N° d’ordre : 05/L3/TCO Année Universitaire : 2010 / 2011

UNIVERSITE D’ANTANANARIVO
----------------------
ECOLE SUPERIEURE POLYTECHNIQUE
-----------------------
DEPARTEMENT TELECOMMUNICATION

MEMOIRE DE FIN D’ETUDES

en vue de l’obtention
du DIPLOME de
LICENCE ES SCIENCES TECHNIQUES
en TELECOMMUNICATION
Spécialité : Télécommunication
par : MAHANDRIRANTOSOA Miharimanana

SECURISATION DES RESEAUX VPN AVEC

IPSEC ET RADIUS

Soutenu le Mardi 26 Mars 2013 devant la Commission d’Examen composée de :

Président :
Mr. RAKOTOMALALA Mamy Alain
Examinateurs :
Mr. RAKOTONDRAINA Tahina Ezéchiel
Mr. RANDRIAMITANTSOA Andry Auguste
Mr. RAVONIMANANTSOA Ndaohialy Manda-Vy

Directeur de mémoire : Mr. RAJAONARISON Roméo

 REMERCIEMENTS

Le présent mémoire est le fruit de trois années d’études supérieures à l’école Supérieure
Polytechnique d’Antananarivo.

Je rends grâce à Dieu pour m’avoir donné le courage, la volonté et la santé durant la réalisation de
ce travail.

Ma profonde gratitude s’adresse particulièrement aux personnes suivantes :

− Monsieur ANDRIANARY Philippe Antoine, Professeur Titulaire, Directeur de l’Ecole

Supérieure Polytechnique d’Antananarivo.

− Monsieur RANDRIAMITANTSOA Paul Auguste, Professeur Titulaire, Chef de

Département Télécommunication, pour les savoir inestimables qu’il nous a légués.

− Monsieur RAKOTOMALALA Mamy Alain, Maître de conférences, enseignant au sein du

Département Télécommunication, qui me fait l’honneur de présider le jury ce mémoire.

Je tiens à remercier les membres du jury qui ont acceptés d’examiner ce mémoire malgré leurs
innombrables occupations :

− Monsieur RANDRIAMITANTSOA Andry Auguste

− Monsieur RAVONIMANANTSOA Ndaohialy Manda-Vy

− Monsieur RAKOTONDRAINA Tahina Ezéchiel

J’exprime ma profonde reconnaissance à Monsieur RAJAONARISON Roméo, Assistant

d’enseignement et de recherche, Directeur de mémoire, pour son soutien moral et technique, ses
précieux conseils et surtout, le temps qu’il a consacré pour moi.

Mes vifs remerciements s’adressent aussi aux enseignants et personnels de l’ESPA, et à ceux du
Département Télécommunication en particulier, ils ont fait de moi ce que je suis aujourd’hui.

Un grand merci à nos parents qui ont toujours été présent à chaque moment de notre vie. Leur
inconditionnels amour et leur soutien nous a procuré la force d’aboutir à un tel résultat.

Enfin, à tous ceux qui ont contribué de près ou de loin à la réalisation de ce mémoire de fin
d’étude. Puissiez-vous trouver dans ces quelques lignes mes sincères remerciements et ma
reconnaissance.

i
 TABLE DES MATIERES

REMERCIEMENTS ...................................................................................................................................... i

LISTE DES ABREVIATIONS..................................................................................................................... v

INTRODUCTION GENERALE.................................................................................................................. 1

CHAPITRE 1 GENERALITES SUR LES RESEAUX INFORMATIQUES .......................................... 3

1.1. Introduction .......................................................................................................................................................... 3

1.2. Propriétés des réseaux informatiques .................................................................................................................. 3
1.2.1. Echelle géographique ..................................................................................................................................... 3
1.2.2. Modes d’acheminement des messages .......................................................................................................... 4
1.2.2.1. Commutation de circuits......................................................................................................................................... 4
1.2.2.2. Commutation de messages...................................................................................................................................... 4
1.2.2.3. Commutation de paquets ........................................................................................................................................ 5
1.2.2.4. Commutation de trames .......................................................................................................................................... 6
1.2.2.5. Commutation de cellules ........................................................................................................................................ 6
1.3. Modèles de réseaux .............................................................................................................................................. 6
1.3.1. Modèle OSI ..................................................................................................................................................... 6
1.3.2. Modèle TCP/IP ............................................................................................................................................... 7
1.4. Réseaux physiques................................................................................................................................................ 8
1.4.1. Topologies des réseaux .................................................................................................................................. 8
1.4.1.1. Topologie maillée .................................................................................................................................................... 9
1.4.1.2. Topologie en bus ..................................................................................................................................................... 9
1.4.1.3. Topologie en anneau ............................................................................................................................................ 10
1.4.1.4. Topologie en étoile ................................................................................................................................................ 10
1.4.2. Techniques de partage du support physique ............................................................................................. 11
1.4.3. Normes associées aux réseaux physiques ................................................................................................... 11
1.4.4. Exemple de solutions matérielles pour les réseaux.................................................................................... 12
1.4.4.1. Réseau Ethernet .................................................................................................................................................... 12
1.4.4.2. Réseau Wifi ........................................................................................................................................................... 12
1.5. Réseaux logiques ................................................................................................................................................ 13
1.5.1. Adressage logique IPv4................................................................................................................................ 13
1.5.1.1. Notion d’adresse IP .............................................................................................................................................. 13
1.5.1.2. Notion de sous-réseau........................................................................................................................................... 14
1.5.2. Mécanismes de routage IPv4 ....................................................................................................................... 14
1.5.2.1. Concept de routage ............................................................................................................................................... 14
1.5.2.2. Table de routage ................................................................................................................................................... 15
1.5.2.3. Routage statique ................................................................................................................................................... 15
1.5.2.4. Protocoles de routage ........................................................................................................................................... 15
a. Routing Information Protocol ................................................................................................................................... 16

ii
 b. Open Shortest Path First............................................................................................................................................ 16
1.6. Conclusion .......................................................................................................................................................... 16

CHAPITRE 2 RESEAUX PRIVES VIRTUELS ...................................................................................... 17

2.1. Introduction ........................................................................................................................................................ 17

2.2. Propriétés d’un VPN .......................................................................................................................................... 17
2.2.1. Contraintes d’un VPN ................................................................................................................................. 17
2.2.2. Types de VPN ............................................................................................................................................... 18
2.3. Protocoles utilisés ............................................................................................................................................... 19
2.3.1. Protocole PPTP ............................................................................................................................................ 19
2.3.2. Protocole L2TP ............................................................................................................................................ 21
2.3.3. Protocole IPSec ............................................................................................................................................ 21
2.3.4. Protocole MPLS ........................................................................................................................................... 22
2.4. Avantages et utilisations pratiques d’un VPN ................................................................................................... 22
2.4.1. Sécurisé ......................................................................................................................................................... 23
2.4.2. Simple............................................................................................................................................................ 23
2.4.3. Economique .................................................................................................................................................. 23
2.4.4. Mobile ........................................................................................................................................................... 24
2.5. Authentification RADIUS .................................................................................................................................. 24
2.5.1. Présentation de RADIUS ............................................................................................................................. 24
2.5.2. Caractéristiques de RADIUS ...................................................................................................................... 24
2.5.2.1. Modèle client/serveur............................................................................................................................................ 25
2.5.2.2. Sécurité réseau ...................................................................................................................................................... 25
2.5.2.3. Mécanismes flexibles d’authentification .............................................................................................................. 26
2.5.2.4. Protocole extensible .............................................................................................................................................. 26
2.5.3. Fonctionnement général .............................................................................................................................. 26
2.5.4. Challenge/Réponse ....................................................................................................................................... 27
2.5.5. Accounting .................................................................................................................................................... 28
2.6. Conclusion .......................................................................................................................................................... 28

CHAPITRE 3 INTERNET PROTOCOL SECURITY............................................................................ 29

3.1. Introduction ........................................................................................................................................................ 29

3.2. Aspect technique ................................................................................................................................................. 29
3.3. Détails du protocole............................................................................................................................................ 29
3.3.1. Gestion des flux IPSec ................................................................................................................................. 29
3.3.1.1. Security Policy ...................................................................................................................................................... 30
3.3.1.2. Security Association.............................................................................................................................................. 30
3.3.1.3. Bases de données SPD et SAD ............................................................................................................................. 31
3.3.2. Modes d’IPSec .............................................................................................................................................. 31
3.3.2.1. Mode Transport .................................................................................................................................................... 31

iii
 3.3.2.2. Mode Tunnel ......................................................................................................................................................... 31
3.3.3. Détails des protocoles ajoutés...................................................................................................................... 32
3.3.3.1. En-tête AH ............................................................................................................................................................ 32
3.3.3.2. Champs ESP ......................................................................................................................................................... 33
3.4. Gestion des clefs IPSec....................................................................................................................................... 34
3.4.1. Types de clefs ................................................................................................................................................ 34
3.4.1.1. Clefs de chiffrement.............................................................................................................................................. 34
3.4.1.2. Clefs maîtresses..................................................................................................................................................... 34
3.4.1.3. Clefs de session ou de chiffrement de données .................................................................................................... 34
3.4.2. Echange de clefs et authentification ........................................................................................................... 34
3.4.2.1. Mécanismes de sécurisation des échanges ........................................................................................................... 34
3.4.2.2. Algorithme de Diffie-Hellman .............................................................................................................................. 35
3.4.3. ISAKMP et IKE ........................................................................................................................................... 35
3.4.3.1. ISAKMP ................................................................................................................................................................ 36
3.4.3.2. IKE ........................................................................................................................................................................ 36
a. Phase 1 : Main mode et Aggressive mode ................................................................................................................. 37
b. Phase 2 : Quick Mode ................................................................................................................................................ 39
3.5. Conclusion .......................................................................................................................................................... 39

CHAPITRE 4 SIMULATION D’UN VPN D’ACCES SOUS GNS3 ...................................................... 40

4.1. Création de la topologie ..................................................................................................................................... 40

4.2. Mise en place du serveur RADIUS sous Debian ............................................................................................... 41
4.2.1. Installation de FreeRadius sous Debian ..................................................................................................... 41
4.2.2. Ajouter un Client ......................................................................................................................................... 42
4.2.3. Ajouter un utilisateur .................................................................................................................................. 43
4.2.4. Tester le serveur localement........................................................................................................................ 43
4.3. Mise en place du serveur VPN avec SDM ......................................................................................................... 44
4.4. Se connecter au serveur avec Cisco VPN Client ............................................................................................... 52
4.5. Résultat de la simulation .................................................................................................................................... 55

CONCLUSION GENERALE .................................................................................................................... 56

ANNEXES .................................................................................................................................................... 57

BIBLIOGRAPHIE ...................................................................................................................................... 65

RENSEIGNEMENTS ................................................................................................................................. 66

RESUME ...................................................................................................................................................... 67

ABSTRACT ................................................................................................................................................. 67

iv
 LISTE DES ABREVIATIONS

AAA : Authentication Authorization Accounting

AH : Authentication Header

ATM : Asynchronous Transfer Mode

CEF : Cisco Express Forwarding

CHAP : Challenge Handshake Authentication Protocol

DES : Data Encryption Standard

ESP : Encapsulating Security Payload

GRE : Generic Routing Encapsulation

IEEE : Institute of Electrical and Electronics Engineers

IETF : Internet Engineering Task Force

IGMP : Internet Group Management Protocol

IKE : Internet Key Exchange

IP : Internet Protocol

IPSec : Internet Protocol Security

IPX : Inter-network Packet eXchange

ISAKMP : Internet Security Association and Key Management Protocol

ISO : International Standard Organization

LAN : Local Area Network

LDAP : Lightweight Directory Access Protocol

LNS : L2TP Network Server

L2TP : Layer 2 Tunneling Protocol

MAC : Medium Access Control

MAN : Metropolitan Area Network

v
MAU : Multistation Access Unit

MPLS : Multi-Protocol Label Switching

MPPC : Microsoft Point to Point Compression

MPPE : Microsoft Point-to-Point Encryption

MS-CHAP : Microsoft Challenge Handshake Authentication Protocol

MTU : Maximum Transmission Unit

NAS : Network Access Server

OSI : Open System Interconnect

OSPF : Open Shortest Path First

PAP : Password Authentication Protocol

PFS : Perfectif Forward Secrecy

PKI : Public Key Infrastructure

PPP : Point-to-Point Protocol

PPTP : Point-to-Point Tunneling Protocol

RADIUS : Remote Authentication Dial-In User Service

RIP : Routing Information Protocol

RSA : Rivest Shamir Adleman

SA : Security Association

SAD : Security Association Database

SP : Security Policy

SPD : Security Policy Database

SPI : Security Parameter Index

TLS : Transport Layer Security

VPN : Virtual Private Network

WAN : Wide Area Network

vi
 INTRODUCTION GENERALE

Les réseaux locaux d'entreprise sont des réseaux internes à une organisation, c'est-à-dire que les
liaisons entre machines appartiennent uniquement à l'organisation. Ces réseaux sont de plus en
plus souvent reliés à Internet par l'intermédiaire d'équipements d'interconnexion. Il arrive ainsi que
des entreprises éprouvent le besoin de communiquer avec des filiales, des clients ou même du
personnel géographiquement éloignées via Internet.

