3 - Les VPNs

Les Réseaux Privés Virtuels
Chapitre 3 : principes des VPNs
Instructeur : N. HAMANI
Email : n_hamani@esi.dz
Objectifs du Module
Titre du module: NAT pour IPv4
Objectif du Module: Configurer les services NAT sur le routeur de périphérie pour assurer
l'évolutivité des adresses IPv4.
Titre du rubrique Objectif du rubrique
N, HAMANI © 2016 Cisco et/ou ses filiales. Tous droits réservés. Informations confidentielles de Cisco 2
3.1 – Introduction
Introduction
▪ le chiffrage dans ce tunnel au travers Internet et en utilisant l'authentification pour protéger les
données des tout accès non autorisé.
▪ La sécurité est une préoccupation lorsque l’on utilise un réseau public tel que Internet pour
conduire des activités d’affaires.
▪ Des réseaux Privés Virtuels (VPNs) sont utilisés pour assurer la sécurité des données au travers du
réseau Internet.
▪ Un VPN est utilisé pour créer un tunnel privé sur un réseau public.
▪ Les données peuvent être garanties en utilisant
Notions de base des VPN
Présentation des VPN
▪ Les entreprises utilisent
des VPN pour créer une
connexion sécurisée de
bout en bout sur des
réseaux tiers, comme
Internet ou des extranets.
▪ Une passerelle VPN est

requise pour
l'implémentation de VPN.
La passerelle VPN peut
être un routeur ou un
pare-feu
Principe général des VPN
▪ Un réseau VPN repose sur un protocole appelé « protocole de tunneling ».
▪ Ce protocole permet de faire circuler les informations de l’entreprise de façon cryptée

d’un bout à l’autre du tunnel
• → Ainsi, les utilisateurs ont l’impression de se connecter directement

sur le réseau de leur entreprise.
▪ Le principe de tunneling consiste à construire un chemin virtuel après avoir identifié

l’émetteur et le destinataire.
▪ Par la suite, la source chiffre les données et les achemine en empruntant ce chemin
virtuel.
▪ Afin d’assurer un accès aisé et peu coûteux aux intranets ou aux extranets d’entreprise,
les réseaux privés virtuels d’accès simulent un réseau privé, alors qu’ils utilisent en réalité
une infrastructure d’accès partagée, comme Internet.
▪ Les données à transmettre peuvent être prises en charge par un protocole

différent d’IP.
▪ Dans Ce cas, le protocole de tunneling encapsule les données en ajoutant un
entête.
▪ Le tunneling est l’ensemble des processus d’encapsulation, de transmission et
de désencapsulation.
Avantages des réseaux privés virtuels
▪ Réductions des coûts : Les VPN permettent aux entreprises d'utiliser le réseau
Internet pour la connexion des utilisateurs distants au site principal
▪ Évolutivité : Permettent aux entreprises d'utiliser l'infrastructure Internet ce qui permet

d'ajouter facilement de nouveaux utilisateurs.
▪ Compatibilité avec la technologie haut débit : Les VPN permettent aux travailleurs
mobiles et aux télétravailleurs de bénéficier d'une connectivité haut débit rapide,
comme la technologie DSL et le câble, pour accéder au réseau de leur entreprise
▪ Sécurité : Les VPN offrent un niveau de sécurité très élevé grâce à l'utilisation de
protocoles de chiffrement et d'authentification avancés qui protègent les données de
tout accès non autorisé.
Types de réseau privé virtuel
Type 1: de site à site
Type 1: de site à site
▪ Les VPN site à site connectent entre eux des réseaux entiers,
▪ Les hôtes internes n’ ont pas connaissance qu'un VPN existe.
▪ Les hôtes finaux envoient et reçoivent le trafic TCP/IP normal par l'intermédiaire d'une
« passerelle » VPN.
▪ La passerelle VPN est responsable de l'encapsulation et du chiffrement de la totalité du trafic

