Beruflich Dokumente
Kultur Dokumente
**********
Unité – Dignité – Travail
THEME :
(VPN)
Année académique
2014-2015
Les réseaux privés virtuels (VPN)
SOMMAIRE
INTRODUCTION………………………………………………………….…………………………………………………………………………
I. FONCTIONNEMENT….………………………………………………………………….…………………………………………
II. INTERETS D’UTILISATION……………………………………………………………………………………………………….
CONCLUSION …………………………………………………………………………………………………………………………
INTRODUCTION
Un réseau privé virtuel en anglais VPN (Virtual Private Network) est un tunnel sécurisé
permettant la communication entre deux entités y compris au travers de réseaux peu sûrs comme
peut l’être le réseau Internet. Cette technologie, de plus en plus utilisée dans les entreprises, permet
de créer une liaison virtuelle entre deux réseaux physiques distants de manière transparente pour les
utilisateurs concernés. Les données envoyées au travers de ces liaisons virtuelles sont chiffrées, ceci
garantit aux utilisateurs d’un VPN qu’en cas d’interception malveillante les données soient illisibles.
De ce fait, nous allons parler dans un premier temps du fonctionnement d’un VPN, son intérêt
d’utilisation et les protocoles de tunnelisation.
I. FONCTIONNEMENT
Un VPN repose sur un ou des protocoles, appelé protocoles de tunnelisation (ou
tunneling). Comme énoncé dans l’introduction, ce sont des protocoles permettant aux
données passant entre deux réseaux physiques d’être sécurisées par des algorithmes de
chiffrage. On utilise d’ailleurs le terme de « tunnel » pour mettre l’accent sur le fait qu’entre
l’entrée et la sortie d’un VPN les données sont chiffrées et protégées. Lorsqu’un VPN est
établi entre deux réseaux physiques, l’élément qui permet de chiffrer et de déchiffrer les
données du coté client (ou utilisateur) est nommé « Client VPN ». On appelle « Serveur VPN
» l’élément qui chiffre et qui déchiffre les données du côté de l’organisation.
Dans les faits, nous établissons une connexion sécurisée avec le serveur qui nous
propose le service VPN. Ce serveur VPN nous connecte sur Internet en masquant notre
adresse IP par son adresse IP.
Une communication VPN peut donc être de client à serveur mais il est à prendre en
considération qu’elle peut aussi se faire de serveur à serveur.
L'intranet VPN : qui est utilisé pour relier deux intranets entre eux. Ce type de VPN est utile
pour les entreprises possédant plusieurs sites distants. Le plus important avec ce type de
VPN est de garantir la sécurité et l'intégrité des données.
L’extranet VPN : là aussi utilisé par les entreprises car elles peuvent utiliser ce type de VPN
pour communiquer avec ses clients. Dans les faits, elle ouvre son réseau local à ses clients ou
à ses partenaires. Dans ce cadre, il est fondamental que l'administrateur du VPN puisse
tracer les clients sur le réseau et gérer les droits de chacun sur celui-ci.
La sécurité :
En effet, en utilisant un VPN, ce n’est plus votre ordinateur qui est la cible d’attaque,
mais le serveur VPN et les VPN sont généralement très bien sécurisés pour éviter que leurs
serveurs ne tombent suite à une attaque.
En utilisant un VPN, ce n’est plus votre adresse IP qui est connu des sites que vous
visitez, mais l’adresse IP de votre VPN. Du coup, les sites ne peuvent plus savoir dans quel
pays vous êtes, ni quel est votre navigateur internet, la résolution de votre écran, etc. Il faut
tout de même penser à vider les cookies de votre navigateur avant de vous connecter à un
site, sinon celui ci sera capable de se souvenir de vous.
Lorsque vous vous connecter à des réseaux wifi publiques genre gares, aéroport, etc.
vous pouvez facilement devenir la cible de gens voulant récupérer vos infos. Il ne faut pas
oublier que vous êtes tous sur la même borne wifi, et qu’il est très facile de sniffer les
données transitant sur le réseau. Un VPN peut empêcher cela car la connexion entre vous et
le VPN se fait de manière chiffrée. De ce fait personne ne peut récupérer vos données
sensibles comme vos mots de passes, code de carte bancaire, etc.