Pour autant, les données transmises sur Internet sont beaucoup plus vulnérables que lorsqu'elles
circulent sur un réseau interne à une organisation car le chemin emprunté n'est pas défini à
l'avance, ce qui signifie que les données empruntent une infrastructure réseau publique
appartenant à différents opérateurs. Ainsi il n'est pas impossible que sur le chemin parcouru, le
réseau soit écouté par un utilisateur indiscret ou même détourné. Il n'est donc pas concevable de
transmettre dans de telles conditions des informations sensibles pour l'organisation ou l'entreprise.

La première solution pour répondre à ce besoin de communication sécurisé consiste à relier les
réseaux distants à l'aide de liaisons spécialisées. Toutefois la plupart des entreprises ne peuvent
pas se permettre de relier deux réseaux locaux distants par une ligne spécialisée, il est parfois
nécessaire d'utiliser Internet comme support de transmission.

Un bon compromis consiste donc à utiliser Internet comme support de transmission en utilisant un
protocole d'encapsulation appelé « tunneling », c'est-à-dire encapsulant les données à transmettre
de façon chiffrée. On parle alors de réseau privé virtuel (VPN) pour désigner le réseau ainsi créé.
Ce réseau est dit virtuel car il relie deux réseaux physiques (réseaux locaux) par une liaison non
fiable (Internet), et privé car seuls les ordinateurs des réseaux locaux de part et d'autre du VPN
peuvent voir les données. Le système de VPN permet ainsi d'obtenir une liaison sécurisée à
moindre coût, si ce n'est la mise en œuvre des équipements terminaux. En contrepartie, il ne
permet pas d'assurer une qualité de service comparable à une ligne louée dans la mesure où le
réseau physique est public et donc non garanti.

Ce document se compose de quatre chapitres, qui se répartissent comme suit:

Le premier chapitre propose quelques généralités sur les réseaux informatiques. Il décrit
brièvement les propriétés d’un réseau informatique et donne une présentation globale sur les

1
modèles de réseaux en couche. Ce chapitre s’achève sur une notion de routage qui inclut les
protocoles les plus utilisés.

Les VPN font l’objet du second chapitre. Après avoir donné une introduction, nous décrirons
successivement : le fonctionnement et les contraintes des VPN, les types de VPN, les protocoles
de tunneling et enfin une notion sur l’authentification avec le protocole RADIUS.

Le troisième chapitre propose une solution pour pallier le problème de sécurité au niveau de la
couche 3 du modèle OSI, le protocole IPSec y est détaillé en passant par son mode de
fonctionnement, les protocoles ajoutés et la gestion des clefs.

Avant de donner une conclusion générale, un dernier chapitre est consacré à la simulation d’un

VPN d’accès crypté par un tunnel IPSec et authentifié par un serveur RADIUS sous le simulateur
réseau GNS3.

2
 CHAPITRE 1
GENERALITES SUR LES RESEAUX INFORMATIQUES

1.1. Introduction

Un réseau informatique est un ensemble d’ordinateurs ou de périphériques autonomes connectés

entre eux et qui sont situés dans un certain domaine géographique. Deux stations sont considérées
comme interconnectées si elles sont capables d’échanger des flux d’information.

Il convient toutefois de faire attention aux situations dans lesquelles le terme réseau est employé
en informatique. En effet, il peut désigner l’ensemble des machines, le protocole de
communications ou la manière dont les équipements sont connectés.

1.2. Propriétés des réseaux informatiques

1.2.1. Echelle géographique

Les réseaux sont classés en fonction de leur étendue géographique. Ainsi, on parlera de :

− PAN (Personnal Area Network) pour les réseaux personnels de moins d’une dizaine de
machines ;
− LAN (Local Area Network) pour les réseaux locaux à l’échelle d’un bâtiment ;
− MAN (Metropolitan Area Network) pour les réseaux construits à l’échelle d’une ville ou
d’un campus ;
− WAN (Wide Area Network) pour les réseaux à l’échelle d’un pays ou mondiale.

Le nombre de machines mises en réseau va définir la différence entre un LAN ou un PAN. En

revanche, il est intéressant de noter que les MAN et les WAN peuvent être composés de plusieurs

LAN ou PAN. Il y donc non seulement interconnexion de machines mais aussi de réseaux au
travers desquels les messages seront acheminés. [1]

Figure 1.01 : Classification des réseaux selon leur taille

3
1.2.2. Modes d’acheminement des messages

Comme la mise en réseau de machines correspond au besoin d’échanger des informations, des
messages transitent en permanence dans un réseau. Il existe plusieurs stratégies pour acheminer un
message au travers du réseau. On parle alors de techniques de commutation. Nous détaillerons les
5 méthodes les plus courantes à savoir :

− Commutation de circuits ;
− Commutation de messages ;
− Commutation de paquets ;
− Commutation de trames ;
− Commutation de cellules.

1.2.2.1. Commutation de circuits

C’est une méthode utilisée sur les réseaux téléphoniques classiques. Les communications passent
par trois phases distinctes :

− L’établissement de la liaison où l’on va chercher et occuper un itinéraire pour acheminer le

message ;
− Le maintien de la liaison pendant toute la durée de la connexion ;
− La libération des connexions sur ordre et le retour à l’état libre du réseau.

Figure 1.02 : Commutation de circuits

1.2.2.2. Commutation de messages

Cette méthode s’appuie sur les nœuds du réseau. Ainsi, le message transite de nœuds en nœuds
jusqu’au destinataire. Un nœud ne peut envoyer le message que s’il a reçu ce dernier
complètement. Ce mode a été abandonné et remplacé au profit de la commutation de paquets. [2]

4
 Figure 1.03 : Commutation de messages

1.2.2.3. Commutation de paquets

Cette méthode consiste à fragmenter le message en paquets qui seront transmis de nœuds en
nœuds jusqu’au destinataire. Il existe plusieurs stratégies pour acheminer les paquets.

− Dans le mode connecté les paquets empruntent toujours le même chemin (c’est le cas du
réseau TRANSPAC) ;
− Dans le mode non-connecté les paquets peuvent emprunter des itinéraires différents. En
réalité, chaque nœud va se charger d’aiguiller l’information. C’est sur ce principe que sont
échangées les informations sur internet.

Comme il s’agit de l’un des plus répandus modes de commutation, ce dernier fait l’objet d’une
norme internationale qui est l’œuvre des opérateurs téléphoniques : la norme X25. Pour permettre
l’acheminement et le réassemblage des paquets, ce dernier renferme les informations suivantes :

− Un identifiant de source ;
− Un identifiant de destination ;
− Un numéro de séquence ;
− Un bloc contenant les données proprement dites ;
− Un code de vérification des erreurs.

5
 Figure 1.04 : Commutation de paquets

1.2.2.4. Commutation de trames

C’est une extension de la commutation de paquets. La commutation est assurée directement au

niveau du matériel employé pour construire le réseau.

1.2.2.5. Commutation de cellules

Cette méthode est également une extension de la commutation de paquets à laquelle on ajoute les
avantages de la commutation de circuits. Les paquets ont une longueur fixe de 53 octets dont 5
sont utilisés pour l’en-tête. La connexion est mise en place avant toute émission de cellule. Le
réseau ATM (Asynchronous Transfer Mode) exploite cette solution. A ce type de commutation est
associée la notion de qualité de service qui dépend du type d’informations transportés. [2]

1.3. Modèles de réseaux

1.3.1. Modèle OSI

Cette norme a été créée en 1984 par l’ISO (International Standard Organisation). Elle s’intéresse
aux réseaux à commutation de paquets. Il s’agit d’un modèle à 7 couches qui décrit les réseaux.
Chaque couche possède une problématique qui lui est propre. La mise en place d’un réseau
consiste à trouver une solution par couche. Les couches sont en théorie indépendantes, il est donc
possible de modifier la solution adoptée pour une couche sans affecter les couches supérieures ou
inférieures. Le modèle OSI décrit ainsi les réseaux des couches basses qui concernent le matériel
qui constitue le réseau jusqu’aux couches hautes qui décrivent la communication entre les
applications fonctionnant à l’aide du réseau constitué. [3]

6
Niveau Nom Description

7 Application Gère l’accès des utilisateurs à l’environnement OSI et offre des services
d’information distribués.

6 Présentation Assure la présentation de l’information qui transite sur le réseau, la compression

et le cryptage des données.

5 Session Etablit une session entre 2 utilisateurs et déterminer les mécanismes de

synchronisation à employer.

4 Transport Accomplit un transfert fiable et transparent des données entre les points
d’extrémités. Assure une récupération d’erreur et un contrôle de flux de bout en
bout.

3 Réseau Assure l’interconnexion de plusieurs réseaux physiques et l’acheminement d’un

paquet d’un point du réseau à un autre.

2 Liaison de Assure la communication entre plusieurs machines reliées par le même support
données physique.

1 Physique Décrit le support physique employé pour transmettre l’information (fibre optique,
paire torsadé….).

Tableau 1.01 : Modèle OSI

1.3.2. Modèle TCP/IP

TCP/IP fut développé par le DoD (Département de la défense) des Etats-Unis et par DARPA
(Agence de projet de recherché de défense avancée) dans les années 70. TCP/IP fut conçu pour
être un standard ouvert, que quiconque puisse l’utiliser pour connecter des ordinateurs ensemble et
échanger des informations. Par la suite, il est devenu le modèle de base pour l’Internet.

TCP/IP prend comme modèle de référence le modèle OSI mais seulement avec 4 couches
fonctionnelles. Certaines couches du modèle TCP/IP portent les mêmes noms que celles du
modèle OSI mais avec des fonctions différentes. [3]

7
Couche Description Protocoles

Application Définit les protocoles d’application TCP/IP et explique http, Telnet, FTP, TFTP,
comment l’hôte programme l’interface avec les services SNMP, DNS, SMTP, X
de couches de transport pour utiliser le réseau Windows, autres protocoles
d’application

Transport Propose la gestion des sessions de communication entre TCP, UDP, RTP
les ordinateurs hôtes. Définit le niveau de service et l’état
de la connexion utilisés lors du transport des données.

Internet Regroupe les données en datagrammes IP qui IP, ICMP, ARP, RARP
contiennent des informations sur les adresses de source et
de destination utilisées pour transmettre les datagrammes
entre les hôtes et à travers les réseaux. Effectue le routage
des datagrammes IP.

Accès réseau Donne des détails sur le mode d’envoi des données à Ethernet, Token Ring, FDDI,
travers le réseau, y compris sur la façon dont les bits sont X25, FR, RS-232,v.35
électriquement signalés par les périphériques matériels
jouant directement le rôle d’interface avec un support
réseau, comme un câble coaxial, une fibre optique ou un
fil de cuivre à paire torsadée.

Tableau 1.02 : Modèle TCP/IP

1.4. Réseaux physiques

Dans cette partie, nous verrons les types de topologies d’un réseau, les manières de partager le
support physique entre plusieurs stations ainsi que les normes internationales qui y sont associées.

1.4.1. Topologies des réseaux

Lorsqu’il s’agit de connecter 2 stations l’une à l’autre, un seul câble suffit pour les faire
communiquer. Toutefois, comment cela se passe si l’on dispose d’une grande quantité de stations.
Plusieurs stratégies peuvent être employées pour relier les stations. Ces stratégies de câblages
donnent plusieurs configurations physiques de réseaux appelées topologies. [4]

8
1.4.1.1. Topologie maillée

Ce type de câblage constitue une généralisation du cas à deux stations. En effet, chaque station du
réseau est reliée à une autre par un câble. Ce système est inutilisé de nos jours en raison du
nombre de câbles nécessaires pour créer un tel réseau. De plus, rajouter une station sur ce réseau
signifie que l’on doit rajouter autant de câbles que de stations déjà présentes sur le réseau.

