réel réalisable.
 Mode transport : Si l'on ne veut sécuriser que les données, on va choisir
d'utiliser le mode transport. Il est généralement utilisé pour acheminer les
données de type Host-to-Host. On peut choisir le protocole AH, ESP ou les
deux.
 Mode tunnel, IPSec crée un tunnel pour la communication entre deux
machines pour bien sécuriser les données. Le mode tunnel est très utilisé par
le protocole IPsec dans le réseau de type LAN-to-LAN car il offre une
protection contre l'analyse de trafic, les adresses de la source et l'adresse de
destinataire sont toutes masquées.
Chapitre 02: vue d’ensemble sur VPN/SSL
On doit choisir entre le protocole AH ou ESP. Ce mode crée un nouveau paquet
IP encapsulant celui qui doit être transporté.
AH (Authentication Header) :
AH est le premier et le plus simple des protocoles de protection des données
qui font partie de la spécification IPsec. Il a pour vocation de garantir :
- L'authentification.
- L'intégrité.
Attention, AH n'assure pas la confidentialité : les données sont signées mais pas
chiffrées.
Description d'un paquet AH :

Un paquet AH se présente comme suit :

Figure 13 : présentation d’un paquet AH

Significations :
Longueur : Taille du paquet AH
Index du paramètre de sécurité (SPI) : Identifie les paramètres de sécurité en
fonction de l'adresse IP.
Numéro de séquence : Un compteur qui évite les attaques par répétition
Données d'authentification : Contient les informations nécessaires pour
authentifier le paquet
Chapitre 02: vue d’ensemble sur VPN/SSL
Le protocole SSL (Secure Socket Layer)(tunnel de niveau 4
transport) :
SSL est un protocole de couche 4 (niveau transport) utilisé par une application
pour établir un canal de communication sécurisé avec une autre application.
SSL est le dernier arrivé dans le monde des VPN, mais il présente un grand
avantage dans la mesure où coté client, il ne nécessite qu’un navigateur Internet
Standard. Ce protocole est celui qui est utilisé en standard pour les transactions
sécurisées sur Internet.
L’inconvénient néanmoins de ce type de protocole est qu’il se limite au
protocole https, ce qui n’est pas le seul besoin de connexion des entreprises.

Fonctionnement du protocole SSL :


 CLÉS PUBLIQUES ET PRIVÉES
Le protocole SSL utilise des clés de cryptage publiques et privées. Lors de
l’émission d’un certificat numérique pour un serveur Web, ce certificat contient
deux clés : l’une, détenue de manière privée par le serveur Web (« clé privée »),
et l’autre, rendue publique à toute personne en faisant la demande (« clé
publique »). Ces deux clés sont asymétriques :
• Les données cryptées par la clé privée ne peuvent être décryptées que par la
clé publique
• Les données cryptées par la clé publique ne peuvent être décryptées que par la
clé privée
Ainsi, pour garantir la confidentialité des échanges, le navigateur Web
s’adresse à la clé publique du serveur. Le navigateur l’utilise ensuite pour
crypter les informations à transmettre – informations qui pourront ensuite être
décryptées par le serveur Web à l’aide de sa propre clé privée. Dans la pratique,
le processus de cryptage fait parfois intervenir des clés de session aléatoires,
valables pour une courte durée entre le navigateur et le serveur. Ces clés de
session sont utilisées car bien souvent, le navigateur ne possède pas son propre
certificat numérique et sa propre paire de clés.
 CRÉATION D’UNE SESSION SSL
Le début d’une session SSL est marqué par l’envoi d’une requête par le
navigateur au serveur Web à l’aide du protocol
Chapitre 02: vue d’ensemble sur VPN/SSL

Figure 14 : création d’une session SSL

Le serveur Web répond avec son identifiant numérique qui comprend sa clé de
cryptage publique. Le navigateur vérifie l’identifiant numérique, en consultant
par exemple l’autorité de certification pour une vérification en ligne, et en
contrôlant également les dates de validité et d’autres informations relatives au
certificat lui-même. Une fois ces vérifications terminées, le navigateur génère
une clé de session qu’il crypte à l’aide de la clé publique du serveur, avant de
renvoyer l’ensemble au serveur.

Le serveur décrypte alors la clé de session à l’aide de sa clé de cryptage privée


qu’il est le seul à posséder. La clé de session n’appartient qu’au navigateur et au
serveur qui peuvent alors utiliser cette clé commune pour crypter leurs échanges.
Généralement, les serveurs rejettent les clés de session après quelques minutes
d’inactivité
Chapitre 02: vue d’ensemble sur VPN/SSL

3. Securité  :

pour mieux securiser les données qui seront transmises au niveau de notre
tunnel VPN/IPSec et pour rendre notre réseau plus securisé, on dois indiquer
les protocoles et les algorithmes, qui vont etre utilisé pour repondre aux trois
carasteristiques, l’authentification, l’integrité et la confidentilité, et qui sont :

Le protocole IKE (Internet Key Exchange) :

C’est le protocole responsable de l’établissement du premier tunnel entre les


deux sites, il est en charge de négocier la connexion. Ce protocole permet deux
types d'authentifications, PSK (Pre-Shared Key ou secret partagé) pour la
génération de clés de sessions ou à l'aide de certificats/signatures RSA .

