Titre :Construire son VPN----------------Intro :A l'heure de globalisation, une entreprise doit tre capable de fdrer lesrseaux de ses filiales en un seul rseau global. Les rseaux privs virtuels,ou VPNs, offrent une rponse alternative aux coteuses lignes spcialises, ens'appuyant sur l'infrastructure Internet existante.----------------Article :Si l'attrait en terme fonctionnel des rseaux privs virtuels (VPNs) est grand,leur mise en place a un impact important sur le rseau existant de l'entrepriseet sur la politique de scurit qui lui est attache. L'introduction d'lmentsextrieurs au rseau physique de l'entreprise, travers Internet, pose eneffet de nouveaux problmes de scurit, comme l'authentification desutilisateurs distants ou encore la confidentialit et l'intgrit des donneschanges.Les VPNs s'appuient sur des tunnels permettant d'encapsuler dans des paquets IPd'autres protocoles de niveau 3, comme IP par exemple. L'intrt du tunnel parrapport au routage classique travers Internet est la transparence pour lesapplications, les passerelles constituant les extrmits de ces tunnels tantresponsables de l'encapsulation des donnes devant y transiter.Ce type de transport pose trois problmes majeurs, dcoulant directement del'absence de scurit du protocole IP (dans sa version 4). Premirement, on nepeut pas compter sur le protocole IP pour authentifier l'hte distant voulanttablir un tunnel : des protocoles d'authentification doivent donc tre mis enplace pour assurer l'identit des deux parties. Ensuite, IP n'offrant pas demcanisme assurant la confidentialit des donnes transporte, il convientd'implmenter des mcanismes de chiffrement au niveau du tunnel. Enfin, desmcanismes pour assurer l'intgrit des donnes doivent tre mis en place,paralllement au chiffrement. La cryptographie apporte des rponses cesproblmes.Usages et protocoles, la jungle !Les besoins en VPN ne sont pas tous les mmes. On distingue trois situations.1. Les utilisateurs nomades auxquels on souhaite fournir un accs aux ressources du rseau de l'entreprise. C'est ce qu'on appelle de VDPN, pour Virtual Dial-up Private Networking).2. La liaison au moyen d'un tunnel scuris de deux sites distants.3. La constitution d'un extranet global permettant un ensemble de sites distants de communiquer via un rseau virtuel auxquels ils sont raccords.Il existe plusieurs protocoles pour tablir des liaisons VPN. Les troisprincipaux sont PPTP, L2TP et IPSEC.PPTP (Point to Point Tunneling Protocol)Dvelopp par Microsoft, ce protocole est prsent un standard public (RFC2637). Il permet l'tablissement d'un lien PPP au dessus du protocole IP.L'authentification est ralise par les protocoles PAP, MsCHAP ou MsCHAPv2, cedernier tant prfrer. Le transport des donnes est assur par une variantedu protocole GRE (Generic Routing Encapsulation, dvelopp par Cisco).L'tablissement et le contrle du tunnel sont assurs par une connexion TCPparallle.N'offrant pas l'origine de mcanisme de chiffrement des donnes vhicules,PPTP s'est vu tendu. Il supporte prsent le chiffrement des donnes via leprotocole MPPE reposant sur RC4, avec des cls de 64 ou 128 bits. Cependant,PPTP n'offre aucun mcanisme de contrle d'intgrit des paquets.L2TP (Layer 2 Tunneling Protocol)L2TP est une volution d'un protocole initialement developp par Cisco, L2F,pour y ajouter certaines ides de PPTP. Il est standardis par la RFC 2661.Comme L2F, il permet d'tablit un lien PPP sur un protocole de niveau 2, ousur UDP dans le cas d'un transport sur IP. Comme PPTP, il utilise un flux pourtransporter les donnes, et un flux de contrle. L'authentification estralise par MsCHAP ou MSCHAPv2.Si un mcanisme de chiffrement et de contrle d'intgrit doit tre mis enplace, on utilisera les mcanisme fournis par IPSEC, en particulier ESP.IPsec (IP Security) - voir encadrLe protocole IPsec dcoule des rflexions de l'IETF sur la scurit de laversion 6 du protocole IP (IPv6). IPsec (RFCs 2401 2412) permet le transportde paquets IP au dessus du protocole IP de la manire la plus sre et la plusefficace qui soit.IPsec met en oeuvre deux protocoles. Le premier, ESP (Encapsulated SecurityPayload) permet le chiffrement et le contrle de l'intgrit des donnestransportes dans le tunnel. Le second, AH (Authentication Header) permet decontrler l'intgrit des paquets IP complets ralisant le tunnel. Ces deuxprotocoles sont donc complmentaires et peuvent utiliss