Les VPN

Bernard Cousin

Plan
Prsentation des VPN VPN de niveau 3
(IPsec)

VPN de niveau 2
PPTP GRE (PPP)

Conclusion VLAN
1er dcembre 2008

Virtual Private Network

Rle des VPN

Un "Virtual Private Network" :
Rseau :
Un rseau numrique de tlcommunication

Prive
Qui interconnecte les sites, rseaux locaux ou ordinateurs distants appartenant un mme organisme (et seulement ceux-ci)

Virtuel
Grace des liaisons virtuelles qui s'appuient sur une infrastructure de communication sous-jacente
A1

VPN A :
Infrastructure de communication
A2

VPN B :

A3

1er dcembre 2008

Virtual Private Network

Les services des VPN

Les services des VPN
Un VPN rend un service d'interconnexion grande distance de qualit similaire un rseau local
Fiabilit, disponibilit, performance Scurit Faible cot car l'infrastructure est partage

Le service offert par le fournisseur de VPN l'usager du VPN est dfini contractuellement

1er dcembre 2008

Virtual Private Network

Infrastructure sous-jacente
L'infrastructure sous-jacente peut tre :
Un rseau international accs publique Une partie d'un rseau ddi

Historiquement en France
Liaisons spcialises Rseaux tlphoniques X.25 Frame Relay Numris (ISDN) ATM (B-ISDN)

Aujourd'hui
MPLS Internet
1er dcembre 2008

Virtual Private Network

La prhistoire des VPN

Rseaux prives
A base de liaisons numriques spcialises (LS) loues un oprateur
Le cot est fixe

Une liaison permet la transmission d'un signal quelconque

Le signal transmis doit tre compris dans la bande de frquence ngocie mais le dbit peu tre important (par ex. T1 : 1,5 Mbit/s)

Mais l'ajout d'une liaison

Limite par la couverture de l'oprateur Requiert un dlai trs important
L'tablissement de la liaison est manuel
modem Site A
LS

Site central Site D

LS

Site B

1er dcembre 2008

Virtual Private Network

L'histoire des VPN : le tlphone

Utilisation du rseau tlphonique
Couverture mondiale et trs dense Composition automatique de numro partir de n'importe quel point d'accs au tlphone
Grande mobilit

Mais
Le dbit par ligne est limit (64 kbit/s) La gestion de multiples lignes sur un mme site est complexe Le cot dpend de la dure des connexions
Modem tlphonique Site A Rseau tlphonique Site D Commutateur tlphonique Site central

Site B

Site B

1er dcembre 2008

Virtual Private Network

Le tlphone et IP
L'internet utilise le rseau tlphonique
PPP est utilis sur la liaison tlphonique
Le paquet IP est encapsul dans la trame PPP

Une passerelle fait l'interface entre rseau tlphonique et IP

La passerelle de l'ISP est locale
Le cot est celui d'une communication tlphonique locale

La passerelle peut tre localise au sein du site du client

Ce principe est repris pour l'ADSL : modem ADSL/passerelle ADSL

Terminal avec modem tlphonique PPP

IP

Routeur IP Station IP Site distant

Passerelle tlphoniquerouteur IP Rseau tlphonique Rseau internet

1er dcembre 2008

Virtual Private Network

L'histoire des VPN : les rseaux numriques

Utilisation de rseaux numriques
Par ex. X.25, Frame Relay, ISDN, ATM, etc. Le dbit peut tre adapt aux besoins, les connexions sont tablies automatiquement

Mais
Couverture variable et peu dense quipements d'interconnexion spcialiss Le cot dpend du volume des donnes transmises

Routeur Site A Rseau numrique Site D Routeur Site central

Site B

1er dcembre 2008

Virtual Private Network

L'histoire des VPN : l'Internet

Utilisation de l'internet
Le dbit peut tre adapt aux besoins, les connexions sont tablies automatiquement, le cot est trs faible L'interconnexion peut tre ralis en s'appuyant sur n'importe quel autre rseau numrique (par ex. tlphonique)
L'interconnexion est totale

Mais
La protection des donnes transmises n'est pas assure La protection des sites n'est pas assure

Routeur IP Site A Rseau Internet Terminal D autre rseau Site B Routeur IP Site central