sortant issu d'un site spécifique.
▪ La passerelle VPN envoie ensuite ce trafic sur Internet par le biais d'un tunnel VPN jusqu'à une
passerelle VPN homologue au niveau du site cible.
▪ Lors de la réception, la passerelle VPN homologue élimine les en-têtes, déchiffre le contenu et
relaie le paquet vers l'hôte cible au sein de son réseau privé.
Type 2: VPN d'accès à distance
Type 2: VPN d'accès à distance
▪ Prend en charge une architecture client-serveur, dans laquelle le client VPN (hôte distant) obtient un
accès sécurisé au réseau de l'entreprise par l'intermédiaire d'un périphérique de serveur VPN
(Routeur ou Firewall).
▪ Utilisés pour la connexion d'hôtes individuels devant accéder en toute sécurité au réseau de leur
entreprise via Internet.
▪ Il se peut qu'un logiciel client VPN doive être installé sur le périphérique final de l'utilisateur mobile.
Exemple : Cisco AnyConnect Secure Mobility Client.
▪ Lorsque l'hôte tente d'envoyer du trafic, le logiciel Cisco AnyConnect VPN Client encapsule et chiffre
ce trafic. Les données chiffrées sont ensuite envoyées via Internet vers la passerelle VPN située à la
périphérie du réseau cible.
3.2 – Tunnels GRE de site à site
Notions de base de l'encapsulation GRE (Generic Routing Encapsulation)
Présentation du protocole GRE (Generic Routing Encapsulation)
▪ Est un exemple de protocole de

tunneling VPN de site à site de base,
non sécurisé,
▪ Capable d'encapsuler une large variété
de types de paquets de protocoles au
sein de tunnels IP.
▪ Crée une liaison point à point vers des
routeurs Cisco au niveau de points
distants sur un interréseau IP.
Configuration des tunnels GRE
Configuration de tunnel GRE 1. Créez une interface de tunnel.
2. Spécifiez l'adresse IP source du tunnel.
3. Spécifiez l'adresse IP de destination du tunnel.
4. Configurez une adresse IP pour l'interface du tunnel.
5. (Facultatif) Spécifiez le mode de tunnel GRE en tant

que mode d'interface de tunnel.
Configuration des tunnels GRE
Configuration de tunnel GRE
3.3 – Les protocoles VPN
Les différents protocoles
❑ PPTP
❑ L2TP
❑ Ipsec
❑ MPLS
❑ SSL
❑ TLS
❑ SSH
PPTP : présentation
▪ PPTP est un protocole de niveau 2 (liaison de données) permet d'implémenter les

VPN point à point : C’est une extension de PPP (protocole de la couche 2)
• PPP permet d'utiliser le réseau téléphonique public comme réseau d'accès
• PPP permet de transporter en point à point des paquets IP.
▪ PPTP permet d'encapsuler et de transmettre des trames PPP sur un réseau IP
▪ PPTP proposé par Microsoft
PPTP : Sécurité
▪ PPTP permet le cryptage des données ainsi que leur compression. L’authentification
se fait grâce au protocole Ms-CHAP de Microsoft ou PAP,
▪ Chiffrement des données avec le protocole MPPE (Microsoft Point-to-Point
Encryption)
▪ Compression des données avec le protocole MPPC (Microsoft Point-to-Point
Compression)
P2TP : Présentation
▪ Développement collaboratif : Cisco, Microsoft, Ascend, 3Com,…

