Memoire Sadie Bon VPN

Remerciements
Dédicaces
Je Dédie le fruit de ce modeste travail à :
A ma très chère mère (RIM) qu’elle trouve ici l’hommage de ma gratitude qui, si grande
qu’elle puisse être, ne sera à la hauteur de ses sacrifices et ses prière pour moi.
A Mes frères : Boujmaa, Aziz, Salim, Ghani, Mouloud.
A Mes Sœurs : Samia, Wahida.
A Mon Mari : Hichem Ben Kahel
A mes neveux et nièces : Idris, Zineb, Mohamed, yakob, Anas, khouloud, Douaa… A
monsieur Dr. Lamamra Kheireddine et ses filles : Meissem et Maram.
A Responsable d’unité de maintenance de réseau d’accès : Walid Abbad A Mes Collègues:

Amar Khellas, wissam, Nousseiba, Wafa, Hachem, Walid, Akram, Mohamed.
A tous ceux qui ont participés de près ou de loin à la réalisation de ce travail et ceux qui me
souhaite la réussite.
Sommaire
Liste des figures
Liste des tableaux
Introduction générale
Naguère, considéré comme un facteur non déterminant de progrès, les télécommunications
ont acquis ces dernières décennies une importance indéniable. Aujourd’hui, aussi
indispensable que l’eau et l’électricité, aucun développement ne saurait se faire sans elles. La
preuve en est qu’une longue panne des réseaux de télécommunications (Téléphonie, fax ou
encore internet), de nos jours paralyserait bons nombres de services (entreprises, institutions,
administrations, etc…).
C’est ainsi que résolument inscrit dans une logique d’émergence, l’Etat de Côte D’ivoire, a
entrepris des réformes dans le domaine de la télécommunication visant à informatiser les
différents secteurs d’activité.
Et comme tout progrès engendre de nouveaux défis, au fil du temps naquit un autre besoin qui
était celui d’avoir accès à tout moment et de n’importe où aux ressources offertes par les
entités informatisées (entreprise, foyer, administrations, etc..) de manière sécurisée d’où la
naissance du besoin en VPN (Virtual Private Network ou Réseau Privé Virtuel).
PROBLEMATIQUE
A l'échelle mondiale, l'utilisation de l'internet occupe une place prépondérante dans tous
les secteurs de la vie quotidienne.2 Elle permet d'interconnecter les réseaux mondiaux et
contribue ainsi au développement des pays. En dépit de son apport dans l'innovation du
monde contemporain, il reste certain que les informations fournies sur internet ne sont pas
toutes fiables car c'est un espace public, ouvert à tous et donc à prendre avec du recul. Ainsi,
grâce à l'internet, le VPN peut être mis sur pied en vue d'interconnecter les ordinateurs
distants à travers le mécanisme de tunnélisation. Ces systèmes ont pu se développer grâce
aux performances toujours plus importantes des réseaux locaux et la sécurité informatique.
Comment assurer leurs accès sécurisé au sein des structures parfois reparties sur des
grandes distances géographiques ? Quel serait alors l'impact de ce nouveau système
d'information ? C'est ainsi que les VPN ont été mis sur pied pour répondre à ce type de
problématiques.
Dans les pays industrialisés notamment la France, les recherches récentes témoignent
que le VPN est d'actualité. Cependant, de nombreux sites web bloquent l'accès aux visiteurs
situés en dehors du pays.
Au Canada, certains sites web ne sont pas accessibles en se connectant avec une
adresse IP de ce pays. Le progrès de cette technologie n'a pas, jusqu'à ce jour, réussi à
limiter le piratage informatique.
En Irak, le nombre d'utilisateurs d'internet ne représente qu'une partie de la population

totale (cinq pourcent de la population, soit 1,7 million d'habitats) 1.
En dépit de cela, l'utilisation de ce grand réseau public est encore très limitée car, dans
le territoire irakien le gouvernement bloque certains sites qu'il trouve dangereux pour la
population, notamment; Face book.
Aux États-Unis, le plus grand cabinet de radiologie se trouve hors de l'hôpital et se

trouve en partie dans les cabinets privés au domicile, a-t-on lit.3 Selon les recherches,
récentes, « VPN » présente des défis et les plus importants entre le service médical des
hôpitaux.
1
Jean-Luc MONTAGNER, construire son réseau d'entreprise, édition Eyrolles, paris 2002
Ainsi, l'ampleur de ce défi s'est récemment accrue lorsque « Vrad », a acquis la plus
grande société de télé-radiologies aux Etats-Unis.2
Dans les pays développés, précisément en chine, les recherches récentes affirment que
tous les réseaux sociaux sont censurés par le gouvernement. Pour cela, dans le but de faire
face à ce souci, l'utilisation du VPN a été mis en application afin de sécuriser les diverses
opérations effectués sur le Net.
Selon la même source, il s'est révélé que les VPN gratuits ne sont pas fiable car ils
provoquent encore des risques des piratages de données pour les internautes, ainsi que pour
les entreprises.
En Australie, l'internet occupe encore une place prépondérante dans le quotidien des
ménages malgré le fait que le VPN ne soit pas en place dans certaines régions.
Les recherches témoignent avec certitude qu'en Suède, une société nommée «
TUNNEL VPN » est l'un des meilleurs fournisseurs mondiaux de VPN depuis les années
2008 dont la population bénéficie au maximum.3
Grace à sa performance les données sont facilement recueillies sur la durée de

connexion et la bande passante utilisée afin de détecter les activités illicites.
Dans les pays en voie de développement, en l'occurrence, l'Amérique latine, le VPN

n'est pas encore d'actualité, bien que l'internet soit d'usage populaire.4
Les recherchent affirment que l'Afrique est un continent en plein essor technologique
et culturel. Ainsi, on y compte très peu d'utilisateurs de VPN cela s'explique par la faiblesse
du besoin exprimé mais aussi à la difficulté d'accéder à la forme marchande de ce service.
Partant de ce constat, il convient pour une gestion rationnelle et efficiente des différentes
de mettre sur pied un système d’interconnexion sécurisé et fiable.
2
http:// www.mycompagny.fr
3
http:// www.vpnblog.net/recherche-vpn-swedois
4
Ghernaouti-Hélie Solange, Guide du cyber sécurité pour les pays en développement, édition, DUNOD,
2008
Ainsi, eu égard de ce qui précède, plusieurs interrogations s’imposent a nous :
- Quelle stratégie adopter afin de procéder à un suivi fiable et efficace des différents
projets d’investissements en cours ?
- Comment assurer les accès sécurisés au sein de structures parfois reparties sur de
grandes distances géographiques ?
- Comment faciliter l’accès aux informations ?
- Quels protocoles et quelle configuration assurent-ils l'accès sécurisé à l'information à
travers ces technologies ?
Chapitre 1: GENERALITE SUR LES RESEAUX INFORMATIQUE
1. Introduction
Les réseaux ont pour fonction de transporter des données d’une machine terminale à une
autre. Une série d’équipements matériels et de processus logiciels sont mis en œuvre pour
assurer ce transport, depuis les câbles terrestres ou les ondes radio dans lesquels circulent les
données jusqu’aux protocoles et règles permettant de les traiter.
Dans ce chapitre nous présentons les caractéristiques de base, les architectures et les
protocoles des réseaux informatiques.
1.2. Définition d’un Réseau Informatique
Un réseau est un ensemble d'objets interconnectés les uns avec les autres. Il permet de faire
circuler des éléments entre chacun de ces objets selon des règles bien définies. Dans le cas
ou les objets sont des ordinateurs on parle d’un réseau informatique.
Les réseaux informatiques qui permettaient à leur origine de relier des terminaux passifs à de
gros ordinateurs centraux autorisent à l'heure actuelle l'interconnexion de tous types,
d'ordinateurs que ce soit de gros serveurs, des stations de travail, des ordinateurs personnels
ou de simples terminaux graphiques. Les services qu'ils offrent font partie de la vie courante
des entreprises et administrations (banques, gestion, commerce, bases de données,
recherche,...) et des particuliers (messagerie, loisirs, services d'informations et Internet ...).
1.3 Intérêts d’un Réseau
- La communication entre personnes (grâce au courrier électronique, la discussion en

direct 'chat' et indirecte 'forum'...)
- Transmission de données (fichiers, messages, …)
- Partage des données (logiciels ou bases de données)
- Partage des équipements matériels (imprimantes, modem, télécopie, etc.)
- La garantie de l’unicité de l’information (base de données)...etc.
1.4 Caractéristiques des Réseaux
Les réseaux doivent d’une part prendre en charge une large gamme d’applications et de
services et d’autre part fonctionner sur de nombreux types périphériques physiques. Ainsi ils
doivent prendre en considération 4 caractéristiques de base pour répondre aux attentes des
utilisateurs :
- La tolérance aux pannes;

- L’évolutivité;
- La qualité de service ;
- La sécurité
1.5 Eléments d’un Réseau Informatique
La figure ci-dessous montre les éléments constituant le plus souvent un réseau, à savoir des
périphériques, des supports et des services reliés par des règles et qui collaborent pour
envoyer des messages. Le terme message nous sert à désigner : les pages Web; les courriels;
les messages instantanés; les appels téléphoniques et les autres formes de communication
prises en charge par Internet [3].
Figure 2.1. Eléments de base constituant un réseau informatique
Ainsi, les quatre principaux éléments d’un réseau sont: les règles, les supports, les messages et
les périphériques.
1.6. Types de Réseaux informatiques
- Réseau local (en anglais, LAN ou Local Area Network), lorsque le réseau s'étend sur
un périmètre local (< 1 km)
- Réseau métropolitain (en anglais, MAN ou Metropolitan Area Network) lorsque le
réseau s'étend sur un périmètre (< 100 km)
- Réseau étendu (en anglais, WAN ou Wide Area Network) , lorsque le réseau s'étend
sur longue distance (> 100 km).
Dans certaines ressources documentaires on parle de réseau personnel (PAN Personnel Area
Network) qui relie l'ordinateur personnel avec l'imprimante et le téléphone (via
Bluetooth) ...etc, dans un périmètre de moins de 10m [3].
Figure 2.2. Types des réseaux informatiques
1.7. Topologies physiques des réseaux
1.7.1. Topologies en Bus
Une topologie de bus fait appel à un câble de backbone unique qui est terminé aux deux
extrémités par un bouchon de terminaison. Tous les hôtes se connectent directement à ce
backbone.
1.7.2 Topologies en Anneau
Dans une topologie en anneau, chaque hôte est connecté à son voisin. Le dernier hôte se
connecte au premier. Cette topologie crée un anneau physique de câble.
1.7.3 Topologies en étoile
Dans une topologie en étoile, tous les câbles sont raccordés à un point central.
1.7.4 Topologies en étoile étendue
Une topologie en étoile étendue relie des étoiles individuelles en connectant les
commutateurs. Cette topologie peut étendre la portée et la couverture du réseau.
1.7.5 Topologies Hiérarchique
Une topologie hiérarchique est similaire à une topologie en étoile étendue. Cependant, plutôt
que de lier les commutateurs ensemble, le système est lié à un ordinateur qui contrôle le trafic
sur la topologie.
1.7.6 Topologies Maillée
On implémente une topologie maillée afin de garantir une protection maximale contre
l’interruption de service. Par exemple, une topologie maillée représente une solution idéale
pour les systèmes de contrôle en réseau d’une centrale nucléaire. Chaque hôte possède ses
propres connexions à tous les autres hôtes. Bien qu’Internet emprunte de multiples chemins
pour atteindre un emplacement, il n’adopte pas une topologie complètement maillée [4].
Figure 2.3. Topologies physiques des réseaux informatiques
1.8 Supports de Transmission
Les connexions réseau peuvent être câblées ou sans fil. Dans le cas de connexions câblées, le
support est le cuivre, qui conduit des signaux électriques ou la fibre optique qui transporte des
signaux lumineux.
Lorsque les connexions sont sans fil, le support utilisé est l’atmosphère terrestre, ou l’espace,
où les signaux transmis sont des hyperfréquences.
- Les supports à base de cuivre sont des câbles, comme les câbles téléphoniques à paire
torsadée (paires torsadées non blindées de catégorie 6, paire torsadée non blindée
(UTP, FTP)), ou les câbles coaxiaux.
- Les fibres optiques (fins filaments de verre ou de plastique qui véhiculent des signaux
lumineux) constituent une autre forme de support pour réseau en utilisant la lumière.
- Les supports sans fil peuvent intervenir dans le cadre d’une connexion sans fil à
domicile entre un routeur sans fil et un ordinateur équipé d’une carte réseau sans fil,
d’une connexion terrestre sans fil entre deux stations ou d’une communication entre
des périphériques installés sur la terre et des satellites[4].
1.8 Modèles en couches des réseaux informatiques
Il existe plusieurs modèles en couches pour les réseaux informatiques, cependant les plus
utilisés sont deux: le modèle de protocoles (appelé modèle TCP/IP) et le modèle de référence
(appelé modèle OSI). L'objectif principale de l'utilisation d'un modèle en couches est de
décrire les protocoles et les opérations dans un réseau[5].
8.1 Le Modèle TCP/IP
8.2 Processus de Communication
Un processus de communication (figure 2.3) complet comprend ces étapes :
- Création de données sur la couche application du périphérique final d’origine.

