Mise en Place Et Securisation D Un VPN Ipsec

REPUBLIQUE TUNISIENNE
MINISTERE DE L’ENSEIGNEMENT SUPERIEUR

Technologie de l’Information et de Management de l’Entreprise
Université Privée Agrément n°1/2002
THESE PROFESSIONNELLE
Pour l’obtention d’un Diplôme de Mastère Professionnel en Sécurité
des Systèmes d’Information et des Réseaux
(SSIR4)
MISE EN PLACE ET SECURISATION D’UN VPN IPSEC AVEC

DES ROUTEURS CISCO
Réalisé par :
OGOULA NWAPANGA Yannick
Encadré par :
M. Famhi MISSAOUI
&
M. Saidi GHASALI
Année Universitaire : 2007-2008

Juin 2009 MISE EN PLACE ET SECURISATION D’UN VPN IPSEC AVEC DES ROUTEURS
CISCO
Table des matières
DEDICACES .............................................................................................................................. 5
REMERCIEMENT ................................................................................................................. 6
TABLE DES FIGURES .......................................................................................................... 7
INTRODUCTION....................................................................................................................9
Partie : Etude Théorique…………………………………………………..…...11
Chapitre I. Présentation de l’organisme d’accueil et Etude de l’existant .... 11
Introduction……………………………………………………………………..12
1. Présentation de l’organisme d’accueil………...…………………………12

2. Etude de l’existant………………………………………………………...16
Conclusion…………………………………………………………………..18
Chapitre II. Introduction aux VPN……………………………………………...19
Introduction………………………………………………………………....20
1. Principe de fonctionnement……………………………………………....20
1.1. Principe général……….……………………………………………20

1.2. Fonctionnalité des VPN……………………………………………21
1.2.1. Le VPN d’accès………………………………………...21
1.2.2. L’intranet VPN………………………………………....22
1.2.3. L’extranet VPN………………………………………...23
1.2.4. Bilan des caractéristiques fondamentales d’un VPN…….24
2. Protocoles utilisés pour réaliser une connexion VPN……………...……25
2.1. Rappel sur PPP…………………………………………………….26

2.1.1. Généralités……………………………………………..26
2.1.2. Format d’une trame PPP……………………………….27
2.1.3. Les différentes phases d’une connexion PPP…………...28
2.2. Protocole PPTP……………………………………………………29
2
CISCO
2.3. Protocole L2tp…………………………………………………..…30

2.4. Protocole IPsec…………………………………………………….31
2.4.1. Architecture d’IPsec……………………………………31
a. Les mécanismes AH et ESP…………………………...32
b. La notion d’association de sécurité…………………….35
c. Gestion des clés et des associations de sécurité………...36
d. Politique de sécurité…………………………………...38
2.4.2. Principe de fonctionnement……………………………40

2.4.3. Types d’utilisations possibles…………………………...41
a. Equipement fournissant IPsec…………………………41

b. Mode de fonctionnement……………………………...45
2.4.4. Faiblesse des VPN IPsec……………………………...50
a. Classification des faiblesses…………………………...50

b. Problèmes de déploiements…………………………...52
2.5. VPN autres qu'IPsec…………………………………………….....54
2.5.1. Protocole Ssl…………………………………………54
a. Fonctionnement………………………………….…..55
b. Architecture VPN Ssl…………………………….…..56
Conclusion...................................................................................................57
Partie II : Etude Pratique……….…………………………………………….. 58
Chapitre III. Mise en œuvre et réalisation……...…………………………………59
Introduction………………………………………...………………………………60
1. Mise en œuvre VPN………………………...……………………………..60
1.1. Etape de mise en œuvre……………..……………………………60
1.1.1. Evaluation des besoins………….…………………………….60
1.1.2. Mise en œuvre d’une stratégie de sécurité d’accès distant…..….60
3
CISCO
1.1.3. Détermination du meilleur produit VPN……………………...61
1.1.4. Reconfiguration des autres périphériques du réseau…………...61
1.1.5. Déploiement de la phase de test………………………………63
1.1.6. Déploiement de la solution finale……………………………..63
1.2. Configuration d’un VPN site à site avec un IOS CLI…………………64
a. Configuration de l’adressage…………………………………..64
b. Configuration d’EIGRP………………………………………65
c. Création de la politique de sécurité IKE…………………… ...66
d. Configuration des clés partagées…………………… ……........67
e. Configuration de IPsec…………………………………….. ...68
f. Définir le trafic intéressant…………………………………....68
g. Création et application des Crypto Carte……………………...69
h. Vérification de la configuration IPsec…………………………70
i. Vérification de l’opération IPsec…………………………… ...70
j. Interprétation et élimination des imperfections d’événements

IPsec……………………………………………………………………….....72
k. Utilisation de Wireshark pour surveiller le chiffrage du trafic....74
Conclusion…………………………………………………………………………..77
Glossaire…………………….………………………………………………………78
Bibliographie………………..………………………………………………………82
Web graphie………………………...………………………………………………82
Annexe.........................................................................................................................................83
4
CISCO
Dédicace:
Je tiens spécialement à dédicacer ce travail à ma mère, Mme AVOUNGOU Berth née

OGOULA Berthe Lydie pour son soutient moral matériel ou encore financier et surtout parce
que c’est ma mère. A M. AVOUNGOU Arsène à mon grand père M. OGOULA
NWAPANGA Louis, à ma grande mère AKENDENGUE Gisèle, à ma Tante
Patricia à mes petits frère et sœurs Ornella Davina, Christ Annaël, Kevin et Laura à ma
petite amie Evelyne, mes frangins Edison, Sydney et Adam’s à mes amis Elvis, Seven’s,
Melkior, Lionnel Alias Papayé, Ismaël et tout ce qui de loin ou de près m’ont apporté leur
soutient durant toutes ces années passé en TUNISIE.
5
CISCO
Remerciements :
Je tiens tout d’abord à remercier notre créateur le seigneur DIEU pour m’avoir offert la vie
et la santé, car, sans lui rien n’est possible sur cette terre. Je remercie également TIME
UNIVERSITE pour sa structure d’accueil et le dynamisme de son administration, mon encadreur
Monsieur Fahmi MISSAOUI pour son aide et son apport scientifique, Monsieur Saidi
GHAZALI qui m’a permis de manipuler et de configurer des routeurs dans sa structure. Je remercie
également Monsieur Walid CHELBI qui m’a proposé et orienté vers ce sujet.
Merci à tous et que DIEU nous bénisse.
6
CISCO
Table des figures :
Figures: Pages :
Figure 1 : Réseau actuel de TIME UNIVERSITE 17
Figure 2 : VPN avec un utilisateur distant 22
Figure 3 : VPN avec deux sites distants 23
Figure 4 : VPN entre l’entreprise et ces clients 24
Figure 5 : Trame PPP 27
Figure 6 : Protocole PPTP 29
Figure 7 : Protocole L2tp 30
Figure 8 : Les différentes couches du protocole de chiffrement AH 32
Figure 9 : Les différentes couches du protocole de chiffrement ESP 34
Figure 10 : Organigramme fonctionnel du protocole appliqué IPsec 37
Figure 11 : Organisation d’IPsec 40
Figure 12 : Réseaux privés virtuels 42
Figure 13 : Extranet 43
Figure 14 : Serveur sensible 44
Figure 15 : Exemples de double utilisation d’IPsec 44-45
Figure 16 : Mode transport 46
Figure 17 : Mode tunnel 46
Figure 18 : Mode de tunnel AH 47
Figure 19 : Mode de tunnel ESP 48
Figure 20 : Mode Nesting 49
Figure 21 : Présentation du protocole Ssl 55
Figure 22 : Echange de données du protocole Ssl 56
Figure 23 : Présentation de l’architecture réseau à réaliser 64
Figure 24 : Adressage du routeur R1 65
Figure 25 : Commandes de la politique de sécurité IKE 67
Figure 26 : Vérification de la configuration d’IPsec du Routeur 1 71
7
CISCO
Figure 27 : Vérification de la configuration d’IPsec du Routeur 3 72

Figure 28 : Données du paquet détaillées sur la corde de Telnet 74
envoyée par R1
Figure 29 : Données du paquet détaillées sur le trafic de retour de 75
Telnet par R3
Figure 30 : Données du paquet détaillées sur la corde chiffrée de Telnet 76
envoyée par R1
8
CISCO
Introduction
La sécurité est un enjeu majeur des technologies numériques modernes. Réseaux
d’infrastructures de télécommunication (GSM, …), réseaux sans fils (Wifi, Bluetooth
etc.), Internet, Systèmes d’information, Routeurs, Ordinateurs, toutes ces entités
présentent des vulnérabilités (failles de sécurité, défaut de conception ou de
configuration, erreur d’utilisation, etc.). Ces systèmes sont attaqués de l’extérieur ou de
l’intérieur par des pirates ludiques, des cyber-terroristes, ou sont la proie d’espionnage
industriel.
Une approche globale de la sécurité est essentielle pour défendre le patrimoine

d’une entreprise, pour réduire les vulnérabilités des grands systèmes d’information, ou
pour protéger sa vie privée.
Pour être de plus en plus rentable et pour répondre à la demande du marché, les
entreprises créent de plus en plus de succursales. De ce fait, elles favorisent le télétravail
pour plus d’efficacité. Cependant, la communication entre les différents sites distants
exige une certaine sécurité pour le trafic. Ces dernières tendent à une centralisation des
informations (Serveurs mail, serveurs d’application, annuaires, etc.)
Les réseaux locaux ont ainsi pris de l’ampleur. L’une des problématiques a été
l’utilisation des ressources d’un réseau. Local à distance.
Pour résoudre ce problème de connexion inter-site, les premières solutions

viables se sont appuyées sur :
• Les lignes louées : liaisons point à point louées par des opérateurs de
télécommunication à une entreprise.
• Les PVC (Permanent Virtual Circuit) : L’opérateur utilise son
infrastructure pour aiguiller les données entres deux sites.
• Les SVC (Switched Virtual Circuit) : Principe identique au PVC mais
ici la connexion est établie à la demande.
• Les connexions téléphoniques.
9
CISCO
Face au développement rapide de l’Internet et aux divers avantages qu’il offre,

aujourd’hui, de plus en plus d’entreprises ouvrent leurs systèmes d’information à la
grande toile afin qu’il soit accessible aux personnels à distance. Mais cette ouverture
n’est pas sans risque car ce développement a engendré une augmentation du nombre de
fraudes et de menaces sur les réseaux et les systèmes informatiques. Ainsi, il est devenu
obligatoire de sécuriser son réseau des intrusions extérieures.
Il existe plusieurs dispositifs de sécurité, parmi eux on trouve :
• Des applications implémentant des algorithmes cryptographiques (IPsec)

permettent de garantir la confidentialité des échanges.
• Les Firewalls sécurisant un réseau contre les menaces.
• Les tunnels sécurisés (VPN) permettant l’obtention d’un niveau de sécurité
supplémentaire dans la mesure où l'ensemble de la communication est chiffré.
Les réseaux privés virtuels (Virtual Private Network- VPN) répondent à la

problématique de sécurité d’infrastructures distribuées ou d’accès délocalisés à des
ressources privées.
Notre travail consistera à décrire une architecture qui permettra à des postes
nomades (donc situés sur un point quelconque de l’Internet) d’accéder de manière
sécurisées aux ressources intranet de l’organisme auquel appartient l’utilisateur. Par
l’ensemble des mécanismes qui seront décris tout le long de ce travail, l’utilisateur pourra
ainsi rendre son bureau virtuel et travailler depuis n’importe quel endroit, avec un
niveau de service équivalent à celui qu’il a lorsqu’il est présent physiquement dans les
locaux de son lieu de travail habituel.
Le côté « public » du réseau Internet fut cependant un frein à son

développement. Dans un tel environnement, il est difficile d’assurer la sécurité des
données échangées (authentification, intégrité, confidentialité et non répudiation). Ceci
met en évidence une menace potentielle pour la confidentialité des échanges opérés sur
un réseau public et l’utilité des technologies des réseaux privés virtuels.
10
CISCO
Chapitre I :
Présentation de
l’Organisme d’accueil et
Etude de l’existant
11
CISCO
Introduction :
Avant de passer à l’étude théorique de notre sujet de thèse, nous allons

commencer par faire la présentation de la structure d’accueil ensuite faire une étude de
l’existant pour afin mettre en œuvre notre réseau privé virtuel.
1. Présentation de l’organisme d’accueil.
TIME est une université crée en 2002, elle est situé au centre ville de Tunis sur la
rue 45, avenue Mohamed V, 1002 Tunis, Tunisie. [1]
• Objectif :
TIME UNIVERSITE, Technologie de l’Information et de Management de

l’Entreprise, a pour principal objectif l’employabilité, qui consiste pour elle à tout mettre
en œuvre pour permettre à l’étudiant d’être immédiatement opérationnel au terme de ses
études tout en développant en lui la capacité d’évoluer dans de nouveau métiers qu’il
aura à exercer.
• Agrément :
TME UNIVERSITE est une université privée Tunisienne agrée par l’Etat
Tunisien depuis 2002 en l’application du cadre de la loi relatif à l’enseignement
supérieur, mis en vigueur en Tunisie à partir d’octobre 2001.
Tous ses diplômes sont agréés par le ministère Tunisien de l’Enseignement

Supérieur de la Recherche Scientifique et la Technologie.
• Composition :
TIME UNIVERSITE se compose de deux grandes écoles d’enseignement

supérieur :
L’Ecole Supérieure de Management-ESM

L’Ecole Supérieure d’Informatique-ESI
• Formation :
12
CISCO
La formation en continue diplômât (agréée par l’Etat) et

certifiant qui permet une double connaissance réglementaire et
professionnelle et qui aboutit à un diplôme reconnu par l’Etat
Tunisien.
Formation continu qui porte sur quelques et /ou de sous
modules appartenant au contenu des programmes
d’enseignement. Les candidats concernés ont la possibilité de
s’inscrire pour passer les examens.
• Les Etudiants :
TIME UNIVERSITE accueille aussi bien des :
Nouveaux bacheliers pour un diplôme d’ingénieur ou maîtrise.