Figure 1.05 : Topologie maillée

1.4.1.2. Topologie en bus

Dans ce type de câblage, toutes les stations se partagent le même support physique de
communication (le bus). Si les stations cherchent à communiquer en même temps, ce partage du
même support entraîne la collision des différents messages. Il faudra mettre au point des stratégies
d’anticollision. Les anciens réseaux Ethernet fonctionnent avec ce type de topologie.

Figure 1.06 : Topologie en bus

9
1.4.1.3. Topologie en anneau

Un anneau est unidirectionnel, le message se propage toujours dans le même sens dans les câbles.

À la différence des topologies précédentes, chaque station qui reçoit un message va alors le
réémettre, donc le transmettre à la station suivante, si elle n’est pas concernée par le message en
question. Toutefois, si l’un des câbles est défectueux ou une des stations tombe en panne,
l’ensemble du réseau est coupé. Pour éviter ce problème, l’anneau est parfois doublé avec un
circuit allant dans le sens contraire.

Figure 1.07 : Topologie en anneau

1.4.1.4. Topologie en étoile

Toutes les stations sont reliées à un nœud central (une station du réseau) qui sera le seul à relayer
les messages. Dans ce type de topologie, le point faible réside dans le nœud central. La fiabilité du
réseau est équivalente à celle du nœud central.

Figure 1.08 : Topologie en étoile

10
1.4.2. Techniques de partage du support physique

Lorsque plusieurs machines se partagent le même support physique de transmission, ces dernières
peuvent émettre des messages simultanément. Lorsque ceci se produit, les messages se mélangent
et il se produit ce que l’on appelle une collision.

Il existe plusieurs solutions pour éviter ce type de conflit, les plus couramment utilisées sont :

− L’allocation statique de bande passante ;

− Les accès au support par compétition par le biais de l’écoute de la porteuse CSMA/CD ;
– Les accès au support par élection en employant les techniques à jeton.

1.4.3. Normes associées aux réseaux physiques

Elles sont compatibles avec la norme OSI bien qu’elles lui soient antérieures. Il s’agit de la série
des normes IEEE 802. Selon ces normes, les réseaux locaux sont subdivisés en 12 catégories.

Norme Objet de la norme Nom anglophone

802.1 Fonctionnement inter-réseaux Internetworking

802.2 Le contrôle des liaisons logiques Logical Link Control

802.3 Les réseaux locaux en bus logique Ethernet LAN

802.4 Les réseaux locaux en bus à jeton Token Bus LAN

802.5 Les réseaux locaux en anneau logique Token Ring LAN

802.6 Les réseaux métropolitains MAN Metropolitan Area Network

802.7 La transmission en large bande Broadband Technical Advisory Group

802.8 La fibre optique Fiber-Optic Technical Advisory Group

802.9 Les réseaux intégrant la voix et les données Integrated Voice / Data Networks

802.10 La sécurité des réseaux Network security

802.11 Les réseaux sans fil Wireless network

802.12 La méthode d’accès priorité à la demande Demand Priority Access on LAN

Tableau 1.03 : Liste des normes IEEE 802 concernant les réseaux locaux

11
1.4.4. Exemple de solutions matérielles pour les réseaux

1.4.4.1. Réseau Ethernet

Le réseau Ethernet est décrit par la norme IEEE 802.3 qui a été internationalisée depuis en norme

ISO 8802.3. Elle concerne des topologies physiques en bus, en anneau ou en étoile mais qui seront
traitées de manière logique comme des bus. Les accès au support physique sont gérés de manière
compétitive avec écoute de la porteuse CSMA/CD. Plusieurs sous-normes décrivent les réseaux
Ethernet comme nous le montre le tableau 1.04.

Norme Débit Support Longueur Max Dénomination

802.3 10B5 10 Mbps Coaxial 50W 500 m Ethernet standard

802.3 10B2 10 Mbps Coaxial 50W 200 m Ethernet fin
802.3 10Broad36 10 Mbps Coaxial 75W 3600 m
802.3 1B5 1 Mbps Paire torsadée 500m 5 hubs Starlan
802.3 10BT 10 Mbps Paire torsadée 100m, hubs illimités Starlan
802.3 10BF 10 Mbps Fibre optique 2 km Starlan
802.3 100BT 100 Mbps Paire torsadée Starlan
802.3 100BF 100 100 Mbps Fibre optique Starlan
802.3 1000BT 1 1Gbps Paire torsadée Starlan
802.3 1000BF 1Gbps Fibre optique Starlan

Tableau 1.04 : Liste des caractéristiques physiques des différents réseaux Ethernet

1.4.4.2. Réseau Wifi

Wifi, pour Wireless Fidelity, caractérise les réseaux sans-fil. Ces réseaux utilisent l’onde
hertzienne comme support de transmission. Plusieurs sous normes de la norme IEEE 802.11
existent, parmi ces dernières, seulement 3 concernent la constitution physique du réseau qui sont
décrites dans le tableau ci-dessous.

12
 Norme Débit théorique Fréquence Canaux Portée

802.11a 54 Mbps 5 GHz 8 10 m

802.11b 11 Mbps 2,4 GHz 13 100 m

802.11g 54 Mbps 2,4 GHz 13 100 m

Tableau 1.05 : Normes du réseau Wifi

1.5. Réseaux logiques

Comme nous l’avons évoqué, la couche 3 du modèle OSI fait intervenir la notion de réseau
logique, par opposition au réseau physique. Ainsi, les principales fonctionnalités qui sont traitées
par cette couche sont:

− Traduire les adresses physiques en adresse logiques et inversement ;

− Router les messages en fonction de leur priorité et de l’état du réseau ;
− Gérer le trafic sur le réseau ;
− Gérer la commutation des paquets sur le réseau ;
− Découper et réassembler les messages en fonction de la longueur maximale des trames des
réseaux physiques par lesquels ils transitent.

1.5.1. Adressage logique IPv4

1.5.1.1. Notion d’adresse IP

Les adresses IP (version 4) sont standardisées sous forme d’un nombre de 32 bits qui permet à la
fois l’identification de chaque hôte et du réseau auquel il appartient. Le choix des nombres
composants une adresse IP n’est pas laissée au hasard, au contraire il fait l’objet d’une attention
particulière notamment pour faciliter les opérations de routage. Ces adresses sont notées : w.x.y.z,
avec chaque élément compris entre 0 et 255. Le chiffre 0 est réservé pour les adresses de réseau et
le 255 pour les adresses de broadcast appelées aussi « adresse de diffusion », ces dernières
permettent de contacter toutes les machines d’un même réseau. Une adresse logique permet
d’identifier le réseau sur lequel est connectée une machine.

En fonction de la valeur du premier octet, une classe d’adresse est définie et un masque par défaut
est associé :

13
 Classe 1er Octet Adresses Masque par défaut

A 0 à 126 1.0.0.0 à 126.255.255.255 255.0.0.0

B 128 à 191 128.0.0.0 à 191.255.255.255 255.255.0.0

C 192 à 223 192.0.0.0 à 223.255.255.255 255.255.255.0

D 224 à 239 224.0.0.0 à 239.255.255.255

E 240 à 255

Tableau 1.06 : Classes d’adresses IP

1.5.1.2. Notion de sous-réseau

Les grands réseaux sont fréquemment subdivisés en sous-réseaux. Ceci permet d’utiliser de
manière hétérogène plusieurs types de réseaux physiques différents. Cela favorise la segmentation
du réseau en vue de faciliter le routage et permet de réduire l’encombrement général du réseau.
Ceci permet aussi d’isoler certaines parties du réseau peu fiables ou au contraire très sécurisées
par rapport à un parc de machines standard. [5]

1.5.2. Mécanismes de routage IPv4

1.5.2.1. Concept de routage

Il s’agit de l’un des rôles essentiels de la couche 3 du modèle OSI : acheminer les paquets d’un
réseau à un autre. Pour ce faire, les divers réseaux physiques seront reliés entre eux par des
machines qui seront sur plusieurs réseaux à la fois : les routeurs. De plus, comme il est impossible
de relier tous les réseaux physiques directement, les paquets doivent parfois passer par des réseaux
physiques intermédiaires. [5]

Figure 1.09 : Exemple de routage à travers plusieurs réseaux

14
1.5.2.2. Table de routage

La table de routage est une table de correspondance entre l'adresse de la machine visée et le nœud
suivant auquel le routeur doit délivrer le message. En réalité il suffit que le message soit délivré
sur le réseau qui contient la machine, il n'est donc pas nécessaire de stocker l’adresse IP complète
de la machine, seul l’ ID du réseau a besoin d’être stocké.

Réseau destination Masque Prochain routeur Interface Métrique

192.168.1.0 255.255.255.0 192.168.4.2 f0/0 2

192.168.2.0 255.255.255.0 192.168.4.2 f0/1 2

192.168.3.0 255.255.255.0 192.168.3.1 f1/0 1

192.168.4.0 255.255.255.0 192.168.4.1 f2/0 1

Tableau 1.07 : Exemple de table de routage

1.5.2.3. Routage statique

Les informations sont mises à jour manuellement à chaque modification topologique du réseau.

Inconvénient du routage statique :

− Boucles de routage ;
− Routages asymétriques ;
− Routages aberrants.

Avantages du routage statique :

− Sécurité par masquage de certaines parties d’un inter-réseau ;

− Moins de surcharge par rapport au routage dynamique.

1.5.2.4. Protocoles de routage

Le but d’un protocole de routage est de fournir l’information nécessaire pour effectuer un routage,
ils établissent des règles d’échange des messages d'état entre routeurs pour mettre à jours leurs
tables selon des critères de coût comme, par exemple, la distance, l'état de la liaison, le débit, et
ainsi améliorer l'efficacité du routage. [5]

15
a. Routing Information Protocol

RIP a été conçu pour fonctionner en tant qu’IGP (Interior Gateway Protocol) dans des systèmes
autonomes de taille modérée. Il utilise un algorithme d’une classe connue sous le nom d’«
algorithmes à vecteurs de distance », qui recherche le plus court chemin au sens d’un critère de
coût où seul le nombre de routeurs traversés intervient, un coût unitaire étant associé à la traversée
de chaque réseau. Ce protocole est limité aux réseaux dont le plus long chemin implique 15
routeurs maximum. Il est mal adapté au traitement de boucles dans les chemins et utilise des
métriques fixes pour comparer les routes alternatives. Cela n’est pas toujours approprié pour les
situations où les routes doivent être choisies en fonction de paramètres temps réel comme un délai,
une fiabilité ou une charge mesurés.

b. Open Shortest Path First

OSPF est plus performant que RIP et commence donc à le remplacer petit à petit. Il s'agit d'un
protocole de type protocole route-link que l'on pourrait traduire par « Protocole d'état de lien ».
Contrairement à RIP, ce protocole n'envoie pas aux routeurs adjacents le nombre de sauts qui les
sépare, mais l'état de la liaison qui les sépare. De cette façon, chaque routeur est capable de dresser
une carte de l'état du réseau et peut par conséquent choisir à tout moment la route la plus
appropriée pour un message donné.

1.6. Conclusion

Le réseau informatique est essentiel dans le monde de la télécommunication. Il est un ensemble

d'équipements reliés entre eux pour échanger des informations. Les réseaux informatique
s’appuient sur les spécifications du modèle l’OSI, c’est-à-dire qu’ils utilisent des méthodes de
communication semblables pour échanger des données. Les équipements physiques complètent la
partie physique de l’architecture des réseaux et permet aussi de relier plusieurs ordinateur entre
eux pour les différentes technologies. Enfin, différentes topologies permettent l’interconnexion
des équipements des utilisateurs et des nœuds de réseau pour établir des échanges d’information
fiable lors de la connexion.

16
 CHAPITRE 2
RESEAUX PRIVES VIRTUELS

2.1. Introduction

De nos jours, les applications distribuées sont de plus en plus en vogue dans les grandes
entreprises. Ceci est faisable grâce au développement de l’utilisation des réseaux locaux. Ainsi,
leur utilisation devient de plus en plus indispensable à l’entreprise, et la vie de l’entreprise en
dépend. La sécurisation et l’optimisation du transit de données entre les nœuds de l’entreprise
devient ainsi primordial. Pour les sites distants géographiquement, l’utilisation des réseaux publics
comme l’Internet est une solution pour assurer l’interconnexion. Cependant, ces types de réseaux
sont non seulement non sécurisés mais aussi peu performants. Ainsi, les VPN ont été instaurés
pour y remédier en connectant une machine distante ou tout un réseau local au réseau de
l’entreprise comme s’ils étaient locaux.

