Académique Documents
Professionnel Documents
Culture Documents
DEDICACE
REMERCIEMENTS
Nous tenons à exprimer toute notre gratitude envers tous ceux qui ont participé de près ou de loin
à l’aboutissement de ce travail. De ce fait nous remercions :
AVANT-PROPOS
L’entrée dans cet établissement se fait par concours pour les élèves professeurs et sur étude de
dossiers pour les cours de promotions sociales (BTS, Licence professionnels et Master
professionnel. La formation se fait en deux cycles sanctionnée par un diplôme de de professeurs
d’enseignement technique tel que suit :
C’est dans le souci de doter les entreprises camerounaises des ingénieurs qualifiés, compétent, et
directement opérationnels, que l’ESET, institution étatique à crée en novembre 2005, trois autres
cycle de formation purement professionnels dirigés par le CPS (Cours de Promotion Social) sous
l’autorité du directeur de l’ENSET.
Cycle licence
Génie civil (GCI)
Gestion Technico commerciale (GTC)
Génie mécanique (GME)
Génie électrique (GEL)
Génie Informatique (GI)
Gestion des ressources humaines (GRH)
Banque et micro finance (BMF)
Industrie Textile et d’habillement (IH)
Master professionnel
Rédigé et Défendu Par : PETHY Guy Ernest iv
INTERCONNEXION ENTRE SITES DISTANT SECURISE : CAS DE L’APN
RESUME
Le travail présenté dans le Mémoire ci-présent met en exergue la présentation la structure APN,
entreprise au sein de laquelle nous avons effectué un stage académique pour une période de six
(06) mois ainsi que les activités que nous y avons menées. Les observations que nous avons eu à
faire sur les causes provoquant le ralentissement de la rapidité d’exécution de l’entreprise
mentionnée au niveau de l’échange des informations et des services entre ses sites distants nous
ont amenées à effectuer une investigation sur une potentielle solution en l’occurrence le MPLS. Il
a été question dans ce Mémoire de montrer mettre sur pieds d’une solution d’accès distants entre
les sites de l’APN. A cet effet, nous avons étudié l’existant et comparer les solutions qui s’offrent
à nous pour la résolution du problème soulevé. A cet effet, nous avons procédé à un
redimensionnement des réseaux des sites de l’entreprise et nous avons utilisé GNS 3 et Wireshark
comme environnement de simulation car son fonctionnement s’assimile au mode réel de
configuration des équipements informatiques. Au sortir de l’implémentation réalisée, on observe
un gain en terme de vitesse d’exécution avec un temps en moyenne de 4 millisecondes, une fiabilité
accrue caractérisée par un taux de perte de paquets de 1%, la présence de protocole garantissant la
sécurité du canal de partage des informations au sein des sites de l’entreprise ainsi qu’une
technologie efficace et néanmoins couteuses pour de si hautes performances.
ABSTRACT
SOMMAIRE
DEDICACE .......................................................................................................................................i
REMERCIEMENTS ....................................................................................................................... ii
AVANT-PROPOS ......................................................................................................................... iii
RESUME .........................................................................................................................................vi
ABSTRACT .................................................................................................................................. vii
SOMMAIRE .................................................................................................................................... 8
LISTE DES FIGURES ................................................................................................................... 10
LISTE DES TABLEAUX .............................................................................................................. 11
LISTE DES ABRÉVIATIONS ...................................................................................................... 12
INTRODUCTION GENERALE .................................................................................................... 14
CHAPITRE I: PRESENTATION DE L’ENTREPRISE ET ETUDE DE L’EXISTANT ....... 15
I.1 PRESENTATION DE L’APN ........................................................................................ 15
I.1.1 Fiche signalétique de l’APN .................................................................................... 15
I.1.2 Missions et Objectifs de l’APN ................................................................................ 16
I.1.3 Localisation de l’APN .............................................................................................. 18
I.1.4 Organigramme de l’apn ............................................................................................ 20
I.2 DEROULEMENT DU STAGE....................................................................................... 21
I.3 ETUDE DE L’EXISTANT ............................................................................................. 23
I.3.1 Présentation de l’existant ......................................................................................... 23
I.3.2 Contexte et Problématique ....................................................................................... 24
I.3.3 Objectifs ................................................................................................................... 24
CHAPITRE II: ETUDE DE L’ART ET GENERALITES SUR LES ARCHITECTURES
DISTANTES SECURISEES.......................................................................................................... 25
II.1 GENERALITES SUR LE VPN ...................................................................................... 25
II.1.1 PRINCIPE DE FONCTIONNEMENT .................................................................... 25
II.1.2 FONCTIONNEMENT ............................................................................................. 26
II.1.3 ARCHITECTURES D’UN VPN ............................................................................. 27
II.1.4 INTERETS & CAS D’UTILISATION D’UN VPN ................................................ 30
II.1.5 Solutions d’interconnexions ..................................................................................... 32
Rédigé et Défendu Par : PETHY Guy Ernest viii
INTERCONNEXION ENTRE SITES DISTANT SECURISE : CAS DE L’APN
INTRODUCTION GENERALE
La Communication à Distance existe depuis l’antiquité et les enjeux y afférents, bien qu’ayant
évolués au fil de époques reste toujours de deux ordres : la vitesse, la fiabilité du canal de
transmission du message et sa sécurité. Les entreprises à l’ère de l’informatique pour pallier à
ce problème, ont un large éventail de possibilités toute étant solution idéale en fonction du
besoin et des ressources mises à disposition.
Dans le cas de l’APN ou nous avons effectué notre stage, ce problème a créé énormément
de latence dans l’échange d’informations internes, nous nous sommes intéressés à l’échange
d’informations entre deux sites distants d’une même structure. La notion faisant référence à ce
type d’échange est celle du Virtual Private Network en abrégé VPN. Cependant compte tenu
des exigences de la structure APN et des projets qu’elle vise à mener à bout, cette technologie
couplée à des protocoles classiques présente des inadéquations avec les objectifs visés.
A travers ce thème d’étude, notre positionnement sur le plan professionnel vise à répondre au
problème de lenteur d’interconnexion rencontré au sein de l’Établissement Publique
Administratif qu’est l’Autorité Portuaire National. Pour ce faire nous nous sommes posés la
question fondamentale de savoir : Comment résoudre le problème de sécurité des
communications entre les sites distants de l’APN ? De cette question principale découlent des
questions subsidiaires notamment : Le MPLS peut-il résoudre le problème d’interconnexion à
l’APN ? Autrement dit quels sont les avantages de la mise sur pieds d’une solution de
MPLS/VPN pour le bon déroulement des activités de communications entre les sites distants
de l’APN ?
Dans le but de répondre à cette interrogation, Nous avons reparti notre travail en 3 parties : la
première nous présente l’entreprise et le cadre d’étude, la seconde les généralités sur les
architectures sécurisées et enfin une architecture proposée.
CHAPITRE I: PRESENTATION DE
L’ENTREPRISE ET ETUDE DE L’EXISTANT
Dans ce chapitre, nous présentons l’environnement de travail et faisons un état des lieux. Cet
état des lieux qui justifie la présente recherche permet
SIGLE APN
L’APN assure la mise en œuvre de la politique portuaire nationale telle que définie par le
gouvernement. A ce titre, elle est chargée notamment de :
De veiller au respect des règles de concurrence dans l’exercice des activités portuaires
;
D’homologuer les tarifs des services portuaires et d’en assurer le contrôle, en liaison
avec les administrations concernées ;
De définir le cadre des régimes de transfert et des conditions d’exercice des activités
portuaires ;
D’émettre des avis sur les concessions portuaires attribuées par le gouvernement ;
D’émettre des avis techniques sur des propositions de réformes portuaires ;
D’instruire des litiges dont elle est saisie dans le secteur portuaire.
