NIVEAU : 3iéme Année TC

THEME :
1

1
Merci beaucoup la groupe suptechnology vous avez ressuscité ma vie
 2

REMERCIEME
Je tiens à remercier toutes les personnes qui ont contribué au succès de mon stage et qui m’ont
aidée lors de la rédaction de ce mémoire.
Je voudrais dans un premier temps remercier, mon directeur de l’école Dr. Abdelaziz

DOUKKALII, Professeur de l'Enseignement Supérieur Doctorat des Sciences de l'Ingénieur de

l'Institut National des Télécommunications, Université d'Evry, 1993 et il est fondateur aussi, pour

sa patience, sa disponibilité et surtout ses judicieux conseils, qui ont contribué à alimenter ma

réflexion.

Je remercie également toute l’équipe pédagogique de l’université de Suptechnology et les

intervenants professionnels responsables de ma formation, pour avoir assuré la partie théorique

de celle-ci.

Je tiens à témoigner toute ma reconnaissance aux personnes suivantes, pour leur aide dans la

réalisation de ce projet fin d'année :

Madame Pascal Leyla qui m’a beaucoup appris sur les défis à relever dans le monde des

affaires. Elle a partagé ses connaissances et expériences dans ce milieu, tout en m’accordant sa

confiance comme son fils de m'adopter et une large indépendance dans l’exécution de missions

valorisantes.

Messieurs Othmane Anys & Dr. Najib EL KAMOUN, pour m’avoir accordé des entretiens et

avoir répondu à mes questions sur la culture du monde des affaires, ainsi que leur expérience

personnelle. Ils ont été d’un grand soutien dans l’élaboration de ce projet.

Madame ASMA, pour avoir relu et corrigé mon projet. Ses conseils de rédaction ont été très

précieux.

Mes parents adoptifs( la famille GIUSTO), pour leur soutien constant et leurs encouragements.
 3

SOMMAIRE
Introduction generale………………………………………………………….……………7
Section I : GENERALITES SUR LES RESEAUX VPN………………………….………8
ChapitreI : RESEAUX VPN …………………………………………….............................9
I.2. Définition VPN et conceptualisation …………………………………………………..9
1.3.Objectifs et caractéristiques des VPN…………………………………………..……..10
I.3. Fonctionnement……………………………………………………….……………….10
I.4. Avantages et Inconvénients de VPN……………………………….…………….........11
A. quelles sont les Avantages ? & Sécurité………………………………………………..12
B. Quelles sont les inconvénients ?& la baisse de vitesse………..…………………..........13
I.5. Quelles sont les différents types de VPN(Suivant le besoin, on réfère 3types de
VPN) ?...................................................................................................................................15
A ) VPN PPTP……………………………………………………………………………...16
B) VPN Site-to-Site……………………………………………………………...………….18
C) L2TP VPN……………………………………………………………………...………..18
D )IPsec(protocole de sécurité internet)…………………………………………………….18

1.6.Processus d'établissement d'une connexion……………..………………...…………….31

1.7.Comparaison des différents protocoles…………………………………………………..33

1.8.Caractéristiques physiques des réseaux…………………………………………………..35

1.9.Caractéristiques logiques des réseaux………………………….…………………………37

A. Modèle de référence OSI………………………………………..…………………………38

B.Modèle de référence TCP/IP…………………………………….…………………………39

C.Comparaison entre les modèles……………………………………………………………40

D.SSL et TLS…………………………………………………………………………………40

E) MPLS VPN……………………………………………………………………………..…40

1.10 .Tunnels ………………………………………………………………………………...42

A. Principe de fonctionnement ……………………………………………………………..42
B.Différents protocoles………………………………………………………………………42
 4

C.Caractéristiques fondamentales d'un VPN………………………………….…………44

D.Point-to-Point Tunneling Protocol………………………………………….…………..45

1.11. Comment fonctionne un VPN ?......................................................56

1.12. Protocole PPP………………………………………………………………….............57
1.13. VPN PPTP……………………………………………………………………………..57
1.14. Protocole L2TP………………………………………………………………………..58
1.15. Protocole IPsec………………………………………………………………………..59
1.16. Les Réseaux Privés Virtuels avec Multi Protocol Label Switching (VPN
MPLS)………………………………………….……………………………………..…….62
1.17. Comparaison entre IPSec et MPLS………………………………………………….63
1.18. Topologie de VPN…………………………………………………………………….65
1.19. Topologie point à point…………………………………………………....................65
1.20. Topologie en Etoile……………………………………………………....................66
1.21. Topologie VPN en Maillé………………………………………………..................67
1 .22. Fonction hachage & certification……………………………………….....68

1 .23. Conditions à satisfaire………………………………………………68

1.23. Conclusion……………………………………………………………………..........68
1.24. Hachage par compression………………………………………………...68
1.25.Signature numérique.....................................................................................69

1.26. Utilisation de signature numérique...........................................................70

1.27. Certificat de clé publique........................................................................70

1.28. Hachage en pratique...............................................................................71

1.29.Rupture dans la chaîne............................................................................72

 5

Chapitre II : DMVPN
INTRODUCTION
Section II : PRESENTATION DU DMVPN
2.1.LES COMPOSANTS ET

2.2.TERMINOLOGIES LES MODELES DE

2.3.DEPLOIEMENT AVANTAGES DU

2.4.DMVPN IMPLEMENTATION
 Liste des Figure
Figure 1: Principe de fonctionnement de
VPN………………………………………………..11
Figure 2: Avantage sur le plan sécuritaire de
VPN……………………………………………14
Figure 3: Avantage anonymat en ligne de VPN………………………………………………15
Figure 4 : VPN Site-to-Site ………………………………………………………….…….17
Figure 5 – Exemple d’emploi d’IPsec dans le cas d’un
VPN…………………………………19
Figure 6 – Exemple d’emploi d’IPsec entre sites distants…………………………………20
Figure 7 – Exemple d’emploi d’IPsec avec un équipement intermédiaire. ………………21
Figure 8 – Exemple d’emploi d’IPsec avec deux équipements intermédiaires. ………….21
Figure 9 – Exemple d’emploi d’IPsec de point à point………………………………………21
Figure 10 – Utilisation d’ESP en mode
transport……………………………………………..24
Figure11 – Utilisation d’AH en mode transport ……………………………………………..25

Figure 12 – Utilisation d’ESP en mode tunnel.

………………………………………………..25

Figure 13 – Utilisation d’AH en mode tunnel………………………………………………26

Figure 14: Processus d'établissement d'une connexion…………………………………….33

Figure 15 : tunnel……………………………………………………………………………41
Figure 16 : Client et serveur ……………………………………………………….43
Figure 17 : Fonction des PVN ………………………………………………………43
Figure 18 : Département du réseau VPN…………………………………………………………...44
Figure 19 : IP datagram Containing Encrypted PPP packet as created by PPTP…………….51
Figure 20 : L'utilisateur (mobile) utilise le tunnel L2TP créé à travers internet pour se relier au
réseau privé………………………………………………………………………………….53
Figure 21 : Protocole Lightway……………………………………………………………...57
Figure 22 : Protocole PPTP………………………………………………………………….59
Figure 23: Protocole L2TP……………………………………………………………………60
Figure24 : IPsec VPN………………………………………………………………………...61
Figure 25: Architecture d'un coeur du réseau MPLS……………………………………….63
Figure 12: Topologie VPN en Etoile………………………………………………………...67

VIRTUEL PRIVATE NETWORK p. 6

 ABREVIATION
AH Authentification Header : protocole faisant partie de la suite IPsec, cf 6.1.1.
ESP Encapsulation Security Payload : protocole faisant partie de la suite IPsec, cf 6.1.2.
IKE Internet Key Exchange : protocole d’échange de clés, cf 6.4.3.
VPN Virtual Private Network : réseau privé virtuel.
IETF Internet Engineering Task Force : organisme à l’origine des standards Internet.
RFC Request for comments : documents émanant de l’IETF, tels que les standardisations de
protocoles.
NAT Network Address Translation : mécanisme de traduction d’adresses réseau.
TLS Transport Layer Security : protocole de sécurisation en couche applicative.
SSL Secure Socket Layer : version obsolète de TLS. LS Liaison spécialisée.
MPLS Multiprotocol Label Switching : protocole fonctionnant par commutation de labels, utilisé
notamment dans les offres de type « IP-VPN ».
RGS Référentiel général de sécurité : document disponible sur www.ssi.gouv.fr/rgs.
MTU Maximum Transmission Unit : taille maximale d’un paquet pouvant être émis ou reçu sur une
interface réseau.

VIRTUEL PRIVATE NETWORK p. 7

 INTRODUCTION GENRALE
A l’heure où la mobilité est un argument dans le domaine professionnel, il est nécessaire de
pouvoir travailler pour son entreprise à n’importe quel endroit du monde.
Pour des raisons évidentes de sécurité, toutes les informations indispensables à une entreprise
ne peuvent pas être stockées sur un serveur accessible publiquement depuis internet. Elles ne
sont donc théoriquement pas accesssibles depuis un réseau extérieur à celui de l’entreprise.
Un commercial en déplacement ne peut donc pas accéder aux informations de son entreprise
si il est en déplacement à l’autre bout du monde ou non connecté au réseau de l’entreprise.
Pour remédier à ce problème, la technologie VPN (Virtual Private Network) a été mise en
place afin contrer ce problème de sécurité et de permettre à un utilisateur n’étant pas connecté
à un réseau interne de pouvoir quand même y accéder en totalité ou en partie au travers d’un
reseau public (cf Internet).
Le principe du VPN est relativement simple, il a pour but de créer au travers d’un réseau
public (et par conséquent non sécurisé) un tunnel crypté permettant de faire transiter des
données jusqu’à un réseau privée disposant d’une connexion internet.
Pour envoyer des données au travers de ce tunnel, les 2 protagonistes (le commercial et
l’entreprise par exemple) doivent se mettre d’accord sur l’algorithme de cryptage utilisé. Le
commercial envoie ensuite ses données cryptées et éventuellement signées (pour rajouter une
sécurité supplémentaire) dans le tunnel.
Ces données sont reçues par le serveur VPN de l’entreprise qui va les déchiffrer et vérifier
leur intégrité.
Si un utilisateur récupérait les paquets transmis entre les 2 protagonistes, il ne trouverait que
des paquets chiffrés et donc inexploitables sans avoir l’algorithme pour les déchiffrer.
L’opération inverse se déroule lorsque les informations transitent du réseau de l’entreprise
vers le commercial.

VIRTUEL PRIVATE NETWORK p. 8

SECTION I : GENERALITES SUR LES RESEAUX VPN
Les systèmes d’information adoptent généralement aujourd’hui une architecture distribuée.
Les différentes briques logicielles et matérielles qui les composent sont de plus en plus
communicantes, non seulement entre elles mais également avec des systèmes d’information
distants et à travers l’internet. La montée en puissance de l’informatique en nuage et de
l’externalisation ne font qu’accélérer cette tendance. Tout comme ces différentes briques
peuvent être critiques pour un système d’information, les flux de communication entre elles
peuvent l’être également. Ces flux regroupent de nombreuses informations sensibles (données
d’authentification, informations métier confidentielles, commandes de pilotage d’installations
industrielles, etc.).
L’interception ou l’altération de ces informations par des individus potentiellement
malveillants représentent des risques non négligeables dans un contexte où les cyberattaques
sont de plus en plus nombreuses et sophistiquées. La protection de ces flux sensibles est alors
primordiale. Force est pourtant de constater que cette problématique n’est pas toujours bien
appréhendée, et que de nombreux flux réseau sensibles ne sont pas protégés comme ils le
devraient. IPsec est une suite de protocoles de communication sécurisée permettant la
protection des flux réseau. Elle est éprouvée mais souvent mal maîtrisée et reste encore trop
peu ou mal employée.

VIRTUEL PRIVATE NETWORK p. 9

CHAPITRE I : RESEAUX VPN
Sans contrainte les réseaux informatiques entre dans le clan du monde habituel, aujourd'hui
l'Internet devient l'outil principale de la communication, très élevé par sa technique, l'Internet
en tant qu'un outil de communication les données y transit en claire, c'est-à-dire d'une manière
moins sécurisée, ainsi les données et les paramètres qui doivent être en mode confidentiel sont
acheminés d'une manière accessible à tous, ceux qui constitue un danger, car c'est là où transit
des logiciels(pirates et autres) de plus en plus critique.
On parle de la sécurité en faisant allusion aux attaques des pirates, virus, cheval de Trois, vers,
etc... ils profitent des faillent des protocoles, du système, mais surtout du fait que le réseau
n'est pas dans une optique « sécurité », l'Internet dans son contexte n'a pas la vocation d'être
une zone sécurisée, les données circulent à nues, on a recours à des algorithmes de cryptage,
pour garder nos données confidentielles.
I.2. Définition VPN et conceptualisation
VPN est une réponse à la question de la communication pour laquelle les infrastructures de
transport sont partagées entre plusieurs sites : on fait appel au réseau privé virtuel en anglais
Virtual Private Network ou VPN.
Un VPN est un réseau privé qui utilise un réseau publique comme backbone
Seuls les utilisateurs ou les groupes qui sont enregistrés dans ce vpn peuvent y accéder.
Les données transitent dans un tunnel après avoir été chiffrées.
Tout se passe comme si la connexion se faisait en dehors d'infrastructure d'accès partagé
comme Internet.
Il est privé parce qu'il est réservé à un groupe d'usagers qui sont déterminés par
authentification, les données sont échangées de manière masquée aux yeux des autres par
cryptage des données; Il est virtuel parce qu'il se base essentiellement sur les lignes partagées
et non dédié.
GRE, souvent remplacé par L2TP, développé par Cisco.
PPTP (Point-to-Point tunneling Protocol) est un protocole de niveau 2 développé
par Microsoft, 3Com, Ascend, US Robotics et ECI Telematics.
L2F (Layer Two Forwarding) est un protocole de niveau 2 développé par Cisco
Systems, Nortel et Shiva. Il est désormais quasi-obsolète.
L2TP (Layer Two Tunneling Protocol) est l’aboutissement des travaux de l'IETF (RFC 3931)
pour faire converger les fonctionnalités de PPTP et L2F. Il s’agit ainsi d’un protocole de
niveau 2 s’appuyant sur PPP.
IPsec est un protocole de niveau 3, issu des travaux de l’IETF, permettant de transporter des
données chiffrées pour les réseaux IP.
SSL/TLS offre une très bonne solution de tunnelisation. L’avantage de cette solution est
d’utiliser un navigateur Web comme client VPN.

VIRTUEL PRIVATE NETWORK p. 10

SSH, initialement connu comme remplacement sécurisé de telnet, offre la possibilité de
tunneliser des connexions de type TCP, permettant d’accéder ainsi de façon sûre à des
services offerts sur un réseau protégé, sans créer un réseau privé virtuel au sens plein.
Toutefois, depuis sa version 4.3, le logiciel OpenSSH permet de créer des tunnels entre deux
interfaces réseau virtuelles au niveau 3 (routage du seul trafic IP, interfaces TUN) ou au
niveau 2 (tout le trafic Ethernet, interfaces TAP). Toutefois, OpenSSH ne gère que la création
de ces tunnels, la gestion (routage, adressage, pontage, etc …), c’est à dire la création du VPN
utilisant ces tunnels, restant à la charge de l’utilisateur.
VPN-Q : La mise en quarantaine des connexions permet d’isoler un utilisateur authentifié et
d’inspecter sa configuration pour voir s’il ne présente aucun risque (le cas échéant de le
mettre en conformité - correctifs, antivirus, pare-feu…). Ensuite et seulement s’il est
conforme, il aura accès au réseau interne de l’entreprise. L’ajout de l’inspection du poste
permet de réduire considérablement le risque des attaques contre le VPN. Sur les passerelles
Microsoft ISA Server, la technologie est appelée_VPN Quarantaine_ (VPN-Q).
L’automatisation est réalisée à travers le logiciel QSS (_Quarantine Security Suite_).
Microsoft fournit le service NAP qui permet de faire la même chose également sur les câbles
réseaux (switchs, …) et les accès Wi-Fi sécurisés.
La connexion VPN est intégrée nativement dans la plupart des systèmes d’exploitation qui
supportent le plus souvent les protocoles PPTP et L2TP/IPsec. Il est donc simple sous
Windows XP/Vista et Mac OS X de configurer en quelques secondes une connexion vers un
serveur VPN et il est base par processus d’encapsulation, de transmission et de
désencapsulation.
Consiste à construire un chemin virtuel après avoir identifié l’émetteur et le destinataire.
● La source chiffre les données et les achemine en empruntant ce chemin virtuel.
● Les données à transmettre peuvent appartenir à un protocole différent d’IP.
● Le protocole de tunnelling encapsule les données en rajoutant une entête permettant le
routage des trames dans le tunnel.
1.3.Objectifs et caractéristiques des VPN
Étanchéité du trafic entre les différents réseaux privés virtuels
Sécurité des communications
Confidentialité (chiffrement des données)
Authentification (utilisateurs ou DATA)
Notion de qualité de service
Type best effort dans le cas de simples tunnels créés par l'utilisateur
QOS bien meilleure dans le cadre d'une offre VPN d'opérateur
Coût :
Permet de réduire les coûts liés à l'infrastructure réseau des entreprises par la mise en place
d'une liaison vpn.
I.3. Fonctionnement

VIRTUEL PRIVATE NETWORK p. 11

Un réseau VPN repose sur un protocole appelé "protocole de tunneling". Ce protocole permet
de faire circuler les informations de l'entreprise de façon cryptée d'un bout à l'autre du tunnel.
Les utilisateurs ont l'impression de se connecter directement sur le réseau de leur entreprise.
Le terme « tunnel » est utilisé pour évoquer entre l'entrée et la sortie de VPN les données sont
déjà cryptées et ils sont incompréhensibles pour tout utilisateur qui va se retrouver entre les
deux extrémités du VPN comme les données passent par un tunnel.
Le but d'un réseau privé virtuel (Virtual Private Network ou VPN) est de « fournir aux
utilisateurs et administrateurs du système d'information des conditions d'exploitation,
d'utilisation et de sécurité à travers un réseau public identiques à celles disponibles sur un
réseau privée ». En d'autre terme, on veut regrouper des réseaux privés, séparé par un réseau
public (Internet) en donnant l'illusion pour l'utilisateur qu'ils ne sont pas séparés, et toute en
gardant l'aspect sécurisé qui était assuré par la coupure logique au réseau Internet.
L'ordinateur distant va alors fournir les données au serveur VPN de son réseau local qui va
transmettre la réponse de façon chiffrée. A réception sur le client VPN de l'utilisateur, les
données seront déchiffrées, puis transmises à l'utilisateur. Pour émuler une liaison point à
point, les données sont encapsulées, ou enrobées, à l'aide d'un en-tête qui contient les
informations de routage pour leurs permettre de traverser le réseau partagé ou public jusqu'à
leur destination finale.
Pour émuler une liaison privée, les données sont cryptées à des fins de confidentialité. Les
paquets interceptés sur le réseau partagé ou public restent indéchiffrables sans clé de
décryptage. La liaison servant à l'encapsulation et au cryptage des données privées est une
connexion VPN.
En effet, malgré son aspect sécurisé, un réseau VPN reste une extension du réseau principal
vers chaque employé qui y accède, ce qui augmente d'autant le risque de failles.

Figure 1: Principe de fonctionnement de VPN

Le VPN est mis à disposition par un fournisseur VPN sous forme de logiciel avec une
interface et des options diverses. Un abonnement régulier vous donne accès à la totalité de ses
fonctionnalités.
Sur certains VPN, vous aurez à créer un compte utilisateur. Puis, le fournisseur vous donnera
une clé de cryptage pour que vous et vous seul puissiez décrypter les informations que vous
utilisez.
Une fois que ces formalités sont remplies, vous pouvez vous connecter au VPN, indiquer
votre localisation et surfer en toute intimité.

