Institut Supérieur des Etudes Technologiques de Gafsa

Département Technologies de l’Informatique

Stage Technicien en
Réseau Système Informatique

Organisme d’accueil : Tunisie Telecom

Thème : Etude d’une solution VPN basée sur IPsec

Elaboré par : Ben Ammar Marwa

Encadré par : Mr Essid Bassem

Année Universitaire : 2022/2023

 Liste des abréviations :

IP: Internet Protocol

MPLS: Multi Protocol Label Switching

VPN: Virtual Private Network

RPV: Réseaux Privé Virtuel

CPU: Central Processing Unit

FTP: File Transfert Protocol

TCP: Transport Control Protocol

LAN: Local Area Network

WAN: Wide Area Network

ADSL: Asymmetric Digital Subscriber Line

RNIS or ISDN: Integrated Services Digital Network

WLL: Wireless Local Loop

VAST: Very Small Aperture Terminal

PPP: Point to Point Protocol

ATM: Asynchronous Transfer Mode

UDP: User Datagram Protocol

SSL: Secure Sockets Layer

TLS: Transport Layer Security

ICMP: Internet Control Message Protocol

FSI: Fournisseur de Services Internet

GSM: Global System for Mobile

GRE: Generic Routing Encapsulation

L2F: Layer 2 Forwarding

L2TP : Layer 2 Tunneling Protocol

ETF : Engineering Task Force

IPSec : Internet Protocol Security

 Introduction générale

Les réseaux locaux d'entreprise (LAN ou RLE) sont des réseaux internes à
une organisation, c'est-à-dire que les liaisons entre machines appartiennent à
l'organisation. Ces réseaux sont de plus en plus souvent reliés à Internet par
l'intermédiaire d'équipements d'interconnexion. Il arrive ainsi souvent que des
entreprises éprouvent le besoin de communiquer avec des filiales, des clients ou
même du personnel géographiquement éloignées via internet.

Cette solution bien qu’elle est efficace présente des contraintes de point de
vue cout de réalisation, de maintenance en cas de problème sur les câbles...
Lorsque ce raccordement va se faire à l’échelle d’un pays voire d’un continent,
il faut penser à une solution plus souple tout en minimisant le cout, Pour
remédier à ce problème, la technologie VPN (Virtual Private Network) a été
mise en place afin de permettre à un utilisateur n’étant pas connecté à un réseau
interne de pouvoir quand même y accéder en totalité ou en partie au travers d’un
réseau public (Internet).

Le principe du VPN est relativement simple, il a pour but de créer au travers

d’un réseau public un tunnel crypté permettant de faire transiter des données
jusqu’à un réseau privée disposant d’une connexion internet.

L’objectif principal de ce projet est basé sur la mise en place d’un réseau
VPN site à site basé sur IPsec en utilisent Cisco Packet Tracer. Afin de présenter
notre travail, nous avons structuré notre rapport comme suit : Dans le premier
chapitre nous allons donner une présentation de l’entreprise TT. Pour nous
initier ensuite à la généralité sur les réseaux dans le second chapitre, tant dis que
le troisième chapitre se portera sur la mise en place du réseau VPN, et en fin,
nous terminerons par une conclusion.
 Chapitre
I:
Présentation de
l’organisme
d’accueil
Introduction

Dans ce chapitre introductif nous allons présenter l'entreprise dans laquelle nous
effectuons notre stage de technicien, ensuite nous ferons le point sur le thème de
notre travail et les objectifs fixés.

I. Organisme D’accueil
1. Présentation

Tunisie Télécom est une grande entreprise qui a un potentiel commercial et

économique très important dans notre pays. Historiquement Tunisie Télécom a
connu beaucoup de changements radicaux surtout dans son caractère juridique.

La société TUNISIE TELECOM, ACTEL GAFSA spécialisée operateurs

Téléphoniques - Actel et Boutiques est basée à Gafsa

 Adresse: Rue Farhat Hached 2100 Gafsa

 Tél: 76 211 036 / 76 228 460
 Fax: 76 226 262
 Email: http://www.tunisietelecom.tn

2. Historique

L’Office national des télécommunications, plus connu par sa dénomination

commerciale « Tunisie Telecom », a été créé par la loi n°36 du 17 avril 1995 ;
loi qui entrera en vigueur le 1 er janvier 1996. Quelques années plus tard, fin
2002, Tunisie Télécom devient une Société anonyme de droit public.