Dans le cadre de suivi et de l’évaluation des activités portuaires
De la participation, en tant que de besoin, aux négociations des accords à signer par le
gouvernement dans le domaine portuaire ;
Du suivi de l’application de la réglementation en matière de protection de
l’environnement portuaire ;
Du suivi de l’application de la réglementation ainsi que des performances portuaires ;
Du suivi de la mise en œuvre du plan de réduction des coûts portuaires ;
De la réalisation des audits spécifiques dans le secteur portuaire ;
Actions Permanentes[]
Réalisations[]
Actions en cours[]
De façon pratique l’APN a le rôle de régulateur portuaire sur le territoire Camerounais. A cet
effet, elle travaille en synergie avec les différents Ports du pays c’est-à-dire le Port Autonome
de Douala, le Port Autonome de Kribi, Le Port de Limbé, le Port de Garoua.
La Direction Générale
Placé chacun sous l’autorité d’un chef de Directeur, chaque Direction plusieurs missions et
comprend des Sous-directions dans lesquelles elles sont réparties ; chaque Sous-direction est
placée sous l’autorité d’un Sous-directeur et comprend des services ; chaque service est sous
l’autorité d’un Chef Service et a des missions spécifiques uniques.
Nous avons été convoqué par l’Autorité Portuaire Nationale le 1er Février 2022, pour être
accueilli à la Direction Générale. Suite à cela nous fumes envoyé à l’Antenne de Kribi, où nous
avons pris service le 7 Mars. Ledit jour, nous avons été accueilli par M. MBITOCK
KOUMKANG, cadre de l’Antenne de Kribi affecté au Relai RCAP. Il nous fit visiter les locaux
de l’Antenne, et signala notre prise de service à la Direction Générale. Nous rencontrâmes
ensuite le Chef d’Antenne, qui nous affecta au Relai de DEDPN. Durant notre passage au sein
de l’Autorité Portuaire Nationale, nous avons effectué plusieurs taches parmi lesquelles nous
pouvons lister sous forme de tableau :
La direction générale est dispose de 25 postes téléphoniques, 10 points d’accès Internet fourni
par CAMTEL, 2 routeurs, 4 serveurs, 25 Imprimantes, 2 Autocommutateurs et 69 ordinateurs
bureaux, 2 routeurs.
Tous les sites se connectent directement à Internet mais ne communiquent pas entre eux.
Ce qui s’avère fastidieux et énormément lent de par les procédures internes et le temps
d’acheminement de l’information.
De ce fait, nous nous posons la question de savoir comment permettre une communication
distante de manière sécurisée entre tous les sites de l’Autorité Portuaire Nationale ?
I.3.3 Objectifs
Internet aujourd’hui devenu indispensable dans la majorité domaines, le risques sont d’autant
plus nombreux quant à son déploiement en entreprise car son expansion, a ouvert la voix à la
naissance de nombreuses malveillances telles que les intrusions, détournement d’informations
sensibles. Ainsi, il est régi par de nombreux protocoles qui assurent le bon fonctionnement, la
sécurité et les services des réseaux informatiques qui le constituent. Bon nombre sont les
solutions d’architecture sécurisée lui.
Un VPN (Virtual Private Network ou réseau privé virtuel RPV en français) désigne un réseau
crypté dans le réseau Internet. On parle de tunnel puisque les données sont sécurisées et cryptées
pour naviguer du site A vers le site B. Ce principe permet de respecter la confidentialité des
informations et d’assurer leur transport de bout en bout. Le serveur VPN (qui est la sortie de
votre tunnel) peut déboucher sur un réseau local. Mais, un VPN peut aussi déboucher sur
l'ensemble d'Internet et donc vous permettre de naviguer sur le Web à travers lui.
Ainsi, la source chiffre les données au moyen d'algorithmes de cryptographie négociés entre le
client et le serveur et les achemine en empruntant ce chemin virtuel. Afin d'assurer un accès
aisé et peu coûteux aux intranets et extranets d'entreprise, les réseaux privés virtuels d'accès
simulent un réseau privé alors qu'ils utilisent en réalité une infrastructure d'accès partagée telle
que l'Internet. Les données à transmettre peuvent être prise en charge par un protocole différent
d'IP, mais dans ce cas, le protocole de tunneling encapsule les données en ajoutant un en-tête.
Le tunneling est l'ensemble des processus d'encapsulation, de transmission et de
désencapsulation.
Le terme "tunnel" est utilisé pour symboliser le fait qu'entre l'entrée et la sortie du VPN, les
données sont chiffrées (cryptées) et donc incompréhensible pour toute personne située entre les
deux extrémités du VPN, comme si les données passaient dans un tunnel. Les paquets
interceptés sur le réseau partagé ou public restent indéchiffrables sans clé de décryptage. La
liaison servant à l'encapsulation et au cryptage des données privées est une connexion VPN.
Ainsi, tous les utilisateurs passent par le même "portail", ce qui permet de gérer la sécurité des
accès, ainsi que le trafic utilisé par chacun.
En effet, malgré son aspect sécurisé, un réseau VPN reste une extension du réseau principal
vers chaque employé qui y accède, ce qui augmente d'autant le risque de failles.
Centraliser les entrées au réseau permet de renforcer la sécurité, et de mieux gérer la taille prise
par le réseau étendu.
II.1.2 FONCTIONNEMENT
Le VPN est ne représente donc qu'un concept, derrière lui, plusieurs implémentations ont vu le
jour, selon l'utilisation que l'on veut en faire, le niveau de sécurité, la taille du réseau, etc...
Plusieurs moyens techniques peuvent être utilisés et couplés pour mettre en œuvre des VPN :
le chiffrement, l'authentification, le contrôle d'intégrité et les tunnels.
▪ Chiffrement : Utilisé pour que les données traversant le réseau ne puissent pas être lues
par une autre personne. On utilise pour cela notre baguage mathématique et surtout
arithmétique. Les deux principaux types de cryptage utilisés sont : le chiffrement
asymétrique et symétrique.
▪ Authentification des entités communicantes : le serveur VPN doit pouvoir être sûr de
parler au vrai client VPN et vice-versa
▪ Authentification des utilisateurs : seuls les bonnes personnes doivent pouvoir se
connecter au réseau virtuel. On doit aussi pouvoir conserver les logs de connexions
▪ Gestion des adresses : tous les utilisateurs doivent avoir une adresse privée et les
nouveaux clients vont obtenir une facilement
▪ Cryptage du tunnel : les données échangées sur Internet doivent être cryptées entre le
client VPN et le serveur VPN et vice-versa
▪ Les clés de cryptage doivent être régénérées souvent (automatiquement)
▪ Le VPN peut supporter plusieurs protocoles afin de réaliser un vrai tunnel comme s'il y
avait réellement un câble entre les deux réseaux
Le VPN nomade est utilisé pour permettre à des utilisateurs nomades d'accéder au
réseau privé. Il est utilisé pour accéder à certaines ressources prédéfinies d'une entreprise sans
y être physiquement présent.
Cette opportunité peut ainsi être très utile au commercial ou au cadre qui souhaite se connecter
au réseau de son entreprise tout en étant géographiquement éloigné. L’utilisateur se sert d'une
connexion Internet pour établir la connexion VPN.