Mettons, par exemple, que nous voulions accéder aux vidéos de chaines étrangères
comme « Hulu » sans être basé aux États-Unis, nous nous rendrons vite comptes que les
vidéos ne veulent pas se lancer, et qu’un message nous dit que nous ne somme pas dans la
bonne zone géographique. Ces chaines bloquent l’accès à leur service aux résidents de leur
pays uniquement. Nous allons donc devoir utiliser un VPN pour changer notre adresse IP en
une adresse IP du pays désiré et là, notre vidéo s’affichera sans souci.
Le bridage de site est quelque chose dont on entend beaucoup parler. On entend par
bridage, le fait de ne pas bloquer complètement un site, mais de le rendre partiellement
accessible, voir tellement lent que le service deviendra inutilisable. C’est un fait, Free bride
Youtube, en réduisant la vitesse de réception des données, ce qui empêche une utilisation
correcte de Youtube. Les chargements sont lents, très lents, les vidéos saccades, voir même
carrément ne charge pas. Les VPN sont donc aussi utilisés dans ce cas là, pour contourner ce
genre de bridage.
Nous vous donnons un petit récapitulatif sur les caractéristiques de chaque protocole VPN
pour que vous puissiez choisir selon vos besoins en sécurité et en facilité d’utilisation.
PPTP est une extension du protocole PPP (Point to Point Protocol) qui était un standard pour
les connexions via les modems. Il fonctionne sur la couche 2 du modèle OSI. Bien que le PPTP crée un
tunnel VPN, il ne fournit aucun cryptage. Les connexions PPTP peuvent être sécurisées en utilisant le
protocole PPP de Microsoft (MPPE) qui utilise la norme de cryptage RSA RCQ en 128 bits. L’un des
avantages du PPTP par rapport aux autres est qu’il supporte la plupart des plateformes incluant
Windows, Mac OS, Linux, les OS mobile, etc. Pour la connexion, le PPTP nécessite une
authentification. Il est assez rapide et possède une sécurité en 128 bits. Le niveau de sécurité est
faible comparé aux autres. Cela lui permet d’être plus rapide que d’autres normes qui utilisent un
cryptage plus lourd. Le port TCP 1723 est le port utilisé par défaut. Le PPTP n’est pas le protocole
VPN le plus stable, notamment si on l’utilise sur des connexions instables. Par ailleurs, il a des
problèmes de compatibilité avec le GRE (Une routine standard d’encapsulation) ainsi que certains
routeurs. L’implémentation Microsoft du PPTP possède de sérieux problèmes de sécurité. Le
MSCHAP-v2 est vulnérable contre les attaques de type dictionnaire (Bruteforce) et l’algorithme RC4
est aussi vulnérable face aux attaques de type Bit-Flipping. Microsoft lui-même recommande de
mettre à jour vers le L2TP qui protège mieux la confidentialité des connexions. Le PPTP est sans
doute le protocole le plus polyvalent, car il est compatible avec Windows, Mac OS, Linux, l’iOS
d’Apple, Android.
fournit un système de cryptage acceptable. L’IPSec supporte deux modes de cryptage, le Transport
et le Tunneling. Le cryptage utilise une clé de 256 bits. Windows installera par défaut le VPN sur le
protocole PPTP. Cependant, nous vous recommandons d’installer aussi le L2TP/IPSEC. Et l’installation
de ce protocole VPN est très facile. La vitesse du L2TP/IPSec est similaire au PPTP. En fait, on ne voit
quasiment aucune différence entre les deux. Le L2TP/IPSec utilise le port UDP 500 pour l’échange des
clés. Le port 50 est utilisé pour le cryptage via l’IPSec et le port UDP 1701 est utilisé pour la
configuration initiale du L2TP. Enfin, le port UDP 4500 est utilisé pour le transfert NAT. On peut
facilement bloquer le L2TP/IPSec parce qu’il se base uniquement sur des protocoles et des ports
fixes. La norme SSTP pour le L2TP/IPSec est disponible pour Linux et Windows. Ce protocole VPN est
stable dans la plupart des cas. Il faut juste s’assurer que le serveur et le client supportent le transfert
NAT pour éviter les problèmes. Le L2TP/IPSec est considéré comme un protocole assez sécurisé. Son
cryptage est meilleur que celui du PPTP. On peut l’utiliser sur la plupart des systèmes. Il est
également compatible avec des appareils tels que l’iPad ou les Smartphones récents.