2.2. Propriétés d’un VPN

Un réseau VPN repose sur un protocole appelé « protocole de tunneling ». Ce protocole permet de
faire circuler les informations de l'entreprise de façon cryptée d'un bout à l'autre du tunnel. Ainsi,
les utilisateurs ont l'impression de se connecter directement sur le réseau de leur entreprise.

Le principe de tunneling consiste à construire un chemin virtuel après avoir identifié l'émetteur et
le destinataire. Par la suite, la source chiffre les données et les achemine en empruntant ce chemin
virtuel. Afin d'assurer un accès aisé et peu coûteux aux intranets ou aux extranets d'entreprise, les
réseaux privés virtuels d'accès simulent un réseau privé, alors qu'ils utilisent en réalité une
infrastructure d'accès partagée, comme Internet. [6]

2.2.1. Contraintes d’un VPN

Le principe d’un VPN est d’être transparent pour les utilisateurs et pour les applications y ayant
accès. Il doit être capable de mettre en œuvre les fonctionnalités suivantes :

− Authentification d’utilisateur : seuls les utilisateurs autorisés doivent avoir accès au VPN ;
− Cryptage des données : les données doivent être protégées par un cryptage efficace ;
− Gestion des clés : les clés de cryptage pour le client et le serveur doivent pouvoir être
générées et régénérées ;
− Prise en charge multi protocole : la solution VPN doit supporter les protocoles les plus
utilisés sur les réseaux publics en particulier IP. [7]

17
2.2.2. Types de VPN

Suivant les besoins, on référence 3 types de VPN :

− Le VPN d’accès : il est utilisé pour permettre à des utilisateurs itinérants d’accéder au
réseau de leur entreprise. L’utilisateur se sert d’une connexion Internet afin d’établir une
liaison sécurisée ;

Figure 2.01 : VPN d’accès

− L’intranet VPN : il est utilisé pour relier deux ou plusieurs intranets d’un même entreprise
entre eux. Ce type de réseau est particulièrement utile au sein d’une entreprise possédant
plusieurs sites distants. Cette technique est également utilisée pour relier des réseaux
d’entreprise, sans qu’il soit question d’intranet (partage de données, de ressources…) ;

Figure 2.02 : Intranet VPN

18
 − L’extranet VPN : une entreprise peut utiliser le VPN pour communiquer avec ses clients et
ses partenaires. Elle ouvre alors son réseau local à ces derniers. Dans ce cas, il est ne
nécessaire d’avoir une authentification forte des utilisateurs, ainsi qu’une trace des
différents accès. De plus, seul une partie des ressources sera partagée, ce qui nécessite une
gestion rigoureuse des espaces d’échanges. [7]

Figure 2.03 : Extranet VPN

2.3. Protocoles utilisés

Les protocoles utilisés dans le cadre d’un VPN sont de 2 types, suivant le niveau de la couche OSI
auquel il travaille :

− Les protocoles de niveau 2 comme PPTP (Point-to-Point Tunneling Protocol) ou L2TP

(Layer 2 Tunneling Protocol) ;
− Les protocoles de niveau 3 comme IPSec (Internet Protocol Security) ou MPLS (Multi-
Protocol Label Switching).

2.3.1. Protocole PPTP

PPTP est un protocole qui utilise une connexion PPP à travers un réseau IP en créant un réseau
privé virtuel (VPN). Microsoft a implémenté ses propres algorithmes afin de l'intégrer dans ses
versions de Windows. Ainsi, PPTP est une solution très employée dans les produits VPN
commerciaux à cause de son intégration au sein des systèmes d'exploitation Windows. PPTP est
un protocole de niveau 2 qui permet l'encryptage des données ainsi que leur compression.
L'authentification se fait grâce au protocole MS-CHAP de Microsoft. La partie chiffrement des
données s'effectue grâce au protocole MPPE (Microsoft Point-to-Point Encryption).

19
Le principe du protocole PPTP est de créer des paquets sous le protocole PPP et de les encapsuler
dans des datagrammes IP. PPTP crée ainsi un tunnel de niveau 3 défini par le protocole GRE
(Generic Routing Encapsulation). Le tunnel PPTP se caractérise par une initialisation du client,
une connexion de contrôle entre le client et le serveur ainsi que par la clôture du tunnel par le
serveur. Lors de l'établissement de la connexion, le client effectue d'abord une connexion avec son
fournisseur d'accès Internet. Cette première connexion établie une connexion de type PPP et
permet de faire circuler des données sur Internet. Par la suite, une deuxième connexion dial-up est
établie. Elle permet d'encapsuler les paquets PPP dans des datagrammes IP. C'est cette deuxième
connexion qui forme le tunnel PPTP. Tout trafic client conçu pour Internet emprunte la connexion
physique normale, alors que le trafic conçu pour le réseau privé distant, passe par la connexion
virtuelle de PPTP.

Figure 2.04 : Comparaison des trames TCP/IP, PPTP et PPP

Plusieurs protocoles peuvent être associés à PPTP afin de sécuriser les données ou de les
compresser. Il y a les protocoles développés par Microsoft et cités précédemment. Ainsi, pour le
processus d'identification, il est possible d'utiliser les protocoles :

− PAP (Password Authentification Protocol) ou MS-CHAP ;

− MPPE (Microsoft Point to Point Encryption) pour l'encryptage des données ;
− MPPC (Microsoft Point to Point Compression) pour une compression de bout en bout.

Ces divers protocoles permettent de réaliser une connexion VPN complète, mais L2TP permet un
niveau de performance et de fiabilité bien meilleur. [8]

20
2.3.2. Protocole L2TP

L2TP est issu de l’exploitation des points forts des protocoles PPTP et L2F. Il est actuellement
développé et évalué conjointement par Cisco Systems, Microsoft, Ascend, 3Com ainsi que
d'autres acteurs clés du marché des réseaux. Il permet l'encapsulation des paquets PPP au niveau
des couches 2 (Frame Relay et ATM) et 3 (IP). Lorsqu'il est configuré pour transporter les
données sur IP, L2TP peut être utilisé pour faire du tunneling. L2TP repose sur deux concepts : les
concentrateurs d'accès L2TP (LAC : L2TP Access Concentrator) et les serveurs réseau L2TP
(LNS : L2TP Network Server). L2TP n'intègre pas directement de protocole pour le chiffrement
des données. C'est pourquoi L'IETF préconise l'utilisation conjointe d'IPSec et L2TP. [8]

Figure 2.05 : Tunnel L2TP

2.3.3. Protocole IPSec

IPSec est une norme qui définit une extension de sécurité pour le protocole Internet (IP) afin de
permettre la sécurisation des réseaux basés sur ce protocole. Les services de sécurité fournis sont
la confidentialité, l’authentification et l’intégrité des données, la protection contre le rejeu et le
contrôle d’accès. Ces services sont basés sur des mécanismes cryptographiques qui leur confèrent
un niveau de sécurité élevé lorsqu’ils sont utilisés avec des algorithmes forts. La sécurisation se
faisant au niveau d’IP, IPSec peut être mis en œuvre sur tous les équipements du réseau et fournir
un moyen de protection unique pour tous les échanges de données. De nombreux fournisseurs
intègrent désormais IPSec dans leurs produits, ce qui facilite son déploiement à l’échelle d’un
réseau d’entreprise. Des exemples d’utilisations typiques d’IPSec sont la création de réseaux
privés virtuels, la sécurisation des accès distants à un intranet et la protection d’un serveur
sensible. Le fonctionnement et les principes d’IPSec seront détaillés dans le chapitre 3. [9]

21
2.3.4. Protocole MPLS

Le protocole MPLS est un protocole qui se présente comme une solution aux problèmes de
routage des datagrammes IP véhiculés sur Internet. Le principe de routage sur Internet repose sur
des tables de routage. Pour chaque paquet, afin de déterminer le prochain saut, les routeurs doivent
analyser l'adresse de destination du paquet contenu dans l'entête de niveau 3. Puis il consulte sa
table de routage pour déterminer sur quelle interface doit sortir le paquet. Ce mécanisme de
recherche dans la table de routage est consommateur de temps CPU et avec la croissance de la
taille des réseaux ces dernières années, les tables de routage des routeurs ont constamment
augmenté. Le protocole MPLS fut initialement développé pour donner une plus grande puissance
aux commutateurs IP, mais avec l'avènement de techniques de commutation comme CEF (Cisco
Express Forwarding) et la mise au point de nouveaux ASIC (Application Specific Interface
Circuits), les routeurs IP ont vu leurs performances augmenter sans le recours à MPLS. [9]

2.4. Avantages et utilisations pratiques d’un VPN

La mise en place d'un VPN permet de connecter de façon sécurisée des ordinateurs distants au
travers d'une liaison non fiable (Internet), comme s'ils étaient sur le même réseau local, grâce à des
liaisons virtuelles qui s'appuient sur une infrastructure de communication sous-jacente.
L'infrastructure sous-jacente peut être un réseau international à accès publique ou une partie d'un
réseau dédié. [10]

Figure 2.06 : Infrastructure de communication sous-jacente

22
Ce procédé est utilisé par de nombreuses entreprises afin de permettre à leurs utilisateurs de se
connecter au réseau d'entreprise hors de leur lieu de travail. On peut facilement imaginer un grand
nombre d'applications possibles :

− Accès au réseau local (d'entreprise) à distance et de façon sécurisée pour les travailleurs
nomades ;
− Partage de fichiers sécurisés ;
− Jeu en réseau local avec des machines distantes.

Les principaux avantages de l’utilisation d’un VPN sont :

− Sécurisé ;
− Simple ;
− Economique ;
− Mobile.

2.4.1. Sécurisé

L’administration de la sécurité est centralisée, basée sur des politiques. Les protocoles de
tunneling permettent de faire circuler les informations de façon cryptée de bout à l’autre du tunnel.
Ainsi, les échanges entre utilisateurs authentifiés se font comme s’ils étaient connectés
directement sur un même réseau local sans que les autres utilisateurs non authentifiés puissent
intercepter. Pour garantir la confidentialité, le réseau privé est coupé logiquement du réseau
internet. En général, les machines se trouvant à l'extérieur du réseau privé ne peuvent accéder à
celui-ci. L'inverse n'étant pas forcément vrai. L'utilisateur au sein d'un réseau privé pourra accéder
au réseau internet.

2.4.2. Simple

Les VPN utilisent les circuits de communication classiques. La gestion des infrastructures se
trouve ainsi simplifié. On peut alors améliorer la capacité à déployer de nouvelles applications
sans avoir à se préoccuper de sécurité.

2.4.3. Economique

Les VPN utilisent Internet en tant que media principal de transport. Ce qui diminue les couts car
on a plus besoin d’une ligne dédiée. De plus, l'infrastructure est partagée.

23
2.4.4. Mobile

Le système de VPN rend un service d'interconnexion à grande distance de qualité similaire à un

réseau local. Sécurité accélérée jusqu'à 12 Gbps de bande passante, Prise en charge de la plupart
des protocoles existants.

2.5. Authentification RADIUS

2.5.1. Présentation de RADIUS

RADIUS (Remote Authentication Dial In User Service) est un protocole d’authentification

standard basé sur la méthode AAA (Authentication Authorization Accounting), initialement mis
au point par Livingston et défini au sein des RFC 2865 et 2866.

Plusieurs fournisseurs d’accès Internet utilise RADIUS pour authentifier leurs clients et leur
communiquer une configuration IP. Ce protocole est également très utile pour sécuriser un réseau
Wifi, un réseau VPN ou même un réseau filaire, dans certaines conditions.

Le fonctionnement de RADIUS est basé sur un système client/serveur chargé de définir les accès
d'utilisateurs distants à un réseau. Il s'agit du protocole de prédilection des fournisseurs d'accès à
Internet car il est relativement standard et propose des fonctionnalités de comptabilité permettant
aux FAI de facturer précisément leurs clients. [11]

2.5.2. Caractéristiques de RADIUS

Le protocole RADIUS repose principalement sur un serveur (serveur RADIUS), relié à une base
d'identification (base de données, annuaire LDAP …) et un client RADIUS, appelé NAS
(Network Access Server), faisant office d'intermédiaire entre l'utilisateur final et le serveur.
L'ensemble des transactions entre le client RADIUS et le serveur RADIUS est chiffré et
authentifié grâce à un secret partagé.