VIRTUEL PRIVATE NETWORK p. 12

I.4. Avantages et Inconvénients de VPN
Ce réseau virtuel dispose de nombreux avantages :
Les données qui circulent entre votre ordinateur et le serveur privé sont cryptées. De cette
manière, le fournisseur d'accès internet ne peut pas atteindre ces informations qui passent par
votre connexion.
Votre adresse IP est modifiée et vous pouvez ainsi être localisé en France ou à l'étranger. Cela
permet, parfois, de contourner des restrictions géographiques en vigueur sur des contenus.
Pourquoi bénéficier d'un VPN ?
La cybercriminalité est malheureusement grandissante. Pour y faire face, de nombreuses
entreprises, mais également des particuliers, n'hésitent pas à s'équiper de VPN. Les
ordinateurs, les smartphones et même les tablettes peuvent utiliser ce système, pour bénéficier
d'une navigation internet à l'aide d'un serveur séparé.

La cybercriminalité a augmenté de 210 % en 1 an© Clubic

Le gouvernement français a dévoilé les chiffres concernant les personnes victimes de cyber
malveillance en 2019 : quelques 90 000 personnes touchées. Cette cybercriminalité a
augmenté de 210 % en 1 an. Il n'est pas rare de rencontrer, chez les particuliers, un chantage à
la webcam ou un piratage de compte en ligne. Ces menaces font partie des plus récurrentes.
Du côté des professionnels, il est plus souvent question d'hameçonnage ou de piratage de
compte.
Les gens font appel à un VPN pour différentes raisons. Ces réseaux chiffrés sont, la plupart du
temps, employés par des entreprises souhaitant que leurs employés se connectent au réseau
interne à distance, de manière sécurisée. Les particuliers, quant à eux, préfèrent télécharger
illégalement des contenus, sans risques d'être repérés. Mais utiliser un VPN s'avère également
bien utile dans d'autres cas :

VIRTUEL PRIVATE NETWORK p. 13

Renforcer la sécurité d'une connexion WIFI publique (pour un restaurant, un bar, une
bibliothèque, etc.) :
Réussir à accéder à des services en ligne ou des contenus qui sont soumis à certaines
restrictions géographiques (comme pour le catalogue Netflix ou des services bancaires) ;
Sécuriser votre connexion internet si vous devez utiliser des données confidentielles ;
Accéder à internet dans un endroit qui en limite l'accès (comme en Arabie Saoudite ou en
Chine).
C'est d'ailleurs pour cette dernière raison que les VPN sont le plus largement utilisés. Certains
pays limitant leur accès à internet, les gens cherchent à contourner cette restriction.
C'est principalement le cas, en Arabie Saoudite, au Vietnam, en Turquie, aux Émirats arabes
unis ou en Thaïlande. Les communications y étant particulièrement surveillées.
Comment faire le choix d'un VPN ?
Prenez le temps de comparer, de bien évaluer vos besoins et de déterminer comment choisir le
meilleur VPN
le système d'exploitation que vous utilisez (Windows, Mac, etc.) ;
les tarifs du VPN proposés ;
au moment de votre inscription, le fait que l'on enregistre ou non vos données ;
le nombre de serveurs dont le VPN dispose ;
le lieu géographique de ces serveurs ;
la puissance de votre connexion internet ;
le protocole de cryptage des données que l'on vous propose.
Pour que vos informations circulent en toute sécurité, les VPN emploient des clés de
chiffrement. Plus cette clé est longue, plus la sécurité est fiable. La majorité utilise des clés de
chiffrement à 192 ou 256 bits. S'il devait être décodé, ce chiffrement demanderait des milliers
d'années de calcul.
Voici une liste exhaustive des VPN les plus conseillés :
ExpressVPN : VPN très apprécié par ces utilisateurs, pour son interface moderne, facile à
utiliser sur ordinateur, comme sur smartphone. Il possède des serveurs aux quatre coins du
monde.
Cyberghost : possède une interface intuitive, ainsi que beaucoup de serveurs qui séduisent
leurs utilisateurs.
NordVPN : une valeur sûre qui utilise des milliers de serveurs dispersés dans 58 pays. Son
interface est complète et facile à prendre en main.
PureVPN : le VPN hongkongais de la liste. Simple et facile à utiliser.
Ces VPN ont tous un bon rapport qualité/prix. Ils restent fiables, faciles à prendre en main et
sont des valeurs sûres. Il ne vous reste plus qu'à faire votre choix.
A. quelles sont les Avantages ? & Sécurité
De nos jours, les cyberattaques se sont multipliées, y compris envers les particuliers. Ces
derniers ont décidé de s’armer d’une protection efficace comme le VPN pour faire face aux
hackers. En effet, la sécurité est certainement l’atout majeur des VPN et cela explique qu’ils
soient utilisés par autant de personnes.

VIRTUEL PRIVATE NETWORK p. 14

Pour parvenir à vous protéger efficacement, les VPN établissent une connexion chiffrée
entièrement sécurisée entre vous (l’utilisateur) et internet. Les VPN fiables et sérieux, tel
qu’ExpressVPN par exemple, s’appuient sur la technologie AES (Advanced Encryptions
Standard) et des algorithmes de chiffrement très poussés utilisant les clés 256 bits. Si ces
termes vous paraissent un peu techniques, retenez surtout que grâce à cette technique de
chiffrement, vos données sont inaccessibles et illisibles.
Le VPN protège toutes vos activités en ligne et sécurise votre connexion. Vous êtes protégés
contre le vol d’informations confidentielles (identifiants, mots de passe, données bancaire)
mais aussi contre la revente de vos données et de vos historiques de navigation aux
publicitaires.

Figure 2: Avantage sur le plan sécuritaire de VPN

Enfin, il arrive que vous vous connectiez occasionnellement à un réseau Wi-Fi public. Même
s'ils ont le mérite d'être gratuits et pratiques, les réseaux publics ne sont pas sécurisés. C'est le
lieu de nombreux piratage et d'usurpation de données. C'est pourquoi, le VPN constitue une
protection indispensable lorsqu'on se connecte à un Wi-Fi public.
L'anonymat en ligne ?
Certaines personnes ont recours aux VPN pour bénéficier de l'anonymat sur le net.
Effectivement, la confidentialité est un autre point fort des VPN car ils sont capables de
masquer votre adresse IP. Étant donné que l'adresse IP est un moyen d'identifier votre
ordinateur (ou autre périphérique) et votre localisation, le fait de la masquer va vous permettre
de conserver l'anonymat.
Les Réseaux Privés Virtuels parviennent à réaliser cet exploit en réacheminant votre trafic via
un de ses serveurs qui possède une adresse IP différente. Vous obtiendrez alors une nouvelle
adresse IP impossible à retracer et dans la localisation de votre choix.

Figure 3: Avantage anonymat en ligne de VPN

VIRTUEL PRIVATE NETWORK p. 15

Dans la pratique cela veut dire que les sites internet ne seront plus dans la capacité de
déterminer votre emplacement géographique. Les annonceurs ne pourront plus vous proposer
des publicités pour vous inciter à dépenser de l'argent.
En bref, votre vie privée en ligne sera protégée et vous serez entièrement anonyme. ? Le
streaming
Les fans de streaming devraient percevoir leur intérêt dans cet avantage. Si on évoque le
streaming comme avantage du VPN, c'est parce qu'ils permettent d'en profiter intégralement
et sans aucune limite.
Il faut savoir que les contenus audio-visuels font l'objet de nombreuses régulations relatives
aux droits de diffusion. Les contenus sont limités à une certaine zone géographique, souvent à
l'échelle d'un pays, pour des questions de coûts et d'audience. Ainsi, un Congolais qui voyage
en Afrique du sud n'aura pas accès aux chaînes Congolais sur Internet et inversement. Cela est
dû à l'adresse IP, ce numéro d'identification qui détermine votre emplacement géographique.
B. Quelles sont les inconvénients ?& la baisse de vitesse
Vous vous en doutez, un logiciel comme le Virtual Private Network est complexe d'un point
de vue technique et il va forcément impacter sur votre vitesse de connexion. C'est sans doute
un des inconvénients majeurs des VPN. Le ralentissement dont nous parlons est très variable
d'un VPN à un autre.
On constate de grandes différences en termes de vitesses entre les fournisseurs. Certains
parviennent à minimiser ce ralentissement. C'est le cas d'ExpressVPN, le fournisseur qualifié
de plus rapide grâce à une bande passante illimitée. Ses serveurs possèdent des débits
tellement excellents que vous ne verrez pas la différence. Pour preuve, nous oublions souvent
qu'il est connecté. Vous pourrez télécharger, regarder des films et des séries sans attente de
chargement. CyberGhost est également un fournisseur très apprécié pour ses qualités de
rapidité.
Le prix de l'abonnement ?
Voici le second point que beaucoup considèrent comme l'inconvénient des VPN : le prix. En
effet, c'est vrai qu'il faut payer pour obtenir une offre VPN de qualité. Si vous comptiez
télécharger un VPN gratuit pour pallier cet inconvénient du prix, sachez qu'on vous
déconseille de le faire. Ils ne sont pas fiables car ils ne peuvent tout simplement pas
fonctionner sans argent. Les Réseaux Privés Virtuels gratuits n'hésitent pas à revendre les
données des utilisateurs pour pouvoir couvrir leur frais.
Le seul moment où vous pouvez profiter d'un VPN gratuit sans mettre en danger votre
connexion est en utilisant la garantie satisfait ou remboursé des VPN payants. Généralement
la période est de 30 jours, c'est le cas par exemple d'ExpressVPN, de NordVPN et de
Surfshark. Pour CyberGhost, ce délai est allongé à 45 jours. Vous aurez donc tout le temps
qu'il faut pour profiter des avantages sans les inconvénients ! Et qui sait, vous vous rendrez
peut-être compte que quelques dollars par mois valent le coup.

VIRTUEL PRIVATE NETWORK p. 16

I.5. Quelles sont les différents types de VPN(Suivant le besoin, on
réfère 3types de VPN) ?
La plupart d’entre nous sommes d’accord pour dire que nous utilisons internet de façon
quotidienne, que ce soit pour la vie privée ou professionnelle. Jusqu’à présent vous n’avez pas
rencontré de problème de sécurité lors de votre utilisation d’internet. Mais, si on vous disais
que votre internet n’est pas sécurisé ? Vous avez un mot de passe wifi et tout ça, mais
avez-vous un VPN ? Et en avez-vous besoin ?
De manière générale, un VPN, ou Réseau Virtuel privé, est un groupe d’ordinateurs ou de
réseaux discrets mis en place sur un réseau public comme internet. Un VPN sécurise la
connexion internet de votre ordinateur, pour que vous soyez sûr que tout ce que vous recevez
et envoyez soit crypté et caché des regards inquisiteurs.
Premièrement, comment savoir si vous avez besoin d’un VPN ? Pour faire simple, quasiment
tout le monde, des étudiants aux professionnels, en passant par les particuliers qui souhaitent
préserver leur vie privée, devrait avoir un VPN.
Il existe plusieurs types de VPN. Les plus communs sont PPTP VPN, Site-to-Site VPN, L2TP
VPN, IPsec, SSL, MPLS VPN, et Hybrid VPN. Nous parlerons de chaque type de VPN plus
en détail ci-dessous.
A ) VPN PPTP
PPTP VPN signifie Point-to-Point Tunneling Protocol (protocole de tunnel point-à-point).
Comme son nom l’indique, un VPN PPTP crée un tunnel qui capture les données. Son nom
est un peu long pour le plus courant des VPN. Les VPN PPTP sont utilisés par des utilisateurs
éloignés pour se connecter à leur réseau VPN en utilisant leur connexion internet existante. Ce
VPN est utile pour les professionnels et les particuliers. Pour accéder au VPN, les utilisateurs
s’y enregistrent en utilisant un mot de passe pré-approuvé. Les VPN PPTP sont idéaux autant
pour une utilisation privée que professionnelle parce qu’il n’y a pas besoin d’installer de
matériel supplémentaire et leurs fonctionnalités sont habituellement offertes dans un logiciel
peu cher. Les VPN PPTP sont aussi les plus courants grâce à leur compatibilité avec
Windows, Mac et Linux.
Même si les VPN PPTP possèdent de nombreux avantages, ils ont aussi des inconvénients. Le
problème d’un VPN PPTP c’est qu’il n’offre pas de cryptage, ce qui est en général la raison
pour laquelle les gens utilisent un VPN. Un des autres désavantages, c’est qu’il s’appuie sur le
PP, ou le Point-à-point, pour les mesures de sécurité.
Le protocole point à point (PPP) est un protocole de liaison de données assurant l'échange de
données de manière fiable sur une liaison point à point (par exemple, une liaison RTC). Sa
principale caractéristique est, une fois la liaison établie et configurée, de permettre à plusieurs
protocoles de transférer des données simultanément. De ce fait, ce protocole est très utilisé
dans l'environnement de l'internet.
Ce dossier a pour but de donner au lecteur une vision synthétique du protocole PPP en mettant
en relief deux éléments clés :
sa manière permettre à deux ordinateurs de communiquer
son intérêt par rapport aux autres protocoles

VIRTUEL PRIVATE NETWORK p. 17

B) VPN Site-to-Site
Un VPN Site-to-Site (site-à-site) est également appelé Router-to-Router (routeur-à-routeur), et
on l’utilise principalement pour des opérations commerciales. Comme beaucoup d’entreprises
possèdent des bureaux nationaux et internationaux, un VPN Site-to-Site sert à relier le réseau
des bureaux principaux au reste des bureaux. Ce type de VPN est basé sur Intranet. Le
contraire est aussi possible avec les VPN Site-to-Site. Certaines entreprises l’utilisent pour se
connecter à d’autres entreprises, de la même façon, mais on appelle ça un VPN basé sur
Extranet. Dans des termes simples, les VPN Site-to-Site construisent un réseau virtuel qui unit
des réseaux issus de localisations variées pour les connecter à Internet et maintenir des
communications sécurisées et privées entre eux.

Figure 4 : VPN Site-to-Site

VIRTUEL PRIVATE NETWORK p. 18

Tout comme un VPN PPTP, les VPN Site-to-Site créent un réseau sécurisé. Toutefois, il n’y a
pas de ligne dédiée, les autres sites d’une entreprise se connectent pour créer un VPN, comme
mentionné ci-dessus. Contrairement au PPTP, le routage, le cryptage et le décryptage sont
effectués soit par du matériel informatique, soit grâce à un routeur basé sur logiciel situé des
deux côtés.
C) L2TP VPN
L2TP signifie Layer to Tunneling Protocol (protocole de tunnellisation de niveau 2),
développé par Microsoft et Cisco. Les VPN L2TP sont habituellement combinés à un autre
protocole de sécurité VPN pour établir une connexion plus sécurisée. Un VPN L2TP forme un
tunnel entre deux points de connexion L2TP, et un second VPN comme le protocole IPsec
crypte les données et se concentre sur la sécurisation des données entre les tunnels.
Un L2TP est assez similaire au PPTP. Par exemple au niveau de leur manque de cryptage, et
de leur fonctionnement avec un protocole PPP. La différence concerne la confidentialité et
l’intégrité des données. Les VPN L2TP protège les deux, les VPN PPTP non.
D )IPsec(protocole de sécurité internet).
IPsec est l’abréviation de Internet Protocol Security (protocole de sécurité internet). IPsec est
un protocole VPN utilisé pour sécuriser les communications par internet sur un réseau IP. Un
tunnel est mis en place dans un endroit éloigné et vous permet d’accéder à votre site central.
Un IPsec sécurise le protocole de communication internet en vérifiant chaque session et avec
un cryptage individuel des paquets de données pendant toute la connexion. Il y a deux modes
d’opération dans un VPN IPsec. Le mode transport et le mode tunnel. Les deux modes servent
à protéger le transfert des données entre deux réseaux différents. Avec le mode transport, le
message dans le paquet de données est crypté. Avec le mode tunnel, le paquet de données
entier est crypté.
IPsec permet, par encapsulation, de protéger en confidentialité, intégrité et anti-rejeu un flux
au niveau de la couche réseau (couche « Internet » de la pile TCP/IP ou couche 3 « réseau »
du modèle OSI). IPsec est normalisé par l’IETF, au travers notamment des RFC 4301 à 4309.
Plusieurs versions se sont succédées et divers éléments additionnels ont été définis. Un
inventaire en est donné dans la RFC 6071. Un très grand nombre d’équipements réseaux, en
particulier les routeurs et les pare-feux, permettent l’utilisation d’IPsec. De même, les
principaux systèmes d’exploitation pour micro-ordinateurs ou ordiphones prennent en charge
IPsec nativement. Le dialogue IPsec est généralement possible entre ces différents systèmes et
équipements. Dans de nombreux cas, l’utilisation d’IPsec présente un rapport "bénéfice en
sécurité" sur "coût" appréciable dans la mesure où cette technologie est prise en charge
nativement par la plupart des systèmes clients et des équipements réseau et ne nécessite donc
généralement pas d’investissements lourds. Il s’agit par ailleurs d’un protocole arrivé à

VIRTUEL PRIVATE NETWORK p. 19

maturité et bien connu. Sa mise en œuvre peut donc se faire sans charge excessive pour les
équipes d’administration.
Différents cas d’usage d’IPsec La technologie IPsec est la plupart du temps associée aux
connexions de réseau privé virtuel (Virtual Private Network) qui, bien souvent, transitent sur
un réseau public tel que l’internet. Il est toutefois important de noter que cet usage d’IPsec est
loin d’être le seul possible.
Accès distants en nomadisme
Les flux réseau échangés entre un poste en situation de nomadisme et le système
d’information doivent être protégés. IPsec est très souvent employé pour la connexion à
distance d’un poste à un réseau privé et se prête effectivement bien à ce cas d’usage.
Le VPN est habituellement monté entre un poste client (ordinateur portable ou ordiphone par
exemple, via un client VPN logiciel) et un équipement réseau de sécurité (pare-feu ou boitier
VPN).

Figure 5 – Exemple d’emploi d’IPsec dans le cas d’un VPN.

La protection apportée est certes plus évidente pour des applications qui ne reposent pas sur
des protocoles sécurisés (tels que TLS), mais il est recommandé de recourir systématiquement
à IPsec y compris pour des applications bénéficiant d’une sécurisation en couche applicative.
Cela s’inscrit dans une démarche de défense en profondeur et permet en outre d’adopter une
politique plus simple à définir et à maintenir. IPsec apporte alors généralement la protection
en intégrité et en confidentialité après une authentification préalable. L’usage d’IPsec comme
technologie de protection des flux VPN est donc à privilégier et complète utilement les
protocoles tels que PPTP ou L2TP.
Un certain nombre de logiciels ou d’équipements réseau destinés à la mise en œuvre de VPN
IPsec ont été évalués par l’ANSSI et ont obtenu une certification de sécurité ou une
qualification. Il est recommandé de recourir à ces produits, en priorité à ceux qui sont
qualifiés, (listés sur www.ssi.gouv.fr/fr/certification-qualification/) dès lors qu’il existe un

VIRTUEL PRIVATE NETWORK p. 20

besoin de produits de confiance. Il est également possible d’utiliser IPsec pour relier de
manière sécurisée les réseaux locaux de deux sites distants. Cela permet de se prémunir de
malveillances qui consisteraient à accéder au lien entre ces deux réseaux, et à ainsi intercepter
des informations sensibles ou procéder à des attaques par le milieu. L’intérêt d’utiliser IPsec
est avéré lorsque le lien considéré s’appuie sur un réseau public (tel que l’internet), mais l’est
également lorsqu’un lien loué (de type LS ou VPN MPLS par exemple) est utilisé.
Dans ce contexte, le lien IPsec est généralement monté entre deux équipements dédiés ou
entre deux pare-feux périmétriques au système d’information. La recommandation R1 est
aussi applicable à ce cas d’usage.