Et l’histoire retiendra que Tunisie Telecom a inauguré sa première ligne GSM le

20 mars 1998. A partir de cette date, l’entreprise connaîtra d’importations
évolutions dans tous les domaines, notamment technologiques, commercial et
marketing.

Tunisie Télécom propose plusieurs services dans le secteur des

télécommunications fixes et mobiles. Tunisie Telecom est également un FAI
(Fournisseur d’accès à Internet) : Frame Relay, ADSL, LS, RNIS et WLL pour
la téléphonie rurale.

Au 31 décembre 2017 Tunisie Telecom compte 4.393.610 abonnés au réseau

mobile, 901.179 abonnés à la téléphonie fixe et avec sa filiale FSI TopNet elle
possède 57% du parc ADSL installé en Tunisie.

3. Les meilleures activités techniques et commerciales:

 Mobile : offres prépayées, offres postpayées, services
 fixe : offres, service
 Internet : offres, internet mobile
 Assistance : réclamation, renseignement, suivi
 Actualités : communiquer de presse, médiathèque

Les préoccupations de la Direction se présentent comme suit :

Développement des réseaux, leur exploitation, leur sécurité.

Accommodation de la gestion en ressources financières et humaines.
Amélioration de la qualité des services.
Satisfaction des besoins des clients.
Organigramme de l’entreprise

Figure 1 : Organigramme de l’entreprise

La direction régionale est en étroite collaboration avec :

 Le Service des Affaires Administratives et Financières (SAAF)

 Le Service Ressources Humain (SRH)

Elle est constituée de trois divisions:

Division commerciale :
 Espace TT
 Marketing
Division clientèle :
 Centre Service Clientèle (CSC)
  Service Assurance Qualité (SAQ)
Division de Réseaux :

 Centre Régional Opérationnel (ROC)

 Service Planification et Ingénierie (SPI)
 Qualité Réseaux GSM
 Services Déploiement des Réseaux (SDR)
 Service Support Système d’Information (SSI)
 Service Environnement & Energie (SEE)

Problématique :

De nombreuses difficultés de communications et de diffusion d’informations

sont rencontrées lors de l’utilisation des liaisons satellitaires VSAT parmi
lesquelles nous avons le problème de cout. En effet d’après notre encadrant de
l’organisme d’accueil, l’entreprise dépense plus de quatre-vingts millions par
mois.

En plus, si l’élément central du VSAT « le hub » tombe en panne, cela empêche

la communication entre les différents sites du réseau. Ajouter à ceci le temps de
latence qui est très élevé (environ 260 ms).

Ce qui les a poussés à changer d’architecture, en passant des VSAT à une

architecture terrestre en fibre optique proposée par un fournisseur privé.

D’où la nécessité d’une intervention faisant appel aux moyens de sécurité

informatique, car lors d’échange des données entre ses différents sites, ces
données transitent par le réseau privé (opérateur), ce qui les rendent possible
d’être interceptées et rend la communication vulnérable.
Solution proposée :

Nous avons opté pour la solution ExpressVPN s qui consiste à mettre en place
une liaison permanente, distante et sécurisée entre les différents sites du groupe
TT; afin de résoudre au mieux les différentes préoccupations manifestées par les
responsables informatiques de TT.

Il est néanmoins important de préciser que la solution retenue garantie la

confidentialité, la sécurité et l'intégrité des données sur des canaux privés. Cette
solution VPN site-à-site permet d'obtenir une liaison sécurisée à moindre cout.

Conclusion

Dans ce premier chapitre consacré à la présentation du cadre du projet et

l’entreprise dont nous avons effectués notre et sur qui est portée notre sujet de
stage, ce qui nous aidera à mieux voir la portée et la faisabilité de la solution
proposée au problème
 Chapitre
II :
Généralités
Sur
Les Réseaux
 I. Introduction :

Dans ce chapitre nous allons d’abord définir ce qu’est pour nous un VPN
(Virtuel Private Network) ou RPV en français (Réseau privé virtuel).

Nous établirons en suite une classification de ces VPN d’abord selon leur
contexte d’utilisation. Ensuite nous présentons rapidement les principaux
protocoles. Enfin nous terminerons en donnant quelques indications pour nous
guider dans le choix lors de la mise en place de VPN.