Les caractéristiques principales de RADIUS sont :

− Modèle client/serveur ;
− Sécurité réseau ;
− Mécanismes flexibles d’authentification ;
− Protocole extensible.

24
2.5.2.1. Modèle client/serveur

Un serveur d’accès de réseau NAS fonctionne en tant que client RADIUS. Le client est
responsable pour passer l’information utilisateur vers les serveurs Radius, et puis d’effectuer les
traitements en fonction de la réponse qui est retournée. Les serveurs Radius sont chargés de
recevoir les demandes de connexion d’utilisateur, d’authentifier l’utilisateur, et puis de renvoyer
toute l’information de configuration nécessaire pour que le client puisse fournir le service à
l’utilisateur.

Figure 2.07 : Les clients RADIUS

2.5.2.2. Sécurité réseau

Les transactions entre le client et le serveur RADIUS sont authentifiées par l’utilisation d’un
secret partagé, qui n’est jamais envoyé en dehors du réseau. En outre, tous les mots de passe
utilisateur sont envoyés chiffrés entre le client et le serveur, pour éliminer la possibilité que
quelqu’un sur un réseau suffisamment sécurisé, puisse espionner le transit réseau pour déterminer
le mot de passe d’un utilisateur.

25
2.5.2.3. Mécanismes flexibles d’authentification

Le serveur Radius peut supporter une variété de méthodes pour authentifier un utilisateur. Quand
on lui fournit le nom d’utilisateur et le mot de passe initial donnés par l’utilisateur, il peut
supporter la procédure de connexion de PPP, PAP, CHAP, login Unix ou d’autres mécanismes
d’authentification.

2.5.2.4. Protocole extensible

Toutes les transactions sont composées de triplets (Attribut, Longueur, Valeur). Des nouvelles
valeurs d’attribut peuvent être ajoutées sans perturber les implémentations existantes du protocole.

2.5.3. Fonctionnement général

Quand un client est configuré pour utiliser Radius, n’importe quel utilisateur du client présente
l’information d’authentification au client. Ceci pourrait être avec une demande de procédure de
connexion spécifique où l’utilisateur doit entrer son nom et son mot de passe. Alternativement,
l’utilisateur pourrait utiliser un protocole tel que le PPP, qui transmet cette information dans des
paquets d’authentification.

Une fois que le client a obtenu une telle information, il peut authentifier l’utilisateur en utilisant
RADIUS. Pour ceci, le client crée une « demande d’accès » contenant des attributs tels que le nom
d’utilisateur, le mot de passe de l’utilisateur, l’identification du client et l’identification du port
auquel l’utilisateur accède. Quand un mot de passe est présent, il est caché en utilisant une
méthode basée sur l’algorithme MD5 de RSA.

La requête d’accès est soumise au serveur RADIUS par l’intermédiaire du réseau. Si aucune
réponse n’est tournée après un certain temps, la demande est renvoyée un certain nombre de fois.
Le client peut également expédier des demandes à un ou des serveurs alternatifs au cas où le
serveur primaire serait en panne ou inaccessible.

Une fois que le serveur RADIUS reçoit la demande, il valide le client. Une demande de client
pour lequel le serveur Radius n’a pas un secret partagé sera silencieusement négligée. Si le client
est valide, le serveur Radius consulte une base de données des utilisateurs pour trouver
l’utilisateur dont le nom est dans la demande. L’entrée pour l’utilisateur dans la base de données
contient une liste de besoins qui doivent être satisfaits pour permettre l’accès à l’utilisateur.

Si aucune condition n’est réunie, le serveur Radius envoie une réponse « rejet d’accès » indiquant
que cette demande d’utilisateur est incorrecte. Si toutes les conditions sont réunies et que le

26
serveur Radius souhaite émettre un « défi » auquel l’utilisateur doit répondre, le serveur Radius
envoie une réponse « Access-Challenge ». C’est-à-dire, soit la demande actuelle convient, soit une
autre méthode d’identification est demandée à l’utilisateur. Le serveur RADIUS retourne ainsi une
des quatre réponses suivantes :

− ACCEPT : l’identification a réussi ;

− REJECT : l’identification a échoué ;
− CHALLENGE : le serveur souhaite des informations supplémentaires et propose un défi ;
− CHANGE PASSWORD : le serveur demande à l’utilisateur un nouveau mot de passe.

Figure 2.08 : Fonctionnement du protocole RADIUS

2.5.4. Challenge/Réponse

Dans l’authentification challenge/réponse, l’utilisateur reçoit un nombre imprévisible et est mis au

défi de le chiffrer et de redonner le résultat. Des utilisateurs autorisés sont équipés avec des
dispositifs spéciaux tels que des cartes ou logiciels qui facilitent le calcul de la réponse correcte.
Les utilisateurs non autorisé, n’ayant pas le dispositif approprié et n’ayant pas la connaissance de

27
la clé secrète nécessaire pour émuler un tel dispositif ou logiciel, peuvent seulement deviner à la
réponse. Le paquet « Access-Challenge » contient typiquement un « Reply Message » comprenant
un défi à afficher à l’utilisateur, tel qu’une valeur numérique peu susceptible d’être un jour
répétée. Typiquement ceci est obtenu à partir d’un serveur externe qui connaît quel type
d’authentification devrait être en possession de l’utilisateur autorisé et peut donc choisir un
nombre pseudo-aléatoire et non répétitif d’une longueur appropriée. L’utilisateur communique
alors le défi dans son dispositif ou logiciel et calcule une réponse, que l’utilisateur envoie au client
qui fait suivre l’information vers le serveur Radius par l’intermédiaire d’un deuxième « Access-
Request ». Si la réponse correspond à la réponse prévue, le serveur Radius répond avec un
« Access-Accept », sinon avec un « Access-Reject ». [12]

2.5.5. Accounting

Si un serveur d’accès au réseau est configuré à cette fin, il envoie des informations de
comptabilisation au serveur à chaque début et fin de session d’appel. Les données contenues dans
les lots varient selon le fournisseur du serveur d’accès au réseau, mais elles se composent
généralement du nom de l’utilisateur, de l’adresse IP, de la durée de la session et du nombre de
caractères ou de lots transmis. Le serveur stocke ces informations à des fins de facturation et d’état
statistique. Les lots de comptabilisation contiennent les informations qui permettent au fournisseur
de services internet de facturer en fonction du temps système utilisé ou de la quantité de donnée
transmises. Quand un client est configuré pour utiliser l’Accounting Radius, il génère un paquet
« Accounting Start » lorsque le service commence à être délivrer à l’utilisateur, indiquant la nature
du service concerné et l’identité de l’utilisateur et le serveur d’Accounting retourne un accusé de
réception. A la fin de la livraison de service, le client produira d’un paquet « Accounting Stop »
décrivant le type du service délivré et éventuellement des statistiques telles que temps écoulé,
quantité d’octets entrée et sortie, ou nombre de paquets en entrée et en sortie. Il enverra cela au
serveur de comptabilité de RADIUS, qui renverra un accusé de réception. [12]

2.6. Conclusion

L’implantation d’un VPN au sein d’un système d’information est quelque chose de très actuel, du
fait de l’apparition forte de la mobilité et de l’évolution des possibilités informatiques. Cependant,
cette implantation n’est pas quelque chose à prendre à la légère. La technologie VPN autorise une
certaine souplesse, surtout en termes d’intégration de l’information par les nomades, cependant,
celle-ci tant en termes d’architecture que de sécurité doit être pensée et réfléchie au préalable.

28
 CHAPITRE 3
INTERNET PROTOCOL SECURITY

3.1. Introduction

IPSec (Internet Protocol Security) a été conçu pour sécuriser les communications réseau à partir de
la couche 3 du modèle OSI. Il a été conçu de manière à être supporté par IPv4 et a été intégré dans
le protocole IPv6. Ce protocole n'est pas un remplaçant d'IP mais un complément. Ainsi, il intègre
des notions essentielles de sécurité au datagramme IP qui en assureront l'authenticité et le
cryptage. Pour cela, il fait largement usage de clé de sessions. Sa position dans les couches basses
du modèle OSI lui permet donc de sécuriser tous types d'applications et protocoles réseaux basée
sur IP sans distinction. IPSec est très largement utilisé pour le déploiement de réseau VPN à
travers Internet à petite et grande échelle.

3.2. Aspect technique

IPSec est basé sur 2 mécanismes différents assurant les rôles de sécurisation des données : AH
(Authentification header) et ESP (Encapsuling Security Payload).

IPSec est largement configurable. Ainsi, chacun des deux mécanismes AH et ESP peuvent être
utilisés seuls ou combinés avec le second afin de définir le niveau de sécurité voulu. De plus, il
est possible d'indiquer les algorithmes de hachage ou d'encryption voulue lors d'une
communication. Les clés de session sont de type symétrique (définition manuelle des clés) ou
asymétrique (génération automatique des clés). L'authentification et l'authenticité des données sont
assurées par un mécanisme de hachage des données traitées. Si les deux parties de la
communication trouve la même signature, c'est qu'ils utilisent bien les même clés de sessions qui
ont permis de générer cette même signature des deux côtés. [13]

3.3. Détails du protocole

Le mécanisme interne d'IPSec est complexe. Le fait que ce protocole soit hautement configurable
introduit des notions de gestion et de configuration inconnues du monde IP.

3.3.1. Gestion des flux IPSec

Les flux IPSec sont gérés unidirectionnellement. Ainsi, une communication bidirectionnelle entre
deux machines utilisant IPSec sera définie par divers processus pour chacun des sens de
communication. Les procédés détaillés ci-dessous respectent tout deux cette loi.

29
3.3.1.1. Security Policy

Une SP définit ce qui doit être traité sur un flux. Comment peut-on transformer un paquet ?

Pour un flux donné, on doit indiquer :

− Les adresses IP de l'émetteur et du récepteur (unicast, multicast ou broadcast) ;

− Par quel protocole il devra être traité (AH ou ESP) ;
− Le mode IPSec à utiliser (tunnel ou transport) ;
− Le sens de la liaison (entrante ou sortante).

Notons qu'une SP ne définit qu'un protocole de traitement à la fois. Pour utiliser AH et ESP
sur une communication, deux SP devront être créées.

3.3.1.2. Security Association

Une SA définit comment sera traité le paquet en fonction de sa SP associée. Elle n’est que la
réalisation des SP. Elle possède l'ensemble des propriétés de la liaison. Ainsi, elle sera représentée
par une structure de donnée contenant les informations suivantes :

− Un compteur permettant de générer les numéros de séquence des entêtes AH et ESP ;

− Un flag (drapeau) permettant d'avertir qu'en cas de dépassement du compteur
précédemment décrit, on doit interrompre la communication ;
− Une fenêtre d'anti- répétition dans laquelle doit tomber le prochain numéro de séquence ;
− Une information sur l'AH : algorithme d'authentification, clefs, durée de baie, etc ;
− Une information sur l'ESP : algorithme d'authentification et de chiffrement, clefs, etc ;
− Un mode IPSec : tunnel ou transport ;
− Une durée de vie de la SA ;
− Un MTU (Maximum Transmission Unit).

Une SA est identifiée à un seul et unique flux unidirectionnel grâce à trois champs :

− adresse IP de destination (unicast, multicast ou broadcast) ;

− protocole utilisé : AH ou ESP ;
− SPI (Security Parameter Index).

Comme nous pouvons le voir, une SA ne sera associée qu'a un seul des protocoles AH ou ESP. Si
nous voulons protéger un flux avec ces deux protocoles, deux SA devront être créés.

30
Le SPI est un indice sur 32 bits attribué au SA lors de sa création. Il sert à distinguer les
différentes SA qui aboutissent à une même destination et utilisant le même protocole. [13]

3.3.1.3. Bases de données SPD et SAD

Tout système implémentant IPSec possède donc deux bases de données distinctes dans lesquelles
ils stockent leurs SP (SP Database) et leurs SA (SA Database).