1er dcembre 2008

Virtual Private Network

10

La scurisation des VPN de l'Internet

Il faut dployer un systme de scurit
Protger les sites Protger les communications inter-sites Autoriser les accs distants aux services extranet
Par n'importe qui

Autoriser les accs licites distants aux services intranet

partir de potentiellement n'importe o (terminaux mobiles)

1er dcembre 2008

Virtual Private Network

11

La scurisation des VPN

On peut dployer un systme de scurit
Au niveau 2
Par ex. PPTP ou L2TP

Au niveau 3
Par ex. IPsec Cf. chapitre correspondant

Au niveau 4
Par ex. SSL ou TLS Cf. chapitre correspondant

Au niveau applicatif
Par ex. ssh

1er dcembre 2008

Virtual Private Network

12

La scurisation des VPN pour et par Internet

La scurisation de l'Internet
Transmission sre des donnes
Par ex. IPsec Cf. polycopi sur IPsec

Filtrage des communications

Firewall

Distribution des clefs

IKE, PKI Cf. polycopi

Contrle d'accs, authentification

Radius Certification X.509 "Lightweight Directory Access Protocol"

Etc.
1er dcembre 2008

Virtual Private Network

13

La scurisation du niveau 2 par tunnels

Les protocoles de "tunnelling" de niveau 2
Point to Point Tunnelling Protocol
Conu par Microsoft Remplac par L2TP

Layer 2 Forwarding
Protocole Cisco Remplac par L2TP

Layer 2 Tunneling Protocol

Transport de session PPP au-dessus de rseaux tels que l'Internet, Frame Relay, X.25 ou ATM Pour l'Internet cela se passe au-dessus de IP+UDP

1er dcembre 2008

Virtual Private Network

14

PPTP
PPTP permet d'implmenter les VPN point point
PPTP est une extension de PPP
PPP permet d'utiliser le rseau tlphonique public comme rseau d'accs PPP permet de transporter en point point des paquets IP, IPX, NetBEUI, NetBIOS, etc.

PPTP permet d'encapsuler et de transmettre (c.--d. de "tuneller") des trames PPP sur un rseau IP
Utilise l'Internet comme rseau de distribution

Il n'offre pas service de scurit

Le protocole tunnell (par ex. PPP) doit fournir ce service

Compatible RFC 2637 ("not an IETF standard"), 1999

Propos par Microsoft (prsent par dfaut dans les OS Windows)

1er dcembre 2008

Virtual Private Network

15

Les canaux de communication de PPTP

Le protocole PPTP ouvre deux canaux de communication entre le client PPTP et le serveur PPTP:
Une connexion de contrle du tunnel PPTP
Connexion TCP sur port 1723

Le tunnel PPTP
Un canal de donnes pour les trames PPP (pouvant tre scurises) Utilisant GRE ("Generic Routing Encapsulation") vers transiter sur IP

1er dcembre 2008

Virtual Private Network

16

Scnario typique de PPTP

Les principaux acteurs
Le client PPP, PPTP et d'application Le serveur d'accs l'Internet (NAS) Le serveur PPTP Le rseau priv Le serveur d'application
Connexion l'Internet

Les diffrentes phases

tablissement de la connexion PPP sur le rseau tlphonique Etablissement de la connexion TCP vers le serveur PPTP Etablissement de la connexion de contrle PPTP et configuration du tunnel scuris Transport scuris des donnes sur le tunnel PPTP vers le serveur d'application

Serveur d'application Rseau priv

1er dcembre 2008

Virtual Private Network

17

Le protocole PPP dans PPTP

Le protocole PPP est utilis
1. Sur le liaison d'accs
S'il y a un rseau tlphonique entre le client PPTP et le RAS Entre le client PPTP et le serveur PPTP Pour transporter n'importe quel paquet protocolaire du client vers le rseau prive

2. Comme protocole de tunnel VPN

1er dcembre 2008

Virtual Private Network

18

Adressage et encapsulation dans PPTP

Un adressage non routable (adresse prive) peut tre utilis par le client et le rseau priv

1er dcembre 2008

Virtual Private Network

19

Phase d'tablissement de connexion PPP au-dessus du rseau tlphonique

Les sessions PPTP sont dmarres par un client appelant le serveur d'accs l'internet d'un ISP. Le protocole PPP (RFC 1661)
est utilis pour crer la connexion au-dessus du rseau tlphonique entre le client et le serveur d'accs l'internet Etablit et maintient des connexions PPP entre des ordinateurs distants. Authentification des utilisateurs par l'ISP. Les clients PPTP sont authentifis en utilisant le protocole PPP. Du texte en clair, crypt ou l'authentification crypte de Microsoft peuvent tre utiliss par le protocole PPP. Transmission des trames PPP un client et le serveur d'accs rseau (il peut tre scuris).