L’OpenVPN :
L’OpenVPN est un protocole Open Source qui est utilisé pour les VPN basé sur le SSL. Il
permet aux réseaux de se connecter entre eux de manière sécurisée en utilisant des clés secrètes
partagées, des certifications ou des noms d’utilisateurs ou des mots de passe. Il utilise la librairie
OpenSSL pour crypter les données. L’OpenSSL est une implémentation Open Source des langages de
développement qui ont étés spécialement conçus pour les protocoles SSL et TLS (Transport Layer
Security). En général, l’OpenVPN n’est pas inclut par défaut dans les systèmes d’exploitation. Mais
son installation est facile sur toutes les plateformes. Il donne toute sa puissance quand on l’utilise
avec le mode UDP. Il est rapide et stable même avec des connexions lentes et pour des serveurs qui
sont situés sur de grandes distances. Il peut fonctionner sur n’importe quel port TCP ou UDP. Il peut
être configuré pour utiliser le port TCP 443 qui permet de passer les pare-feux. C’est un protocole
très stable sur les réseaux sans-fils ou cellulaire qui sont fréquemment saturés. Le mode TCP de
l’OpenVPN est pour les connexions TCP qui sont très instables. Et si vous l’utilisez quand même, vous
allez souffrir d’une perte de vitesse. L’OpenVPN est aussi sécurisé que le L2TP/IPSec. Il n’y a rien à
craindre du moment qu’on utilise le cryptage de type AES (Application Environment Services). Il peut
aussi utiliser l’authentification HMAC (Haching Message Authentication) pour renforcer la sécurité.
De nos jours, l’OpenVPN est compatible avec la plupart des plateformes. Ainsi, il est disponible sur
Windows, Mac, Linux et même les mobiles Android via des applications tierces.
SSTP :
Le SSTP est un tunnel VPN qui applique un transfert sécurisé sur des connexions L2TP
ou PPP via un canal SSL 3.0. Le SSTP est uniquement utilisé pour les connexions de clients à
distance et il ne supporte pas les tunnels VPN pair à pair. Le SSTP utilise le SSL pour
permettre la transmission des données et le cryptage. En utilisant le canal SSL sur le port TCP
443, le SSTP peut passer sur les serveurs proxy et les pare-feux les plus fréquents. Le SSTP
est le protocole VPN le plus stable. Cependant, il est difficile à installer pour les novices. Mais
une fois qu’il est installé, alors on n’aura plus à le toucher par la suite. La vitesse du SSTP est
similaire au PPTP. Le seul problème est que cela prend plus de temps pour établir une
connexion avec le SSTP. Le SSTP utilise le port TCP 443 pour transmettre les données. C’est
un excellent protocole VPN. Il est plus stable que le L2TP ou le PPTP. Cependant, il est
largement supérieur à ces deux derniers quand il s’agit de sécurité et de cryptage. Les clients
SSTP sont authentifiés durant les phases SSL ou PPP. Il utilise le PPP pour supporter la
plupart des méthodes d’authentification telle qu’EAP-LTS ou MS-CHAP. Le SSTP est
disponible pour Linux, BSD et Windows. Cependant, il n’est pas supporté par les versions
antérieures à Windows Vista. Notons aussi qu’on ne peut pas l’utiliser avec des mobiles.
D’après le tableau on voit que le protocole L2TP/IPSec remplit beaucoup de conditions citées ci-
dessus dans ce cas dans la suite de notre travail nous allons l’utiliser pour faire nos travaux pratiques
sous « Packet tracert »
V. LE PROTOCOLE IPSEC
A. Généralité
IPSEC (Internet Protocol Security) est un ensemble de protocoles normalisés et
standardisés par l’IETF (Internet Engineering Task Force) pour la confidentialité, l’intégrité et
l’authentification pour les échanges sur le réseau Internet. IPSec a été principalement conçu
pour sécuriser le protocole IPv6, mais la lenteur de déploiement de ce dernier a imposé une
adaptation d’IPSec à l’actuel protocole IPv4. Le protocole IPsec peut être utilisé pour la
création des réseaux privés virtuels (VPN). L’apport majeur de cette technique par rapport à
d’autres solutions est qu’il s’agit d’une méthode standard conçue dans cet objectif précis,
décrite par différentes RFCs (Request For Comment), et donc interopérable. Cette méthode
présente les avantages suivants :
• L’économie de bande passante, car la compression des en-têtes des données transmises
est prévue par ce standard, de plus, ce dernier ne fait pas appel à de trop lourdes techniques
d’encapsulation, comme les tunnels PPP sur lien SSH (Secure Shell).
• La protection des protocoles de bas niveau comme ICMP (Internet Control Message
Protocol) et IGMP (Internet Group Management Protocol), RIP(Routing Information
Protocole), etc.