- L'utilisateur possède son propre logiciel client pour le VPN auquel cas il
établit directement la communication de manière cryptée vers le réseau de l'entreprise.
L’intégralité des informations sera cryptée dès l’établissement de la connexion. Par
contre, cette solution nécessite que chaque client transporte avec lui le logiciel, lui
permettant d’établir une communication cryptée. Pour pallier à ce genre de problème
certaines entreprises mettent en place des VPN à base du protocole SSL, technologie
implémentée dans la majorité des navigateurs Internet du marché.
Quelle que soit La méthode de connexion choisie, ce type d’utilisation montre bien
l’importance dans le VPN d'avoir une authentification forte des utilisateurs. Cette
authentification peut se faire par une vérification "login / mot de passe", par un algorithme dit
"Tokens sécurisés" (utilisation de mots de passe aléatoires) ou par certificats numériques.
entreprise peut utiliser le VPN pour communiquer avec ses clients et ses partenaires. Elle ouvre
alors son réseau local à ces derniers. Dans ce cadre, il est fondamental que l’administrateur du
VPN puisse tracer le client sur le réseau et gérer les droits de chacun sur celui-ci.
II.1.4.1 INTERETS
La mise en place d'un VPN permet de connecter de façon sécurisée des ordinateurs distants au
travers d'une liaison non fiable (Internet), comme s'ils étaient sur le même réseau local.
Ce procédé est utilisé par de nombreuses entreprises afin de permettre à leurs utilisateurs de se
connecter au réseau d'entreprise hors de leur lieu de travail. Nous pouvons facilement imaginer
un grand nombre d'applications possible :
Les connexions VPN permettent de partager des fichiers et programmes de manière sécurisée
entre une machine locale et une machine distante
AVANTAGES :
LIMITES :
Mais dans le cadre professionnel, On peut trouver comme cas d'utilisation d'un VPN :
Le Télétravail. Il existe des entreprises sans locaux, ou les employés travaillent chez
eux. Quand ce type de travail est possible, pourquoi dépenser plus pour des locaux, des
problèmes de transport, etc.… ? Le VPN apporte la possibilité pour tous ses employés
de travailler sur un même réseau privé virtuel. Il doit alors évidement disposer d'une
connexion internet qui lui permet de travailler à distance, et d'utiliser les différents
services du réseau, et même exploiter des outils de travail collaboratif.
Connexion de sites distants. Pour en entreprise possédant plusieurs sites, il est parfois
avantageux de les relier. Une première solution serait d'utiliser une LS.
Ces solutions utilisent les supports de transmission physiques. Les plus utilisées à l'heure
actuelle pour la réalisation des interconnexions sont :
o Les paires torsadée et coaxial : utilisable sur une distance maximale de 100 m ;
o Et la fibre optique : elle possède une large bande passante comparée aux supports
précédemment cités, elle présente une immunité au bruit etc. Cependant elle a un coût
relativement élevé pour sa mise en place.
Encore appelée « solution guidée », elle consiste à choisir un support tout en tenant compte du
cahier de charge (moyens disponible pour la réalisation du projet).
Ce sont des solutions qui utilisent les propriétés de la propagation des ondes
électromagnétiques. Ces solutions sont beaucoup utilisées par les services de
radiocommunication. Les principales solutions sans fils sont :
o Le Wi-Fi (Wireless Fidelity) : il offre un débit intéressent mais il montre ses limites en
terme de distance accessible.
o La WLL (Wireless Local Loop) : elle est un moyen d'interconnexion des sites en haut
débit, à une zone de couverture de l'ordre de plusieurs kilomètres et au coût de
déploiement moins élevé.
o Et la liaison satellite (VSAT : Very Small Aperture Terminal) : il est envisageable mais
cette solution reste très coûteuse pour une entreprise moyenne. En effet le coût de
déploiement du VSAT est très important vu qu'il nécessite un certain nombre
d'équipements, sans oublier le prix de location de la bande passante sur le satellite qui
assurera l'interconnexion.
Contrairement aux « solutions guidées », les « solutions non guidées » n'utilise pas de supports
physiques pour la transmission de données.
Le VPN est donc un concept, sa mise en place par l’utilisation d’un élément phare : Le
protocoles de tunneling. Il en existe plusieurs que nous pouvons classer de de 2 façons :
Il existe une large gamme de protocoles dit de « tunnélisation », parmi lesquels nous pouvons
citer :
GRE (Generic Routing Encapsulation) développé au départ par Cisco, à l'origine protocole
transportant des paquets de couche 3, mais pouvant désormais aussi transporter la couche 2.
PPTP (Point-to-Point tunneling Protocol) est un protocole transportant des trames de couche
2 (du PPP) développé par Microsoft, 3Com, Ascend, US Robotics et ECI Telematics.
L2F (Layer Two Forwarding) est un protocole transportant des trames PPP (couche 2)
développé par Cisco Systems, Nortel et Shiva. Il est désormais obsolète. Il s’agissait en fait de
l’equivalent PPTP pour CISCO.
L2TP (Layer Two Tunneling Protocol) est l'aboutissement des travaux de l'IETF (RFC
393110) pour faire converger les fonctionnalités de PPTP et L2F. Il s'agit ainsi d'un protocole
de niveau 2(couche 2) s’appuyant sur PPP.
IPsec (Internet Protocol SECurity) est un protocole transportant des paquets (couche 3), issu
des travaux de l'IETF, permettant de transporter des données chiffrées pour les réseaux IP. Il
est associé au protocole IKE pour l'échange des clés.
L2TP/IPsec est une association de ces deux protocoles (RFC 3193) pour faire passer du PPP
sur L2TP sur IPsec, en vue de faciliter la configuration côté client sous Windows.
SSL (Secure Socket Layer), déjà utilisé pour sécuriser la navigation sur le web via HTTPS,
permet également l'utilisation d'un navigateur Web comme client VPN. Ce protocole est
notamment utilisé par OpenVPN.
TLS (Transport Layer Security) qui lui, se retrouve être le développement de SSL poursuivi
par IETF.
SSH permet, entre autres, d'envoyer des paquets depuis un ordinateur auquel on est connecté.
SSTP est un protocole de tunneling qui applique un transfert sécurisé sur des connexions L2TP
ou PPP via un canal SSL 3.0. Il est uniquement utilisé pour des connexions de clients à distance
et utilise le SSL pour le transfert et le cryptage des données. C'est l'un des protocoles VPN les
plus stables avec une vitesse similaire au PPTP, même s'il faut plus de temps pour obtenir la
connexion initiale. Il est cependant plutôt compliqué à installer pour un novice et ne peut être
utilisé uniquement que sur Linux, BSD, et les versions Windows postérieures à Vista
MPLS permet de créer des VPN distribués (VPRN) sur un nuage MPLS, de niveau 2 (L2VPN)
point à point, point à multipoint (VPLS), ou de niveau 3 (L3VPN) notamment en IPv4 (VPNv4)
et/ou IPv6 (VPNv6 / 6VPE), par extension et propagation de VRF (Virtual routing and
forwarding – tables de routage virtuelles) sur l'ensemble du réseau MPLS.
Remarque : Les protocoles PPTP, L2F et L2TP reposent tous les trois sur le protocole PPP
mais le protocole L2F n’existe plus aujourd’hui.
Ainsi, nombreux sont les protocoles mais, il s’agit pour nous de présenter les principaux d’entre
eux.
