Académique Documents
Professionnel Documents
Culture Documents
Dédicaces
Je Dédie le fruit de ce modeste travail à :
A ma très chère mère (RIM) qu’elle trouve ici l’hommage de ma gratitude qui, si grande
qu’elle puisse être, ne sera à la hauteur de ses sacrifices et ses prière pour moi.
A mes neveux et nièces : Idris, Zineb, Mohamed, yakob, Anas, khouloud, Douaa… A
monsieur Dr. Lamamra Kheireddine et ses filles : Meissem et Maram.
A tous ceux qui ont participés de près ou de loin à la réalisation de ce travail et ceux qui me
souhaite la réussite.
Sommaire
Liste des figures
Liste des tableaux
Introduction générale
Naguère, considéré comme un facteur non déterminant de progrès, les télécommunications
ont acquis ces dernières décennies une importance indéniable. Aujourd’hui, aussi
indispensable que l’eau et l’électricité, aucun développement ne saurait se faire sans elles. La
preuve en est qu’une longue panne des réseaux de télécommunications (Téléphonie, fax ou
encore internet), de nos jours paralyserait bons nombres de services (entreprises, institutions,
administrations, etc…).
C’est ainsi que résolument inscrit dans une logique d’émergence, l’Etat de Côte D’ivoire, a
entrepris des réformes dans le domaine de la télécommunication visant à informatiser les
différents secteurs d’activité.
Et comme tout progrès engendre de nouveaux défis, au fil du temps naquit un autre besoin qui
était celui d’avoir accès à tout moment et de n’importe où aux ressources offertes par les
entités informatisées (entreprise, foyer, administrations, etc..) de manière sécurisée d’où la
naissance du besoin en VPN (Virtual Private Network ou Réseau Privé Virtuel).
PROBLEMATIQUE
A l'échelle mondiale, l'utilisation de l'internet occupe une place prépondérante dans tous
les secteurs de la vie quotidienne.2 Elle permet d'interconnecter les réseaux mondiaux et
contribue ainsi au développement des pays. En dépit de son apport dans l'innovation du
monde contemporain, il reste certain que les informations fournies sur internet ne sont pas
toutes fiables car c'est un espace public, ouvert à tous et donc à prendre avec du recul. Ainsi,
grâce à l'internet, le VPN peut être mis sur pied en vue d'interconnecter les ordinateurs
distants à travers le mécanisme de tunnélisation. Ces systèmes ont pu se développer grâce
aux performances toujours plus importantes des réseaux locaux et la sécurité informatique.
Comment assurer leurs accès sécurisé au sein des structures parfois reparties sur des
grandes distances géographiques ? Quel serait alors l'impact de ce nouveau système
d'information ? C'est ainsi que les VPN ont été mis sur pied pour répondre à ce type de
problématiques.
Dans les pays industrialisés notamment la France, les recherches récentes témoignent
que le VPN est d'actualité. Cependant, de nombreux sites web bloquent l'accès aux visiteurs
situés en dehors du pays.
Au Canada, certains sites web ne sont pas accessibles en se connectant avec une
adresse IP de ce pays. Le progrès de cette technologie n'a pas, jusqu'à ce jour, réussi à
limiter le piratage informatique.
En dépit de cela, l'utilisation de ce grand réseau public est encore très limitée car, dans
le territoire irakien le gouvernement bloque certains sites qu'il trouve dangereux pour la
population, notamment; Face book.
1
Jean-Luc MONTAGNER, construire son réseau d'entreprise, édition Eyrolles, paris 2002
Ainsi, l'ampleur de ce défi s'est récemment accrue lorsque « Vrad », a acquis la plus
grande société de télé-radiologies aux Etats-Unis.2
Dans les pays développés, précisément en chine, les recherches récentes affirment que
tous les réseaux sociaux sont censurés par le gouvernement. Pour cela, dans le but de faire
face à ce souci, l'utilisation du VPN a été mis en application afin de sécuriser les diverses
opérations effectués sur le Net.
Selon la même source, il s'est révélé que les VPN gratuits ne sont pas fiable car ils
provoquent encore des risques des piratages de données pour les internautes, ainsi que pour
les entreprises.
En Australie, l'internet occupe encore une place prépondérante dans le quotidien des
ménages malgré le fait que le VPN ne soit pas en place dans certaines régions.
Les recherches témoignent avec certitude qu'en Suède, une société nommée «
TUNNEL VPN » est l'un des meilleurs fournisseurs mondiaux de VPN depuis les années
2008 dont la population bénéficie au maximum.3
Les recherchent affirment que l'Afrique est un continent en plein essor technologique
et culturel. Ainsi, on y compte très peu d'utilisateurs de VPN cela s'explique par la faiblesse
du besoin exprimé mais aussi à la difficulté d'accéder à la forme marchande de ce service.
Partant de ce constat, il convient pour une gestion rationnelle et efficiente des différentes
de mettre sur pied un système d’interconnexion sécurisé et fiable.
2
http:// www.mycompagny.fr
3
http:// www.vpnblog.net/recherche-vpn-swedois
4
Ghernaouti-Hélie Solange, Guide du cyber sécurité pour les pays en développement, édition, DUNOD,
2008
Ainsi, eu égard de ce qui précède, plusieurs interrogations s’imposent a nous :
- Quelle stratégie adopter afin de procéder à un suivi fiable et efficace des différents
projets d’investissements en cours ?
- Comment assurer les accès sécurisés au sein de structures parfois reparties sur de
grandes distances géographiques ?
- Comment faciliter l’accès aux informations ?
- Quels protocoles et quelle configuration assurent-ils l'accès sécurisé à l'information à
travers ces technologies ?
Chapitre 1: GENERALITE SUR LES RESEAUX INFORMATIQUE
1. Introduction
Les réseaux ont pour fonction de transporter des données d’une machine terminale à une
autre. Une série d’équipements matériels et de processus logiciels sont mis en œuvre pour
assurer ce transport, depuis les câbles terrestres ou les ondes radio dans lesquels circulent les
données jusqu’aux protocoles et règles permettant de les traiter.
Dans ce chapitre nous présentons les caractéristiques de base, les architectures et les
protocoles des réseaux informatiques.
Un réseau est un ensemble d'objets interconnectés les uns avec les autres. Il permet de faire
circuler des éléments entre chacun de ces objets selon des règles bien définies. Dans le cas
ou les objets sont des ordinateurs on parle d’un réseau informatique.
Les réseaux informatiques qui permettaient à leur origine de relier des terminaux passifs à de
gros ordinateurs centraux autorisent à l'heure actuelle l'interconnexion de tous types,
d'ordinateurs que ce soit de gros serveurs, des stations de travail, des ordinateurs personnels
ou de simples terminaux graphiques. Les services qu'ils offrent font partie de la vie courante
des entreprises et administrations (banques, gestion, commerce, bases de données,
recherche,...) et des particuliers (messagerie, loisirs, services d'informations et Internet ...).
Les réseaux doivent d’une part prendre en charge une large gamme d’applications et de
services et d’autre part fonctionner sur de nombreux types périphériques physiques. Ainsi ils
doivent prendre en considération 4 caractéristiques de base pour répondre aux attentes des
utilisateurs :
La figure ci-dessous montre les éléments constituant le plus souvent un réseau, à savoir des
périphériques, des supports et des services reliés par des règles et qui collaborent pour
envoyer des messages. Le terme message nous sert à désigner : les pages Web; les courriels;
les messages instantanés; les appels téléphoniques et les autres formes de communication
prises en charge par Internet [3].