- Segmentation et encapsulation des données lorsqu’elles descendent la pile de
protocoles dans le périphérique final source.
- Génération de données sur les supports au niveau de la couche d’accès réseau de la
pile.
- Transport des données via l’inter-réseau, qui est constitué de supports et de n’importe
quels périphériques intermédiaires
- Réception des données au niveau de la couche d’accès au réseau du périphérique final
de destination
- Décapsulation et assemblage des données lorsqu’elles remontent la pile dans le
périphérique de destination
- Transmission de ces données à l’application de destination, au niveau de la couche
application du périphérique final de destination
Figure 2.4. Processus de communication dans un réseau
8.3 Processus d’encapsulations
Lorsque les données d’application descendent la pile de protocoles en vue de leur

transmission sur le support réseau, différents protocoles ajoutent des informations à
chaque niveau. Il s’agit du processus d’encapsulation. Au cours de l’encapsulation,
chaque couche suivante encapsule l’unité de données de protocole qu’elle reçoit de la
couche supérieur en respectant le protocole en cours d’utilisation. À chaque étape du
processus, une unité de données de protocole possède un nom différent qui reflète sa
nouvelle apparence (figure 2.4).
Les unités de données sont nommées en fonction des protocoles de la suite TCP/IP
comme suit: sur le support réseau, différents protocoles ajoutent des informations à chaque
niveau. Il s’agit du processus d’encapsulation. Au cours de l’encapsulation, chaque
couche suivante encapsule l’unité de données de protocole qu’elle reçoit de la couche
supérieure en respectant le protocole en cours d’utilisation. À chaque étape du processus,
une unité de données de protocole possède un nom différent qui reflète sa nouvelle
apparence (figure 2.4).
Les unités de données sont nommées en fonction des protocoles de la suite TCP/IP
comme suit:
- Données : Unités de données de protocole utilisées au niveau de la couche

application.
- Segment : Unité de données de protocole de la couche transport.
- Paquet : Unité de données de protocole de la couche inter-réseau.
- Trame : Unité de données de protocole de la couche d’accès au réseau.
- Bits : Unité de données de protocole utilisée lors de la transmission physique de
données à travers le support.
Figure 2.5. Processus d'encapsulation
8.4 Le Modèle OSI (Open System Interconnexion)
Généralement les utilisateurs utilisent Internet via le Web, les services de messagerie et
les programmes de partage de fichiers. Ces applications, ainsi que de nombreuses
autres, constituent l’interface humaine entre l’utilisateur et le réseau sous-jacent et
nous permettent d’envoyer et de recevoir des informations avec une relative facilité.
Le modèle Open System Interconnection (OSI) permet de visualiser plus facilement
les mécanismes sous-jacents de la communication via le réseau. Il est composé de 7
couches (figure 2.5.), le rôle de chaque couche est présenté ci-dessous.
La couche Physique:
- Elle s'occupe de la transmission des bits de façon brute sur un canal

- de communication.
- Elle doit garantir la parfaite transmission des données.
- Elle doit normaliser les caractéristiques électriques (un bit 1 doit
- être représenté par une tension de 5V, par exemple).
- L'unité d'information typique de cette couche est le bit, représenté par une certaine
différence de potentiel.
Figure 2.6. Couches du modèle OSI
La couche Liaison de données:
- Elle fractionne les données d'entrée de l'émetteur en trames, et les transmet en

séquence et gère les trames d'acquittement renvoyées par le récepteur.
- La couche liaison de données est capable de reconnaître les frontières des trames et
renvoyer une trame lorsqu'il y a eu un problème sur la ligne de transmission.
- Un rôle important de cette couche est la détection et la correction d'erreurs
intervenues sur la couche physique.
- Elle intègre une fonction de contrôle de flux pour éviter l'engorgement du
récepteur.
- L'unité d'information de la couche liaison de données est la trame qui est
composées de quelques centaines à quelques milliers d'octets maximum.
La couche réseau:
- C'est la couche qui permet de gérer le sous-réseau, exemple: le routage des paquets
sur ce sous-réseau et l'interconnexion des différents sous-réseaux entre eux. Au
moment de sa conception, il faut bien déterminer le mécanisme de routage.
- La couche réseau contrôle également l'engorgement et la saturation du sous-réseau.
- L'unité d'information de la couche réseau est le paquet.
La couche transport:
- Elle est responsable du bon acheminement des messages complets au destinataire.

- Son rôle principal est de prendre les messages de la couche session, de les
découper s'il le faut en unités plus petites et de les passer à la couche réseau, tout
en s'assurant que les morceaux arrivent correctement de l'autre côté.
- Elle effectue aussi le réassemblage du message à la réception des morceaux.
- Elle est responsable de l'optimisation des ressources du réseau pour améliorer le
débit.
- Cette couche est également responsable du type de service à fournir à la couche
session, et aux utilisateurs du réseau: diffusion du message à plusieurs
destinataires à la fois, avec ou sans garantie d'ordre de délivrance, service en mode
connecté ou non,...etc.
- Elle contrôle le flux et gère l'ensemble du processus de connexion, avec toutes les
contraintes qui y sont liées.
La couche session
- Cette couche organise et synchronise les échanges entre tâches distantes.

- Elle réalise le lien entre les adresses logiques et les adresses physiques des tâches
réparties et établit une liaison entre deux programmes d'application devant
coopérer et commande leur dialogue (qui doit parler, qui parle...).
La couche session permet aussi d'insérer des points de reprise dans le flot de données de
manière à pouvoir reprendre le dialogue après une panne.
La couche présentation
- Cette couche s'intéresse à la syntaxe et à la sémantique des données transmises.

- C'est elle qui traite l'information de manière à la rendre compatible entre tâches
Communicantes.
- Elle assure l'indépendance entre l'utilisateur et le transport de l'information. Cette
couche peut convertir les données, les reformater, les crypter et les compresser.
La couche application
- Cette couche est le point de contact entre l'utilisateur et le réseau. C'est donc elle
qui va apporter à l'utilisateur les services de base offerts par le réseau, comme par
exemple le transfert de fichier, la messagerie...
9. Les Adresses IP
Une adresse IP (Internet Protocol) est une adresse (notée @) utilisée afin d'identifier un
périphérique sur un réseau. Elle se compose de 32 bits binaires (IPv4), qui peuvent être
divisibles dans une partie réseau et une partie hôte avec l'aide d'un masque de sous-réseau.
Les 32 bit binaires sont répartis en quatre octets convertis au format décimal et séparés par un
point. La valeur de chaque octet s'étend de 0 à 255 décimales. Ils sont décomposés pour
fournir un modèle d'adressage qui peut s'ajuster aux grands et petits réseaux.
Les adresses IP de la version 6 sont condés sur 128 bits, soit 16 octets pour permettre de
connecter un plus grand nombre d'hôtes sur un réseau car les plages d'adresses IPv4 étant
proches de la saturation, les opérateurs incitent à la transition d'IPv4 vers IPv6.
9.1 Les Classes Réseaux
Il existe cinq classes d'adresses IP, chaque classe est identifiée par une lettre allant de A à E.
Ces différentes classes ont chacune leurs spécificités en termes de répartition du nombre
d'octet servant à identifier le réseau ou les ordinateurs connectés à ce réseau. Afin d'identifier
à quelle classe appartient une adresse IP, il faut examiner les premiers bits de l'adresse.
Classe A: Une @ IP de classe A dispose d'un seul octet pour identifier le réseau et de trois
octets pour identifier les machines sur ce réseau. Le premier octet d'une adresse IP de classe A
commence toujours par le bit 0, il est donc compris entre 0 et 127, certaines valeurs étant
réservées à des usages particuliers.
Classe B: Une @ IP de classe B dispose de deux octets pour identifier le réseau et de deux
octets pour identifier les machines sur ce réseau. Le premier octet d'une adresse IP de classe B
commence toujours par la séquence de bit 10, il est donc compris entre 128 et 191.
Classe C: Une @ IP de classe C dispose de trois octets pour identifier le réseau et d'un seul
octet pour identifier les machines sur ce réseau. Le premier octet d'une adresse IP de classe C
commence toujours par la séquence de bits 110, il est donc compris entre 192 et 223.
Classe D: Les @ de classe D sont utilisées pour les communications multicast. Le premier
octet d'une adresse IP de classe D commence toujours par la séquence de bits 1110, il est donc
compris entre 224 et 239.
Classe E: Les @ de classe E sont réservées à un usage spécifique. Les adresses de classe E
commencent toujours par la séquence de bits 1111, ils débutent donc en 240.0.0.0 et se
terminent en 255.255.255.255.
9.2 Masques de Réseau
Un masque de réseau aide à identifier la partie de l'adresse qui identifie le réseau et la partie
qui identifie le nœud. Les réseaux de classe A, B et C ont des masques par défaut, également
connus sous le nom de masques naturels:
- Class A: 255.0.0.0 - Class B: 255.255.0.0 - Class C: 255.255.255.0

9.3 Routage interdomaine sans classe (CIDR) (Concept de supernetting)
Le Routage interdomaine sans classe (CIDR) a été introduit afin d'améliorer

l'utilisation de l'espace d'adressage et l'évolutivité de routage en Internet. Il était nécessaire en
raison de la croissance rapide d'Internet et des tables de routage IP contenues dans les routeurs
Internet.
Le CIDR est différent des classes IP traditionnelles (classe A, classe B, classe C, …). Dans le
CIDR, un réseau IP est représenté par un préfixe, qui est une @ IP et une indication de la
longueur du masque qui représente le nombre des bits de masque contigus les plus à gauche
dont la valeur est un.
Le CIDR désigne également une architecture Internet plus hiérarchique, où chaque domaine
obtient ses @ IP d'un niveau supérieur.
9.4 Masque de sous réseau à taille variable VLSM