Ingénieurs et Maîtrisards, professionnels diplômés pour des
Mastères Spécialisé.
Qui se destinent à une carrière dans les secteurs des Technologies de

l’Information ou dans le Management, en accédant à de nouveaux concepts, de nouvelle
méthode faisant partie des dernières avancées technique en matière de communication
et de management.
• Diplôme agrées :
DUPC Diplôme Universitaire du Premier Cycle (Bac +2) :
Informatique Appliquée à la Gestion

Science Economie de Gestion
DUT Diplôme Universitaire de Technologie (Bac+3)
Technologies des Systèmes d’Information et de

Communication-TSIC
Administration des Systèmes et des Réseaux-ASR
Diplôme Universitaire de Technologie en Informatique
Industrielle-II
Licence appliquée (Bac+3) :
13
CISCO
Techniques des Activités de l’image et du Son

Guide Interprète National
Management et Ingénierie du Tourisme
Maîtrise (Bac +4) :
Informatique Appliquée à la Gestion

Finance
Marketing
Hautes Etudes Commerciales
Diplôme d’Ingénieur (Bac+5) :
Réseaux Informatiques et Télécom (2ème cycle)

Génie Logiciel (2ème cycle)
Génie du Logiciel et des Système d’Information
Génie des Télécommunications et Réseaux
Génie Informatique des Système Industriels.
Mastères Spécialisés (3ème cycle) :
Audit
Audit/Finance
Finance Internationale
Entreprenariat
Marketing
Management des Ressources Humaines
Management de la Chaine Logistique et Achats
Contrôle de Gestion et Système d’Information
Conception et Architecture des Réseaux
Sécurité des Systèmes d’Informatique et des Réseaux
Management de la Qualité*
Ingénieur des Médias*
E-Rédactionnels
14
CISCO
Gestion des Aménagements Touristiques et Hôteliers.

• Les Certifications :
Un plus au diplôme :
En plus du diplôme, des certifications peuvent être préparées et obtenues par

l’étudiant, grâce aux concours de TIME UNIVERSITE et cependant le cursus
universitaire de formation classique.
Reconnaissance Internationale :
Du fait que les certifications sont le résultat d’un test identique où qu’il se
déroule dans le monde, elles sont garantes d’un titre prouvant une compétence
reconnue au niveau international.
Dans le domaine de l’Informatique
Les certifications les plus connues au niveau informatique sont : CISCO,

Microsoft, Oracle, Sun…
• Partenariat :
TIME UNIVERSITE est un fruit d’un partenariat Université-Entreprises. Ses

Investisseurs et son conseil d’administration se composent de la première Banque privée
de la place (BIAT), de Groupes de sociétés, de Sociétés Personnes physiques jouissant
d’une grande notoriété sur le plan économique.
• Dispositif de gouvernance :
Conseil d’administration
Membres fondateurs et co-fondateurs

Personnes de grande expérience pédagogique et économique
Conseil d’orientation stratégique
2/3 entreprises partenaires
1/3enseignats
Conseil scientifique
2/3 entreprises partenaires

15
CISCO
1/3 enseignants
• Moyens pédagogiques :
Salles d’enseignements
8 salles de cours de 33 places équipées de moyens multimédia

1 salle de conférence équipée de moyens multimédia
10 laboratoires informatiques
1 salle de lecture
Moyens multimédia
Ordinateurs
Réseau
Connexion Internet
Vidéos projecteurs
Bibliothèque :
Différents ouvrages concernant les disciplines enseignées, et les différents

mémoires thèse mini projet et rapports de stages présentés par les étudiants de TIME.
Après avoir présenté notre organisme d’accueil, notre travail s’orientera

maintenant sur l’étude de l’existant.
2. Etude de l’existant
Le but de notre travail est d’établir une connexion VPN entre le site principal
de TIME UNIVERSITE et son annexe. De ce fait, nous avons fais une étude partielle
de la configuration du réseau actuelle de TIME.
16
CISCO
Antenne
WIMAX 7ème étage
Serveur
6ème étage
5ème étage
5ème étage
Armoire
1èr étage
RC
RC
Armoire Point d’accès

Wifi
Sous sol
Figure 1 : Réseau actuel de TIME UNIVERSITE
Le réseau actuel de TIME UNIVERSITE est composé d’une antenne Wimax

qui est un standard de transmission sans fil à haut-débit prévu pour connecter les point
d’accès Wifi à un réseau de fibres optiques ou pour relayer une connexion partagée à
haut-débit vers de multiples utilisateurs. Les différentes composantes sont : un routeur,
deux armoires, un situé au rez-de-chaussée et l’autre au 5ème étage. D’un point d’accès
wifi situé au sous sol pour permettre aux étudiants de se connecter avec leurs
ordinateurs personnels ou avec ceux de l’université, et de différents périphériques
(ordinateurs, imprimantes) structuré entre le sous sol et le 7ème étage. Nous avons
également un serveur qui se trouve au 7ème étage.
L’atout majeur de notre travail sera de permettre aux membres de

l’administration et surtout au service informatique de pouvoir accéder en toute sécurité
aux ordinateurs de l’annexe via Internet depuis leur poste, afin de pouvoir consulter
certains documents et également de faire des opérations de maintenance.
17
CISCO
Conclusion :
Le réseau actuel de TIME UNIVERSITE est bien structuré, mais

malheureusement, nous n’avons pas eu assez de détail afin de mieux l’étudier. Nous
allons donc nous servir de ce dernier pour établir et mettre en œuvre notre VPN. La
présentation et l’étude de l’existant de la structure d’accueil étant terminé, nous allons
passer au chapitre 2 de notre travail qui consiste à l’introduction aux réseaux privé
virtuel de TIME UNIVERSITE.
18
CISCO
Chapitre II :
Introduction au VPN
19
CISCO
Introduction
Les applications et les systèmes distribués font de plus en plus partie intégrante
du paysage d’un grand nombre d’entreprises. Ces technologies ont pu se développer
grâce aux performances toujours plus importantes des réseaux locaux. Mais le succès de
ces applications a fait aussi apparaître un de leur écueil. En effet si les applications
distribuées deviennent le principal outil du système d’information de l’entreprise,
comment assurer leur accès sécurisé au sein de structures parfois réparties sur de
grandes distances géographiques ? Concrètement comment une succursale d’une
entreprise peut-elle accéder aux données situées sur un serveur de la maison mère
distant de plusieurs milliers de kilomètres ? Les VPN on commencé à être mise en place
pour répondre à ce type de problématique. Mais d’autres problématiques sont apparues
et les VPN ont aujourd’hui pris une place importante dans les réseaux informatique et
l’informatique distribuées. Nous verrons ici quelles sont les principales caractéristiques
des VPN à travers un certain nombre d’utilisation type. Nous nous intéresserons ensuite
aux protocoles permettant leur mise en place.
1. Principe de fonctionnement
Avant de configurer une connexion VPN, nous allons définir ces différents
principes de fonctionnement afin de mieux comprendre son mode de fonctionnement
et de choisir la meilleur méthode adapté à notre projet.
1.1. Principe général
Un VPN repose sur un protocole appelé «protocole de tunneling». Ce

protocole permet de faire circuler les informations de l’entreprise de façon cryptée d’un
bout à un autre du tunnel. Ainsi, les utilisateurs on l’impression de se connecter
directement sur le réseau de leur entreprise.
Le principe de tunneling consiste à construire un chemin virtuel après avoir
identifié l’émetteur et le destinataire. Par la suite, la source chiffre les données et les
achemine en empruntant ce chemin virtuel. Afin d’assurer un accès aisé et peu coûteux
20
CISCO
aux intranets ou aux extranets d’entreprise, les réseaux privés virtuels d’accès simulent
un réseau privé, alors qu’ils utilisent en réalité une infrastructure d’accès partagée,
comme Internet.
Les données à transmette peuvent être prises en charge par un protocole
différent d’IP. Dans ce cas, le protocole de tunneling encapsule les données en ajoutant
un en-tête. Le tunneling est l’ensemble des processus d’encapsulation, de transmission et
de dés-encapsulation.
1.2. Fonctionnalités des VPN
Il existe 3 types standards d’utilisation des VPN. En étudiant ces schémas

d’utilisation, il est possible d’isoler les fonctionnalités indispensables des VPN. [2]
1.2.1 Le VPN d’accès
Le VPN d’accès est utilisé pour permettre à des utilisateurs itinérants d’accéder
au réseau privé. L’utilisateur se sert d’une connexion Internet pour établir la connexion
VPN. Il existe deux cas :
• L’utilisateur demande au fournisseur d’accès de lui établir une
connexion cryptée vers le serveur distant : il communique avec NAS
(Network Access Server) du fournisseur d’accès et c’est le NAS qui
établit la connexion cryptée.
• L’utilisateur possède son propre logiciel client pour le VPN auquel cas
il établit directement la communication de manière cryptée vers le
réseau de l’entreprise.
Les deux méthodes possèdent chacune leurs avantages et leurs inconvénients :
La première permet à l’utilisateur de communiquer sur plusieurs réseaux en

créant plusieurs tunnels, mais nécessite un fournisseur d’accès proposant un NAS
compatible avec la solution VPN choisie par l’entreprise. De plus, la demande de
connexion par le NAS n’est pas cryptée ce qui peut poser des problèmes de sécurité.
21
CISCO
Sur la deuxième méthode ce problème disparaît puisque l’intégralité des

informations sera cryptée dès l’établissement de la connexion. Par contre, cette solution
nécessite que chaque client transporte avec lui le logiciel, lui permettant d’établir une
communication cryptée. Nous verrons que pour pallier à ce problème certaines
entreprises mettent en place des VPN à base de SSL, technologie implémentée dans la
majorité des navigateurs Internet du marché.
Quelle que soit la méthode de connexion choisie, ce type d’utilisation montre

bien l’importance dans le VPN d’avoir une authentification forte des utilisateurs. Cette
authentification peut se faire par une vérification “login/mot de passe“, par un
algorithme dit « Tokens sécurisés » (utilisation de mots de passe aléatoires) ou par
certificats numériques.
Figure 2 : VPN avec un utilisateur distant
1.2.2 L’intranet VPN
L’intranet VPN est utilisé pour relier au moins deux intranets entre eux. Ce
type de réseau est particulièrement utile au sein d’une entreprise possédant plusieurs
sites distants. Le plus important dans ce type de réseau est de garantir la sécurité et
l’intégrité des données. Certaines données très sensibles peuvent être amenées à transiter
sur le VPN (base de données clients, informations financières…). Des techniques de
22
CISCO
cryptographie sont mises en œuvre pour vérifier que les données n’ont pas été altérées.
Il s’agit d’une authentification au niveau paquet pour assurer la validité des données, de
l’identification de leur source ainsi que leur non-répudiation. La plupart des algorithmes
utilisés font appel à des signatures numériques qui sont ajoutées aux paquets. La
confidentialité des données est, elle aussi, basée sur des algorithmes de cryptographie. La
technologie en la matière est suffisamment avancée pour permettre une sécurité quasi
parfaite. Le coût matériel des équipements de cryptage et décryptage ainsi que les limites
légales interdisent l’utilisation d’un codage « infaillible ». Généralement pour la
confidentialité, le codage en lui-même pourra être moyen à faible, mais sera combiné
avec d’autres techniques comme l’encapsulation IP dans IP pour assurer une sécurité
raisonnable.
Figure 3: VPN avec deux sites distants
1.2.3 L’extranet VPN
Une entreprise peut utiliser le VPN pour communiquer avec ses clients et ses
partenaires. Elle ouvre alors son réseau local à ces derniers. Dans ce cadre, il est
fondamental que l’administrateur du VPN puisse tracer les clients sur le réseau et gérer
les droits de chacun sur celui-ci.
23
CISCO
Figure 4: VPN entre l’entreprise et ces clients
1.2.4 Bilan des caractéristiques fondamentales d’un VPN
Un système de VPN doit pouvoir mettre en œuvre les fonctionnalités

suivantes :
Authentification d’utilisateur. Seuls les utilisateurs autorisés doivent

pouvoir s’identifier sur le réseau virtuel. De plus, un historique de
connexions et des actions effectuées sur le réseau doit être conservé.
Gestion d’adresses. Chaque client sur le réseau doit avoir une adresse
privée. Cette adresse privée doit rester confidentielle Un nouveau
client doit pouvoir se connecter facilement au réseau et recevoir une
adresse.
Cryptage des données. Lors de leurs transports sur le réseau public les
données doivent être protégées par un cryptage efficace.
Gestion de clés. Les clés de cryptage pour le client et le serveur
doivent pouvoir être générées et régénérées.
Prise en charge multi protocole. La solution VPN doit supporter les
protocoles les plus utilisés sur les réseaux publics en particulier IP.
Le VPN est un principe : il ne décrit pas l’implémentation effective de
ces caractéristiques. C’est pourquoi il existe plusieurs produits
24
CISCO
différents sur le marché dont certains sont devenus standard, et même

considérés comme des normes.
Nous avons défini les différents principes de fonctionnement d’un VPN,

nous allons maintenant nous intéresser aux protocoles utilisés pour sa réalisation et pour
finir, déterminer le protocole que nous allons utiliser.
2. Protocoles utilisés pour réaliser une connexion VPN
Cette partie concerne les protocoles les plus utilisé pour une connexion VPN.
Notre travail consiste à les énumérer et à les expliquer pour pouvoir les appliquer dans
la seconde partie de notre travail.
Nous pouvons classer les protocoles que nous allons étudier en deux
catégories :
Les protocoles de niveau 2 comme PPTP et L2tp.
Les protocoles de niveau 3 comme IPSEC ou Mpls.
Il existe en réalité trois protocoles de niveau 2 permettant de réaliser des VPN :

PPTP (de Microsoft), L2F (développé par CISCO) et enfin L2tp. Nous n’évoquerons
dans cette étude que PPTP et L2tp : le protocole L2F ayant aujourd’hui quasiment
disparut. Le protocole PPTP aurait sans doute lui aussi disparut sans le soutien de
Microsoft qui continue à intégrer à des systèmes d’exploitation Windows. L2tp est une
évolution de PPTP et de L2F, reprenant les avantages des deux protocoles.
Les protocoles de couche dépendent des fonctionnalités spécifiées pour PPP