Ainsi, les quatre principaux éléments d’un réseau sont: les règles, les supports, les messages et
les périphériques.
1.6. Types de Réseaux informatiques
- Réseau local (en anglais, LAN ou Local Area Network), lorsque le réseau s'étend sur
un périmètre local (< 1 km)
- Réseau métropolitain (en anglais, MAN ou Metropolitan Area Network) lorsque le
réseau s'étend sur un périmètre (< 100 km)
- Réseau étendu (en anglais, WAN ou Wide Area Network) , lorsque le réseau s'étend
sur longue distance (> 100 km).
Dans certaines ressources documentaires on parle de réseau personnel (PAN Personnel Area
Network) qui relie l'ordinateur personnel avec l'imprimante et le téléphone (via
Bluetooth) ...etc, dans un périmètre de moins de 10m [3].
Une topologie de bus fait appel à un câble de backbone unique qui est terminé aux deux
extrémités par un bouchon de terminaison. Tous les hôtes se connectent directement à ce
backbone.
Dans une topologie en anneau, chaque hôte est connecté à son voisin. Le dernier hôte se
connecte au premier. Cette topologie crée un anneau physique de câble.
Dans une topologie en étoile, tous les câbles sont raccordés à un point central.
1.7.4 Topologies en étoile étendue
Une topologie en étoile étendue relie des étoiles individuelles en connectant les
commutateurs. Cette topologie peut étendre la portée et la couverture du réseau.
Une topologie hiérarchique est similaire à une topologie en étoile étendue. Cependant, plutôt
que de lier les commutateurs ensemble, le système est lié à un ordinateur qui contrôle le trafic
sur la topologie.
On implémente une topologie maillée afin de garantir une protection maximale contre
l’interruption de service. Par exemple, une topologie maillée représente une solution idéale
pour les systèmes de contrôle en réseau d’une centrale nucléaire. Chaque hôte possède ses
propres connexions à tous les autres hôtes. Bien qu’Internet emprunte de multiples chemins
pour atteindre un emplacement, il n’adopte pas une topologie complètement maillée [4].
Les connexions réseau peuvent être câblées ou sans fil. Dans le cas de connexions câblées, le
support est le cuivre, qui conduit des signaux électriques ou la fibre optique qui transporte des
signaux lumineux.
Lorsque les connexions sont sans fil, le support utilisé est l’atmosphère terrestre, ou l’espace,
où les signaux transmis sont des hyperfréquences.
- Les supports à base de cuivre sont des câbles, comme les câbles téléphoniques à paire
torsadée (paires torsadées non blindées de catégorie 6, paire torsadée non blindée
(UTP, FTP)), ou les câbles coaxiaux.
- Les fibres optiques (fins filaments de verre ou de plastique qui véhiculent des signaux
lumineux) constituent une autre forme de support pour réseau en utilisant la lumière.
- Les supports sans fil peuvent intervenir dans le cadre d’une connexion sans fil à
domicile entre un routeur sans fil et un ordinateur équipé d’une carte réseau sans fil,
d’une connexion terrestre sans fil entre deux stations ou d’une communication entre
des périphériques installés sur la terre et des satellites[4].
Il existe plusieurs modèles en couches pour les réseaux informatiques, cependant les plus
utilisés sont deux: le modèle de protocoles (appelé modèle TCP/IP) et le modèle de référence
(appelé modèle OSI). L'objectif principale de l'utilisation d'un modèle en couches est de
décrire les protocoles et les opérations dans un réseau[5].
Les unités de données sont nommées en fonction des protocoles de la suite TCP/IP
comme suit: sur le support réseau, différents protocoles ajoutent des informations à chaque
niveau. Il s’agit du processus d’encapsulation. Au cours de l’encapsulation, chaque
couche suivante encapsule l’unité de données de protocole qu’elle reçoit de la couche
supérieure en respectant le protocole en cours d’utilisation. À chaque étape du processus,
une unité de données de protocole possède un nom différent qui reflète sa nouvelle
apparence (figure 2.4).
Les unités de données sont nommées en fonction des protocoles de la suite TCP/IP
comme suit:
Généralement les utilisateurs utilisent Internet via le Web, les services de messagerie et
les programmes de partage de fichiers. Ces applications, ainsi que de nombreuses
autres, constituent l’interface humaine entre l’utilisateur et le réseau sous-jacent et
nous permettent d’envoyer et de recevoir des informations avec une relative facilité.
Le modèle Open System Interconnection (OSI) permet de visualiser plus facilement
les mécanismes sous-jacents de la communication via le réseau. Il est composé de 7
couches (figure 2.5.), le rôle de chaque couche est présenté ci-dessous.
La couche Physique:
La couche réseau:
- C'est la couche qui permet de gérer le sous-réseau, exemple: le routage des paquets
sur ce sous-réseau et l'interconnexion des différents sous-réseaux entre eux. Au
moment de sa conception, il faut bien déterminer le mécanisme de routage.
- La couche réseau contrôle également l'engorgement et la saturation du sous-réseau.
- L'unité d'information de la couche réseau est le paquet.
La couche transport:
La couche session
La couche session permet aussi d'insérer des points de reprise dans le flot de données de
manière à pouvoir reprendre le dialogue après une panne.
La couche présentation
La couche application
- Cette couche est le point de contact entre l'utilisateur et le réseau. C'est donc elle
qui va apporter à l'utilisateur les services de base offerts par le réseau, comme par
exemple le transfert de fichier, la messagerie...
9. Les Adresses IP
Une adresse IP (Internet Protocol) est une adresse (notée @) utilisée afin d'identifier un
périphérique sur un réseau. Elle se compose de 32 bits binaires (IPv4), qui peuvent être
divisibles dans une partie réseau et une partie hôte avec l'aide d'un masque de sous-réseau.
Les 32 bit binaires sont répartis en quatre octets convertis au format décimal et séparés par un
point. La valeur de chaque octet s'étend de 0 à 255 décimales. Ils sont décomposés pour
fournir un modèle d'adressage qui peut s'ajuster aux grands et petits réseaux.
Les adresses IP de la version 6 sont condés sur 128 bits, soit 16 octets pour permettre de
connecter un plus grand nombre d'hôtes sur un réseau car les plages d'adresses IPv4 étant
proches de la saturation, les opérateurs incitent à la transition d'IPv4 vers IPv6.
Il existe cinq classes d'adresses IP, chaque classe est identifiée par une lettre allant de A à E.
Ces différentes classes ont chacune leurs spécificités en termes de répartition du nombre
d'octet servant à identifier le réseau ou les ordinateurs connectés à ce réseau. Afin d'identifier
à quelle classe appartient une adresse IP, il faut examiner les premiers bits de l'adresse.
Classe A: Une @ IP de classe A dispose d'un seul octet pour identifier le réseau et de trois
octets pour identifier les machines sur ce réseau. Le premier octet d'une adresse IP de classe A
commence toujours par le bit 0, il est donc compris entre 0 et 127, certaines valeurs étant
réservées à des usages particuliers.