1er dcembre 2008

Virtual Private Network

20

10

Phase d'tablissement de connexion PPP au-dessus du rseau tlphonique

1er dcembre 2008

Virtual Private Network

21

La connexion TCP
Une connexion TCP est cre entre le client et le serveur PPTP
Pour tablir une connexion de contrle pour PPTP Sur port 1723

1er dcembre 2008

Virtual Private Network

22

11

La connexion de contrle de PPTP

Connexion de contrle est tablie entre le client PPTP et le serveur PPTP
Au sein d'une connexion TCP tablissement et contrle du tunnel PPTP

Ici le terminal est le client PPTP. Cela peut-tre le NAS si le client n'est pas PPTP et si son ISP fournit un service PPTP
1er dcembre 2008

Virtual Private Network

23

Les messages de contrle de PPTP

PPTP utilise les messages de contrle suivants :
PPTP_START_SESSION_REQUEST PPTP_START_SESSION_REPLY session PPTP_ECHO_REQUEST PPTP_ECHO_REPLY session PPTP_WAN_ERROR_NOTIFY PPTP_SET_LINK_INFO PPTP_STOP_SESSION_REQUEST PPTP_STOP_SESSION_REPLY Etablissement d'une session Confirmation d'tablissement d'une Requte de maintien de la session Rponse une requte de maintien de Notifie une erreur dans la connexion PPP Configure la connexion Termine la session Rponse la requte de fin de session

1er dcembre 2008

Virtual Private Network

24

12

Phase d'tablissement du tunnel PPP

Le protocole PPP est utilis pour crer la connexion scurise entre le client et le serveur PPTP
Le protocole PPP tablit et maintient des connexions PPP entre des ordinateurs distants. Authentification des utilisateurs Les clients PPTP sont authentifis en utilisant le protocole PPP. Du texte en clair, crypt ou l'authentification crypte de Microsoft peuvent tre utiliss par le protocole PPP. Transmettre des datagrammes PPP qui contiennent des paquets crypts IPX, NetBEUI ou TCP/IP Parce que les paquets sont crypts, tout le trafic entre un client PPP et le serveur PPTP est scuris.

1er dcembre 2008

Virtual Private Network

25

Transmission des donnes

Les donnes sont transmises, une fois le tunnel PPTP tabli
Les donnes d'application sont transmises par n'importe quel empilement protocolaire compatible avec le rseau priv,
Par ex. dans des segments TCP dans des datagrammes IP.

encapsules dans des trames PPP

Qui mettent en uvre une transmission scurise

Ces trames PPP sont placs dans des paquets IP et traversent l'internet
grce une version modifie du protocole Generic Routing Encapsulation (GRE) (RFC 1701 et 1702).

Ou n'importe quel protocole LdD appropri aux rseau d'accs puis de transit

Dpend du rseau priv

chiffr

1er dcembre 2008

Virtual Private Network

26

13

Conclusion pour PPTP

PPTP franchit difficilement les "firewalls"
cause du double canal

PPTP peut-tre authentifier grce

MS-Chap2
Bas sur le mot de passe
attention aux mots de passe mal choisis

Peut utiliser MD4

EAP-TLS
Utilise des certificats

PPTP peut tre protger grce

Microsoft Point-to-Point Encryption (RFC 3078) PPTP ne permet pas le multipoint
1er dcembre 2008

Virtual Private Network

27

GRE
Le protocole GRE est utilis
Pour encapsuler les paquets de toute sorte dans des paquets de transport
Ici, pour les VPN PPTP
Pour encapsuler des trames PPP dans des paquets IP

Pour leur faire traverser un tunnel point point

Ici, pour traverser l'Internet au sein d'un tunnel PPTP

GRE offre un contrle de flux et de congestion RFC 2787, 2890, compatible avec PPTP et L2TP
+--------------------------------------+ | En-tte IP | +--------------------------------------+ | En-tte GRE | +--------------------------------------+ | En-tte PPP | +--------------------------------------+ | Chargement PPP crypt | +--------------------------------------+

