Académique Documents
Professionnel Documents
Culture Documents
Introduction
Jusqu'à présent, il y a toujours eu une division claire entre les réseaux publics et privés. Un réseau public,
comme le système téléphonique public et Internet, est un vaste ensemble de pairs indépendants qui
échangent des informations plus ou moins librement entre eux. Les personnes ayant accès au réseau
public peuvent ou non avoir quelque chose en commun, et une personne donnée sur ce réseau ne peut
communiquer qu'avec une petite fraction de ses utilisateurs potentiels.
Un réseau privé est composé d'ordinateurs appartenant à une seule organisation qui partagent des
informations spécifiquement entre eux. Ils sont assurés qu'ils seront les seuls à utiliser le réseau, et que
les informations envoyées entre eux ne seront (au pire) vues que par les autres membres du groupe. Le
réseau local (LAN) ou le réseau étendu (WAN) d'entreprise typique est un exemple de réseau privé. La
frontière entre un réseau privé et public a toujours été tracée au niveau du routeur de passerelle, où une
entreprise érigera un pare-feu pour empêcher les intrus du réseau public d'accéder à leur réseau privé
ou pour empêcher leurs propres utilisateurs internes de parcourir le réseau public.
Les entreprises ont des réseaux locaux de plus en plus importants qui comportent des applications et des
données essentielles à l’entreprise. Le problème qui se pose est le suivant : comment sécuriser une
entreprise pour accéder à ces données alors qu’elles sont réparties sur de grandes distances
géographiques. Pour pallier à ce problème, ces entreprises mettent en place un réseau VPN.
1.1 Généralité
Pour arranger ce problème, le VPN (Virtual Private Network) a été mise en place au but de de
sécuriser l’utilisateur n’étant pas connecté à un réseau interne de pouvoir quand même y accéder en
totalité ou en partie au travers d’un reseau public
Les réseaux privés virtuels reposent sur des protocoles nommés « protocoles de tunneling », (ou
encore protocoles de tunnelisation). Ils ont pour but de sécuriser le réseau en cryptant les données
partant des extrémités du VPN à l’aide d’algorithmes de cryptographie. On utilise le terme « Tunnel »
pour représenter le passage sécurisé dans lequel circulent les données cryptées. Ainsi, toute
personne n’étant pas connectée au VPN ne peut pas décrypter ces données. Lorsqu’un utilisateur
veut accéder aux données sur le VPN, on appelle client VPN (Client d’Accès Distant) l’élément qui
chiffre et déchiffre les données du côté client et serveur VPN (Serveur d’Accès Distant) l’élément qui
chiffre et déchiffre les données du côté du serveur (dans notre cas, c’est l’entreprise). Une fois le
serveur et le client identifiés, le serveur crypte les données et les achemine en empruntant le
passage sécurisé (le tunnel), les données sont ensuite décryptées par le client et l’utilisateur a accès
aux données souhaitées.
Tunnel
Tunnel joue un role fondamental pour la creation du vpn,il porte comme role le lien
d’echange des donneés .cela signifie que les données des deux entités sont cryptées et
encapsulées afin d’eviter une autre tiere de pirater les données
Types de tunnel
LAN-to-LAN
Le second type est dit "volontaire", la création du VPN est à l'initiative du client soit
en configurant son système d'exploitation ou en se connectant à un portail. Elle est
parfaitement adaptée à une configuration RoadWarrior
Le VPN d'accès
L'intranet VPN
L'extranet VPN
Le vpn d’accès est liée au utilisateur il permet de fournir un accès au réseau privé de l’entreprise,
on peut distinguer deux cas :
La communication est etablit par un logiciel client vpn ce dernier introduit directement un accès
securisé
1.2.2 L’intranet VPN
L'intranet VPN offre une liason crypteé entre deux sites distans ,il relie au moin deu intranets
pour etablir la communication
La relation entreprise client oblige d’avoir un reseau local etablit par un vpn afin de facilité
l’administration et la communication entre l’entreprise et ses partenaires
Un administrateur vpn peut faire part de cette infrastructure vpn pour gerer les droits et les
liasons
Authentification d’utilisateur. Seuls les utilisateurs autorisés doivent pouvoir s’identifier sur le
réseau virtuel. De plus, un historique des connexions et des actions effectuées sur le réseau
doit être conservé.
Gestion d’adresses. Chaque client sur le réseau doit avoir une adresse privée. Cette adresse
privée doit rester confidentielle. Un nouveau client doit pourvoir se connecter facilement au
réseau et recevoir une adresse.
Cryptage des données. Lors de leurs transports sur le réseau public les données doivent être
protégées par un cryptage efficace.
Gestion de clés. Les clés de cryptage pour le client et le serveur doivent pouvoir être générées
et régénérées.
Prise en charge multiprotocole. La solution VPN doit supporter les protocoles les plus utilisés
sur les réseaux publics en particulier Ip.
Nous pouvons classer les protocoles que nous allons étudier en deux catégories:
Il existe en réalité trois protocoles de niveau 2 permettant de réaliser des VPN : PPTP (de Microsoft),
L2F (développé par CISCO) et enfin L2TP. Nous n’évoquerons dans cette étude que PPTP et L2TP : le
protocole L2F ayant aujourd’hui quasiment disparut. Le protocole PPTP aurait sans doute lui aussi
disparut sans le soutien de Microsoft qui continue à l’intégrer à ses systèmes d’exploitation
Windows. L2TP est une évolution de PPTP et de L2F, reprenant les avantages des deux protocoles.