La SPD défini donc le traitement de chaque type de trafic entrant ou sortant, en fonction des
émetteurs/récepteurs, selon trois type :

− DISCARD : dans ce cas celui-ci sera tout simplement jeté. Il n'est pas autorisé à sortir de la
passerelle ni à la traverser ni à être délivré à une quelconque application ;
− BYPASS IPSec : laisse passer le trafic sans traitement IPSec ;
− APPLY IPSec : signifie que des services IPSec sont à appliquer à ce trafic.

Pour chaque trafic soumis à des services IPSec, la base SPD possède une référence vers la SA
correspondante dans la base SAD. Si cette entrée n'est pas définie, dans le cas d'une gestion
dynamique des clés, celle-ci sera alors créée en accord avec la configuration définie par
l'administrateur.

3.3.2. Modes d’IPSec

Il existe deux modes d'utilisation d'IPSec : le mode transport et le mode tunnel. La génération des
datagrammes sera différente selon le mode utilisé. [14]

3.3.2.1. Mode Transport

Ce mode est utilisé pour créer une communication entre deux hôtes qui supportent IPSec. Une SA
est établie entre les deux hôtes. Les entêtes IP ne sont pas modifiées et les protocoles AH et ESP
sont intégrés entre cette entête et l'entête du protocole transporté.

Ce mode est souvent utiliser pour sécuriser une connexion Point-To-Point.

3.3.2.2. Mode Tunnel

Ce mode est utilisé pour encapsuler les datagrammes IP dans IPSec. La SA est appliquée sur un
tunnel IP. Ainsi, les entêtes IP originales ne sont pas modifiés et un entête propre à IPSec est créé.
Ce mode est souvent utilisé pour créer des tunnels entre réseaux LAN distant. Effectivement, il
permet de relier deux passerelles étant capable d'utiliser IPSec sans perturber le trafic IP des
machines du réseau qui ne sont donc pas forcément prête à utiliser le protocole IPSec.

31
3.3.3. Détails des protocoles ajoutés

Nous verrons que certains champs sont présents dans les deux protocoles AH et ESP. En cas
d'utilisation des deux protocoles pour un même flux de données, il n'y aura pas de redondance
d'information. Effectivement, il faut garder à l'esprit que AH et ESP seront gérés séparément par
des SA différents. AH et ESP sont deux protocoles utilisant des clés des sessions utiles à leurs
traitement sur le datagramme IP.

3.3.3.1. En-tête AH

AH permet une sécurisation du maximum de données du datagramme IP en assurant l'intégrité des

données et leur authentification. Toutes les données ne pourront être sécurisées pour une raison
simple : certain champs dans les entêtes sont variables et donc de nature non prédictible. Ces
champs ne pourront donc pas être considérés comme sûrs, ce qui en fait le talon d’Achille d’ AH.

En revanche, il ajoute tout de même un contrôle contre les répétitions et d'intégrité des données
sur un mode non connecté (couche IP).

Figure 3.01 : Détails des champs de l'en-tête AH

− Entête suivante : ce champ permet de spécifier le type du protocole transporté ;

− Longueur des données : longueur de l'entête AH par facteur de 32-bit, le minimum étant 2 ;
− SPI : index unique définissant la SA pour ce paquet ;
− Numéros de séquence: compteur utile au mécanisme d'anti-répétition ;

32
 − Données Authentification (variable) : champs contenant les signatures de hachages
permettant d'authentifier l'émetteur et l'authenticité des données. La taille de ce champ
dépend des protocoles de hachage utilisés ;

3.3.3.2. Champs ESP

ESP permet la sécurisation des données du datagramme IP par le chiffrement, l'intégrité et

l'authentification des données. En mode transport, seules les données transportées par le
datagramme seront protégées en mode tunnel, ce sera l'intégralité du datagramme qui sera protégé.

L'authentification et l'intégrité des données sont assurées par les mêmes mécanismes que pour AH.

Figure 3.02 : Détails des champs du protocole ESP

− SPI : index unique définissant la SA pour ce paquet ;

− Numéros de séquence: compteur utile au mécanisme d'anti-répétition ;
− Données : données du protocole de couche supérieure ;
− Bourrage : sert à l'encryptions des données, certains protocoles nécessitent une certaine
taille afin d'être plus efficace et applicable ;
− Taille du bourrage : indique la taille du bourrage ;
− Entête suivante : ce champ permet de spécifier le type du protocole transporté ;

33
 − Données Authentification (variable): champs contenant les signatures de hachages
permettant d'authentifier l'émetteur et l'authenticité des données. La taille de ces
champs dépend des protocoles de hachage et d'encryptions utilisés.

Tous les processus que nous venons de découvrir sont donc basés sur des mécanismes de
cryptage et de hachage complexes qui utilisent des clés de longueurs variables. Avant d'utiliser
un VPN, il faut donc s'intéresser à la gestion de ses clés. [15]

3.4. Gestion des clefs IPSec

3.4.1. Types de clefs

3.4.1.1. Clefs de chiffrement

Ces clefs sont utilisées afin de chiffrer d'autres clefs et ont généralement une durée de vie longue.
Les clefs étant des valeurs aléatoires, l'utilisation d'autres clefs pour les chiffrer rend les attaques
par cryptanalyse (tentatives de déchiffrement du message) plus difficiles à leur niveau. La
cryptographie à clef publique est souvent utilisée pour le transport de clefs, en chiffrant la clef à
transporter à l'aide d'une clef publique.

3.4.1.2. Clefs maîtresses

Les clefs maîtresses sont des clefs qui ne servent pas à chiffrer mais uniquement à générer
d'autres clefs par dérivation. Une clef maîtresse peut ainsi être utilisée, par exemple, pour générer
deux clefs : une pour le chiffrement et une pour la signature.

3.4.1.3. Clefs de session ou de chiffrement de données

Ces clefs, contrairement aux précédentes, servent à chiffrer des données.

3.4.2. Echange de clefs et authentification

La première étape lors de l'établissement d'une communication sécurisée, est l'authentification

des interlocuteurs. Ensuite, un échange de clef permet l'utilisation d'un mécanisme de
sécurisation des échanges, l'authentification est ainsi étendue à la suite de la communication.

3.4.2.1. Mécanismes de sécurisation des échanges

Le PFS (Perfect Forward Secrecy) est assurée par une renégociation régulière des clefs. Dans le
cas où un attaquant intercepterait et déchiffrerait une clef de session, celle-ci serait probablement
déjà périmée avant qu'il puisse l'utiliser.

34
L'Identity Protection, ou protection de l'identité, est respectée si un message intercepté ne permet
pas de déterminer l'identité des tiers communiquant.

Le Back Traffic Protection consiste en une génération de nouvelles clefs de sessions sans
utilisation de clefs maîtresses. Les nouvelles clefs étant indépendantes des clefs précédentes, la
découverte d'une clef de session ne permet ni de retrouver les clefs de session passées ni d'en
déduire les clefs à venir.

3.4.2.2. Algorithme de Diffie-Hellman

Inventé en 1976 par Diffie et Hellman, ce protocole permet à deux tiers de générer un secret
partagé sans avoir aucune information préalable l'un sur l'autre. Il est basé sur un mécanisme de
cryptage à clef publique, et fait donc intervenir les valeurs publiques et privées des tiers. Le secret
généré à l'aide de ce protocole peut ensuite être utilisé pour dériver une ou plusieurs clefs (clef
secrète, clef de chiffrement de clefs...).

Cet algorithme est très simple pour l'échange des clefs :

Soient 2 personnes A et B désirant communiquer sans utiliser une clef secrète. Pour cela ils se
mettent d'accord sur 2 nombres g et n tels que n soit supérieur à g et g supérieur à 1, et cela sur
un canal non sécurisé (il faut que n soit grand: de l'ordre de 512 ou 1024 bits pour que l'échange
des clefs soit sécurisé). Ils prennent chacun chez eux un nombre aléatoire :

− A choisit x, calcule X=g^xmod n et l'envoie à B ;

− B choisit y, calcule Y=g^ymod n et l'envoie à A.

Ainsi le pirate peut intercepter X, et Y mais il lui est très difficile d'en déduire x et y, c'est sur ce
principe que repose la sécurité de l'algorithme. Une fois dans son coin, A calcule k=Y^xmod n et
B calcule k'=X^ymod n. En regardant de plus près, on constate que : k=k'=g^xymod n. Ainsi, A
et B ont réussi à créer une clef privée dont ils sont les seuls détenteurs.

3.4.3. ISAKMP et IKE

IKE (Internet Key Exchange) est un système développé spécifiquement pour IPSec qui vise à
fournir des mécanismes d'authentification et d'échange de clef adaptés à l'ensemble des situations
qui peuvent se présenter sur l'Internet. Il est composé de plusieurs éléments : le cadre générique
ISAKMP et une partie des protocoles Oakley et SKEME. Lorsqu'il est utilisé pour IPSec, IKE est
de plus complété par un domaine d'interprétation pour IPSec.

35
3.4.3.1. ISAKMP

ISAKMP (Internet Security Association and Key Management Protocol) permet la négociation,
l'établissement, et la suppression d'associations de sécurité (SA), permettant ainsi la sécurisation
de paquets devant être acheminés.

Il s'agit d'un cadre générique permettant la négociation des associations de sécurité, mais il
n'impose rien quant aux paramètres qui les composent. Cette négociation s'effectue en deux
phases, permettant de séparer la négociation des SA pour la protection des données à transférer, de
celle pour la protection du trafic propre à ISAKMP :

− Durant la première phase, un ensemble d'attributs relatifs à la sécurité est négocié, les
identités des tiers sont authentifiées et des clefs sont générées. Ces éléments forment la
SA/ISAKMP. Contrairement aux SA IPSec, la SAISAKMP est bidirectionnelle. Elle
servira à sécuriser l'ensemble des échanges ISAKMP futurs ;
− La seconde phase permet de négocier les paramètres de sécurité qui interviendront pour le
transfert des données applicatives (le paquet IP qui devait être transmis, et qui est à
l'origine de l'établissement d'une SA). Les échanges de cette phase sont sécurisés grâce à la
SAISAKMP.

3.4.3.2. IKE

IKE utilise ISAKMP, pour construire un protocole pratique. Le protocole de gestion des clefs
associé à ISAKMP dans ce but est inspiré à la fois d'Oakley et de SKEME. Plus exactement, IKE
utilise certains des modes définis par Oakley et emprunte à SKEME son utilisation du
chiffrement à clef publique pour l'authentification et sa méthode de changement de clef.

IKE comprend quatre modes : le mode principal (Main Mode), le mode agressif (Aggressive
Mode), le mode rapide (Quick Mode) et le mode nouveau groupe (New Group Mode).

Main Mode et Aggressive Mode sont utilisés durant la phase 1, et sont détaillés ci-dessous. Quick
Mode, quand à lui, est un échange de phase 2.

New Group Mode sert à se mettre d'accord sur un nouveau groupe pour de futurs échanges Diffie-
Hellman.

36
a. Phase 1 : Main mode et Aggressive mode

Les attributs suivants sont utilisés par IKE et négociés durant la phase 1 : un algorithme de
chiffrement, une fonction de hachage, une méthode d'authentification et un groupe pour Diffie-
Hellman.

Trois clefs sont générées à l'issue de la phase 1 : une pour le chiffrement, une pour
l'authentification et une pour la dérivation d'autres clefs. Ces clefs dépendent des cookies, des
aléas échangés et des valeurs publiques Diffie-Hellman ou du secret partagé préalable. Leur
calcule fait intervenir la fonction de hachage choisie pour la SA ISAKMP et dépend du mode
d'authentification choisi.

Main mode :

Composé de six messages, Main Mode est une instance de l'échange ISAKMP Identity Protection
Exchange :

− Les deux premiers messages servent à négocier les paramètres IKE : algorithme de
chiffrement, fonction de hachage, méthode d'authentification des tiers et groupe pour
Diffie-Hellman ;

Figure 3.03 : Négociation des paramètres IKE

Les quatre méthodes d'authentification possibles sont la signature numérique, deux formes
d'authentification par chiffrement à clef publique et l'utilisation d'un secret partagé préalable.

− Les deux seconds messages permettent l'établissement d'un secret partagé via l'utilisation
du protocole Diffie-Hellman ;

37
 Figure 3.04 : Etablissement d’un secret partagé

Le secret partagé sert à dériver des clefs de session, deux d'entre elles étant utilisées pour protéger
la suite des échanges avec les algorithmes de chiffrement et de hachage négociés précédemment.

− Les deux derniers messages servent à l'authentification des échanges et notamment des
valeurs publiques.