Le concept VLSM (Variable Length Subnet Mask) est né avec la volonté
d’économiser les @IP de l’entreprise. En effet, si une entreprise décide d’utiliser des masques
de sous réseau en /24 pour tous ses réseaux, cela signifie donc que chaque sous réseau peut
héberger jusqu’à 254 @IP différents. Si tous les sous-réseaux de l’entreprise hébergent bien
254 machines, alors le concept de VLSM n’est pas nécessaire. Mais, comment optimiser
l’allocation des adresses IP si certains réseaux n’ont que peu de machines? En effet, le VLSM
permet à une entreprise de diviser ses sous-réseaux en des tailles inégales, pour être au plus
proche des besoins de chaque sous-réseau. Il repose sur le découpage en sous-réseau présenté
précédemment (emprunt des bits de la partie Host pour définir des sous-réseaux) mais au lieu
de découper un réseau en créant plusieurs sous-réseaux ayant tous la même taille, on
s’autorise à redécouper des sous-réseaux plus petits.
Dans notre travail, nous avons utilisé le VLSM pour découper les réseaux et calculer les
différentes @IP des périphériques [9].
9.5 Matériel des réseaux informatiques
En plus des ordinateurs et des périphériques finaux (imprimante réseau, Smartphone,

Tablette, etc.) on trouve dans un réseau informatique les éléments suivants [8].
9.5.1 Commutateur
Un commutateur réseau (ou Switch) est un équipement qui relie plusieurs segments
(câbles ou fibres) dans un réseau informatique. Il s’agit le plus souvent d’un boitier disposant
de plusieurs (entre 4 et 100) ports Ethernet Il a donc la même apparence qu’un concentrateur
(hub). Le commutateur établit et met à jour une table adresses MAC, qui lui indique sur quel
port diriger les trames destinées à une adresse MAC donnée, en fonction des adresses MAC
source des trames reçues sur chaque port. Le commutateur construit donc dynamiquement une
table qui associe des adresses MAC avec des ports correspondants.
Figure 2.7. Le commutateur réseau (Switch)
9.5.2 Modem
Le modem est appareil qui permet d’adapter les signaux électriques entre les routeurs et le
support physique extérieur pour la connexion a un réseau externe (ligne téléphonique).
Figure 2.8 : Le modem réseau
9.5.3 Passerelle (Gateway)
C’est un système matériel et logiciel permettant de faire la liaison entre deux réseaux afin de
faire l’interface avec le protocole du réseau différent .C’est aussi un interprète.
Figure 2.9 : passerelle réseau(Gateway)
9.5.4 Routeur
C’est un dispositif d’interconnexion de réseaux informatiques permettant d’assurer le routage

des paquets entre deux réseaux ou plus afin de déterminer le chemin qu’un paquet de données
va emprunter. Ils sont plus puissants : ils sont capables d'interconnecter plusieurs réseaux
utilisant le même protocole.
Figure2.10 : Routeur réseau
9.5.5 Pont (Bridge)
Les ponts sont des équipements permettant de relier des réseaux travaillant avec le même
protocole. Ils travaillent au niveau logique c'est-à-dire au niveau de la couche 2 du modèle
OSI (couche liaison). Sa fonction est d'interconnecter deux segments de réseaux distincts, soit
de technologies différentes, soit de même technologie, mais physiquement séparés à la
conception pour diverses raisons (géographique, extension de site etc.).
Figure2.11 : Le pont réseau
9.5.6 Pare-feu
Un firewall (pare-feu) est un système permettent de protéger un ordinateur ou un réseau

d’ordinateur des intrusions provenant d’un réseau tiers (notamment internet). Le pare-feu est
un système permettant de filtrer les paquets de données échangés avec le réseau, il s’agit ainsi
d’une passerelle filtrante composant au minimum les interfaces réseau suivante :
- Une interface pour le réseau à protéger (réseau interne).

- Une interface pour le réseau externe.
Le système firewall est un système logiciel, reposant parfois sur un matériel détitré,
constituant un intermédiaire entre le réseau local (ou la machine locale) et un ou plusieurs
réseaux externes.
Figure 2.12 : Pare-feu réseau
9.5.7 Le Serveur NAS
Un serveur NAS (Network Attached Storage) est un appareil qui ne contient que des disque
dure pour la sauvegarde de données on réseau.
Figure 2.13 : Le serveur réseau NAS
9.5.8 Onduleur
Elle est constituée de la mise en cascade d’un montage redresseur, d’un dispositif de stockage
de l’énergie (batterie d’accumulateur) et d’un onduleur fonctionnant à fréquence fixe.
Le terme onduleur est fréquemment utilisé pour désigner ce type d’alimentation. Un onduleur
(figure 13) permet de fournir au serveur une alimentation électrique stable et dépourvue de
coupure ou de microcoupure, quoi qu’il se produise sur le réseau électrique.
Figure2.14: Onduleur d’électricité
9.5.9 Conclusion
Dans ce chapitre, nous avons présenté brièvement les différents types et topologies des
réseaux informatiques et les modèles en couches à savoir le modèle de protocole et le modèle
de référence. Nous avons abordé les systèmes d'adressage 'Routage interdomaine sans classe'
CIDR et le système 'Masque de sous réseau à taille variable' VLSM utilisé dans notre travail
et en fin nous avons présenté le matériel de base constituant un réseau informatique. Dans le
prochain chapitre nous présentation notre système de liaison intranet multipoints avec
extension.
CHAPITRE 2 : PRESENTATION DU THEME ET DEFINITION DES TERMES
2. Présentation du thème
Dans une entreprise, communiquer est essentiel, voire vitale. C’est le gage de son bon
fonctionnement, car étant elle-même composée de plusieurs directions et services. Toute
entreprise nécessite une parfaite interaction entre ses différentes composantes pour lui
permettre d’atteindre ses objectifs. Cela nécessite la mise en place d’un système
d’interconnexion basé sur une ou plusieurs solutions de transmission adéquat.
C’est pourquoi, nous avons choisis le thème : « Interconnexion et sécurisation de sites

distants ».
Ce projet consiste à mettre en place un système d’interconnexion fiable, sécurisé des

différents sites de façon générale dans une infrastructure privée ou étatique.
2.1 Objectifs
2.1.1 Objectifs généraux
Les objectifs de ce projet sont :
- Permettre aux différents utilisateurs quelque soit leur site d’exploiter les ressources du
réseau;
- L’implémentation d’un environnement client/serveur.
2.1.2 Objectifs spécifiques
Les objectifs à atteindre pour le District sont de plusieurs ordres. Il s’agit d’assurer les
services suivants :
- administration du système à distance ;

- Sécurisation des données;
- Administration centralisée du système;
- Eviter les pertes de données;
- Réduction considérable de consommable tel que papier.
L'interconnexion des réseaux locaux est l'ensemble des solutions permettant de relier les
ordinateurs, quelque soit la distance ou leurs différences.
Un réseau local sert à interconnecter les ordinateurs d'une organisation, toutefois une
organisation comporte généralement plusieurs réseaux locaux, il est donc parfois
indispensable de les relier entre eux. Dans ce cas, des équipements spécifiques sont
nécessaires.
2.1.3 Méthodes et Techniques d’analyses
Tout chercheur se focalise sur une ou plusieurs méthodes et techniques susceptibles de

l'orienter.
La technique : C'est un ensemble d'instruments ou d'outils qu'utilise la méthode enfin de

réaliser un travail scientifique.
On pourrait associer la définition du mot méthode à une combinaison de deux mots :
- Méthis : Le raisonnement rusé ou les ruses de l'intelligence

- Hodas : Le chemin, la voie à suivre.
D'où, méthode pourrait se définir comme étant le chemin de la ruse. On peut aussi dire, un
ensemble de démarches que suivent l'esprit et l'arrangement qui en résulte.
Une analyse se définie comme étant un examen méthodique, raisonnement inductif ou

déductif permettant de distinguer les différentes parties d'un problème et de définir leurs
rapports.
L’informatique est le traitement automatique et rationnel de l'information par ordinateur.

Ainsi, une méthode d'analyse informatique peut se définir comme étant un ensemble de
démarches suivant un raisonnement inductif ou déductif dans le but de distinguer les
différentes parties d’un problème et de réaliser le traitement automatique de celui-ci.
Elle a donc pour objectif de permettre la formalisation, les étapes préliminaires du

développement d'un système afin de rendre ce développement plus fidèle aux besoins du
client. Pour ce faire, on part d'un énoncé informel, ainsi que de l'analyse de l'existant éventuel.
Notons qu’une méthode d’analyse et de conception est la réunion d’une démarche et d’un
formalisme. Son objectif est de permettre de formaliser les étapes préliminaires du
développement d’un système afin de rendre ce développement plus fidèle aux besoins du
client. La mise en place d’un système d’interconnexion nécessite un grand nombre de
connaissance. De ce fait, pour mener à bien notre étude, nous avons eu à utiliser certaines
méthodes et techniques a savoir :
- L’observation de l’environnement et des méthodes de travail des différents acteurs

afin de mieux comprendre les contours du projet ;
- L’analyse des composant du système existant qui consiste à décomposer les éléments
du système existant enfin de le définir et d'en dégager les spécificités auxquelles le
nouveau système fera face ;
- Des entretiens réalisées avec différents acteurs dans le souci de mieux cerner le
fonctionnement des différents services et de mieux percevoir les problèmes rencontrés
par les différents employés dans l’exercice de leurs attributions ;
- La documentation en ce sens que notre système doit correspondre le plus possible à
leur réalité.
La présentation du sujet et du cadre du travail mis en évidence, nous passons au choix

techniques les plus appropriées qui permettront de satisfaire toutes les contraintes. C’est
l’objet du chapitre suivant.
Partie 1: ETUDE TECHNIQUE
CHAPITRE 3 : PRESENTATION DES
SOLUTIONS D’INTERCONNEXION POSSIBLES
3. Introduction
La partie précédente a consisté à dégager la préoccupation principale de nos travaux et les

différentes questions qui s'y rattachent.
Etymologiquement, le mot interconnexion est la jonction de deux mots : inter et connexion.
L’interconnexion veut tout simplement signifier la connexion, la liaison entre deux ou

plusieurs choses. En appliquant cette définition aux réseaux informatiques, il ressort alors que
interconnecter le système informatique de deux ou plusieurs structures revient alors à établir
une jonction entre les réseaux informatiques de ces dernières afin qu’elles puissent échanger
des informations, des données.
Plusieurs moyens sont utilisés pour interconnecter deux réseaux informatiques distants, nous
avons :
- L’interconnexion par supports physiques,

- l’interconnexion par ondes radios ou faisceaux hertziens.
Plusieurs techniques de nos jours permettent l’interconnexion et la sécurisation de réseaux

locaux. Nous proposons dans cette section d'étudier les différentes solutions envisageables.
Cette étude a pour but de doter le district de Yamoussoukro d’une plateforme robuste, sûr et à
coût amoindri.
3.1 La fibre optique
La fibre optique est un fil en verre ou en plastique très fin qui a la propriété de conduire de la
lumière et sert dans les transmissions terrestres et océaniques de données. Elle offre un débit
d'informations nettement supérieur à celui des câbles coaxiaux et supporte un réseau large
bande par lequel peuvent transiter aussi bien la télévision, le téléphone, la visioconférence ou
les données informatiques.
3.1.1 Principe de fonctionnement
À la base une fibre optique est un guide-onde. C'est donc l'onde qui se propage dans la fibre
optique qui est modulée pour contenir une information. Le signal lumineux est codé en
variation d'intensité. Pour les courtes distances, et une optique à bas coût, une simple DEL
peut jouer le rôle de source émettrice tandis que sur des réseaux haut débits et à longue
distance, c'est un laser qui est de préférence utilisé. Il existe principalement deux types de
fibres optiques:
- Les fibres plastiques, en polystyrène (PS) ou en poly méthacrylate de méthyle