IPSec (Internet Protocol Security), défini par l’IETF, c’est un ensemble de protocoles visant à
permettre l’échange sécurisé de paquets au niveau de la couche IP. Cela signifie qu’il agit sur
chaque paquet IP reçu ou émis et peut soit le laisser passer sans traitement particulier, soit le
rejeter, soit lui appliquer un mécanisme de sécurisation.
Intégrité des paquets : les paquets sont protégés de sorte que tous les changements
pendant leur transmission aient pu être détectés.
Confidentialité des paquets : les paquets sont chiffrés avant d’être transmis sur les
réseaux.
Authentification d’origine des paquets : les paquets sont protégés pour s’assurer
qu’ils sont envoyés par l’expéditeur souhaité.
Il est compatible IPv4 et IPv6. IPsec utilise plusieurs protocoles :
II.2.2 Le MPLS
L'objectif principal du groupe de travail MPLS (Multi Protocol Label Switch) a été de
normaliser une technologie de base qui intègre la méthode de la transmission par commutation
de labels avec le routage de couche réseau. Cette technologie est destinée à améliorer le ratio
coût/performance du routage de couche réseau, à accroître l'évolutivité de la couche réseau et à
fournir une plus grande souplesse dans la remise des services de routage, tout en permettant
l'ajout de nouveaux services de routage sans modification de la méthode de transmission. [2]
L'architecture MPLS repose sur des mécanismes de commutation de labels associant la couche
2 (commutation) avec la couche 3 (routage) du modèle OSI (Open System Interconnection). De
plus, la commutation réalisée au niveau de la couche 2 est indépendante de la technologie
utilisée. En effet, le transport des données au sein d'une architecture MPLS peut être par
exemple effectué à l'aide de paquets ou de cellules à travers des réseaux Frame Relay ou ATM.
Cette commutation, indépendante des technologies utilisées est possible grâce à l'insertion dans
les unités de données (cellules ou paquets) d'un label. Ce petit label de taille fixe indique à
chaque nœud MPLS la manière dont ils doivent traiter et transmettre les données. L'originalité
du protocole MPLS par rapport aux technologies WAN déjà existantes est la possibilité pour
un paquet de transporter une pile de labels et la manière dont ceux-ci sont attribués.
L'implémentation des piles de labels permet une meilleure gestion de l'ingénierie de trafic et
des VPN notamment en offrant la possibilité de rediriger rapidement un paquet vers un autre
chemin lorsqu'une liaison est défaillante. Les réseaux actuels utilisent l'analyse des en-têtes de
couche 3 du modèle OSI pour prendre des décisions sur la transmission des paquets. Le
protocole MPLS quant à lui repose sur deux composants distincts pour prendre ses décisions :
le plan de contrôle et le plan des données. Le plan des données permet de transmettre des
paquets de données en fonction des labels que ceux-ci transportent en se basant sur une base de
Du point de vue du plan de contrôle, chaque nœud MPLS est un routeur IP qui doit par
conséquent utiliser des protocoles de routage IP afin d'échanger ses tables de routage IP avec
les routeurs voisins.
Puisque le protocole MPLS ajoute des labels sur les paquets ou cellules qui transitent sur un
réseau MPLS afin de permettre à chaque nœud qui le compose de connaître la manière dont ils
doivent traiter et transmettre les données, ces labels appelés LSP sont insérés après les en-têtes
de la couche 2 et juste avant les en-têtes de la couche 3. Les LSP ont une taille fixe de 32 bits
et sont structurés comme indiqué ci-dessous :
Dans cette structure, le champ "Label" définit le label sous la forme d'une valeur, et le champ
« CoS » (Class of Service) correspond à une valeur permettant d'influer sur l'ordre de traitement
des paquets mis en queue. Le champ « Stack » (pile) quant à lui est une valeur permettant
d'établir une hiérarchie dans la pile de labels, et le champ « TTL » (Time To Life) fournit les
mêmes fonctionnalités que le TTL IP conventionnel. L'utilisation de ces LSP permet d'accélérer
grandement la commutation dans un réseau IP à haut débit. Cependant il existe deux méthodes
permettant d'implémenter l'utilisation des LSP : le routage « saut par saut » et le routage «
explicite ». Le routage saut par saut permet à chaque nœud MPLS de choisir le saut suivant
indépendamment du FEC (Forwarding Equivalency Class) défini par le LSP du paquet, alors
que le routage explicite laisse le premier nœud MPLS périphérique décider de la liste des nœuds
que le paquet devra suivre pour arriver à l'adresse de destination. Cependant, l'utilisation du
routage explicite n'assure en aucun cas la sélection d'un chemin optimal pour le paquet en
question. De plus ce chemin est unidirectionnel, il va donc falloir que le nœud MPLS
périphérique de destination choisisse un nouveau LSP pour le chemin de retour.
Elle représente un groupe de paquets transmis de manière identique sur un réseau MPLS. Ces
FEC peuvent par exemple correspondre à des types de services, des types de paquets ou même
encore des sous-réseaux. Un label différent est attribué à chacun de ces FEC. Ainsi, dès leur
entrée dans un réseau MPLS, chaque paquet appartenant à un même groupe reçoit le même
label ce qui lui permet d'être acheminé vers la route qui lui a été réservée.
Chaque nœud MPLS capable de transférer des paquets labellisés sur le réseau MPLS détient
une LIB. C'est sur cette base d'informations que les décisions concernant la transmission des
paquets sont fondées. En effet, elles contiennent, sous forme de table, la correspondance entre
les différents FEC existant et les labels qui ont été attribués à chacun d'entre eux. Les
informations contenues dans les LIB sont créées et mises à jour, en fonction du type de matériel,
soit grâce au protocole propriétaire Cisco TDP (Tag Distribution Protocol), soit par le protocole
de liaison de labels du standard de l'IETF LDP (Label Distribution Protocol).
IP est un protocole de couche réseau (couche 3) dit « non connecté ». C'est-à-dire que les
paquets constituant le message peuvent emprunter des itinéraires différents pour arriver au
destinataire. Des protocoles de routage interviennent afin de transférer les paquets sur le réseau
et entre les routeurs. La communication entre ces routeurs s'effectue par le biais de protocoles
décris succinctement ci-dessous.
Les paquets sont routés sur le réseau à l'aide des protocoles de type :
Tous ces protocoles de routage ont pour fonction de diriger les paquets dans le réseau. Chaque
routeur possède une table de routage qui contient les chemins de destination, le port de sortie et
le prochain saut pour déterminer le routeur suivant. Les paquets sont transportés sur le réseau
d'une source à une destination. Ce dernier va passer par des routeurs pour atteindre la
destination.
Dès que le routeur reçoit un paquet, il transforme l'adresse MAC (Media Access Control) de la
source en appliquant sa propre adresse MAC, et l'adresse MAC de destination est remplacée
par le routeur suivant. L'adresse IP de couche 3 n'est pas modifiée. Chaque routeur va appliquer
cette procédure au paquet à transmettre jusqu'à sa destination.
Le principe de routage est satisfaisant dans un petit réseau mais est trop lourd pour effectuer
ces procédures de modification d'adresses MAC tout au long du transfère.