▪ N’assure que le transport des données et leur intégrité, pas leur confidentialité
IPSec : IP Security
« Protocole de sécurité au sein de la couche réseau. Ce protocole est développé

pour fournir un service de sécurité à base de cryptographie, permettant de
garantir l'authentification, l'intégrité, le contrôle d'accès et la confidentialité des
données. »
D'une manière plus commune : IPSec = formatage de trame permettant le

chiffrement des données au niveau IP.
• Confidentialité des données

• Intégrité des données
• Authentification de l'origine des données
MPLS
Créé pour augmenté la rapidité des routeurs
Commutation par labels
MPLS : application aux VPNs
Routeurs :
- P (Provider)
- Pe (Provider Edge)
- Ce (Customer Edge)
SSL/TLS : Présentation
▪ Un VPN SSL est un type VPN qui utilise le protocole SSL (Secure Sockets Layer) ; ou, plus
souvent, son successeur, le protocole TLS (Transport Layer Security)
▪ Il permet d’établir une connexion VPN sécurisée d’accès à distance avec un navigateur web.
▪ Une connexion VPN SSL utilise un cryptage de bout en bout pour protéger les données
transmises entre le logiciel client et le serveur par lequel le client se connecte à l’internet en
toute sécurité
▪ sécuriser les sessions des utilisateurs qui accèdent à l’Internet depuis l’extérieur de l’entreprise
3.4 – Présentation d’IPsec
Sécurité de protocole Internet
Les VPN IPsec
▪ Les informations issues
d'un réseau privé sont
transportées en toute
sécurité sur un réseau
public.
▪ Cela permet d'obtenir
un réseau virtuel au lieu
d'utiliser une connexion
dédiée de couche 2.
▪ Pour rester privé, le
trafic est chiffré pour
que les données restent
confidentielles.
Fonctions de IPsec
▪ IPsec est définit comment un VPN peut être configuré de manière sécurisée à l'aide du protocole Internet (IP).
▪ Il n'est lié à aucun algorithme de chiffrement, d'authentification et de sécurité spécifique, ni à aucune technologie
d'utilisation de clés.
▪ Il se base sur des algorithmes existants pour mettre en œuvre des communications sécurisées.
▪ Fonctionne au niveau de la couche réseau, en protégeant et en authentifiant les paquets IP entre les
équipements IPsec participants.
▪ Sécurise un chemin entre une paire de passerelles, une paire d’hôtes ou une passerelle et un hôte.
▪ Les implémentations du protocole IPsec possèdent un en-tête de couche 3 en texte clair, et ce, afin d'éviter tout
problème de routage.
Les caractéristiques du protocole IPsec
Les caractéristiques du protocole IPsec peuvent se résumer comme suit :

▪ Le protocole IPsec est un cadre de normes ouvertes qui est indépendant de l'algorithme.
▪ Le protocole IPsec permet la confidentialité, l'intégrité et l'authentification de la source des données.
▪ IPsec agit comme la couche réseau, qui protège et authentifie les paquets IP.
Services de sécurité IPsec
▪ Confidentialité (chiffrement) – chiffre les données avant de les transmettre à travers le réseau
▪ Intégrité des données – il vérifie que ces données n'ont pas été modifiées durant leur transfert, Si une
quelconque altération est détectée, le paquet est supprimé. Utilise une sommes de contrôle.
▪ Authentification – vérifie l'identité de la source des données envoyées, IPsec utilise le mécanisme IKE
(Internet Key Exchange) pour authentifier les utilisateurs et les périphériques.
CIA: Confidentialité, Intégrité et Authentification
Cadre IPsec
Confidentialité avec chiffrement
▪ Pour que la communication chiffrée fonctionne, l'expéditeur et le destinataire doivent connaître les
règles utilisées pour le codage du message d'origine.
▪ Ces règles se basent sur des algorithmes et des clés associées.
▪ Le chiffrement est un algorithme est une