Classe B: Une @ IP de classe B dispose de deux octets pour identifier le réseau et de deux
octets pour identifier les machines sur ce réseau. Le premier octet d'une adresse IP de classe B
commence toujours par la séquence de bit 10, il est donc compris entre 128 et 191.
Classe C: Une @ IP de classe C dispose de trois octets pour identifier le réseau et d'un seul
octet pour identifier les machines sur ce réseau. Le premier octet d'une adresse IP de classe C
commence toujours par la séquence de bits 110, il est donc compris entre 192 et 223.
Classe D: Les @ de classe D sont utilisées pour les communications multicast. Le premier
octet d'une adresse IP de classe D commence toujours par la séquence de bits 1110, il est donc
compris entre 224 et 239.
Classe E: Les @ de classe E sont réservées à un usage spécifique. Les adresses de classe E
commencent toujours par la séquence de bits 1111, ils débutent donc en 240.0.0.0 et se
terminent en 255.255.255.255.
Un masque de réseau aide à identifier la partie de l'adresse qui identifie le réseau et la partie
qui identifie le nœud. Les réseaux de classe A, B et C ont des masques par défaut, également
connus sous le nom de masques naturels:
Le CIDR est différent des classes IP traditionnelles (classe A, classe B, classe C, …). Dans le
CIDR, un réseau IP est représenté par un préfixe, qui est une @ IP et une indication de la
longueur du masque qui représente le nombre des bits de masque contigus les plus à gauche
dont la valeur est un.
Le CIDR désigne également une architecture Internet plus hiérarchique, où chaque domaine
obtient ses @ IP d'un niveau supérieur.
Dans notre travail, nous avons utilisé le VLSM pour découper les réseaux et calculer les
différentes @IP des périphériques [9].
9.5.1 Commutateur
Un commutateur réseau (ou Switch) est un équipement qui relie plusieurs segments
(câbles ou fibres) dans un réseau informatique. Il s’agit le plus souvent d’un boitier disposant
de plusieurs (entre 4 et 100) ports Ethernet Il a donc la même apparence qu’un concentrateur
(hub). Le commutateur établit et met à jour une table adresses MAC, qui lui indique sur quel
port diriger les trames destinées à une adresse MAC donnée, en fonction des adresses MAC
source des trames reçues sur chaque port. Le commutateur construit donc dynamiquement une
table qui associe des adresses MAC avec des ports correspondants.
9.5.2 Modem
Le modem est appareil qui permet d’adapter les signaux électriques entre les routeurs et le
support physique extérieur pour la connexion a un réseau externe (ligne téléphonique).
C’est un système matériel et logiciel permettant de faire la liaison entre deux réseaux afin de
faire l’interface avec le protocole du réseau différent .C’est aussi un interprète.
9.5.4 Routeur
Les ponts sont des équipements permettant de relier des réseaux travaillant avec le même
protocole. Ils travaillent au niveau logique c'est-à-dire au niveau de la couche 2 du modèle
OSI (couche liaison). Sa fonction est d'interconnecter deux segments de réseaux distincts, soit
de technologies différentes, soit de même technologie, mais physiquement séparés à la
conception pour diverses raisons (géographique, extension de site etc.).
9.5.6 Pare-feu
Le système firewall est un système logiciel, reposant parfois sur un matériel détitré,
constituant un intermédiaire entre le réseau local (ou la machine locale) et un ou plusieurs
réseaux externes.
Un serveur NAS (Network Attached Storage) est un appareil qui ne contient que des disque
dure pour la sauvegarde de données on réseau.
Figure 2.13 : Le serveur réseau NAS
9.5.8 Onduleur
Elle est constituée de la mise en cascade d’un montage redresseur, d’un dispositif de stockage
de l’énergie (batterie d’accumulateur) et d’un onduleur fonctionnant à fréquence fixe.
Le terme onduleur est fréquemment utilisé pour désigner ce type d’alimentation. Un onduleur
(figure 13) permet de fournir au serveur une alimentation électrique stable et dépourvue de
coupure ou de microcoupure, quoi qu’il se produise sur le réseau électrique.
9.5.9 Conclusion
Dans ce chapitre, nous avons présenté brièvement les différents types et topologies des
réseaux informatiques et les modèles en couches à savoir le modèle de protocole et le modèle
de référence. Nous avons abordé les systèmes d'adressage 'Routage interdomaine sans classe'
CIDR et le système 'Masque de sous réseau à taille variable' VLSM utilisé dans notre travail
et en fin nous avons présenté le matériel de base constituant un réseau informatique. Dans le
prochain chapitre nous présentation notre système de liaison intranet multipoints avec
extension.
CHAPITRE 2 : PRESENTATION DU THEME ET DEFINITION DES TERMES
2. Présentation du thème
Dans une entreprise, communiquer est essentiel, voire vitale. C’est le gage de son bon
fonctionnement, car étant elle-même composée de plusieurs directions et services. Toute
entreprise nécessite une parfaite interaction entre ses différentes composantes pour lui
permettre d’atteindre ses objectifs. Cela nécessite la mise en place d’un système
d’interconnexion basé sur une ou plusieurs solutions de transmission adéquat.
2.1 Objectifs
- Permettre aux différents utilisateurs quelque soit leur site d’exploiter les ressources du
réseau;
- L’implémentation d’un environnement client/serveur.
2.1.2 Objectifs spécifiques
Les objectifs à atteindre pour le District sont de plusieurs ordres. Il s’agit d’assurer les
services suivants :
L'interconnexion des réseaux locaux est l'ensemble des solutions permettant de relier les
ordinateurs, quelque soit la distance ou leurs différences.
Un réseau local sert à interconnecter les ordinateurs d'une organisation, toutefois une
organisation comporte généralement plusieurs réseaux locaux, il est donc parfois
indispensable de les relier entre eux. Dans ce cas, des équipements spécifiques sont
nécessaires.
D'où, méthode pourrait se définir comme étant le chemin de la ruse. On peut aussi dire, un
ensemble de démarches que suivent l'esprit et l'arrangement qui en résulte.
Notons qu’une méthode d’analyse et de conception est la réunion d’une démarche et d’un
formalisme. Son objectif est de permettre de formaliser les étapes préliminaires du
développement d’un système afin de rendre ce développement plus fidèle aux besoins du
client. La mise en place d’un système d’interconnexion nécessite un grand nombre de
connaissance. De ce fait, pour mener à bien notre étude, nous avons eu à utiliser certaines
méthodes et techniques a savoir :
3. Introduction
Plusieurs moyens sont utilisés pour interconnecter deux réseaux informatiques distants, nous
avons :
La fibre optique est un fil en verre ou en plastique très fin qui a la propriété de conduire de la
lumière et sert dans les transmissions terrestres et océaniques de données. Elle offre un débit
d'informations nettement supérieur à celui des câbles coaxiaux et supporte un réseau large
bande par lequel peuvent transiter aussi bien la télévision, le téléphone, la visioconférence ou
les données informatiques.