II. Définition d’un VPN :

Un VPN est un tunnel sécurisé permettant la communication entre deux entités y

compris au travers de réseaux peu sécurisés comme peut l’être le réseau internet.

Un tunnel rassemble des paquets IP avec des adresses internes qui sont confiés à
un équipement tel qu’un router ou un pare-feu. Celui-ci les envois sur un canal
souvent public (internet) à l’extrémité distante. Pour cela, les paquets internes
sont encapsulés dans des paquets IP avec des adresses IP public des extrémités
destinataire et source. L’équipement distant des encapsule chaque paquet pour
remettre sur le réseau des paquets doté des adresses locales source et destination.

Figure 2: Tunnel de VPN

Dans la figure suivante, nous allons expliquer de façon simplifiée l’opération
d’encapsulation:

Figure 3: Encapsulation des paquets IP

1. Typologie des VPN

On peut distinguer deux grandes catégories de VPN: le VPN d'entreprise et le

VPN d'opérateur.

Chacune d'entre elle présente ses avantages et ses inconvenants et elles ne sont
pas exclusive l'une de l'autre puisqu'il n'est pas rare de trouver les deux présentes
simultanément au sein d'une même entreprise.

1.1. VPN d'entreprise

Dans ce cas l'entreprise garde le contrôle des établissements des VPN entre ses
différents points de présence ainsi qu'entre ses postes situés à l'extérieur de
l'entreprise et les sites principaux.

VPN site à site

C'est un des cas les plus fréquents. Il s’agit de relier deux sites d'une même
entreprise ou bien le site d'une entreprise et celui d'un fournisseur, ou d'un client.
Mais il faut également que tout ou partie des machines des deux réseaux
puissent communiquer avec celles du réseau distant en utilisant les adresses
privées de chaque réseau.

Généralement ce type de VPN est mis en place par l'interconnexion de deux

éléments.

Matériels (routeurs ou pare-feu) situés à la frontière entre le réseau interne et le

réseau publique de chaque site. Ce sont ces matériels qui prennent en charge le
cryptage, l'authentification et le routage des paquets.

Dans le cas de l’utilisation des matériels spécifiques, des processeurs spécialisés

peuvent prendre en charge la partie cryptographique la plus consommatrice de
ressources CPU.

Figure 4 : VPN site a site

VPN poste à site

C’est également une utilisation très fréquente des VPN que celle consistant à
permettre à des utilisateurs distants (travailleurs à domicile…) d’accéder aux
ressources de l’entreprise via un VPN.
Afin de réaliser cette solution, un matériel (firewall, routeur…) sera mis en place
sur le site central, constituant le point de terminaison de tous les VPN de ce
dernier. Et un logiciel gérant le type de protocole choisi et compatible avec le
matériel du site central est installé du côté des postes de travail distant. Dans
certain cas, ce logiciel est déjà présent dans le système d’exploitation de ces
postes, dans d’autre cas, il est nécessaire d’installer ce composant logiciel.

Figure 5 : VPN poste à site

VPN poste à poste :

Dans ce cas, l’objectif est d’établir un canal sécurisé de bout en bout entre deux
postes ou, plus couramment, entre un poste et un serveur. Le poste et le serveur
peuvent être situés sur le même réseau ou sur deux réseaux différents reliés eux-
mêmes par un VPN site à site.
Pour cette configuration, nous ne faisons intervenir que des composants
logiciels: un logiciel client sur le poste « demandeur » et un logiciel utilisé en
serveur sur le poste « destinataire ».

Figure 6 : VPN poste à poste

I.2. VPN Operateur

Lorsqu’il s’agit d’interconnecter plusieurs sites d’une même entreprise avec des
engagements de performances et de disponibilité il est plus judicieux, mais
évidemment plus couteux, de faire appel à un opérateur qui va donc mettre en
place un réseau privatif entre tous les sites.
Ce réseau tient plus d’un réseau de tunnels que d’un véritable réseau VPN mais
il est assez courant de parler quand même d’un VPN operateur car il est quand
même difficile, sans la complicité du personnel de l’opérateur, d’intercepter les
communications échangés entre les sites.