séquence mathématique d'étapes
combinant un message avec une chaîne
de chiffres, le tout appelé une clé ➔ une
chaîne chiffrée illisible.
▪ L'algorithme de chiffrement spécifie
également comment déchiffrer un
message chiffré. Le déchiffrement est
extrêmement difficile, voire impossible,
sans la bonne clé.
Cadre IPsec
Échange de clés Diffie-Hellman
▪ DH est une méthode d'échange sécurisé des clés utilisées pour chiffrer des données.
▪ Les algorithmes DH permettent à deux parties d'établir une clé secrète partagée utilisée par des
algorithmes de chiffrement et de hachage.
▪ Le système DH fait aujourd'hui partie de la norme IPsec.
▪ Les algorithmes de chiffrement tels que DES, 3DES et AES, ainsi que les algorithmes de hachage MD5
et SHA-1 nécessitent une clé secrète partagée symétrique pour la réalisation des tâches de chiffrement
et de déchiffrement.
▪ L'algorithme DH spécifie une méthode d'échange de clé publique qui permet à deux homologues d'établir
une clé secrète partagée qu'ils sont les seuls à connaître, bien qu'ils communiquent sur un canal non
sécurisé.
Cadre IPsec
Échange de clefs Diffie-Hellman
Cadre IPsec
Intégrité avec les algorithmes de hachage
▪ L'intégrité et l'authentification du trafic VPN sont gérés par des algorithmes de hachage.
▪ Un hachage (Message Digest), est un nombre généré à partir d'une chaîne de texte.
▪ L'expéditeur d'origine génère un hachage du message et l'envoie avec le message lui-même.
▪ Le destinataire analyse le message ainsi que le hachage, génère un autre hachage à partir du
message reçu, puis compare les deux hachages.
▪ S'ils sont identiques, le destinataire peut être raisonnablement sûr de l'intégrité du message d'origine.
Cadre IPsec
Intégrité avec les algorithmes de hachage(suite)
Il existe deux algorithmes HMAC :

▪ MD5 – utilise une clé secrète partagée de 128 bits. Le message de longueur variable et la clé secrète
partagée de 128 bits sont combinés et soumis à l'algorithme de hachage HMAC-MD5. La sortie est un
hachage de 128 bits.
▪ SHA – l'algorithme SHA-1 utilise une clé secrète de 160 bits. Le message de longueur variable et la
clé secrète partagée de 160 bits sont combinés et soumis à l'algorithme de hachage HMAC-SHA1. La
sortie est un hachage de 160 bits.
Le hachage est ajouté au message original et transféré à l’extrémité distante.
Cadre IPsec
Authentification IPsec
▪ Le périphérique situé à l'autre extrémité du tunnel VPN doit être authentifié avant que le chemin de
communication ne puisse être considéré comme étant sécurisé.
Cadre IPsec
Authentification Ipsec (suite)
PSK Il existe 2 méthodes d’authentification :
▪ Une clé secrète devant être partagée entre les deux parties par le biais d'un canal sécurisé
avant son utilisation.
▪ Utilisent des algorithmes cryptographiques à clé .
▪ Une clé PSK est entrée manuellement dans tous les homologues et sert à les authentifier.
RSA ▪ Des certificats numériques sont échangés pour l'authentification.

▪ Le périphérique local calcule un hachage et le chiffre avec sa clé privée.
▪ Le hachage chiffré, ou signature numérique, est attaché au message et transmis à
l'extrémité distante.
▪ À l’extrémité, le hachage est déchiffré à l’aide de la clé publique du périphérique local.
▪ Si le hachage déchiffré correspond au hachage recalculé, la signature est authentique.
Cadre IPsec
Cadre du protocole IPsec
En-tête d'authentification (AH)

▪ Protocole approprié à utiliser lorsque la confidentialité n'est pas requise ou autorisée.
▪ Permet l'authentification et l'intégrité des données des paquets IP qui sont transmis entre deux
systèmes.
▪ Ne permet pas la confidentialité des données (chiffrement) des paquets.
Technologie ESP (Encapsulating Security Payload)