À la base une fibre optique est un guide-onde. C'est donc l'onde qui se propage dans la fibre
optique qui est modulée pour contenir une information. Le signal lumineux est codé en
variation d'intensité. Pour les courtes distances, et une optique à bas coût, une simple DEL
peut jouer le rôle de source émettrice tandis que sur des réseaux haut débits et à longue
distance, c'est un laser qui est de préférence utilisé. Il existe principalement deux types de
fibres optiques:
On peut distinguer deux catégories de fibres optiques selon le diamètre de leur cœur et la
longueur d'onde utilisée:
- Les fibres optiques multimodes, les premières sur le marché, les fibres multimodes ont
pour caractéristiques de transporter plusieurs modes (trajets lumineux). Elles sont
caractérisées par un diamètre de cœur de plusieurs dizaines à plusieurs centaines de
micromètres et permettent d'atteindre le Gbit/s sur des distances de l'ordre du km. Elles
sont réservées aux réseaux informatiques à courtes distances.
Leur cœur très fin n'admet ainsi qu'un mode de propagation, le plus direct possible c'est-àdire
dans l'axe de la fibre. Elles sont utilisées pour les réseaux à très longues distances tels que les
lignes intercontinentales et la solution la meilleure, mais aussi la plus onéreuse.
LES AVANTAGES
- Débit très élevé, d'une grosse centaine de Mégas bit par seconde : 10,2 Tbit/s (l0 200
Gbit/s), sur une distance de 100 kilomètres;
- Transmission longue distance;
- Sécurité élevée ;
- Durée de vie de la fibre est de 20 ans, ce qui représente une valeur sûre, durable et
économique pour les entreprises;
- Insensibilité aux interférences extérieures.
LES INCONVENIENTS
- Coût de déploiement élevé. La fibre optique, par apport au câble en cuivre coûte moins
cher. En revanche, la connectique et les convertisseurs d'énergie électrique/lumineuse et
réciproquement à placer aux extrémités coûtent cher, très cher même, suivant les
méthodologies mises en œuvre;
- La silice qui est le matériau au centre de la fibre est fragile. Il est important que cette silice
soit bien protégée;
- Maintenance difficile.
Le VPN est l'abréviation de Virtual Private Network ou Réseau Privé Virtuel. Le VPN
dispose de la même fonctionnalité qu'un réseau prive (utilisant des lignes spécialisées) mais
utilise Internet pour créer des lignes louées virtuelles qui passent par le réseau public. Un
VPN permet le raccordement de travailleurs mobiles et l'interconnexion de sites distants.
En d’autre terme, le but de la solution VPN (Virtual Private Network) est de pouvoir faire
communiquer à distance les employés distants et partenaires de l'entreprise de façon
confidentielle, et ceci en utilisant internet. Il s'agit donc de créer un canal virtuel de
communication protégé traversant un espace public non protégé. Chacun des membres du
réseau VPN peut être un réseau local (LAN) ou un ordinateur individuel.
Un VPN fonctionne en encapsulant les données d'un réseau à l'intérieur d'un paquet IP
ordinaire et en le transportant vers un autre réseau. Quand le paquet arrive au réseau de
destination, il est décapsulé et délivré à la machine approprié de ce réseau. En encapsulant les
données et en utilisant des techniques de cryptographie, les données sont protégées de l'écoute
et de d’éventuelle modification pendant leur transport au travers du réseau public.
LES AVANTAGES
- La possibilité de réaliser des réseaux privés à moindre coût;
- La mise en œuvre d'un intranet étendu permettant à tous les utilisateurs et
partenaires d'accéder à distance à des ressources partagées, quelle que soit leur
localisation géographique;
- Solution sécurisée puisque le VPN est un réseau privé reposant sur deux
éléments: L'authentification et l'encryptage.
LES INCONVENIENTS
- Nécessité de respecter les règlementations nationales en vigueur sur le chiffrement
- Cette solution est dépendante d’un fournisseur d’accès internet.;
Elle se définit sur le plan technique comme une liaison permanente constituée par un ou
plusieurs tronçons d'un réseau ouvert au public et réservée à l'usage exclusif d'un utilisateur.
Elle s'oppose ainsi à la liaison commutée, qui est temporaire. Au plan juridique, la ligne
louée, encore appelée liaison louée ou liaison spécialisée, est ainsi définie par le code des
postes et télécommunications : "la mise à disposition par l'exploitant public dans le cadre d'un
contrat de location d'une capacité de transmission entre des points de terminaison déterminés
du réseau public, au profit d’un utilisateur, à l'exclusion de toute commutation contrôlée par
cet utilisateur". Ce type de service est utilisé par les entreprises pour leurs réseaux internes,
ainsi que par les fournisseurs de services de télécommunications qui ne disposent pas
d'infrastructures propres ou souhaitent les compléter.
La liaison spécialisée (LS) est une ligne téléphonique tirée directement entre les locaux du
client et le fournisseur d'accès. Le débit varie entre 64 Kb/s à des dizaines Mb/s, et le coût est
fonction du débit demandé.
LES AVANTAGES
- C'est une liaison qui offre des débits de connexion symétriques, garantis en
émission et en réception de données et allant de 64 Kbps jusqu'à des dizaines de
Mbps ;
- Par le biais d'un canal unique exclusivement réservé à votre entreprise, une liaison
spécialisée vous offre la possibilité d'échanger tous types de données;
- Toutes vos communications sont sécurisées et offrent ainsi une fiabilité et une
confidentialité totales.
LES INCONVENIENTS
- Cette solution est dépendante d’un fournisseur d’accès internet;
En cote d’ivoire le coût de la redevance mensuelle est très élevé: 472.000 F pour les frais
d'accès et 1.180.000 F pour la redevance mensuelle d'un débit de 1 Mb/s.
4. Le WIMAX
LES AVANTAGES
- Large zone de couverture ;
- Facilité de maintenance et d'administration;
- Possibilité d'investissement progressif en fonction de la demande;
- Faible coût de déploiement par rapport au réseau filaire (Fibres optiques).
LES INCONVENIENTS
- les signaux ne peuvent pas traverser les obstacles entre les antennes émettrices et
réceptrices ;
- Faible tolérance aux perturbations en milieu urbain;
- Sensibilité aux conditions météorologiques;
- Réseau coûteux. Le réseau Wimax a un coût relativement élevée car l’installation
d'antenne nécessite un grand déploiement de personnel ;
- Nécessité de disposer d'un point haut.
Durée Assez
Très élevée Peu élevée Peu élevée
D’implantation élevée
Tableau 3 : Comparaison des solutions
Chapitre 4 : PRESENTATION GENERALE DU VPN
1. INTRODUCTION
Ce chapitre a pour but l’étude des principes, des moyens techniques et des technologies
nécessaires à la mise en œuvre des réseaux privés virtuelles (VPN). Nous détaillerons les
différents types de tunnélisation ainsi que les protocoles de chiffrement utilisés lors de la mise
en place de tunnels sécurisés VPN.
Il sera également question d’examiner les raisons pour les quelles les VPNs sont très
important, quel types de VPNs sont disponible a déployer et quel type de VPN est approprié
pour une situation donnée.
En entreprise, de nos jours la majorité des réseaux LAN sont relié à Internet, en plus quand
une entreprise croît, il arrive qu’elle doive faire face à un besoin de communiquer avec des
succursales, des filiales, ou même donner accès à ses ressources à son personnel
géographiquement éloigné. Concrètement comment une succursale d’une entreprise peut-elle
accéder aux données situées sur un serveur de la maison mère distant de plusieurs milliers de
kilomètres ?
