Faculté des Sciences de Bizerte (FSB)

Université de Carthage

Sécurité dans les Réseaux

M1 INFO
TECHNIQUES VPN

Nizar Ben Neji

nizar.benneji@fsb.rnu.tn

2015 / 2016
 Besoin du VPN
VPN d’accès: autoriser des utilisateurs nomades à accéder au réseau de
l’entreprise (responsable en déplacement, agent sur terrain, télétravailleur, …) pour
utiliser les différents services du réseau local, accéder à la messagerie, exploiter des
outils de travail collaboratif, …
Intranet VPN: relier plusieurs sites distants à travers un réseau publique pour
partager des données et des ressources, exploiter des serveurs distants, … (moins
couteuse que d’avoir des liaisons spécialisées (LS) entre les divers sites).
Extranet VPN: ouvrir le réseau de l’entreprise pour les partenaires, clients,…

Nizar Ben Neji 1

 Principe du VPN
Réseau VPN s’agit d’un réseau privé virtuel construit par-dessus un réseau public
(Internet).
Etablissement d’un tunnel ou encore un chemin virtuel après une
authentification de l’émetteur et du destinataire pour faire circuler les informations
d’une manière chiffrée de bout en bout avec un contrôle d’intégrité:
― Authentification garantit qu'a chaque instant de la communication, on parle
au bon interlocuteur.
― Chiffrement est utilisé dans le contexte du VPN pour garantir la
confidentialité des données circulant sur le réseau publique.
― Contrôle d’intégrité garantit que les données transmises entre les
interlocuteurs n'ont pas été modifiées d’une manière ni accidentelle ni
volontaire.
― Tunneling consiste à faire transiter un protocole par l’intermédiaire d’un
autre. Le protocole de tunneling assure l’encapsulation, la transmission et la
désencapsulation des données.

Nizar Ben Neji 2

 Types de VPN
SSH (7) Application
(6) Présentation
(5) Session
SSL / TLS (4) Transport
IPSEC (3) Réseau
PPTP, L2F, L2TP avec PPP (2) Liaison
(1) Physique

SSH: Secure Shell

SSL/TLS: Secure Sockets Layer/Transport Layer Security
IPSEC: Internet Protocol Security
PPP: Point-to-Point Protocol
PPTP: Point-to-Point Tunneling Protocol
L2F: Layer 2 Forwarding
L2TP: Layer Two Tunneling Protocol
Nizar Ben Neji 3
 Tunneling niveau 2
Point to Point Protocol (PPP)
Les protocoles de tunneling PPTP, L2F et L2TP sont basés sur le Protocole Point à
Point (PPP) qui permet d'établir une connexion de type liaison entre deux hôtes.
PPP est un protocole qui permet de transférer des données sur un lien synchrone
ou asynchrone.
― PPP est full duplex et garantit l'ordre d'arrivée des paquets.
― Il encapsule les paquets IP, IPX et Netbeui dans des trames PPP, puis
transmet ces paquets encapsulés sur la liaison point à point.

Nizar Ben Neji 1

 Tunneling niveau 2
Point to Point Tunneling Protocol (PPTP)
PPTP est un protocole propriétaire conçu par Microsoft décrit par la RFC 2637.
PPTP est implémenté nativement sur les machines Windows depuis Windows
2000. Toute machine Microsoft est donc capable de mettre en place un tunnel PPTP
avec une machine distante support le protocole PPTP (il est possible d’établir un VPN
PPTP dans un environnement hétérogène).
PPTP est basé sur le protocole point à point (PPP) qui permet d'établir une
connexion de type liaison entre deux hôtes. PPTP permet d’encapsuler et de
transmettre des trames PPP sur un réseau IP.
PPTP ouvre deux canaux de communication entre le client et le serveur:
― Canal de contrôle pour la gestion du lien, qui consiste en une
connexion TCP sur le port 1723 du serveur.
― Canal de données transportant les données du réseau privé et utilisant le
protocole IP.
PPTP utilise Internet comme réseau de distribution. Il utilise le protocole GRE
(Generic Routing Encapsulation) comme canal de données car IP n’est pas fait pour
encapsuler les trames PPP.

Nizar Ben Neji 2

 Tunneling niveau 2
Structure d’un paquet PPTP contenant un datagramme IP

GRE consiste en l’ajout d’un en-tête qui

contient les informations relatives au tunnel

Nizar Ben Neji 3

 Tunneling niveau 2
Sécurité avec PPTP
PPTP n’offre pas un service de sécurité. C’est le protocole encapsulé (PPP) qui
fournit ce service.
Le flux PPP encapsulé peut être chiffré, authentifié et compressé à l'aide des
mécanismes standard de PPP, auxquels on peut ajouter:
― L'authentification MS-CHAP (MS Challenge-Handshake Authentication
Protocol) existe en deux versions. La version 1 est définit dans la RFC 2433 et
la version 2 est décrite par la RFC 2759. Elle est basée sur les mots de passe,
PAP (Password Authentication Protocole).
― L’authentification EAP-TLS (Extensible Authentication Protocol - Transport
Layer Security, définit par la RFC 5216, basée sur les certificats
électroniques.
― Le chiffrement MPPE (Microsoft Point-to-Point Encryption) utilisant
l’algorithme de chiffrement symétrique RC4 (40bits, 56bits et 128bits), décrit
dans la RFC 3078. Le chiffrement se fait au moyen de clés de chiffrement
générées à partir du processus d’authentification.
― La compression MPPC (Microsoft Point-to-Point Compression) basé sur
l’algorithme de compression Lempel-Ziv, décrit dans la RFC 2118.