Figure 3.05 : Authentification des échanges

Agressive mode :

Aggressive Mode est une instance de l'échange ISAKMP Aggressive Exchange : il combine les
échanges décrits ci-dessus pour Main Mode de façon à ramener le nombre total de messages à
trois.

Dans les deux cas, la méthode choisie pour l'authentification influence le contenu des messages
et la méthode de génération de la clef de session. Les quatre méthodes d'authentification
possibles sont la signature numérique, deux formes d'authentification par chiffrement à clef
publique et l'utilisation d'un secret partagé préalable.

38
b. Phase 2 : Quick Mode

Les messages échangés durant la phase 2 sont protégés en authenticité et en confidentialité grâce
aux éléments négociés durant la phase 1. L'authenticité des messages est assurée par l'ajout d'un
bloc HASH après l'en-tête ISAKMP, et la confidentialité est assurée par le chiffrement de
l'ensemble des blocs du message.

Quick Mode est utilisé pour la négociation de SA pour des protocoles de sécurité donnés comme
IPSec. Chaque négociation aboutit en fait à deux SA, une dans chaque sens de la communication.

Durant cette phase, il s'agit de :

− Négocier les paramètres IPSec ;

− Générer une nouvelle clef dérivée de celle négociée en phase 1 grâce au protocole Diffie-
Hellman ;
− Identifier le trafic que les SA négociées protégeront.

3.5. Conclusion

IPSec est un système très complet qui peut répondre à beaucoup de besoins en matière de sécurité
et s’adapter à de nombreuses situations. Sa conception en fait un système très sûr et sa nature de
norme garantit l’interopérabilité entre les équipements de différents fournisseurs. Ces avantages,
couplés à la prédominance grandissante du protocole IP, vont certainement faire d’IPSec un acteur
important de la sécurité des réseaux informatiques. Il lui manque encore, pour être utilisé à grande
échelle, un peu de maturité et surtout un système de gestion centralisée et dynamique des
politiques de sécurité. Les avancées actuelles dans ce domaine laissent à penser qu’il ne s’agit que
d’une question de temps avant qu’un tel système ne voie le jour. L’apparition d’infrastructures à
clefs publiques fonctionnelles et reconnues est également indispensable pour une utilisation
pratique et répandue d’IPSec.

39
 CHAPITRE 4
SIMULATION D’UN VPN D’ACCES SOUS GNS3

4.1. Création de la topologie

La topologie est composée de 2 routeurs Cisco c3725, 2Switch, un nuage simulant l’accès à
internet et 3 machines virtuelles sous VirtualBox. Le serveur RADIUS est installé sur une
machine Linux pour une raison de sécurité. Chaque routeur sont reliés au nuage par des liaisons
série et reliés aux ordinateurs par des liaisons FastEthernet. On a donc 2 réseaux locaux différents
et reliés à Internet dont l’un représente le réseau intranet de l’entreprise par exemple et l’autre le
réseau où l’utilisateur distant est connecté (à la maison, dans un Cyber café…).

Figure 4.01 : Topologie étudiée

Réseau de l’entreprise :

− Adresse : 192.168.1.0 ;
− Passerelle : 192.168.1.254 ;
− Masque : 255.255.255.0 ;
− Broadcast : 192.168.1.255 ;
− PC Entreprise : 192.168.1.1 ;
− Serveur RADIUS : 192.168.1.253.

40
Réseau distant :

− Adresse : 172.16.1.0 ;
− Passerelle : 172.16.1.254 ;
− Masque : 255.255.0.0 ;
− Broadcast : 172.16.255.255 ;
− Client VPN : 172.16.1.1.

4.2. Mise en place du serveur RADIUS sous Debian

4.2.1. Installation de FreeRadius sous Debian

Pour Installer le paquet freeradius, il faut bien s’assurer que l’ordinateur est connecté à internet ou
que l’on dispose des 8 DVD d’installation de Debian. L’installation peut être différente selon la
version de freeradius et la distribution de Linux utilisée. Ici, nous avons utilisé Debian Squeeze
qui est une distribution majeure sous sa version stable 6.0.

Il faut ensuite ouvrir une console en mode administrateur et entrer la commande suivante :

# apt-get install freeradius

Figure 4.02 : Installation de Freeradius

41
Apres l’installation, vérifions que le dossier contenant les fichiers utilisés par freeradius a été créé,
allons dans le répertoire /etc/freeradius et entrons ensuite la commande « ls » :

Figure 4.03 : Fichiers de configuration de Freeradius

4.2.2. Ajouter un Client

Pour ajouter un client, on doit se situer dans le répertoire de freeradius et éditer le fichier
clients.conf Insérer l’adresse IP du client, la clé partagée (secret), son nom (shortname) et le type
de client (nastype) dans le fichier de configuration et sauvegarder :

Figure 4.04 : Ajout d’un client radius (NAS)

42
4.2.3. Ajouter un utilisateur

Dans le même répertoire, éditer le fichier users et insérer sur une ligne le nom d’un utilisateur et
son mot de passe. Par exemple :

user1 Cleartext-Password := ‘’motdepasse’’

Figure 4.05 : Ajouter un utilisateur

4.2.4. Tester le serveur localement

Apres avoir édité toutes les fichiers de configurations, enregistrer les modifications par la
commande « ldconfig » et redémarrer le daemon de freeradius avec la commande :

# /etc/init.d/freeradius restart

On peut maintenant tester localement sur le port 1812, l’authentification de l’utilisateur ajouté ci-
ci
dessus avec le client « testing123 » que freeradius
ius utilise pour un test local, insérons la commande
suivante sur la console :

# radtest user1 motdepasse localhost 1812 testing123

43
 Figure 4.06 : Test local du serveur

Le message « Access-Accept
Accept packet » indique que l’utilisateur est dans la liste et que le serveur
fonctionne normalement. Le serveur est donc prêt pour authentifier les utilisateurs
utilisateur qui envoient
des requêtes au NAS.

4.3. Mise en place du serveur VPN avec SDM

Apres avoir entré toutes les commandes nécessaires pour que le routeur Cisco soit accessible par
telnet et SSH, lancer l’application SDM et entrer l’adresse IP ou le nom de l’interface du routeur
qui est relié à la machine.

Figure 4.07 : Connexion avec le routeur

44
Si tout est configuré normalement, une fenêtre d’authentification apparait, l’utilisateur doit entrer
son nom et son mot de passe.

Figure 4.08 : Authentification local d’un utilisateur par le routeur

Si le nom et le mot de passe entrés sont corrects, la fenêtre principale de SDM s’ouvre. Cette
fenêtre affiche les informations sur le routeur et le résumé de sa configuration comme le model du
routeur, la version d’IOS utilisée et la version de SDM utilisée…

Figure 4.09 : Fenêtre principale de l’application SDM

45
Lançons la configuration du serveur VPN en allant dans l’onglet « Configure » puis dans la
section VPN et lancer le guide de configuration de « Easy VPN Server ».

Figure 4.10 : Lancement de la configuration du serveur VPN

Par défaut, La méthode de définition AAA est désactivée sur le routeur, on doit l’activée pour
configurer le serveur VPN :

Figure 4.11 : Activation de la méthode AAA sur le routeur

46
Sélectionner l’interface du routeur à utiliser pour le tunnel virtuel du serveur VPN, l’adresse IP de
cette interface sera ensuite l’adresse du serveur VPN :

Figure 4.12 : Sélection de l’interface du routeur utilisé pour le serveur

Choisissons ensuite la méthode de police de groupe :

Figure 4.13 : Choix d’une méthode pour la police de groupe

47
Ainsi que la méthode d’authentification des utilisateurs :

Figure 4.14 : Choix d’une méthode pour l’authentification d’utilisateur

L’authentification d’utilisateur peut être configurée localement sur le routeur, sur un serveur
externe ou les deux en même temps. Ici on a choisi l’authentification RADIUS, on doit alors
indiquer les informations sur le serveur RADIUS qui se chargera de l’authentification. Les
paramètres à entrer sont :

− L’adresse IP du serveur ;
− Le port d’autorisation ;
− Le port de comptabilité ;
− Le temps d’expiration ;
− La clé partagée.

La clé partagée est la même que celle configurée pour le client RADIUS dans le fichier de
configuration du serveur RADIUS (users). Cette clé sera aussi utilisée pour la création de groupe
d’utilisateur et doit être connue par les clients VPN.

48
 Figure 4.15 : Information sur le serveur RADIUS

Vient ensuite la création de groupe d’utilisateur, les paramètres à entrer sont les suivants :

− Le nom du groupe ;
− La clé partagée ;
− La plage d’adresse attribuée dynamiquement aux clients VPN qui vont connecter au
réseau ;
− Le masque de sous-réseau qui est optionnel ;
− Le nombre maximum de connexion autorisé.

L’administrateur peut ajouter autant de groupe d’utilisateur selon le besoin de l’entreprise.

49
 Figure 4.16 : Ajout d’un groupe d’utilisateur

Une récapitulation de tous les réglages effectués est affichée avant d’envoyer les commandes au
routeur. On peut encore revenir en arrière pour faire une modification en cas d’erreurs.

Figure 4.17 : Résumé des configurations effectuées

50
Sinon, l’envoi des commandes peut commencer et un message apparait si tout s’est passé
correctement :

Figure 4.18 : Envoie des commandes au routeur

Le serveur est maintenant créé mais le tunnel IPSec n’a pas encore été établi tant qu’un client ne
se connecte au réseau. On peut ajouter autant de serveur selon le besoin de l’entreprise, un serveur
affiché dans la liste peut être modifié ou même supprimé.

Figure 4.19 : Liste des serveurs VPN configurés sur le routeur

51
4.4. Se connecter au serveur avec Cisco VPN Client

Apres l’installation de Cisco VNP Client, lancer l’application pour accéder à sa fenêtre
principale :

Figure 4.20 : Fenêtre principale de l’application Cisco VPN Client

Le client peut importer une connexion préconfigurée ou créer une nouvelle connexion en cliquant
sur « New », une fenêtre apparait et demande les informations sur le serveur VPN et le groupe
d’utilisateur correspondant :

− Le nom de la connexion ;
− La description de la connexion ;
− L’adresse IP du serveur VPN ;
− Le nom du groupe d’utilisateur ;
− La clé partagée ;
− Le certificat d’authentification (facultatif).

On peut établir plusieurs connexions sur des serveurs VPN différents en même temps.

52
 Figure 4.21 : Configuration d’une nouvelle connexion VPN

Cliquer ensuite sur « Save » et la connexion va être affichée dans la liste des connexions
entrantes :

Figure 4.22 : Liste des connexions entrantes

53
Etablir la connexion en cliquant sur « Connect » ou en double cliquant sur la connexion dans la
liste, si tous les paramètres entrés sont corrects, une fenêtre d’authentification va apparaitre pour
que l’utilisateur entre son nom et son mot de passe et le nom de domaine (optionnel). L’utilisateur
ne peut pas accéder à cette fenêtre s’il ne connait pas la clé partagée du groupe d’utilisateur.

Figure 4.23 : Authentification d’utilisateur par le serveur RADIUS

Avec le bon nom et mot de passe, un petit cadenas jaune indique que la connexion est établie.
L’utilisateur distant est désormais connecté au réseau VPN et donc connecté au réseau local de
son entreprise. On peut maintenant vérifier l’état de la connexion dans le menu Status, la fenêtre
ci-dessous affiche l’adresse du serveur VPN et l’adresse du client ainsi que le tunnel
correspondant.

Figure 4.24 : Etat de la connexion

54
4.5. Résultat de la simulation

Apres la connexion d’un client au serveur VPN, un tunnel IPSec a été créé et on peut bien vérifier
qu’il fonctionne correctement (Tunnel Status : Up).On peut voir la progression de l’encapsulation
et désencapsulation des paquets IPSec qui circulent sur le trafic. La progression des paquets
erronés envoyés et reçues par le routeur et aussi disponible.

Figure 4.25 : Etat du tunnel IPSec

Le client est maintenant affiché dans la liste des clients connectés au réseau dans le groupe ESPA,
il a reçu le premier adresse dans la plage configurée sur le serveur : 192.168.1.100, cet adresse lui
a été attribué dynamiquement. La communication entre le entre les deux cotés du tunnel est en
mode « full duplex », les hôtes du réseau local de l’entreprise peuvent envoyer des flux vers le
client VPN comme si ce dernier était dans le même réseau qu’eux.