1er dcembre 2008

Virtual Private Network

28

14

Paquet GRE
Entte de paquet GRE
0 1 2 3 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ |C|R|K|S|s|Recur|A| Indicateurs | Ver | Type de protocole | +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ | Contrle d'erreur (facultatif)| Offset (facultatif) | +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ |Cl (HW) Longueur du chargement| Cl (LW) ID du flux | +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ | Numro de squence (facultatif) | +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ | Numro d'accus de rception (facultatif) | +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ | Routing (facultatif) | +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+

1er dcembre 2008

Virtual Private Network

29

Les champs et paramtres de GRE

+------------------------------------------------------------------------------+ | C | (Bit 0) Champ de contrle prsent. Initialise zro (0). | +------------------------------------------------------------------------------+ | R | (Bit 1) Champ offset prsent. Initialis zro (0). | +------------------------------------------------------------------------------+ | K | (Bit 2) Cl prsente. Initialise un (1). | +------------------------------------------------------------------------------+ | | (Bit 3) No de squence prsent. Initialis 1 si un | | | paquet de chargement (donnes) est prsent. Initialis | | S | zro (0) si un chargement n'est pas prsent (le paquet | | | GRE est en mode accus de rception seulement). | +------------------------------------------------------------------------------+ | s | (Bit 4) Routage strict par la source prsent. Init. 0. | +------------------------------------------------------------------------------+ | Recur | (Bits 5-7) Nombre d'encapsulation permises. Init. zro. | +------------------------------------------------------------------------------+ | A | (Bit 8) Numro d'accus de rception prsent. Initialis | | | un (1) pour connatre les donnes correctement transmises. | +------------------------------------------------------------------------------+ | Checksum | Standard IP checksum | +------------------------------------------------------------------------------+ | Offset | L'entre active pour le Source Routing | +------------------------------------------------------------------------------+ |Type de protocole| Ox880B pour PPP, 0x800 pour IP, etc. | +------------------------------------------------------------------------------+
1er dcembre 2008

Virtual Private Network

30

15

Les champs des paquets GRE

+------------------------------------------------------------------------------+ | Cl (HW) Longueur du chargement | (2 octets) Champ Key : Taille du | | | chargement, non compris l'en-tte de GRE. | +------------------------------------------------------------------------------+ | Cl (LW) Appel ID | (2 octets bas) Champ Key: ID du flux auquel| | | appartient ce paquet . | +------------------------------------------------------------------------------+ | Numro de squence | Contient le numro de squences du | | | paquet. Prsent si le bit S (Bit 3) est | | | un (1). | +------------------------------------------------------------------------------+ | | Contient le numro de l'accus | | | de rception du paquet le plus lev | | N d'accus de rception | reu par l'homologue expditeur pour cette | | | session. Prsent si le bit A (bit 8) | | | est un (1). | +------------------------------------------------------------------------------+ | Routing | une liste d'entres pour le Source Routing | +------------------------------------------------------------------------------+

1er dcembre 2008

Virtual Private Network

31

PPP
Cf. Chapitre 2 de la partie "Internet et les liaisons" du polycopi "Rseaux Locaux".

1er dcembre 2008

Virtual Private Network

32

16

Conclusion
Le service de VPN peut tre offert par le fournisseur d'accs ou bien par le client et/ou son rseau priv d'entreprise
Le serveur de VPN est proprit et gr
Soit par le fournisseur, soit par l'entreprise

Le terminal du client est

Soit muni de l'environnement ncessaire la gestion du VPN ou bien son ISP lui offre ce service.

1er dcembre 2008

Virtual Private Network

33

Bibliographie
C. Scott, P. Wolfe, M. Erwin, "Virtual Private Networks", O'Reilly, 1999. Support Microsoft

1er dcembre 2008

Virtual Private Network

34

17

VLAN
Virtual LAN
Plusieurs rseaux locaux sont interconnects via the IEEE 802.11Q L'agrgation ("trunking") et la sparation du trafic S'appuie sur le pontage La gestion de priorits est possible Cf. chap. 7 de la partie Ethernet du poly Rseaux locaux D'autres techniques quivalentes
ATM LAN Emulation (LANE) Cisco Inter-Switch Link (ISL)

1er dcembre 2008

Virtual Private Network

35

18