Figure 6 – Exemple d’emploi d’IPsec entre sites distants.

Note : Dans cet exemple, un tunnel IPsec est monté entre deux pare-feu. 4.3 Protection vis
à vis d’une faiblesse protocolaire ou d’une vulnérabilité logicielle Il arrive qu’il soit
nécessaire de gérer la subsistance dans un système d’information d’équipements ou de
briques logicielles dont les mécanismes de confidentialité ou d’authentification ne sont
pas à l’état de l’art (voire inexistant), et dont les communications réseau ne sont donc pas
protégées efficacement. Des individus malveillants qui auraient accès à ces flux (parce
qu’ils transitent par des liens réseau publics ou insuffisamment sécurisés), pourraient alors
les intercepter ou procéder à des attaques par le milieu. Ceci est par exemple souvent le
cas
● sur les systèmes SCADA en milieu industriel, utilisant des protocoles de
communication de faible robustesse ;
● entre serveurs applicatifs et systèmes de gestion de bases de données ;
● entre briques applicatives distribuées utilisant des protocoles propriétaires, ou
des bus logiciels pas ou mal sécurisés ;

VIRTUEL PRIVATE NETWORK p. 21

 ● entre clients et serveurs utilisant des protocoles non sécurisés (FTP, POP3,
SMTP, HTTP, RDP, VNC, etc.) ;
Nombreux sont les cas ou les flux réseau doivent être protégés par des solutions tierces. IPsec
se présente alors comme la technologie idéale pour pallier certaines faiblesses des protocoles
de plus haut niveau. Son emploi est donc recommandé pour encapsuler des flux réseau
véhiculant des informations jugées sensibles, et ainsi leur assurer la protection nécessaire.
Lorsque les nœuds terminaux ne prennent pas en charge IPsec, il peut être nécessaire
d’interposer des équipements réseau intermédiaires. La recommandation R1 s’applique alors à
nouveau. On ne négligera pas, dans ce cas, le risque résiduel constitué par les tronçons
d’extrémité en clair.

Figure 7 – Exemple d’emploi d’IPsec avec un équipement intermédiaire.

Figure 8 – Exemple d’emploi d’IPsec avec deux équipements intermédiaires.

Figure 9 – Exemple d’emploi d’IPsec de point à point.

IPsec peut être utilisé comme mesure de sécurité additionnelle pour encapsuler des protocoles
qui sont déjà sécurisés par d’autres mécanismes voire un tunnel IPsec existant. Comme déjà
indiqué, IPsec étant dans la plupart des cas peu couteux à mettre en place, il peut permettre de
renforcer le niveau de sécurité de manière efficiente.
Comparaison avec TLS Il est fréquent de voir IPsec comparé au protocole TLS 2 . Il est vrai
que les deux technologies permettent de bénéficier de mécanismes de confidentialité,
d’intégrité ou d’authentification. Il existe toutefois plusieurs différences importantes, qui

VIRTUEL PRIVATE NETWORK p. 22

tendent à faire préférer IPsec. TLS agit beaucoup plus haut dans la pile réseau qu’IPsec, en se
plaçant au dessus de la couche transport réalisée par TCP.
TLS est souvent employé pour sécuriser d’autres protocoles : c’est ainsi que fonctionne par
exemple le protocole HTTPS. C’est toutefois sur un autre usage que ce protocole entre en
concurrence avec IPsec, à savoir la mise en oeuvre de « VPN-SSL ». Cette méthode consiste à
encapsuler un flux réseau dans une session TLS. Certaines solutions de ce type proposent de
s’appuyer sur un navigateur pour se dispenser de la nécessité de déployer un client spécifique
sur les postes utilisateurs.
Le premier inconvénient de TLS est que les opérations liées à la sécurité sont effectuées en
espace utilisateur, au sein du processus utilisateur. Ces opérations (et les secrets qu’elles
manipulent) sont alors nettement plus exposées aux attaques que dans le cas d’IPsec où les
opérations critiques se déroulent au sein du noyau ou dans des processus dédiés. Cela est
d’autant plus vrai dans le cas où le client VPN s’appuie sur un navigateur, logiciel présentant
une surface d’attaque considérable, y compris à distance. En outre, sur le plan
cryptographique, plusieurs éléments plaident en faveur d’IPsec. D’une part, IPsec permet plus
largement l’utilisation d’algorithmes modernes recommandés par les bonnes pratiques, que ce
soit en termes de prise en compte dans les standards ou d’implantations concrètes dans les
logiciels disponibles sur le marché. D’autre part, dans IPsec, l’utilisation des primitives
cryptographiques est légèrement meilleure au regard des bonnes pratiques. IPsec recourt, par
exemple, à un fonctionnement « Encrypt-then-MAC », méthode considérée plus sûre que le «
MAC-thenEncrypt » employé par TLS. Enfin, on peut observer que le détournement de TLS
de l’usage initialement prévu 3 en recourant à des « VPN SSL » n’est pas une solution idéale.
L’encapsulation de paquets de la couche réseau en couche applicative conduit notamment à
avoir une en-tête TCP « externe » sans aucune corrélation avec l’éventuelle en-tête TCP «
interne », ce qui débouche sur un fonctionnement non optimal des mécanismes de contrôle de
congestion.
Remarque 2 : Pour les cas d’usage évoqués précédemment, il est recommandé d’utiliser
IPsec plutôt que TLS. Note : TLS reste bien entendu tout à fait adapté pour la sécurisation
d’un protocole applicatif particulier (comme c’est la cas pour HTTPS, IMAPS, LDAPS, ...) et
cet emploi est complémentaire et pleinement compatible avec la mise en oeuvre d’IPsec.
Fonctionnement d’IPsec IPsec, de par ses subtilités, est souvent partiellement compris et peu
maîtrisé. Les choix de configuration, y compris ceux par défaut, ne sont pas toujours judicieux
et l’emploi d’IPsec peut alors offrir un niveau de sécurité plus faible que celui attendu.

VIRTUEL PRIVATE NETWORK p. 23

Services fournis par IPsec Les services de sécurité fournis par IPsec reposent sur deux
protocoles différents qui constituent le coeur de la technologie IPsec :
AH : « Authentication Header » (protocole n°51) dont la version la plus récente est
normalisée par la RFC 4302 ;
ESP : « Encapsulation Security Payload » (protocole n°50) dont la version la plus récente est
normalisée par la RFC 4303. Ces deux protocoles peuvent être utilisés indépendamment ou,
plus rarement, de manière combinée.
AH intégrité et authentification des paquets Le protocole AH, qui est utilisé de manière
moins fréquente qu’ESP, permet d’assurer l’intégrité et, employé avec IKE (voir infra),
l’authentification des paquets IP. C’est à dire qu’AH permet d’une part de s’assurer que les
paquets échangés n’ont pas été altérés et d’autre part de garantir l’identité de l’expéditeur
d’un paquet. Il garantit aussi une protection contre le rejeu. On notera qu’AH ne protège pas
la confidentialité des données échangées. Les données ne sont pas chiffrées et transitent en
clair, ou plus exactement sous le même format que si l’on utilisait un lien IP sans IPsec (un
chiffrement peut être mis en œuvre plus haut dans la couche protocolaire, par exemple en
utilisant TLS). Le contrôle d’intégrité s’effectue sur l’ensemble des paquets IP y compris les
en-têtes, à l’exception des en-têtes variables par nature telles que les champs DSCP, ECN,
TTL, « Flags », l’offset de fragmentation et la somme de contrôle. Cela signifie en particulier
que les adresses sources et destinations font partie des données protégées.
Les RFC relatives à IPsec rendent la prise en charge d’AH par les équipements mettant en
oeuvre IPsec optionnelle tandis que celle d’ESP est obligatoire. De manière générale, face à
ESP, AH peut être considéré comme obsolète et d’un faible apport du point de vue de la
sécurité, il n’y a généralement pas lieu de le mettre en œuvre.
Rémarque 3 : L’emploi d’IPsec doit se faire avec le protocole ESP. Bien qu’il ne présente pas
de risque de sécurité en soi, l’emploi d’AH est déconseillé.
Importance ESP : confidentialité, intégrité et authentification des paquets
Le protocole ESP permet quant à lui d’assurer la confidentialité, l’intégrité et, employé avec
IKE (voir infra), l’authentification des données échangées. Il garantit aussi une protection
contre le rejeu. Il est possible d’utiliser uniquement les fonctions d’intégrité et
d’authentification sans chiffrement (ce qui peut satisfaire la plupart des cas d’usage d’AH et
justifie donc l’abandon d’AH). Certaines implémentations permettent à l’inverse la protection
en confidentialité sans mécanisme de contrôle d’intégrité : cet usage, lui-aussi obsolescent,
doit être évité. La suppression du service d’intégrité ne présente aucun avantage (le coût en

VIRTUEL PRIVATE NETWORK p. 24

performance des opérations de contrôle d’intégrité est en général négligeable devant celui du
chiffrement) et expose l’utilisateur a un certain nombre d’attaques connues et réalistes.
Remarque 4 : Le service de confidentialité d’ESP ne doit jamais être employé sans activer le
mécanisme de contrôle d’intégrité.
Contrairement à l’approche retenue dans le cadre d’AH, les données protégées sont ici
uniquement le « payload », c’est à dire le contenu du paquet IP et non ses en-têtes. Il n’y a
donc pas d’incompatibilité fondamentale avec les mécanismes de traduction d’adresses. Il est
toutefois nécessaire de prendre un certain nombre de mesures pour assurer l’interopérabilité
entre ESP et la traduction d’adresse.
Modes transport et tunnel Indépendamment du choix entre AH et ESP, il est possible
d’utiliser IPsec dans deux modes distincts : le mode tunnel et le mode transport. Le mode
tunnel rend le service attendu dans la majorité des cas.
Dans le mode transport, les données associées à AH ou à ESP viennent se greffer sur le
paquet IP initial (c’est à dire celui qu’on aurait envoyé en l’absence d’IPsec). Le paquet IP
résultant contient un paquet AH ou ESP qui contient lui-même le contenu du paquet initial (un
segment TCP par exemple). On peut remarquer que l’en tête IP initiale doit être modifiée :
son champ protocole doit indiquer 50 ou 51 pour ESP ou AH en lieux et place par exemple de
6 (TCP) ou 17 (UDP). C’est l’en tête (AH ou ESP) qui indiquera le protocole encapsulé qui
était auparavant indiqué dans l’en-tête IP.

Figure 10 – Utilisation d’ESP en mode transport.

ICV désigne l’« Integrity Check Value »,
Entête IPv4 et options Données Entête IPv4 et options AH Données Portée de
l'authentification

VIRTUEL PRIVATE NETWORK p. 25

 Portée de
l'authentificatin

Figure11 – Utilisation d’AH en mode transport

Dans le mode tunnel en revanche, un nouveau paquet IP est généré pour contenir un paquet
AH ou ESP qui contient lui-même le paquet IP initial sans modification. Dans ce mode, il y a
donc en définitive deux en-têtes IP. L’en-tête externe sera effectivement utilisé pour le routage
dès l’émission du paquet. L’en-tête interne, qui peut être chiffrée dans le cas où l’on utilise
ESP avec le service de confidentialité, ne sera traitée que par le destinataire (du paquet
externe). Elle sera ignorée par les équipements réseau situés entre l’émetteur et le destinataire.
On réalise ainsi un « tunnel » à travers ce réseau, de la même façon qu’on peut le faire avec
des protocoles tels que IPIP (RFC 2003) ou GRE (RFC 2784).

VIRTUEL PRIVATE NETWORK p. 26

 Figure 12 – Utilisation d’ESP en mode tunnel.

ICV désigne l’« Integrity Check Value », valeur utilisée par le mécanisme de contrôle
d’intégrité.

Portée de l'authentification

Nouvel AH Entête IPv4 Données

entête IPv4 et et options
options

Entête IPv4 Données

et options

Figure 13 – Utilisation d’AH en mode tunnel

Le mode tunnel se prête bien à un scénario d’accès distant à un réseau privé au travers d’un
réseau public. Il permet de masquer sur les tronçons publics l’adressage interne du réseau
privé, fréquemment non routable sur le réseau public. IPsec est utilisé sur le réseau public
entre le client et une passerelle qui extrait le paquet IP interne et l’injecte dans le réseau privé
(et réciproquement pour le sens de communication inverse).
Naturellement, du fait de la duplication de l’en tête IP, l’utilisation du mode tunnel résulte en
des paquets plus gros qu’en mode transport pour une même quantité de données utiles. La
consommation en ressources réseau est donc plus importante. En particulier, il faudra prendre
garde au fait que le MTU effectif du tunnel est le MTU du lien diminué de la taille des
méta-informations ajoutées par IPsec (nouvelle en-tête IP, en-tête et trailer ESP, somme de
contrôle). La taille de ces méta-données varie notamment en fonction des paramètres
cryptographiques, mais il est courant que le « surcoût » en taille dû au tunnel soit de 50 à 100
octets. Dans certains cas, les mécanismes de configuration automatique du MTU gèrent mal
cette situation. Il est par conséquent relativement fréquent, lors de l’utilisation d’IPsec, de
devoir limiter manuellement la taille maximale des paquets IP clairs pour s’assurer qu’une
fois ceux-ci encapsulés ils n’atteignent pas une taille qui nécessite de les fragmenter.

VIRTUEL PRIVATE NETWORK p. 27

Un élément qui peut s’avérer important est le fait qu’en mode tunnel, le contrôle d’intégrité
offert par le mode AH porte non seulement sur le paquet interne mais aussi sur l’en-tête IP
externe, de la même façon qu’en mode transport. Cela peut avoir des effets indésirables en cas
de NAT. Le contrôle d’intégrité d’ESP ne porte quant à lui que sur le paquet interne et permet
donc à l’en-tête externe d’évoluer.
Security Policy Le terme « Security Policy » désigne, dans le contexte IPsec, le choix pour
un lien unidirectionnel 4 donné :
● de l’utilisation obligatoire ou facultative ou de la non-utilisation d’IPsec ;
● de l’utilisation du mode tunnel ou transport ;
● de l’utilisation d’AH ou d’ESP. L’ensemble des SP est regroupé dans une SPD : «
Security Policy Database ».
À l’image des règles de flux d’un pare-feu, les SP ont pour but de spécifier les flux que l’on
veut autoriser et ceux que l’on veut interdire.
Remarque 5 : Les SP permettant un usage « facultatif » ou « optionnel » d’IPsec doivent être
évitées car elles ne garantissent pas la sécurité (possibilité de « downgrade attack »). Pour un
lien donné, on s’en tiendra donc à n’autoriser que les flux sécurisés dès lors qu’il existe un
besoin de sécurité.
Rémarque6 : Malgré la possibilité technique de fonctionnement asymétrique, on préfèrera
lorsque c’est possible avoir une politique uniforme entre le lien aller et le lien retour.
Etablissement d’un lien IPsec :Les mécanismes cryptographiques utilisés pour la protection en
intégrité ou en confidentialité sont paramétrés par une ou plusieurs clés. Ces éléments doivent
être partagés par les différents hôtes 4.
On distingue en effet le lien A → B et le lien B → A qui peuvent avoir deux politiques
différentes.
Deux approches sont possibles : mettre en place manuellement des clés sur chaque hôte ou
utiliser le mécanisme d’échange de clés IKE pour que les hôtes puissent négocier ces clés.
Security Association : Pour chaque lien unidirectionnel (comme ci-dessus), on désigne par «
Security Association » (SA) les données de contexte telles que : – les hôtes source et
destination ;
● le mode (transport/tunnel) et les protocoles (AH/ESP) employés ;
● les algorithmes cryptographiques employés ;
● les clés associées à ces algorithmes.

VIRTUEL PRIVATE NETWORK p. 28

Chaque SA est associée à une période de validité et à un nombre entier la désignant de
manière univoque et appelé SPI (Security Parameter Index). Les en-têtes AH et ESP indiquent
systématiquement le SPI associé à la SA utilisée.
Les premiers éléments (hôtes aux extrémités, mode, protocole) sont conditionnés par les SP
en vigueur : un système ne doit pas avoir de SA qui violent ses SP.
Les paramètres cryptographiques (algorithmes, taille de clés) peuvent être fixés
manuellement ou négociés par le protocole IKE (voir plus bas). Les options possibles sont
configurées par l’administrateur.
On définit, comme pour la SPD, la SAD comme étant la « Security Association Database »
(base des SA).
Il est préférable de fixer a priori les algorithmes et tailles de clés employés (voir infra pour le
choix) et de n’utiliser IKE que pour l’échange de clés. À défaut de pouvoir les fixer, on ne
permettra la négociation que sur un nombre réduit d’algorithmes.
Note : Dans ce dernier cas, la sécurité du lien est conditionnée par l’algorithme le plus faible
parmi ceux acceptés ; il est donc nécessaire que toutes les options soient conformes à la
politique de sécurité de l’organisme.
Mise à la clé manuelle Les algorithmes et les clés peuvent être paramétrés manuellement sur
chaque équipement.
La mise à la clé manuelle est fortement déconseillée. Elle exige en effet une configuration
fastidieuse, la clé étant idéalement différente pour chaque couple d’hôtes. Par ailleurs, il est
difficile en pratique de renouveler les clés à une fréquence suffisante pour être conforme tant
aux bonnes pratiques cryptographiques (usure de la clé) que de SSI (cryptopériode) . En outre,
elle ne permet pas de bénéficier de la propriété de « Perfect Forward Secrecy ». Enfin, elle ne
permet pas de mettre en oeuvre des mécanismes d’authentification cryptographiques.
En définitive, la mise à la clé manuelle doit être réservée à des procédures de tests ou de
diagnostics ou à des système très particuliers ayant fait l’objet d’une étude de sécurité
approfondie, notamment pour s’assurer que le cycle de vie des clés est bien géré et qu’il y a
bien une clé différente pour chaque usage. On distingue en effet l’usure de la clé, qui décrit
une propriété mathématique selon laquelle le système cryptographique est fragilisé au delà
d’une certaine quantité d’information chiffrée, de la cryptopériode, durée maximale d’usage
de la clé basée sur des considérations organisationnelles ayant pour but de borner l’impact
d’une compromission.
Utilisation d’IKE La négociation dynamique des algorithmes et clés d’une SA peuvent se
faire grâce au protocole IKE, actuellement en version 2 (RFC 5996).

VIRTUEL PRIVATE NETWORK p. 29

Un protocole en deux phases Le protocole IKE se décompose en deux phases distinctes. Dans
une première phase, un canal sécurisé (chiffré et authentifié) est créé entre les deux
participants. Dans une deuxième phase, ce canal est utilisé pour négocier les divers
paramètres de la SA. La première phase utilise bien entendu elle aussi des algorithmes
cryptographiques, qui ne sont pas nécessairement les mêmes que ceux définis finalement dans
la SA.
Les paramètres du canal sécurisé négocié lors de la première phase et utilisé pour protéger la
seconde phase sont parfois désignés sous le terme ISAKMP 6 SA ou encore IKE SA, par
opposition aux IPSEC SA qui sont les SA négociées lors de la seconde phase et utilisées pour
protéger le trafic « utile ».
La première version d’IKE permettait deux modes différents pour la phase 1, le mode
principal (« main mode ») et le mode agressif (« aggressive mode »).
Le deuxième a la caractéristique de nécessiter moins de messages que le premier mais de ne
pas cacher l’identité des participants à un éventuel attaquant en écoute passive sur le réseau.
La phase 2 utilisait quant à elle le mode rapide (« quick mode »). IKE version 2 a une
première phase similaire au mode principal mais n’emploie plus cette terminologie. On trouve
toutefois encore des produits désignant par « mode principal » la première phase et « mode
rapide » la deuxième.
Authentification des correspondants L’authentification des participants à la première phase
peut se faire soit au moyen d’un secret partagé (PSK : « Pre-Shared Key ») soit par utilisation
d’un mécanisme de cryptographie asymétrique tel que RSA. Dans ce cas, il est possible
d’utiliser une Infrastructure de Gestion de Clés (IGC ou PKI) pour certifier les clés publiques
des participants et ainsi ne pas devoir pré-positionner toutes les clés publiques sur l’ensemble
des hôtes.
On privilégie généralement l’utilisation d’une IGC, ce qui permet de simplifier l’exploitation
du système : l’ajout d’un nouvel hôte ou la révocation d’une clé compromise est aisée (il n’est
pas nécessaire d’intervenir sur tous les équipements déjà en place). Il peut être délicat dans les
autres modes de réagir avec la diligence nécessaire à une compromission de clé, par exemple
le vol d’un équipement.
Le mode PSK doit en principe être évité pour des systèmes en production et être cantonné à
des systèmes de tests ou à des opérations de diagnostic. S’il était nécessaire d’y recourir
exceptionnellement, une bonne pratique générale pour les secrets partagés est de prendre
garde à ce que l’entropie soit suffisante pour rendre difficile une attaque par recherche
exhaustive. On se reportera à se sujet au référentiel général de sécurité publié par l’ANSSI.

