CHAPITRE 2

RESEAUX PRIVES VIRTUELS

1.Introduction :
Dans ce chapitre nous allons d’abord définir ce qu’est pour nous un VPN (Virtuel private network)

Nous établirons en suite une classification de ces VPN d’abord selon leur contexte d’utilisation.
Ensuite nous présentons rapidement les principaux protocoles. Enfin nous terminerons en donnant
quelques indications pour nous guider dans le choix lors de la mise en place de VPN

2. Propriétés d’un VPN

Un réseau VPN repose sur un protocole appelé « protocole de tunneling ». Ce protocole permet de
faire circuler les informations de l'entreprise de façon cryptée d'un bout à l'autre du tunnel. Ainsi, les
utilisateurs ont l'impression de se connecter directement sur le réseau de leur entreprise. Le principe
de tunneling consiste à construire un chemin virtuel après avoir identifié l'émetteur et le destinataire.
Par la suite, la source chiffre les données et les achemine en empruntant ce chemin virtuel. Afin
d'assurer un accès aisé et peu coûteux aux intranets ou aux extranets d'entreprise, les réseaux privés
virtuels d'accès simulent un réseau privé, alors qu'ils utilisent en réalité une infrastructure d'accès
partagée, comme Internet.

3. Contraintes d’un VPN

Le principe d’un VPN est d’être transparent pour les utilisateurs et pour les applications y ayant
accès. Il doit être capable de mettre en œuvre les fonctionnalités suivantes :

− Authentification d’utilisateur : seuls les utilisateurs autorisés doivent avoir accès au VPN ;

− Cryptage des données : les données doivent être protégées par un cryptage efficace ;

− Gestion des clés : les clés de cryptage pour le client et le serveur doivent pouvoir être générées et
régénérées ;

− Prise en charge multi protocole : la solution VPN doit supporter les protocoles les plus utilisés sur
les réseaux publics en particulier IP.

4. Types de VPN

Suivant les besoins, on référence 3 types de VPN :

− Le VPN d’accès :

il est utilisé pour permettre à des utilisateurs itinérants d’accéder au réseau de leur entreprise.
L’utilisateur se sert d’une connexion Internet afin d’établir une liaison sécurisée ;
 intranet

Figure : VPN d’accès

− L’intranet VPN :

il est utilisé pour relier deux ou plusieurs intranets d’un même entreprise entre eux. Ce type de
réseau est particulièrement utile au sein d’une entreprise possédant plusieurs sites distants. Cette
technique est également utilisée pour relier des réseaux d’entreprise, sans qu’il soit question
d’intranet (partage de données, de ressources…)

intranet intranet

Figure : Intranet VPN

− L’extranet VPN :

une entreprise peut utiliser le VPN pour communiquer avec ses clients et ses partenaires. Elle ouvre
alors son réseau local à ces derniers. Dans ce cas, il est nécessaire d’avoir une authentification forte
des utilisateurs, ainsi qu’une trace des différents accès. De plus, seul une partie des ressources sera
partagée, ce qui nécessite une gestion rigoureuse des espaces d’échanges.

Figure : Extranet VPN

2. Protocoles utilisés pour réaliser une connexion VPN

Les protocoles utilisés dans le cadre d’un VPN sont de 2 types, suivant le niveau de la couche OSI
auquel il travaille :

− Les protocoles de niveau 2 comme PPTP (Point-to-Point Tunneling Protocol) ou L2TP (Layer 2
Tunneling Protocol) ;

− Les protocoles de niveau 3 comme IPSec (Internet Protocol Security) ou MPLS (MultiProtocol Label
Switching).

Le principe du protocole PPTP est de créer des paquets sous le protocole PPP et de les encapsuler
dans des datagrammes IP. PPTP crée ainsi un tunnel de niveau 3 défini par le protocole GRE (Generic
Routing Encapsulation). Le tunnel PPTP se caractérise par une initialisation du client, une connexion
de contrôle entre le client et le serveur ainsi que par la clôture du tunnel par le serveur. Lors de
l'établissement de la connexion, le client effectue d'abord une connexion avec son fournisseur
d'accès Internet. Cette première connexion établie une connexion de type PPP et permet de faire
circuler des données sur Internet. Par la suite, une deuxième connexion dial-up est établie. Elle
permet d'encapsuler les paquets PPP dans des datagrammes IP. C'est cette deuxième connexion qui
forme le tunnel PPTP. Tout trafic client conçu pour Internet emprunte la connexion physique
normale, alors que le trafic conçu pour le réseau privé distant, passe par la connexion virtuelle de
PPTP.