(PMMA), sont économiques, légères et souples, mais leur atténuation est élevée ; on
les utilise surtout pour les transmissions à courte distance.
- Les fibres silice-silicone sont constituées d'un cœur de silice pure et d'une gaine de
silicone. Elles présentent une faible atténuation, mais sont plus rigides et plus
onéreuses que les fibres plastiques et sont utilisées pour les transmissions longue
distance.
Lorsqu'un rayon lumineux entre dans une fibre optique à l'une de ses extrémités avec un angle
adéquat, il subit de multiples réflexions totales internes. Ce rayon se propage alors jusqu'à
l'autre extrémité de la fibre optique sans perte, en empruntant un parcours en zigzag. La
propagation de la lumière dans la fibre peut se faire avec très peu de pertes même lorsque la
fibre est courbée.
3.1.3 Les différentes catégories de fibres optiques
On peut distinguer deux catégories de fibres optiques selon le diamètre de leur cœur et la
longueur d'onde utilisée:
- Les fibres optiques multimodes, les premières sur le marché, les fibres multimodes ont
pour caractéristiques de transporter plusieurs modes (trajets lumineux). Elles sont
caractérisées par un diamètre de cœur de plusieurs dizaines à plusieurs centaines de
micromètres et permettent d'atteindre le Gbit/s sur des distances de l'ordre du km. Elles
sont réservées aux réseaux informatiques à courtes distances.
Dans cette famille, nous trouvons deux sous catégories:
a) La fibre multimode à saut d'indice;

b) La fibre multimode à gradient d'indice.
- La fibre optique monomode c'est le top. Pour de plus longues distances ou de plus hauts
débits, il est préférable d’utiliser des fibres monomodes (dites SMF, pour Single Mode
Fiber), qui sont technologiquement plus avancées.
Leur cœur très fin n'admet ainsi qu'un mode de propagation, le plus direct possible c'est-àdire
dans l'axe de la fibre. Elles sont utilisées pour les réseaux à très longues distances tels que les
lignes intercontinentales et la solution la meilleure, mais aussi la plus onéreuse.
3.1.4 Avantages et inconvénients de la fibre optique
 LES AVANTAGES
- Débit très élevé, d'une grosse centaine de Mégas bit par seconde : 10,2 Tbit/s (l0 200
Gbit/s), sur une distance de 100 kilomètres;
- Transmission longue distance;
- Sécurité élevée ;
- Durée de vie de la fibre est de 20 ans, ce qui représente une valeur sûre, durable et
économique pour les entreprises;
- Insensibilité aux interférences extérieures.
 LES INCONVENIENTS
- Coût de déploiement élevé. La fibre optique, par apport au câble en cuivre coûte moins
cher. En revanche, la connectique et les convertisseurs d'énergie électrique/lumineuse et
réciproquement à placer aux extrémités coûtent cher, très cher même, suivant les
méthodologies mises en œuvre;
- La silice qui est le matériau au centre de la fibre est fragile. Il est important que cette silice
soit bien protégée;
- Maintenance difficile.
3.1.5 Virtual private network (VPN)
Le VPN est l'abréviation de Virtual Private Network ou Réseau Privé Virtuel. Le VPN
dispose de la même fonctionnalité qu'un réseau prive (utilisant des lignes spécialisées) mais
utilise Internet pour créer des lignes louées virtuelles qui passent par le réseau public. Un
VPN permet le raccordement de travailleurs mobiles et l'interconnexion de sites distants.
En d’autre terme, le but de la solution VPN (Virtual Private Network) est de pouvoir faire
communiquer à distance les employés distants et partenaires de l'entreprise de façon
confidentielle, et ceci en utilisant internet. Il s'agit donc de créer un canal virtuel de
communication protégé traversant un espace public non protégé. Chacun des membres du
réseau VPN peut être un réseau local (LAN) ou un ordinateur individuel.
Un VPN fonctionne en encapsulant les données d'un réseau à l'intérieur d'un paquet IP
ordinaire et en le transportant vers un autre réseau. Quand le paquet arrive au réseau de
destination, il est décapsulé et délivré à la machine approprié de ce réseau. En encapsulant les
données et en utilisant des techniques de cryptographie, les données sont protégées de l'écoute
et de d’éventuelle modification pendant leur transport au travers du réseau public.
3.1.6 Avantages et inconvénients du VPN
 LES AVANTAGES
- La possibilité de réaliser des réseaux privés à moindre coût;
- La mise en œuvre d'un intranet étendu permettant à tous les utilisateurs et
partenaires d'accéder à distance à des ressources partagées, quelle que soit leur
localisation géographique;
- Solution sécurisée puisque le VPN est un réseau privé reposant sur deux
éléments: L'authentification et l'encryptage.
- Nécessité de respecter les règlementations nationales en vigueur sur le chiffrement
- Cette solution est dépendante d’un fournisseur d’accès internet.;
3.1.7 La liaison spécialisée
Elle se définit sur le plan technique comme une liaison permanente constituée par un ou
plusieurs tronçons d'un réseau ouvert au public et réservée à l'usage exclusif d'un utilisateur.
Elle s'oppose ainsi à la liaison commutée, qui est temporaire. Au plan juridique, la ligne
louée, encore appelée liaison louée ou liaison spécialisée, est ainsi définie par le code des
postes et télécommunications : "la mise à disposition par l'exploitant public dans le cadre d'un
contrat de location d'une capacité de transmission entre des points de terminaison déterminés
du réseau public, au profit d’un utilisateur, à l'exclusion de toute commutation contrôlée par
cet utilisateur". Ce type de service est utilisé par les entreprises pour leurs réseaux internes,
ainsi que par les fournisseurs de services de télécommunications qui ne disposent pas
d'infrastructures propres ou souhaitent les compléter.
La liaison spécialisée (LS) est une ligne téléphonique tirée directement entre les locaux du
client et le fournisseur d'accès. Le débit varie entre 64 Kb/s à des dizaines Mb/s, et le coût est
fonction du débit demandé.
Dans le cas de l'interconnexion de réseaux locaux, on utilisera un modem et un routeur pour

chaque réseau local. La liaison se ferra à travers une ligne téléphonique qui reliera les
modems entre eux, connectés à leur tour aux routeurs.
3.1.8 Avantages et inconvénients de la liaison spécialisée
 LES AVANTAGES
- C'est une liaison qui offre des débits de connexion symétriques, garantis en
émission et en réception de données et allant de 64 Kbps jusqu'à des dizaines de
Mbps ;
- Par le biais d'un canal unique exclusivement réservé à votre entreprise, une liaison
spécialisée vous offre la possibilité d'échanger tous types de données;
- Toutes vos communications sont sécurisées et offrent ainsi une fiabilité et une
confidentialité totales.
- Cette solution est dépendante d’un fournisseur d’accès internet;
En cote d’ivoire le coût de la redevance mensuelle est très élevé: 472.000 F pour les frais
d'accès et 1.180.000 F pour la redevance mensuelle d'un débit de 1 Mb/s.
- Dans le cas d’une interconnexion de plusieurs sites (Point à multipoint), chaque

site à interconnecter entraine obligatoirement l’utilisation d’une nouvelle interface
pour chaque lignes spécialisées, plus d’interfaces signifie donc plus de dépense.
4. Le WIMAX
L'évolution technologique des interconnexions de réseaux a permis de s'affranchir de

l'utilisation des câbles (paire torsadée, fibre optique...). L'utilisation du réseau filaire est
progressivement délaissée au profit de réseaux sans fils en raison des contraintes liées à leur
déploiement et maintenance. Le nouveau monde de l'interconnexion se caractérise par
l'utilisation des voies hertziennes. La boucle locale radio, utilisée pour l'interconnexion de
bâtiments en accès haut débit par voie hertzienne, a trouvé un nouveau souffle avec la
technologie WiMAX.
WIMAX est l’abréviation pour Worldwide Interoperability for Microwave Access. Il s'agit
d'un standard de réseau sans fil métropolitain créé par les sociétés Intel et Alvarion en 2002 et
ratifié par l'IEEE Institute (Institue of Electrical and Electronics Engineer) sous le nom IEEE-
802.16. Plus exactement, WIMAX est le label commercial délivré par le Wi Max Forum aux
équipements conformes à la norme IEEE 802.16, afin de garantir un haut niveau
d'interopérabilité entre ces différents équipements. Ainsi il permet d'obtenir des débits
montants et descendants de 70 Mbit/s avec une portée de 50 Km. Le WIMAX étend la
couverture et le débit de la BLR. Outre les connexions en ligne de vue directe ou LOS (Line
Of Sight) dans la bande 10-66 GHz, le WIMAX permet aussi une connexion NLOS (No Line
Of Sight) dans la bande 211 GHz, grâce à l'utilisation de la modulation OFDM. Elle permet
notamment de surfer sur Internet en haut débit, de téléphoner (VoIP), ou encore
d'interconnecter des réseaux d'entreprises.
Le fonctionnement d'un réseau WIMAX est principalement basé sur la communication

entre les stations de base (Base Transceiver Station ou BTS) et les divers équipements
certifiés Wi Max qui y sont reliés. Les stations de base correspondent aux antennes placées
sur les points hauts de la ville et à tous les équipements qui y sont reliés, chargés d'émettre et
de recevoir les données sous forme d'ondes radio. La station de base est reliée au centre de
l'opérateur et prend en charge les transmissions avec les abonnés. Chez le client, une petite
antenne doit être placée sur le toit du domicile et orientée vers la station de base (LOS). Celle-
ci est reliée par un câble à un boîtier périphérique de l'ordinateur, qui joue le rôle d'interface et
d'alimentation de l'ODU (Out Door Unit). Les évolutions technologiques permettent
désormais de connecter des antennes clients sans que celles-ci ne soient en vue des stations de
base (NLOS). La figure illustre clairement le principe de fonctionnement du WIMAX.
4.1 AVANTAGES ET INCONVENIENTS DU WIMAX
 LES AVANTAGES
- Large zone de couverture ;
- Facilité de maintenance et d'administration;
- Possibilité d'investissement progressif en fonction de la demande;
- Faible coût de déploiement par rapport au réseau filaire (Fibres optiques).
- les signaux ne peuvent pas traverser les obstacles entre les antennes émettrices et
réceptrices ;
- Faible tolérance aux perturbations en milieu urbain;
- Sensibilité aux conditions météorologiques;
- Réseau coûteux. Le réseau Wimax a un coût relativement élevée car l’installation
d'antenne nécessite un grand déploiement de personnel ;
- Nécessité de disposer d'un point haut.
Figure 2 : Interconnexion par WIMAX

Fibre
Solutions LS VPN WIMAX
Optique
Débit très élevé ; Liaison et débits de Interconnexion à moindre coût ; Large zone de couverture ;
Transmission longue connexion garantis ; Accès des ressources partagées Facilite de maintenance ;
distance ; Echange de tous types de distant ; Investissement progressif.
Avantages Sécurité élevée ; données ; Solution sécurisée ;
Durée de vie élevée ; Confidentialité et fiabilité.
Insensibilité aux
interférences extérieures.
Coût de déploiement élevé ; Solution est dépendante d’un Respect de réglementations sur le
Faibles tolérances aux perturbations ;
Fragilité des fibres ; FAI; cryptage ;
Sensibilité aux conditions
Maintenance difficile. Coût redevance mensuelle Solution dépendante du FAI.
météorologiques ;
Inconvénients très élevé ;
Réseau coûteux ;
Dépense pour chaque site à
Nécessité de disposer d'un point
interconnecter.
haut.
Implantation Complexe Facile Facile Complexe