VIRTUEL PRIVATE NETWORK p. 30

Une entropie inférieure à 100 bits est considérée à la date de rédaction de ce document
comme un choix risqué.
ISAKMP est un « protocole cadre » (framework) au sein duquel le protocole IKE a été défini.
Rémarque 9 : Il est fortement déconseillé dans le cas général d’utiliser la mise à clé manuelle
ou une clé pré-partagée (PSK) pour l’établissement d’un lien IPsec. Des mécanismes basés
sur de la cryptographie asymétrique sont à privilégier. On privilégiera en particulier les
mécanismes d’IGC qui permettent la révocation rapide des clés compromises, en particulier
en cas de perte d’un poste. Les dérogations à ces recommandations doivent avoir fait l’objet
d’une étude de sécurité rigoureuse.
Négociation des SP IKE permet aussi de négocier les SP. Dans la plupart des cas, tous les
paramètres des SP sont connus à l’avance et cette négociation ne présente que peu d’intérêt.
Ce mécanisme prend toutefois tout son sens pour les situations de mobilité. Dans ce cas, en
effet, l’adresse IP du client nomade n’est pas connue a priori : elle est attribuée par le réseau
accueillant le poste nomade. Il est alors très utile de pouvoir adapter ce paramètre de la SP à la
volée au moyen de la négociation IKE. Dans les cas où un tel mécanisme de négociation n’est
pas nécessaire, il est préférable d’employer une configuration statique (si les équipements le
permettent) de manière à garder la maîtrise de la politique de sécurité. Dans le cas où une
négociation des politiques de sécurité par IKE est utilisée, il est nécessaire de s’assurer par la
politique de filtrage que le système ne se trouve jamais dans un état où il échange des données
en clair. Concrètement, cela signifie interdire par des règles de filtrage réseau tout trafic qui
n’utilise pas le protocole IKE, ESP et (le cas échéant) les protocoles qui seraient nécessaires
au fonctionnement du réseau, tel qu’ICMP.
Rémarque10 On privilégiera la configuration statique des SP lorsque le cadre d’emploi le
permet. À défaut, il est nécessaire de s’assurer que la politique de filtrage mise en œuvre
garantit l’absence de flux en clair.
Utilisation d’IPsec avec un système de traduction d’adresses (NAT) : L’utilisation d’un
système de traduction d’adresses (NAT) en conjonction avec IPsec peut poser plusieurs
problèmes. Tout d’abord, l’utilisation d’AH n’est pas possible, dans la mesure où le contrôle
d’intégrité des en-têtes IP devient invalide dès lors que les adresses IP sources ou destinations
sont modifiées. Par ailleurs, certains mécanismes de NAT très courants nécessitent de pouvoir
modifier les ports TCP ou UDP. Si le protocole transporté par IP est ESP, qui ne présente pas
de port, un tel mécanisme ne peut fonctionner. La solution est l’emploi du « NAT-Traversal »
(NAT-T) qui consistent à encapsuler le trafic IKE puis ESP dans des datagrammes UDP
utilisant de manière standard le port 4500. Enfin, il faut prendre garde à certaines extensions

VIRTUEL PRIVATE NETWORK p. 31

hors standard qui peuvent être incompatibles avec l’utilisation de NAT ou nécessiter
l’utilisation de NAT-T même dans des cas où la modification de ports n’est pas nécessaire.
Remarque 11 : S’il est nécessaire de recourir au NAT sur des flux IPsec, il est nécessaire
d’activer le mécanisme de NAT-Traversal.
La propriété de PFS (Perfect forward Secrecy) est la caractéristique de certains protocoles
cryptographiques qui garantit qu’un attaquant ayant enregistré des échanges chiffrés à un
instant donné et parvenant à obtenir les secrets cryptographiques à une date ultérieure ne
puisse pas pour autant déchiffrer les enregistrements effectués.
La PFS permet donc de mettre en place des fenêtres temporelles « étanches », en ce sens que
l’impact d’une éventuelle attaque ne pourra pas (sous certaines hypothèses) s’étendre aux
fenêtres déjà refermées. Il s’agit d’une mesure de « mitigation » du risque. Cette propriété est
obtenue (pour le cas d’IPsec) en employant un mécanisme d’échange de clé « Diffie-Hellman
éphémère » ou sa variante sur courbe elliptique.
Le degré de granularité de cette protection (la fenêtre) est la session, délimitée par des
échanges de clés IKE. Ainsi, à chaque échange de clés on acquiert la garantie que les
échanges antérieurs à cet échange sont définitivement protégés même en cas de
compromission ultérieure du secret. C’est, entre autre, pour cette raison qu’il est nécessaire de
définir une plage d’utilisation des clés à la fois en temps et en volume de données. Cette
propriété n’est vérifiée que dans le cas de l’utilisation d’IKE ; elle ne l’est pas lors d’une mise
à la clé manuelle. Il est possible avec certains équipements d’améliorer la granularité de cette
propriété en utilisant un second échange de clé en phase 2 (plutôt que de dériver toutes les
clés de celle négociée en phase 1), échange qui sera renouvelé plusieurs fois au cours de la
durée de vie d’une SA. Cela a en pratique pour effet de raccourcir la « session » évoquée
ci-dessus, en la renouvelant plus fréquemment. Il est généralement possible d’associer un
critère temporel et un critère de quantité de données échangée : le premier quota atteint
provoque un renouvellement de clés.
Rémarque12 : Dès lors que cette possibilité est offerte par les équipements employés, il est
recommandé de mettre en œuvre la propriété PFS en phase 2 en utilisant dans le « quick mode
» l’échange de clé Diffie-Hellman éphémère classique ou sa variante sur courbes elliptiques.
Rémarque13 Dès lors que cette possibilité est offerte par les équipements employés, il est
recommandé de forcer le renouvellement périodique des clés, par exemple toutes les heures et
tous les 100 Go de données, afin de limiter l’impact de la compromission d’une clé sur le
trafic des données. Note : La définition exacte de la période de renouvellement

VIRTUEL PRIVATE NETWORK p. 32

(cryptopériode) relève d’un choix organisationnel et de l’analyse de risque propre à un
déploiement.
Le choix des algorithmes cryptographiques et le dimensionnement des clés est traité dans le
référentiel général de sécurité (annexe B1 « Règles et recommandations concernant le choix et
le dimensionnement des mécanismes cryptographiques » disponible sur www.ssi.gouv.fr/rgs),
seul document faisant foi.
Rémarque14 : Il est fortement déconseillé d’employer la fonction de hachage MD5, le
chiffrement DES, des clés RSA de taille inférieure à 2048 bits ou des clés ECDSA de taille
inférieure à 200 bits.
Rémarque15 : Il est déconseillé d’utiliser 3DES, SHA-1 ou ECDSA avec des clés de moins
de 256 bits si des alternatives plus sécurisées telles qu’AES (AES-128 ou AES-256), SHA-2
(SHA224, SHA-256, SHA-384 ou SHA-512) ou ECDSA avec des clés d’au moins 256 bits
sont disponibles
Remarque 16 : On prendra garde au groupe de Diffie-Hellman employé. Les groupes 1 ou 2,
très fréquemment proposés dans les configurations par défaut, ne sont plus d’une taille
acceptable. On privilégiera les groupes ayant des modules de taille plus importante (comme
les groupes 14 et 15) voire (si possible) les groupes construits sur des courbes elliptiques d’au
moins 256 bits (comme la courbe ecp256, aussi nommée groupe 19 ou encore la courbe
ecp384bp, normalisée sous l’appellation groupe 29).

1.6.Processus d'établissement d'une connexion

Afin de mettre en place un processus d'établissement d'une connexion, faisons l'étude d'un cas
d'égal à égal :

● L'hôte A est un utilisateur itinérant qui se connecte via une liaison spécialisée vers
l'hôte B qui est un serveur de base de données interne à son entreprise. Cette
connexion pour des raisons de confidentialité et de sécurité doit être protégée.
● La sécurité IPSec est alors déployée afin de garantir le cryptage des données et
l'authentification des 2 hôtes. La connexion va donc se dérouler en 6 étapes :

VIRTUEL PRIVATE NETWORK p. 33

Figure 14: Processus d'établissement d'une connexion

+ 1ère étape : L'hôte A cherché à télécharger des données situées sur le serveur FTP. Pour ce
faire, il lance une transaction vers ce dernier. Le pilote IPSec de l'hôte A signalé au service
ISAKMP/Oakley que la stratégie de sécurité nécessite l'IPSec. On utilise alors les stratégies
utilisées par l'agent de stratégie dans la base de registre ;

+ 2ème étape : Le Service ISAKMP/Oakley des deux hôtes génère une clé partagée et une
association de sécurité (contrat de confiance)·
3ème étape : Les pilotes IPSec des deux hôtes prennent chacun la clé et l'association .

4ème étape : Les données envoyées par l'hôte A sont cryptées grâce à la clé (processus géré par
le pilote IPSec).
· 5ème étape : Le serveur hôte B reçoit les données et les décrypte grâce au pilote IPSec qui
connaît la clé partagée et l'association de sécurité ;

+ 6ème étape : Les données sont ensuite transmises à la couche d'application (couche 7 du
modèle OSI).

1.7.Comparaison des différents protocoles

Chaque protocole présenté permet de réaliser des solutions performantes de VPN. Nous allons
ici aborder les points forts et les points faibles de chacun de ses protocoles.

+ VPN-Ssl

Présentée comme la solution miracle pour permettre aux itinérants de se connecter aux
applications réparties de l'entreprise les VPN-Ssl souffrent de problèmes principalement liés

VIRTUEL PRIVATE NETWORK p. 34

aux navigateurs web utilisés. Le but d'utiliser des navigateurs web est de permettre aux
utilisateurs d'utiliser un outil dont ils ont l'habitude et qui ne nécessite pas de configuration
supplémentaire. Cependant lorsqu'un certificat expire l'utilisateur doit aller manuellement le
renouveler.

De plus sur la majorité des navigateurs web la consultation des listes de certificats révoqués
n'est pas activée par défaut : toute la sécurité de Ssl reposant sur ces certificats ceci pose un
grave problème de sécurité. Rien n'empêche de plus le client de télécharger une version
modifiée de son navigateur pour pouvoir utiliser de nouvelles fonctionnalités (skins, plugins,).
Rien ne certifie que le navigateur n'a pas été modifié et que son autorité de certification en
soit bien une.

Enfin Un autre problème lié à l'utilisation de navigateurs web comme base au VPN est leur
spécificité au monde web. En effet par défaut un navigateur n'interceptera que des
communications HTTPS ou éventuellement FTPS. Toutes les communications venant d'autre
type d'applications (Microsoft Outlook, Lotusnotes, ou une base de données par exemple) ne
sont pas supportées. Ce problème est généralement contourné par l'exécution d'une
application dédiée dans le navigateur.

Mais ceci implique également la maintenance de cette application (s'assurer que le client
possède la bonne version, qu'il peut la télécharger au besoin).

L'idée suivant laquelle le navigateur web est une plate-forme idéale pour réaliser des accès
VPN est donc sérieusement à nuancer.

+ PPTP

PPTP présente l'avantage d'être complètement intégré dans les environnements Windows.
Cependant comme pour beaucoup de produits Microsoft, la sécurité est le point faible :

● Mauvaise gestion des mots de passe dans les environnements mixtes Windows 95/NT
;
● Faiblesses dans la génération des clés de session : réalisé à partir d'un hachage du mot
de passe au lieu d'être entièrement générées au hasard. (Facilite les attaques « force
brute ») ;

VIRTUEL PRIVATE NETWORK p. 35

 ● Identification des paquets non implémentés : vulnérabilité aux attaques de type «
spoofing »

+ L2tp / IPSec

Les mécanismes de sécurité mis en place dans IPSec sont plus robustes et plus reconnus que
ceux mis en place par Microsoft dans PPTP. Par défaut le protocole L2tp utilise le protocole
IPSec. Cependant si le serveur distant ne le supporte pas L2tp pourra utiliser un autre
protocole de sécurité. Il convient donc de s'assurer que l'ensemble des équipements d'un VPN
L2tp implémente bien le protocole IPSec. IPSec ne permet d'identifier que des machines et
non pas des utilisateurs. Ceci est particulièrement problématique pour les utilisateurs
itinérants.

Enfin IPsec à cause de la lourdeur des opérations de cryptage/décryptage réduit les

performances globales des réseaux. L'achat de périphériques dédiés, coûteux est souvent
indispensable.

1.8. Caractéristiques physiques des réseaux

Il n'existe pas de classification générale des réseaux, mais deux critères importants permettent
de les caractériser : la technologie de transmission utilisée et leur taille qui illustre d'une
manière acceptable les différentes caractéristiques sur la classification des réseaux.

La distance entre les processus et leur localisation a constitué notre critère de base pour la
classification physique des réseaux

Distance entre Processus Localisation Type des réseaux

0,1 m Circuit imprimé Machine à flot de données (Réseau chargé

interne)

Millimètre
1,0 m Réseau système informatique
mainframe

10 m Salle

100 m Bâtiment Réseau local (LAN)

1000 m = 1 Km Campus

VIRTUEL PRIVATE NETWORK p. 36

100.000 m = 100 Km Pays Réseau longue distance (WAN)

1.000.000 m = 1000 Km Continent

10.000.000 m = 10.000
Planète Internet
Km

100.000.000 m = 100.000
Système terre - lune Le satellite artificiel
Km

Tableau : Classification d'un réseau

Techniques de transmission

Du point de vue général, nous distinguons deux types de technologies de transmission

largement répandues :

La diffusion (Bus, anneau et radio/satellite)

Le point- à - point (Etoile, boucle et maillé)

Un réseau à diffusion dispose d'un seul canal de transmission qui est partagé par tous les
équipements qui y sont connectés.

Sur un tel réseau, chaque message envoyé, appelé paquet dans certaines circonstances, est
reçu par toutes les machines du réseau. Dans le paquet, un champ d'adresse permet d'identifier
le destinataire réel.

A la réception d'un paquet, une machine lit ce champ et procède au traitement du paquet si
elle reconnait son adresse ou l'ignore dans le cas contraire. Cette transmission est appelée
multicast.

+ Les réseaux point-à-point

Par opposition au système précédent, le réseau point-à-point consiste en un grand nombre de

connexions, chacune faisant intervenir deux machines. Pour aller de sa source à sa
destination, un paquet peut transiter par plusieurs machines intermédiaires. Cette transmission
est appelée unicast.

VIRTUEL PRIVATE NETWORK p. 37

LAN (Local Area Network) ou RLE (Réseau local d'Entreprise)

Le réseau local relie d'une manière générale des ordinateurs localisés dans une même salle,
dans un immeuble ou encore dans un campus. Sa matérialisation peut s'effectuer en tenant
compte des différentes topologies élaborées par l'IEEE (Institute Of Electrical and Electronics
Engineer) sous forme des normes7. Il s'agit de :

o IEEE 802.3: Ethernet (CSMA/CD);

● IEEE 802.4: Token bus (Jeton sur bus);

● IEEE 802.5: Token - ring (Jeton sur anneau); o IEEE 802.6: MAN (Metropol Area
Network );
● IEEE 802.7: FDDI (Fiber Distributed Data Interface);
● IEEE 802.9: ISOEnet (Réseau local à haut débit, multimédia);
● IEEE 802.10: Sécurité dans les réseaux;
● IEEE 802.11: Réseaux locaux sans fil (WIFI); o IEEE 802.12: 100 VG - Any LAN.

WAN (Wide Area Network)

Réseau étendu à longue distance constitué par l'interconnexion de plusieurs réseaux et qui se
distingue des réseaux locaux et des réseaux métropolitains.

Il relie plusieurs ordinateurs notamment à travers une ville, un pays, continent ou encore toute
la terre.

Ici la communication s'effectue grâce aux réseaux privés et/ ou aux réseaux publiques.

1.9.Caractéristiques logiques des réseaux

La conception des premiers ordinateurs ont connu le problème d'hétérogénéité où les

concepteurs n'avaient tenu compte de l'aspect matériel au détriment de l'aspect logiciel en
oublient que les données dans les réseaux devaient provenir des différentes applications qui
pouvant être différent d'un ordinateur à un autre.

A. Modèle de référence OSI

VIRTUEL PRIVATE NETWORK p. 38

Le modèle OSI (Open System Interconnexion) a été adopté pour faciliter l'échange des
données provenant des matériels des différents constructeurs. Ce modèle de référence a été
défini en 7 couches pour communiquer entre elles. Il décrit le fonctionnement d'un réseau à
communication des paquets.

● Couche physique : Elle assure l'établissement, le maintien de la liaison physique et le

transfert de bits sur le canal physique (support). Elle comprend donc les spécifications
mécaniques (connecteurs) et les spécifications électriques (niveaux de tension) ;
● Couche liaison de données : Elle assure le maintien de la connexion logique, le
transfert des blocs de données (les trames et les paquets), le contrôle, l'établissement,
le maintien et la libération du lien logique entre entités ;
● Couche réseau : Assure des blocs de données entre les deux systèmes d'extrémités, le
routage (choix du chemin à parcourir à partir des adresses), lors d'un transfert à travers
un système relais, l'acheminement des données (paquets) à travers les
● Différents nœuds d'un sous - réseau (routage)Et elle définit la taille de ses blocs ;
● Couche de transport est le pivot du modèle OSI. Elle assure le contrôle du transfert de
bout en bout des informations (message) entre les deux systèmes d'extrémité.
● Afin de rendre le transport transparent pour les couches supérieures.
● Elle assure le découpage des messages en paquets pour le compte de la couche réseau
et les reconstitue pour les couches supérieures. Elle utilise les protocoles TCP et UDP
;
● Couche session : Elle assure l'échange des données, et la transaction entre deux
applications distantes. C'est une interface entre les couches qui assurent l'échange de
données (transaction) entre les applications distantes. La fonction essentielle de la
couche session est la synchronisation et le séquencement de l'échange par la détection
et la reprise de celui-ci en cas d'erreur ;
● Couche présentation : Elle assure la mise en forme des données ; elle est une interface
entre les couches qui assurent l'échange de données et celle qui manipule, celle couche
assure la mise en forme de données, les conversions de code nécessaires pour délivrer
à la couche supérieure un message dans une syntaxe compréhensible par celle-ci ;
● Couche application : Est la couche située au sommet des couches de protocoles
TCP/IP.

VIRTUEL PRIVATE NETWORK p. 39

Elle ne contient pas les applications utilisateurs, mais elle assure la communication, à l'aide de
processus, un ensemble de fonctions (entités d'application) permettant le déroulement correct
des programmes communicants (transferts des fichiers, etc.).

Ce modèle a pour objectifs, décomposer, structurer et assurer l'indépendance vis-à-vis du

matériel et du logiciel.