Les protocoles de couche 2 dépendent des fonctionnalités spécifiées pour PPP (Point to Point Protocol),
c’est pourquoi nous allons tout d’abord rappeler le fonctionnement de Ce protocole.
Protocl ppp
PPP (Point to Point Protocol) est un protocole qui permet de transférer des données sur un lien
synchrone ou asynchrone. Il est full duplex et garantit l’ordre d’arrivée des paquets. Il
encapsule les paquets Ip, Ipx et Netbeui dans des trames PPP, puis transmet ces paquets
encapsulés au travers de la liaison point à point. PPP est employé généralement entre un client
d’accès à distance et un serveur d’accès réseau (Nas). Le protocole PPP est défini dans la RFC
1661 appuyé de la RFC 2153.
Le client effectue d'abord une connexion avec son FAI (Fournisseur d’accès à Internet). Cette
première connexion établie une connexion de type PPP et permet de faire circuler des données
sur Internet.
Par la suite, une deuxième connexion dial-up est établie. Elle permet d'encapsuler les paquets
PPP dans des datagrammes IP. C'est cette deuxième connexion qui forme le tunnel PPTP.
Ainsi, le trafic conçu pour Internet emprunte la connexion physique normale et le trafic conçu
pour le réseau privé distant passe par la connexion virtuelle de PPTP.
Il existe ensuite d’autres protocoles qui peuvent être associé à PPTP afin de sécuriser les
données ou de les compresser.
Pour cette raison, L2TP encapsule souvent des paquets IPSec pour assurer la
confidentialité des données
Architecture
Le rôle du concentrateur d'accès LAC se limite à fournir un support physique qui sera
utilisé par L2TP pour transférer le trafic vers un ou plusieurs serveurs réseau L2TP
(LNS). Il assure le fractionnement en canaux pour tout protocole basé sur PPP. Le
concentrateur d'accès LAC joue le rôle de serveur d'accès, il est à l'origine du tunnel et
est responsable de l'identification du VPN.
Les serveurs réseau LNS, signifiant L2tp Network Server , peuvent fonctionner sur
toute plate-forme prenant en charge la terminaison PPP et gèrent le protocole L2TP
côté serveur. Les serveurs LNS sont les émetteurs des appels sortants et les
destinataires des appels entrants. Ils sont responsables de l'authentification du tunnel.
IPSec est un protocole qui permet de sécuriser les échanges au niveau de la couche réseau. Il
s'agit en fait d'un protocole apportant des améliorations au niveau de la sécurité au protocole IP
afin de garantir la confidentialité, l'intégrité et l'authentification des échanges. Le protocole
IPSec est basé sur trois modules :
Le second, Encapsulating Security Payload (ESP) peut aussi permettre l'authentification des
données mais est principalement utilisé pour le cryptage desinformations. Ces deux premiers
mécanismes sont presque toujours utilisés conjointement.
Le troisième, Internet Key Exchange (IKE) permet de gérer les échanges ou les associations
entre protocoles de sécurité. Le protocole IPSec est souvent utilisé avec le L2TP.
1.3.3 Comparaison entre PPTP, L2TP et IPSec
PPTP présente l’avantage d’être complètement intégré dans les environnements Windows.
Cependant comme beaucoup de produit Microsoft la sécurité est le point faible du produit :
Mauvaise gestion des mots de passe
Faiblesses dans la génération des clés de session
Faiblesses cryptographiques
Identification des paquets non implémentée
L2TP / IPSec sont plus robustes en terme de sécurité que l’utilisation du PPTP.
Les points négatifs de L2TP / IPSec sont les suivants :
L’ensemble des équipements d’un VPN L2TP doit bien implémenter le protocole IPSec.
IPSec ne permet d’identifier que des machines et non pas des utilisateurs.
IPSec à cause de la lourdeur des opérations de cryptage/décryptage réduit les performances
globales des réseaux.
L’achat de périphériques dédiés, coûteux est souvent indispensable.
L’expéditeur :
Les protocoles sécurisés présentés dans les paragraphes précédents ont recours à
des algorithmes cryptographiques et ont donc besoin de clefs. Un des problèmes
fondamentaux d’utilisation de la cryptographie est la gestion de ces clefs. Le
terme « gestion » recouvre la génération, la distribution, le stockage et la
suppression des clefs.
IKE (Internet Key Exchange) est un système développé spécifiquement pour
IPSEC qui vise à fournir des mécanismes d’authentification et d’échange de clef
adaptés à l’ensemble des situations qui peuvent se présenter sur l’Internet.
Lorsqu’il est utilisé pour IPSEC, IKE est de plus complété par un « Domaine
d’interprétation » pour IPSEC.
Les attributs suivants sont utilisés par IKE et négociés durant la phase 1 : un
algorithme de chiffrement, une fonction de hachage, une méthode
d’authentification et un groupe pour Diffie-Hellman.Trois clefs sont générées à
l’issue de la phase 1 : une pour le chiffrement, une pour l’authentification et une
pour la dérivation d’autres clefs.
Ces clefs dépendent des cookies, des aléas échangés et des valeurs publiques
Diffie-Hellman ou du secret partagé préalable. Leur calcul fait intervenir la
fonction de hachage choisie pour la SA ISAKMP et dépend du mode
d’authentification choisi.
Le groupe à utiliser pour Diffie-Hellman peut être négocié, par le biais du bloc SA,
soit au cours du Main Mode, soit ultérieurement par le biais du New Group Mode.
Dans les deux cas, il existe deux façons de désigner le groupe à utiliser :