2. . Protocole PPTP
PPTP est un protocole qui utilise une connexion PPP à travers un réseau IP en créant un réseau privé
virtuel (VPN). Microsoft a implémenté ses propres algorithmes afin de l’intégrer dans ses versions de
Windows. Ainsi, PPTP est une solution très employée dans les produits VPN commerciaux à cause de
son intégration au sein des systèmes d’exploitation Windows. PPTP est un protocole de niveau 2 qui
permet l’encryptage des données ainsi que leur compression. L’authentification se fait grâce au
protocole Ms-Chap de Microsoft qui, après la cryptanalyse de sa version 1, a révélé publiquement
des failles importantes. Microsoft a corrigé ces défaillances et propose aujourd’hui une version 2 de
Ms-Chap plus sûre. La partie chiffrement des données s’effectue grâce au protocole MPPE (Microsoft
Point to Point Encryption). Le principe du protocole PPTP est de créer des paquets sous le protocole
PPP et de les encapsuler dans des datagrammes IP. PPTP crée ainsi un tunnel de niveau 3 défini par le
protocole GRE (Generic Routing Encapsulation). Le tunnel PPTP se caractérise par une initialisation du
client, une connexion de contrôle entre le client et le serveur ainsi que la clôture du tunnel par le
serveur. Lors de l’établissement de la connexion, le client effectue d’abord une connexion avec son
fournisseur d’accès Internet. Cette première connexion établie une connexion de type PPP et permet
de faire circuler des données sur Internet. Par la suite, une deuxième connexion dial-up est établie.
Elle permet d’encapsuler les paquets PPP dans des datagrammes IP. C’est cette deuxième connexion
qui forme le tunnel PPTP. Tout trafic client conçu pour Internet emprunte la connexion physique
normale, alors que le trafic conçu pour le réseau privé distant, passe par la connexion virtuelle de
PPTP.

Figure ……: Protocole PPTP

Plusieurs protocoles peuvent être associés à PPTP afin de sécuriser les données ou de les
compresser. On trouve évidement les protocoles développés par Microsoft et cités précédemment.
Ainsi, pour le processus d’identification, il est possible d’utiliser les protocoles PAP (Password
Authentification Protocol) ou MsChap. Pour l’encryptage des données, il est possible d’utiliser les
fonctions de MPPE (Microsoft Point to Point Encryption). Enfin, une compression de bout en bout
peut être réalisée par MPPC (Microsoft Point to Point Compression). Ces divers protocoles
permettent de réaliser une connexion VPN complète, mais les protocoles suivants permettent un
niveau de performance et de fiabilité bien meilleur.

2. . Protocole L2TP
L2TP est issu de l’exploitation des points forts des protocoles PPTP et L2F. Il est actuellement
développé et évalué conjointement par Cisco Systems, Microsoft, Ascend, 3Com ainsi que d'autres
acteurs clés du marché des réseaux. Il permet l'encapsulation des paquets PPP au niveau des couches
2 (Frame Relay et ATM) et 3 (IP). Lorsqu'il est configuré pour transporter les données sur IP, L2TP
peut être utilisé pour faire du tunneling. L2TP repose sur deux concepts : les concentrateurs d'accès
L2TP (LAC : L2TP Access Concentrator) et les serveurs réseau L2TP (LNS : L2TP Network Server). L2TP
n'intègre pas directement de protocole pour le chiffrement des données. C'est pourquoi L'IETF
préconise l'utilisation conjointe d'IPSec et L2TP.
Figure ……… : Tunnel L2TP

2. . Protocole MPLS
Le protocole MPLS est un protocole qui se présente comme une solution aux problèmes de routage
des datagrammes IP véhiculés sur Internet. Le principe de routage sur Internet repose sur des tables
de routage. Pour chaque paquet, afin de déterminer le prochain saut, les routeurs doivent analyser
l'adresse de destination du paquet contenu dans l'entête de niveau 3. Puis il consulte sa table de
routage pour déterminer sur quelle interface doit sortir le paquet. Ce mécanisme de recherche dans
la table de routage est consommateur de temps CPU et avec la croissance de la taille des réseaux ces
dernières années, les tables de routage des routeurs ont constamment augmenté. Le protocole MPLS
fut initialement développé pour donner une plus grande puissance aux commutateurs IP, mais avec
l'avènement de techniques de commutation comme CEF (Cisco Express Forwarding) et la mise au
point de nouveaux ASIC (Application Specific Interface Circuits), les routeurs IP ont vu leurs
performances augmenter sans le recours à MPLS.