L’interconnexion par le biais de la liaison spécialisée est la première alternative, toutefois son
coût très élevé rend difficile son implémentation dans la plupart des entreprises, « Un bon
compromis consiste à utiliser Internet comme support de transmission en utilisant un
protocole d'encapsulation" (en anglais tunneling, d'où l'utilisation impropre parfois du terme
"tunnelisation"), c'est-à-dire encapsulant les données à transmettre de façon chiffrée. On parle
alors de réseau privé virtuel (noté RPV ou VPN, acronyme de Virtual Private Network) pour
désigner le réseau ainsi artificiellement créé.
Ce réseau est dit virtuel car il relie deux réseaux "physiques" (réseaux locaux) par une liaison
non fiable (Internet), et privé car seuls les ordinateurs des réseaux locaux de part et d'autre du
VPN peuvent "voir" les données. » Source : Commeçamarche.
2.1.1 Fonctionnement d’un VPN
Un réseau privé virtuel repose sur un protocole, appelé protocole de tunnelisation (tunneling),
l’avantage de ce protocole est de faire circuler des données de manière chiffrée. Le principe
très simple consiste via ce protocole à créer un tronçon virtuel en chiffrant par des algorithmes
de cryptologie chaque extrémité du tronçon. Ainsi, les utilisateurs ont l’impression de se
connecter directement sur le réseau de leur entreprise.
Le terme de "tunnel" est utilisé pour faire ressortir l’aspect essentiel du chiffrement de l'entrée
et de la sortie du VPN rendant incompréhensif les données transmises sur le tronçon pour
toutes personnes en dehors de ce tunnel en cas d’interception (écoute).
Dans le cas d'un VPN établi entre deux machines, on appelle client VPN l'élément permettant
de chiffrer et de déchiffrer les données du côté utilisateur (client) et serveur VPN (ou plus
généralement serveur d'accès distant) l'élément chiffrant et déchiffrant les données du côté de
l’entreprise
« De cette façon, lorsqu'un utilisateur nécessite d'accéder au réseau privé virtuel, sa requête va
être transmise en clair au système passerelle, qui va se connecter au réseau distant par
l'intermédiaire d’une infrastructure de réseau public, puis va transmettre la requête de façon
chiffrée. L'ordinateur distant va alors fournir les données au serveur VPN de son réseau local
qui va transmettre la réponse de façon chiffrée. A la réception sur le client VPN de
l'utilisateur, les données seront déchiffrées, puis transmises à l'utilisateur. »
2.2. Les différents types de VPNs
Il existe deux (2) principale catégories dans lesquelles les VPNs peuvent être classée :
Le VPN d'accès (remote-access VPN) est utilisé pour permettre à des utilisateurs itinérants
d'accéder au réseau privé. L'utilisateur se sert d'une connexion Internet pour établir la
connexion Vpn. Il existe deux cas:
- L'utilisateur demande au fournisseur d'accès de lui établir une connexion cryptée vers
le serveur distant : il communique avec le Nas (Network Access Server) du
fournisseur d'accès et c'est le Nas qui établit la connexion cryptée.
- L'utilisateur possède son propre logiciel client pour le VPN auquel cas il établit
directement la communication de manière cryptée vers le réseau de l'entreprise.
Sur la deuxième méthode, ce problème disparaît du fait que l'intégralité des informations
transmises sera cryptée dès l'établissement de la connexion. Par contre, cette solution pourrait
nécessiter que chaque utilisateur ait un logiciel client (VPN client) déjà préinstallé ou
téléchargé directement du serveur d’accès distant, lui permettant d'établir une communication
cryptée.
De plus, il est possible par le biais de tous les navigateurs web d’établir une connexion
sécurisée par l’utilisation du protocole SSL, aussi utilisé pour sécuriser l’accès aux différents
serveurs web via HTTPS.
Toutes les applications client/serveur ne sont pas accessible dans ce mode ; cependant, cet
accès limité est un excellant moyen pour les partenaires qui devraient avoir accès a des
ressources limitées de l’entreprise et n’est donc pas utilisé pour les employés qui ont besoins
d’un accès distant illimité.
b) Le port forwarding
Le TCP port forwarding, assume que l’utilisateur distant utilise une application cliente basée
sur le protocole TCP dans le but de se connecter à un serveur.
Dans ce mode, l’utilisateur télécharge une applet java qui agit comme un proxy TCP sur la
machine cliente pour le service configuré sur la passerelle VPN.
Cette applet envoie une requête HTTPS de l’application cliente distante à la passerelle VPN,
qui a sont tour se charge de créer une connexion TCP avec la ressource interne.
En d’autres termes, le TCP port forwarding, fait souvent référence au mode d’accès sans
client et peut donc être utilisé partout ou celui-ci est utilisé. Il étant la capacité des fonctions
cryptographiques des navigateurs web à permettre des accès distants à des applications basées
sur le protocole TCP tel que Telnet, SSH, POP3, SMTP.
Ce mode supporte la plupart des applications basées sur le protocole IP (Internet Protocol) et
est appropries pour toute application client/server.
L’utilisateur distant peut utiliser toute les ressources internes comme s’il était dans le réseau
intranet de l’entreprise. Ce mode d’accès nécessite que chaque utilisateur ait un logiciel client
(VPN client) déjà préinstallé ou téléchargeable directement du serveur d’accès distant.
Le VPN site à site (site-to-site VPN) est une extension classique du WAN. Il permet aux
compagnies aillant deux ou plusieurs sites de pouvoir communiquer.
Dans le VPN site a site, les données sont envoyées et reçus normalement tout en transitant par
une passerelle VPN, qui peut être un routeur, un pare feu ou un concentrateur VPN. La
passerelle VPN est chargée d’encapsuler et crypter le trafique sortant provenant d’un site
particulier et de l’acheminer a destination au travers d’un tunnel VPN.
- L'intranet VPN
L'intranet VPN est utilisé pour relier au moins deux intranets entre eux. Ce type de réseau est
particulièrement utile au sein d'une entreprise possédant plusieurs sites distants. Le plus
important dans ce type de réseau est de garantir la sécurité et l'intégrité des données. Certaines
données très sensibles peuvent être amenées à transiter sur le VPN (base de données client,
informations financières...).
- L'extranet VPN
Une entreprise peut utiliser le VPN pour communiquer avec ses clients et ses partenaires. Elle
ouvre alors son réseau local à ces derniers. Dans Ce cadre, il est fondamental que
l'administrateur du VPN puisse tracer les clients sur le réseau et gérer les droits de chacun sur
celui-ci.
Au niveau des différentes topologies physiques envisageable, on retrouve des réseaux privés
virtuels en étoile, maillé ou partiellement maillé.
- VPN en étoile
Dans cette topologie toutes les ressources sont centralisées au même endroit et c'est à ce
niveau qu'on retrouve le serveur d`accès distant ou serveur VPN, dans ce cas de figure tous
les employés du réseau s'identifient ou s'authentifient au niveau du serveur et pourront ainsi
accéder aux ressources qui se situent sur l'intranet.
Figure 5 : VPN en étoile
Dans cette autre topologie les routeurs ou passerelles présents aux extrémités de chaque site
seront considérés comme des serveurs d'accès distant, les ressources ici sont décentralisées
sur chacun des sites autrement dit les employés pourront accéder aux informations présents
sur tous les réseaux.