B.Modèle de référence TCP/IP

Le protocole TCP/IP (Transmission Control)

Protocol/Internet Protocol) est le plus utilisé des protocoles parce que c'est lui qu'on emploi
sur les réseaux, c'est-à-dire Internet. Historiquement, le TCP/IP présente deux inconvénients
majeurs, à savoir la taille et sa lenteur. Les principaux protocoles qui le composent : l'Internet
protocole qui est un protocole de niveau réseau assurant un service orienté sous connexion :
Transmission contrôle protocole « TCP » et un protocole de niveau transport qui fournit un
service fiable avec connexion.

Le modèle de référence TCP/IP est un langage adopté dans l'internet pour communiquer entre
machines est le langage réseau TCP/IP. C’est un protocole très novateur dans le sens où il est
faiblement hiérarchisé.

Tous les ordinateurs sont égaux dans leurs possibilités. Le langage TCP/IP est très répandu
dans le monde des systèmes Unix et il est très facile de trouver des sources pour réaliser un
support TCP/IP sur n'importe quel système. TCP/IP est de fait le premier véritable langage
réseau indépendant de tout constructeur d'informatique, ce qui en fait son succès. Cependant,
Il faut distinguer les protocoles c'est à dire les « langages de réseau » et les entités
administratives.

En effet si un réseau parle « TCP/IP », il n'est pas forcément connecté à l'internet. Ce n'est pas
parce que je parle français que je suis français...Le réseau internet est en fait une fédération de
réseaux qui mettent en place une organisation commune. Cette organisation est très fédérale.

C.Comparaison entre les modèles

VIRTUEL PRIVATE NETWORK p. 40

Les modelés OSI et TCP ont les points communs au niveau des fonctionnalités des couches
qui sont globalement les mêmes. Ils sont tous fondés sur le concept de pile de protocoles
indépendants.

Au niveau des différences, l'on peut remarquer la chose suivante : le modèle OSI fait
clairement la différence entre 3 concepts principaux, alors que ce n'est pas tout à fait le cas
pour le modèle TCP/IP.

Ces 3 concepts sont les services, interfaces et protocoles. En effet, TCP/IP fait peu la
distinction entre ces concepts ; et ce malgré les efforts des concepteurs pour se rapprocher de
l'OSI.

Cela est dû au fait que pour le modèle TCP/IP, ce sont les protocoles qui sont d'abord apparus
et ensuite le modèle ne fait finalement que donner une justification théorique aux protocoles,
sans les rendre véritablement indépendants les uns des autres.

Le modèle TCP/IP utilise que 4 couches, à savoir : application, transport, réseau et hôte -
réseau ; tant dis que le modèle OSI utilise 7 couches, à savoir : application, présentation,
session, transport, réseau, liaison de données et physique.

D.SSL et TLS

SSL signifie Secure Sockets Layer et TLS Transport Layer Security. Ils fonctionnent
ensemble comme un seul protocole. Les deux sont utilisés pour construire une connexion
VPN. Dans cette connexion VPN, le navigateur internet sert de client et l’accès utilisateur est
restreint à certaines applications seulement plutôt qu’un réseau entier. Les protocoles SSL et
TLS sont principalement utilisés par des sites de vente en ligne et des fournisseurs de service.

Un VPN SSL et TSL vous offre une session sécurisée du navigateur de votre PC au serveur de
l’application. C’est parce que les navigateurs internet passent facilement au SSL sans que
l’utilisateur ait besoin de faire grand chose. Les navigateurs web possèdent déjà SSL et TSL
de façon intégrée. Les connexions SSL commencent par https au début de l’URL au lieu de
http.

E) MPLS VPN

VIRTUEL PRIVATE NETWORK p. 41

Un Multi-Protocol Label Switching (Multi-protocole de commutation d’étiquettes), ou un
VPN MPLS, est utilisé pour des connexions de type Site-à-Site. C’est principalement dû au
fait que les MPLS sont très flexibles et adaptables. Le MPLS est une ressource normalisée
utilisée pour accélérer le processus de distribution de paquets de réseau avec de multiples
protocoles. Les VPN MPLS sont des systèmes basés sur fournisseurs d’accès. On dit ça quand
un site ou plusieurs sont connectés pour former un VPN avec le même fournisseur d’accès
ISP.

Toutefois, le plus gros inconvénient des VPN MPLS c’est que le réseau n’est pas facile à
mettre en place, par rapport aux autres VPN. Il est aussi très difficile à modifier. De plus, les
VPN MPLS sont souvent bien plus chers.

VIRTUEL PRIVATE NETWORK p. 42

F) Hybrid VPN
Un VPN hybride combine à la fois un MPLS et un IPsec. Habituellement, ces deux types de
VPN sont utilisés séparément. Mais il est possible de les utiliser en même temps. On peut par
exemple utiliser le VPN IPsec comme soutien du VPN MPLS. Les VPN IPsec nécessitent de
l'équipement du côté du client, comme mentionné ci-dessus. Habituellement, il faut un routeur
ou un appareil de sécurité multi-tâches. Grâce à ces appareils, les données sont cryptées et
forment le tunnel VPN comme évoqué précédemment. Les VPN MPLS sont utilisés par un
porteur, ce qui signifie que l'équipement doit être dans le réseau du porteur.
Pour réussir à connecter ces deux VPN, un portail est établi pour éliminer le tunnel IPsec mais
aussi le relier au VPN MPLS tout en préservant la sécurité qu'offrent ce réseau. Les VPN
hybrides sont utilisés par les entreprises car c’est le choix le plus approprié pour leurs sites.
Les MLPS ont beaucoup d’avantages par rapport aux connexions internet publiques, mais le
coût est élevé. Utiliser un VPN hybride vous permet d’accéder au site central via un site
secondaire. Les VPN hybrides coûtent assez cher mais sont très flexibles.
Tunneling
● Caractéristiques
Un tunnel sert à transporter des données d’un point A vers un point B, au sens où les données
qui "entrent" dans le tunnel en A "ressortent" nécessairement en B.

Figure 15 : tunnel

VIRTUEL PRIVATE NETWORK p. 43

1.10 .Tunnels
A. Principe de fonctionnement
Un tunnel, dans le contexte des réseaux informatiques, est
une encapsulation de données d'un protocole réseau dans un autre, situé dans la
même couche du modèle en couches, ou dans une couche de niveau supérieur.
Le transport de données se fait par encapsulation
Extrémité du tunnel: données à transporter insérées dans un paquet de protocole de
"tunnelisation", puis dans un paquet du protocole de transport de données.
L'autre extrémité du tunnel: données extraites du protocole de "tunnelisation" et poursuivent
leur chemin sous leur forme initiale.
B.Différents protocoles :
● Passenger Protocol
● Les données originales (IP…) à transmettre.
● Encapsulating Protocol –
● Le protocole (GRE, IPSec, PPTP, L2TP) utilisé pour encapsuler les données
originales.
Carrier Protocol –
Le protocole employé par le réseau pour transporter les données.
The original packet (Passenger protocol) is encapsulated inside the encapsulating Protocol,
which is then put inside the carrier protocol’s header (usually IP) for transmission over the
public network.
Le protocole d'encapsulation peut assurer également le chiffrement des données.
Protocoles de niveau 2 : PPTP, L2TP tous les deux encapsulent les données utiles (payload)
dans une trame PPP qui sera transmise à travers Internet.
Le tunnel est semblable à une session ;
Les deux extrémités du tunnel doivent être d'accord et doivent négocier des variables de
configuration, assignation des adresses, paramètres d’encryptions et/ou de compression ;
Un mécanisme de gestion et de maintenance du tunnel.
Protocoles de niveau 3 : IPSec encapsule les paquets IP dans un autre paquet IP avant de
l'envoyer sur Internet.
● Les variables sont pré-configurées
● Pas de phase d'entretien de tunnel
Protocoles de niveau 4 : utilise TLS/SSL pour sécuriser les échanges au niveau de la couche
Transport
VPN accès distant
● Permet à des utilisateurs itinérants d'accéder au réseau privé.
● L'établissement de la connexion VPN se fait via une connexion Internet.
Deux cas :

VIRTUEL PRIVATE NETWORK p. 44

 ● La connexion est établie entre le NAS (Network Access Server) de l'ISP et le serveur
VPN disant.
● La connexion est établie entre le client (client vpn) le serveur VPN distant.

Figure 16 : Client et serveur

L'intranet VPN (vpn entre sites):
Permet de relier plusieurs sites distants au sein d'une entreprise.
Mise en œuvre avec des tunnels de niveau 3.
Garantie une authentification au niveau paquet

Figure 17 : Fonction des PVN

Accès client distant via un intranet :
Utilisé pour sécuriser un réseau d’un département du reste de l'intranet d’une l'entreprise :
Le réseau département étant séparé d’intranet par un serveur VPN .
Les utilisateurs doivent bénéficier des autorisations appropriées pour établir une connexion
VPN au serveur VPN.
Pour tous les autres, le réseau du département est masqué.

VIRTUEL PRIVATE NETWORK p. 45

Figure 18 : Département du réseau VPN
C.Caractéristiques fondamentales d'un VPN
● A Une solution de VPN devrait fournir au moins l'ensemble des
caractéristiques suivantes :
● Authentification
● Cryptage des données
● Adressage
● Filtrage de paquet
● Gestion des clés
● Support Multi protocole.
● Authentification
● Seuls les utilisateurs autorisés de la connexion VPN doivent pouvoir
s'identifier sur le réseau virtuel.
● Authentification au niveau utilisateur
Protocole PPTP (niveau 2).
Basée sur le schéma d'authentification de PPP (PAP, MS-CHAP- v1&v 2).
Authentification au niveau paquet:
Protocole Ipsec (niveau 3).
Identification de la source des données transmises, non-répudiation, etc.
Basée sur les signatures numériques ajoutées aux paquets.
Authentification de type EAP:
EAP-TLS (RFC 2716) est une méthode d’authentification forte basée sur des certificats à clés
publique.
Cryptage de données
Nécessité de cryptage des données pour protéger les données échangées entre le client et le
serveur VPN
Le cryptage des données pour les tunnels PPTP (implémentation Microsoft) utilise le
protocole MPPE (Microsoft Point-to-Point Encryptions),
Utilise l'algorithme RSA/RC4 pour créer une clé de cryptage basée sur le mot de passe client.
Adressage
Attribuer au client VPN une adresse IP privée lors de la connexion au réseau distant et
garantir que cette adresse reste confidentielle:
Les protocoles de tunneling niveau 2 supportent une assignation dynamique d'une adresse à
un client, grace au protocole NCP (Network Control Protocol).
Les protocoles de tunneling niveau 3 Layer 3 tunneling assument une assignation statique
d'une adresse aux extrémités du tunnel avant que celui-ci soit établi.

VIRTUEL PRIVATE NETWORK p. 46

 Filtrage de paquets
Mise en place de filtres sur l'interface correspondant à la connexion à Internet du serveur VPN
Autoriser seulement le trafic VPN d'utilisateurs authentifiés
Empêcher le serveur VPN de recevoir du trafic en dehors du trafic VPN.
Assurer que seules les données cryptées autorisées pénètrent au sortent du LAN privé.
Support Multi-protocole
La solution VPN doit supporter les protocoles les plus utilisés sur les réseaux publics en
particulier IP.
Les Protocoles de tunneling niveau 2 peuvent supportent plusieurs protocoles de liaisons de
données (Ethernet, PPP, FR, MPLS, etc).
Les Protocoles de tunneling niveau 3, tels que IPSEC, supportent uniquement les couches
cibles utilisant le protocole IP.
D.Point-to-Point Tunneling Protocol
Protocole qui utilise une connexion PPP à travers le réseau TCP/IP pour établir une connexion
vpn :
Le client PPTP se connecte à un serveur d'accès (NAS) chez l'ISP :
Initiation d'une connexion PPP vers l'ISP pour accéder à Internet.
Le NAS établit ensuite une connexion VPN utilisant PPTP vers le serveur VPN :
PPTP encapsulation des trames PPP cryptés dans des datagrammes IP grâce au protocole
d'encapsulation GRE ;
Trois composants :
● La connexion PPP ;
● La Connexion de contrôle PPTP ;
● Encapsulation et transmission des données PPTP ;
● Le protocole PPP
PPTP utilise PPP pour se connecter à un ISP (NAS).
Protocole de niveau 2 permettant d'encapsuler des paquets IP sur une liaison point à point.
Encapsulation de plusieurs protocoles au moyen de son composant NCP (Network
Control Protocol) dans des trames PPP:
Protocoles de la couche réseau transportées dans une trame PPP
NCP pour chaque protocole de la couche réseau; IPCP pour IP
Établissement et contrôle de la liaison avec LCP (Link Control Protocol):
Négocie et définit les options de contrôle sur la liaison de données.
Établissement d’une session PPP
Trois phases principales
Établissement de liaison ,
Authentification optionnelle,
Configuration du protocole de la couche réseau
Session PPP – Phase 1

VIRTUEL PRIVATE NETWORK p. 47

Établissement de liaison
Chaque équipement PPP envoie des paquets LCP pour configurer, tester et terminer la liaison
de données.
Les Paquets LCP contiennent un champs d’option de configuration permettant de négocier
l’utilisation d’options telles que :
compression de certains champs PPP
protocole d’authentification de liaison
Session PPP – Phase 2
Authentification optionnelle
L’authentification a lieu avant d’entrer dans le phase de protocole de la couche réseau, une
fois que le protocole d’authentification a été choisi.
Différentes méthodes d’authentification:
● Password Authentication Protocol (PAP),
● Challenge Handshake Authentication Protocol (CHAP),
● Microsoft Challenge Handshake Authentication Protocol (MS-CHAP).
Session PPP – Phase 3
Protocole de couche réseau :
Les équipements PPP envoient des paquets NCP pour choisir et configurer un ou plusieurs
protocoles de la couche réseau (tel que IP).
Choix du protocole (IPCP par exemple), assignation d’une @IP au client, envoie des
datagrammes de chaque protocole sur la liaison.
Authentification PPP (1)PAP (PPP Authentification Protocol RFC1334)
Authentification auprès du NAS par un nom d’utilisateur/mot de passe.
Le mot de passe circule en clair.
Inconvénients :
Schéma d’authentification non sécurisé :
Un tiers pourrait capturer le nom et le mot de passe de l'utilisateur
Aucune protection contre les attaques par le rejeu n’est fournie.
Authentification PPP (2)
L’ 'authentification est le processus qui permet de vérifier qu'un utilisateur est bien celui qu'il
dit être. La séquence de connexion UNIX est une forme simple d'authentification
Challenge qui authentifie l’utilisateur auprès du NAS :
● Le NAS envoie au user un "challenge" crypté avec un "secret partagé".
● Le user répond avec une valeur calculée en utilisant une fonction de hachage
(MD5) le tout crypté avec le "secret partagé".
● Le NAS vérifie la réponse avec son propre calcul du hachée prévue. Si les
valeurs concordent, le connexion est établie.
● A des intervalles aléatoires, le NAS envoie un nouveau "challenge" au user, et
répète les étapes 1 à 3.
"challenge" CHAP = Session ID + nombre aléatoire.

VIRTUEL PRIVATE NETWORK p. 48

Authentification basée sur un "secret partagé" dérivé d'un mot de passe stocké “en clair” sur le
NAS.
Authentification PPP (3)
Authentification mutuelle des deux pairs :
Le NAS vérifie que le client d'accès a la connaissance du mot de passe de l'utilisateur et le
client d'accès vérifie que le NAS a la connaissance du mot de passe de l'utilisateur.
Le serveur utilise les hachés du mot de passe du client, conservés dans une base de données,
plutôt que le mot de passe “en clair”.

VIRTUEL PRIVATE NETWORK p. 49

Connexion de contrôle PPTP
● Le client se connecte au serveur d'accès réseau (NAS) de l'ISP. Après que le client ait
initialisé sa connexion PPP, un second appel est fait sur la connexion PPP existante
(datagramme IP contenant des paquets PPP). Ce second appel crée une connection
VPN au server PPTP appelée tunnel.
● Messages de contrôle entre client/serveur PPTP
● Établissement, maintien et terminaison du tunnel PPTP.
● Messages transmis dans des segments TCP.
● Format d'un Message de contrôle PPTP
PPTP (Point to Point Tunneling Protocol) vient de chez Microsoft, Ascend, 3Com ECI
Telematic et US Robotics. Cette fois, le tunnel est établi depuis le poste de l’utilisateur. Il
permet d’établir des connexions PPP au travers des réseaux IP comme Internet. Il a deux
composantes :
Connexion de contrôle entre client et serveur (TCP port 1723)
Encapsulation de PPP dans IP via GRE

Disponibilité :
Serveur : Windows NT, Linux FreeBSD…
Client : Windows NT/98/98/2000, linux, free BSD…
On peut lui associer les algorithmes MS-CHAP (Authentification)et MPPE (Microsoft Point
to Point Encryption), mais ce dernier n’offre pas une sécurité absolue.
Scénario typique PPTP
Le client se connecte au serveur d’accès réseau (NAS) de l’ISP. Après que le client ait
initialisé sa connexion PPP, un second appel est fait sur la connexion PPP existante
(datagramme IP contenant des paquets PPP). Ce second appel crée une connexion VPN au
server PPTP appelée tunnel.

VIRTUEL PRIVATE NETWORK p. 50

Lorsque le serveur PPTP reçoie des paquets du réseau public il traite le paquet PPTP pour
obtenir le nom de l’ordinateur ou l’adresse encapsulée dans le paquet PPP (supporte TCP IP,
IPX ou NetBEUI).

PPTP encapsule les paquets PPP (encryptés et compressés) dans des datagrammes IP à l’aide
de GRE (Generic Routing Encoding RFC 1701/02).
Trois composants entrent en jeu dans PPTP :
PPTP Connexion et Communication. Un client utilise PPP pour se connecter à l’ISP.

PPTP Contrôle de connexion. En utilisant la connection internet établie par PPP, PPTP crée
un contrôle de connexion du PPTP client jusqu’au PPTP serveur. Cette connexion utilise TCP
pour être établie et s’appelle tunnel. Les messages de contrôle établissent, maintiennent et
terminent le tunnel PPTP.

Voici les messages type utilisé pour cela :

Message Type Purpose
PPTP_START_SESSION_REQUEST Starts Session
PPTP_START_SESSION_REPLY Replies to start session
request

VIRTUEL PRIVATE NETWORK p. 51

 PPTP_ECHO_REQUEST Maintains session
PPTP_ECHO_REPLY Replies to maintain session
request
PPTP_WAN_ERROR_NOTIFY Reports an error on the PPP
connection
PPTP_SET_LINK_INFO Configures the connection
between client and PPTP
Server
PPTP_STOP_SESSION_REQUEST Ends session
PPTP_STOP_SESSION_REPLY Replies to end session
request
Table 1 - PPTP Control Message Types
PPTP tunnel de donné. Finalement, le protocole PPTP crée des datagrammes IP contenant des
paquets PPP encryptés envoyer à travers le tunnel au serveur PPTP. Ce dernier les
désassemble puis décrypte les paquets PPP afin de les router sur le réseau privé. Voici le
format de l’en-tête des datagrames IP sur le tunnel :

Figure 19 : IP datagram Containing Encrypted PPP packet as created by PPTP

Transmission de données PPTP
Encapsulation des trames PPP dans des datagrammes IP :
Datagrammes IP créés en utilisant le protocole GRE
GRE : Generic Routing Encapsulation
Format d'un datagramme IP créé par PPTP

Scenario de la démonstration

VIRTUEL PRIVATE NETWORK p. 52

 Layer 2 Forwarding

Protocole développé Cisco Systems (RFC 2341)

L2F fournit un tunnel sécurisé entre utilisateurs distants et la passerelle VPN
Authentification basée sur PPP / Chiffrement basé sur PPP
Composants
Tunnel L2F entre l’ISP et le serveur d’accès distant
Connexion PPP entre le client et l’ISP, que l’ISP fait suivre au serveur d’accès distant via le tunnel
L2F
● Layer 2 Tunneling Protocol
L2TP = Fusion de PPTP et de L2F (RFC 2661)
Transport en tunneling de trames PPP via Internet :
Repose sur le protocole UDP (port 1701) qui lui même repose sur IP
L'Encapsulation : Layer-2-->IP--> UDP--> L2TP--> PPP--> IP
● Deux composants
LAC (L2TP Access Concentrator) : Client L2TP (NAS du ISP)
LNS (L2TP Network Server) : Seveur L2TP
Tunnel entre le LAC et le LNS
Schéma de l'architecture

Figure 20 : L'utilisateur (mobile) utilise le tunnel L2TP créé à travers internet pour se relier au
réseau privé.

