Académique Documents
Professionnel Documents
Culture Documents
Ihsen NAKOURI
Plan du cours
1. Introduction aux réseaux privés virtuels
2. Les protocoles de tunneling niveau 2 (Liaison de
données)
3. Le protocole de tunneling niveau 3 : IPSec
4. Les protocoles de gestion des clés pour IPSec
5. SSL / TLS
1
21/02/2023
Plan
Introduction
Définition des VPNs
Les fonctionnalités d’un VPN
Les avantages/limites
Les composants d’un VPN
Les types de connexion VPN
Le tunneling
2
21/02/2023
Introduction (1)
Mesures de sécurité implémentées
Réseau public
1.Partagé avec d'autres utilisateurs
2.Libre accès
Introduction (2)
L’interconnexion des ressources distantes peut se faire via
l’usage des techniques d’accès multiple:
Utilisation des lignes spécialisées,
Inconvénients:
Solutions très coûteuses
Moins de flexibilité (dépend de l’opérateur)
La sécurité n’est pas assurée (en totalité ou en partie).
Besoin:
Relier des sites distants de manière sécurisée et avec un coût
acceptable.
Assurer des communications privées sur un réseau public.
Solution: Les réseaux privés virtuels (Virtual Private
Networks).
3
21/02/2023
Définition
Definition (NIST SP800-113): “A virtual network, built
on top of an existing network infrastructure, which can provide
a secure communications mechanism for data and other
information transferred between two endpoints.”
Définitions
Réseau:
Les VPN(s) sont des réseaux qui permettent l’interconnexion
des entités distantes.
Privé:
Les VPN(s) ne permettent qu’un accès privé à l’information,
aucune connexion externe n’est autorisée.
Virtuel:
Les VPN(s) s’appuient sur des architectures de réseaux
partagées et sur une séparation logique des ressources sans
s’appuyer sur des connexions physiques dédiées.
4
21/02/2023
Définition
Un VPN est un réseau privé connectant différents sites
construit sur des réseaux publics (ex. l’Internet) en
utilisant les techniques de chiffrement et les protocoles
de tunnelisation (Tunneling).
Un réseau VPN repose sur un protocole appelé protocole
de tunneling.
Permet de faire circuler les informations de l'entreprise de
façon cryptée d'un bout à l'autre du tunnel.
Le réseau public partagé backbone représente le
Backbone VPN.
Utilisé pour transporter du trafic pour des VPNs multiples ou
pour un trafic non VPN.
10
5
21/02/2023
Authentification (1)
Seuls les utilisateurs autorisés de la connexion VPN
doivent pouvoir s'identifier sur le réseau virtuel.
Authentification au niveau utilisateur
Protocole PPTP (niveau 2).
Basée sur le schéma d'authentification de PPP (PAP, MS-
CHAPv1&v 2).
Authentification au niveau paquet:
Protocole IPSec (niveau 3).
Identification de la source des données transmises, non-
répudiation, etc.
Basée sur les signatures numériques ajoutées aux paquets.
11
Authentification (2)
Authentification de type EAP (Extensible Authentication
Protocol):
Un protocole d’authentification
Constitué d’un échange de trames dans un format spécifique à EAP
(RFC 3748).
Quelques méthodes d’authentification sont prédéfinies mais d’autres
peuvent être ajoutées sans qu’il soit nécessaire de changer le
protocole réseau.
A l’origine, EAP a été conçu pour être transporter par PPP (Point-to-
Point Protocol) (RFC 2284), il a ensuite été complété pour être
utilisable sur des réseaux filaires (et sans fil).
EAP-TLS (RFC 2716) est une méthode d’authentification
forte basée sur des certificats électroniques.
Deux certificats requis (client et serveur).
12
6
21/02/2023
Cryptage et adressage
Cryptage de données : Protection des données échangées
entre le client et le serveur VPN
Le cryptage des données pour les tunnels PPTP utilise le protocole
MPPE (Microsoft Point-to-Point Encryption),
Utilise l'algorithme RSA/RC4 pour créer une clé de cryptage basée
sur le mot de passe client.
Adressage : Attribuer au client VPN une adresse IP privée lors
de la connexion au réseau distant et garantir que cette adresse
reste confidentielle:
Les protocoles de tunneling niv. 2 supportent une assignation
dynamique d'une adresse à un client, grâce au protocole NCP
(Network Control Protocol).
Les protocoles de tunneling niv. 3 assument une assignation statique
d'une adresse aux extrémités du tunnel avant que celui-ci soit établi.
13
14
7
21/02/2023
15
16
8
21/02/2023
17
18
9
21/02/2023
19
20
10
21/02/2023
21
22
11
21/02/2023
VPN d’accès
Deux cas possibles :
1er cas:
L’utilisateur demande au fournisseur d'accès de lui établir
une connexion cryptée vers le serveur distant.
Il communique avec le NAS (Network Access Server) du
fournisseur d'accès et le NAS établit la connexion
cryptée.
2ème cas:
L'utilisateur possède son propre logiciel client pour le
VPN.
Il établit directement la communication de manière
cryptée vers le réseau de l'entreprise.
23
24
12
21/02/2023
Définition :
Fonctionnement d'une connexion réseau au-dessus d'une autre
connexion réseau.
Objectif :
Permettre à deux hôtes ou sites de communiquer via un autre
réseau qu'ils ne peuvent pas (ou ne veulent pas) utiliser directement.
25
26
13
21/02/2023
Tunneling
Le chemin logique que les paquets encapsulés
(incompréhensible pour les entités non autorisées entre les
deux extrémités du VPN) empruntent par l'intermédiaire du
réseau est qualifié de Tunnel.
A la destination, la trame est désencapsulée et transférée à sa
destination finale.
Le réseau de transit peut être n'importe quel réseau (Internet)
le tunneling englobe l'intégralité de ce processus:
encapsulation,
Transmission
et désencapsulation de paquets
27
Site-To-Site Tunneling
Site-To-Site Tunneling: Permet à une PDU d'être transportée d'un site à un autre
sans que son contenu ne soit traité par les hôtes sur la route.
Principe: Encapsuler l'ensemble du PDU dans une autre PDU émise sur le réseau
reliant les deux sites.
14
21/02/2023
Secure Tunneling
Secure Tunneling: Permet à une PDU d'être transportée d'un site à un
autre sans que son contenu ne soit vu ou modifié par les hôtes sur la route.
Idée: Chiffrez la PDU, puis encapsulez-la dans une autre PDU envoyé sur le
réseau reliant les deux sites.
15