(Point to Point Protocol), c’est pourquoi nous allons tout d’abord rappeler le
fonctionnement de ce protocole.
2.1. Rappels sur PPP
25
CISCO
PPP (Point to Point Protocol) est un protocole qui permet de transférer des
données sur un lien synchrone ou asynchrone. Il est full duplex et garantit l’ordre
d’arrivée des paquets. Il encapsule les paquets IP, IPX et Netbeui dans des trames PPP,
puis transmet ces paquets encapsulés au travers de la liaison point à point. PPP est
employé généralement entre un client d’accès à distance et un serveur d’accès réseau
(NAS). [3]
2.1.1. Généralités
PPT est l’un des deux protocoles issus de la standardisation des

communications sur liaisons séries (Slip étant le deuxième). Il permet non seulement
l’encapsulation de datagrammes, mais également la résolution de certains problèmes liés
aux protocoles réseaux comme l’assignation et la gestion des adresses (IP X25 et autres).
Une connexion PPP est composée principalement de trois parties :
Une méthode pour encapsuler les datagrammes sur la liaison série. PPP
utilise le format de trame HDLC (High Data Level Control) de l’ISO
(International Standartization Organisation).
Un protocole de contrôle de liaison (LCP- Link Control Protocol) pour
établir, configurer et tester la connexion de liaison de données.
Plusieurs protocoles de contrôle de réseaux (NCPS- Network Control
Protocol) pour établir et configurer les différents protocoles de couche
réseau.
26
Juin 2009 MISE EN PLACE ET SECURISATION
SEC D’UN VPN IPSEC
PSEC AVEC DES ROUTEU
ROUTEURS
CISCO
2.1.2. Format d’une trame PPP
Figure 5: Trame PPP
Fanion : Séparateur de trame égale à la valeur 01111110. Un seul drapeau est

nécessaire entre 2 trames.
Adresse : PPP ne permet pas un adressage individuel des stations donc ce

champ doit à 0xFF (toutes stations). Toute adresse non reconnue entraînera la
destruction de la trame.
Contrôle : Le champ contrôle doit être à 0x03
Protocole : La valeur contenue dans ce champ

champ doit être impaire (l’octet de
poids fort étant pair). Ce champ identifie le protocole encapsulé dans le champ
informations de la trame. Les différentes valeurs utilisables sont définies dans la RFC
« assign number » et représentent les différents protocoles
protocoles supportés par PPP (OSI, IP,
Decnet IV, IPX…), Les NCP associés ainsi que les LCP.
Données : De longueur comprise entre 0 et 1500 octets, ce champ contient le

datagramme du protocole supérieur indiqué
i dans le champ « protocole ».
» Sa longueur
est détectéee par le drapeau de fin de trame, moins deux octets de contrôle.
27
CISCO
FCS (Frame Check Sequence) : Ce champ contient la valeur du checksum

de la trame. PPP vérifie le contenu du FCS lorsqu’il reçoit un paquet. Le contrôle
d’erreur appliqué par PPP est conforme à X25.
2.1.3. Les différentes phases d’une connexion PPP
Toute connexion PPP commence et finit par une phase dite de « liaison
morte ». Dès qu’un évènement externe indique que la couche physique est prête, la
connexion passe à la phase suivante, à savoir l’établissement de la liaison. Comme PPP
doit être supporté par un grand nombre d’environnements, un protocole spécifique a
été élaboré et intégré à PPP pour toute la phase de connexion ; il s’agit de LCP (Link
Control Protocol). LCP est un protocole utilisé pour établir, configurer, tester, et
terminer la connexion PPP. IL permet de manipuler des tailles variables de paquets et
effectuer un certain nombre de test sur la configuration. Il permet notamment de
détecter un lien bouclé sur lui-même.
La connexion PPP passe ensuite à une phase d’authentification. Cette étape est
facultative et doit être spécifiée lors de la phase précédente.
Si l’authentification réussie ou qu’elle n’a pas été demandée, la connexion passe

en phase de « Protocole réseau ». C’est lors de cette étape que les différents protocoles
réseaux sont configurés. Cette configuration s’effectue séparément pour chaque
protocole réseau. Elle est assurée par le protocole de contrôle de réseau (NCP)
approprié. A ce moment, le transfert des données est possible. Les NPC peuvent à tout
moment ouvrir ou fermer une connexion. PPP peut terminer une liaison à tout
moment, parce qu’une authentification a échouée, que la qualité de la ligne est mauvaise
ou pour toute autre raison. C’est le LCP qui assure la fermeture de la liaison à l’aide de
paquets de terminaison. Les NCP sont alors informés par PPP de la fermeture de la
liaison.
28
CISCO
2.2. Le protocole PPTP
PPTP est un protocole qui utilise une connexion PPP à travers un réseau IP en
créant un réseau privé virtuel (VPN). Microsoft a implémenté ses propres algorithmes
afin de l’intégrer dans ses versions de Windows. Ainsi, PPTP est une solution très
employée dans les produits VPN commerciaux à cause de son intégration au sein des
systèmes d’exploitation Windows. PPTP est un protocole de niveau 2 qui permet
l’encryptage des données ainsi que leur compression.
L’authentification se fait grâce au protocole Ms-Chap de Microsoft qui, après la

cryptanalyse de sa version 1, a révélé publiquement des failles importantes. Microsoft a
corrigé ces défaillances et propose aujourd’hui une version 2 de Ms-Chap plus sûre. La
partie chiffrement des données s’effectue grâce au protocole MPPE (Microsoft Point to
Point Encryption).
Le principe du protocole PPTP est de créer des paquets sous le protocole PPP
et de les encapsuler dans des datagrammes IP. PPTP crée ainsi un tunnel de niveau 3
défini par le protocole GRE (Generic Routing Encapsulation). Le tunnel PPTP se
caractérise par une initialisation du client, une connexion de contrôle entre le client et le
serveur ainsi que la clôture du tunnel par le serveur. Lors de l’établissement de la
connexion, le client effectue d’abord une connexion avec son fournisseur d’accès
Internet. Cette première connexion établie une connexion de type PPP et permet de
faire circuler des données sur Internet. Par la suite, une deuxième connexion dial-up est
établie. Elle permet d’encapsuler les paquets PPP dans des datagrammes IP. C’est cette
deuxième connexion qui forme le tunnel PPTP. Tout trafic client conçu pour Internet
emprunte la connexion physique normale, alors que le trafic conçu pour le réseau privé
distant, passe par la connexion virtuelle de PPTP.
Figure 6: Protocole PPTP
29
CISCO
Plusieurs protocoles peuvent être associés à PPTP afin de sécuriser les données
ou de les compresser. On trouve évidement les protocoles développés par Microsoft et
cités précédemment. Ainsi, pour le processus d’identification, il est possible d’utiliser les
protocoles PAP (Password Authentification Protocol) ou MsChap. Pour l’encryptage
des données, il est possible d’utiliser les fonctions de MPPE (Microsoft Point to Point
Encryption). Enfin, une compression de bout en bout peut être réalisée par MPPC
(Microsoft Point to Point Compression). Ces divers protocoles permettent de réaliser
une connexion VPN complète, mais les protocoles suivants permettent un niveau de
performance et de fiabilité bien meilleur.
2.3. Le protocole L2tp
L2tp est issu de la convergence des protocoles PPTP et L2F. Il est

actuellement développé et évalué conjointement par Cisco Systems, Microsoft, Ascend,
3Com ainsi que d’autres acteurs clés du marché des réseaux. Il permet l’encapsulation
des paquets PPP au niveau des couches 2 (Frame Relay et Atm) et 3 (IP)/ Lorsqu’il est
configuré pour transporter les données sur IP, L2tp peut être utilisé pour faire du
tunneling sur Internet. L2tp repose sur deux concepts : les concentrateurs d’accès L2tp
(Lac : L2tp Access Concentrator) et les serveurs réseau L2tp (LNS : L2tp Network
Server). L2tp n’intègre pas directement de protocole pour le chiffrement des données.
C’est pourquoi L’IETF préconise l’utilisation conjointe d’IPSEC et L2tp.
Figure 7: Protocole L2tp

30
CISCO
2.4. Le protocole IPsec
Le terme IPsec (IP Security Protocol) désigne un ensemble de mécanismes

destinés à protéger le trafic au niveau d’IP (IPv4 ou IPv6). Les services de sécurité
offerts sont l’intégrité en mode non connecté, l’authentification de l’origine des données,
la protection contre le rejet et la confidentialité (confidentialité des données et
protection partielle contre l’analyse du trafic). Ces services sont fournis au niveau de la
couche IP, offrant donc une protection pour IP et tous les protocoles de niveau
supérieur. Optionnel dans IPv4, IPsec est obligatoire pour toute implémentation d’IPv6.
Une fois IPv6 en place, il sera ainsi possible à tout utilisateur désirant des fonctions de
sécurité d’avoir recours à IPsec. [4]
IPsec est développé par un groupe de travail du même nom à l’IETF (Internet
Engineering Task Force), groupe qui existe depuis 1992. Une première version des
mécanismes proposés a été publiée sous forme de RFC en 1995, sans la partie gestion
des clefs. Une seconde version, qui comporte en plus la définition du protocole de
gestion des clefs IKE, a été publiée en novembre 1998. Mais IPsec reste une norme non
figée qui fait en ce moment même l’objet de multiples Internet drafts, notamment sur la
protection des accès distants. Cette présentation ouvre uniquement les RFC de
novembre 1998.
Cette partie présente le principe de fonctionnement d’IPsec, les différents

éléments qui le composent la façon dont ils interagissent et les différentes utilisations
possibles.
2.4.1. Architecture d’IPsec
Pour sécuriser les échanges ayant lieu sur un réseau TCP/IP, il existe plusieurs
approches, en particulier en ce qui concerne le niveau auquel est effectuée la
sécurisation : niveau applicatif (mails chiffrés par exemple), niveau transport (TLS /SSL,
SSH…), ou à l’opposé niveau physique (boîtiers chiffrant toutes les données transitant
par un lien donné). IPsec, quant à lui, vise à sécuriser les échanges au niveau de la
couche réseau.
31
ROUTEURS
CISCO
a. Les mécanismes AH et ESP
Pour cela, IPsec

ec fait appel à deux mécanismes de sécurité pour
pour le trafic IP, les
« protocoles » AH et EPS, qui viennent s’ajouter au traitement IP classique :
Authentification Header (AH) est conçu pour assurer l’intégrité et

l’authentification des datagrammes IP sans chiffrement des données
(i.e. sans confidentialité).
Le principe d’AH est d’adjoindre au datagramme IP classique un
champ supplémentaire permettant à la réception de vérifier
l’authenticité des données incluses dans le datagramme.
Il fournit les services suivants :
• Intégrité en mode non-connecté
non
• Authentification des données
• Anti-rejeu
Anti (optionnel)
L’en-tête
tête AH se compose de 6 champs comme le décrit l’image suivante :
Figure 8 : Les différentes couches du protocole de chiffrement AH
Un des plus importants est sans aucun doute l’ICV (Intégrity Check Val
Value,
« Données d’authentification » ci-dessus)
dessus) qui est le résultat d’un procédé
32
CISCO
cryptographique sur les données à protéger et qui va permettre de vérifier l’intégrité de

celle-ci. La taille totale de l’en-tête est de 24octets ; l’ICV est bien entendu parer pour
atteindre une taille constante (car les algorithmes utilisés peuvent différer).
En conclusion, AH permet de se protéger contre les attaques de type :
• Spoofing et autres modifications des paquets IP

• Rejeux
• DoS quand ils sont basés sur la charge impliquée par les calculs
cryptographiques (la vérification d’intégrité n’intervient qu’après)
Encapsulating Security Payload (ESP) a pour rôle premier d’assurer

la confidentialité, mais peut aussi assurer l’authenticité des données.
Le principe d’EPS est de générer, à partir d’un datagramme IP
classique, un nouveau datagramme dans lequel les données et
éventuellement l’en-tête original sont chiffrés.
Ces mécanismes peuvent être utilisés seuls ou combinés pour obtenir les
fonctions de sécurité désirées.
Ce protocole fournit les services de sécurité suivants :
• Confidentialité
• Protection contre l’analyse de trafic
• Intégrité en mode non-connecté (comme AH)
• Authentification des données (comme AH)
• Anti-rejeu (comme AH)
On peut voir tout de suite qu’ESP couvre les services offerts par AH, et on
peut se demander pourquoi AH est utilisé et pourquoi l’on complique ainsi un protocole
qui l’est déjà bien assez. C’est en effet une question qui est d’actualité mais néanmoins il
faut souligner le fait qu’AH offre des services plus complets qu’ESP car il est le seul à
protéger l’en-tête du paquet (en-tête original en mode transport, en-tête IPsec en mode
33
ROUTEURS
CISCO
tunnel). EPS ne protège que les données (c'est-à-dire

(c'est tout au plus l’en-tête
tête original
o en
mode tunnel).
L’en-tête
tête se compose de 7 champs (dont 2 optionnels) comme le décrit l’image
suivante :
Figure9 : Les différentes couches du protocole de chiffrement ESP
Le chiffrement sera appliqué aux données utiles jusqu’au champ NEXT inclus
(ce champ contient un identifiant du protocole supérieur, au niveau 4). Comme les
données utiles ne sont pas prédéfinis, leur longueur peut varier grandement et un
pandding assez important
portant est requis. Il est obligatoire et sa longueur est explicitée dans
le champ PAD LEN. Les données d’authentification protègent les données du champ
SPI au champ NEXT inclus ; en cas d’utilisation des 2 mécanismes simultanément, le
chiffrement est effectué
ectué en premier suivi du calcul des données d’intégrité. Cela a pour
résultat d’éviter des attaques par déni de service au chiffrement, ainsi que de permettre
d’effectuer les deux opérations en parallèle (à la réception).
En conclusion, ESP permet de se p

protéger
rotéger contre les attaques de type :
• Espionnage et autre divulgation d’informations

• Rejeu (optionnel)
34
CISCO
• Analyse de trafic (optionnel)
b. La notion d’association de sécurité
Les mécanismes mentionnés ci-dessus font bien sûr appel à la cryptographie, et

utilisent donc un certain nombre de paramètres (algorithmes de chiffrement utilisés,
clefs mécanismes sélectionnés…) sur lesquels les tiers communicants doivent se mettre
d’accord. Afin de gérer ces paramètres, IPsec a recours à la notion d’association de sécurité
(Security Association, SA).
Une association de sécurité IPsec est une « connexion » simplexe qui fournit
des services de sécurité au trafic qu’elle transporte. On peut aussi la considérer comme
une structure de données servant à stocker l’ensemble des paramètres associés à une
communication donnée.
Une SA est unidirectionnelle ; en conséquence, protéger les deux sens d’une

communication classique requiert deux associations, une dans chaque sens. Les services
de sécurité sont fournis par l’utilisation soit de AH soit de ESP. Si AH et ESP sont tous
deux appliqués au trafic en question, deux SA sont créées ; on parle alors de paquet
(bundle) de SA.
Chaque association est identifiée de manière unique à l’aide d’un triplet

composé de :
• L’adresse de destination des paquets.