On peut donc dire que le client est « virtuellement » dans le réseau local de son entreprise, il peut
désormais accéder en toute sécurité à tous les ressources de son entreprise comme le partage de
fichier, l’imprimante ou le bureau à distance.

55
 CONCLUSION GENERALE

Les VPN est l’une des applications du tunneling pour relier en pseudo-local les nœuds ou réseaux
géographiquement distants. Il permet ainsi d’assurer le transit et l’intégrité des paquets entre les
nœuds d’un grand réseau et aussi sécuriser et protéger les données lorsque ces derniers passent par
des réseaux publics.

De plus, le concept de VPN et une solution moins coûteuse et facile à déployer pour
l’interconnexion de sites distants. Les routeurs Cisco intègrent un serveur VPN puissant, adapté
pour de grandes utilisation, avec une gestion de groupe d’utilisateurs et de connexion intégré et
facile à mettre en œuvre.

Le protocole RADIUS joue un rôle important au niveau de la sécurité des VPN, il offre une
authentification fiable, centralisé et adapté à tous types de serveur d’accès réseaux. Son seul
inconvénient c’est qu’il est lourd à mettre en place et donc limité.

D’un autre coté, IPSec assure une meilleure gestion du trafic et de sa sécurité. Du point de vue des
VPN, on voit tout de suite l’impact que ce protocole peut avoir. En effet, on n’inclut plus la
couche de chiffrement à niveau supérieur mais directement dans IP. Il en va de même pour une
liaison entre deux hôtes. C’est donc une avancé non négligeable et cela explique pourquoi,
aujourd’hui, IPSec est très employé dans la gestion et sécurisation des VPN.

En bref, la sécurité des VPN est un vaste domaine, on a pu étudier une partie de cette complexité
et de la transcrire d’une manière assez large pour en tirer une solution. La sécurité des VPN
impose donc la prise en considération de nombreux paramètres. Une analyse fine des besoins doit
être effectuée en tenant compte de ceux exprimés mais aussi en anticipant, autant que possible, les
besoins futurs.

56
 ANNEXES

ANNEXE 1 : PRESENTATION DE GNS3

GNS3 est un simulateur réseau en mode graphique permettant de simuler les équipements Cisco.
Cet outil permet donc de charger de véritable IOS Cisco et de les utiliser en simulation complète
sur un simple ordinateur. Plus précisément, GNS3 permet d'avoir un routeur Cisco virtuel sur son
ordinateur. A noter simplement que GNS3 ne fournit pas d'IOS, il faut se les procurer à l'aide d'un
compte Cisco CCO.

A1.1 Utilisations de GNS3

Cet outil est parfait pour se préparer aux certifications Cisco CCNA, CCNP, CCIP ou CCIE. C’est
l’outil idéal pour un test autour des protocoles de routage comme RIP et OSPF.

Afin de permettre des simulations complètes, GNS3 est fortement lié avec:

− Dynamips, un émulateur d'image IOS qui permet de lancer des images binaires IOS
provenant de Cisco Systems ;
− Dynagen, une interface en mode texte pour Dynamips.

GNS3 est un logiciel libre qui fonctionne sur de multiples plateformes, incluant Windows, Linux,
et Mac OS X.

A1.2 Plateformes supportées

GNS3 supporte 6 plateformes actuellement :

− c1700 (1710, 1720, 1721, 1750, 1751, 1760) ;

− c2600 (2610, 2611, 2620, 2621) ;
− c2691 (2691) ;
− c3600 (3620, 3640, 3660) ;
− c3700 (3725, 3745) ;
− c7200 (7200).

GNS3 est une bonne solution pour la mise en place de labos virtuels, mais nécessite une machine
avec de bonnes ressources pour émuler plusieurs équipements en simultané.

57
ANNEXE 2 : PRESENTATION DE CISCO SDM

Cisco SDM (Secure Device Manager) est un outil d’assistance de configuration de routeur de type
IOS à partir d’une interface web et qui permet de configurer les interfaces LAN et WAN, le
routage, le NAC (Network Admission Control), le NAT (Network Address Translation), les
firewalls, l’IPS (Intrusion Prevention System), les VPN (Virtual Private Network), et bien d'autres
dispositifs sur le routeur.

A2.1 Logiciels requis

Cisco SDM peut être employé avec les navigateurs suivants:

− Firefox 1.0.6 et versions postérieures ;
− Internet Explorer 5.5 et versions postérieures ;
− Netscape 7.1, 7.2, et 9.0.

Cisco SDM exige l'environnement JRE (Java Runtime Environment). Les versions suivantes sont
soutenues:
− JRE 1.5_09 ;
− JRE1.4.2_08 ;
− JRE 1.5.0_06 ;
− JRE 1.5.0_07 ;
− JRE 1.6.0_02.

A2.2 Système d’exploitation supportés

Cisco SDM peut tourner sous les plateformes suivantes:

− Microsoft Windows Vista (Business Edition) ;
− Microsoft Windows XP Professional ;
− Microsoft Windows 2003 Server (Standard Edition) ;
− Microsoft Windows 2000 Professional avec le Service Pack 4.

A2.3 Matériels requis

− Processeur : Pentium III : 400 Mhz ;

− Espace Disque : 8.14 Mo, RAM : 128 Mo ;

58
ANNEXE 3 : PRESENTATION DE CISCO VPN CLIENT
Cisco VPN Client est un client VPN permettant de se connecter aux concentrateurs VPN Cisco. Il
est utilisé dans le cadre d'infrastructures gérant des milliers de connexions, on le retrouve donc le
plus souvent dans les grandes entreprises et de nombreuses universités.

Le client VPN fourni par Cisco a plusieurs fois changé de nom au cours de son histoire. De Cisco
Secure VPN Client à sa version initiale, il a été renommé en Cisco VPN 3000 Client pour la
version 2, puis finalement en Cisco VPN Client pour les versions 3 et suivantes.

ANNEXE 4 : FICHIER DE CONFIGURATION DU SERVEUR VPN

version 12.4

service timestamps debug datetime msec

service timestamps log datetime msec

no service password-encryption

hostname SERVEUR_VPN

boot-start-marker

boot-end-marker

aaa new-model

aaa group server radius sdm-vpn-server-group-1

server 192.168.1.253 auth-port 1812 acct-port 1813

59
!

aaa group server radius sdm-vpn-server-group-2

server 192.168.1.253 auth-port 1812 acct-port 1813

aaa authentication login default local

aaa authentication login sdm_vpn_xauth_ml_1 passwd-expiry group sdm-vpn-server-group-1

aaa authentication login sdm_vpn_xauth_ml_2 passwd-expiry group sdm-vpn-server-group-2

aaa authorization exec default local

aaa authorization network sdm_vpn_group_ml_1 local

aaa authorization network sdm_vpn_group_ml_2 local

aaa session-id common

memory-size iomem 5

ip cef

no ip domain lookup

ip auth-proxy max-nodata-conns 3

ip admission max-nodata-conns 3

multilink bundle-name authenticated

crypto pki trustpoint TP-self-signed-4279256517

enrollment selfsigned

subject-name cn=IOS-Self-Signed-Certificate-4279256517

60
revocation-check none

rsakeypair TP-self-signed-4279256517

crypto pki certificate chain TP-self-signed-4279256517

certificate self-signed 01 nvram:IOS-Self-Sig#1.cer

username admin privilege 15 password 0 tco

archive

log config

hidekeys

crypto isakmp policy 1

encr 3des

authentication pre-share

group 2

crypto isakmp client configuration group ESPA

key 123456

pool SDM_POOL_1

netmask 255.255.255.0

crypto isakmp profile sdm-ike-profile-1

match identity group ESPA

client authentication list sdm_vpn_xauth_ml_2

61
 isakmp authorization list sdm_vpn_group_ml_2

client configuration address respond

virtual-template 2

crypto ipsec transform-set ESP-3DES-SHA esp-3des esp-sha-hmac

crypto ipsec transform-set ESP-3DES-SHA1 esp-3des esp-sha-hmac

crypto ipsec profile SDM_Profile1

set transform-set ESP-3DES-SHA1

set isakmp-profile sdm-ike-profile-1

interface FastEthernet0/0

ip address 192.168.1.254 255.255.255.0

duplex auto

speed auto

interface Serial0/0

ip address 220.86.19.1 255.255.255.0

clock rate 2000000

interface FastEthernet0/1

no ip address

shutdown

62
duplex auto

speed auto

interface Serial0/1

no ip address

shutdown

clock rate 2000000

interface Virtual-Template2 type tunnel

ip unnumbered Serial0/0

tunnel mode ipsec ipv4

tunnel protection ipsec profile SDM_Profile1

router rip

version 2

network 192.168.1.0

network 220.86.19.0

ip local pool SDM_POOL_1 192.168.1.100 192.168.1.200

ip forward-protocol nd

ip http server

ip http authentication local

ip http secure-server

63
ip radius source-interface FastEthernet0/0

radius-server host 192.168.1.253 auth-port 1812 acct-port 1813 timeout 60 key 123456

control-plane

line con 0

exec-timeout 0 0

logging synchronous

line aux 0

line vty 0 4

privilege level 15

transport input telnet ssh

end

64
 BIBLIOGRAPHIE

[1] J. Dordoigne et P. Atelin, « Réseaux informatiques : Notions fondamentales », ENI, Mars

2006.

[2] J. Habraken et M. Hayden, « Les réseaux », Pearson Education, 3è édition, Juillet 2007.

[3] L.E. Randriarijaona, « Réseaux TCP/IP », Cours L3 – TCO, Dép. TCO.- E.S.P.A., A.U. :
2010-2011.

[4] G. Pujolle, « Les réseaux», Eyrolles, Décembre 2010.

[5] F. Laissus, « Cours d’introduction à TCP/IP », Septembre 2005

[6] C. Tettamanti, « Tutorial VPN », TCOM, 2000.

[7] R. Corvalan, E. Corvalan et Y.L. Corvic, « Les VPN : Principes, conception et

déploiement des Réseaux Privés Virtuels », Dunod, 2005.

[8] G. Florin, « Sécurité des niveaux liaison et réseau VPN », 2011.

[9] J.P. Archier, « Les VPN : Fonctionnement, mise en œuvre et maintenance des réseaux privés
virtuels », ENI, Juin 2010.

[10] R. Bidou, « Introduction aux VPN », Multi-System & Internet Security Cookbook,
Décembre 2003.

[11] http://www.commentcamarche.net/authentification/radius.php3.

[12] S. Bordères, « Méthodes d’authentification avec un serveur RADIUS », ResInfo, Mars 2007.

[13] G. Labouret, « La sécurité réseau avec IPSec»,http://www.hsc.fr/,75001 Paris, 1999.

[14] J. Ventura, « Présentation sur le tunneling utilisant SSL, SSH, IPSec », TCOM, Juillet 2002.

[15] S. Kent et K. Seo, « Security architecture for the Internet Protocol (IPSecv2) », RFC 4301,
IETF, 2005.

65
 RENSEIGNEMENTS

Nom : MAHANDRIRANTOSOA

Prénom : Miharimanana

Adresse de l’auteur : Lot 17K200 Ivory, Antsirabe 110

Téléphone : 0344571734

E-mail : mahandrirantosoa@gmail.com

Titre de mémoire : « Sécurisation des réseaux VPN avec IPSec et RADIUS »

Nombre de pages : 67

Nombre de figures : 47

Nombre de tableaux : 7

Mots clés : VPN, IPSec, RADIUS, FreeRadius, GNS3, Cisco, SDM

Directeur de mémoire : Mr. RAJAONARISON Roméo

66
 RESUME

Ce présent travail concerne la sécurité des réseaux VPN avec IPSec et RADIUS, on a pu étudier
chacun de ces protocoles. Un exemple de déploiement de VPN d’accès a été simulé avec des
équipements Cisco sous le simulateur de réseau GNS3. L’utilisation des outils Cisco SDM et
Cisco VPN Client a permis une bonne administration de ces réseaux. Le résultat est convaincant,
ces deux protocoles constituent une meilleure garantie de sécurité disponible dans l’état actuel des
réseaux VPN.

ABSTRACT

The present work concerns the security of VPN networks with IPSec and RADIUS, we was able
to study each of these protocols. An example of access VPN deployment was simulated with
Cisco equipment in the network simulator GNS3. The use of Cisco SDM and Cisco VPN Client
tools has the proper administration of these networks. The results are convincing, both protocols
are a better guarantee of security available in the current state of VPN.

67