Quand un paquet est envoyé sur un réseau MPLS (Multi Protocols Label Switching), le nœud
(routeur) d'entrée dit « Ingress Node » traite le paquet et consulte sa table de commutation pour
lui attribuer un label en fonction de la FEC (Forwarding Equivalence Class) du paquet. Une
fois le label attribué, le routeur d'entrée va transmettre le paquet et son label au nœud interne
suivant appelé LSR (Label Switch Routeur). C'est à partir de l'adresse IP du nœud (routeur) de
sortie dit « Egress Node » que le protocole IP va déterminer :
o La FEC ;
o Le label ;
o Et e port de sortie pour aboutir au destinataire.
Dès qu'un paquet est envoyé à un routeur LSR, le protocole de routage va déterminer dans la
table LIB le prochain saut vers le routeur LSR suivant et le label à appliquer au paquet pour
qu'il arrive à destination. Le label est mis à jour via l'en-tête MPLS avant d'être envoyé au nœud
suivant.
Quand le paquet arrive au routeur dit « Egress Node », il a pour rôle de supprimer le label MPLS
et de le transmettre sur la couche réseau.
Grâce à ses mécanismes de commutation de labels avancés ainsi que par sa simplicité de mise
en place sur des réseaux déjà existants, le protocole MPLS est devenu une technologie phare de
demain alliant souplesse, évolutivité et performance pour un coût réduit. De plus, puisque cette
nouvelle technologie permet d'implémenter facilement des technologies comme le QoS
(Quality of Service), les VPN et la VoIP (Voice over Internet Protocol), la majorité des
fournisseurs d'accès à Internet ont décidés de faire évoluer progressivement l'ensemble de leurs
réseaux vers des réseaux MPLS.
Le Label :
La fonction portée du label est limitée à son utilisation entre deux LSR (Label Switch Routers)
voisins. Il va diriger le flux de trafic entre le LSR actuel et le LSR suivant selon le LSP (Label
Switch Path). Tout au long du LSP le label va chercher des informations de routage de type :
o Prochain saut ;
o Protocole d'encapsulation ;
o Port de sortie.
o ATM ;
o Ethernet ;
o HDLC (High-Level Data Link Control) ;
o Frame Relay.
Le champ est composé de 32 bits. Ceux-ci vont le relier à une classe ou un groupe FEC. Le
label contient 20 bits, 3 bits sont associés à la QoS, 1 bit appelé S qui représente un empilement
de label (ce qui permet d'appliquer plusieurs services à un flux) et TTL est le champ de 8 bits
qui évite de faire circuler les trames en boucle infinie.
La permutation de labels :
Le protocole MPLS fonctionne par permutation de labels. Ces labels sont ajoutés une fois, à
l'entrée du paquet sur le réseau MPLS, par le nœud (routeur) dit « Ingress Node ». Le label est
déterminé à partir d'une référence dans le tableau de commutation du routeur d'entrée sur le
réseau. Le paquet est alors transféré avec son label aux routeurs LSR qui vont permuter les
labels. Le label entrant est analysé puis est remplacé par un label sortant. Le paquet est alors
envoyé au nœud suivant. Les routeurs LSR sont basés uniquement sur la commutation de labels
et ainsi commutent les paquets labellisés. Arrivé au nœud (routeur) dit « Egress Node », le label
du paquet est supprimé puis ce dernier est remis à son destinataire.
L'affectation des labels dépend de l'appartenance des paquets à des classes ou des groupes de
flux FEC (Forwarding Equivalency Classes). Ces classes vont permettre de diviser les
traitements de paquets par groupement. On distingue trois FEC d'associations de label à :
o Un flux de trafic ;
o Un Id du routeur ;
o Et une adresse IP.
Les paquets appartenant à une même FEC sont traités de la même manière.
C'est ainsi que tous les paquets d'un même flux vont emprunter le même chemin MPLS. Ce
chemin est appelé LSP (Label Switched Path).
C’est le chemin que va emprunter tous les paquets d'une même classe FEC.
Un LSR (Label Swithc Router) d’un réseau MPLS est présent pour lire les labels, gérer les
services appropriés et rediriger les paquets en fonction des labels. Et un LER (Label Edge
Router) représente un routeur d'extrémité du réseau MPLS (Ingress et Egress Nodes).
La distribution de labels :
Les labels sont distribués aux routeurs LSR via le protocole LDP (Label Distribution Protocol).
Il va définir des procédures et des méthodes de communications pour que les routeurs LSR
puissent s'informer des tables de commutation (correspondance des labels et des flux) de leurs
voisins. Les labels sont du type « saut par saut », c'est-à-dire qu'ils n'effectuent le chemin que
d'un saut avant d'être mis à jour. Cette méthode est utilisée par le protocole de routage IGP
(Interior Gateway Protocol). La découverte des routeurs LSR voisins se fait à l'aide de la couche
3 du modèle OSI, via le protocole de routage UDP (User Datagram Protocol). Dès que deux
nœuds se sont découverts, ils établissent une connexion TCP pour le transport fiable des
données. Les messages échangés entre les deux routeurs LSR lors d'une session LDP sont de
types :
Trafic Engineering :
o ER-LSP (Explicitly Routed Path) : la source connaît le chemin complet avec les routeurs
LSR jusqu'à la destination.
o CR-LDP (Constraint based Routing LDP) et RSVP (Ressource Réservation Protocol)
sont des méthodes similaires à ER-LSP pour la découverte des chemins.
Remarque : Lors d'une connexion entre deux routeurs LSR la procédure reste la même avec
des informations sur les ressources nécessaires en plus.
Quality of service :
Pour pouvoir appliquer de la QoS (Quality of Service) sur un flux associé à un chemin LSP, il
faut attribuer des ressources à ce chemin LSP. Cela va être possible avec les méthodes CR-LDP
et RSVP. Grâce à ces méthodes, les routeurs choisissent la route et en vérifiant avant que les
ressources nécessaires à l'établissement du chemin LSP soient présentes sur cette route.
Avec de la QoS, on trouve les services intégrés (Integrated Services : IntServ) suivants dans un
réseau MPLS. Ces services doivent maintenir l'état de chaque flux entre l'émetteur et le
récepteur, ainsi que chaque routeur LSR, tout en ayant vérifié que les ressources nécessaires
sont présentes pour la QoS. Il regroupe trois classes de services :
o Service garanti (Guaranted ou Hard QoS) : consistant à réserver des ressources réseau
pour certains types de flux avec RSVP (Ressource Reservation Protocol).
o Meilleur effort (Best Effort ou Lack of QoS) : ne fournissant aucune différenciation entre
plusieurs flux réseaux et ne permettant aucune garantie.
o Service différentié (Differential Services : DiffServ) : permettant de définir des niveaux
de priorité aux différents flux réseau sans toutefois fournir une garantie stricte.
Les principaux critères permettant d'apprécier la qualité de service sont les suivants :
o Débit (bandwidth) : il définit le volume maximal d'information (bits) par unité de temps.
o Gigue (jitter) : elle représente la fluctuation du signal numérique, dans le temps ou en
phase.
o Temps de latence (delay) : elle caractérise le retard entre l'émission et la réception d'un
paquet.
o Perte de paquet (packet loss) : elle correspond à la non-délivrance d'un paquet de
données, la plupart du temps due à un encombrement du réseau.
o Déséquencement (desequencing) : il s'agit d'une modification de l'ordre d'arrivée des
paquets.
Pour satisfaire les besoins des opérateurs de services VPN, la gestion de VPN-IP à l'aide des
protocoles MPLS a été définie dans une spécification référencée RFC 2547. Des tunnels sont
créés entre des routeurs MPLS de périphérie appartenant à l'opérateur et dédiés à des groupes
fermés d'usagers particuliers, qui constituent des VPN. Dans l'optique VPN MPLS, un VPN est
Rédigé et Défendu Par : PETHY Guy Ernest 47
INTERCONNEXION ENTRE SITES DISTANT SECURISE : CAS DE L’APN
un ensemble de sites placés sous la même autorité administrative, ou groupés suivant un intérêt
particulier.