2. . Protocole IPSec il faut faire plus de detaille

Ce protocole très populaire est un des plus robustes et des plus versatiles mais il est aussi un des plus
complexes.

IPsec permet, par encapsulation, de protéger les données échangé en plusieurs aspects :

 Confidentialité
 Intégrité des données
 anti-rejeu

Plusieurs versions se sont succédées et divers éléments additionnels ont été définis. Un très grand
nombre d’équipements réseaux, en particulier les routeurs et les pare-feux, permettent l’utilisation
d’IPsec. De même, les principaux systèmes d’exploitation pour micro-ordinateurs ou ordiphones
(téléphone intelligent) prennent en charge IPsec nativement.

Le dialogue IPsec est généralement possible entre ces différents systèmes et équipements. Dans de
nombreux cas, l’utilisation d’IPsec présente un rapport "bénéfice en sécurité" sur "coût" appréciable
dans la mesure où cette technologie est prise en charge nativement par la plupart des systèmes
clients et des équipements réseau et ne nécessite donc généralement pas d’investissements lourds.

Figure : Exemple d’emploi d’IPsec entre sites distants.

Fonctionnement d’IPsec
IPsec, de par ses subtilités, est souvent partiellement compris et peu maîtrisé. Les choix de
configuration, y compris ceux par défaut, ne sont pas toujours judicieux et l’emploi d’IPsec peut alors
offrir un niveau de sécurité plus faible que celui attendu.

Services fournis par IPsec

Les services de sécurité fournis par IPsec reposent sur deux protocoles différents qui constituent le
cœur de la technologie IPsec :

– AH : « Authentication Header » (protocole n°51) dont la version la plus récente est normalisée par
la RFC 4302 ;

– ESP : « Encapsulation Security Payload » (protocole n°50) dont la version la plus récente est
normalisée par la RFC 4303. Ces deux protocoles peuvent être utilisés indépendamment ou, plus
rarement, de manière combinée.

AH : intégrité et authentification des paquets

Le protocole AH, qui est utilisé de manière moins fréquente qu’ESP, permet d’assurer l’intégrité et,
employé avec IKE (Internet Key Exchange), l’authentification des paquets IP. C’est à dire qu’AH
permet d’une part de s’assurer que les paquets échangés n’ont pas été altérés et d’autre part de
garantir l’identité de l’expéditeur d’un paquet. Il garantit aussi une protection contre le rejeu.

ESP : confidentialité, intégrité et authentification des paquets

Le protocole ESP permet quant à lui d’assurer la confidentialité, l’intégrité et, employé avec IKE,
l’authentification des données échangées. Il garantit aussi une protection contre le rejeu. Il est
possible d’utiliser uniquement les fonctions d’intégrité et d’authentification sans chiffrement (ce qui
peut satisfaire la plupart des cas d’usage d’AH).

Mode Transport et Tunnel

Indépendamment du choix entre AH et ESP, il est possible d’utiliser IP sec dans deux modes
Distincts : le mode tunnel et le mode transport. Le mode tunnel rend le service attendu dans la
majorité des cas.

Dans le mode transport, les données associées à AH ou à ESP viennent se greffer sur le paquet IP
initial (c’est à dire celui qu’on aurait envoyé en l’absence d’IP sec). Le paquet IP résultant contient un
paquet AH ou ESP qui contient lui-même le contenu du paquet initial (un segment TCP par exemple).

On peut remarquer que l’en-tête IP initiale doit être modifiée : son champ protocole doit indiquer 50
ou 51 pour ESP ou AH en lieux et place par exemple de 6 (TCP) ou 17 (UDP). C’est l’en tête (AH ou
ESP) qui indiquera le protocole encapsulé qui était auparavant indiqué dans l’en-tête IP.

Figure : Utilisation d’ESP en mode transport.

Figure : Utilisation d’AH en mode transport

Dans le mode tunnel en revanche, un nouveau paquet IP est généré pour contenir un paquet
AH ou ESP qui contient lui-même le paquet IP initial sans modification. Dans ce mode, il y a
donc en définitive deux en-têtes IP.
L’en-tête externe sera effectivement utilisé pour le routage dès l’émission du paquet. L’en-
tête interne, qui peut être chiffrée dans le cas où l’on utilise ESP avec le service de
confidentialité, ne sera traité que par le destinataire (du paquet externe). Elle sera ignorée
par les équipements réseau situés entre l’émetteur et le destinataire

Figure : Utilisation d’ESP en mode tunnel.