seuls ou ensembles,selon le degr de scurit souhait.IPsec supporte deux modes. Le mode tunnel permet la liaison de deux rseauxdistants. Le mode transport permet deux htes de communiquer directement.IPsec fait un large usage de procds cryptographiques. Les mcanismes etprotocoles utiliss sont extensibles souhait, mais l'usage de certains eststandardis. Le chiffrement fort est assur, ainsi que le contrle del'intgrit, aussi bien pour AH que pour ESP. L'authentification des deuxparties se fait par le protocole ISAKMP (Internet Security Association and KeyManagement Protocol) qui assure l'authentification scurise par secretpartag, par cl publique (DSS ou RSA) ou par certificat x509, ainsi quel'change des cls de session par le protocole IKE (Internet Key Exchange), etleur renouvellement priodique.Choisir son protocole...Pour les problmatiques d'accs de postes isols sur Internet, on utilisera leVDPN. La difficult de mise en oeuvre d'IPsec sur ce genre de configuration ledisqualifie souvent pour ce genre d'usage. PPTP et L2TP seront donc lesprotocoles privilgis. Microsoft offrant le support PPTP en standard sur sessystmes d'exploitation depuis Windows 98, celui-ci a largement pris le pas surL2TP, pourtant plus souple.La mise en place d'un lien PPP offre une souplesse trs importante au niveaudes fonctionnalits ainsi que la possible rutilisation d'une architecture decertains lments d'un accs RTC ou RNIS existant, comme les serveursd'authentification RADIUS. Un tel lien permet d'offrir un accs totalementtransparent tant pour le client nomade que pour le rseau auquel il seconnecte.Pour les problmatiques de liaison site site, on prendra IPsec qui est leseul des trois protocoles offrir un service de tunnel rseau rseau. Cetype de lien tant permanent, le niveau de scurit ncessaire n'est en outrefourni que par IPsec : authentification, chiffrement, intgrit, renouvellementpriodique des cls.La mise en place d'extranets n'est pas chose simple. Elle s'appuie sur IPsec,mais demande la mise en oeuvre de procds compliqus, difficiles mettre enoeuvre.L'avenir des VPNs ?Par son intgration par l'IETF dans IPv6, IPSEC constitue l'avenir des rseauxprivs virtuels sur IP. C'est pourquoi IPSRA (IP Secure Remote Access), unprotocole exploitant les extensions IPsec pour l'tablissement de VDPN, est encours de formalisation.En attendant l'avnement de la version 6 d'IP, il est bon d'essayer de setourner au maximum vers IPsec. Si le march manquait d'outils permettant unbonne intgration de ce protocole au sein des outils de gestion de politique descurit, ce n'est plus le cas. De nombreux constructeurs et diteurs offrentaujourd'hui dans leur gamme des produits permettant de raliser des liens IPSECde manire simple, aussi bien pour raliser des liens site site que desextranets, et mme des connexions VDPN.En outre, IPSEC, parce qu'il supporte les certificats x509, peut tre interfacavec un infrastructure cls publiques (PKI), permettant ainsi l'intgrationcomplte du VPN dans la politique de scurit de l'entreprise.-------------Encadr : IPsecAH permet d'assurer l'intgrit des paquets IP entiers (entte et donnes)impliqus dans le transport des paquets du tunnel, l'aide de rsumscryptographiques de 96 bits calculs l'aide de variantes des algorithmes MD5ou SHA-1 (respectivement HMAC-MD5-96 et HMAC-SHA-1-96). ESP permet d'assurerl'intgrit des donnes transportes par le tunnel par les mmes procds queAH, et la confidentialit de ces donnes soit par algorithme DES-CBC, avec clde 56 bits, soit par son successeur, 3DES-CBC, par cls 168 bits. D'autresalgorithmes peuvent galement tre utiliss, mais ne sont pas obligatoirementdisponibles sur toutes les plate-formes.AH peut tre utilis seul si on ne souhaite pas chiffrer. ESP peut lui aussitre utilis seul, auquel cas on ne vrifie pas l'intgrit des paquets IPsous-jacents. L'association de AH et ESP permet d'atteindre le niveau maximumde scurit.En raison de la vrification d'intgrit des paquets, IPsec pose des problmesde compatibilit avec les quipements ralisant de la traduction d'adresses(NAT) qui ne fonctionnent qu'avec ESP en mode tunnel. En effet, la modificationdes enttes du paquet IP n'est ni compatible avec AH, ni avec ESP en modetransport. C'est pourquoi les fonctions IPsec sont le plus souvent ralisespar les quipements qui grent la traduction d'adresses.-----------Figure : les diffrents cas de VPN.