Lors de l'utilisation de serveurs VPN sur un réseau, il est conseillé de s'attarder de façon
rigoureuse sur la sécurité. Pour éviter d'être exposé aux différentes attaques des hackers. Le
VPN utilise un ensemble de technologies pour sécuriser les données qui voyagent d'un bout à
l'autre d'internet. Les concepts les plus importants sont ceux de firewall, d'authentification,
protocole de tunnels et du chiffrement de données que nous allons présenter.
Un firewall (pare-feu) internet a le même but qu'une porte coupe-feu dans un immeuble:
protéger une certaine zone de l'avancée des flammes ou d'une explosion qu'elles pourraient
engendrer. L'avancée des flammes dans un immeuble est contrôlée en plaçant de solides murs
à des endroits stratégiques qui aident à contenir les flammes et à réduire les dégâts
occasionnés. Un pare-feu Internet a le même rôle. Cependant, il utilise des techniques telles
que l'examen de l'adresse IP du paquet qu'il reçoit ou le port sur lequel arrive une connexion
et décide de laisser passer ou de bloquer le trafic entrant.
Bien que le VPN n'implémente pas de firewall standard par défaut, les pare-feu font partie
intégrante d'un VPN. L'idée est qu'ils doivent être utilisés pour garder les utilisateurs ou le
trafic de données non désirables hors du réseau tout en acceptant les utilisateurs du VPN. Le
pare-feu le plus classique est un pare-feu filtrant les paquets (Statefull firewall), qui bloquera
l'accès à certains services (en fonction des ports) au niveau de la passerelle (routeur). De
nombreux équipements supportant les technologies VPN, tel que le routeur Cisco Privat
Internet Exchange (PIX) et ASA (Adaptive Security Appliance), gère en natif ce type de
filtrage. Un serveur proxy est aussi une solution possible. Ce type de serveur tourne
généralement sur des systèmes d'exploitation tels que Linux, Open BSD, Windows ou Novell
Netware.
3.2 Les composants basics de la cryptographie
3.2.1.1 Le chiffrement
Un cipher est un ensemble de règles, qui peuvent également être appelées algorithmes
permettant le cryptage ou le décryptage.
Connaitre comment crypter ou décrypter un message, il faut la correct clé. La clé est donc les
instructions nécessaires au décryptage ou cryptage des données.
Le hachage est l’une des méthodes utilisée pour vérifier l’intégrité des données. C’est un
processus qui consiste en grande partie à prendre un block de données et de créer une valeur
fixe de hachage. Ce processus est dit processus à sens unique. Car en effet, si deux différentes
machines prennent la même donnée et exécutent la même fonction de hachage, elles devraient
obtenir un résultat identique appelé le hache (the hash) ou emprunte.
Il s'agit en fait de créer un tunnel dans lequel par la suite, transiteront des informations
sans que ces dernières doivent à chaque fois créer le chemin d'accès. Ce qu'offre le tunneling,
c'est d'aménager une voie d'accès qui est privée, et dont seuls ceux autorisés peuvent
l'emprunter. Cela notamment sur un réseau public.
Les données à transférer peuvent être des trames d'un autre protocole. Plutôt que
d'envoyer une trame directement, cette dernière est encapsulée dans une autre, qui se charge
d'implémenter le tunnel. L'en-tête supplémentaire fourni les informations de routage, afin que
la charge (payload contenant les données), de ce nouveau paquet puisse traverser le tunnel. Le
tunneling comprend les phases d'encapsulation, de transmission, et de désencapsulation des
données.
Le tunneling peut être appliqué aux couches 2 ou 3 du modèle OSI, suivant les systèmes
d’implémentations.
Figure 15 : Tunneling
6.4 Les protocoles de tunneling
Nous pouvons classer les protocoles que nous allons étudier en deux catégories:
Il existe en réalité quatre (4) protocoles de niveau 2 permettant de réaliser des Vpn : PPTP (de
Microsoft), L2F, GRE (développé par CISCO) et enfin L2TP. Nous n'évoquerons dans cette
étude que GRE, PPTP et L2TP : le protocole L2F ayant aujourd'hui quasiment disparut. Le
protocole PPTP aurait sans doute lui aussi disparut sans le soutien de Microsoft qui continue à
l'intégrer à ses systèmes d'exploitation Windows. L2tp est une évolution de PPTP et de L2F,
reprenant les avantages des deux protocoles.
Les protocoles de couche 2 dépendent des fonctionnalités spécifiées pour PPP (Point to Point
Protocol), c'est pourquoi nous allons tout d'abord rappeler le fonctionnement de ce protocole.
Figure 16 : GRE
Cependant, GRE souffre d’un défaut majeur, la confidentialité. C’est pourquoi IPsec est
utilisé.
PPTP permet le cryptage des données PPP encapsulées mais aussi leur compression par
l’utilisation des protocoles MS-CHAP (Microsoft Challenge Handshake Authentification) et
MPPE (Microsoft Point to Point Encryption).
Le client se connecte au serveur d’accès réseau (NAS). Après que le client ait initialisé sa
connexion PPP, un second appel est fait sur la connexion PPP existante (datagramme IP
contenant des paquets PPP). Ce second appel crée une connexion VPN au serveur PPTP
appelée tunnel. Lorsque le serveur PPTP reçoit des paquets du réseau public il traite le paquet
PPTP pour obtenir le nom de l’ordinateur ou l’adresse encapsulée dans le paquet PPP
(supporte TCP IP, IPX ou NetBEUI).
On l’utilise souvent pour créer des VPN sur Internet. Dans ce cas, L2TP transporte des
trames PPP dans des paquets IP.
Le tunnel peut être ouvert par l’utilisateur ou par l’opérateur. Soit deux cas possibles :
Il y a deux composants, l’encapsulation des trames PPP dans L2TP, puis le transport via UDP.
Quant à la sécurité, elle se situe au niveau des trames PPP (PAP, CHAP, MPPE). Mais pour
protéger le tunnel lui-même, il est fortement conseillé d’utiliser IPsec.
Si aucun tunnel n’existe vers ce LNS, il ya création du tunnel. Quand le tunnel existe, un "
Call ID " est allouée, et une indication de connexion est envoyée au LNS qui l’accepte ou la
refuse. Si le LNS accepte la connexion, il crée une interface virtuelle pour PPP. Sur le tunnel
une encapsulation L2TP est mise en place. Celle-ci est levée après réception par le LNS, et ce
qui était encapsulé est transmis sur le réseau privé sur l’interface recherché.
SSL et son prédécesseur TLS, permettent l'accès sécurisé à un site web ou à certaines pages
d'un site web. Supporté par tous les navigateurs web, toute personne possédant un ordinateur
peut les utiliser. Les majeures parties des transactions via le web sont sécurisées par ces deux
protocoles.
Il est également possible, par le biais de ces protocoles, d’accéder à des sites distants et
d’avoir accès aux ressources via un navigateur web.
SSL v3 a servi de base à la conception de TLS 1.0 et tous deux utilisent les algorithmes
symétriques pour le chiffrage de données et les algorithmes asymétrique sont utilisés
l’authentification et l’échange de clés.