VIRTUEL PRIVATE NETWORK p. 53

L2TP Access Concentrator
● Permet de relayer le trafic entre le LNS et l'utilisateur
● Encapsulation de n'importe quel protocole transporté dans la trame PPP.
● Permet de négocier le LCP et l’authentification de l'utilisateur
● Données de négociation recueillies expédiées au LNS.

L2TP Network Server

Équipement final de la connexion PPP

L2TP _Résumé

L2TP/IPSec : Encapsulation

VIRTUEL PRIVATE NETWORK p. 54

VIRTUEL PRIVATE NETWORK p. 55
1.11.Utilisation DMVPN
Comment fonctionne un VPN ?
Un réseau virtuel privé, ou VPN, est un système qui réalise une connexion internet à l'aide d'un autre
serveur. Il est situé, la plupart du temps, dans un autre pays, par le biais d'une connexion chiffrée. De
cette manière, ce VPN vous fait bénéficier d'une adresse IP différente de celle qui vous est
normalement attribuée. Vous pouvez ainsi cacher votre situation géographique réelle et surfer sur
internet sous couvert d'anonymat.
Utilisé, à la base, principalement par des entreprises, de plus en plus de particuliers l'emploient
aujourd'hui. Lorsque les employés voulaient accéder à l'intranet de leur entreprise à distance, et ce, de
manière sécurisée, les VPN étaient un recours parfait.
Protocoles utilise par VPN avec le télétravail, de plus en plus d'utilisateurs passent par un VPN pour
sécuriser leur accès à Internet. Tous les services n'offrent pas nécessairement les mêmes garanties. Le
choix du protocole utilisé a une incidence sur la sécurité de la connexion, ainsi que sur la vitesse et
même l'autonomie de l'appareil. Il est donc important de comprendre le fonctionnement des différents
protocoles proposés pour pouvoir choisir celui qui sera le plus adapté à ses besoins.
1.12. Lightway
Lightway est un nouveau protocole développé par ExpressVPN et qui pourrait remplacer OpenVPN
pour de bon. Il est beaucoup plus léger qu'OpenVPN grâce à un code réduit, et bascule facilement d'un
réseau à un autre. Étant conçu pour la performance, il consomme moins d'énergie, le rendant très
intéressant sur les appareils mobiles. Il offre bien entendu une sécurité maximale grâce à la
bibliothèque de cryptographie wolfSSL. L'éditeur compte bientôt publier le code source sous licence
libre.
Le protocole Lightway est également conçu pour permettre des vitesses de connexion extrêmement
rapides et, puisqu'il est développé de toutes pièces par ExpressVPN, des améliorations continues sont
possibles.

Figure 21 : Protocole Lightway

Un VPN entant qu'une sécurité quand on fait une transmission de données, ne permet pas seulement
nous protège contre des pirates mais d'une part il est disponible pour nous permettre également
d'empêcher les institutions ou même un FAI de surveille notre navigation

VIRTUEL PRIVATE NETWORK p. 56

1.13. Protocole PPP
PPP (Point to Point Protocol) est un protocole qui permet de transfert des données sur un lien
synchrone, il est full duplex et garantir l'ordre d'arrivée des paquets. Il encapsule les paquets Ip, Ipx et
Netbeuis dans le trames PPP, puis transmet des paquets encapsulés au travers de la liaison point à
point. PPP est employé généralement entre un client d'accès à distance et un serveur d'accès réseau, ce
protocole n'est pas un protocole sécurisé mais sert de support aux protocoles PPTP ou L2TP
Un VPN Site-to-Site (site-à-site) est également appelé Router-to-Router (routeur-à-routeur), et on
l'utilise principalement pour des opérations commerciales. Comme beaucoup d'entreprises possèdent
des bureaux nationaux et internationaux, un VPN Site-to-Site sert à relier le réseau des bureaux
principaux au reste des bureaux. Ce type de VPN est basé sur Intranet. Le contraire est aussi possible
avec les VPN Site-to-Site. Certaines entreprises l'utilisent pour se connecter à d'autres entreprises, de la
même façon, mais on appelle ça un VPN basé sur Extranet. Dans des termes simples, les VPN
Site-to-Site construisent un réseau virtuel qui unit des réseaux issus de localisations variées pour les
connecter à Internet et maintenir des communications sécurisées et privées entre eux.
1.14. VPN PPTP
PPTP VPN signifie Point-to-Point Tunneling Protocol (protocole de tunnel point-à-point). Comme son
nom l'indique, un VPN PPTP crée un tunnel qui capture les données. Son nom est un peu long pour le
plus courant des VPN.
Les VPN PPTP sont utilisés par des utilisateurs éloignés pour se connecter à leur réseau VPN en
utilisant leur connexion internet existante.
Il fonctionne à la couche 2 (couche de liaison de données) du modèle OSI. PPTP est une extension du
protocole Point-to-Point (PPP). Par conséquent, il utilise les fonctionnalités de PPP telles que
l'encapsulation multiple des protocoles pour authentifier les appareils PPTP.
Ce VPN est utile pour les professionnels et les particuliers. Pour accéder au VPN, les utilisateurs s'y
enregistrent en utilisant un mot de passe pré-approuvé. Les VPN PPTP sont idéaux autant pour une
utilisation privée que professionnelle parce qu'il n'y a pas besoin d'installer de matériel supplémentaire
et leurs fonctionnalités sont habituellement offertes dans un logiciel peu cher. Ils sont aussi les plus
courants grâce à leur compatibilité avec Windows, Mac et Linux.
La connexion s'effectue de la sorte :
Y' Le client se connecte à l'internet par son modem par le PPP(classement) ; y' Le client se connecte
alors au serveur VPN par une connexion IP encapsulant les paquets GRE/PPP cryptés puis forme deux
connexion l'une sur l'autre ;
Y' La connexion normale sur internet c'est-à-dire qu'elle achemine le trafic vers ou
depuis l'internet ;
Y' La connexion virtuelle au-dessus de la connexion internet : elle achemine le
trafic vers le réseau VPN ;
Y' A la fin de la connexion, le serveur internet va fermer le tunnel.

VIRTUEL PRIVATE NETWORK p. 57

Figure 22 : Protocole PPTP
1.15. Protocole L2TP
Le Layer 2 Tunneling Protocol (L2TP), ou « protocole de tunnelisation de niveau 2 », ne contient
aucun système de chiffrement ou d'authentification. Il est donc généralement associé à l'Internet
Protocol Security (IP Sec), ou « sécurité de protocole Internet », qui assure le chiffrement de chaque
paquet de données. Développé par System Cisco, L2TP est une combinaison de Layer 2 Forwarding
(L2F) et PPTP. Il est à base d'une technologie PPP, par conséquent, il utilise des fonctionnalités de
celui-ci, telle que la gestion de contrôle de session, la répartition et l'affectation des adresses, et du
routage. L2TP permet au trafic multi protocole d'être chiffré, puis être envoyé sur n'importe quel
support qui soutient le cheminement point à point de L2TP. Il utilise UDP comme une méthode
d'encapsulation pour des travaux d'entretien du tunnel et les données utilisateur. Les paquets L2TP sont
protégés par ESP IPsec en mode transport. Par conséquent, la mise en œuvre L2TP inclura l'utilisation
de IPsec.
Les mécanismes de sécurité mis en place dans IPSec sont plus robustes et plus reconnus que ceux mis
en place par Microsoft dans PPTP. Par défaut le protocole L2tp utilise le protocole IPSec. Cependant si
le serveur distant ne le supporte pas L2tp pourra utiliser un autre protocole de sécurité. Il convient donc
de s'assurer que l'ensemble des équipements d'un VPN L2tp implémente bien le protocole. IPSec ne
permet d'identifier que des machines et non pas des utilisateurs. Ceci est particulièrement
problématique pour les utilisateurs itinérants.
Enfin IPsec à cause de la lourdeur des opérations de cryptage/décryptage réduit les performances
globales des réseaux. L'achat de périphériques dédiés, coûteux est souvent indispensable.
Ce protocole est très proche du protocole PPTP, les trames PPP sont encapsulées dans le protocole
L2TP lui-même

VIRTUEL PRIVATE NETWORK p. 58

 Quelles sont les protocole utilise deux sorte de serveur ?
La première typologie de serveur est pour l'utilisateur du L2TP : LAC
LAC (L2TP Access Concentrateur), c'est un concentrateur d'accès L2TP. Il a une responsabilité
d'identification et construit de tunnel vers le LNS, Il se trouve obligatoirement dans une infrastructure
du FAI (Fournisseur d'Accès Internet) de chaque usager du VPN, cela est donc très lourd et cher à
mettre en place une mesure ou il faudra louer une place dans un serveur de connexion du FAI.
La deuxième typologie de serveur est pour l'utilisateur du L2TP : LNS
LNS (L2TP Network Serveur), c'est un serveur réseau qui assure la communication du réseau auquel il
est connecté et les LACS vers lesquels il y a présence d'un tunnel. Il se retrouve généralement dans
l'entreprise ou service auquel appartient l'utilisateur distant.

Figure 23: Protocole L2TP

1.16. Protocole IPsec
Ce protocole est développé par l'IETF, IPSec est un standard qui garantit la sécurité de transmission et
l'authentification des utilisateurs sur les réseaux publics. IPSec fonctionne à la couche3 réseau de
systèmes (OSI). Par conséquent, il peut être mis en œuvre indépendamment des applications qui
s'exécutent sur le réseau. IPsec offre la confidentialité des données, en utilisant le chiffrement pour
protéger les données contre les tentatives d'écoute.
Ce protocole introduit des mécanismes de sécurité au niveau du protocole IP, de telle sorte qu'il y ait
indépendance des fonctions introduites pour la sécurité dans IPsec vis-à-vis du protocole de transport.
L'authentification, l'intégrité des données et la confidentialité sont les principales fonctions de sécurité
apportées par IPsec. Pour cela, une signature électronique est ajoutée au paquet IP. La confidentialité
est garantie pour les données et éventuellement pour leur origine et leur destination.
IPSec n'est pas un remplaçant d'IP mais un complément. Ainsi, il intègre des notions essentielles de
sécurité au datagramme IP qui assurent l'authenticité, l'authentification et le cryptage. Pour cela, il fait
largement usage de clés de session
Sa classification parmi les couches du modèle référentielles OSI lui permet donc de sécuriser tous les
types d'application et protocoles réseaux basée sur IP sans distinction.

Figure24 : IPsec VPN

VIRTUEL PRIVATE NETWORK p. 59

La stratégie IPSec permettant d'assurer la confidentialité, l'intégrité et l'authentification des données
entre deux hôtes est gérée par un ensemble de normes et de protocoles :
Intégrité des données échangées ?
IPSec permet de vérifier qu'aucune donnée n'a été altérée lors du trajet.
Confidentialité des données échangées ?
Le contenu de chaque paquet IP peut être chiffré afin qu'aucune personne non autorisée ne puisse le
lire.
Authentification des extrémités ?
Elle permet à chacun de s'assurer de l'identité de chacun des interlocuteurs. Précisons que
l'authentification se fait entre les machines et non entre les utilisateurs, dans la mesure où IPSec est un
protocole de couche 3.
On veut garantir qu'à chaque instant de la communication, on parle au bon interlocuteur. Dans le cadre
de VPN, on parle de deux passerelles qui sont séparé par internet.
Protection contre les écoutes et analyses de trafic ?
Le mode tunneling (détaillé plus loin) permet de chiffrer les adresses IP réelles et les entêtes des
paquets IP de l'émetteur et du destinataire. Ce mode permet ainsi de contrecarrer toutes les attaques de
ceux qui voudraient intercepter des trames afin d'en récupérer leur contenu.
Mais sa particularité par rapport au protocole AH, ESP assure surtout la confidentialité (le chiffrement
des données)
La non-répudiation ?
La non-répudiation ou la comptabilité est l'enregistrement de la session VPN. Cela pourrait inclure
l'identité des deux dispositifs pour établir la connexion, la durée de la connexion qui a été utilisée, la
quantité d'information qui a été transmise, le type d'informations traversé pendant la connexion, etc.
Cela peut ensuite être utilisé pour détecter les attaques et pour l'accès à des fins de gestion, telles que la
création des lignes de base et la recherche de problèmes de bande passante.
L'autorisation ?
L'autorisation est le processus d'octroi ou de refus de l'accès aux ressources situées dans un réseau
après que l'utilisateur ait été identifié et authentifié.
Tunnel ?
Le tunnel consiste à établir un canal entre 2 points sans se soucier des problématique d'interconnexion
(de façon transparent)
Mécanisme
Le « Perfect Forward Secrecy » (PFS) est assurée par une renégociation régulière des clefs. Dans le cas
ou un attaquant intercepterait et déchiffrerait une clef de session, celle ci serait probablement déjà
«périmée » avant qu'il puisse l'utiliser. L'Identity Protection, ou protection de l'identité, est respectée si
un message intercepté ne permet pas de déterminer l'identité des tiers communiquant. Le Back Traffic
Protection consiste en une génération de nouvelles clefs de sessions sans utilisation de clefs maîtresses.
Les nouvelles clefs étant indépendantes des clefs précédentes, la découverte d'une clef de session ne
permet ni de retrouver les clefs de session passées ni d'en déduire les clefs à venir
IPSec est basé sur deux mécanismes :
AH (Authentification Header) ?
ESP (Encapsulation Security Payload) ?

VIRTUEL PRIVATE NETWORK p. 60

AH (Authentication Header)
Ce protocole assure l'Authentification et l'intégrité des messages (dans une entête d'extension IP)
Mais par contre AH ne fournit aucune confidentialité (données non chiffrées)
ESP (Encapsulation Security Payload)
Ce protocole permet de faire l'authentification, l'intégrité des messages (dans une entête d'extension et
une postface).
Bien qu'indépendants, ces deux protocoles sont presque toujours utilisés conjointement. Le tableau
ci-dessous ulistre d'une manière claire les fonctionnements de ces deux protocoles.
Tableau : Etude comparatif entre le protocole AH et ESP
FONCTIONNALITES AH (Authentication Header) ESP(Encapsulation Security Payload)
INTEGRITE VALIDER VALIDER
AUTHENTIFICATION VALIDER VALIDER
REJET DES PAQUETS VALIDER VALIDER
CONFIDENTIALITE NON VALIDER VALIDER
CONFIDENTIALITE
PROTOCOLAIRE ET NON VALIDER VALIDER
TRAFIC (PARTIELLE)

VIRTUEL PRIVATE NETWORK p. 61

1.17. Les Réseaux Privés Virtuels avec Multi Protocol Label Switching (VPN
MPLS)
Ce protocole également sera expliqué en détail dans le chapitre suivant, en soit un MPLS VPN est
définit dans le RFC 2547, il utilise MPLS et MPBGP (Multi Protocol BGP) pour transmettre des
données privées et le VPN pour le routage d'informations. Pour éviter que les adresses se chevauchent,
dans l'environnement MPLS VPN, une route globale RD unique (Route Distinguisher) est associée à la
plage d'adresse privée de chaque entreprise, pour former une adresse VPNv4 qui est acheminée par
MPBGP entre les routeurs Provider Edge (PE). Pour chaque entreprise, RD est différent, donc l'espace
d'adressage privé est isolé. Comme le routage doit être séparé et privé pour chaque client (VPN) sur un
routeur PE, chaque VPN doit avoir sa propre table de routage. Cette table de routage privé est appelée
la table de routage VRF. L'interface du routeur PE vers le routeur CE ne peut appartenir qu'à un seul
VRF.
L'architecture ci-dessous nous présente d’une manière brève l'emplacement des routeurs dans un
backbone, tiré de la source local host, sur un simulateur Cisco, dont la configuration se fera dans la
partie implémentation.

Figure 25: Architecture d'un coeur du réseau MPLS

VIRTUEL PRIVATE NETWORK p. 62

1.18. Comparaison entre IPSec et MPLS
Dans le tableau qui suit nous allons essayer de donner quelques points différentiels entre les deux
technologies ou protocoles de virtualisation très reconnue (IPsec et MPLS) Tableau.
II. 2 : Tableau Comparatif entre VPN IPSec et MPLS
Les points
IPSEC MPLS
comparatifs
La solution MPLS est
Exiges plusieurs serveurs implémentés dans
paramétrée par
un seul opérateur qui
plus chaque sites au cas où l'entreprise
supervise et
dispose plusieurs sites maintient l'ensemble du
réseau de
Implémentation ou
l’entreprise
Handover
Exige un backbone très
puissant pour
permettre la maintenance et
la garantie
de la qualité de service
Evolutivité élevée puisque
Les déploiements les plus vastes exigent
n'exige pas
Une interconnexion d'égal
Une planification soigneuse pour répondre
à égal entre
Les sites et que les
Notamment aux problèmes
déploiements
Evolution D’interconnexion site à site et de peering standard peuvent prendre
en charge
plusieurs dizaines de
milliers de
connexions par VPN
Comparable à la sécurité
Sécurité totale grâce à la combinaison de
offerte par
les réseaux ATM et Frame
certificats numériques et de Pki pour
Relay
Sécurité l'authentification ainsi qu'à une série existants.
d'options de cryptage, triple DES et

AES notamment avec RSA

VIRTUEL PRIVATE NETWORK p. 63

 Etendue Très vaste puisque repose sur Dépend du réseau Mpls du fournisseur de
l'accès à services
Internet
Qualités de Faible faut au moyen de Le transfert des informations ou
service transfert passe via le domaine données se fait comme en local même
Internet public (internet) si un user se trouve en distance par
rapport à son entreprise, Inférieur à
celui des réseaux Frame Relay et
ATM mais supérieur à celui des autres
Vpn IP.
Accès à distance et nomade Toutes les applications, y compris les logiciels
sécurisé. d'entreprise vitaux exigeant une qualité de
Applications sous IP, service élevée et une faible latence et les
Applications notamment applications en
compatibles courrier électronique et Internet. temps réel (vidéo et voix sur IP)
Inadapté au trafic en temps réel
ou à
priorité élevée
Frais de Traitements supplémentaires Aucun traitement exigé par le routage
gestion pour le
cryptage et le décryptage

VIRTUEL PRIVATE NETWORK p. 64

1.19. Topologie de VPN
Le VPN en tant qu'une technologie utilise parmi les topologies des réseaux informatique trois sortes
des topologies, pour permettre lors de l'implémentation une efficacité ou redondance des
communications des informations, en soit une topologie VPN détermine les homologues et les réseaux
qui font partie du VPN et comment il se connectent les uns aux autres , en plus dans les topologies qui
ont un très auxiliaire avec le VPN possèdent un caractère diffèrent des autres topologies, sur le plan
sécurité, ainsi ces trois sortes des technologies utilisées par le VPN sont: Topologie-point à point
,Topologie en Etoile et Topologie en Maille.
1.20. Topologie point à point
Dans cette technologie, vous devez définir deux terminaux en tant que périphériques
homologues qui communiqueront directement l'un avec l'autre. Chacun d'eux peut initier la connexion.