Coût Très élevé Elevé Moyen Très élevé
Durée Assez
Très élevée Peu élevée Peu élevée
D’implantation élevée
Tableau 3 : Comparaison des solutions
Chapitre 4 : PRESENTATION GENERALE DU VPN
1. INTRODUCTION
Ce chapitre a pour but l’étude des principes, des moyens techniques et des technologies
nécessaires à la mise en œuvre des réseaux privés virtuelles (VPN). Nous détaillerons les
différents types de tunnélisation ainsi que les protocoles de chiffrement utilisés lors de la mise
en place de tunnels sécurisés VPN.
Il sera également question d’examiner les raisons pour les quelles les VPNs sont très
important, quel types de VPNs sont disponible a déployer et quel type de VPN est approprié
pour une situation donnée.
2.1 Concept de VPN
En entreprise, de nos jours la majorité des réseaux LAN sont relié à Internet, en plus quand
une entreprise croît, il arrive qu’elle doive faire face à un besoin de communiquer avec des
succursales, des filiales, ou même donner accès à ses ressources à son personnel
géographiquement éloigné. Concrètement comment une succursale d’une entreprise peut-elle
accéder aux données situées sur un serveur de la maison mère distant de plusieurs milliers de
kilomètres ?
L’interconnexion par le biais de la liaison spécialisée est la première alternative, toutefois son
coût très élevé rend difficile son implémentation dans la plupart des entreprises, « Un bon
compromis consiste à utiliser Internet comme support de transmission en utilisant un
protocole d'encapsulation" (en anglais tunneling, d'où l'utilisation impropre parfois du terme
"tunnelisation"), c'est-à-dire encapsulant les données à transmettre de façon chiffrée. On parle
alors de réseau privé virtuel (noté RPV ou VPN, acronyme de Virtual Private Network) pour
désigner le réseau ainsi artificiellement créé.
Ce réseau est dit virtuel car il relie deux réseaux "physiques" (réseaux locaux) par une liaison
non fiable (Internet), et privé car seuls les ordinateurs des réseaux locaux de part et d'autre du
VPN peuvent "voir" les données. » Source : Commeçamarche.
2.1.1 Fonctionnement d’un VPN
Un réseau privé virtuel repose sur un protocole, appelé protocole de tunnelisation (tunneling),
l’avantage de ce protocole est de faire circuler des données de manière chiffrée. Le principe
très simple consiste via ce protocole à créer un tronçon virtuel en chiffrant par des algorithmes
de cryptologie chaque extrémité du tronçon. Ainsi, les utilisateurs ont l’impression de se
connecter directement sur le réseau de leur entreprise.
Le terme de "tunnel" est utilisé pour faire ressortir l’aspect essentiel du chiffrement de l'entrée
et de la sortie du VPN rendant incompréhensif les données transmises sur le tronçon pour
toutes personnes en dehors de ce tunnel en cas d’interception (écoute).
Dans le cas d'un VPN établi entre deux machines, on appelle client VPN l'élément permettant
de chiffrer et de déchiffrer les données du côté utilisateur (client) et serveur VPN (ou plus
généralement serveur d'accès distant) l'élément chiffrant et déchiffrant les données du côté de
l’entreprise
VPN (Virtual Private Network)
« De cette façon, lorsqu'un utilisateur nécessite d'accéder au réseau privé virtuel, sa requête va
être transmise en clair au système passerelle, qui va se connecter au réseau distant par
l'intermédiaire d’une infrastructure de réseau public, puis va transmettre la requête de façon
chiffrée. L'ordinateur distant va alors fournir les données au serveur VPN de son réseau local
qui va transmettre la réponse de façon chiffrée. A la réception sur le client VPN de
l'utilisateur, les données seront déchiffrées, puis transmises à l'utilisateur. »
2.2. Les différents types de VPNs
Il existe deux (2) principale catégories dans lesquelles les VPNs peuvent être classée :
2.2.1 Le VPN d'accès
Le VPN d'accès (remote-access VPN) est utilisé pour permettre à des utilisateurs itinérants
d'accéder au réseau privé. L'utilisateur se sert d'une connexion Internet pour établir la
connexion Vpn. Il existe deux cas:
- L'utilisateur demande au fournisseur d'accès de lui établir une connexion cryptée vers
le serveur distant : il communique avec le Nas (Network Access Server) du
fournisseur d'accès et c'est le Nas qui établit la connexion cryptée.
- L'utilisateur possède son propre logiciel client pour le VPN auquel cas il établit
directement la communication de manière cryptée vers le réseau de l'entreprise.
Les deux méthodes possèdent chacune leurs avantages et leurs inconvénients :

La première permet à l'utilisateur de communiquer sur plusieurs réseaux en créant plusieurs
tunnels, mais nécessite un fournisseur d'accès proposant un Nas compatible avec la solution
VPN choisie par l'entreprise. De plus, la demande de connexion par le Nas n'est pas cryptée
Ce qui peut poser des problèmes de sécurité.
Sur la deuxième méthode, ce problème disparaît du fait que l'intégralité des informations
transmises sera cryptée dès l'établissement de la connexion. Par contre, cette solution pourrait
nécessiter que chaque utilisateur ait un logiciel client (VPN client) déjà préinstallé ou
téléchargé directement du serveur d’accès distant, lui permettant d'établir une communication
cryptée.
De plus, il est possible par le biais de tous les navigateurs web d’établir une connexion
sécurisée par l’utilisation du protocole SSL, aussi utilisé pour sécuriser l’accès aux différents
serveurs web via HTTPS.
Le VPN d’accès permet différents types d’accès :
- L’accès sans client (Clientless) ;

- L’accès port forwarding ;
- L’accès avec client (Full client).
a) L’accès sans client

Dans le mode d’accès sans client VPN, l’utilisateur distant accède aux ressources internes en
utilisant un navigateur web (Mozilla, Chrome,…). Ce mode ne requière l’utilisation d’un
logiciel spécial. Toutes les données sont transmises via le navigateur web.
En utilisant l’accès sans client, l’utilisateur distant à la possibilité d’accéder a certaines
applications client/serveur, aux applications avec des interfaces web, les emails et les serveurs
de fichiers.
Toutes les applications client/serveur ne sont pas accessible dans ce mode ; cependant, cet
accès limité est un excellant moyen pour les partenaires qui devraient avoir accès a des
ressources limitées de l’entreprise et n’est donc pas utilisé pour les employés qui ont besoins
d’un accès distant illimité.
b) Le port forwarding
Le TCP port forwarding, assume que l’utilisateur distant utilise une application cliente basée
sur le protocole TCP dans le but de se connecter à un serveur.
Dans ce mode, l’utilisateur télécharge une applet java qui agit comme un proxy TCP sur la
machine cliente pour le service configuré sur la passerelle VPN.
Cette applet envoie une requête HTTPS de l’application cliente distante à la passerelle VPN,
qui a sont tour se charge de créer une connexion TCP avec la ressource interne.
En d’autres termes, le TCP port forwarding, fait souvent référence au mode d’accès sans
client et peut donc être utilisé partout ou celui-ci est utilisé. Il étant la capacité des fonctions
cryptographiques des navigateurs web à permettre des accès distants à des applications basées
sur le protocole TCP tel que Telnet, SSH, POP3, SMTP.
c) L’accès avec client
Ce mode supporte la plupart des applications basées sur le protocole IP (Internet Protocol) et
est appropries pour toute application client/server.
L’utilisateur distant peut utiliser toute les ressources internes comme s’il était dans le réseau
intranet de l’entreprise. Ce mode d’accès nécessite que chaque utilisateur ait un logiciel client
(VPN client) déjà préinstallé ou téléchargeable directement du serveur d’accès distant.
Figure 3 : Le VPN d’accès
2.2.2 Le VPN site à site
Le VPN site à site (site-to-site VPN) est une extension classique du WAN. Il permet aux
compagnies aillant deux ou plusieurs sites de pouvoir communiquer.
Dans le VPN site a site, les données sont envoyées et reçus normalement tout en transitant par
une passerelle VPN, qui peut être un routeur, un pare feu ou un concentrateur VPN. La
passerelle VPN est chargée d’encapsuler et crypter le trafique sortant provenant d’un site
particulier et de l’acheminer a destination au travers d’un tunnel VPN.
Il en existe deux catégories :
- L'intranet VPN
L'intranet VPN est utilisé pour relier au moins deux intranets entre eux. Ce type de réseau est
particulièrement utile au sein d'une entreprise possédant plusieurs sites distants. Le plus
important dans ce type de réseau est de garantir la sécurité et l'intégrité des données. Certaines
données très sensibles peuvent être amenées à transiter sur le VPN (base de données client,
informations financières...).
- L'extranet VPN
Une entreprise peut utiliser le VPN pour communiquer avec ses clients et ses partenaires. Elle
ouvre alors son réseau local à ces derniers. Dans Ce cadre, il est fondamental que
l'administrateur du VPN puisse tracer les clients sur le réseau et gérer les droits de chacun sur
celui-ci.
Figure 4 : Le Site-to-Site VPN
2.2.3 Topologies des VPNs
Au niveau des différentes topologies physiques envisageable, on retrouve des réseaux privés
virtuels en étoile, maillé ou partiellement maillé.
- VPN en étoile
Dans cette topologie toutes les ressources sont centralisées au même endroit et c'est à ce
niveau qu'on retrouve le serveur d`accès distant ou serveur VPN, dans ce cas de figure tous
les employés du réseau s'identifient ou s'authentifient au niveau du serveur et pourront ainsi
accéder aux ressources qui se situent sur l'intranet.
Figure 5 : VPN en étoile
- VPN maille et partiellement maille
Dans cette autre topologie les routeurs ou passerelles présents aux extrémités de chaque site
seront considérés comme des serveurs d'accès distant, les ressources ici sont décentralisées
sur chacun des sites autrement dit les employés pourront accéder aux informations présents
sur tous les réseaux.
Figure 6 : VPN maillée