Pour mettre en place une connexion SSL/TLS, il faut d'abord établir une connexion TCP/IP,
car ils utilisent certaines "primitives" de TCP/IP. Ainsi SSL et TLS peuvent être vus comme
un canal sûr au sein de TCP/IP, où tout le trafic entre deux applications "Peer to Peer" est
échangé de manière cryptée.
- Authentification du serveur
Qui permet à un utilisateur d'avoir une confirmation de l'identité du serveur. Cela est fait
par les méthodes de chiffrement à clés publiques qu'utilise SSL. Cette opération est
importante, car le client doit pouvoir être certain de l'identité de son interlocuteur à qui par
exemple, il va communiquer son numéro de carte de crédit.
- Authentification du client
Selon les mêmes modalités que pour le serveur, il s'agit de s'assurer que le client est bien
celui qu'il prétend.
Toutes les données qui transitent entre l'émetteur et le destinataire, sont chiffrées par
l'émetteur, et déchiffrées par le destinataire, ce qui permet de garantir la confidentialité des
données, ainsi que leur intégrité grâce souvent à des mécanismes également mis en place dans
ce sens.
6.4.5.2 Le principe de fonctionnement
1. Le client établi une connexion TCP (port 443) avec le serveur (serveur Web ou tout
équipements supportant SSL/TLS VPNs) ;
2. Apres que le client est initié sa requête pour la connexion, le server lui fourni son
certificat numérique. Certificat signé numériquement par une autorité de certificat
reconnue (CA) qui contient sa clé publique ;
3. Le client, dés réception du certificat numérique, a une décision à prendre. Celle de
croire en la crédibilité du certificat numérique.
Si le dit certificat est signé par une autorité de certificat reconnu par le navigateur web du
client et est encore valide, le client génère une clé secrète;
4. Cette clé est ensuite chiffrée avec la clé publique du serveur et lui est transmise. Le
serveur déchiffre la clé symétrique en utilisant sa clé privée. Ainsi, les deux
équipements on connaissance et peuvent utiliser la même clé secrète ;
5. La clé est alors utilisée pour crypter la session SSL/TLS.
SSL TLS
Standard développé par l’IETF (Internet
Développé par Netscape en 1990
Engineering Task Force)
Débute avec un canal sécurisé et Peut débuter avec des communications non
continue directement à sécuriser les sécurisées et passer dynamiquement à un
négociations sur un port dédié canal sécurisé
Supporté et implémenté plus du coté
Largement supporté du cotée client
serveur
Versions antérieures jugées non Implémentation plus rigide à cause des
sécurisées processus standards
Tableau 4 : Comparaison SSL et TLS
6.4.1 IPSec
IPSec est un protocole défini par l'IETF permettant de sécuriser les échanges au niveau de la
couche réseau. Il s'agit en fait d'un protocole apportant des améliorations au niveau de la
sécurité au protocole IP.
IPSec n’est pas lié à des algorithmes de chiffrement, d’authentification et de sécurités. Il est
une bibliothèque de plusieurs protocoles aux normes ouverte qui donnent des indications dans
le but de sécuriser des communications. IPSec «travail » au niveau trois de la couche OSI,
protégeant et authentifiant les paquets IPs entre les équipements impliqués dans une
communication sécurisé. Il peut également protéger virtuellement tout trafiques de la couche
trois à la couche sept du model OSI.
Le protocole IPSec est destiné à fournir différents services de sécurité. Il permet grâce à
plusieurs choix et options de définir différents niveaux de sécurité afin de répondre de façon
adaptée aux besoins de chaque entreprise. La stratégie IPSec permettant d'assurer les
fonctions de sécurités essentielles sont :
ESP et AH peuvent être appliqués aux paquets IPs dans deux (2) différents modes : le mode
transport et le mode tunnel. Néanmoins, le niveau de sécurité le plus élevé est le mode
tunnel.
- Le mode transport
Dans ce mode, la sécurité est fournie seulement pour la couche de transport a la couche
application du model OSI. Le transport mode protège la charge utile du paquet, mais laisse
intact l’adresse IP d’origine. Celle-ci est utilisée pour le processus de routage.
- Le mode tunnel
Ce mode fourni la sécurité pour tout le paquet d’origine. Le paquet d’origine est crypté et
ensuite encapsulé dans un autre paquet. Seul l'entête contenant les adresses IP publiques de
l'émetteur et du destinataire est laissé en clair.
Les flux IPSec sont gérés uni directionnellement. Ainsi, une communication bidirectionnelle
entre deux machines utilisant IPSec sera définie par divers processus pour chacun des sens de
communication. Les procédés détaillés ci-dessous respectent tous deux cette loi.
a) SA (Security association)
b) SP (Security Policy)
Les protections offertes par IPsec sont basées sur des choix définis dans une base de
données de politique de sécurité (Security Policy Database, SPD). Cette base de données est
établie et maintenue par un utilisateur, un administrateur ou une application mise en place par
ceux-ci. Elle permet de décider, pour chaque paquet, s’il se verra apporter des services de
sécurité, s’il sera autorisé à passer outre ou sera rejeté. Ces services sont basés sur des
mécanismes cryptographiques. Pour cela, IPsec fait appel a ses deux protocoles de sécurité
qui viennent s'ajouter au protocole IP classique : a savoir les protocoles AH et ESP.
Le tunneling sur des VPN, peut être considéré comme une meilleure réponse que SSL au
fait qu'une entreprise désire rendre toutes ses communications entre deux end-point sécurisés.
PPTP présente l'avantage d'être complètement intégré dans les environnements Windows.
Cependant comme pour beaucoup de produit Microsoft, la sécurité est le point faible. IPSec
implémente des algorithmes plus sûrs que PPTP. Par défaut dans L2TP, c'est IPSec qui est
utilisé. C'est seulement si l’end-point distant ne le supporte pas, qu’alors un protocole moins
sûr comme PPP est utilisé. IPSec ne permet d'identifier que des machines et non pas des
utilisateurs. Ceci est particulièrement problématique pour les utilisateurs itinérants. Il faut
donc prévoir un service d'authentification des utilisateurs.
Présentés comme la solution miracle pour permettre aux itinérants de se connecter aux
applications réparties de l'entreprise, les VPNs-SSL souffrent de problèmes, principalement
liés aux navigateurs web utilisés. L’utilisation des navigateurs permet aux utilisateurs
d'utiliser un outil dont ils ont l'habitude et qui ne nécessite pas de configuration
supplémentaire. Cependant lorsqu'un certificat expire l'utilisateur doit aller manuellement le
renouveler. Cette opération peut poser problème aux utilisateurs novices.
Avant l’arrivée des VPN, les entreprises devaient utiliser des liaisons appelées TRANSPAC,
ou bien des lignes louées. Les VPN ont alors permis de démocratiser ce type de liaison. Le
terme VPN sera notamment utilisé pour l’accès à des structures de type cloud computing.
De nos jours, plusieurs solutions VPN site à site, flexibles et riches en fonctionnalités sont
fournies. Ces solutions sont construites sur les quatre (4) technologies VPN sous-jacentes: le
VPN multipoint dynamique (DMVPN), le standard IPSec VPN, le GRE-VPN et le VPN de
transport de groupe crypté (GET-VPN). Chaque technologie bénéficie et est personnalisée
pour répondre aux exigences de déploiement spécifiques.