Les routeurs P, Pe et Ce :
Une terminologie particulière est employée pour désigner les routeurs (en fonction de leur rôle)
dans un environnement VPN MPLS :
Le schéma ci-dessous montre l'emplacement de ces routeurs dans une architecture MPLS :
La notion même de VPN implique l'isolation du trafic entre sites clients n'appartenant pas aux
mêmes VPN. Pour réaliser cette séparation, les routeurs Pe ont la capacité de gérer plusieurs
tables de routage grâce à la notion de VRF (Virtual Routing and Forwarding). Une VRF est
constituée d'une table de routage, d'une base FIB (Forwarding Information Base) et d'une table
CEF (Cisco Express Forwarding) spécifiques, indépendantes des autres VRF et de la table de
routage globale. Chaque VRF est désignée par un nom sur les routeurs Pe. Les noms sont
affectés localement et n'ont aucune signification vis-à-vis des autres routeurs.
Chaque interface de routeur Pe, reliée à un site client, est rattachée à une VRF particulière. Lors
de la réception de paquets IP sur une interface client, le routeur Pe procède à un examen de la
table de routage de la VRF à laquelle est rattachée l'interface et donc ne consulte pas sa table
de routage globale. Cette possibilité d'utiliser plusieurs tables de routage indépendantes permet
de gérer un plan d'adressage par sites, même en cas de recouvrement d'adresses entre VPN
différents.
Le MPLS offre aux opérateurs des services adéquats à leurs attentes, au niveau de la garantie
de transfert et la disponibilité de la bande passante. La gestion des flux de trafic, l'optimisation
de la détermination de l'acheminement des paquets, la garantie de la bande passante constituent
des améliorations conséquentes par rapport aux technologies utilisées pour les trafics
traditionnels. Le fonctionnement des labels facilite considérablement la reprise du routage après
des défaillances du réseau. Ceci garantit une pérennité des accès aux données. La labellisation
des paquets : « le chemin le plus court n'est pas toujours le meilleur », avec le protocole MPLS,
une politique peut être établie afin que les paquets suivent un chemin défini. Ainsi, il est
possible d'alléger les liaisons, favorisant le confort et évitant la saturation des liens. Les VPN
en environnement MPLS permettent de réduire la complexité d'un grand réseau. Il sera possible
d'utiliser des adresses privées dans un réseau public ; ajouter de la QoS sur les liaisons en
fonction des relations entre les différents sites. Ceci favorisera également la sécurité au sein du
réseau via un contrôle de flux. Le protocole MPLS sert ainsi à la gestion de la qualité de service
en définissant 5 classes de services :
o Données très prioritaires (D1) : il s'agit de la classe de service possédant le plus haut
niveau de priorité pour les données. Elle sert notamment aux applications ayant des
besoins critiques en termes de performance, de disponibilité et de bande passante.
o Données prioritaires (D2) : cette classe de service correspond à des applications non
critiques possédant des exigences particulières en termes de bande passante.
o Données non prioritaires (D3) : représentant la classe de service la moins prioritaire.
L'augmentation des flux d'informations transitant à travers les réseaux, en particulier le
réseau Internet, a engendré une nécessité de consommation de bande passante de plus
en plus grande depuis ces dernières années, cette demande a favorisé l'évolution de ces
différents réseaux ce qui a par la même occasion augmenté la complexité de gestion de
l'ensemble de ces réseaux.
Mis à part les protocoles IPSec et MPPLS, de nombreux protocoles permettent la création et la
sécurité des VPN. Ils sont certes moins complexes mais leur rôle est tout aussi indispensables.
Une connexion compatible PPP peut appeler des réseaux distants par l'intermédiaire d'un
serveur PPP standard de l'industrie. PPP permet également à un serveur d'accès à distance de
recevoir des appels entrants et de garantir l'accès au réseau à des logiciels d'accès distant d'autres
éditeurs, conformes aux normes PPP. PPP transfert les données sur un lien synchrone ou
asynchrone. Il est en mode full duplex et garantit l’ordre d’arrivée des paquets. Il encapsule les
paquets IP et IPX dans des trames PPP, puis transmet ces paquets encapsulés au travers de la
liaison point à point. Le protocole PPP est défini dans la RFC 1661 appuyé de la RFC 2153.
Il a l'avantage d'être nativement pris en charge par Windows et plusieurs autres plateformes,
sans avoir besoin d'installer un autre logiciel. Malheureusement, il est à oublier car il n'est pas
réputé fiable mais, sert de support aux protocoles PPTP ou L2TP.
Protocole PPTP
Le protocole PPTP (RFC2637) (Point To Point Tunneling Protocol) est développé par
Microsoft, son principe est de créer des trames avec le protocole PPP et de les crypter puis de
les encapsuler dans un paquet IP.
Cela permet de relier les deux réseaux par une connexion point-à-point virtuelle
acheminée par une connexion IP sur Internet. Cela fait croire aux deux réseaux qu'ils sont
reliés par une ligne directe.
On garde, ainsi les adresses des réseaux physiques dans la trame PPP cryptées et cette trame
est acheminée normalement sur Internet vers l'autre réseau.
Il permet les opérations suivantes :
Le client se connecte à Internet par son modem par le protocole PPP
(classiquement)
Le client se connecte alors au serveur VPN par une connexion IP encapsulant
les paquets
GRE/PPP cryptés. Ainsi cela forme deux connexions l'une sur l'autre
On obtient donc une connexion PPP au-dessus de la connexion Internet ou Ethernet qui nous
donne accès au serveur VPN PPTP. Cette connexion PPP obtient une IP de la plage définie
dans la configuration de PPTP Sur le serveur, on a une connexion de son IP publique vers l'IP
virtuelle du client et sur le client c'est l'inverse.
Un paquet d'une connexion PPTP ressemble donc à ceci :
Toutefois, même s’il utilise d’habitude un cryptage 128 bits, il existe quelques vulnérabilités
en matière de sécurité, la plus sérieuse étant la possibilité de faille de l’authentification MS-
CHAP v2. Il est nativement intégré aux systèmes Windows. Mais les protocoles tels que IPSec
ou OpenVPN sont bien meilleurs en sécurité et en performances.
Protocole LT2P
Le concurrent direct au PPTP est le L2F, un protocole mis œuvre principalement dans les
produits Cisco. Dans une tentative pour améliorer le L2F, les meilleures caractéristiques de
celui-ci et PPTP ont été combinées dans le but de créer un nouveau standard appelé le L2TP
(Layer 2 Tunneling Protocol). Le protocole L2TP encapsule des trames du protocole PPP,
encapsulant eux-mêmes d’autres protocoles (tels que IP ou IPX ou autre).
Contrairement aux autres protocoles VPN, Layer 2 Tunneling Protocol n’offre aucune
confidentialité ni aucun cryptage au trafic qui y passe. Il est donc souvent accompagné d’une
suite de protocoles appelée IPsec pour crypter les données avant leur transmission, offrant ainsi
confidentialité et sécurité aux utilisateurs. Ce protocole utilise le port UDP 500 pour l’échange
des clés et le port 50 pour le cryptage via l’IPsec.