Figure 7 : VPN partiellement maillée
3. SECURITE DES VPNs ET PROTOCOLES UTILISES
Lors de l'utilisation de serveurs VPN sur un réseau, il est conseillé de s'attarder de façon
rigoureuse sur la sécurité. Pour éviter d'être exposé aux différentes attaques des hackers. Le
VPN utilise un ensemble de technologies pour sécuriser les données qui voyagent d'un bout à
l'autre d'internet. Les concepts les plus importants sont ceux de firewall, d'authentification,
protocole de tunnels et du chiffrement de données que nous allons présenter.
3.1 Les firewalls
Un firewall (pare-feu) internet a le même but qu'une porte coupe-feu dans un immeuble:
protéger une certaine zone de l'avancée des flammes ou d'une explosion qu'elles pourraient
engendrer. L'avancée des flammes dans un immeuble est contrôlée en plaçant de solides murs
à des endroits stratégiques qui aident à contenir les flammes et à réduire les dégâts
occasionnés. Un pare-feu Internet a le même rôle. Cependant, il utilise des techniques telles
que l'examen de l'adresse IP du paquet qu'il reçoit ou le port sur lequel arrive une connexion
et décide de laisser passer ou de bloquer le trafic entrant.
Bien que le VPN n'implémente pas de firewall standard par défaut, les pare-feu font partie
intégrante d'un VPN. L'idée est qu'ils doivent être utilisés pour garder les utilisateurs ou le
trafic de données non désirables hors du réseau tout en acceptant les utilisateurs du VPN. Le
pare-feu le plus classique est un pare-feu filtrant les paquets (Statefull firewall), qui bloquera
l'accès à certains services (en fonction des ports) au niveau de la passerelle (routeur). De
nombreux équipements supportant les technologies VPN, tel que le routeur Cisco Privat
Internet Exchange (PIX) et ASA (Adaptive Security Appliance), gère en natif ce type de
filtrage. Un serveur proxy est aussi une solution possible. Ce type de serveur tourne
généralement sur des systèmes d'exploitation tels que Linux, Open BSD, Windows ou Novell
Netware.
3.2 Les composants basics de la cryptographie
La cryptographie peut se définir comme la science ou l’ensemble des méthodes utilisées

pour le cryptage et le décryptage de données sensibles.
Comprendre une technologie étant un moyen de connaitre toutes les technologies,

commençons par certains fondamentaux.
3.2.1 Le chiffrement (Cipher) et les clés
3.2.1.1 Le chiffrement
Un cipher est un ensemble de règles, qui peuvent également être appelées algorithmes
permettant le cryptage ou le décryptage.
3.2.1.2 Les clés
Connaitre comment crypter ou décrypter un message, il faut la correct clé. La clé est donc les
instructions nécessaires au décryptage ou cryptage des données.
3.2.1.3 Le hachage (Hashing)
Le hachage est l’une des méthodes utilisée pour vérifier l’intégrité des données. C’est un
processus qui consiste en grande partie à prendre un block de données et de créer une valeur
fixe de hachage. Ce processus est dit processus à sens unique. Car en effet, si deux différentes
machines prennent la même donnée et exécutent la même fonction de hachage, elles devraient
obtenir un résultat identique appelé le hache (the hash) ou emprunte.
Figure 8: Fonction de hachage

6.3 Le tunneling
6.3.1 Qu’est-ce que le tunneling
Il s'agit en fait de créer un tunnel dans lequel par la suite, transiteront des informations
sans que ces dernières doivent à chaque fois créer le chemin d'accès. Ce qu'offre le tunneling,
c'est d'aménager une voie d'accès qui est privée, et dont seuls ceux autorisés peuvent
l'emprunter. Cela notamment sur un réseau public.
Les données à transférer peuvent être des trames d'un autre protocole. Plutôt que
d'envoyer une trame directement, cette dernière est encapsulée dans une autre, qui se charge
d'implémenter le tunnel. L'en-tête supplémentaire fourni les informations de routage, afin que
la charge (payload contenant les données), de ce nouveau paquet puisse traverser le tunnel. Le
tunneling comprend les phases d'encapsulation, de transmission, et de désencapsulation des
données.
Le tunneling peut être appliqué aux couches 2 ou 3 du modèle OSI, suivant les systèmes
d’implémentations.
Figure 15 : Tunneling
6.4 Les protocoles de tunneling
Nous pouvons classer les protocoles que nous allons étudier en deux catégories:
- Les protocoles de niveau 2 comme PPTP, GRE et L2TP.

- Le protocole de niveau 3 comme IPsec.
Il existe en réalité quatre (4) protocoles de niveau 2 permettant de réaliser des Vpn : PPTP (de
Microsoft), L2F, GRE (développé par CISCO) et enfin L2TP. Nous n'évoquerons dans cette
étude que GRE, PPTP et L2TP : le protocole L2F ayant aujourd'hui quasiment disparut. Le
protocole PPTP aurait sans doute lui aussi disparut sans le soutien de Microsoft qui continue à
l'intégrer à ses systèmes d'exploitation Windows. L2tp est une évolution de PPTP et de L2F,
reprenant les avantages des deux protocoles.
Les protocoles de couche 2 dépendent des fonctionnalités spécifiées pour PPP (Point to Point
Protocol), c'est pourquoi nous allons tout d'abord rappeler le fonctionnement de ce protocole.
6.4.1 PPP (Point to Point Protocol)
Le protocole PPP (Point To Point Protocol) est un ensemble de protocoles standards

garantissant l'interopérabilité des logiciels d'accès distant de divers éditeurs. Une connexion
compatible PPP peut appeler des réseaux distants par l'intermédiaire d'un serveur PPP
standard de l'industrie. PPP permet également à un serveur d'accès à distance de recevoir des
appels entrants et de garantir l'accès au réseau à des logiciels d'accès distant d'autres éditeurs,
conformes aux normes PPP. Il est le fondement des protocoles PPTP et L2TP utilisés dans les
connexions VPN (Virtual Private Network) sécurisées. PPP est la principale norme de la
plupart des logiciels d'accès distant.
6.4.1 GRE (Generic Routing encapsulation)

GRE est un protocole de tunneling défini dans RFC 1702 et RFC 2784. Il support
plusieurs protocoles de tunneling et peut encapsuler plusieurs paquets à l’intérieur d’un tunnel
IP. Ajoutant une entête GRE additionnel entre la charge utile et l’entête IP lui fourni
l’avantage de supporter les fonctionnalités de plusieurs autre protocoles.
Figure 16 : GRE
Les avantages de GRE sont les suivant :
- encapsulation des trafiques n’utilisant pas le protocole IP;

- supporte les trafiques multicast et broadcaste ;
- Utilisation de protocoles de routage permettant l’échange dynamique des informations
de routages.
Cependant, GRE souffre d’un défaut majeur, la confidentialité. C’est pourquoi IPsec est
utilisé.
Figure 17 : Encapsulation avec GRE
6.4.1 PPTP (Point to Point Tunneling Protocol)

PPTP, Point to Point Tunneling Protocol a été mis en œuvre par Microsoft. Il travaille que sur
des réseaux IP comme internet. Le principe du protocole PPTP est de créer des trames sous le
protocole PPP et de les encapsuler dans un datagramme IP via GRE. Ainsi, dans ce mode de
connexion, les machines distantes des deux réseaux locaux sont connectés par une connexion
point à point (comprenant un système de chiffrement et d'authentification, et le paquet transite
au sein d'un datagramme IP.
PPTP permet le cryptage des données PPP encapsulées mais aussi leur compression par
l’utilisation des protocoles MS-CHAP (Microsoft Challenge Handshake Authentification) et
MPPE (Microsoft Point to Point Encryption).
Figure 18: Point to Point Tunneling Protocol
6.4.3.1 Scénario typique PPTP
Le client se connecte au serveur d’accès réseau (NAS). Après que le client ait initialisé sa
connexion PPP, un second appel est fait sur la connexion PPP existante (datagramme IP
contenant des paquets PPP). Ce second appel crée une connexion VPN au serveur PPTP
appelée tunnel. Lorsque le serveur PPTP reçoit des paquets du réseau public il traite le paquet
PPTP pour obtenir le nom de l’ordinateur ou l’adresse encapsulée dans le paquet PPP
(supporte TCP IP, IPX ou NetBEUI).
Figure 19: Scénario PPTP
6.4.1 L2TP (Layer Two Tunnelling Protocol)

Ce protocole réunit les avantages de PPTP et L2F (Aujourd’hui obsolète). L2TP est un
protocole réseau qui encapsule des trames PPP pour les envoyer sur des réseaux IP. Mais
L2TP peut aussi être directement mis en œuvre sur des supports WAN (relais de trames) sans
utiliser la couche de transport IP.
On l’utilise souvent pour créer des VPN sur Internet. Dans ce cas, L2TP transporte des
trames PPP dans des paquets IP.
Le tunnel peut être ouvert par l’utilisateur ou par l’opérateur. Soit deux cas possibles :
- Tunnel direct entre les clients et le serveur (Voluntary Tunneling)

- Tunnel entre l’ISP et le serveur (Compulsory Tunneling)
Il y a deux composants, l’encapsulation des trames PPP dans L2TP, puis le transport via UDP.
Quant à la sécurité, elle se situe au niveau des trames PPP (PAP, CHAP, MPPE). Mais pour
protéger le tunnel lui-même, il est fortement conseillé d’utiliser IPsec.
Figure 20: Layer Two Tunnelling Protocol
Figure 21: Scenario L2TP

L’utilisateur distant initialise une connexion PPP avec le LAC (L2TP Access
Concentrator). Ce dernier accepte la connexion et le lien PPP est établi.
L’ISP peut maintenant entreprendre une authentification partielle de l’utilisateur en

interprétant le champ " user name ". Ou bien il peut maintenir une base de donné qui lie
l’utilisateur a un service. Si le LNS (L2TP Network Server) l’accepte, le LAC peut "
tunneliser " la connexion PPP sans identification.
Si aucun tunnel n’existe vers ce LNS, il ya création du tunnel. Quand le tunnel existe, un "
Call ID " est allouée, et une indication de connexion est envoyée au LNS qui l’accepte ou la
refuse. Si le LNS accepte la connexion, il crée une interface virtuelle pour PPP. Sur le tunnel
une encapsulation L2TP est mise en place. Celle-ci est levée après réception par le LNS, et ce
qui était encapsulé est transmis sur le réseau privé sur l’interface recherché.
6.4.1 SSL/TLS (Secure Socket Layer )

Transmettre des informations au travers d’un réseau public nécessite une sécurisation
par le chiffrement dans le but de prévenir tout accès non autorisé aux données.
Il est possible de bénéficier des concepts de chiffrement et d’authentification en utilisant

différentes technologies tels que SSL/TLS.
SSL et son prédécesseur TLS, permettent l'accès sécurisé à un site web ou à certaines pages
d'un site web. Supporté par tous les navigateurs web, toute personne possédant un ordinateur
peut les utiliser. Les majeures parties des transactions via le web sont sécurisées par ces deux
protocoles.
Il est également possible, par le biais de ces protocoles, d’accéder à des sites distants et
d’avoir accès aux ressources via un navigateur web.
SSL v3 a servi de base à la conception de TLS 1.0 et tous deux utilisent les algorithmes
symétriques pour le chiffrage de données et les algorithmes asymétrique sont utilisés
l’authentification et l’échange de clés.
SSL et TLS se situent au sommet de la couche TCP/IP, et au-dessous de la couche

d'application.
Figure 21 : SSL selon le modèle OSI
Pour mettre en place une connexion SSL/TLS, il faut d'abord établir une connexion TCP/IP,
car ils utilisent certaines "primitives" de TCP/IP. Ainsi SSL et TLS peuvent être vus comme
un canal sûr au sein de TCP/IP, où tout le trafic entre deux applications "Peer to Peer" est
échangé de manière cryptée.
6.4.5.1 Les fonctionnalités de SSL/TLS
SSL et TLS ont trois fonctions:
- Authentification du serveur
Qui permet à un utilisateur d'avoir une confirmation de l'identité du serveur. Cela est fait
par les méthodes de chiffrement à clés publiques qu'utilise SSL. Cette opération est
importante, car le client doit pouvoir être certain de l'identité de son interlocuteur à qui par
exemple, il va communiquer son numéro de carte de crédit.
- Authentification du client
Selon les mêmes modalités que pour le serveur, il s'agit de s'assurer que le client est bien
celui qu'il prétend.
- Chiffrement des données
Toutes les données qui transitent entre l'émetteur et le destinataire, sont chiffrées par
l'émetteur, et déchiffrées par le destinataire, ce qui permet de garantir la confidentialité des
données, ainsi que leur intégrité grâce souvent à des mécanismes également mis en place dans
ce sens.
6.4.5.2 Le principe de fonctionnement
La sécurité est importante et SSL/TLS VPNs peuvent la fournir. Il est important de