1.21. Topologie en Etoile

Dans une topologie en étoile, les ordinateurs du réseau sont reliés à un système matériel central appelé
concentrateur (en anglais hub, littéralement moyen de roue). Il s'agit d'une boîte comprenant un certain
nombre de jonctions auxquelles il est possible de raccorder les câbles réseau en provenance des
ordinateurs.
Dans le monde du réseau privé virtuel, le serveur VPN est configuré au centre de l'infrastructure réseau
d'entreprise pour permettre gestion des données d'une manière sécurisée, fait tout utilisateur passe tout
d'abord par le serveur VPN avant de pouvoir joindre un autre utilisateur ce qui ne pas le cas avec
d'autre topologie.
Dans cette topologie, toutes les ressources sont centralisées dans un même endroit, et c'est à ce
nouveau qu'on retrouve le serveur d'accès distant (ou serveur VPN).
Dans ce cas, tout employés du réseau doit s'identifier, s'authentifier au serveur et peuvent alors accéder
aux ressources qui se situent sur le réseau intranet.

Figure 26: Topologie VPN en Etoile

VIRTUEL PRIVATE NETWORK p. 65
1.22. Topologie VPN en Maillé
Dans cette autre topologie les routeurs ou passerelles présents aux extrémités de chaque site seront
considérés comme des serveurs d'accès distant, les ressources ici sont décentralisées sur chacun des
sites autrement dit les employés pourront accéder aux informations présents sur tous les réseaux.

Figure 27: Vpn en maillé

1 .22. Fonction hachage & certification
C’est une fonction facilement calculable permettent de transforme une message claire m de
taille quelconque à une message y de taille fixe n=>y=H(m)
Signature utilisable seulement pour des petis messages.

VIRTUEL PRIVATE NETWORK p. 66

1 .23. Conditions à satisfaire

► Une fonction de hachage h calcule z = h(m) pour m message de taille arbitraire et

z, empreinte de taille fixe. On veut que h soit être à sens unique, i.e.
⮚ • h(m) doit être facile à calculer à partir de m

VIRTUEL PRIVATE NETWORK p. 67

 ⮚ • z doit être difficile à inverser.

1.24.Hachage par compression

nom bits tours⇥étapes vitesse relative

MD5 128 4⇥16 1

SHA 160 4⇥20 0,28

1.25.Signature numérique

VIRTUEL PRIVATE NETWORK p. 68

1.26. Utilisation de signature numérique

VIRTUEL PRIVATE NETWORK p. 69

1.27. Certificat de clé publique
● Un certificat de clé publique de B garantit la relation entre IdB et pkB, signée
par un tiers de confiance, Ivan.
● Utilité : déjouer l’attaque de l’homme du milieu Un certificat de la clé
publique de B contient
o Sa clé publique
o Des infos concernant B (nom, e-mail. . . )
o La signature d’un tiers de confiance Ivan Ivan signe à la fois
o La clé
o Les infos concernant B
● Ivan certifie la relation entre la clé publique et l’identité de B.
1.28. Hachage en pratique
Openssl
Open source
Préinstaller dans les distributions de lunix
Simple & pratique
Contient aussi en biblieothéque en c «openssl.h»
Certificat (X.509)
► Associe une clé publique à l’identité d’un sujet ; comprend :
• Subject : Nom Distingué, Clé publique
• Issuer : Nom Distingué, Signature
• Period of Validity : date de début, date de fin
• Administrative Information : version, numéro de série
• Extended Information :
► L’information « Nom Distingué » comprend :

VIRTUEL PRIVATE NETWORK p. 70

 • Common Name : nom à certifier Bruno Martin
• Organization| Company : contexte U. Côte d’Azur
• Organizational Unit : contexte spécifique Deptinfo
• City/Locality : ville Sophia Antipolis
• State/Province : pour US PACA
Country : code pays
Comment connaît-on l’algorithme de vérification de l’autorité de certification ?
► Quel est le modèle de confiance ?
⮚ confiance directe
⮚ confiance hiérarchique (le plus utilisé)
⮚ toile de confiance (web of trust)
Chaîne de certification
AC peut aussi fournir un certificat à une autre AC. Alice peut ainsi remonter une chaîne de
certification jusqu’à trouver une AC en qui elle a confiance.

1.29.Rupture dans la chaîne

VIRTUEL PRIVATE NETWORK p. 71

Création d’une AC «racine»
► Problème des chaînes de certification : il faut une AC «racine». Celle-ci ne peut
se faire certifier. Dans ce cas, le certificat est auto-signé par l’AC racine. L’entité
qui délivre le certificat est identique au sujet certifié. La confiance réside dans une
large distribution de la clé publique de l’AC.
► Les systèmes d’exploitation sont configurés pour faire confiance à certaines AC
par défaut, comme CertiSign ou VeriSign utilisés par des autorités intermédiaires
comme Let’s Encrypt.
► Ces sociétés proposent des techniques pour demander des certificats, ont des
procédures de vérification de l’information, délivrent et gèrent des certificats.

VIRTUEL PRIVATE NETWORK p. 72

EXEMPLE
⮚ Tentative de concilier les modes directs et hiérarchiques.
⮚ La confiance est accordée par l’utilisateur selon le principe que plus on dispose
d’information, meilleure est la confiance. On accorde sa confiance directement ou au
moyen d’une chaîne de certification qui remonte jusqu’à un tiers connu selon le principe
:
⮚ TRAORE signe l’identifiant Maiga dans le certificat de Maiga ;
⮚ lorsque Maiga veut vérifier que TRAORE a signé son certificat , il utilise la clé
publique de TRAORE pour vérifier sa signature;Maiga fait confiance à
TRAORE. il reçoit un message signé de lui. Traore vérifie la validité de la
signature de Maiga (clé récupérée depuis un serveur de clés). Comme il fait
pleinement confiance à TRAORE, il valide de plus le fait que c’est bien Maiga
qui a signé ce message.
⮚ C’est le système utilisé par OpenPGP, GnuPG ou PGP.

VIRTUEL PRIVATE NETWORK p. 73

1.22. Conclusion
Cette technologie de virtualisation est très idéale pour l'interconnexion des sites distant d'une entreprise
ou une organisation d'une manière sécurisée, dans le réseau actuel tous les données passent ou transit
via un réseau public qui s'appelle « Internet », en toute réalité sachant que le réseau public est ouvert à
tout le monde, donc les données y transitent en claire ou ne sont crypté c'est-à-dire qu'ils peut être vues
par tout le monde même les personnes qui n'ont pas intérêt (confidentialité) et peuvent subir de
modification (intégrité).
Cette technologie vient palliée à ce problème en utilisant des algorithmes de chiffrement pour
permettre que lorsque les données passeront via internet par un tunnel que seules les personnes
autorisées peuvent déchiffrer les messages pour garantir la confidentialité.
En effet, la mise en place de VPN site-à-site permet aux réseaux privés de s'étendre et de se relier entre
eux au travers d'internet. Cette solution mise en place est une politique de réduction des coUts liés à
l'infrastructure réseau des entreprises. Il en ressort que la technologie VPN basé sur le protocole IPSec
est l'un des facteurs clés de succès qui évolue et ne doit pas aller en marge des infrastructures réseaux
sécurisés et du système d'information qui progressent de façon exponentielle.

VIRTUEL PRIVATE NETWORK p. 74

Chapitre II : DMVPN
INTRODUCTION

C’est l’une des grandes nouveautés du CCIE v5, le DMVPN (pour Dynamic Multipoint VPN)
remplace la partie Frame-Relay, donc voici quelques notes personnelles prises en regardant les
vidéos INE, et en synthétisant un peu le contenu.
De plus en plus d’entreprises expriment le besoin d’interconnecter leurs différents sites et
d’utiliser un moyen de chiffrement afin de protéger leurs communications. Dans le passé,
la seule solution à ce problème était l’utilisation des réseaux Layer-2 tels que RNIS ou
Frame Relay. La mise en place te le cout étant fastidieux, le déploiement de ces derniers
serait sans doute moins cher si tous les sites avaient accès à internet afin de faciliter la
sécurité des communications IP par l’utilisation des tunnels IPsec pour assurer
l’authentification, l’intégrité et la confidentialité des données (VPN IPsec).

Le VPN IPsec est une solution fiable de communication sécurisée, mais il présente un
certain nombre de limités à savoir :

● Une limite de maintenance et d’échelle : chaque ajout d’un nouveau site conduit à
une modification totale de la configuration du site central. La configuration du site
central peut facilement devenir illisible au bout d’une dizaine de sites.
● Pour interconnecter n sites, il faut configurer n(n-1)/2 tunnels et n routeurs ; une
équation qui devient difficile à résoudre quand le nombre de sites augmente
notamment dans el cas des réseaux Full Meshed ou complètement maillés.

● Ces principales limites ont poussé les auteurs du VPN IPsec à se tourner vers une
technologie beaucoup plus avantageuse : le DMVPN (Dynamic Multipoint VPN). Il
s’agit d’un mécanisme qui permet d’établir les tunnels IPsec + GRE directement
entre les routeurs qui veulent dialoguer ensemble avec une simplicité et une
scalabilité déconcertante et surtout de façon totalement dynamique. Son avantage
majeur est qu’il permet de garder la configuration des routeurs statiques en cas
d’ajout d’un nouveau site et la création des tunnels entre les sites distants est
entièrement automatique. Déployer cette solution logicielle Cisco IOS pour la
construction poussée IPsec des réseaux privés virtuels (VPN) sera l’objectif de notre
exposé.

VIRTUEL PRIVATE NETWORK p. 75

Section II : PRESENTATION DES DMVPN (DYNAMIC MULTIPOINT VPN)
Le DMVPN est en réalité un ensemble de technologies (IPsec, mGRE et NHRP) qui,
combinées, facilite le déploiement des réseaux privés virtuels IPsec. Il s’agit d’une solution
fiable, sécurisée et évolutive, permettant une mise en place et une gestion souples des
tunnels IPsec. Cisco DMVPN est basée sur une architecture centralisée et prend en compte
divers types d’utilisateurs dont les travailleurs mobiles, les télétravailleurs et même les
utilisateurs d’extranet.
Cisco DMVPN prend en compte la voix sur IP entre les différents sites connectés et ne
nécessite pas une connexion VPN permanente entre les sites. Il réduite considérablement la
latence et a gigue, tout en optimisant l’utilisation de la bande passante.
D’un point de vue High-level, il s’agit de “Point to Multipoint overlay VPN Tunneling”
ou Overlay veut dire que le DMVPN fonctionne au dessus d’autres protocoles (GRE / IPsec).
D’un point de vue Low-level, il s’agit de tunnels GRE over IPsec site-to-site tunnels – Gérables
dynamiquement et évolutifs.
High-level design & operations
Les sites distants (spokes) montent des tunnels statiques vers un central (Hub & spoke).
Les Spokes échangent des informations de routage avec les hub au travers du tunnel statique (EIGRP,
OSPF, RIP…).
Le trafic Spoke to hub est routé directement dans le tunnel statique.
Le trafic Spoke to Spoke est routé dynamiquement avec des tunnels à la demande.

Pourquoi le DMVPN ?

La gestion de la configuration est simple (les spokes utilisent un template standard) et celà facilite le
provisioning (Aucune configuration supplémentaire sur le Hub quand on ajoute d’autres spokes).
Le DMVPN supporte le transport de nombreux protocoles (IPv4, v6, unicast, multicast, static &
dynamic routing) et utilise n’importe quel transport IP (DSL, Cable, Différents ISPs..). Il fonctionne
aussi au travers du NAT.

DMVPN vs Others

IPsec statique
L’IPsec statique est difficile à faire évoluer d’un point de vue “management”, ajouter des nouveaux
sites requière beaucoup de configuration. Ce type de VPN ne supporte pas le routage dynamique ou le
VIRTUEL PRIVATE NETWORK p. 76
Multicast (de base).
MPLS L3 VPN
Ajoute une complexité de routage supplémentaire, ils ne supportent pas forcément IPv6 or IPv4/v6
Multicast.
L’Interopérabilité avec les fournisseurs d’accès pour le MPLS L3VPN est difficile à mettre en place, et
besoin de circuits séparés pour l’accès internet.

VIRTUEL PRIVATE NETWORK p. 77

2.1.LES COMPOSANTS ET LES TERMINOLOGIES
IPsec : protocole de chiffrement permettant de chiffrer le traffic entre deux sites, par
l’utilisation des clés pré-partagées. Il n’est sans doute pas le protocole le mieux
sécurisé mais permet une mise en œuvre simple et rapide.

mGRE (multipoint GRE) : protocole permettant de créer des tunnels multipoints

entres différents sites ; c’est-à-dire créer plusieurs tunnels à partir d’une seule
pseudo interface Tunnel.

NHRP (Next Hope Résolution Protocol): protocole permettant aux routeurs distants
de faire connaitre leur adresse IP servant à monter le tunnel GRE avec le serveur. Le
serveur, de son coté, stocke les adresses IP pour permettre à chaque routeur de
connaitre l’adresse de son voisin et ainsi établir un tunnel direct avec lui.

OSPF (Open Shortest Path First) : protocole de routage permettant au routeur du site
central de propager les différentes routes aux sites distants. Il permet aussi aux
routeurs des sites istants d’anoncer leur réseau local au site central.

Hub and Spoke : les deux termes désignent respectivement le routeur central et les
routeurs distants. Le site central desservi par le routeur central fait office de serveur
NHRP.

2.2.LES MODELES DE DEPLOIEMENT

Le DMVPN propose deux modèles de déploiement possibles :

● Le modèle Hub-and-spoke : chaque spoke possède une interface GRE

permettant de monter le tunnel vers le HUB. Tout traffic entre les spoke passe
par le HUB. Ce modèle ne prend pas en compte les liaisons entre les spokes.
● Le modèle Spoke-to-Spoke : chaque spoke doit disposer d’une interface
mGRE permettant aux tunnels dynamiques de transiter vers les autres spokes.
Ce modèle prend en compte les liaisons entre différents spokes et offre une
grande évolutivité de la configuration pour les périphériques

VIRTUEL PRIVATE NETWORK p. 78

2.3.LES AVANTAGES DU DMVPN
Les principaux avantages du DMVPN sont :
● Réduction des dépenses d’exploitation et d’immobilisation en
intégrant la voix et la vidéo à la sécurité VPN
● Simplification de la communication de la branche par une
connectivité directe branche à branche pour les applications telles
que la voix sur IP
● Réduction de la complexité de déploiement par la mise en place
d’une configuration simple, réduisant les difficultés de
déploiement des VPN
● Amélioration de la résilience de l’activité en empêchant les
perturbations et les services critiques. Le routage se fait avec la
technologie IPsec

2.4. IMPLEMENTATION

● IOS 12.3 et plus (Utilisationdur routeur c7200 pour avoir la fonctionnalité DMVPN).
● 48 Mo de RAM
● 12 Mo de flash
Fonctionnement du DMVPN
Il s’agit d’un réseau Full mesh de tunnels IPsec à la demande, avec un minimum de
configuration grâce aux protocoles suivants :
Multipoint GRE Tunnels (mGRE)
NHRP (Permet au Hub de retrouver les adresses IP des Hub dynamiquement).
IPsec crypto profiles (Encryption).
Routage (underlay/overlay)
La technologie DMVPN réduit le besoin de configurer un full mesh (n*(n-1)/2) de tunnels
statiques, ici nous n’avons qu’un seul tunnel mGRE sur le Hub pour tous. Les tunnels sont
ensuite montés à la demande entre les différents nœuds, selon le trafic, entre les spokes. Le
chiffrement via IPsec est optionnel.
La technologie DMVPN réduit le besoin de configurer un full mesh (n*(n-1)/2) de tunnels
statiques, ici nous n’avons qu’un seul tunnel mGRE sur le Hub pour tous. Les tunnels sont
ensuite montés à la demande entre les différents nœuds, selon le trafic, entre les spokes. Le
chiffrement via IPsec est optionnel.
Voici le schéma que nous utiliseront en exemple dans notre projet:
VIRTUEL PRIVATE NETWORK p. 79
Deux IGP sont requis:
Underlying: Pour la connectivité IP publique et monter les tunnels GRE.
Overlay: Pour s’échanger des routes privées une fois le tunnel monté.
Ici les adresses IP Underlay, dans un réseau directement connecté, mais qui pourrait très bien
être un réseau publique internet, en IPv4 ou en IPv6 car les deux protocoles sont supportés. Ce
sont des IP “Publiques”.

Ici les adresses IP Overlay, qui sont en fait les adresses IP que l’on donne aux tunnels GRE. Ce sont des IP
Privées.

● Fonctionnement – Hub to spoke

2 composants:
DMVPN Hub / NHRP Servers (NHS).
DMVPN Spokes / NHRP Clients (NHC).
VIRTUEL PRIVATE NETWORK p. 80
Les Spokes (Clients) s’enregistrent avec le Hub (Serveur).
– Ils spécifient manuellement l’adresse du Hub dans le Tunnel GRE (tunnel destination…).
– Ils envoient cela via le NHRP Registration Request
– Les Hub apprennent dynamiquement les adresses VPN (Privées) et adresses NBMA
(Publiques).
Les Spokes établissent les tunnels vers les Hub, puis ils échangent ensuite les infos de routage
IGP au travers du Tunnel.
Spoke to Spoke
Le Spoke 1 connait les routes du Spoke 2 via un IGP.
– Les routes sont connues via le tunnel vers le hub.
– Le Next-hop est l’adresse VPN du Spoke 2 pour le DMVPN Phase 2.
– Le Next-hop est l’adresse VPN du Hub pour le DMVPN Phase 3.
Le Spoke 1 demande l’adresse IP réelle du Spoke 2
– Il mappe l’IP du next-hop (VPN) à l’IP source du tunnel (NBMA).
– Adresse demandée via le NHRP resolution request
Le Spoke to Spoke tunnel est enfin formé
Le Hub effectue le control-plane seulement.
– Le Spoke to spoke data plane peut aussi passer par le hub dans certains cas, mais la plupart
du temps, les data ne passent plus par le Hub pour le trafic Spoke to Spoke.

NHRP Important messages

● 1-NHRP Registration Request

Les Spokes enregistrent leurs IP NBMA et VPN au NHS (Hub)
Requis pour construire le spoke-to-hub tunnels
2- NHRP Resolution REquest
Les Spokes demandent les mappings NBMA-to-VPN des autres spokes
Requis pour construire les spoke-to-spokes tunnels
3- NHRP Redirect
NHS (hub) répond à un spoke-to-spoke data plane packet via ce message.
Similaire aux IP redirect
Utilisé seulement en phase 3 pour construire les spoke-to-spoke tunnels.

DMVPN Basic Configuration

Emplacement dans le DOC CD: Cisco.com > Support > Products > IOS 15.3(1)T > Config
Guide > Security, Services, and VPN > Secure Connectivity > Dynamic Multipoint VPN
Configuration Guide.

Voici la topologie utilisée pour cet exemple :

VIRTUEL PRIVATE NETWORK p. 81

Hub Config
Le routeur R5 fait office de Hub pour cette architecture.
Voici la configuration la plus basique qu’il est nécessaire de mettre en place pour configurer un Hub
DMVPN.

R1(config)#do sh dmvpn
Legend: Attrb --> S - Static, D - Dynamic, I - Incomplete
N - NATed, L - Local, X - No Socket
# Ent --> Number of NHRP entries with same NBMA peer
NHS Status: E --> Expecting Replies, R --> Responding, W --> Waiting
UpDn Time --> Up or Down Time for a Tunnel
==========================================================================

Interface: Tunnel0, IPv4 NHRP Details

Type:Spoke, NHRP Peers:1,

# Ent Peer NBMA Addr Peer Tunnel Add State UpDn Tm Attrb
----- --------------- --------------- ----- -------- -----
1 169.254.100.5 10.1.0.5 UP 00:26:11 S

VIRTUEL PRIVATE NETWORK p. 82

2.4.Contexte
ISI est une grande société disposant de plusieurs Annexes dans les régions du Mali. ISI centre étant

Mali, l’on veut établir une communication sécurisée entre celui-ci et les autres sites
situés à Thiès et à Diourbel. L’objectif ici est d raccorder ISI-Dakar aux sites ISI-
DIOURBEL et ISI-KAOLACK en utilisant DMVPN.