On peut configurer les méthodes de sécurité pour la négociation IKE en


indiquant les algorithmes qui seront utilisés pour l'intégrité et la confidentialité:
MD5 et SHA pour l'intégrité ; DES et 3DES pour la confidentialité.

3. Implantation IPSec dans le datagramme IP :


Les données nécessaires au bon fonctionnement du format AH sont placées dans
le datagramme IPv4

Figure 15 : Implantation IPSec dans le datagramme IP


 ESP (encapsulatingsecuritypayload) :
ESP est le second protocole de protection des données qui fait partie de la
spécification IPsec. Contrairement à AH, ESP ne protège pas les en-têtes des
datagrammes IP utilisés pour transmettre la communication. Seules les données
sont protégées.
- En mode transport, il assure :
La confidentialité des données (optionnelle) : la partie donnée des
datagrammes IP transmis est chiffrée.
L'authentification (optionnelle, mais obligatoire en l'absence de
confidentialité) : la partie données des datagrammes IP reçus ne peut avoir été
émise que par l'hôte avec lequel a lieu l'échange IPsec, qui ne peut s'authentifier
avec succès que s'il connaît la clef associée à la communication ESP.
Chapitre 02: vue d’ensemble sur VPN/SSL
Il est également important de savoir que l'absence d'authentification nuit à la
confidentialité, en la rendant plus vulnérable à certaines attaques actives.

L'intégrité : les données n'ont pas été modifiées depuis leur émission.

- En mode tunnel :

Ces garanties s'appliquent aux données du datagramme dans lequel est encapsulé
le trafic utile, donc à la totalité (en-têtes et options inclus) du datagramme
encapsulé. Dans ce mode, deux avantages supplémentaires apparaissent:

Une confidentialité des flux de données : (en mode tunnel uniquement, lorsque
la confidentialité est assurée) : un attaquant capable d'observer les données
transitant par un lien n'est pas à même de déterminer quel volume de données est
transféré entre deux hôtes particuliers.

La confidentialité des données, si elle est demandée, s'étend à l'ensemble des


champs, y compris les en-têtes, du datagramme IP encapsulé dans le
datagramme protégé par ESP.

Contrairement à AH, qui ajoute seulement un en-tête supplémentaire au


paquet IP, ESP chiffre les données puis les encapsule.

Enfin, ESP ne spécifie pas d'algorithme de signature ou de chiffrement


particulier, ceux-ci sont décrits séparément, cependant, une implémentation
conforme à la Rfc 2406 est tenue de supporter l'algorithme de chiffrement DES
et 3DES en mode CBC, et les signatures à l'aide des fonctions de hachage MD5
et SHA-1Implantation d’un VPN SSL :

Les données nécessaires au bon fonctionnement du format ESP sont placées


dans le datagramme IPv4

Figure 16 : datagramme IPv4


Chapitre 02: vue d’ensemble sur VPN/SSL
Description d'un paquet ESP :

Un paquet ESP se présente comme suit :

Figure 17 : présentation d’un paquet ESP

Significations :
Index du paramètre de sécurité (SPI) : Identifie les paramètres de sécurité en
fonction de l'adresse IP
Numéro de séquence : Un compteur qui évite les attaques par répétition
Charge utile : Les données à transférer
Bourrage ou Remplissage: Permet d'obtenir une taille de bloc compatible avec le
chiffrement
Longueur du bourrage : Exprimée en bits
En-tête suivant : Identifie le protocole utilisé pour le transfert
Données d'authentification : Contient les informations nécessaires pour
authentifier le paquet.
mutuellement, puis négocient une clé symétrique de session qui servira à assurer
la confidentialité des transactions. L'intégrité de ces dernières est assurée par
l'application de HMAC (Hashed Message Authentification Code).
Chapitre 02: vue d’ensemble sur VPN/SSL
IV. Algorithme de chiffrement utilisez dans les VPN/SSL12
9. Algorithme de cryptage 

AES : Le standard de chiffrement avancé (Advanced Encryption Standard


ou AES), aussi connu sous le nom de Rijndael, est un algorithme de chiffrement
symétrique, choisi en octobre 2000 par le NIST(National Institute of
Standards and Technology )pour être le nouveau standard de chiffrement pour
les organisations du gouvernement des États-Unis.

DES : Le Data Encryption Standard ; est un algorithme de chiffrement par


bloc utilisant des clés de 56 bits. Son emploi n'est plus recommandé aujourd'hui,
du fait de sa lenteur à l'exécution et de son espace de clés trop petit permettant
une attaque systématique en un temps raisonnable. Quand il est encore utilisé
c'est généralement en Triple DES.