• L’identifiant d’un protocole de sécurité utilisé (AH ou ESP).
• Un index des paramètres de sécurité (Security Parameter Index, SPI).
Pour gérer les associations de sécurité actives, on utilise une « Base de

Données » des associations de sécurité“ (Security Association Database, SAD). Elle
contient tous les paramètres relatifs à chaque SA et sera consultée pour savoir comment
traiter chaque paquet reçu ou à émettre.
35
CISCO
c. La gestion des clefs et des associations de sécurité
Comme nous l’avons mentionné au paragraphe précédent, les SA contiennent

tous les paramètres nécessaires à IPsec, notamment les clefs utilisées. La gestion des
clefs pour IPsec n’est liée aux autres mécanismes de sécurité de IPsec que par le biais
des SA. Une SA peut être configurée manuellement dans le cas d’une situation simple,
mais la règle générale est d’utiliser un protocole spécifique qui permet la négociation
dynamique des SA et notamment l’échange des clefs de session.
D’autre part, IPv6 n’est pas destiné à supporter une gestion des clefs « en
bande », c'est-à-dire où les données relatives à la gestion des clefs seraient transportées à
l’aide d’un en-tête IPv6 distinct. Au lieu de cela on utilise un système de gestion des clefs
dit « hors bande » où les données relatives à la gestion des clefs sont transportées par un
protocole de couche supérieure tel que UDP ou TCP. Ceci permet le découplage clair
du mécanisme de gestion des clefs et des autres mécanismes de sécurité. Il est ainsi
possible de substituer une méthode de gestion des clefs à une autre sans avoir à modifier
les implémentations des autres mécanismes de sécurité.
Le protocole de négociation des SA développé pour IPsec s’appelle « protocole

de gestion des clefs et des associations de sécurité pour Internet » (Internet Security
Association and Key Management Protocol, ISAKMP). ISAKMP est en fait inutilisable
seul : c’est un cadre générique qui permet l’utilisation de plusieurs protocoles d’échange
de clef et qui peut être utilisé pour d’autres mécanismes de sécurité que ceux de IPsec.
Dans le cadre de la standardisation de IPsec, ISAKMP est associé à une partie des
protocoles SKEME et Oakley pour donner un protocole final du nom d’IKE (Internet
Key Exchange).
36
ROUTEURS
CISCO
Figure 10:
10 Organigramme fonctionnel du protocole appliqué
pliqué IPsec
Ce diagramme illustre le fait qu’IKE employer dans IPsec se compose de

plusieurs phases.
• La première phase vise à établir la clé mère initiale, SKEYID. Il existe

pour cela 3 alternatives suivant les possibilités des parties en présence :
o Le mode secret partagé nécessite qu’un secret soit déjà
connu et partagé entree les entités. On l’appelle le « pre-shared
secret ».. Il va servir de graine à l’élaboration de la clé qui va
elle-même servir lors de l’authentification finale.
o Le mode chiffrement asymétrique se base sur le matériel
PK pour échanger les données sensibles et donc établir le
secret partagé.
o Le mode signature peut être qualifié d’hybride puisqu’il ne se
sert du matériel PK que pour signer et donc authentifier les
parties.
rties. Le secret partagé est lui établi grâce à Diffie
Diffie-Hellman.
37
CISCO
Une fois la clé mère établie, SKEYID va être diversifiée en 3 clés

filles, SKEYID-a, d et e. Ces clés vont servir à la création du premier
tunnel sécurisé entre entité, le canal IKE ou association de sécurité
ISAKMP. Il s’agit grossièrement d’un tunnel “administratif“ ; SKEYID-a
est utilisée pour l’authentification dans cette association, SKEYID-e sert
au chiffrement et SKEYID-d sera la clé mère des autres associations de
sécurité.
Les 3 méthodes présentent des points communs, notamment (et c’est logique)
au niveau fonctionnel. Les premiers échanges permettent de définir l’association de
sécurité. La deuxième catégorie d’échanges permet d’établir le secret partagé. La
troisième et dernière section du handshake permet d’authentifier les parties et de valider
tous les échanges précédents (et SKEYID par la même occasion).
• La deuxième phase est également appelée Quick Mode. Elle a pour

but d’établir les tunnels (et les associations de sécurité correspondantes)
servant au transfert des données. Notez qu’un tunnel est
unidirectionnel et qu’il faut donc établir 2 pour un échange full-duplex.
Les mécanismes propres à cette phase son grossièrement semblables à
ceux de la phase précédente, à l’exception de quelques points.
Parmi ces points, citons-le fait que SKEYID-d rentre comme prévu
dans le matériel de génération des clés. D’autre part, il existe une
option appelée Perfect Secrecy Mode (PFS) qui force les parties à
échanger de nouveaux secrets supplémentaires dans le but d’éviter que
toutes les clés du système ne dépendent d’une seule et même clé mère
(SKEYID).
Notons enfin qu’IKE nécessite l’implémentation des algorithmes et des

méthodes suivants (set minimal à des fins de compatibilité) :
• Chiffrement : DES en mode CBC (avec test sur les valeurs de clés afin
d’éliminer toute clé dite faible ou semi-faible)
• Hachage : MD5 et SHA-1
• Diffie-Hellman
38
CISCO
Pour être complets, citons les algorithmes conseillés :
• Chiffrement : 3DES
• Hachage : Tiger
• DSA, RSA
d. Politique de sécurité
Les protections offertes par IPsec sont basées sur des choix définis dans une
« Base de Donnée de politique de sécurité » (Security Policy Database, SPD). Cette base
de données est établie et maintenue par un utilisateur, un administrateur système ou une
application mise en place par ceux-ci. Elle permet de décider, pour chaque paquet, s’il se
verra apporter des services de sécurité, s’il sera autorisé à passer outre ou sera rejeté.
La SPD contient une liste ordonnée de règles, chaque règle comportant un

certain nombre de critères qui permettent de déterminer quelle partie du trafic est
concernée. Les critères utilisables sont l’ensemble des informations disponibles par le
biais des en-têtes des couches IP et transport. Ils permettent de définir la granularité
selon laquelle les services de sécurité sont applicables et influencent directement des
services de sécurité, la règle indique les caractéristiques de la SA (ou paquet de SA)
correspondante : protocole(s), modes, algorithmes requis…
Il y a deux SPD par interfaces, une pour le trafic entrant, l’autre pour le trafic
sortant. Chaque entrée de ces SPD précise un traitement à appliquer au paquet pour
lequel la règle s’applique (quand le critère de sélection ou le sélecteur est vrai) ; ces
traitements sont DROP (jette), BYPASS (laisse passer) ou IPsec PROCESS (traitement
avec IPsec). Ce dernier cas précise en outre les paramètres propres à IPsec tel que
l’algorithme.
Tout comme les règles d’un pare-feu ou encore les SAs vues précédemment,
les sélecteurs sont les suivants :
• Adresse IP de source et de destination, masques, intervalles

• Ports de source et de destination
• Protocole supérieur
39
ROUTEURS
CISCO
• Utilisateur ou identifiant de système
2.4.2. Principe de fonctionnement
Le schéma ci-dessous
dessous représente tous les éléments présentés ci
ci-dessus (en
bleu), leurs positions et leurs interactions.
Figure 11: Organisation d’IPsec
On distingue deux situations :
• Trafic sortant
Lorsque la « couche » IPsec reçoit des données à envoyer, elle
commence par consulter la base de données des politiques de sécurité
(SPD) pour
pour savoir comment traiter ces données. Si cette base lui
40
CISCO
indique que le trafic doit se voir appliquer des mécanismes de sécurité,

elle récupère les caractéristiques requises pour la SA correspondante et
va consulter la base des SA (SAD). Si la SA nécessaire existe déjà, elle
est utilisée pour traiter le trafic en question. Dans le cas contraire, IPsec
fait appel à IKE pour établir une nouvelle SA avec les caractéristiques
requises.
• Trafic entrant
Lorsque la couche IPsec reçoit un paquet en provenance du réseau, elle
examine l’en-tête pour savoir si ce paquet s’est vu appliquer un ou
plusieurs services IPsec et si oui quelles sont les références de la SA.
Elle consulte alors la SAD pour connaître les paramètres à utiliser pour
la vérification et/ou le déchiffrement du paquet. Une fois le paquet
vérifié et/ou déchiffré, la SPD est consultée pour savoir si l’association
de la sécurité appliquée au paquet correspondait bien à celle requise par
les politiques de sécurité.
Dans ce cas où le paquet reçu est un paquet IP classique, la SPD
permet de savoir s’il a néanmoins le droit de passer. Par exemple, les
paquets IKE sont une exception. Ils sont traités par IKE, qui peut
envoyer des alertes administratives en cas de tentative de connexion
infructueuse.
2.4.3. Types d’utilisations possibles
Après avoir vu comment est constitué IPsec et comment il fonctionne, nous

allons maintenant nous intéresser aux différentes façons de l’utiliser. Un point important
à retenir est que le fait d’intervenir au niveau réseau rend la sécurisation totalement
transparente pour les applications.
a. Equipement fournissant IPsec
IPsec peut être utilisé au niveau d’équipements terminaux ou au niveau de

passerelles de sécurité (Security Gateway), permettant ainsi des approches de
41
CISCO
sécurisation lien par lien comme de bout en bout. Trois configurations de base son
possibles :
La première situation est celle où l’on désire relier des réseaux privés distants
par l’intermédiaire d’un réseau non fiable, typiquement Internet. Les deux passerelles de
sécurité permettent ici d’établir un réseau privé virtuel. Les matériels impliqués sont les
passerelles de sécurités en entrée/sortie des différents réseaux (routeurs, gardes-
barrières, boîtiers dédiés). Cette configuration nécessite donc l’installation et la
configuration d’IPsec sur chacun de ces équipements afin de protéger les échanges de
données entre les différents sites.
Figure 12: Réseaux privés virtuels
Cet usage d’IPsec présente un certain nombre de limites :
• Si beaucoup de communications doivent être chiffrées, des problèmes

de performances peuvent apparaître.
• La configuration des équipements IPsec se faisant souvent
manuellement et statiquement, l’utilisation d’une telle configuration
avec un nombre élevé de sites et de tunnels est pour le moment
difficile.
42
CISCO
• La protection intervient seulement sur la traversée du réseau public, il

n’y a pas de protection de bout en bout des communications.
Dans la première situation, on désirait permettre des communications sûres

entre différents sites fixes. Un autre cas est celui où les communications à sécuriser ne
sont pas fixes mais au contraire intermittentes et d’origines variables. C’est le cas, par
exemple, lorsqu’on désire permettre à des employés ou à des partenaires situés à
l’extérieur de l’entreprise d’accéder au réseau interne sans diminuer le niveau de sécurité
(donc en mettant en œuvre une confidentialité et un contrôle d’accès forts). Les
matériels impliqués sont les portes d’entrées du réseau (serveur d’accès distants, liaison
Internet) et les machines utilisées par les employés (ordinateur portable, ordinateur
personnel au domicile).
Figure 13: Extranet
Cette configuration nécessite l’installation d’IPsec sur le poste de tous les

utilisateurs concernés et la gestion d’une éventuelle base de données adaptée pour
stocker les profils individuels. En contrepartie, elle représente un gros apport pratique
pour les employés qui se déplacent beaucoup, sans diminution de la sécurité du réseau.
43
CISCO
Dans les deux premières situations, l’approche choisie était orientée vers la
protection du réseau de l’entreprise dans son ensemble. On peut également vouloir
utiliser IPsec pour protéger l’accès à une machine donnée. Par exemple, si un serveur
contient des données sensibles que seul un nombre réduit de personnes (internes ou
externes à l’entreprise) doit pouvoir consulter, IPsec permet de mettre en œuvre un
contrôle d’accès fort et un chiffrement des données pendant leur transfert sur le réseau.
Les matériels impliqués dans ce type de configuration sont le serveur et les machines de
toutes les personnes devant accéder aux données.
Figure 14: Serveur sensible
IPsec rend la sécurisation possible quelles que soient les applications utilisées
pour accéder au serveur.
On peut également imaginer des configurations plus complexes où plusieurs

associations de sécurité, apportant éventuellement des services de sécurité différents, se
succéderaient ou se superposeraient partiellement :
44
CISCO
Figure 15: Exemples de double utilisation d’IPsec
Dans les exemples ci-dessus, la première association peut servir à assurer les
services de sécurité requis par la politique de sécurité externe (authentification et
confidentialité par exemple), et la seconde à assurer les services requis par la politique de
sécurité interne (authentification vis-à-vis de l’hôte final par exemple).
b. Mode de fonctionnement
Pour chacun des mécanismes de sécurité d’IPsec, il existe trois modes : le mode
transport, le mode tunnel et le mode Nesting.
En mode transport, seules les données en provenance du protocole de niveau

supérieur et transportées par le datagramme IP sont protégées. Ce mode n’est utilisable
que sur des équipements terminaux ; en effet, en cas d’utilisation sur des équipements
intermédiaires, on courrait le risque, suivant les aléas du routage, que le paquet atteigne
sa destination finale sans avoir traversé la passerelle sensée le déchiffrer.
45
ROUTEURS
CISCO
Figure 16 : Mode transport
En mode tunnel,
tunnel l’en-tête
tête IP est également protégé (authentification, intégrité
et/ou confidentialité) et remplacé par un nouvel en-tête.
en tête. Ce nouvel en
en-tête sert à
transporter le paquet jusqu’à
jusqu la fin du tunnel, où l’en-tête
tête original est rétabli. Le mode
tunnel est donc utilisable à la fois sur des équipements terminaux et sur des passerelles
de sécurité. Ce mode permet d’assurer une protection plus importante contre l’analyse
du trafic, car ill masque les adresses de l’expéditeur et du destinataire final.
Figure 17 : Mode tunnel
Lorsque le mode de tunnel IPsec est utilisé, IPsec crypte l’en-tête

l’en tête et la charge
utile, tandis que le mode transport crypte uniquement la charge utile IP. Le mode ttunnel
assure la protection de la totalité d’un paquet IP en le considérant comme une charge
utile AH ou ESP. En mode de tunnel, un paquet IP complet est encapsulé avec un en
en-
tête AH ou ESP et un en-tête
en tête IP supplémentaire. Les adresses IP de l’en-tête
l’en IP
extérieur
térieur représentent les points d’arrêt du tunnel, alors que celles de l’en
l’en-tête IP
encapsulé constituent les véritables adresses source et de destination.
46
ROUTEURS
CISCO
Le mode de tunnel IPsec est utile pour protéger le trafic entre les différents
réseaux, lorsque le trafic doit passer par un réseau intermédiaire non approuvé. Le mode
de tunnel est principalement utilisé pour assurer l’interopérabilité avec les passerelles et
systèmes terminaux qui ne prennent pas en charge les connexions L2TP/IPsec ou
PPTP. Nous pouvons
ns utiliser le mode de tunnel dans les configurations suivantes :
• Passerelle vers passerelle