VIRTUEL PRIVATE NETWORK p. 83

 Quelques précisions avant de commencer:

⮚ Que la politique IKE (crypto isakmp policy) soit identique sur chacun
des routeurs.
⮚ Que la politique IPSec (crypto ipsec transform-set) soit identique sur
chacun des routeurs.
⮚ Que le protocole de routage eigrp soit configuré de façon cohérente, c’est
à dire que le réseau WAN(172.16.1.0/24) soit déclaré dans une area
différente des réseaux LAN (192.168.x.0/24) et du réseau utilisé pour
les tunnels VPN (10.0.0.0/24). En effet, si cette condition n’est pas
remplie, vos tunnels VPN risquent d’avoir une connexion instable.

VIRTUEL PRIVATE NETWORK p. 84

CONFIGURATION DU HUB R1

⮚ On configure l’interface publique ainsi que celle de Loopback pour

émuler le LAN R1(config)# int FastEthernet0/0
! description Interface WAN

R1(config-if)#ip add 172.16.1.1

255.255.255.0 R1(config-if)# no sh
R1(config)# int Loopback0

! description Interface LAN

R1(config-if)# ip add 192.168.1.254 255.255.255.0

⮚ Une fois ces paramètres basiques configurés, on peut passer à la configuration

de l’interface Tunnel0 pour le NHRP.
R1(config)# interface Tunnel0

! Adresse IP du tunnel

R1(config-if)# ip address 10.0.0.1 255.255.255.0

! Configuration du NHRP

R1(config-if)# ip nhrp map multicast

dynamic R1(config-if)# ip nhrp
network-id 1
! Configuration du tunnel GRE
R1(config if)# tunnel source
172.16.1.1 R1(config-if)# tunnel mode
gre multipoint

CONFIGURATION DU SPOKE R2

R2(config)# interface FastEthernet0/0

!description Interface WAN

VIRTUEL PRIVATE NETWORK p. 85

 R2(config-if)# ip address 172.16.1.2
255.255.255.0 R2(config)# interface
Loopback0
!description Interface LAN

R2(config-if)# ip address 192.168.2.254

255.255.255.0 R2(config)# interface Tunnel0
R2(config-if)# ip address 10.0.0.2 255.255.255.0

! On mappe de façon manuelle en NHRP l'adresse publique du hub pour l'établissement du

tunnel permanent entre le spoke et le hub.
R2(config-if)# ip nhrp map 10.0.0.1
172.16.1.1 R2(config-if)# ip nhrp map
multicast 172.16.1.1 R2(config-if)# ip nhrp
network-id 1
! On identifie l'agent résolveur NHRP qui sera le hub R1.

R2(config-if)# ip nhrp nhs 10.0.0.1

! Configuration du tunnel GRE

R2(config-if)# tunnel source
172.16.1.2 R2(config-if)# tunnel mode
gre multipoint

CONFIGURATION DU SPOKE R3

R3(config)# interface FastEthernet0/0

!description Interface WAN

R3(config-if)# ip address 172.16.1.3

255.255.255.0 R3(config)# interface
Loopback0
!description Interface LAN

R3(config-if)# ip address 192.168.3.254

255.255.255.0 R3(config)# interface Tunnel0

VIRTUEL PRIVATE NETWORK p. 86

 R3(config-if)# ip address 10.0.0.3 255.255.255.0

! On mappe de façon manuelle en NHRP l'adresse publique du hub pour l'établissement du

tunnel permanent entre le spoke et le hub.
R3(config-if)# ip nhrp map 10.0.0.1
172.16.1.1 R3(config-if)# ip nhrp map
multicast 172.16.1.1 R3(config-if)# nhrp
network-id 1
! On identifie l'agent résolveur NHRP qui sera le hub R1.

R3(config-if)# ip nhrp nhs 10.0.0.1

! Configuration du tunnel GRE

R3(config-if)# tunnel source
172.16.1.3 R3(config-if)# tunnel mode
gre multipoint Configuration du
protocole de routage
On a choisit EIGRP. La configuration s’applique encore une fois de façon similaire sur
l’ensemble des routeurs(hub et spokes).
R1(config)# router eigrp 1

R1(config-router)# network 10.0.0.0! Activation et partage eigrp dans le tunnel

R1(config-router)# network 192.168.1.0 ! Activation et partage eigrp pour le
LAN R1(config)# int Tunnel0
! On désactive le mécanisme Split-Horizon

R1(config-router)# no ip split-horizon eigrp 1

! On demande à EIGRP de ne pas réécrire l'adresse de next-hop avec celle du routeur qui
annonce puisque que cela sert directement pour l'établissement de lien dynamique avec
l'aide d'NHRP.
R1(config-router)# no ip next-hop-self
eigrp 1 R2(config)# router eigrp 1
R2(config-router)# network 10.0.0.0

VIRTUEL PRIVATE NETWORK p. 87

 R2(config-router)# network
192.168.2.0 R2(config)# int Tunnel0
R2(config-router)# no ip split-horizon
eigrp 1 R2(config-router)# no ip
next-hop-self eigrp 1 Et idem pour le
router R3.

TESTS

Pour vérifier que tout fonctionne correctement, vous pouvez effectuer des captures de
paquets par le biais du logiciel Wireshark, ce qui vous permettra d’apercevoir des
paquets ESP (Encapsulating Security Payload) transitant entre les différents routeurs
pour les communications Lan-to-Lan. Ou tout simplement lancer un ping du LAN de
R2 au LAN de R3.
⮚ Juste avant, remarquez l’output de la commande show dmvpn:

R2 nous signale que le tunnel permanent NHRP est établi entre le hub R1 et le spoke
R2. C’est déjà bon signe.

⮚ Exécutez également un show ip route

VIRTUEL PRIVATE NETWORK p. 88

 On voit bien ici que R2 connait le chemin pour envoyer des informations au LAN de
R3 via l’interface Tunnel0 et l’adresse 10.0.0.3. NHRP fera ensuite le reste.

Essayons maintenant de pinger et de déclencher la résolution NHRP et le tunnel

dynamique. R2#ping 192.168.3.254 source lo0

On voit que ça ping sans aucun problème! Ré-exécutons maintenant la commande

show dmvpn:

Vous voyez maintenant qu’un tunnel dynamique (désigné par D dans la colonne Attrb)
a été établi directement pour faire passer le trafic directement de R2 à
R3. Cela nous confirme que la relation est bien directe entre les équipements et
qu’excepté la résolution NHRP, le hub n’est pas utilisé dans le transfert de données,
autrement dit le data plane, entre R2 et R3.

ET LA SECURITE DANS TOUT ÇA?

Vous avez surement remarqué pour le moment que nous n’avons implémenté
aucun mécanisme de sécurité. A proprement parler, nous avons uniquement
réalisé pour le moment juste le côté GRE et pas IPsec de l’implémentation.

Vous allez voir néanmoins que la surcharge de configuration est classique, légère
VIRTUEL PRIVATE NETWORK p. 89
 et similaire à appliquer à la fois sur le hub et les spokes.

VIRTUEL PRIVATE NETWORK p. 90

! Création de la policy ISAKMP

R1(config)# crypto isakmp policy 10

R2(config-isakmp)# authentication

pre-share

! Configuration de la clé ISAKMP

R2(config)# crypto isakmp key p@sser address 172.16.0.0 255.255.0.0

! Configuration du transform set IPsec

R1(config)# crypto ipsec transform-set DMVPN_TRFSET esp-aes esp-sha-hmac

! Configuration du profile IPSEC

R1(config)# crypto ipsec profile DMVPN_PROFILE

R1 (ipsec-profile)# set transform-set

DMVPN_TRFSET R1 (config)# int Tunnel0

! Affectation du profile dans le tunnel.

R1(config-if)# tunnel protection ipsec profile DMVPN_PROFILE

Et si tout marche bien vous verrez que ISAKMP est bien à ON.

Une fois cette configuration répliquée sur le hub et les spokes, vous serez
capable de pouvoir faire du DMVPN avec IPsec et GRE combinés.

Pour pouvoir vérifier, on relance un ping de R2 à R3:

VIRTUEL PRIVATE NETWORK p. 91
 Le ping fonctionne, vérifions ce qui se passe au niveau ISAKMP et IPsec:

VIRTUEL PRIVATE NETWORK p. 92

 On voit directement ici que nous avons deux connections IPsec actives à
présent, celle concernant le tunnel permanent entre le hub et le router qui
s’est renégociée à l’activation de nos nouveaux paramètres IPsec et le
tunnel dynamique établi dynamiquement qui s’est également renégocié
étant déjà lui aussi établi lors de nos tests.

Employez ces commandes afin de mettre au point l'établissement de tunnel :

⮚ debug crypto ikev2

⮚ debug crypto isakmp
⮚ debug crypto ipsec
⮚ kmi de debug crypto

VIRTUEL PRIVATE NETWORK p. 93

2.5. Conclusion
C’est tout pour la configuration basique du DMVPN. Dans la vraie vie, on préférera utiliser IPsec avec
nos tunnels afin de chiffrer le trafic entre nos spokes et notre/nos hubs,

VIRTUEL PRIVATE NETWORK p. 94

CHAPITRE III : CAS PRATIQUE

CONFIGURATION DU HUB R1
● On configure l’interface publique ainsi que celle de Loopback pour
émuler le LAN R1(config)# int FastEthernet0/0
● ! description Interface WAN
● R1(config-if)#ip add 172.16.1.1 255.255.255.0 R1(config-if)# no
sh
● R1(config)# int Loopback0
● ! description Interface LAN
● R1(config-if)# ip add 192.168.1.254 255.255.255.0
Une fois ces paramètres basiques configurés, on peut passer à la
configuration de l’interface Tunnel0 pour le NHRP.
● R1(config)# interface Tunnel0

● ! Adresse IP du tunnel

● R1(config-if)# ip address 10.0.0.1 255.255.255.0

● ! Configuration du NHRP

● R1(config-if)# ip nhrp map multicast dynamic R1(config-if)# ip

nhrp network-id 1

VIRTUEL PRIVATE NETWORK p. 95

 ! Configuration du tunnel GRE R1(config-if)# tunnel source

172.16.1.1 R1(config-if)# tunnel mode gre multipoint

CONFIGURATION DU SPOKE R2

● R2(config)# interface FastEthernet0/0

● !description Interface WAN

● R2(config-if)# ip address 172.16.1.2 255.255.255.0

R2(config)# interface Loopback0

!description Interface LAN

● R2(config-if)# ip address 192.168.2.254 255.255.255.0

R2(config)# interface Tunnel0

● R2(config-if)# ip address 10.0.0.2 255.255.255.0

! On mappe de façon manuelle en NHRP l'adresse publique du hub pour

l'établissement du tunnel permanent entre le spoke et le hub

● R2(config-if)# ip nhrp map 10.0.0.1 172.16.1.1

● R2(config-if)# ip nhrp map multicast 172.16.1.1

● R2(config-if)# ip nhrp network-id 1

! On identifie l'agent résolveur NHRP qui sera le hub R1

● R2(config-if)# ip nhrp nhs 10.0.0.1

VIRTUEL PRIVATE NETWORK p. 96

! Configuration du tunnel GRE

● R2(config-if)# tunnel source 172.16.1.2

● R2(config-if)# tunnel mode gre multipoint

CONFIGURATION DU SPOKE R3

● R3(config)# interface FastEthernet0/0

!description Interface WAN

● R3(config-if)# ip address 172.16.1.3 255.255.255.0

● R3(config)# interface Loopback0

!description Interface LAN

● R3(config-if)# ip address 192.168.3.254 255.255.255.0

● R3(config)# interface Tunnel0

● R3(config-if)# ip address 10.0.0.3 255.255.255.0

! On mappe de façon manuelle en NHRP l'adresse publique du hub pour

l'établissement du tunnel permanent entre le spoke et le hub.

● R3(config-if)# ip nhrp map 10.0.0.1 172.16.1.1

● R3(config-if)# ip nhrp map multicast 172.16.1.1

● R3(config-if)# nhrp network-id 1

! On identifie l'agent résolveur NHRP qui sera le hub R1.

● R3(config-if)# ip nhrp nhs 10.0.0.1

! Configuration du tunnel GRE

● R3(config-if)# tunnel source 172.16.1.3

VIRTUEL PRIVATE NETWORK p. 97

 ● R3(config-if)# tunnel mode gre multipoint Configuration du protocole de

routage

On a choisit EIGRP. La configuration s’applique encore une fois de façon

similaire sur l’ensemble des routeurs(hub et spokes).

● R1(config)# router eigrp 1

● R1(config-router)# network 10.0.0.0

! Activation et partage eigrp dans le tunnel

● R1(config-router)# network 192.168.1.0 ! Activation et partage eigrp pour

le LAN

● R1(config)# int Tunnel0

! On désactive le mécanisme Split-Horizon

● R1(config-router)# no ip split-horizon eigrp 1

On demande à EIGRP de ne pas réécrire l'adresse de next-hop avec celle du

routeur qui annonce puisque que cela sert directement pour l'établissement de

lien dynamique avec l'aide d'NHRP.

● R1(config-router)# no ip next-hop-self eigrp 1

● R2(config)# router eigrp 1

● R2(config-router)#network10.0.0.0

● R2(config-router)# network 192.168.2.0

● R2(config)# int Tunnel0

● R2(config-router)# no ip split-horizon eigrp 1

● R2(config-router)# no ip next-hop-self eigrp 1

VIRTUEL PRIVATE NETWORK p. 98

Et idem pour le router R3.

► TESTS

Pour vérifier que tout fonctionne correctement, vous pouvez effectuer des

captures de paquets par le biais du logiciel Wireshark, ce qui vous permettra

d’apercevoir des paquets ESP (Encapsulating Security Payload) transitant

entre les différents routeurs pour les communications Lan-to-Lan. Ou tout

simplement lancer un ping du LAN de R2 au LAN de R3.

⮚ Juste avant, remarquez l’output de la commande show dmvpn:

Exécutez également un show ip route

On voit bien ici que R2 connait le chemin pour envoyer des informations au

LAN de R3 via l’interface Tunnel0 et l’adresse 10.0.0.3. NHRP fera ensuite le

VIRTUEL PRIVATE NETWORK p. 99

reste. Essayons maintenant de pinger et de déclencher la résolution NHRP et le

tunnel dynamique.

R2#ping 192.168.3.254 source lo0

ET LA SECURITE DANS TOUT ÇA?

● Vous avez surement remarqué pour le moment que nous n’avons

implémenté aucun mécanisme de sécurité. A proprement parler, nous
avons uniquement réalisé pour le moment juste le côté GRE et pas IPsec
de l’implémentation.
● Vous allez voir néanmoins que la surcharge de configuration est classique,
légère et similaire à appliquer à la fois sur le hub et les spokes.
! Création de la policy ISAKMP

● R1(config)# crypto isakmp policy 10

● R2(config-isakmp)# authentication pre-share

! Configuration de la clé ISAKMP

● R2(config)# crypto isakmp key p@sser address 172.16.0.0 255.255.0.0

! Configuration du transform set IPsec

● R1(config)# crypto ipsec transform-set DMVPN_TRFSET esp-aes

esp-sha-hmac

! Configuration du profile IPSEC

● R1(config)# crypto ipsec profile DMVPN_PROFILE

VIRTUEL PRIVATE NETWORK p. 100

 ● R1 (ipsec-profile)# set transform-set DMVPN_TRFSET

● R1(config)# int Tunnel0

! Affectation du profile dans le tunnel.

● R1(config-if)# tunnel protection ipsec profile DMVPN_PROFILE

Et si tout marche bien vous verrez que ISAKMP est bien à ON.

Une fois cette configuration répliquée sur le hub et les spokes, vous serez

capable de pouvoir faire du DMVPN avec IPsec et GRE combinés.

Pour pouvoir vérifier, on relance un ping de R2 à R3:

Le ping fonctionne, vérifions ce qui se passe au niveau ISAKMP et IPsec:

On voit directement ici que nous avons deux connections IPsec actives à présent,

celle concernant le tunnel permanent entre le hub et le router qui s’est

VIRTUEL PRIVATE NETWORK p. 101

renégociée à l’activation de nos nouveaux paramètres IPsec et le tunnel

dynamique établi dynamiquement qui s’est également renégocié étant déjà lui

aussi établi lors de nos tests.

Voila ces commandes afin de mettre au point l'établissement de tunnel :

● debug crypto ikev2

● debug crypto isakmp

● debug crypto ipsec

● kmi de debug crypto

VIRTUEL PRIVATE NETWORK p. 102

Phase 1: la connectivité uniquement de Hub à Spoke

Fonctionnement

Fonctionnement

VIRTUEL PRIVATE NETWORK p. 103

Phase 2: Connectivité de Spoke à Spoke directement

Lors du réglage du Hub avec OSPF comme protocole de routage sur le

DMVPN pour accéder à la matrice et ses branches, on doit inclure les
commandes suivantes :

VIRTUEL PRIVATE NETWORK p. 104

IPSec en Phase 2:
DMVPN ne peut être conçu sans sécurité, dans la transmission de
données. Donc, IPSec est un élément fondamental de cette forme de
connexion, étant donné qu'il est possible de donner à cette
connexion la Confidentialité, l'Intégrité, l'Authentification
et la Non-Répudiation (CIA).
La configuration et les fonctionnalités d'IPSec sont similaires à celles
des tunnels GRE-IPsec (IKE Phase 1, IKE Phase 2 et implémentation
dans une interface), mais l'adresse de leurs paires de destination est
0.0.0.0 et elle utilise des profils IPSec.
La configuration montrée pour le Hub doit être la même que celle des
Spokes:

VIRTUEL PRIVATE NETWORK p. 105

 ► Conclusion

► La technologie IPsec est largement intégrée dans les services de

réseaux privés virtuels (VPN) pour protéger les échanges entre
sites distants.
► GRE, techniquement est un excellent tunnel, il est possible
d'ouvrir depuis un hôte donné autant de tunnels que l'on désire,
vers différents réseaux distants. C'est une solution fort souple,
malheureusement trop peu sécurisée pour être utilisés sans
risques. IPSec propose d'autres solutions, plus sécurisées, mais
difficiles à mettre en oeuvre sur des noyaux Linux.
► La cryptographie a défini les notions de sécurité et prouvé la
sécurité de cryptosystèmes de chiffrement, de codes
d’authentification de messages et de signatures numériques. De
plus, des protocoles de plus haut niveau, comme des systèmes de
communications sécurisées ou de votes électroniques, ont été
conçus.
► Les fonctions de hachage cryptographiques sont des primitives
très polyvalentes qui permettent de réaliser de nombreuses
fonctionnalités, et qui ont une multitude d’applications dans la
sécurité informatique.

VIRTUEL PRIVATE NETWORK p. 106

Bibliothèque
Virtual Private Networking in Windows 2000: An Overview.
Microsoft – White Paper.
Les protocoles de tunnelisation et de sécurisation des échanges.
(Hervé Schauer Consultants)
Le protocole PPP - Transparents Ghislaine Labouret
(www.labouret.net/ppp)
How Virtual Private Networks work. Cisco – White paper.
PKCS ]1 v2.0, RSA cryptography standard.
Technical report, RSA Data Security, 1998.
https://www.techniquesingenieur.fr/basedocumentaire/archives-th12/ar
chives-securite-des-systemes-d-information-tiasi/archive-1/protocole-i
psec-te7545/
❑ IPsec : présentation technique
(http://www.hsc.fr/ressources/articles/ipsec-tech/index.html.fr)
❑ Sécurité des Réseaux (transparents PH. Oechslin, 2003)
Vue conceptuelle "réduite" du protocole IKE
(http://benoit-joseph.mine.nu/tfe

VIRTUEL PRIVATE NETWORK p. 107