Le Triple DES :(aussi appelé 3DES) est un algorithme de


chiffrementsymétrique enchaînant 3 applications successives de l'algorithme
DES sur le même bloc de données de 64 bits, avec 2 ou 3 clés DES différentes.
Cette utilisation de trois chiffrements DES a été développée par Walter
Tuchman (chef du projet DES chez IBM), il existe en effet d'autres manières
d'employer trois fois DES mais elles ne sont pas forcément sûres. La version de
Tuchman utilise un chiffrement, suivi d'un déchiffrement pour se conclure à
nouveau par un chiffrement. Le Triple DES est généralement utilisé avec
seulement deux clés différentes. Le mode d'usage standard est de l'utiliser en
mode EDE (Encryption, Decryption, Encryption, c'est-à-dire Chiffrement,
Déchiffrement, Chiffrement) ce qui le rend compatible avec DES quand on
utilise trois fois la même clé.

Dans le cas d'une implémentation matérielle cela permet d'utiliser le même


composant pour respecter le standard DES et le standard Triple DES.

Bodo Moeller. Security of CBC Ciphersuites in SSL/TLS : Problems and Countermeasures,


12

2002-2004
Chapitre 02: vue d’ensemble sur VPN/SSL
1. Algorithmes de hachages :

MD5 : L'algorithme MD5, pour Message Digest 5, est une fonction de hachage
cryptographique qui permet d'obtenir l'empreinte numérique d'un fichier
(message).

SHA-1 : (Secure Hash Algorithm) est une fonction de hachagecryptographique


conçue par la comme un standard fédéral de traitemnt de l'information (Federal
Information Processing Standard du National Institute of Standards and
Technology (NIST)). Elle produit un résultat (appelé « hash » ou condensat) de
160 bits.

Fonctionnement du SHA-1 :

Le SHA-1 prend un message d'un maximum de 264 bits en entrée. Son


fonctionnement est similaire à celui du MD4 ou MD5 de Ronald Rivest. Quatre
fonctions booléennes sont définies, elles prennent 3 mots de 32 bits en entrée et
calculent un mot de 32 bits. Une fonction spécifique de rotation est également
disponible, elle permet de déplacer les bits vers la gauche (le mouvement est
circulaire et les bits reviennent à droite). Une de ces rotations n'était pas présente
dans le SHA-0, elle permet de casser certaines caractéristiques linéaires dans la
structure. Cela permet d'éviter une attaque sur les bits neutres décrite par Eli
Biham, technique reprise pour calculer la collision complète sur SHA-0.

HMAC  :

Pour le control d’intégrité, on utilise le SHA Hmac :

Un HMAC, en anglais keyed-hash message authentication code (code


d'authentification d'une empreinte cryptographique de message avec clé), est un
type de code d'authentification de message MAC (Message Authentication
Code), calculé en utilisant une fonction de hachage cryptographique en
combinaison avec une clé secrète. Comme avec n'importe quel CAM, il peut être
utilisé pour vérifier simultanément l'intégrité de données et l'authenticité d'un
message. N'importe quelle fonction itérative de hachage, comme MD5 ou SHA-
1, peut être utilisée dans le calcul d'un HMAC ; le nom de l'algorithme résultant
est HMAC-MD5 ou HMAC-SHA-1. La qualité cryptographique du HMAC
dépend de la qualité cryptographique de la fonction de hachage et de la taille et
la qualité de la clé.
Chapitre 02: vue d’ensemble sur VPN/SSL
Une fonction itérative de hachage découpe un message en blocs de taille fixe
et itère dessus avec une fonction de compression. Par exemple, MD5 et SHA-1
opèrent sur des blocs de 512 bits. La taille de la sortie HMAC est la même que
celle de la fonction de hachage (128 ou 160 bits dans les cas du MD5 et SHA-1).

Diffie-Hellman :
Il s'agit d'un algorithme d'échange de clefs pour les algorithmes à clefs
publiques. Cet algorithme permet un établissement d'un secret partagé entre 2
hôtes, et ce via un réseau non sécurisé.
DH est basé sur les nombres premiers, le modulo et le logarithme discret :
Une fois les paires de clés générées à l'aide des données partagées, les clés
publiques sont échangées et vont servir à l'aide des clés privées à générer le
secret (une clef de session qui servira au chiffrement des messages). Pour cela,
chaque hôte utilise sa clef privée et la clé publique de l'hôte distant pour créer la
clef de session commune.
conclusion

Ce chapitre est consacré à l’étude générale du VPN-SSL qui est le dernier


arrivé dans le monde des VPN, mais il présente un grand avantage dans la
mesure où coté client .Nous avons détaillé un peu sur ces caractéristiques et ces
fonctions principale.

Le chapitre suivent en vas abordé les différent étapes de l’utilisation de


lensemble VPN/SSL et Ca rialisation
CHAPITRE3 :

L’Utilisation et la Réalisation
d’un VPN/SS

Vous aimerez peut-être aussi