Cours VPN

Enseignante: Zeineb HLOU

Mail : zeineb.hlou@edu.isetcom.tn

ANNEE UNIVERSITAIRE 2024/2025

Plan

1 2 3 4
Les différents
PPP GRE PPTP
protocoles
intervenants dans un
échange VPN

5 6 7
L2F L2TP IPsec
Les différents protocoles intervenants dans un échange VPN

Le protocole «porteur » utilisé (Carrier Protocol)

Le protocole d’un réseau existant permettant d’acheminer des informations.

Exemples: PPP/IP/TCP/HTTP, ATM.

Le protocole d’encapsulation (Tunneling Protocol)

Le protocole qui est ajouté pour encapsuler les données de L’utilisateur en les sécurisant  le protocole qui réalise les
objectifs d’un VPN en termes de sécurité.

Exemples: GRE, PPTP, etc.

Le protocole transporté

Le protocole utilisateur que l’on souhaite acheminer.

Exemples : IPX, Netbios, etc.

PPP
Le protocole PPP (Point-to-Point Protocol)
PPP est un protocole de liaison (synchrone ou asynchrone) point à point inspiré d’HDLC (High-Level Data Link Control).

PPP a été conçu pour envoyer des données sur des connexions d’accès à distance ou point à point.
Connexion entre R ou entre Hote et un R

Configuration des liaisons et vérification de leur qualité

Multiplexage des protocoles réseau

Controle de la configuration des liaisons

Trois phases principales
Négociation d’options (@ couche 3, compression ...etc)

Possibilité d’attribution dynamique des @ de couche 3 Authentification

1 2 3

Établissement de Configuration du protocole de

liaison la couche réseau.
Les services du protocole PPP
La version initiale de PPP(RFC 1661) propose l’exécution d’un mécanisme d’authentification de façon optionnelle après la phase 1.

L’authentification est demandée par E à travers une requête LCP à la fin de la phase d’établissement de la liaison.

Deux protocoles d’authentification de base sont définis:

Password Authentication Protocol (PAP)

Challenge Handshake Authentication Protocol (CHAP)

Une extension est définie:

Extensible Authentication Protocol (EAP)

Le chiffrement peut être négocié après l’authentification:

Encryption Control Protocol (ECP)

PPP DES Encryption Protocol (DESE)
PPP Triple DES Encryption Protocol (3DESE

La compression : Compression Control Protocol (CCP) et des algorithmes de compression.

Phase 1: Etablissement d’une liaison PPP

1. PPP utilise le protocole LCP (Link Control Protocol) pour:

Etablir, maintenir et terminer la connexion physique.

2. Pendant la phase LCP initiale

Sélection des options de communications de base.

 Phase 1: Etablissement d’une liaison PPP

1. Le nœud d’origine envoie des trames LCP pour configurer et établir la liaison.
2. Négociation des paramètres de configuration grâce au champ d’option des trames LCP (MTU, compression, authentification, etc.). Ces options
peuvent donc être explicite (Indiquées dans les trames LCP) ou implicites (Utilisation des valeurs par défaut).
3. Fin de cette phase par l’émission et la réception d’une trame LCP d’accusé de réception de la configuration

Ex. : MRU (Maximum Receive Unit): Correspond à la longueur max de la trame.

Si inférieur à MRU, insertion des données de bourrage.
Phase 2: Authentification

1. Principe

L’ordinateur du client envoi les paramètres d’authentification au serveur d’accès à distance.

2. Intérêt de l’authentification:

Assurer une protection contre les attaques par réémission (dépend de la technique utilisée).
S’assurer de l’identité des entités communicantes.

3. Différentes méthodes d’authentification:

Password Authentication Protocol (PAP),

Challenge Handshake Authentication Protocol (CHAP)
Microsoft Challenge Handshake Authentication Protocol (MS-
CHAP).
Phase 2 – Authentification-Protocole PAP

Définit en 1992 dans le RFC 1334.