PS : ICV désigne l’« Integrity Check Value » : valeur utilisée par le mécanisme de contrôle
d’intégrité, similaire au CRC dans une trame ethernet.

Figure : Utilisation d’AH en mode tunnel

Le mode tunnel se prête bien à un scénario d’accès distant à un réseau privé au travers d’un
réseau public. Il permet de masquer sur les tronçons publics l’adressage interne du réseau
privé, fréquemment non routable sur le réseau public.
IPsec est utilisé sur le réseau public entre le client et une passerelle qui extrait le paquet IP
interne et l’injecte dans le réseau privé (et réciproquement pour le sens de communication
inverse).
Naturellement, du fait de la duplication de l’en-tête IP, l’utilisation du mode tunnel résulte
en des paquets plus gros qu’en mode transport pour une même quantité de données utiles.
La consommation en ressources réseau est donc plus importante.

Security Policy
Le terme « Security Policy » désigne, dans le contexte IPsec, le choix pour un lien unidirectionnel
donné :

– de l’utilisation obligatoire ou facultative ou de la non-utilisation d’IPsec ;

– de l’utilisation du mode tunnel ou transport ;

– de l’utilisation d’AH ou d’ESP.

L’ensemble des SP est regroupé dans une SPD : « Security Policy Database ». À l’image des règles de
flux d’un pare-feu, les SP ont pour but de spécifier les flux que l’on veut autoriser et ceux que l’on
veut interdire.

Utilisation d’IKE
La négociation dynamique des algorithmes et clés d’une SA peuvent se faire grâce au protocole IKE,
actuellement en version 2 (RFC 5996).

Authentification des correspondants

L’authentification des participants à la première phase peut se faire soit au moyen d’un secret
partagé (PSK : « Pre-Shared Key ») soit par utilisation d’un mécanisme de cryptographie asymétrique
tel que RSA. Dans ce cas, il est possible d’utiliser une Infrastructure de Gestion de Clés (IGC ou PKI)
pour certifier les clés publiques des participants et ainsi ne pas devoir pré-positionner toutes les clés
publiques sur l’ensemble des hôtes.

3. Avantages et utilisations pratiques d’un VPN

Les principaux avantages de l’utilisation d’un VPN sont :

− Sécurisé ;

− Simple ;

− Economique ;

− Mobile.

3.1 Sécurisé ;

L’administration de la sécurité est centralisée, basée sur des politiques. Les protocoles de tunneling
permettent de faire circuler les informations de façon cryptée de bout à l’autre du tunnel. Ainsi, les
échanges entre utilisateurs authentifiés se font comme s’ils étaient connectés directement sur un
même réseau local sans que les autres utilisateurs non authentifiés puissent intercepter. Pour
garantir la confidentialité, le réseau privé est coupé logiquement du réseau internet. En général, les
machines se trouvant à l'extérieur du réseau privé ne peuvent accéder à celui-ci. L'inverse n'étant pas
forcément vrai. L'utilisateur au sein d'un réseau privé pourra accéder au réseau internet.

3.2− Simple ;

Les VPN utilisent les circuits de communication classiques. La gestion des infrastructures se trouve
ainsi simplifié. On peut alors améliorer la capacité à déployer de nouvelles applications sans avoir à
se préoccuper de sécurité.

− Economique ;
Les VPN utilisent Internet en tant que media principal de transport. Ce qui diminue les couts car on a
plus besoin d’une ligne dédiée. De plus, l'infrastructure est partagée.

− Mobile

Le système de VPN rend un service d'interconnexion à grande distance de qualité similaire à un

réseau local. Sécurité accélérée jusqu'à 12 Gbps de bande passante, Prise en charge de la plupart des
protocoles existants.

‫ذ‬Conclusion

Dans ce chapitre Nous avons présenté les différents types de VPN et leur mode de fonctionnement.

Nous avons choisi IPsec parce que c’est un protocole qui est développé pour fournir un service de
sécurité à base de cryptographie, permettant de garantir l'authentification, l'intégrité, le contrôle
d'accès et la confidentialité des données.

Dans le chapitre qui va suivre nous allons mettre en œuvre et réaliser un réseau privé virtuel IPsec
avec des routeurs CISCO en se servant de tout ce qui à été dicté au préalable.