I.2.1. Les principaux protocoles de VPN

Les principaux protocoles de tunneling VPN sont les suivants :

 Le protocole PPTP (Point To Point Tunneling Protocol)

Le principe du protocole PPTP (RFC2637) (Point To Point Tunneling Protocol)

est de créer des trames avec le protocole PPP et de les crypter puis de les
encapsuler dans un paquet IP.

Cela permet de relier les deux réseaux par une connexion point-à-point virtuelle
acheminée par une connexion IP sur Internet. Cela fait croire aux deux réseaux
qu'ils sont reliés par une ligne directe.
On garde, ainsi les adresses des réseaux physiques dans la trame PPP cryptées et
cette trame est acheminée normalement sur Internet vers l'autre réseau.

Figure 7 : Protocol PPTP

Un paquet d'une connexion PPTP ressemble donc à ceci :

 Figure 8 : paquet d'une connexion

Le protocole L2TP (Layer 2 Tunneling Protocol)

Le protocole L2TP (Layer 2 Tunneling Protocol), développé à partir du
protocole point à point PPP, est sans conteste l'une des pierres angulaires des
réseaux privés virtuels d'accès. Il rassemble en effet les avantages de deux autres
protocoles de fractionnement en canaux : L2F (Layer 2 Forwarding), développé
par Cisco Systems, et PPTP (Point-to-Point Tunneling), de Microsoft.
L2TP est une norme préliminaire de l'IETF (Engineering Task Force)
actuellement développée et évaluée conjointement par Cisco Systems,
Microsoft, Ascend, 3Com et d'autres acteurs clés du marché des réseaux. L2TP
est un protocole réseau qui encapsule des trames PPP pour les envoyer sur des
réseaux IP, relais de trames ou ATM. Lorsqu’il est configuré pour transporter les
données sur IP, L2TP peut être utilisé pour faire du tunnelling sur Internet. Mais
L2TP peut aussi être directement mise en œuvre sur des supports WAN (relais
de trames) sans utiliser la couche de transport IP. On utilise souvent ce protocole
pour créer des VPN sur Internet. Dans ce cas, L2TP transporte des trames PPP
dans des paquets IP. Il se sert d’une série de messages L2TP pour assurer la
maintenance du tunnel et d’UDP pour envoyer les trames PPP dans du L2TP.
Le protocole IPSec (Internet Protocol Security)
IPsec est un protocole qui vise à sécuriser l'échange de données au niveau de la
couche réseau. Il est compatible IPv4 et IPv6. IPsec est basé sur deux
mécanismes :
Le premier AH (Authentification Header) permet d’assurer l'intégrité et
l'authenticité des datagrammes IP.
Le second ESP (Encapsulating Security Payload) peut aussi permettre
l'authentification des données mais il est principalement utilisé pour le cryptage
des informations. Bien qu'indépendants ces deux mécanismes sont presque
toujours utilisés conjointement.
IPSec est nativement un protocole de tunneling. Pourtant, ce protocole propose
aussi des mécanismes de sécurisation des échanges entre utilisateurs des VPN.
IPSec assure l’authenticité des extrémités, la confidentialité et l’intégrité des
échanges grâce aux algorithmes et mécanismes de chiffrement.

Figure 9 : Protocol IPsec

L'implémentation OpenVPN
Le Protocole Open VPN est une application informatique ouverte pour la mise
en place de techniques de réseaux privés virtuels (VPN, en anglais Virtual
Private Network), avec des connexions sécurisées point-par-point ou site-par-
site, pour des configurations via routage ou pont, ainsi que pour les accès à
distance. Il exploite un protocole de sécurité sur mesure qui utilise
SSL/TLS pour les échanges clés.
Un protocole Open VPN permet à des homologues de s’authentifier
mutuellement en utilisant une clé secrète pré-partagée, des certificats ou un nom
d’utilisateur / mot de passe. Lorsqu’il est utilisé dans une configuration multi
client-serveur, il permet au serveur de libérer un certificat d’authentification
pour chaque client, en utilisant la signature et l’autorité de certification. Ce
système utilise en grande partie la base de cryptage OpenSSL, ainsi que le
protocole SSLv3/TLSv1 et contient de nombreuses fonctionnalités de sécurité et
de contrôle.

Conclusion
Dans ce chapitre, nous avons présentés une introduction générale sur la sécurité
informatique et les notions de base d’un réseau VPN qui permet donc aux
réseaux privés de s’étendre et de se relier entre eux au travers d’internet.