Un protocole d’authentification simple:

Authentification auprès du NAS par un nom d’utilisateur/mot de passe.

Le NAS connait le mot de passe de l’entité qui demande d’être authentifiée (E).
E envoi un message « authenticate-request » contenant l’identifiant (ID) et le mot de passe.
Le NAS vérifie si les paramètres fournis sont corrects et répond avec un « authenticate-ack » ou un « authenticate-nack »

Schéma d’authentification non sécurisé.

Possibilité de capture de mot de passe par un tiers.

Aucune protection contre les attaques de rejeu.
Phase 2 – Authentification- Protocole PAP

Définit en 1992 dans le RFC 1334.

Un protocole d’authentification simple:

Authentification auprès du NAS par un nom d’utilisateur/mot de passe.

Le NAS connait le mot de passe de l’entité qui demande d’être authentifiée (E).
E envoi un message « authenticate-request » contenant l’identifiant (ID) et le mot de passe.
Le NAS vérifie si les paramètres fournis sont corrects et répond avec un « authenticate-ack » ou un « authenticate-nack »

Schéma d’authentification non sécurisé.

Possibilité de capture de mot de passe par un tiers.

Aucune protection contre les attaques de rejeu.
Phase 2 – Authentification -Protocole CHAP
Challenge qui authentifie l’utilisateur auprès du NAS.
1. Le NAS envoie à E un "challenge" crypté avec un « secret partagé

2. E répond avec une valeur calculée en utilisant une fonction de hachage (MD5) le tout crypté avec le "secret partagé".

3. Le NAS vérifie la réponse avec son propre calcul du hach prévu. Si les valeurs concordent, la connexion est établie.

A des intervalles aléatoires, le NAS envoie un nouveau "challenge" à E, et répète les étapes 1 à 3.
--> Protection contre les attaques de rejeu

Authentification basée sur un "secret partagé" dérivé d'un mot de passe stocké “en clair” sur le NAS.

Amélioration % à PAP:

Le mot de passe en texte clair n’est pas envoyé sur la liaison.

Amélioration % CHAP --> MS-CHAP: authentification mutuelle des pairs.
 Phase 3: Configuration du protocole de
la couche réseau

1. Dès l’établissement de liaison, le protocole NCP (Network ControlProtocol) permet de négocier certains paramètres de niveau réseau.

Exemples: Affectation des adresses IP, compression d’entête, etc.

2. Les équipements PPP envoient des paquets NCP (Network ControlProtocol) pour choisir et configurer un ou plusieurs
protocoles de la couche réseau (tel que IP).

Choix du protocole, assignation d’une @IP au client, envoie des datagrammes de chaque protocole sur la liaison.
--> Protection contre les attaques de rejeu

Authentification basée sur un "secret partagé" dérivé d'un mot de passe stocké “en clair” sur le NAS.

Amélioration % à PAP:

Le mot de passe en texte clair n’est pas envoyé sur la liaison.

Amélioration % CHAP --> MS-CHAP: authentification mutuelle des pairs.
PPP – Transfert des données
1. Format des trames PPP

Exemples: Affectation des adresses IP, compression d’entête, etc.

2.Besoin: transporter sur une même liaison des blocs d’information issues de protocoles de niveau supérieur différents
Solution :
un champ identifiant le protocole transporté (2 octets)..

Le format et la signification des champs de la trame sont similaires à ceux d’HDLC, excepté le nouveau champ
(Protocole).

Protocole: permet le multiplexage de différents flots de messages associés à des protocoles différents associés à
PPP.

Exemples de valeurs: IP --> 0x0021, LCP --> 0xC021, etc.

Récapitulatif sur PPP et ses sous protocoles
PPP avec l’authentification PAP
PPP avec l’authentification PAP
PPP avec l’authentification PAP
PPP avec l’authentification CHAP
GRE