▪ Protocole de sécurité permettant la confidentialité et l'authentification grâce au chiffrement du paquet
IP.
▪ ESP authentifie le paquet IP interne et l’en-tête ESP.
▪ Le cryptage et l'authentification sont facultatives dans ESP, au minimum, l'un d'eux doit être
sélectionné.
Cadre IPsec
Cadre du protocole Ipsec (suite)
Le cadre IPsec comporte quatre éléments constitutifs de base qui doivent être sélectionnés :
▪ Cadre du protocole IPsec – Les choix possibles sont des combinaisons des technologies ESP et AH. De
manière réaliste, les options ESP ou ESP+AH sont presque toujours sélectionnées, car la méthode AH elle-
même ne permet pas le chiffrement.
▪ Confidentialité (en cas du protocole IPsec avec ESP) – DES, 3DES ou AES. L'algorithme AES est
fortement recommandé.
▪ Intégrité – Garantit que le contenu n'a pas été modifié lors du transit par le biais de l'utilisation
d'algorithmes de hachage (MD5 et SHA).
▪ Authentification – représente la manière selon laquelle les périphériques sont authentifiés à chaque
extrémité du tunnel VPN (PSK ou RSA).
▪ Groupe d'algorithmes DH – Représente la manière selon laquelle une clé secrète partagée est établie
entre des homologues, DH24 est celui qui offre le plus de sécurité.
Cadre IPsec
Cadre du protocole Ipsec (suite)
8.4 – Configuration d’un VPN
site à site
Configuration IPsec
Configurer IKE
Configuration IPsec
Paramètres ISAKMP
Configuration IPsec
Configurer IKE
Configuration IPsec
Configurer IKE
Configuration IPsec
Configurer IKE
Configuration IPsec
Configuration de transform set
Les différentes crypto ipsec transform-set possibles
Configuration IPsec
Configuration de transform set
Configuration IPsec
Configuration de la crypto ACL
Configuration IPsec
Application de la crypto MAP
Configuration IPsec
Configuration IPsec

3 - Les VPNs

Transféré par

Informations du document

Titre original

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

3 - Les VPNs

Transféré par

Droits d'auteur :

Formats disponibles

Les Réseaux Privés Virtuels

Chapitre 3 : principes des VPNs

Titre du rubrique Objectif du rubrique

▪ Les données peuvent être garanties en utilisant

▪ Une passerelle VPN est

▪ Un réseau VPN repose sur un protocole appelé « protocole de tunneling ».

▪ Ce protocole permet de faire circuler les informations de l’entreprise de façon cryptée

• → Ainsi, les utilisateurs ont l’impression de se connecter directement

▪ Le principe de tunneling consiste à construire un chemin virtuel après avoir identifié

▪ Les données à transmettre peuvent être prises en charge par un protocole

▪ Évolutivité : Permettent aux entreprises d'utiliser l'infrastructure Internet ce qui permet

▪ Les hôtes internes n’ ont pas connaissance qu'un VPN existe.

▪ La passerelle VPN est responsable de l'encapsulation et du chiffrement de la totalité du trafic

▪ Est un exemple de protocole de

2. Spécifiez l'adresse IP source du tunnel.

3. Spécifiez l'adresse IP de destination du tunnel.

4. Configurez une adresse IP pour l'interface du tunnel.

5. (Facultatif) Spécifiez le mode de tunnel GRE en tant

▪ PPTP est un protocole de niveau 2 (liaison de données) permet d'implémenter les

▪ Développement collaboratif : Cisco, Microsoft, Ascend, 3Com,…

« Protocole de sécurité au sein de la couche réseau. Ce protocole est développé

D'une manière plus commune : IPSec = formatage de trame permettant le

• Confidentialité des données

Créé pour augmenté la rapidité des routeurs

Commutation par labels

Les caractéristiques du protocole IPsec peuvent se résumer comme suit :

CIA: Confidentialité, Intégrité et Authentification

▪ Le chiffrement est un algorithme est une

Il existe deux algorithmes HMAC :

Le hachage est ajouté au message original et transféré à l’extrémité distante.

RSA ▪ Des certificats numériques sont échangés pour l'authentification.

En-tête d'authentification (AH)

Technologie ESP (Encapsulating Security Payload)

Vous aimerez peut-être aussi