Projet de Cryptologie:

SSL VPN

Professeur:
M. Youssef

Exposants:

Diouf
Mariam Osman
Habone Mohamed
2

Sommaire
1. Introduction
2. Quest-ce quun VPN SSL
3. Avantages et Inconvnient de VPN SSL
4.Technologie de VPN SSL
5. Les types de VPN SSL
6.Configuration d'un VPN SSL sans client (Web VPN) sur ASA

1. Introduction
Le rseau est au cur de la productivit dune entreprise, et volue
en mme temps quelle au fil de sa croissance.
Le rseau qui relie lensemble des quipements au sein dun mme
site gographique est gnralement la proprit de lentreprise,
tandis que les interconnexions entre ses sites empruntent soit des
lignes loues ou le plus souvent des infrastructures publiques ou du
moins non scurises.
Certaines entreprises nont pas les moyens, ni parfois mme
lintrt, davoir des liens dinterconnexion ddie. La mise en place
dune interconnexion par Rseau Priv Virtuel VPN peut leur
permettre alors de connecter leurs propres rseaux au travers dun
rseau public, en particulier Internet, des cots beaucoup plus
faibles tout en conservant les garanties de scurit ncessaires.
On appelle Rseau Priv Virtuel, en anglais Virtual Private Network
ou donc VPN , lensemble des techniques permettant dtendre le
Rseau de lentreprise en prservant la confidentialit des donnes
(Priv) et en traversant les barrires physiques des rseaux
traditionnels (Virtuel).

2.Quest-ce quun VPN SSL?

SSL VPN (Secure Sockets Layer Virtual Private Network) est

un type de VPN qui fonctionne au-dessus de Transport Layer
Security (TLS) et qui est accessible avec un navigateur
web via https. Il permet aux utilisateurs d'tablir une connexion
scurise au rseau intranet depuis n'importe quel navigateur
Web. Plusieurs fournisseurs proposent des solutions VPN SSL.

3.Avantages et Inconvnients
Les solutions VPN SSL sont idales pour les clients qui utilisent des navigateurs web
pour interagir avec les applications d'une entreprise. Voici une brve liste des
avantages du VPN SSL:
Aucun logiciel supplmentaire ne doit tre install sur les postes
des utilisateurs.
On peut accder des applications en toute scurit depuis
n'importe quel endroit, on na besoin que d'une machine munie
un navigateur web.
Une trs grande varit de navigateurs Web est prise en charge.
Peu de formations sont ncessaires pour les utilisateurs (user
friendly).
Les utilisateurs peuvent gnralement tre authentifis grce
plusieurs mthodes, y compris les mots de passe statiques, les
certificats, ou les services d'annuaire. Avec les services
d'annuaire, un unique processus de connexion est utilis pour
lauthentification de l'utilisateur auprs de passerelle SSL, en plus
de l'authentification auprs du service d'annuaire.

INCONVENIENTS

Le VPN ncessite une comprhension dtaille des questions de scurit

rseau et une installation et une configuration soigne pour assurer une
protection suffisante sur un rseau public comme Internet. La fiabilit et la
performance d'un VPN sur Internet n'est pas sous le contrle direct d'une
organisation. Au lieu de cela, la solution repose sur un FAI et leur qualit de
service. Les technologies VPN de diffrents fournisseurs peuvent ne pas
bien fonctionner ensemble en raison de normes encore immatures. Le VPN
doit tenir compte des autres protocoles de rseaux internes afin de ne pas
crer des incompatibilits.

4. Technologie de VPN SSL

Comme la technologie SSL VPN est devenue plus avanc et a
rapidement t dploye ces dernires annes, elle a attir
l'attention des administrateurs rseau qui sont la recherche dune
solution VPN daccs distant qui fournit un accs universel, avec
un dploiement et une gestion faible cot. l'heure actuelle,
aucune norme officielle n'existe pour les technologies de VPN SSL,
divers fournisseurs utilisent leurs propres implmentations.
Les VPN transportent le trafic priv sur des rseaux publics. Un VPN
scuris doit donc satisfaire les exigences de base suivantes:
LAuthentification garantit que l'entit VPN communique avec
lquipement destine. elle peut s'appliquer soit un dispositif VPN ou un
utilisateur VPN.
La confidentialit garantit la confidentialit des donnes par le cryptage
ces dernires.
L'intgrit du message garantit que le contenu des donnes n'a pas t
altr pendant la transmission.

Hachage
Le cryptage :
le cryptage symtrique
le cryptage asymtrique
Signature:
numrique
Certification numrique

5. Types de VPN SSL

Les diffrents types de VPN SSL:
VPN SSL sans client : Un client distant a seulement
besoin dun navigateur web compatible SSL pour
accder des serveurs Web HTTP ou HTTPS sur le LAN
de lentreprise
VPN SSL de client lger(transmission du port): Un client distant doit
tlcharger un petit applet Javas pour laccs scuris des
applications TCP qui utilisent des numros de port statiques.
Client de VPN SSL (mode de SVC-tunnel):lutilisateur tlcharge
un petit client poste de travail distant et permet un accs total et
scurit aux ressources sur les rseaux dentreprise interne. Le SVC
peut tre tlcharg de manire permanente sur le poste de travail
distant, ou il peut tre supprim pres la fin de la session scuris.