• Serveur vers passerelle
• Serveur vers serveur
Mode de tunnel AH :
Comme le montre l’illustration suivante, le mode tunnel AH encapsule un

paquet IP avec un en-tête
tête AH et un en-tête
tête IP, puis signe ce nouveau paquet en vue
d’en garantir l’intégrité et l’authentification.
Figure 18 : Mode de tunnel AH
Mode de tunnel ESP :
Comme le montre l’illustration suivante, le mode tunnel ESP encapsule un

paquet IP avec un en-tête
en ESP et un en-tête
tête IP, ainsi qu’un code de fin
d’authentification ESP.
47
ROUTEURS
CISCO
Figure 19 : Mode de tunnel ESP
La partie signée du paquet indique l’endroit où le paquet a été signé pour en

garantir l’intégrité et l’authentification. Sa partie cryptée désigne quant
quant à elle les
informations qui sont protégées dans un souci de confidentialité.
Dans la mesure où un nouvel en-tête

en tête de tunneling est ajouté au paquet, tout ce
qui suit l’en-tête
tête ESP est signé (à l’exception du code de fin d’authentification ESP)
puisqu’ill est encapsulé dans le paquet en mode de tunnel. L’en-tête
L’en tête d’origine est inséré
après l’en-tête
tête ESP. L’ensemble du paquet est assorti d’un code de fin ESP avant le
cryptage. Tout ce qui suit l’en-tête
l’en tête ESP est crypté, à l’exception du code de fin ESP.
Cela comprend l’en-tête
tête d’origine qui est désormais considéré comme appartenant à la
partie données du paquet.
La charge utile ESP tout entière est ensuite encapsulée dans le nouvel en-tête
en
de tunnel, qui n’est pas crypté. Les informations de ce nouvel en-tête
en de tunnel sont
utilisées uniquement pour router le paquet de sa source vers le point de terminaison du
tunnel.
Si le paquet est transmis via un réseau public, il est routé vers l’adresse IP de la
passerelle pour l’intranet récepteur. La passerelle décrypte
décrypte le paquet, supprime l’en
l’en-tête
ESP et utilise l’en-tête
tête IP d’origine pour router le paquet vers l’ordinateur de destination
dans l’intranet.
ESP et AH peuvent être combinés en cas de tunneling, ce qui garantit non

seulement la confidentialité du paquet IP en mode de tunnel, mais aussi l’intégrité et
l’authentification du paquet tout entier.
48
ROUTEURS
CISCO
Utilisation de tunnels IPsec :
Les tunnels IPsec garantissent la sécurité du trafic IP uniquement. Le tunnel est

configuré pour protéger le trafic entre deux adresse IP
I ou deux sous-réseaux
réseaux IP. Si le
tunnel est utilisé entre deux ordinateurs au lieu de deux passerelles, la même adresse IP
se trouve à l’extérieur et à l’intérieur de la charge utile AH ou ESP. Dans Windows XP
et les systèmes d’exploitation de la famille Windows
Windows Server 2003, IPsec ne prend pas en
charge les tunnels propres aux protocoles ou aux ports. Nous pouvons configurer des
tunnels à l’aide des consoles Gestion de la stratégie de sécurité du protocole IP et
Stratégie de groupe, afin de configurer et d’activer
d’ deux règles :
• Règle pour le trafic sortant du tunnel

La règle du trafic sortant est configurée avec une liste de filtres
décrivant le trafic qui doit être envoyé par le tunnel et un point d’arrêt
du tunnel correspondant à une adresse IP configurée sur l’homologue
tunnel IPsec (c'est-à-dire
(c'est dire l’ordinateur ou le routeur situé à l’autre
extrémité du tunnel).
• Règle pour le trafic entrant du tunnel
La règle du trafic entrant est configurée avec une liste de filtres
décrivant le trafic qui doit être reçu par
par le tunnel et un point d’arrêt du
tunnel correspondant à une adresse IP locale (c'est-à-dire
(c'est dire l’ordinateur
ou le routeur situé du côté local du tunnel).
Le mode Nesting est hybride puisqu’il utilise les 2 modes cité précédemment.
Il s’agit bien d’encapsulerr de l’IPSec dans de l’IPsec.
Figure 20 : Mode Nesting
49
CISCO
2.4.4. Faiblesse des VPN IPsec
Il est facile et rassurant de supposer que la première connexion VPN venue

résout immédiatement tous les problèmes de sécurité des utilisateurs distants. Mais,
après avoir pratiqué IPsec, nous savons qu’il n’en est pas ainsi. En effet, un VPN IPsec
mal déployé peut être aussi dangereux que de connecter votre LAN d’entreprise
directement à Internet sans aucun pare-feu. Si un réseau ou utilisateur final distant est
compromis, que ce soit par une infection virale, un logiciel espion, ou par un acte de
piratage, un VPN se contente de fournir un conduit à ces agents nocifs pour qu’ils
contaminent votre LAN d’entreprise.
a. Classification des faiblesses
Nous allons étudier plusieurs types de faiblesses relatives à IPsec. Il est

important de garder à l’esprit des différentes catégories de faiblesses possibles, leur
impact potentiel, leur degré de dangerosité, et d’en déduire un risque réel représenté, en
fonction du contexte. [5]
Dénis de services
La faiblesse la plus courante rencontrée lors de déploiements de configurations

IPsec est le déni de service (DOS). Si le niveau de dangerosité direct de ces dénis de
services est très modéré (aucune fuite et aucune corruption d’informations), le contexte
de déploiement peut parfois rendre ce DOS très gênant, par exemple s’il bloque le
transit de données importantes (données bancaires, opérations financières).
Corruption des données
Le second niveau de dangerosité est le risque de modifications de données sur

le chemin sans détection par le destinataire du paquet IPSec.
Les modifications à l’aveugle restent un risque assez faible. En effet, les

paquets seront probablement détectés comme étant invalides, soit au niveau IP, soit au
niveau applicatif. Le risque maximum est donc un déni de service au niveau applicatif, si
le programme concerné n’effectue pas assez de vérifications des données qu’il traite.
50
CISCO
La possibilité de modifier certaines données de façon précise est un risque

beaucoup plus important, puisqu’il permet de changer une information précise et ciblée.
Cela nécessite cependant d’être capable de prévoir la donnée d’origine, pour pouvoir
modifier sans avoir pu déchiffrer le paquet IPSec.
Interception de données
La possibilité de pouvoir lire des données chiffrées est l’un des risques les plus
importants à considérer, mais doit être considéré en fonction du contexte.
S’il est impossible de garantir la confidentialité des données sur une durée
importante (de l’ordre de plusieurs années), ce risque reste généralement important.
La plupart des données n’ont en effet qu’une durée d’intérêt assez limitée dans
le temps de l’ordre de la seconde (voire moins) pour les données courantes (le seul
intérêt de déchiffrer ces données est de pouvoir les modifier à la volée), à une durée de
vie de l’ordre de quelques jours pour des données « modérément sensibles ».
Cependant, certaines données peuvent avoir une durée de validité (donc une
durée de confidentialité nécessaire) nettement plus importante. On peut par exemple
citer des données bancaires, des données sur une société, ou tout autre donnée qui peut
être exploitable à postériori sur une durée importante.
Il existe également des données encore plus délicates à traiter, comme par
exemple les données médicales, lorsque la durée de confidentialité nécessaire pour ces
données dépasse largement les durées de « solidité » de tous les algorithmes symétriques
connus et utilisés à ce jour.
Il est donc important, pour évaluer le risque réel d’une interception de
données, de tenir compte de la durée de vie de la donnée, et de la comparer au temps
nécessaire à l’attaque.
Accès non autorisés
Le dernier risque principal est la possibilité d’accéder à des ressources sans y

être autorisé par la politique de sécurité.
Ici encore, il faut tenir compte du contexte, des prés requis à l’attaque, et
comparer en particulier la durée d’intérêt de l’accès.
51
CISCO
b. Problèmes de déploiements
Tout déploiement de tunnels IPSec, quelle que soit l’implémentation, reste facile
`a affaiblir avec une mauvaise configuration. Il est alors important pour les
administrateurs de connaitre tous ces pièges courants pour pouvoir aisément les éviter.
Tunnel sans filtrage

De nombreux administrateurs considèrent que l’´etablissement d’un tunnel
IPSec (ou d’un tunnel VPN en général) est un gage de sécurité suffisant pour garantir
tous les flux circulant au travers de ce tunnel. Or, si un tunnel IPSec peut garantir le
transit des flux au travers de ce tunnel, il ne peut en aucun cas garantir la non-
compromission des extrémités de trafic distantes.
Il est donc indispensable de mettre en place une politique de filtrage sur les flux des
tunnels IPSec, et de les réduire au strict nécessaire, de la même façon que sont controlés
les autres flux de la passerelle.
Mauvaise compréhension des configurations
Dans certains cas, il est possible de créer des configurations qui ne

correspondent pas à ce qui semble naturel pour l’administrateur.
Par exemple, dans la configuration de la pile IPSec KAME, tous les tutoriels et
tous les fichiers d’exemples indiquent de déclarer des polices de sécurité avec le mot clé
« require ». Or, dans le cas d’un correspondant IPSec avec lequel on désirerait établir
plusieurs phases2 de niveaux de sécurité différents (algorithmes, durées de vies,...), le
mot clé « require » indique que n’importe laquelle des SAs négociées avec le
correspondant peut être utilisée pour chiffrer un paquet de n’importe laquelle des
polices de sécurité vers ce correspondant.
Dans le pire des cas, le trafic censé être le mieux protégé peut finalement se
retrouver chiffré avec la SA la plus faible.
Secrets mal protégés

Cette faiblesse potentielle est probablement l’une des plus génériques à tout
contexte de sécurité, mais la sécurité d’un tunnel IPSec est directement dépendante de la
qualité de ses secrets.
52
CISCO
Il est évident qu’un tunnel IPSec dont la clé pré-partagée ou une clé privée de
certificat est facilement accessible présente un niveau de sécurité quasi nul pour toute
personne pouvant disposer de ce secret et capable d’intercepter le trafic IPSec.
Mauvaise gestion de PKI

La sécurité d’une architecture IPSec par certificats dépend également beaucoup
de la capacité de gérer correctement la chaine de certificats.
La première faiblesse courante est une gestion mauvaise ou absente des listes
de révocations (CRLs) de la CA. Il devient alors possible de s’authentifier sur une
passerelle IPSec avec un certificat pourtant connu comme étant révoqué.
La seconde faiblesse importante est une mauvaise gestion de la clé privée de la
CA qui permettrait, d’une façon ou d’une autre (copie de la clé privée de la CA,...), de
signer des certificats « illégitimes », permettant alors également de s’authentifier sur une
passerelle IPSec sans pourtant en avoir le droit légitime.
Configuration des faiblesses

Des configurations faibles sont très fréquemment rencontrées lors de
déploiements effectifs, parfois par manque de connaissance de l’administrateur, parfois
par incompétence ou par facilité. Ces configurations faibles facilitent ou permettent
souvent l’exploitation de failles vues précédemment, qu’elles soient des faiblesses de
protocoles ou des faiblesses courantes d’implémentations.
Parmi les configurations faibles, les plus courantes sont :
– Phase1 en mode agressif et secret pré-partagé.
– Utilisation d’algorithmes faibles : DES, MD5, pas de PFS pour les phases 2.
– ESP sans hash, qui le rend sensible aux attaques par bit flipping CBC, [CVE-2005-
0039].
– Secret partagés faibles.
– Mauvaise configuration de CAs.
– Pas de gestion de CRLs.
A la suite de cette étude, nous pouvons dire qu'IPsec est un système très
complet qui peut répondre à beaucoup de besoins en matière de sécurité et s’adapter à
53
CISCO
de nombreuses situations. Sa conception en fait un système très sûr et sa nature de

norme garantit l’interopérabilité entre les équipements de différents fournisseurs. Ces
avantages, couplés à la prédominance grandissante du protocole IP, vont certainement
faire d’IPsec un acteur important de la sécurité des réseaux informatiques. Il lui manque
encore, pour être utilisé à grande échelle, un peu de maturité et surtout un système de
gestion centralisée et dynamique des politiques de sécurité. Les avancées actuelles dans
ce domaine laissent à penser qu’il ne s’agit que d’une question de temps avant qu’un tel
système ne voie le jour. L’apparition d’infrastructures à clés publiques fonctionnelles et
reconnues est également indispensable pour une utilisation pratique et répandue d’IPsec.
2.5. VPN autres qu’IPsec
2.5.1. Le Protocole Ssl
Récemment arrivé dans le monde des VPN, les VPN à base de Ssl présente
une alternative séduisante face aux technologies contraignantes que sont les VPN
présentés jusqu’ici. Les VPN Ssl présente en effet le gros avantage de ne pas nécessiter
du côté client plus qu’un navigateur Internet classique. En effet le protocole Ssl utilisé
pour la sécurisation des échanges commerciaux sur Internet est implémenté en standard
dans les navigateurs modernes. [6]
Ssl est un protocole de couche 4 (niveau transport) utilisé par une application
pour établir un canal de communication sécurisé avec une autre application.
Ssl a deux grandes fonctionnalités : l’authentification du serveur et du client à

l’établissement de la connexion et le chiffrement des données durant la connexion.
Figure 21 : Présentation du protocole Ssl
54
CISCO
a. Fonctionnement
Le protocole Ssl Handshake débute une communication Ssl. Suite à la requête

du client, le serveur envoie son certificat ainsi que la liste des algorithmes qu’il souhaite
utiliser. Le client commence par vérifier la validité du certificat du serveur. Cela se fait à
l’aide de la clé publique de l’autorité de certification contenue dans le navigateur du
client. Le client vérifie la date de validité du certificat et peut également consulter une
CRL (Certificate Revocation List). Si toutes les vérifications sont passées, le client
génère une clé symétrique et l’envoie au serveur. Le serveur peut alors envoyer un test
au client, que le client doit signer avec sa clé privée correspondant à son propre
certificat. Ceci se fait de façon à ce que le serveur puisse authentifier le client.
De nombreux paramètres sont échangés durant cette phase : type de clé, valeur
de la clé, algorithme de chiffrage.
La phase suivante consiste en l’échange de données cryptées (protocole Ssl

Records). Les clés générées avec le protocole Handshake sont utilisées pour garantir
l’intégrité et la confidentialité des données échangées. Les différentes phases du
protocole sont :
• Segmentation des paquets de taille fixe

• Compression (mais peu implémenté dans la réalité)
• Ajout du résultat de la fonction de hachage composé de la clé de cryptage,
du numéro de message, de la longueur du message, de données.
• Chiffrement des paquets et du résultat du hachage à l’aide de la clé
symétrique générée lors du Handshake.
• Ajout d’un en-tête Ssl au paquet.
55
CISCO
Figure22 : Echange de données du protocole Ssl
b. Architecture VPN Ssl
Contrairement à IPSec (qui opère au niveau réseau), le VPN SSL opère au

niveau applicatif et nécessite la mise en œuvre d’un serveur Web permettant de
constituer le portail d’accès. Pour des raisons de sécurité évidentes, la mise en œuvre
d’un VPN SSL ne doit donc pas se faire sur un équipement de filtrage de type Firewall.
En effet, la présence de services applicatifs, ouverts vers l’extérieur, sur un pare-feu
serait de nature à compromettre l’équipement de sécurité réseau. De même, parce que le
VPN SSL n’est pas à proprement parler un équipement de sécurité réseau, mais une
passerelle d’accès et de chiffrement, il ne doit jamais se placer en coupure entre Internet
et le LAN, ni directement devant les serveurs de l’entreprise. Les produits VPN SSL
sont donc des Appliance spécialisées, destinées à être isolées sur la DMZ d’un pare-feu
pour tirer partie des fonctions de protection offertes par ce dernier : firewall, prévention
et détection d’intrusions, antivirus…
56
CISCO
Conclusion :
Nous avons détaillé dans cette première partie les différents types de VPN et
leur mode de fonctionnement.
Nous avons choisi IPsec parce que c’est un protocole qui est développé pour
fournir un service de sécurité à base de cryptographie, permettant de garantir
l'authentification, l'intégrité, le contrôle d'accès et la confidentialité des données.
Dans la partie qui va suivre nous allons mettre en œuvre et réaliser un réseau
privé virtuel IPsec avec des routeurs CISCO en se servant de tout ce qui à été dicté au
préalable.
57
CISCO
Partie II : Etude Pratique
58
CISCO
Chapitre III :
Mise en œuvre et
Réalisation.
59
CISCO
Introduction :
Après l’analyse théorique de notre sujet, nous allons passer à la partie pratique,
c'est-à-dire la réalisation d’un VPN site à site. Avant de réalisé notre réseau privé virtuel,
nous allons tout d’abord définir les différentes étapes de mise en œuvre.
1. Mise en œuvre du Réseau Privée Virtuel
1.1. Etape de mise en œuvre d’un VPN

