Sécurité

des réseaux
Chapitre 4 : Sécurité des réseaux

1ère année Master RS

Dr. Lamia Hamza

Université de Bejaia
 Plan du chapitre
Cours 1 : Firewall
Cours 2 : Système de détection d'intrusions
Cours 3 : Virtual Private Network (VPN)

2
 Virtual Private Network (VPN)

Définition
Tunnelling
Architectures VPN
Protocoles sécurisés pour VPN
Inconvénients des VPNs

3
 Définition

Les réseaux privés virtuels (VPN : Virtual Private Network)

permettent à l’utilisateur de créer un chemin virtuel sécurisé
entre une source et une destination.

 Il est constitué de liaisons virtuelles sur Internet entre des

sites distants appartenant à une même société ou à un
même organisme.

 En chiffrant les données, tout se passe exactement comme

si la connexion se faisait en dehors d'Internet.

4
 Tunnelling

Le principe du VPN est basé sur la technique du tunnelling.

5
 Tunnelling

Le tunnelling consiste à construire un chemin virtuel après avoir

identifié l’émetteur et le destinataire. Ensuite la source chiffre
les données et les achemine en empruntant ce chemin virtuel.

Le tunneling est l’ensemble des processus d’encapsulation, de

transmission et de désencapsulation.

6
 Architectures VPN

VPN d’accès

L’exemple type est une connexion VPN entre un télétravailleur et

l’intranet de son entreprise. L’utilisateur doit disposer d’une ligne
d’accès à Internet. Sur son ordinateur, il configure une connexion
VPN à l’aide d’un « client » fourni par son entreprise. 7
 Architectures VPN

VPN Intranet

La connexion VPN routeur à routeur reliant deux portions de

réseau privé éloignées mais appartenant à la même entreprise.
L’exemple type est une connexion VPN entre le siège d’une
société et une de ses agences. 8
 Architectures VPN

VPN Extranet

Le VPN Extranet ouvre le réseau local à des partenaires et

des clients. Les sites e-commerces et banques s’en servent
pour permettre aux utilisateurs d’accéder à leurs comptes. 9
 Protocoles sécurisés pour VPN

Les principaux protocoles permettant l’établissement d’un VPN :

 le protocole PPTP (Point to Point Tunnelling Protocol) mis au

point par la société Microsoft ;
 le protocole L2F (Layer Two Forwarding) mis au point par la
société CISCO ;

 le protocole L2TP (Layer Two Tunnelling Protocol) proposé par

l’IETF;
 le protocole IPSec (Internet Protocol Security) proposé par
l’IETF.

10
 PPTP

PPTP encapsule les paquets dans PPP, lui-même encapsulé

dans GRE (Generic Routing Encapsulation).

PPTP permet à PPP d’être transporté dans un tunnel au

travers d’un réseau IP mais n’apporte aucun changement au
protocole PPP. 11
PPTP

12
 L2F

L2F est un protocole de niveau 2, son mode de fonctionnement

est :
 Création d’un tunnel entre l’ISP (Internet Service Provider)
et le serveur d’accès distant.
 Connexion PPP entre le client et l’ISP que celui-ci fait suivre
au serveur d’accès distant via le tunnel L2F.

13
 L2TP

L2TP transporte des trames PPP dans des paquets IP. Il se sert
d’une série de messages L2TP pour assurer la maintenance du
tunnel et d’UDP pour envoyer les trames PPP dans L2TP.

La mise en place d'un VPN L2TP nécessite deux serveurs

d'accès :

14
 L2TP

Les concentrateurs d'accès L2TP, signifiant L2TP Access

Concentrator (LAC).
Le rôle du concentrateur d'accès LAC se limite à fournir un
support qui sera utilisé par L2TP pour transférer le trafic vers un
ou plusieurs serveurs réseau L2TP (LNS signifiant L2tp
Network Server).
15
 IPSec

L2TP n'intègre pas directement de protocole pour le

chiffrement des données. Pour cela, IPSec a été développé
par l’IETF pour fournir des services cryptographiques de
sécurité de la couche Réseau (niveau 3).