10

6.Configuration d'un VPN SSL sans client sur ASA

11

Topologie

Le client win7 est connect internet via un

routeur FAI
L'interface outside de ASA1 est connecte au
FAI
Ici le LAN est compos d'un serveur web
connect l'interface inside du firewall par un

12

1 Attribution des
paramtres IP
Au niveau de firewall

13

Au niveau FAI

14

Dfinition des interfaces "inside" et "outside" du

firewall

15

3.2 Configuration du routage avec le

protocole RIPv2:
Au niveau du routeur

16

Au niveau de Asa

17

3.3 Test de connectivit entre les

rseaux
Du FAI vers l'interface "outside" du firewall

De Asa1 au FAI

18

Du pc distant au rseau 192.168.20.0

Du serveur linterface inside

19

3.4 Chargement

de lasdm dans le firewall:

ASDM: Adaptative Security Device Manager , est

loutil java permettant de grer le firewall avec
une interface web conviviale. On doit transfrer le
fichier asdm-641.bin du serveur http vers le
firewall en utilisant le protocole ftp. Avant de
charger asdm sur le firawall, il faut vrifier la
connectivit entre le firewall et la machine
correspondante.
Prrequis:
Avoir paramtr un dossier partag entre les
machines virtuelles et la machine physique;
dossier dans lequel on mettra limage asdm641.bin et loutil TFPT32 (pour luploading du
fichier).
Possder et installer le JRE de java sur les

20

Activation de http sur le firewall

On active le serveur http,

On attribue une adresse rseau(adresse du LAN), un masque et
une interface au serveur http,
On cre un utilisateur adja avec le password passer et le
privilege 15 .

21

 On possde un dossier partag avec la machine physique

sur notre machine virtuelle qui fait office de server , ce dossier
partag se nomme ASA et est accessible en allant dur Poste
de travail du serveur http. Dans ce dossier nous avons:
Asdm-641.bin
Le jre(java runtime environnement)
TFTP 32 pour le transfert de fichier
Lutilitaire putty

Au niveau du serveur http, lancer TFTP32 et entrer

ladresse ip de la machine virtuelle en indiquant le
rpertoire dans lequel se situe limage asdm-641.bin
(nous avons misasdm-641.bin sur le bureau de
windows 7).
22

On copie le fichier asdm-642.bin situ au niveau du

serveur http vers la mmoire flash de ASA1, on peut voir
le transfert en cours du cot de ASA1 et du serveur.
23

24

Connexion au firewall avec asdm:

ous prsentons le premier lancement de asdm au niveau du serveur htt

saisie ladresse ip de linterface inside dans notre navigateur prfr

25

'interface Asdm se prsente comme suit:

26

3.5 Mise en place de SSL VPN avec

asdm

Au niveau de linterface de configuration de asdm on choisit:

Configuration>Remote Access VPN>Clientless SSL VPN Access

27

 On clique sur Portal

L'option Bookmark permet de crer des groupes
regroupant les diffrentes entits qui vont se
connecter au rseau distance. Ici le groupe que
nous avons dfinit s'appelle M2RIBookmark
Cliquer sur Add Bookmark pour indiquer l'adresse IP
de notre serveur web qui sera attaqu distance
de mme que le titre de notre interface d'accueil
puis on clique sur OK.
Ici on dfinit 2 accs web et ftp.

28
On clique sur Add

29

30

Cration des stratgies de groupe:

On clique sur Configuration>Remote Access
VPN>Clientless SSL VPN Access>Group Policies.

31

niveau de Tunneling Protocols on dcoche Inherit pour choisir Clientless SSL VPN

32

niveau de longlet Portal on choisit notre bookmark dans la liste .

Nb: Il faut toujours cliquer sur apply pour envoyer la

configuration au niveau du firewall

33

ration de lautorit de certification:

ez sur Configuration >Remote Access VPN>Certificat Management>

cal Certificate Authority>CA server et renseigner les paramtre sur la capture:

34

fois crer on nous demande denvoyer le certificat au niveau du firewall. On cliqu

Send pour lenvoyer.

35

Cration du certificat didentification

Configuration >Remote Access VPN>Certificat
Management>Identity certificate.
En cliquant sur le boutton Add on a la fentre Add Identity
Certificate. Il faut renseigner les valeurs de la nouvelle cle.

36
Faudra cliquer sur Generation Now pour gnrer la cl puis sur Send pour
Indiquer linformation au firewall.

Enregistrement du client distant dans la bas

donne de lautorit de certification

Aller au niveau
Configuration >Remote Access VPN>Certificat Management>
Local Certificate Authority User database. Ensuite on indique le nom dutilisat

n clique sur Subject pour indiquer les informations sur lutilisateur.

37

38

tion du compte dutilisateur

er sur:

uration >Remote Access VPN >AAA/LocalUsers >LocalUsers puis sur Add

39

Cration du profil de connexion

On clique sur Add au niveau de connection Profiles. Il faudra indique le nom
De mme que la politique de groupe quon avait cr.

40

niveau de longlet Advanced on va ajouter un groupe dURLs qui vont se

nnecter directement au vpn sans demande. On indique ici linterface outside du fi

Cliquer sur apply pour envoyer la configuration au firewall

41

On va exiger le certificat cr au client distant avant quil

accde
linterface de connexion .
Sur Configuration >Remote Access VPN >Clientless SSL
VPNAccess >conection Profiles.
ON coche Require Client Certificate et
Allow client to select connect profile
Cliquer sur *Apply puis sur Send pour envoyer le tout au firewall

42

signation du certificat linterface inside

niveau de Connections profiles on suit le lien Assign certificate to interfa

43

Test de la connectivit

Depuis la machine distante on ouvre le navigateur puis on indique ladresse outside du

rewall

44

45

7.Conclusion
Le VPN bas sur le protocole SSL/TLS offre une
simplement et une scurit pour laccs aux ressources
web de lentreprise pour un utilisateur en dplacement.
Le VPN SSL permet donc le nomadisme des employs
de lentreprise, laccs des services qui requiert de la
scurit sur internet.

46