B. Fonctionnement
Lors de l'établissement d'une connexion IPsec, plusieurs opérations sont effectuées :
Un ou plusieurs canaux de données par lesquels le trafic du réseau privé est véhiculé,
deux protocoles sont possibles :
C. Mode de fonctionnement
IPsec fonctionne dans un mode transport hôte à hôte ou bien dans un mode tunnel
réseau.
- Le mode transport :
Dans le mode transport, ce sont uniquement les données transférées (la partie payload du
paquet IP) qui sont chiffrées et/ou authentifiées. Le reste du paquet IP est inchangé et de ce
fait le routage des paquets n'est pas modifié. Néanmoins, les adresses IP ne pouvant pas
être modifiées sans corrompre le hash de l'en-tête AH généré par IPsec, pour traverser un
NAT il faut avoir recours à l'encapsulation NAT-T. Le mode transport est utilisé pour les
communications dites hôte à hôte (Host-to-Host).
- Le mode tunnel
En mode tunnel, c'est la totalité du paquet IP qui est chiffré et/ou authentifié. Le paquet est
ensuite encapsulé dans un nouveau paquet IP avec un nouvel en-tête IP. Au contraire du
mode transport, ce mode supporte donc bien la traversée de NAT quand le protocole ESP est
utilisé. Le mode tunnel est utilisé pour créer des réseaux privés virtuels (VPN) permettant la
communication de réseau à réseau (exemple entre deux sites distants), d'hôte à réseau
(exemple accès à distance d'un utilisateur) ou bien d'hôte à hôte (exemple messagerie
privée.)
D. Algorithmes cryptographiques
Pour que les réalisations d'IPsec fonctionnent, elles doivent avoir un ou plusieurs
algorithmes
rithmes de sécurité en commun. Les algorithmes de sécurité utilis utilisés pour une
association de sécurité ESP ou AH sont déterminés par un mécanisme de négociation, tel
que Internet Key Exchange (IKE). Les algorithmes de chiffrement et d'authentification pour
IPsec encapsulant le protocole ESP et AH sont :
- Configuration de base
Nous commençons par configurer notre PC et notre serveur en leur attribuant la bonne
configuration réseau (adresse, masque, passerelle). Ensuite la configuration des deux routeurs en
mode CLI :
Routeur R1 :
On commence par le nom d’hôte :
Router>enable
Router#configure terminal
Router(config)#hostname R1
Routeur R2 :
Le nom d’hôte :
Router>enable
Router#configure terminal
Router(config)#hostname R2
Nos interfaces sont maintenant configurées, il nous reste à configurer le routage sur les deux
routeurs. On a choisi de faire du routage statique.
R2(config)#ip
(config)#ip route 192.168.0.0 255.255.255.0 10.0.0.1 Ou une route par défaut
Voila tout fonctionne correctement donc le routage marche bien. Passons à la configuration
du VPN
- Configuration du VPN
Routeur R1 :
Pour qu’il y ait communication IPSec possible, il faut que les 2 peers trouvent un accord sur
une politique ISAKMP commune. Une politique ISAKMP contient: l’Algorithme d’encryption,
l’Algorithme de hachage,le
,le groupe Diffie-Hellman
Diffie Hellman et la durée de vie du chiffrement de la clé.
Notez qu’ici le masque est écrit en inverse (exemple 255 => 0 et 0 => 255)
Nous configurons ensuite la crypto map qui va associer l’access-list, le traffic, et la destination :
La carte de cryptage (ou crypto map) permet de lier les SA négociées et la politique de
sécurité (SP : Security Policy). En d’autres termes, elle permet de renseigner :
- L’autre extrémité du tunnel vers lequel le trafic IPSec devrait être envoyé ;
- L’adresse locale à employer pour le trafic d’IPSec ;
- Quelle sécurité d’IPSec devrait être appliquée à ce trafic (transform-sets) ;
- Durée de vie de du tunnel IPSec ;
La configuration de R1 est presque terminée nous devons appliquer la crypto map sur
l’interface de sortie : dans notre cas FastEthernet 0/1.
Routeur R2 :
Nous configurons ensuite la crypto map qui va associer l’access-list, le traffic, et la destination :
Appliquons la crypto map sur l’interface de sortie : dans notre cas FastEthernet 0/0.
Vérification
On réalise un ping pour voir si la communication n’est pas coupée :
CONCLUSION
En somme nous pouvons conclure qu’un réseau privé virtuel permet de créer une
liaison virtuelle entre deux réseaux physiques distants de manière transparente pour
les utilisateurs concernés.