comprendre les bases de leur fonctionnement. Qu’il s’agisse d’une opération bancaire en ligne
ou d’une connexion sécurisée à un équipement supportant SSL/TLS, le processus reste le
même :
1. Le client établi une connexion TCP (port 443) avec le serveur (serveur Web ou tout
équipements supportant SSL/TLS VPNs) ;
2. Apres que le client est initié sa requête pour la connexion, le server lui fourni son
certificat numérique. Certificat signé numériquement par une autorité de certificat
reconnue (CA) qui contient sa clé publique ;
3. Le client, dés réception du certificat numérique, a une décision à prendre. Celle de
croire en la crédibilité du certificat numérique.
Si le dit certificat est signé par une autorité de certificat reconnu par le navigateur web du
client et est encore valide, le client génère une clé secrète;
4. Cette clé est ensuite chiffrée avec la clé publique du serveur et lui est transmise. Le
serveur déchiffre la clé symétrique en utilisant sa clé privée. Ainsi, les deux
équipements on connaissance et peuvent utiliser la même clé secrète ;
5. La clé est alors utilisée pour crypter la session SSL/TLS.
Figure 22 : Session SSL
SSL TLS
Standard développé par l’IETF (Internet
Développé par Netscape en 1990
Engineering Task Force)
Débute avec un canal sécurisé et Peut débuter avec des communications non
continue directement à sécuriser les sécurisées et passer dynamiquement à un
négociations sur un port dédié canal sécurisé
Supporté et implémenté plus du coté
Largement supporté du cotée client
serveur
Versions antérieures jugées non Implémentation plus rigide à cause des
sécurisées processus standards
Tableau 4 : Comparaison SSL et TLS
6.4.1 IPSec
IPSec est un protocole défini par l'IETF permettant de sécuriser les échanges au niveau de la
couche réseau. Il s'agit en fait d'un protocole apportant des améliorations au niveau de la
sécurité au protocole IP.
IPSec n’est pas lié à des algorithmes de chiffrement, d’authentification et de sécurités. Il est
une bibliothèque de plusieurs protocoles aux normes ouverte qui donnent des indications dans
le but de sécuriser des communications. IPSec «travail » au niveau trois de la couche OSI,
protégeant et authentifiant les paquets IPs entre les équipements impliqués dans une
communication sécurisé. Il peut également protéger virtuellement tout trafiques de la couche
trois à la couche sept du model OSI.
6.4.6.1 Concept de base d'IPSec
Le protocole IPSec est destiné à fournir différents services de sécurité. Il permet grâce à
plusieurs choix et options de définir différents niveaux de sécurité afin de répondre de façon
adaptée aux besoins de chaque entreprise. La stratégie IPSec permettant d'assurer les
fonctions de sécurités essentielles sont :
- Authentification des extrémités : Elle permet à chacun de s'assurer de l'identité de

chacun des interlocuteurs. Précisons que l'authentification se fait entre les machines et
non entre les utilisateurs, dans la mesure où IPSec est un protocole de couche 3. IPSec
utilise IKE (Internet Key Exchange) pour l’authentification. IKE utilise plusieurs types
d’authentifications dont : le certificat numérique et la clé pré-partagée.
- Confidentialité des données échangées : Le contenu de chaque paquet IP peut être
chiffré afin qu'aucune personne non autorisée ne puisse le lire.
- Authenticité des données : IPSec permet de s'assurer que chaque paquet a bien été
envoyé par l'hôte et qu'il a bien été reçu par le destinataire souhaité.
- Intégrité des données échangées : IPSec permet de vérifier qu'aucune donnée n'a été
altérée lors du trajet.
- Protection contre les écoutes et analyses de trafic : Le mode tunneling (détaillé plus
loin) permet de chiffrer les adresses IP réelles et les entêtes des paquets IP de
l'émetteur et du destinataire. Ce mode permet ainsi de contrecarrer toutes les attaques
de ceux qui voudraient intercepter des trames afin d'en récupérer leur contenu.
- Protection contre le rejeu : IPSec intègre la possibilité d'empêcher un pirate
d'intercepter un paquet afin de le renvoyer à nouveau dans le but d'acquérir les mêmes
droits que l'envoyeur d'origine.
6.4.6.4 Modes de transit des données : Transport et Tunnel
ESP et AH peuvent être appliqués aux paquets IPs dans deux (2) différents modes : le mode
transport et le mode tunnel. Néanmoins, le niveau de sécurité le plus élevé est le mode
tunnel.
- Le mode transport
Dans ce mode, la sécurité est fournie seulement pour la couche de transport a la couche
application du model OSI. Le transport mode protège la charge utile du paquet, mais laisse
intact l’adresse IP d’origine. Celle-ci est utilisée pour le processus de routage.
- Le mode tunnel
Ce mode fourni la sécurité pour tout le paquet d’origine. Le paquet d’origine est crypté et
ensuite encapsulé dans un autre paquet. Seul l'entête contenant les adresses IP publiques de
l'émetteur et du destinataire est laissé en clair.
6.4.6.5 Gestion des flux IPSec
Les flux IPSec sont gérés uni directionnellement. Ainsi, une communication bidirectionnelle
entre deux machines utilisant IPSec sera définie par divers processus pour chacun des sens de
communication. Les procédés détaillés ci-dessous respectent tous deux cette loi.
a) SA (Security association)
La solution IPSec VPN permet la négociation des paramètres d’échange de clés,

l’établissement d’une clé partagé, l’authentification et la négociation des paramètres de
chiffrages. Les paramètres négociés entre les équipements sont donc appelés association de
sécurité. Il s’agit d’une structure de données servant à stocker l’ensemble des paramètres
associés à une communication donnée. Une SA est unidirectionnelle ; en conséquence,
protéger les deux sens d’une communication classique requiert deux associations, une dans
chaque sens. Les services de sécurité sont fournis par l’utilisation soit de AH soit de ESP.
Pour gérer les associations de sécurité actives, on utilise une base de données des associations
de sécurité (Security Association Database, SADB). Elle contient tous les paramètres relatifs
à chaque SA et sera consultée pour savoir comment traiter chaque paquet reçu ou à émettre.
b) SP (Security Policy)
Les protections offertes par IPsec sont basées sur des choix définis dans une base de
données de politique de sécurité (Security Policy Database, SPD). Cette base de données est
établie et maintenue par un utilisateur, un administrateur ou une application mise en place par
ceux-ci. Elle permet de décider, pour chaque paquet, s’il se verra apporter des services de
sécurité, s’il sera autorisé à passer outre ou sera rejeté. Ces services sont basés sur des
mécanismes cryptographiques. Pour cela, IPsec fait appel a ses deux protocoles de sécurité
qui viennent s'ajouter au protocole IP classique : a savoir les protocoles AH et ESP.
Comparaison des différents protocoles
Le tunneling sur des VPN, peut être considéré comme une meilleure réponse que SSL au
fait qu'une entreprise désire rendre toutes ses communications entre deux end-point sécurisés.
PPTP présente l'avantage d'être complètement intégré dans les environnements Windows.
Cependant comme pour beaucoup de produit Microsoft, la sécurité est le point faible. IPSec
implémente des algorithmes plus sûrs que PPTP. Par défaut dans L2TP, c'est IPSec qui est
utilisé. C'est seulement si l’end-point distant ne le supporte pas, qu’alors un protocole moins
sûr comme PPP est utilisé. IPSec ne permet d'identifier que des machines et non pas des
utilisateurs. Ceci est particulièrement problématique pour les utilisateurs itinérants. Il faut
donc prévoir un service d'authentification des utilisateurs.
Présentés comme la solution miracle pour permettre aux itinérants de se connecter aux
applications réparties de l'entreprise, les VPNs-SSL souffrent de problèmes, principalement
liés aux navigateurs web utilisés. L’utilisation des navigateurs permet aux utilisateurs
d'utiliser un outil dont ils ont l'habitude et qui ne nécessite pas de configuration
supplémentaire. Cependant lorsqu'un certificat expire l'utilisateur doit aller manuellement le
renouveler. Cette opération peut poser problème aux utilisateurs novices.
CHAPITRE : ETUDE DE MISE EN ŒUVRE D’INTERCONNEXION ET

SECURISATION DE SITE (VPN SITE A SITE)
Concrètement en entreprise comment de façon sécurisée, l’accès aux données situées sur le
serveur d’un siège depuis une succursale distante de plusieurs milliers de kilomètres se fait-il
par exemple ?
La solution est le VPN ou Virtual Private Network (Réseau Privé Virtuel).
Avant l’arrivée des VPN, les entreprises devaient utiliser des liaisons appelées TRANSPAC,
ou bien des lignes louées. Les VPN ont alors permis de démocratiser ce type de liaison. Le
terme VPN sera notamment utilisé pour l’accès à des structures de type cloud computing.
7.1 Choix de la technologie VPN site à site à mettre en place
De nos jours, plusieurs solutions VPN site à site, flexibles et riches en fonctionnalités sont
fournies. Ces solutions sont construites sur les quatre (4) technologies VPN sous-jacentes: le
VPN multipoint dynamique (DMVPN), le standard IPSec VPN, le GRE-VPN et le VPN de
transport de groupe crypté (GET-VPN). Chaque technologie bénéficie et est personnalisée
pour répondre aux exigences de déploiement spécifiques.
L'intranet VPN est utilisé pour relier au moins deux intranets entre eux. Ce type de réseau est
particulièrement utile au sein d'une entreprise possédant plusieurs sites distants. Le plus
important dans ce type de réseau est de garantir la sécurité et l'intégrité des données. Certaines
données très sensibles peuvent être amenées à transiter sur le VPN (base de données clients,
informations financières...). Des techniques de cryptographie sont mises en œuvre pour
vérifier que les données n'ont pas été altérées, on parle d’intégralité.
Il s'agit d'une authentification au niveau paquet pour assurer la validité des données, de
l'identification de leur source ainsi que leur non-répudiation. La plupart des algorithmes
utilisés font appel à des signatures numériques qui sont ajoutées aux paquets.
La confidentialité des données est, elle aussi, basée sur des algorithmes de cryptographie.
La technologie en la matière est suffisamment avancée pour permettre une sécurité quasi
parfaite. Généralement pour la confidentialité, le codage en lui-même pourrait être moyen
voir faible, mais sera combiné avec d'autres techniques comme l'encapsulation IP dans IP
pour assurer une sécurité raisonnable.
7.2 Etape de mise en œuvre d’un VPN

Le déploiement d’un VPN implique la prise en compte de plusieurs facteurs que nous allons
énumérer et expliquer dans cette partie du travail. [7]
7.3 Evaluation des besoins de l’accès distant
Déterminer les types de media qui seront utilisés par les utilisateurs distants pour accéder au
réseau de l’entreprise.
Déterminer les applications qui seront utilisées par le personnel accédant à distance au réseau
de l’entreprise.
Déterminer la bande passante nécessaire pour les applications qui seront consultées à distance.
7.3.1 Mise en place d’une stratégie de sécurité d’accès distant
Définir les groupes d’utilisateurs : les utilisateurs peuvent être définis soit dans un annuaire
existant, soit dans une base propre à la solution VPN choisie. La création d’utilisateurs et de
groupes s’applique surtout au cas des VPN Client Site. Dans ce cas l’authentification d’un
utilisateur est très importante pour limiter le risque d’intrusion.
Définir les règles d’accès : le VPN doit être configuré pour filtrer les flux à l’aide de règles :
- Concernant les VPN Site à Site : le filtrage par adresse au réseau IP est possible ;
- Concernant les VPN Client Site : le filtrage par utilisateur est possible (par le biais
d’un nom d’utilisateur, certificat…)
Les règles définies au cours de cette phase doivent être liées aux documents de sécurité. Les
modifications apportées doivent être écrites et vérifiées régulièrement.
Définir les types d’accès distants qui seront autorisés ou pas.
Déterminer les choix appropriés en ce qui concerne les technologies et les implémentations
VPN.
7.3.1.1 Détermination du meilleur produit VPN.