Nizar Ben Neji 4

 Tunneling niveau 2
Layer Two Forwarding (L2F)
L2F est un protocole de tunneling de niveau 2 propriétaire développé par Cisco
Systems et décrit dans la RFC 2341.
L2F est similaire au Microsoft PPTP et il a été conçu spécialement pour
encapsuler PPP.
L2F permet à un serveur d’accès distant de véhiculer le trafic sur PPP et transférer
ces données jusqu’à un serveur L2F (routeur). Ce serveur L2F désencapsule les
paquets et les envoie sur le réseau.
Il faut noter que contrairement à PPTP, L2F n’a pas besoin de client.

Nizar Ben Neji 5

 Tunneling niveau 2
Layer Two Tunneling Protocol (L2TP)
L2TP est définit par l’IETF (Internet Engineering Task Force) et il est une
combinaison du Cisco L2F et de Microsoft PPTP et il est décrit par la RFC 2661.
Il est généralisé pour transporter n'importe quel protocole de niveau 2 avec
L2TPv3 décrite dans la RFC 3931.
Ce protocole est souvent utilisé pour créer des VPN sur Internet, dans ce cas,
L2TP transporte des trames PPP dans des paquets IP.
Transport des connexions se fait grâce à des tunnels IP/UDP (port UDP utilisé est
1701).

Nizar Ben Neji 6

 Tunneling niveau 3
IPSec (Internet Protocol Security)
IPSec agit au niveau de la couche réseau et il est un complément pour IPv4 et
IPv6 et qui intègre des notions essentielles de sécurité au datagramme IP assurant
l’authentification de l’émetteur, l’intégrité et la confidentialité des données et l’anti-
rejeu.
La position de l’IPSec dans les couche basse du modèle OSI lui permet donc de
sécuriser tout type d'applications et protocoles réseaux basée sur IP.
La mise en place d'une architecture sécurisée à base d'IPsec est détaillée dans
la RFC 4301
L’IPSec est basé sur deux mécanismes qui peuvent être utilisés seuls ou combinés
qui sont:
― AH (Authentication Header)
― ESP (Encapsuling Security Payload)
Les clés de sessions utilisées pour le chiffrement sont des clés symétriques qui
peuvent être échangées d’une manière manuelle ou d’une manière asymétrique.

Nizar Ben Neji 7

 Tunneling niveau 3
Fonctionnement de IPSec
Lors de l'établissement d'une connexion IPsec, les opérations qui seront
effectuées sont:
― Échange des clés:
un canal d'échange de clés, sur une connexion UDP depuis et vers le port
500 va être établit. Le protocole IKE (Internet Key Exchange) est chargé de
négocier la connexion et il est utilisé pour authentifier les deux extrémités
du tunnel soit par:
₋ PSK (Pre-Shared Key ou secret partagé)
₋ Certificats électroniques
IPsec utilise une association de sécurité (Security association) pour dicter
comment les parties vont faire usage de AH et de l'encapsulation de la
charge utile d'un paquet.
Une SA peut être établie manuellement ou par ISAKMP (Internet Security
Association and Key Management Protocol) qui est définit pour établir,
négocier, modifier et supprimer des SA entre deux parties.
― Transfert des données:
Un ou plusieurs canaux de données par lesquels le trafic du réseau privé est
véhiculé et deux protocoles peuvent être utilisé: AH et ESP
Nizar Ben Neji 8
 Tunneling niveau 3
Fonctionnement de IPSec
Le protocole AH (Authentication Header) fournit l'intégrité et
l'authentification. AH authentifie les paquets en les signant, ce qui assure l'intégrité de
l'information. Une signature unique est créée pour chaque paquet envoyé et empêche
que l'information soit modifiée.
Le protocole ESP (Encapsulating Security Payload), en plus de l'authentification et
l'intégrité, fournit également la confidentialité par le chiffrement.

Nizar Ben Neji 9

 Tunneling niveau 4
VPN SSL
Les VPN SSL permettent d’accéder à distance aux ressources d’un intranet (le
réseau privé d’une entité) soit depuis un autre intranet, soit depuis un équipement
isolé en simulant des requêtes HTTPS. Les ressources peuvent être des serveurs
(applications Web, partage de fichiers, accès Telnet...) ou des sous-réseaux IP.
L’utilisation de HTTPS permet d’être transparent vis-à-vis des infrastructures
existantes:
― les pare-feu sont généralement configurés pour laisser passer les flux TCP sortant sur
le port 443 ;
― les NAPT (Network Address Port Translation) laissent sans problème les flux TCP
sortant les traverser. À noter que les NAPT ont pour objectif de convertir un ensemble
d’adresses sources en une seule adresse source : toutes les machines d’un réseau
privé sont vues comme une seule machine ;
― les serveurs mandataires (ou Web proxy) peuvent être traversés par les requêtes
HTTPS

Nizar Ben Neji 10

 Tunneling niveau 7
SSH
Un tunnel SSH consiste à encapsuler un flux applicatif (une application
quelconque) dans un tunnel SSH. L’intérêt peut-être de:
― sécuriser un flux qui naturellement ne l’est pas (pour le faire passer en
dehors de votre réseau local par exemple)
― accéder à des applications auxquelles vous n’avez pas accès depuis la
machine sur laquelle vous travaillez. Prenons l'exemple d'un réseau local qui
ne peut accéder à internet que sur le port 80.
― simuler un proxy à un protocole afin de garantir un chiffrage est un accès
réel limité à un serveur

Nizar Ben Neji 11