Le déploiement d’un VPN implique la prise en compte de plusieurs facteurs
que nous allons énumérer et expliquer dans cette partie du travail. [7]
1.1.1. Evaluation des besoins de l’accès distant
Déterminer les types de media qui seront utilisés par les utilisateurs distants
pour accéder au réseau de l’entreprise.
Déterminer les applications qui seront utilisées par le personnel accédant à

distance au réseau de l’entreprise.
Déterminer la bande passante nécessaire pour les applications qui seront

consultées à distance.
1.1.2. Mise en place d’une stratégie de sécurité d’accès

distant
Définir les groupes d’utilisateurs : les utilisateurs peuvent être définis soit dans
un annuaire existant, soit dans une base propre à la solution VPN choisie. La création
d’utilisateurs et de groupes s’applique surtout au cas des VPN Client Site. Dans ce cas
l’authentification d’un utilisateur est très importante pour limiter le risque d’intrusion.
Définir les règles d’accès : le VPN doit être configuré pour filtrer les flux à
l’aide de règles :
60
CISCO
Concernant les VPN Site à Site : le filtrage par adresse au réseau IP est
possible ;
Concernant les VPN Client Site : le filtrage par utilisateur est possible
(par le biais d’un nom d’utilisateur, certificat…)
Les règles définies au cours de cette phase doivent être liées aux documents de
sécurité. Les modifications apportées doivent être écrites et vérifiées régulièrement.
Définir les types d’accès distants qui seront autorisés ou pas.
Déterminer les choix appropriés en ce qui concerne les technologies et les

implémentations VPN.
1.1.3. Détermination du meilleur produit VPN.
Déterminer le produit VPN qui sera utilisé pour la mise en place du VPN. Ce
choix sera opéré entre produits VPN : matériel, logiciel, Firewall ou mélange des trois.
Ce choix doit tenir compte des critères suivants : protocoles supportés, support de
serveur d’authentification, capacité d’exporter les clés de chiffrement.
1.1.4. Reconfiguration des autres périphériques du réseau.
L’installation d’un VPN peut signifier une reconfiguration des autres

périphériques du réseau :
Dans le cas où les sites à connecter utilisent des plages d’adresses IP qui se
recoupent, il est indispensable de remédier à ce problème en homogénéisant le
plan d’adressage.
Vérifier la synchronisation horaire, si les passerelles VPN ne sont pas
synchronisés à la minute près (voir la seconde) le tunnel peut tomber. En effet,
les protections anti-rejeu provoquent cette chute car la passerelle distante refuse
les trames reçues si l’heure d’émission de ces dernières est trop en décalage avec
l’heure locale du système.
61
CISCO
Si l’un des sites utilise la translation d’adresses, ceci peut représenter un

inconvénient pour la mise en place du VPN. C’est aujourd’hui la « bête noire »
des VPN. L’impact de la NAT (Network Address Translation) sur les
composants IPSec est le suivant :
- Le protocole AH permet le contrôle de l’intégrité d’une trame IP, en
générant une empreinte de toute la trame y compris de l’en-tête. Si on réalise
une translation d’adresses IP, celles qui sont situées dans l’en-tête seront
modifiées car la trame IP étant sécurisée, toute modification de ses
paramètres sera considérée comme une attaque. Ce problème est présent,
quel que soit le mode (transport ou tunnel) utilisé et quel que soit le
mécanisme de NAT utilisé.
- Le cas d’ESP est différent de celui d’AH car le contrôle d’intégrité n’a pas la
même étendue. Si la translation d’adresse a lieu avant la sécurisation d’une
trame, alors aucun problème ne se pose. Pour la translation statique ou
dynamique simple, le contrôle d’intégrité d’ESP inclut les en-têtes des
protocoles de niveau 4 (TCP ou UDP) et en particulier les numéros de port.
Si une translation statique ou dynamique simple est mise en œuvre, le
numéro de port n’est pas modifié, donc aucun impact ne se fait ressentir
pour le VPN. Mais pour une translation NAPT (Network Address Port
Translation), les tunnels basés sur ESP, avec un dispositif de translation
d’adresses en aval, ne peuvent fonctionner car un en-tête IP standard est
suivi de l’en-tête du protocole de niveau 4(TCP ou UDP) où est situé le
numéro de port à modifier. IPSec insère un nouvel en-tête entre les deux.
Pour changer le numéro de port, il faudrait que le dispositif de translation
sache qu’il a à faire à une trame IPSec et en plus les numéros de ports utilisés
par les protocoles de niveau 4 sont couverts par la protection en intégrité
et/ou en confidentialité.
La première solution pour résoudre tous ces problèmes de NAT est de ne pas
utiliser cette technologie entre des équipements utilisant IPSec. La deuxième solution
repose sur l’encapsulation dans une trame UDP de chaque trame IPSec émise.
62
CISCO
1.1.5. Déploiement de la phase de test
L’architecture définie doit être maintenant mise en œuvre dans le cadre d’une
maquette ou d’un pilote pour valider l’interaction entre les composants. Il s’agit alors de
faire cohabiter les composants de la nouvelle architecture avec ceux de l’ancienne. Ces
tests se feront par le biais d’un groupe pilote.
Tester que le VPN peut être configuré en accord avec la stratégie de

sécurité de l’entreprise.
Tester que le VPN supporte tous les mécanismes d’authentification et
d’autorisation déjà en cours d’utilisation.
Tester que le VPN peut produire et distribuer efficacement les clés.
Permettre aux utilisateurs distants et aux succursales de participer aux
réseaux de l’entreprise.
AU sortir des tests, l’on doit connaître le protocole de tunneling, l’algorithme

de chiffrement, la longueur de la clé, etc. On pourra ainsi dimensionner les ordinateurs
et autres équipements qui seront utilisés pour le système final.
1.1.6. Déploiement de la solution finale
La validation précédente doit apporter la certitude que l’architecture qui sera

déployée fournit tous les services prévus lors de la conception de l’architecture. Ce n’est
qu’après cette validation que la solution finale du VPN sera déployée.
Nous vous avons démontré les étapes de mise en œuvre d’un VPN. Nous
allons poursuivre en mettant en pratique les éléments mentionnés ci-dessus. La partie
qui va suivre est l’aboutissement pratique de tout ce que nous avons mentionné au
préalable.
63
CISCO
1.2. Configuration d’un VPN site à site avec un IOS CLI
Nous allons maintenant établir une connexion VPN site à site à l’aide de trois
routeurs CISCO IOS CLI et un Switch selon la figure ci-dessous. Nous allons
également faire un Loopback, qui est une méthode permettant de se connecter sur la
machine locale exactement comme s’il s’agissait d’une machine distante. Cela permet de
tester et d’employer un logiciel client-serveur sur une seule machine. [8]
Figure 23: Présentation de l’architecture réseau à réaliser
a. Configuration de l’Adressage
Pour établir notre connexion VPN nous allons tout d’abord configurer les trois
routeurs en commençant par l’adressage. Nous avons configuré les interfaces de
réalimentation et les interfaces séries avec les adresses montrées dans la figure ci dessus.
64
CISCO
Figure 24: Adressage du routeur R1
b. Configuration d’EIGRP
Afin de maintenir la connectivité entre les réseaux à distance, nous avons

configuré EIGRP qui est un protocole de routage développé par Cisco. C’est un
protocole hybride IP, avec une optimisation permettant de minimiser l’instabilité de
routage due aussi bien au changement de topologie qu’à l’utilisation de la bande passante
et la puissance du processeur du routeur.
R2(config)# router eigrp 1

R2(config-router)# no auto-summary
R2(config-router)# network 192.168.12.0
R2(config-router)# network 192.168.23.0
65
CISCO
c. Création de la politique de sécurité IKE
IPsec est un cadre des standards ouverts développés par l'Internet Engineering
Task Force (IETF). Il fournit la sécurité pour la transmission des informations sensibles
au-dessus des réseaux non protégés tels que l'Internet. IPsec agit à la couche réseau,
protégeant et authentifiant des paquets d'IP entre les dispositifs participants d'IPsec,
comme des routeurs de Cisco. Puisqu'IPsec est un cadre, il nous permet d'échanger des
protocoles de sécurité pendant que de nouvelles technologies (algorithmes de chiffrage y
compris) sont développées. Il y a deux éléments de configuration centraux à l'exécution
d'un VPN IPsec:
1. Mettre en application les paramètres d'échange de clef (IKE) d'Internet
2. Mettre en application les paramètres d'IPsec
La méthode d'échange utilisée par IKE est d'abord employée pour passer et
valider des politiques d'IKE entre les peers. Puis, l'échange de peers et les politiques
d'IPsec pour l'authentification et le chiffrage du trafic de données. La politique d'IKE
commande l'authentification, l'algorithme de chiffrage, et la méthode d'échange de clef
employée pour les propositions d'IKE qui sont envoyées et reçues par les points finaux
d'IPsec. La politique d'IPsec est employée pour chiffrer le trafic de données envoyé par
le tunnel du VPN. IKE devra être activé pour qu’IPsec travail. IKE est activé par défaut
sur des images d'IOS avec les ensembles cryptographiques de dispositif. S'il est désactivé
pour quelque raison, vous pouvez l’activer avec la commande suivante : crypto isakmp
enable.
R1 (config) # crypto isakmp enable.
Pour permettre à la phase 1 d'IKE de s’effectuer, nous avons créé une

politique du protocole d'association de sécurité d'Internet et de gestion des clés
(ISAKMP) et configurer une association de pair impliquant cette politique d'ISAKMP.
Une politique d'ISAKMP définit les algorithmes d'authentification et de chiffrage et la
fonction de hachage employée pour envoyer le trafic de commande entre les deux
points finaux du VPN. Quand une association de sécurité d'ISAKMP a été acceptée par
les points d'IKE, la phase 1 d'IKE se termine. Des paramètres de la phase 2 d'IKE
seront configurés plus tard.
66
CISCO
Ceci lance le mode de configuration de politique d'ISAKMP. Une fois en ce

mode, nous pouvons regarder les divers paramètres d'IKE
Figure 25: Commandes de la politique de sécurité IKE
d. Configuration des clés partagées
Puisque nous avons choisi des clefs partagées pour notre méthode
d'authentification dans la politique d'IKE, nous devons configurer une clef sur chaque
routeur correspondant à l'autre point final du VPN.
Nous pouvons également spécifier le point par le Hostname (substituez

l'adresse de mot-clé avec le Hostname) si l'adresse IP peut changer beaucoup. Nous
devons statiquement lier l'adresse IP au Hostname sur le routeur, ou employer un
service de nom-consultation.
R1(config)# crypto isakmp key cisco address 192.168.23.3

R3(config)# crypto isakmp key cisco address 192.168.12.1
67
CISCO
e. Configuration d’IPsec Transform Set and Liftime
L'IPsec Transform Set est un autre paramètre de cryptage de configuration que

les routeurs négocient pour former une association de sécurité.
Pour créer un IPsec Transform Set, nous avons utilisé la syntaxe suivante
crypto ipsec transform-set et ensuite nous avons regardé les différents paramètres
disponibles. Pour R1 et R3, nous avons crée un ensemble de Transform Set avec
l’étiquette 50 et utilisé un ESP Transform avec un AES 256 puis, encapsulé le protocole
de sécurité (ESP) et la fonction de hachage SHA et pour finir un en-tête
d’authentification utilisant SHA.
R1(config)#crypto ipsec transform-set ?

WORD Transform set tag
Nous pouvons également changer l’association de sécurité d’IPsec (lifetime)

qui est implémenté par défaut à 3600 secondes ou 4.608.000 kilo-octet par la commande
de configuration globale crypto ipsec security-association lifetime seconds pour les
secondes ou par crypto ipsec security-association lifetime kilobytes pour les
kilobytes. Pour R1 et R3, choisir l’association de sécurité d’IPsec (lifetime) à 30 minutes
ou 1800 secondes.
R1(config)# crypto ipsec security-association lifetime seconds 1800

R3(config)# crypto ipsec security-association lifetime seconds 1800
f. Définir le trafic intéressant
Maintenant que la plupart des arrangements de chiffrage sont en place, nous

avons définis les listes d'accès prolongé pour dire au routeur quel trafic à chiffrer. Un
paquet qui est autorisé par une liste d'accès utilisée pour définir le trafic d'IPsec
obtiendra le chiffrement si la session d'IPsec est configurée correctement. Un paquet qui
n’est pas reconnu par une de ces listes d'accès ne sera pas lâché ; il sera envoyé non
codé.
S'il n'y a aucune association de sécurité d'IPsec correctement configurée, alors

aucun trafic ne sera chiffré, mais le trafic sera expédié en tant que trafic non codé. Dans
68
CISCO
ce scénario, le trafic que nous voulons chiffrer est le trafic allant du réseau de
réalimentation de R1 au réseau de réalimentation de R3, ou vice versa. Ces listes d'accès
sont en partance utilisé sur les interfaces de point final de VPN, ainsi nous les
configurons en conséquence. La configuration de la liste d'accès de R1 devra être
reflétée exactement sur R3 pour que ceci travaille correctement.
R1(config)# access-list 101 permit ip 172.16.1.0 0.0.0.255 172.16.3.0 0.0.0.255

R3(config)# access-list 101 permit ip 172.16.3.0 0.0.0.255 172.16.1.0 0.0.0.255
g. Création et application des Crypto Maps
Maintenant que nous avons créé tous ces petits modules de configuration,
nous pouvons les réunir dans une crypto map. Une crypto map est une cartographie de
ce trafic d'associés assortissant une liste d'accès (comme celle que nous avons créée plus
tôt) à un pair et à de divers arrangements d'IKE et d'IPsec.
Pour créer une crypto map, nous devons utiliser la commande de configuration
globale, crypto map name sequence-num type pour accéder au mode de configuration des
crypto maps.
Utiliser un type d'ipsec-isakmp, signifie qu'IKE sera employé pour établir des
associations de sécurité d'IPsec. Dans des circonstances normales, nous pouvons
employer ce mode, par opposition au type ipsec-manual. Si ipsec-manual est
employé, IKE ne sera pas employé pour configurer l'association de sécurité d'IPsec
(SA). Nous avons nommé la crypto carte « MYMAP, » et employez 10 comme numéro
de séquence. Ensuite nous sommes entrés dans le mode de configuration de la crypto
map du routeur R1. En faisant ceci, la crypto map sera créer et cette commande lancera
un avertissement qu’une pair est saturer avant que la crypto map soit considérée valide
et peut être activement appliqué.
R1(config)# crypto map MYMAP 10 ipsec-isakmp