IPSec est le protocole le plus utilisé pour la mise en place

des VPN.
IPSec (Internet Protocol Security) est un protocole qui
regroupe une suite de sous-protocoles utilisant des
algorithmes et des services cryptographiques permettant le
transport de données sécurisées sur un réseau IP.

IPSec est compatible avec IPv6 et IPv4.

16
 IPSec

IPsec comprend principalement cinq services fonctionnels :

1. L'authentification: garantit qu'un paquet IP reçu a été

transmis par la partie identifiée comme source dans l'entête
du paquet.

2. L'intégrité : consiste à s'assurer qu'un paquet n'a pas été

altérée accidentellement ou frauduleusement en transit ;

3. La confidentialité : permet aux neouds communicants de

chiffrer les données pour empêcher les écoutes par des
tiers ;

17
 IPSec

4. La protection contre le rejeu : à travers un numéro de

séquence supplémentaire au niveau de l'entête IP, ce
service permet d'empêcher les attaques consistant à
envoyer de nouveau un paquet valide intercepté
précédemment sur le réseau.

5. La gestion des clés : s'occupe de la négociation et l'échange

sécurisés des clés de chiffrement ou de signature.

Ces services sont basés sur des mécanismes

cryptographiques modernes, à savoir : chiffrement
symétrique et asymétrique, signature numérique,
fonction de hachage, et certificat.
18
 IPSec : Modes de fonctionnement

IPSec fonctionne selon deux modes différents : mode transport

et mode tunnel.

Mode transport
Dans le mode transport, ce sont uniquement les données
transférées (la partie payload du paquet IP) qui sont chiffrées
et/ou authentifiées. Le reste du paquet IP est inchangé.

Mode tunnel
En mode tunnel, c'est la totalité du paquet IP qui est chiffré et/ou
authentifié. Le paquet est ensuite encapsulé dans un nouveau
paquet IP avec un nouvel en-tête IP.

19
 IPSec : Modes de fonctionnement

Mode transport
Dans le mode transport, ce sont uniquement les
données transférées (la partie payload du paquet IP)
qui sont chiffrées et/ou authentifiées. Le reste du
paquet IP est inchangé.

Mode tunnel
En mode tunnel, c'est la totalité du paquet IP qui est
chiffré et/ou authentifié. Le paquet est ensuite

20
 SA (Security Association)

 Une connexion TCP nécessite une SA (Security

Association) pour chaque direction.
 Les SA sont identifiées par un index (SPI :Security
Paratmeters Index ) :
• Le SPI permet de retrouver la SA à destination
• Chaque destination crée des SPI uniques pour chaque
protocole (AH, ESP).
• La source indique le SPI sur tous les paquets qu’elle
envoie.
• La destination utilise le SPI pour retrouver la SA qui
décrit comment traiter le paquet reçu.

21
 IPSec : Composants de IPsec

Les différents composants de IPsec sont organisés en trois

catégories :

1) des protocoles de sécurité,

2) des protocoles d'échange de gestion de clés,

3) des bases de données internes.

22
 IPSec : protocoles de sécurité

IPSec autorise deux formats d’en-tête : AH et ESP.

 AH (Authentication Header)
Le protocole AH garantit l’authentification de l’origine des
données, le contrôle d’intégrité de l’ensemble du paquet
(données + en-têtes IP) et des services anti-rejeu. AH ne
garantit pas la confidentialité.

 ESP (Encapsulating Security Payload)

Le protocole ESP est un en-tête de protocole inséré dans un
datagramme IP pour garantir la confidentialité, l’authentification
de l’origine des données, l’anti-rejeu et les services d’intégrité
des données.
23
 L’en-tête AH (Authentication Header)

L’en-tête AH contient :
 Le SPI (Security Paratmeters Index) permet de retrouver
la SA (Security Association) à destination
 Payload length : la longueur des données
 Un numéro de séquence (protection contre le replay)
 Les informations d’authentifications.
 Next Header : Le type de l’en-tête suivant (TCP, UDP,
etc.).
 Reserved: ce champ est réservé pour une futur
utilisation.
Remarque : Data = Payload 24
L’en-tête AH (Authentication Header)

25
 L’en-tête AH (Authentication Header)

L’authentification est faite sur le payload, sur l’en-tête AH et

les champs important de en-tête IP (source, destination
protocole, longueur, etc.).

