Vote utilisateur: 5 / 5

Etoiles activesEtoiles activesEtoiles activesEtoiles activesEtoiles actives
 
macro



Le concept du VPN : Virtual Private Network (Réseau Privé Virtuel)

 

Les réseaux locaux d'entreprise (LAN ou RLE) sont des réseaux internes à une organisation, c'est-à dire-que les liaisons entre machines appartiennent à l'organisation.

Ces réseaux sont de plus en plus souvent reliés à Internet par l'intermédiaire d'équipements d'interconnexion.

Il arrive ainsi souvent que des entreprises éprouvent le besoin de communiquer avec des filiales, des clients ou même du personnel géographiquement éloignés via Internet.

Pour autant, les données transmises sur Internet sont beaucoup plus vulnérables que lorsqu'elles circulent sur un réseau interne à une organisation car le chemin emprunté n'est pas défini à l'avance, ce qui signifie que les données empruntent une infrastructure réseau publique appartenant à différents opérateurs.

Ainsi, il n'est pas impossible que sur le chemin parcouru, le réseau soit écouté par un utilisateur indiscret ou même détourné.
Il n'est donc pas concevable de transmettre dans de telles conditions des informations sensibles pour l'organisation de l'entreprise.

La première solution pour répondre à ce besoin de communication sécurisé consiste à relier les réseaux distants à l'aide de liaisons spécialisées.

Toutefois, la plupart des entreprises ne peuvent pas se permettre de relier deux réseaux locaux distants par une ligne spécialisée, il est alors parfois nécessaire d'utiliser Internet comme support de transmission. 

 

 

Un bon compromis consiste à utiliser Internet comme support de transmission en utilisant un protocole d'encapsulation (en anglais : tunneling, d'où l'utilisation parfois impropre du terme "tunnelisation"), c'est à dire encapsulant les données à transmettre de façon chiffrée.

On parle alors de Réseau Privé Virtuel (noté RPV ou VPN) pour désigner le réseau artificiellement créé.

Ce réseau est dit virtuel car il relie deux réseaux physiques (réseaux locaux) par une liaison non fiable (Internet), et privé car seuls les ordinateurs des deux réseaux locaux de part et d'autre du VPN peuvent accéder aux données.

 

Le système de VPN permet donc d'obtenir une liaison sécurisée à moindre coût, si ce n'est la mise en œuvre des équipements terminaux.
En contrepartie, il ne permet pas d'assurer une qualité de service comparable à une ligne louée dans la mesure où le réseau physique est public et donc non garanti.

 

 

Le fonctionnement d'un VPN

 

Un Réseau Privé Virtuel repose sur un protocole, appelé protocole de tunnelisation (tunneling), c'est à dire un protocole permettant aux données passant d'une extrémité du VPN à l'autre, d'être sécurisées par des algorithmes de cryptographie.

 

vpn_1

 

Le terme de "tunnel" est utilisé pour symboliser le fait qu'entre l'entrée et la sortie du VPN, les données sont chiffrées (cryptées) et donc incompréhensibles pour toute personne située entre les deux extrémités du VPN, comme si les données passaient dans un tunnel.

Dans le cas d'un VPN établi entre deux machines, on appelle client VPN l'élément permettant de chiffrer et de déchiffrer les données du côté utilisateur (client) et serveur VPN (ou plus généralement : serveur d'accès distant), l'élément chiffrant les données du côté de l'organisation.

De cette façon, lorsqu'un utilisateur nécessite d'accéder au Réseau Privé Virtuel, sa requête va être transmise en clair au système passerelle, qui va se connecter au réseau distant par l'intermédiaire d'une infrastructure de réseau public, puis va transmettre la requête de façon chiffrée.

L'ordinateur distant va alors fournir les données au serveur VPN de son réseau local qui va transmettre la réponse de façon chiffrée.

À la réception sur le client VPN de l'utilisateur, les données seront déchiffrées, puis transmises à l'utilisateur...

 

 

Les protocoles de tunnelisation

 

Lisez le cours sur le modèle en couches et le modèle OSI pour comprendre la notion des niveaux.

Les principaux protocoles de tunneling sont les suivants :

  • PPTP (Point-to-Point Tunneling Protocol) est un protocole de niveau 2 développé par Microsoft, 3Com, Ascend, US Robotics et ECI Telematis;
  • L2F (Layer Two Forwarding) est un protocole de niveau 2 développé par Cisco, Nothern Telecom et Shiva. Il est désormais quasi-obsolète;
  • L2TP (Layer Two Tunneling Protocol) est l'aboutissement des travaux de l'IETF (RFC 2661) pour faire converger les fonctionnalités de PPTP et L2F. Il s'agit ainsi d'un protocole de niveau 2 s'appuyant sur PPP;
  • IPSec est un protocole de niveau 3, issu des travaux de l'IETF, permettant de transporter des données chiffrées pour les réseaux IP.

 

 

Le protocole PPTP

 

Le principe du protocole PPTP (Point To Point Tunneling Protocol) est de créer des trames sous le protocole PPP et de les encapsuler dans un datagramme IP.

Ainsi, dans ce mode de connexion, les machines distantes des deux réseaux locaux sont connectées par une connexion point à point (comprenant un système de chiffrement et d'authentification), et le paquet transite au sein d'un datagramme IP.

 

vpn_2

 

De cette façon, les données du réseau local (ainsi que les adresses des machines présentes dans l'en-tête du message) sont encapsulées dans un message PPP, qui est lui-même encapsulé dans un message IP.

 

 

Le protocole L2TP

 

Le protocole L2TP est un protocole standard de tunnelisation (standardisé dans un RFC) très proche de PPTP.

Ainsi, le protocole L2TP, encapsule des trames protocole PPP, encapsulant elles-mêmes d'autres protocoles (tels que IP, IPX ou encore NetBIOS).

 

 

Le protocole IPSec

 

IPSec est un protocole défini par l'IETF permettant de sécuriser les échanges au niveau de la couche réseau.
Il s'agit en fait d'un protocole apportant des améliorations au niveau de la sécurité au protocole IP afin de garantir la confidentialité, l'intégrité et l'authentification des échanges.

Le protocole IPSec est basé sur trois modules :

 

  • IP Authentification Header (AH) concernant l'intégrité, l'authentification et la protection contre le rejet, des paquets à encapsuler;

 

  • EncapsulingSecurityPayload (ESP) définissant le chiffrement des paquets. ESP fournit la confidentialité, l'intégrité, l'authentification et la protection contre le rejet;
  • Security Association (SA) définissant l'échange des clés et des paramètres de sécurité. Les SA rassemblent ainsi l'ensemble des informations sur le traitement à appliquer aux paquets IP (les protocoles AH et/ou ESP, mode tunnel ou transport, les algorithmes de sécurité utilisés par les protocoles, les clés utilisées...). L'échange des clés se fait soit de manière manuelle soit avec le protocole d'échange IKE (la plupart du temps), qui permet aux deux parties de s'entendre sur les SA.

 

 

 

greg

 

 

 

1000 caractères restants