Il est également très utile par sa facilité d'installation et de configuration et sa vitesse (bien que
très légèrement plus lent que pour un PPTP en raison du chiffrement des données).
● LAC (L2TP Access Concentrator) : concentrateur d'accès L2TP. Il sert à fournir un moyen
physique pour se connecter à un ou plusieurs LNS par le protocole L2TP. Il est responsable de
l'identification et construit le tunnel vers les LNS. Il se trouve obligatoirement dans
l'infrastructure du FAI de chaque utilisateur du VPN. Cela est donc très lourd (et cher) à mettre
en place dans la mesure où il faut louer une place dans un serveur de connexion du FAI.
● LNS (L2TP Network Server) : serveur réseau L2TP, il se trouve généralement dans
l'entreprise ou le service auquel appartient l'utilisateur distant.
Protocole SSTP
(Secure Socket Tunneling Protocol) est un protocole de tunneling qui applique un transfert
sécurisé sur des connexions L2TP ou PPP via un canal SSL 3.0. Il est uniquement utilisé pour
des connexions de clients à distance et utilise le SSL pour le transfert et le cryptage des données.
Il utilise le plus souvent le port TCP 443. En ce qui concerne la sécurité, ce protocole s’avère
être bien supérieur à L2TP ou PPTP. C'est l'un des protocoles VPN les plus stables avec une
vitesse similaire au PPTP, même s'il faut plus de temps pour obtenir la connexion initiale. Il
est cependant plutôt compliqué à installer pour un novice et ne peut être utilisé uniquement que
sur Linux, BSD, et les versions Windows postérieures à Vista SP1 (et donc à tous les Windows
depuis : Windows 7, Windows 8, Windows 10...) il supporte des chiffrements forts et évite la
plupart des pare-feu. Cependant, il vise avant tout les systèmes d'exploitation Windows et son
implémentation n'est pas open source
Protocole SSL
Secure Socket Layer est protocole permettant de sécuriser les échanges sur internet.
Développé à l'origine sous le nom SSL par Netscape, l'IETF en reprend le développement en le
rebaptisant TLS. Ce sont des protocoles très largement utilisé.
Le protocole SSL se base sur une phase de négociation dans laquelle le client et serveur peuvent
définir le niveau de sécurité voulu et s’authentifier. Ensuite, ils peuvent se communiquer.
Le VPN SSL offre un accès sécurisé aux applications principalement basé sur le Web. Etant
donné que le SSL utilise un navigateur Web, les utilisateurs n'ont généralement pas à utiliser
de logiciel client spécifique sur leurs ordinateurs.
VPN SSL fonctionne au niveau de la couche session du modèle OSI. Et du fait que le client
est un navigateur web, seules les applications qui prennent en charge un navigateur web peuvent
utiliser cette solution VPN. Par conséquent, des applications telles que Telnet, FTP, SMTP,
POP3, téléphonie IP, le contrôle de bureau à distance, et d'autres ne peuvent fonctionner avec
un SSL VPN.
Protocole TLS
Transport Layer Security (TLS), quant à lui, il est l’évolution de SSL après sa reprise par
IETF. Il remplace aujourd’hui SSL dans la plupart des navigateurs. Avant 2015, tous les VPN
utilisaient le cryptage Secure Socket Layer. Depuis lors, les VPN ont adopté le successeur de
SSL, le protocole Transport Layer Security (TLS). TLS est utilisé pour crypter tous les paquets
de données voyageant entre un appareil connecté à Internet et un serveur VPN SSL.
Chaque protocole présenté permet de réaliser des solutions performantes de VPN. Nous allons
ici aborder les points forts et les points faibles de chacun de ses protocoles.
VPN-SSL :
Présentée comme la solution miracle pour permettre aux itinérants de se connecter aux
applications réparties de l'entreprise, les VPN-SSL (Secure Stocket Layer, Virtual Private
Network) souffrent de problèmes principalement liés aux navigateurs web utilisés. Le but
d'utiliser des navigateurs web est de permettre aux utilisateurs d'utiliser un outil dont ils ont
l'habitude et qui ne nécessite pas de configuration supplémentaire. Cependant lorsqu'un
certificat expire l'utilisateur doit aller manuellement le renouveler. Cette opération peut poser
problème aux utilisateurs novices. De plus sur la majorité des navigateurs web la consultation
des listes de certificats révoqués n'est pas activée par défaut : toute la sécurité du protocole SSL
reposant sur ces certificats ceci pose un grave problème de sécurité. Rien n'empêche de plus le
client de télécharger une version modifiée de son navigateur pour pouvoir utiliser de nouvelles
fonctionnalités (skins, plugins, etc.). Rien ne certifie que le navigateur n'a pas été modifié et
que son autorité de certification en soit bien une. Enfin un autre problème lié à l'utilisation de
navigateurs web comme base au VPN est leur spécificité au monde web. En effet par défaut un
navigateur n'interceptera que des communications HTTPS (HyperText Transfert Protocol) ou
éventuellement FTPS (File Transfert Protocol). Toutes les communications venant d'autre type
d'applications (Microsoft Outlook, ou une base de données par exemple) ne sont pas supportées.
Ce problème est généralement contourné par l'exécution d'une applet Java dédiée dans le
navigateur. Mais ceci implique également la maintenance de cette applet (s'assurer que le client
possède la bonne version, qu'il peut encore la télécharger au besoin).
L'idée suivant laquelle le navigateur web est une plate-forme idéale pour réaliser des accès VPN
est donc sérieusement à nuancer.
PPTP :
Le protocole PPTP (Point to Point Tunneling Protocol) présente l'avantage d'être complètement
intégré dans les environnements Windows. Ceci signifie en particulier que l'accès au réseau
local distant pourra se faire via le système d'authentification de Windows NT : RADIUS
(Remote Authentication Dial-In User Service) et sa gestion de droits et de groupe. Cependant
comme pour beaucoup de produit Microsoft la sécurité est le point faible :
o Mauvaise gestion des mots de passe dans les environnements mixtes Windows 95/NT ;
o Faiblesses dans la génération des clés de session : réalisé à partir d'un hachage du mot
de passe au lieu d'être entièrement générées au hasard ;
o Faiblesses cryptographiques de la version 1 du protocole Microsoft CHAP (Challenge-
Handshake Authentication Protocol) corrigées dans la version 2 mais aucun contrôle sur
cette version n'a été effectué par une entité indépendante.
o Identification des paquets non implémentée : vulnérabilité aux attaques de type «
spoofing ».
L2TP/IPSec :
Les mécanismes de sécurité mis en place dans le protocole IPSec sont plus robustes et plus
reconnus que ceux mis en place par Microsoft dans le protocole PPTP. Par défaut le protocole
L2TP utilise le protocole IPSec. Cependant si le serveur distant ne le supporte pas, le protocole
L2TP pourra utiliser un autre protocole de sécurité. Il convient donc de s'assurer que l'ensemble
des équipements d'un VPN L2TP implémente bien le protocole IPSec.
Le protocole IPSec ne permet d'identifier que des machines et non pas des utilisateurs. Ceci est
particulièrement problématique pour les utilisateurs itinérants. Il faut donc prévoir un service
d'authentification des utilisateurs. Dans le cas de connexion dial-up c'est l'identifiant de
connexion qui sera utilisé pour authentifier l'utilisateur. Mais dans le cas de connexion via
Internet il faudra prévoir une phase d'authentification supplémentaire à l'établissement du
tunnel. D'autre part. le protocole IPSec n'offre aucun mécanisme de QoS, ce qui limite ses
applications : toutes les applications de voix sur IP ou de vidéo sur IP sont impossibles ou seront
amenées à être complètement dépendantes des conditions de trafic sur le réseau public.