% NOTE: This new crypto map will remain disabled until a peer
and a valid access list have been configured.
69
CISCO
Puis, utiliser la commande Match address acces-list pour spécifier quelle liste
d’accès définira le trafique à chiffrer.
R1(config-crypto-map)# match address 101
h. Vérification de la configuration IPsec
Après avoir tout configuré, nous allons vérifier la configuration d’IPsec. Pour
ce faire, nous allons vérifier les commandes tapées au préalable dont celle concernant la
politique de sécurité d’ISAKMP. Nous avons utilisé la commande show crypto
isakmp policy. Et pour la vérification nous allons utiliser la commande show crypto
ipses transform-set sur les routeurs R1 et R3. Et nous avons eu ce résultat :
R1# show crypto ipsec transform-set

Transform set 50: { ah-sha-hmac }
will negotiate = { Tunnel, },
{ esp-256-aes esp-sha-hmac }
R3# show crypto ipsec transform-set
Transform set 50: { ah-sha-hmac }
{ esp-256-aes esp-sha-hmac }
L’utilisation de la commande show crypto map sert à voir quelles sont les
crypto map utilisé dans le routeur. Le rendement de la commande show ne changera
pas si le trafic intéressant va à travers la connexion.
i. Vérification de l’opération IPsec
Cette vérification de l’opération d’IPsec va nous montrer s’il n’y a pas d’erreur
de syntaxe et si les connexions sont bien établies.
70
CISCO
Si nous employons la commande show crypto isakmp sa, elle indiquera

qu'IKE SAS n'existe pas encore.
R1# show crypto isakmp sa

dst src state conn-id slot status
R3# show crypto isakmp sa
dst src state conn-id slot status
Si nous employons la commande show crypto ipsec sa, elle montrera que SA
est inutilisée entre R1 et R3. Notons le nombre de paquets envoyés à travers et le
manque de toutes les associations de sécurité énumérées vers le fond du rendement.
Figure 26: Vérification de la configuration d’IPsec du Routeur 1
71
CISCO
Figure 27: Vérification de la configuration d’IPsec du Routeur 3
Après analyse, nous avons remarqué qu’aucune association de sécurité (SA) n’a
été négociée. Comment faire pour forcer le protocole IPsec à négocier leur association
de sécurité ?
Nous allons essayer d’apporté une réponse et une solution dans le prochain
point en lançant le débogage.
j. Interprétation et élimination des imperfections

d’évènement d’IPsec
Nous allons maintenant passer à la phase interprétation et d’élimination des

imperfections. Durant cette phase, nous avons remarqué beaucoup de difficultés
notamment dans les règles de gestion des clés, dans la négociation du tunnel IPsec entre
les deux points finaux, sur le chiffrement des données et le cryptage.
72
CISCO
Pour remédier à tous ces problèmes et difficultés rencontrés, nous avons lancé
la phase de débogage en utilisant certaines commandes. Ensuite, nous avons essayé de
les interpréter pour enfin finir par les résoudre.
Sur R1 nous allons rentrer deux commandes : debug crypto isakmp et

debug crypto ipsec.
R1# debug crypto isakmp

Crypto ISAKMP debugging is on
R1# debug crypto ipsec
Crypto IPSEC debugging is on
Maintenant, nous allons envoyer une requête Ping du Loopback de R1 vers le

Loopback de R3, et observer le débogage à la sortie des deux routeurs. Nous avons
remarqué que la connexion est établie.
Quand R1 reçoit le paquet d’authentification de R3, il vérifie la valeur de

charge utile et identifie le paquet. Si ISAKMP authentifie l’association de sécurité par le
canal chiffré, la phase I d’IKE serra complète et l’association de sécurité sera établie.
Au final, R1 va établir quatre associations de sécurité avec R3 : Deux dans la

direction de départ et deux dans la direction d’arrivée. Une dans chaque direction est
employée pour le protocole AH et l’autre est employée pour le protocole ESP. En ce
moment, les réponses d’ICMP passent naturellement par le tunnel d’IPsec. Ensuite il y’a
une élimination des imperfections et un débogage.
R1# undebug all

All possible debugging has been turned off
Après le débogage, nous allons analyser le trafic à l’aide de l’analyseur de trafic

Wireshark.
k. Utilisation de Wireshark pour surveiller le chiffrage

du trafic
Pour observer des paquets sur le fil nous allons utiliser Wireshark, qui est un
logiciel libre d’analyse de protocole, ou « paquet sniffer », utilisé dans le dépannage et
l’analyse de réseaux informatiques. Pour ce faire, nous avons tout d’abord configuré une
73
CISCO
session sur le commutateur et ouvert Wireshark sur un centre serveur attaché au port de
destination. Nous avons utilisé le centre serveur que nous avons utilisé pour SDM parce
que nous n'avons plus besoin de lui pour configurer le VPN.
Après la configuration des routeurs pour permettre l'accès de Telnet, terminé la

capture et regardé le rendement, nous avons vu un ensemble de paquet de données
Telnet. Certaines de ces données, particulièrement les paquets de retour, montre les jets
non codé entiers du texte. La raison qu’une partie envoie des paquets ayant de plus
longues chaînes de texte est parce que des paquets de retour peuvent être envoyés
consécutivement du routeur contrôlant le raccordement.
Figure 28: Données du paquet détaillées sur la corde de Telnet envoyée par R1
74
CISCO
Figure 29: Données du paquet détaillées sur le trafic de retour de Telnet par R3
Basé sur ce rendement, nous pouvons voir à quel point il est facile pour
quelqu'un qui est dans le chemin des données sensibles au trafic des textes non codés ou
en clairs.
Maintenant, nous réappliquerons les arrangements de cryptographie sur R1 et

R3 et commencerons une session de Telnet de R1 à R3.
Commençons en réappliquant les cryptos maps que nous avons enlevées plus
tôt sur R1 et R3.
En ce qui concerne l’utilisateur, la session de Telnet semble la même avec et

sans chiffrage. Cependant, la capture de paquet de Wireshark prouve que le VPN est
activement encapsulé et chiffre les paquets.
75
CISCO
Figure 30: Données du paquet détaillées sur la corde chiffrée de Telnet envoyée par R1
En conclusion, et le plus important, si nous regardons le contenu de ces

paquets dans Wireshark, n'importe comment nous essayons de les composer ou filtrer,
nous ne pourrons pas voir ce qu'étaient à l'origine les données à l'intérieur.
La suite de chiffrage fournie par IPsec fixe avec succès des données par
l'authentification, le chiffrage, et les services de donnée-intégrité.
La connexion VPN est bien établie et il est totalement sécurisé.
76
CISCO
Conclusion :
Au sortir de notre étude sur les VPN IPsec, nous pouvons conclure en disant
qu’ils sont très avantageux par leur forte identification des correspondants,
l’encapsulation qui s’opère au niveau IP, et les protocoles sont normalisés par L’IETF.
Ils répondent également à tous les critères de sécurité informatique qui sont :
• La confidentialité des données (par le chiffrement)

• L’intégrité des données (par les fonctions de hachage- Hashs)
• L’authentification (identification fiable et mutuelle des
correspondants).
Malgré ses qualités, nous avons remarqué qu’un VPN IPsec est très complexe à
mettre en œuvre car son déploiement nécessite des connaissances en IPsec. Nous avons
eu certains problèmes d’implémentation (Bugs, et problème d’interopérabilité), des
problèmes de routage d’ESP et AH qui sont difficilement compatible avec le NAT ou
sont parfois bloqués par des routeurs.
En définitif, nous dirons qu’à l’issu de notre étude sur les réseaux privé virtuel,
et des difficultés rencontré lors de la réalisation de notre travail, c'est-à-dire, la possibilité
de manipuler et de configurer de vrais routeurs à plein temps, que les VPN IPsec sont
des réseaux d’avenir fiables, qui demandent beaucoup d’expériences en configuration et
un énorme sens pratique quant à la leur réalisation.
77
CISCO
Glossaire
A.
Anti-rejeu : Consiste assuré qu’un message licite ne peut être réémis, cette fois-ci de
façon illicite par une personne malveillante.
C.
CLI : (Command Line Interpreter) : Interpréteur de ligne de commande servant d’interface,
recevant et interprétant les commandes envoyées en mode texte par l’utilisateur.
E.
EIGRP : (Anglais : Enhanced Interior Gateway Routing Protocol) est un protocole de routage
développé par Cisco à partir de leur protocole original IGRP. EIGRP est un protocole
de routage hybride IP, avec une optimisation permettant de minimiser l'instabilité de
routage due aussi bien au changement de topologie qu'à l'utilisation de la bande passante
et la puissance du processeur du routeur.
Certaines de ces optimisations sont basées sur le Diffusing Update Algorithm (DUAL)
développé par SRI, qui garantit l'absence de boucle. En particulier, DUAL évite
les « sauts à l'infini ».
H.
Hachage: (Fonction de hachage) : Mécanisme permettant de calculer l'adresse physique
d'une donnée à partir de la valeur de la clé.
I.
IKE : (Internet Key Exchange): Protocole d’échange de clés de cryptage utilisé par IPsec.
IKE permet de changer le cryptage dynamique par changement de clé de cryptage à
intervalles réguliers, cela offre une grande confidentialité que le système à clé manuelle.
IOS : (Internetworking Operating System) : Technologie qui permet aux routeurs de

communiquer d’une part avec les réseaux locaux et d’autre part avec des réseaux
étendus.
78
CISCO
IPSec : (Internet Protocol Security) : L'IPSec vise à sécuriser les échanges au niveau de la
couche réseau du protocole IP. Pour cela l'IPSec a recours à l'association de sécurité et
fait appel aux mécanismes AH et ESP qui possèdent tous les deux leur propre clé
d'encryptage.
ISAKMP : (Internet Security Association and Key Management Protocol) : est un protocole
utilisé par le module IKE (Internet Key Exchange) lors de la sécurisation du trafic IP via
IPSec. Il est chargé de négocier les Associations de Sécurité (AS) entre deux ordinateurs
voulant communiquer. Par exemple, si deux ordinateurs requièrent une méthode
d'authentification différente (Kerberos et certificats), ISAKMP ne pourra pas
créer d'association de sécurité. ISAKMP permet évidemment de modifier ou de
supprimer des Associations de Sécurité.
L.
LAN : (Local Area Network) : Réseau local : Réseau situé dans une zone réduite ou dans
un environnement commun, tels qu'un immeuble ou un bloc d'immeubles. Un réseau
local devient une partie d'un réseau étendu lorsqu'une liaison est établie (via des
modems, routeur distants, lignes téléphoniques, satellites ou une connexion hertzienne)
avec un gros système, un réseau de données public (Internet par exemple) ou un autre
réseau local.
P.
Pare-feu : (Firewall) Serveur conçu pour protéger du piratage informatique un réseau
connecté Internet. Ce serveur permet d'assurer la sécurité des informations internes au
réseau local en filtrant les entrée et en contrôlant les sorties selon une procédure
automatique bien établie.
PPP : (Point to Point Protocol) Permet à un ordinateur d'utiliser le protocole TCP/IP à

partir d'un modem ou d'une ligne téléphonique.
PPTP : (Point to Point Tunneling Protocol) Protocole de communication sécurisé sur

Internet consistant à établir une connexion et à faire circuler des données cryptées.
R.
79
CISCO
Routeur : Outil logiciel ou matériel pour diriger les données à travers un réseau. Il s'agit
souvent d'une passerelle entre plusieurs serveurs pour que les utilisateurs accèdent
facilement à toutes les ressources proposées sur le réseau. Le routeur désigne également
une interface entre deux réseaux utilisant des protocoles différents.
S.
Serveur : Ordinateur dédié à l'administration d'un réseau informatique. Il gère l'accès
aux ressources et aux périphériques et les connexions des différents utilisateurs. Il est
équipé d'un logiciel de gestion de réseau : un serveur de fichiers prépare la place
mémoire pour des fichiers, un serveur d'impression gère et exécute les sorties sur
imprimantes du réseau, enfin un serveur d’applications rend disponible sur son disque
dur les programmes pouvant être appelés à travers le réseau
Ssl: (Secure Socket Layers): Protocole de sécurisation développé par Netscape permettant
de chiffrer des informations sensibles à partir d'un navigateur internet standard, sans
recours à un logiciel de cryptage spécifique. C'est le standard le plus communément
utilisé à l'heure actuelle pour protéger les transactions électroniques sur Internet.
T.
Telnet : (Terminal Network, Telecommunication Network, ou Teletype Network) est
un protocole réseau utilisé sur tout réseau supportant le protocole TCP/IP. Il appartient
à la couche session du modèle OSI et à la couche application du modèle ARPA. Il est
normalisé par l'IEFTF. Selon, l'IEF, le but du protocole Telnet est de fournir un moyen
de communication très généraliste, bidirectionnel et orienté octet.
C’est aussi une commande permettant de créer une session Telnet sur une machine
distante. Cette commande a d'abord été disponible sur les systèmes Unix, puis elle est
apparue sur la plupart des systèmes d’exploitation.
TCP/IP : (Transmission Control Protocol/Internet Protocol) : Ensemble de protocoles

standard de l'industrie permettant la communication dans un environnement
hétérogène. Protocole de la couche Transport, il fournit un protocole de gestion de
réseau d'entreprise routable ainsi que l'accès à Interne. Il comporte également des
protocoles de la couche Session. Pour être en mesure d'échanger des paquets entre
différents ordinateurs, TCP/IP exige de spécifier les trois valeurs suivantes : une adresse
80
CISCO
IP, un masque de sous-réseau et une passerelle (routeur) par défaut. Le protocole

TCP/IP comporte de nombreux éléments.
Trame : Un bloc de données accompagné de son en-tête et d'une série d'information

qui est véhiculé au travers d'un support physique.
V.
VPN: (Virtual Private Network): Représente une connexion de type IP via Internet
permettant aux employés d’une entreprise de se connecter au réseau local de leur
entreprise.
81
CISCO
Bibliographie

GUISSE Madina. Thèse professionnelle : Mastère professionnelle en Sécurité
des Systèmes d’Information et Réseaux. Année universitaire 2008/2009
Mise en place d’un réseau sécurisé et centres des visites techniques des
véhicules. [3]
Yvan Vanhullebus
Faiblesses d’IPSec en déploiements réels [5]
CISCO NETWORKING ACADEMY PROGRAM [8]
CCNP: Implementing Secure Converged Wide-area Networks v5.0 - Lab 3-5