26
 L’en-tête ESP (Encapsulating Security Payload)

L’en-tête ESP contient :

 Header :
 Le SPI qui permet de retrouver la SA à destination
 Une numéro de séquence (protection contre le replay)

 Payload : données (payload) chiffrées

 Trailer : Padding, Padding length, le type de l’en-tête

suivant chiffré.
 Données d’authentification (optionnel)
27
 L’en-tête ESP (Encapsulating Security Payload)

 Structure d'un entête ESP

 Structure d'un enqueue ESP

 Padding (≤ 255 octets) : contient des bits permettant d'aligner le

payload chiffré pour obtenir une taille de bloc compatible avec le
chiffrement.
 Padding length (1 octet) : Longueur du padding exprimé en octets. 28
 L’en-tête ESP (Encapsulating Security Payload)

 Le chiffrement ne porte que sur les données encapsulées et

le trailer.

 Il ne porte pas sur les champs de l’en-tête et les données

d’authentification.

 L’authentification optionnelle porte sur l’en-tête ESP et tout ce

qui suit, pas sur l’ente IP.

29
L’en-tête ESP (Encapsulating Security Payload)

30
 IPSec : protocoles d'échange de gestion de clés

IKE (Internet Key Exchange), chargé de négocier les

paramètres de sécurité, en s'échangeant les clés
cryptographiques avant qu'une transmission IPsec puisse être
possible.

ISAKMP (Internet Security Association Key Management

Protocol), a pour rôle de créer, modifier ou supprimer des SA
actives entre les entités IPsec.

31
 IPSec : bases de données

Base de données SPD (Security Policy Database), qui est

utilisée pour savoir quelle est la stratégie à appliquer
(utilisation de IP ou IPsec) à chaque paquet IP reçu ou à
émettre,

Base de données SAD (Security Association Database), qui

est consultée pour savoir comment appliquer les mécanismes
de sécurité sur les paquets IP.

32
 IPSec : Principe de fonctionnement

Afin de sécuriser le routage des paquets IP, le protocole IPsec

effectue plusieurs opérations résumées en trois phases :

1. Gestion et échange des paramètres de sécurité :

Avant d'établir une connexion IPsec, les clés de sécurité sont

d'abord négociées puis échangées en utilisant le protocole
IKE. Par ailleurs, le sous protocole ISAKMP est utilisé pour
définir une association de sécurité (SA) contenant tous les
paramètres utilisés pour la sécurisation des paquets émis et
reçus ;

33
 IPSec : Principe de fonctionnement

2. Enregistrement des paramètres de sécurité : Au niveau de

chaque entité IP, les SA actives associées aux différentes
entités IPsec sont stockées dans une base de données
appelée SAD. Par ailleurs, la base de données SPD est
aussi utilisée pour savoir quelle stratégie il faut appliquer à
chaque paquet IP reçu ou à émettre.

3. Transmission sécurisée des paquets : Une fois les clés de

sécurité négociées, échangées et sauvegardées au niveau
des extrémités Ipsec. IPsec peut alors établir une connexion
sécurisée en utilisant l'un des deux protocoles AH et ESP.

34
 Alternative : SSL VPN

 SSL (Secure Socket Layer) utilise un navigateur et

HTTPS;

 Redirige d’une manière plus au moins sûre le traffic du

client vers le réseau de l’entreprise en passant par la
connexion HTTPS.

Le principe du protocole SSL sera enseigné dans le chapitre

5.

35
 Inconvénients des VPNs

 Une connexion Internet plus lente.

 Un blocage de l’accès à certains services (comme Netflix).
 L’utilisation illégale des VPNs.
 Ne pas savoir si le chiffrement fournit par votre VPN est
robuste.
 La revente de vos données à des tiers.
 Les pertes de connexion.
 VPN gratuits : parfois pires qu’aucune protection.
 Etc.
36
 Question

Pourquoi un VPN est un dispositif illégal dans certains pays ?

37
 FIN DU
COURS 3
(CHAPITRE 4)
38