L'intranet VPN est utilisé pour relier au moins deux intranets entre eux. Ce type de réseau est
particulièrement utile au sein d'une entreprise possédant plusieurs sites distants. Le plus
important dans ce type de réseau est de garantir la sécurité et l'intégrité des données. Certaines
données très sensibles peuvent être amenées à transiter sur le VPN (base de données clients,
informations financières...). Des techniques de cryptographie sont mises en œuvre pour
vérifier que les données n'ont pas été altérées, on parle d’intégralité.
Il s'agit d'une authentification au niveau paquet pour assurer la validité des données, de
l'identification de leur source ainsi que leur non-répudiation. La plupart des algorithmes
utilisés font appel à des signatures numériques qui sont ajoutées aux paquets.
La confidentialité des données est, elle aussi, basée sur des algorithmes de cryptographie.
La technologie en la matière est suffisamment avancée pour permettre une sécurité quasi
parfaite. Généralement pour la confidentialité, le codage en lui-même pourrait être moyen
voir faible, mais sera combiné avec d'autres techniques comme l'encapsulation IP dans IP
pour assurer une sécurité raisonnable.
Déterminer les types de media qui seront utilisés par les utilisateurs distants pour accéder au
réseau de l’entreprise.
Déterminer les applications qui seront utilisées par le personnel accédant à distance au réseau
de l’entreprise.
Déterminer la bande passante nécessaire pour les applications qui seront consultées à distance.
Définir les groupes d’utilisateurs : les utilisateurs peuvent être définis soit dans un annuaire
existant, soit dans une base propre à la solution VPN choisie. La création d’utilisateurs et de
groupes s’applique surtout au cas des VPN Client Site. Dans ce cas l’authentification d’un
utilisateur est très importante pour limiter le risque d’intrusion.
Définir les règles d’accès : le VPN doit être configuré pour filtrer les flux à l’aide de règles :
- Concernant les VPN Site à Site : le filtrage par adresse au réseau IP est possible ;
- Concernant les VPN Client Site : le filtrage par utilisateur est possible (par le biais
d’un nom d’utilisateur, certificat…)
Les règles définies au cours de cette phase doivent être liées aux documents de sécurité. Les
modifications apportées doivent être écrites et vérifiées régulièrement.
Déterminer les choix appropriés en ce qui concerne les technologies et les implémentations
VPN.
Ce choix doit tenir compte des critères suivants : protocoles supportés, support de serveur
d’authentification, capacité d’exporter les clés de chiffrement.
L’installation d’un VPN peut signifier une reconfiguration des autres périphériques du réseau:
- Dans le cas où les sites à connecter utilisent des plages d’adresses IP qui se recoupent,
il est indispensable de remédier à ce problème en homogénéisant le plan d’adressage.
- Vérifier la synchronisation horaire, si les passerelles VPN ne sont pas synchronisés à
la minute près (voir la seconde) le tunnel peut tomber. En effet, les protections anti-
rejeu provoquent cette chute car la passerelle distante refuse les trames reçues si
l’heure d’émission de ces dernières est trop en décalage avec l’heure locale du
système.
- Si l’un des sites utilise la translation d’adresses, ceci peut représenter un inconvénient
pour la mise en place du VPN. C’est aujourd’hui la « bête noire » des VPN. L’impact
de la NAT (Network Address Translation) sur les composants IPSec est le suivant :
Le protocole AH permet le contrôle de l’intégrité d’une trame IP, en générant une
empreinte de toute la trame y compris de l’en-tête. Si on réalise une translation
d’adresses IP, celles qui sont situées dans l’en-tête seront modifiées car la trame IP
étant sécurisée, toute modification de ses paramètres sera considérée comme une
attaque. Ce problème est présent, quel que soit le mode (transport ou tunnel) utilisé
et quel que soit le mécanisme de NAT utilisé.
Le cas d’ESP est différent de celui d’AH car le contrôle d’intégrité n’a pas la
même étendue. Si la translation d’adresse à lieu avant la sécurisation d’une trame,
alors aucun problème ne se pose. Pour la translation statique ou dynamique simple,
le contrôle d’intégrité d’ESP inclut les en-têtes des protocoles de niveau 4 (TCP ou
UDP) et en particulier les numéros de port.
Si une translation statique ou dynamique simple est mise en œuvre, le numéro de port n’est
pas modifié, donc aucun impact ne se fait ressentir pour le VPN. Mais pour une translation
NAPT (Network Address Port Translation), les tunnels basés sur ESP, avec un dispositif de
translation d’adresses en aval, ne peuvent fonctionner car un en-tête IP standard est suivi de
l’en-tête du protocole de niveau 4(TCP ou UDP) où est situé le numéro de port à modifier.
IPSec insère un nouvel en-tête entre les deux.
Pour changer le numéro de port, il faudrait que le dispositif de translation sache qu’il a à
faire à une trame IPSec et en plus les numéros de ports utilisés par les protocoles de niveau 4
sont couverts par la protection en intégrité et/ou en confidentialité.
La première solution pour résoudre tous ces problèmes de NAT est de ne pas utiliser cette
technologie entre des équipements utilisant IPSec. La deuxième solution repose sur
l’encapsulation dans une trame UDP de chaque trame IPSec émise.
L’architecture définie doit être maintenant mise en œuvre dans le cadre d’une maquette ou
d’un pilote pour valider l’interaction entre les composants. Il s’agit alors de faire cohabiter
les composants de la nouvelle architecture avec ceux de l’ancienne. Ces tests se feront par le
biais d’un groupe pilote.
- Tester que le VPN peut être configuré en accord avec la stratégie de sécurité de
l’entreprise.
- Tester que le VPN supporte tous les mécanismes d’authentification et d’autorisation
déjà en cours d’utilisation.
- Tester que le VPN peut produire et distribuer efficacement les clés. Permettre aux
utilisateurs distants et aux succursales de participer aux réseaux de l’entreprise.
- Au sortir des tests, l’on doit connaître le protocole de tunneling, l’algorithme de
chiffrement, la longueur de la clé, etc. On pourra ainsi dimensionner les ordinateurs
et autres équipements qui seront utilisés pour le système final.
Nous vous avons démontré les étapes de mise en œuvre d’un VPN. Nous allons poursuivre en
mettant en pratique les éléments mentionnés ci-dessus. La partie qui va suivre est
l’aboutissement pratique de tout ce que nous avons mentionné au préalable.
Nous allons maintenant établir une connexion VPN site à site à l’aide de trois routeurs CISCO
IOS CLI et un Switch selon la figure ci-dessous. Nous allons également faire un Loopback,
qui est une méthode permettant de se connecter sur la machine locale exactement comme s’il
s’agissait d’une machine distante. Cela permet de tester et d’employer un logiciel client-
serveur sur une seule machine.
3. Choix du matériel
Cette architecture montre globalement le réseau informatique de deux sites que nous mettrons
en place dans le cas de VPN site à site.
Pour faciliter la configuration, nous avons créé une architecture simplifiée ou de test. En effet,
cette architecture est composée de deux VLAN (10 et 20). Les deux routeurs R0 et R1
constituent des bordures des réseaux (système autonome). Le protocole eBGP sera configuré
et les ACL viendront renforcer la sécurité des échanges.