Copyright © 2007, Cisco Systems, Inc
Joe Habraken
ROUTEUR CISCO Edition CampusPress
Joe Casad
TCP/IP Edition CampusPress
Web graphie
http://www.time.ens.tn/html/accueil.htm [1]
http://www.frameip.com/vpn/[2]
http://www.frameip.com/ipsec/ [4]
http://www.frameip.com/vpn/#4.1_-_Vpn-Ssl,_une_nouveaut%C3%A9_marketing
[6]
http://technet.microsoft.com/fr-fr/library/cc737154(WS.10).aspx [7]
http://systemi.itpro.fr/Dossiers-par-Theme/suivante/2/22/020302513-Vulnerabilites-
connues.htm#R3
http://www.erasme.org/VPNs-IPsec-multipoints-dynamiques,367
82
CISCO
Annexe
Résumé sur les VPN :
1. Propriétés :
Tunneling : Pour encapsuler les données d’un protocole réseau dans un

autre.
Authentification : Pour s’assurer de l’identité des personnes se connectant
aux ressources via le VPN
Contrôle d’accès : afin de gérer les accès aux ressources du système
d’information
Chiffrement et signature : Afin de garantir la confidentialité et l’intégrité des
données.
2. Avantages et Inconvénients :
Avantages Inconvénients
-Coût faible -Compétences requises pour la mise en
œuvre
-Mise en œuvre plus rapide -Performances non garanties
-Sécurité assurée par le chiffrement
-Pas de dépendance à la sécurité du FAI
-Plus flexible en cas d’évolution et de
nouvelles implantations
-Accès nomade aisé grâce à l’Internet haut
débit
83
CISCO
3. Principales solutions du marché :
a. Solutions Logicielles
CheckPoint : Produit commercial, vaste gamme, implémentation de
IPsec, SSl, équilibrage de charge.
Microsoft : Solution intégrée à ses produits, implémentation de IPsec,
PPTP, L2TP, configuration complexe hors d’un domaine Windows
OpenVPN : produit Open Source, implémentation de SSl/TLS,
portablité étendu (Linux, OpenBSD, Free BSD, Mac OS X, Solaris,
W2000/2003/XP), interopérabilité étendue
Openswan : Produit Open Source, implémentation IPsec pour Linux,
interopérabilité avec W2000/XP, CheckPoint
Racoon : Produit Open Source, implémentation IPsec pour Linux, Unix
Hamachi : Version de base gratuite, utilise les serveurs du fournisseur
du logiciel pour établir un VPN. Version pour Windows, Linux, Mac OS
X
b. Solutions matérielles
Nokia : Vaste gamme de boitiers prêt à configurer, prix très élevé, client
VPN sur téléphone portable
Cisco : Convergence des réseaux voix, vidéo, données à travers un VPN
Nortel : Tout-en-un VPN/pare-feu/serveur DNS et DHCP.
84
CISCO
Conseils généraux pour la mise en place d’un VPN
Le VPN ou Réseau Privé Virtuel consiste à mettre en place une liaison

permanente, distante et sécurisée entre deux sites d’une entreprise ou entre une flotte
d’utilisateurs itinérants et un serveur d’entreprise. Sur ces réseaux de longues distances,
les VPN se posent en alternative des lignes spécialisées, utilisant le canal Internet moins
cher que l’installation de câble pour transmettre les données confidentielles.
Pour sécuriser cette transmission, les communications s’effectuent par le biais

d’un protocole d’encapsulation de l’information, comme par exemple IPSec. Une étape
obligatoire qui occasionne un léger ralentissement des débits pour une meilleure
sécurité. De plus en plus, les VPN deviennent des supports pour des applications
critiques, comme l’accès à un ERP à distance ou l’utilisation de voix sur IP. Disponibles
à des coûts relativement bas, les VPN contribuent au développement de la mobilité en
entreprise et à la notion d’entreprise étendue.
Comment s’assurer de l’efficacité du lien en fonction de ses besoins ? Quelles

sont les économies potentielles à réaliser ? Sur quels critères évaluer les différents
produits ? Quelles fonctions de sécurité mettre en place ? Nous avons préparé pour
vous, dix (10) points essentiels à vérifier avant de se lancer sur ce genre de projet qui est
la mise en place d’un VPN.
1- Analyser les besoins et anticiper l’évolution du lien VPN
Première étape de la mise en place d’un VPN, l’étude des besoins doit
permettre de mettre en avant le nombre d’utilisateurs potentiels du lien VPN, les
applications concernées et le débit maximum consommé. Il est généralement plus
prudent de prévoir un matériel évolutif au cas où l’utilisateur réelle du lien donnerait lieu
à la de nouveaux besoins et à une autre surconsommation de la bande passante.
Comme le trafic est difficile à évaluer, il est parfois nécessaire de procéder à du

monitoring de flux et de sur-provisionner au début. Au bout de la première phase de
choix, il est pertinent de prévoir une analyse de la montée en charge. Dans le cas
d’applications spécifiques, l’entreprise aura peut être intérêt à louer son équipement.
85
CISCO
2- Faire un état des lieux de l’existant
Soit parce que l’entreprise possède un pare-feu ou un routeur doté de fonction

VPN, soit parce que son fournisseur d’accès Internet peut lui offrir un lien VPN sans
équipement supplémentaire : le client peut parfois minimiser son investissement de
départ. Certains routeurs évolués font du VPN mais nous conseillons généralement de
racheter un équipement pour combiner pare-feu et routeur. En fonction des besoins de
l’entreprise, une solution tout en un peut se révéler plus intéressante en terme de coût,
mais pour une question de sécurité, nous préconisons plutôt des équipements séparés.
Tout dépend évidemment de la société à laquelle on s’adresse. Pour une PME qui fait
transiter des informations peu critiques, préféreront une solution tout en un.
3- Adapter sa technologie de cryptage en fonction de ses besoins.
Pour des utilisateurs fervents de mobilité, un VPN Ssl offrira des fonctions
intéressantes, comme le fait de pouvoir accéder à ses applications à partir d’un simple
navigateur, sans installation d’un client. Il existe un autre type de VPN, le VPN
opérateur, qui dans ce cas, c’est l’opérateur télécom qui se charge du choix de la
technologie, elle est donc transparente pour l’utilisateur.
4- Analyser le coût de la solution
Outre le prix du matériel, et du service fourni par l’opérateur, il faut intégrer le

prix de la liaison Internet, la qualité de service garanti, la garantie de temps de
rétablissement, les équipements de sécurité à rajouter, le coût de conception du lien
VPN (mobilisation de l’effectif en interne et chez le prestataire), le logiciel client et des
options. Le prix d’une liaison VPN sera par la suite affecté par la formation,
l’administration et la maintenance de la solution.
5- Choisir une architecture éclatée ou centralisée
Selon le trafic engendré, le client aura parfois intérêt à s’orienter vers une
architecture centralisée, où les différents points VPN se relient à un site central, pour
lequel il faudra augmenter le débit de la ligne. Cependant, cette architecture permet de
simplifier l’administration et la configuration de la solution. Dans le cas d’un site éclaté,
des ajustements peuvent être faits en termes de débits mais le nombre d’équipements et
86
CISCO
la complexité de l’administration augmente au fur et à mesure que les liens VPN se

multiplient.
6- Vérifier la qualité de la connexion entre les deux équipements

constituant le VPN
Pour cela, la première étape consiste à s’assurer que les deux équipements en
bout de ligne disposent des mêmes algorithmes de chiffrement. La bonne démarche
consiste à prendre les deux équipements à les configurer à l’identique : soit en clé
partagée, soit en clé unique. Il faut alors vérifier que les deux équipements disposent de
la même clé pour dialoguer puis on installe un PC au premier réseau et un deuxième PC
au second réseau. Il suffit alors de vérifier que la communication s’effectue sans
problème.
7- Surveiller la bande passante disponible
Les boîtiers d’entrées de gammes peuvent rapidement saturer dès lors que
l’entreprise multiplie les tunnels VPN. En montant en gamme, les boîtiers intègrent des
fonctions de compression et d’accélération de flux qui règlent ces problèmes. La
limitation porte alors principalement sur la bande passante disponible. Pour un lien
VPN, il faut être particulièrement attentif à cette notion de bande passante car le débit
montant d’un lien représente le débit descendant de l’autre. Il convient donc de ne pas
sous-estimer l’un par rapport à l’autre.
Autre mise en garde, il est conseiller de confier la gestion de cette bande

passante à un seul opérateur, car il peut arriver d’avoir une liaison chez un opérateur,
une autre chez un autre. Lors d’un dysfonctionnement, les deux prestataires risquent de
se renvoyer la balle et il devient très difficile de déterminer les responsabilités dès lors
que le flux peut avoir été perdu entre les deux réseaux.
8- S’assurer de la fiabilité et de la qualité de service du lien VPN.
Le lien VPN doit faire l’objet de toutes les attention parce qu’il sert pour des
applications de plus en plus critiques, en particulier : prévoir une liaison Internet de
secours, au cas où le réseau du fournisseur principal tomberait, disposer des boîtiers
VPN équipés d’une liaison de secours.
87
CISCO
Pour prévenir une chute d’un lien VPN, il est essentiel de bien définir la qualité
de service du lien, c'est-à-dire d’organiser les priorités des différents flux, notamment
pour les applications nécessitant une forte interaction avec l’utilisateur.
9- Contrôler la sécurité des accès mobiles par le biais du VPN
Parce qu’il peut être volé, et être accessible par tous ou presque, l’ordinateur
portable est un élément particulièrement dangereux car il peut engendrer une intrusion
sur le réseau de l’entreprise par le biais du VPN. Il se pose alors la question de
l’authentification. Avec une clé unique, de type calculatrice ou un serveur Radius, la
connexion gagne d’une part en sécurité. Mais cette mesure ne suffit généralement pas
pour des documents très confidentiels.
Il faut éviter de conserver des données critiques à l’extérieur de l’entreprise en

cryptant non seulement les communications mais en verrouillant la sauvegarde à
distance. Il faut aussi limiter la personne en terme d’applications disponibles et gérer ces
connexions par l’intermédiaire d’une zone tampon ou DMZ. Cette zone isole le réseau
contre d’éventuelles attaques ou codes malveillants. Enfin, les spécialistes en sécurité et
réseau recommandent de ne pas laisser à l’utilisateur la possibilité d’ouvrir une
connexion VPN avec une connexion Internet classique, pour ne pas multiplier les portes
ouverts sur le réseau de l’entreprise.
10- Ajuster et optimiser l’efficacité et la sécurité de son VPN
Une fois en place, le lien VPN doit être entretenu, soit par le prestataire, soit
par les équipes informatiques internes. Pour éviter le gaspillage, le monitoring des flux et
une gestion des priorités doit s’adapter aux différents usages et aux remontées des
utilisateurs. Outre la gestion de la bande passante et des équipements, l’administrateur
devra mettre en place des journaux de sécurité et surveiller par le biais d’alertes
lorsqu’une connexion suspecte s’établit sur un lien VPN. Des audits peuvent mettre en
exergue ce type de problème.
88

Mise en Place Et Securisation D Un VPN Ipsec

Transféré par

Informations du document

Titre original

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

Mise en Place Et Securisation D Un VPN Ipsec

Transféré par

Droits d'auteur :

Formats disponibles

REPUBLIQUE TUNISIENNE

MINISTERE DE L’ENSEIGNEMENT SUPERIEUR

MISE EN PLACE ET SECURISATION D’UN VPN IPSEC AVEC

Année Universitaire : 2007-2008

Table des matières

TABLE DES FIGURES .......................................................................................................... 7

Partie : Etude Théorique…………………………………………………..…...11

Chapitre I. Présentation de l’organisme d’accueil et Etude de l’existant .... 11

1. Présentation de l’organisme d’accueil………...…………………………12

Chapitre II. Introduction aux VPN……………………………………………...19

1.1. Principe général……….……………………………………………20

2. Protocoles utilisés pour réaliser une connexion VPN……………...……25

2.1. Rappel sur PPP…………………………………………………….26

2.2. Protocole PPTP……………………………………………………29

2.3. Protocole L2tp…………………………………………………..…30

2.4.2. Principe de fonctionnement……………………………40

a. Equipement fournissant IPsec…………………………41

2.4.4. Faiblesse des VPN IPsec……………………………...50

a. Classification des faiblesses…………………………...50

2.5. VPN autres qu'IPsec…………………………………………….....54

2.5.1. Protocole Ssl…………………………………………54

Partie II : Etude Pratique……….…………………………………………….. 58

Chapitre III. Mise en œuvre et réalisation……...…………………………………59

1. Mise en œuvre VPN………………………...……………………………..60

1.1. Etape de mise en œuvre……………..……………………………60

1.1.1. Evaluation des besoins………….…………………………….60

1.1.2. Mise en œuvre d’une stratégie de sécurité d’accès distant…..….60

1.1.3. Détermination du meilleur produit VPN……………………...61

1.1.4. Reconfiguration des autres périphériques du réseau…………...61

1.1.5. Déploiement de la phase de test………………………………63

1.1.6. Déploiement de la solution finale……………………………..63

1.2. Configuration d’un VPN site à site avec un IOS CLI…………………64

c. Création de la politique de sécurité IKE…………………… ...66

d. Configuration des clés partagées…………………… ……........67

e. Configuration de IPsec…………………………………….. ...68

f. Définir le trafic intéressant…………………………………....68

g. Création et application des Crypto Carte……………………...69

h. Vérification de la configuration IPsec…………………………70

i. Vérification de l’opération IPsec…………………………… ...70

j. Interprétation et élimination des imperfections d’événements

k. Utilisation de Wireshark pour surveiller le chiffrage du trafic....74

Je tiens spécialement à dédicacer ce travail à ma mère, Mme AVOUNGOU Berth née

Merci à tous et que DIEU nous bénisse.

Table des figures :

Figure 27 : Vérification de la configuration d’IPsec du Routeur 3 72

Une approche globale de la sécurité est essentielle pour défendre le patrimoine

Pour résoudre ce problème de connexion inter-site, les premières solutions

Face au développement rapide de l’Internet et aux divers avantages qu’il offre,

Il existe plusieurs dispositifs de sécurité, parmi eux on trouve :

• Des applications implémentant des algorithmes cryptographiques (IPsec)

Les réseaux privés virtuels (Virtual Private Network- VPN) répondent à la

Le côté « public » du réseau Internet fut cependant un frein à son

Avant de passer à l’étude théorique de notre sujet de thèse, nous allons

1. Présentation de l’organisme d’accueil.

TIME UNIVERSITE, Technologie de l’Information et de Management de

Tous ses diplômes sont agréés par le ministère Tunisien de l’Enseignement

TIME UNIVERSITE se compose de deux grandes écoles d’enseignement

L’Ecole Supérieure de Management-ESM

La formation en continue diplômât (agréée par l’Etat) et

TIME UNIVERSITE accueille aussi bien des :

Nouveaux bacheliers pour un diplôme d’ingénieur ou maîtrise.

Qui se destinent à une carrière dans les secteurs des Technologies de

DUPC Diplôme Universitaire du Premier Cycle (Bac +2) :