Déterminer le produit VPN qui sera utilisé pour la mise en place du VPN. Ce choix sera opéré
entre produits VPN : matériel, logiciel, Firewall ou mélange des trois.
Ce choix doit tenir compte des critères suivants : protocoles supportés, support de serveur
d’authentification, capacité d’exporter les clés de chiffrement.
7.3.1.2 Reconfiguration des autres périphériques du réseau.
L’installation d’un VPN peut signifier une reconfiguration des autres périphériques du réseau:
- Dans le cas où les sites à connecter utilisent des plages d’adresses IP qui se recoupent,
il est indispensable de remédier à ce problème en homogénéisant le plan d’adressage.
- Vérifier la synchronisation horaire, si les passerelles VPN ne sont pas synchronisés à
la minute près (voir la seconde) le tunnel peut tomber. En effet, les protections anti-
rejeu provoquent cette chute car la passerelle distante refuse les trames reçues si
l’heure d’émission de ces dernières est trop en décalage avec l’heure locale du
système.
- Si l’un des sites utilise la translation d’adresses, ceci peut représenter un inconvénient
pour la mise en place du VPN. C’est aujourd’hui la « bête noire » des VPN. L’impact
de la NAT (Network Address Translation) sur les composants IPSec est le suivant :
 Le protocole AH permet le contrôle de l’intégrité d’une trame IP, en générant une
empreinte de toute la trame y compris de l’en-tête. Si on réalise une translation
d’adresses IP, celles qui sont situées dans l’en-tête seront modifiées car la trame IP
étant sécurisée, toute modification de ses paramètres sera considérée comme une
attaque. Ce problème est présent, quel que soit le mode (transport ou tunnel) utilisé
et quel que soit le mécanisme de NAT utilisé.
 Le cas d’ESP est différent de celui d’AH car le contrôle d’intégrité n’a pas la
même étendue. Si la translation d’adresse à lieu avant la sécurisation d’une trame,
alors aucun problème ne se pose. Pour la translation statique ou dynamique simple,
le contrôle d’intégrité d’ESP inclut les en-têtes des protocoles de niveau 4 (TCP ou
UDP) et en particulier les numéros de port.
Si une translation statique ou dynamique simple est mise en œuvre, le numéro de port n’est
pas modifié, donc aucun impact ne se fait ressentir pour le VPN. Mais pour une translation
NAPT (Network Address Port Translation), les tunnels basés sur ESP, avec un dispositif de
translation d’adresses en aval, ne peuvent fonctionner car un en-tête IP standard est suivi de
l’en-tête du protocole de niveau 4(TCP ou UDP) où est situé le numéro de port à modifier.
IPSec insère un nouvel en-tête entre les deux.
Pour changer le numéro de port, il faudrait que le dispositif de translation sache qu’il a à
faire à une trame IPSec et en plus les numéros de ports utilisés par les protocoles de niveau 4
sont couverts par la protection en intégrité et/ou en confidentialité.
La première solution pour résoudre tous ces problèmes de NAT est de ne pas utiliser cette
technologie entre des équipements utilisant IPSec. La deuxième solution repose sur
l’encapsulation dans une trame UDP de chaque trame IPSec émise.
7.3.1.3 Déploiement de la phase de test
L’architecture définie doit être maintenant mise en œuvre dans le cadre d’une maquette ou
d’un pilote pour valider l’interaction entre les composants. Il s’agit alors de faire cohabiter
les composants de la nouvelle architecture avec ceux de l’ancienne. Ces tests se feront par le
biais d’un groupe pilote.
- Tester que le VPN peut être configuré en accord avec la stratégie de sécurité de
l’entreprise.
- Tester que le VPN supporte tous les mécanismes d’authentification et d’autorisation
déjà en cours d’utilisation.
- Tester que le VPN peut produire et distribuer efficacement les clés. Permettre aux
utilisateurs distants et aux succursales de participer aux réseaux de l’entreprise.
- Au sortir des tests, l’on doit connaître le protocole de tunneling, l’algorithme de
chiffrement, la longueur de la clé, etc. On pourra ainsi dimensionner les ordinateurs
et autres équipements qui seront utilisés pour le système final.
7.3.1.4 Déploiement de la solution finale

La validation précédente doit apporter la certitude que l’architecture qui sera déployée fournit
tous les services prévus lors de la conception de l’architecture. Ce n’est qu’après cette
validation que la solution finale du VPN sera déployée.
Nous vous avons démontré les étapes de mise en œuvre d’un VPN. Nous allons poursuivre en
mettant en pratique les éléments mentionnés ci-dessus. La partie qui va suivre est
l’aboutissement pratique de tout ce que nous avons mentionné au préalable.
7.4 Configuration d’un VPN site à site avec un IOS CLI
7.4.1 Présentation du logiciel packet tracert

Le « Cisco Packet Tracer » est un programme puissant de simulation qui permet aux
étudiants d'expérimenter le comportement du réseau. En effet, Packet Tracer fournit la
simulation, la visualisation, la création, l'évaluation et les capacités de collaboration et
facilite l'enseignement et l'apprentissage des technologies complexes. Toutes les
configurations présentées dans ce travail seront faites grâce à ce simulateur
Nous allons maintenant établir une connexion VPN site à site à l’aide de trois routeurs CISCO
IOS CLI et un Switch selon la figure ci-dessous. Nous allons également faire un Loopback,
qui est une méthode permettant de se connecter sur la machine locale exactement comme s’il
s’agissait d’une machine distante. Cela permet de tester et d’employer un logiciel client-
serveur sur une seule machine.
Figure 3.1 : Interface du logiciel Packet Tracer

1. Espace de travail et de représentation physique
2. Choix du type matériel
3. Choix du matériel
4. Démarrer ou arrêter la simulation
5. Test de communication (envoi d’une trame) et test de communication avec personnalisation

de la trame
6. Ensemble d’outils de sélection, de déplacement, d'annotation des schémas, de suppression

et de redimensionnement de la forme.
Figure 3.2 : Les types d’équipements
Tableau 3.1. Eléments de base du simulateur Packet Tracer
C. Types de connexions de Packet Tracer

Les différents types de connexion utilisés dans le simulateur Packet Tracer et leurs
désignations sont représentés dans la figure 3.3 et le tableau 3.2.
Tableau 3.2. Types de connexions de Packet Tracer

Généralement pour relier deux routeurs distant avec le câble serial, il est nécessaire d'ajouter
aux routeurs une carte réseau équipée par une interface série (type HWIC-2T par exemple) car
par défaut elle n'y dans le routeur, pour cela, cliquez sur Routeur puis Physical, puis éteindre
le routeur (mettre en off) puis ajouter la carte HWIC-2T en cliquant glissant vers l'interface
libre (figures 3.4.a-b).
Figure 3.4. Insertion d'une interface série HWIC-2T
7.4.1.2 Architecture du réseau à déployer
Cette architecture montre globalement le réseau informatique de deux sites que nous mettrons
en place dans le cas de VPN site à site.
Figure de l’Architecture du réseau à déployer

7.4.1.3 Architecture Simplifiée
Pour faciliter la configuration, nous avons créé une architecture simplifiée ou de test. En effet,
cette architecture est composée de deux VLAN (10 et 20). Les deux routeurs R0 et R1
constituent des bordures des réseaux (système autonome). Le protocole eBGP sera configuré
et les ACL viendront renforcer la sécurité des échanges.
Figure de l’Architecture Simplifiée
7.4.1. 3 Simulation de l'architecture simplifiée sous Cisco paquet tracer
Figure: Simulation de l'architecture simplifiée sous Cisco paquet tracer

a) Configuration des équipements des Vlan

Memoire Sadie Bon VPN

Transféré par

Informations du document

Titre original

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

Memoire Sadie Bon VPN

Transféré par

Droits d'auteur :

Formats disponibles

Remerciements

A Mes frères : Boujmaa, Aziz, Salim, Ghani, Mouloud.

A Mes Sœurs : Samia, Wahida.

A Mon Mari : Hichem Ben Kahel

A Responsable d’unité de maintenance de réseau d’accès : Walid Abbad A Mes Collègues:

En Irak, le nombre d'utilisateurs d'internet ne représente qu'une partie de la population

Aux États-Unis, le plus grand cabinet de radiologie se trouve hors de l'hôpital et se

Grace à sa performance les données sont facilement recueillies sur la durée de

Dans les pays en voie de développement, en l'occurrence, l'Amérique latine, le VPN

1.2. Définition d’un Réseau Informatique

1.3 Intérêts d’un Réseau

- La communication entre personnes (grâce au courrier électronique, la discussion en

- La tolérance aux pannes;

1.5 Eléments d’un Réseau Informatique

Figure 2.1. Eléments de base constituant un réseau informatique

Figure 2.2. Types des réseaux informatiques

1.7. Topologies physiques des réseaux

1.7.1. Topologies en Bus

1.7.2 Topologies en Anneau

1.7.3 Topologies en étoile

1.7.5 Topologies Hiérarchique

1.7.6 Topologies Maillée

Figure 2.3. Topologies physiques des réseaux informatiques

1.8 Supports de Transmission

1.8 Modèles en couches des réseaux informatiques

8.1 Le Modèle TCP/IP

8.2 Processus de Communication

Un processus de communication (figure 2.3) complet comprend ces étapes :

- Création de données sur la couche application du périphérique final d’origine.

8.3 Processus d’encapsulations

Lorsque les données d’application descendent la pile de protocoles en vue de leur

- Données : Unités de données de protocole utilisées au niveau de la couche

Figure 2.5. Processus d'encapsulation

8.4 Le Modèle OSI (Open System Interconnexion)

- Elle s'occupe de la transmission des bits de façon brute sur un canal

Figure 2.6. Couches du modèle OSI

La couche Liaison de données:

- Elle fractionne les données d'entrée de l'émetteur en trames, et les transmet en

- Elle est responsable du bon acheminement des messages complets au destinataire.

- Cette couche organise et synchronise les échanges entre tâches distantes.

- Cette couche s'intéresse à la syntaxe et à la sémantique des données transmises.

9.1 Les Classes Réseaux

9.2 Masques de Réseau

- Class A: 255.0.0.0 - Class B: 255.255.0.0 - Class C: 255.255.255.0

Le Routage interdomaine sans classe (CIDR) a été introduit afin d'améliorer

9.4 Masque de sous réseau à taille variable VLSM

9.5 Matériel des réseaux informatiques

En plus des ordinateurs et des périphériques finaux (imprimante réseau, Smartphone,

Figure 2.7. Le commutateur réseau (Switch)

Figure 2.8 : Le modem réseau

9.5.3 Passerelle (Gateway)

Figure 2.9 : passerelle réseau(Gateway)

C’est un dispositif d’interconnexion de réseaux informatiques permettant d’assurer le routage

Figure2.10 : Routeur réseau

9.5.5 Pont (Bridge)

Figure2.11 : Le pont réseau

Un firewall (pare-feu) est un système permettent de protéger un ordinateur ou un réseau

- Une interface pour le réseau à protéger (réseau interne).

Figure 2.12 : Pare-feu réseau

9.5.7 Le Serveur NAS

Figure2.14: Onduleur d’électricité

C’est pourquoi, nous avons choisis le thème : « Interconnexion et sécurisation de sites

Ce projet consiste à mettre en place un système d’interconnexion fiable, sécurisé des