Enfin le protocole IPSec à cause de la lourdeur des opérations de cryptage/décryptage réduit les
performances globales des réseaux. L'achat de périphériques dédiés, coûteux est souvent
indispensable.
Le protocole MPLS est aujourd'hui la solution apparaissant comme la plus mature du marché.
La possibilité d'obtenir une QoS garantie par contrat est un élément qui pèse fortement dans la
balance des décideurs. Cependant, seuls des opérateurs spécialisés fournissent ce service, ce
qui peut poser de nouveaux problèmes. Tout d'abord, ce sont ces opérateurs de services qui
fixent les prix. Ce prix inclus forcement une marge pour le fournisseur de service. D'autre part,
certaines entreprises ne souhaitent pas sous- traiter leurs communications à un seul opérateur.
Cependant utiliser plusieurs opérateurs pour la gestion du VPN complique d'autant la gestion
et la configuration de celui-ci.
MPLS IPSec
En définitive, les outils nous permettant de réaliser des VPN sont nombreux. Néanmoins, le
choix de ces outils a été appuyé par des raisons telles que : la minimisation des coûts, la
maximisation des performances souhaités, la prévision des services attendus… Le juste milieu
qui respecte les contraintes de coût, de performances et de délai. Nous retenons donc qu’on
réalisera donc une architecture réseau operateur (appelée Backbone) grâce au protocole MPLS,
et un VPN sur les sites distants.
Le Simulateur GNS3
GNS3 (Graphical Network Simulator version 3) est un logiciel libre de simulation (ou
émulation) des réseaux informatiques, conçu pour les étudiants et les professeurs. Il est centré
sur la réalisation de topologies pour que les utilisateurs puissent s’entraîner ou tester le bon
fonctionnement d'une architecture réseau avant de l'appliquer sur une vraie installation.
Présentation de GNS3 :
La figure 26 montre la fenêtre de GNS3 dans laquelle est réalisée toutes les topologies à simuler.
On distingue à l’extrême gauche et au-dessus, la barre d’outils ; la partie déroulée à gauche
montre les équipements correspondants au type sollicité (dans la figure 26 ce sont tous les
équipements installés) ; la partie en bas affiche les messages d’erreur de la console ; les parties
à droite sont respectivement l’ensemble des serveurs connectées au simulateur et l’ensemble
des équipements que ces serveurs hébergent.
En plus de cela, Wireshark, une application d’analyse de paquets libre et gratuit. Elle nous
permettra de capturer le trafic sur eNSP.
III.2.1 Architecture
Elle a été choisie en se basant sur les notions théoriques et l’existant vus précédemment dans
notre dit document ainsi que de ressources matérielles mises à notre disposition.
Ce tableau montre le plan d’adressage du Backbone. Il est constitué de huit routeurs dont les
PE (Provider Edge) et P (Provider). Les abonnés APN-Yaounde, APN-Kribi sont des CE
(Customer Edge), le Backbone constitué des quatres routeurs au centre soit P-5, P-6, P-7, P-8.
On y a ajouté des interfaces virtuelles appelées « interface loopback » qui bouclent les
protocoles qui y sont implémentés.
NB : Dans un Backbone, tous les routeurs sont des passerelles les uns pour les autres.
III.2.2 Configurations
pourra ensuite, utiliser ce label pour tous les paquets correspondant à cette classe
d’équivalence qu’il lui envoie. Le LSR comprendra ainsi qu’il s’agit de paquets appartenant
à cette classe et il pourra les commuter sans analyser l’en-tête IP.
Il s’agira pour nous de configurer l’authentification entre les LSR voisins en d’autres
termes nous allons attribuer des mots de passe entre les voisins pour assurer une sécurité
lors de la transmission.
Etape 6 : Configuration des protocoles de routage sur les routeurs MPLS et non
MPLS
Dans cette dernière étape, on revoit le protocole précèdent dans les routeurs de bordure pour
qu’ils partagent leurs routes aux protocoles de routage externes. Pour le faire, on utilise la
commande du protocole et la commande « address-family ipv4 vrf » suivie du nom du tunnel.
III.3 Résultats
Avec l’outils de Capture des Packet Wireshark, Nous avons capturé les Packet lors d’un ping
effectué,
Figure 35 Capture du Traffic par Wireshark des packet entre P-7 et P-8
Les figures montrent que les paquets des protocoles circulent. Les protocoles de routage RIP,
OSPF font des paquets (Hello) à tous les routeurs du réseau, ce qui leur permet de tester le
voisinage.
Avec la commande Show IP Route, nous vu apparaître à partir du Routeur APN-Yaounde étant
interne à l’entreprise, la route pour se rendre au réseau 2.0.0.0 /24 soit celui de l’interface
loopback 0 du Routeur APN-Kribi preuve du fonctionnement efficient des routages ensembles.
Ces résultats nous prouvent la véracité de la viabilité de l’interconnexion distante sécurisée par
le biais d’une ligne spécialisée au moyen du VPN.
CONCLUSION
Parvenus au terme de notre étude qui visait à permettre la communication distante et sécurisée
entre les sites de l’Autorité Portuaire Nationale, pour gain en temps qui présente un atout
considérable dans le monde professionnel, il était question pour nous d’apporter une solution
rapide, moins couteuse et efficace pour la bonne marche de notre entreprise et c’est la raison
pour laquelle le choix de notre thème s’est porté sur l’INTERCONNEXION DISTANTE
SECURISEE : CAS DE L’APN.
A cet effet, nous avons la Présenté de l’existant, définis les architectures distantes
sécurisées, et la création d’une solution d’accès distant sécurisée pour l’APN en utilisant une
liaison spécialisée au travers du protocole MPLS.
Il en ressort que les VPN se présente comme solution idéale (sur le plan financier) pour la
délocalisation géographique. Le MPLS quant à lui, se présente comme solution ayant une
architecture plus évolutive et dédiée à l’entreprise.
Nous avons obtenu dans cette architecture un taux de 1% de paquets perdus et une
authentification dans le réseau pour garantir sa sécurité.
Nous avons néanmoins envisagés comme perspectives d’évolution dans nos recherchent une
cumulation avec le protocole IPsec ou un service cloud.
RÉFÉRENCES BIBLIOGRAPHIQUES
WEBOGRAPHIE
http://dataconnect.hdtechnology.com/produits/262-exemple-de-topologie-en-
cascade.html#tabs|Produit:Options_complementaires Consulté le 09 Octobre 2022
https://www.commentcamarche.net/contents/508-le-concept-de-reseau
Consulté le 09 Août 2022
https://www.futura-sciences.com/tech/definitions/internet-internet-3983/
Consulté le 12 Octobre 2022
https://mathieu-androz.developpez.com/articles/linux/vpn/ Consulté le 13
Octobre 2022
https://www.server-world.info/en/note?os=Fedora_30&p=dns&f=1 25
septembre 2019 9h27
https://community.spiceworks.com/how_to/140513-joining-a-fedora-25-host-
to-a-local 17 septembre 2019
http://denisrosenkranz.com/tuto-certificat-ssl-gratuit-avec-lets-encrypt/
https://kifarunix.com/install-apache-on-fedora-30/ 19 Août 2022
https://certbot.eff.org/lets-encrypt/fedora-apache.html Octobre 03/08/2019
11h06