Les RPV (Réseaux Privés Virtuels) ou VPN (VirtualPrivate Networks)

TODARO Cédric

Table des matières

1 De quoi s’agit-il ? 31.1 Introduction . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 31.2 Avantages . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3

1.2.1 Économique . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 31.2.2 Sécurité . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3

2 Trois cas de figure ! 42.1 VPN d’accès . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 42.2 Intranet VPN . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 42.3 Extranet VPN . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5

3 Éléments constitutifs 6

4 Les fonctionnalités 7

5 Les protocoles 8

6 Mise en œuvre 9

7 Solutions matérielles et logicielles 107.1 Solutions matérielles . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10

7.1.1 Solution "VPN Intégrés" . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10

1

TABLE DES MATIÈRES

7.1.2 Solution "VPN Autonomes" . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 117.2 Solutions logicielles . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12

2 / 13

1 De quoi s’agit-il ?

1.1 Introduction

VPN signifie Virtual Private Network, ce que nous traduisons par RPV : Réseau Privé Virtuel.C’est une technologie qui permet d’envoyer des données entre des ordinateurs appartenantà des sites distants, par l’intermédiaire d’un inter-réseau public de la même manière que s’ils’agissait d’une liaison privée point à point.

Il faut bien comprendre ce modèle : on construit par des moyens logiciels un réseau privéau-dessus d’une infrastructure publique (Internet ou un réseau d’opérateur).

FIGURE 1 – Principe d’un VPN

1.2 Avantages

1.2.1 Économique

La particularité du VPN est justement qu’il peut bénéficier du support du réseau Internet,gratuit dès lors que l’on possède des abonnements, plutôt que d’utiliser les lignes privées louéesqui ont l’inconvénient d’être onéreuses.

La principale raison pour implémenter un VPN est donc l’économie supposée par rapport àtout autre type de connexion. Bien que les VPN nécessitent l’acquisition de produits matérielset logiciels supplémentaires, le coût à terme de ce genre de communication est moindre.L’entreprise ne paye que l’accès à l’Internet via son FAI et non une communication nationaledans le cas d’une liaison RNIS ou un forfait dans le cas d’une Liaison spécialisée.

1.2.2 Sécurité

La technologie VPN assure la sécurité lors des connexions d’utilisateurs distants au réseauinterne de l’entreprise, notamment grâce au cryptage des données.

3 / 13

2 Trois cas de figure !

Il faut tout de suite noter qu’il existe trois types de connexion VPN :– VPN d’accès– Intranet VPN– Extranet VPN

2.1 VPN d’accès

La connexion VPN d’accès distant qui sert à connecter un ordinateur à utilisateur unique àun réseau privé. L’exemple type est une connexion VPN entre un télétravailleur et l’intranet deson entreprise. On se sert ainsi aujourd’hui beaucoup de connexion VPN pour remplacer lesconnexions RTC longue distance avec les collaborateurs itinérants. Ce type de connexion VPNest nommé VPN d’Accès.

FIGURE 2 – VPN d’accès

L’utilisateur doit disposer d’une ligne d’accès à Internet. Sur son ordinateur, il configure uneconnexion VPN à l’aide d’un « client » fourni par son entreprise (client Cisco VPN par exemple).

2.2 Intranet VPN

La connexion VPN routeur à routeur reliant deux portions de réseau privé éloignées maisappartenant à la même entreprise. L’exemple type est une connexion VPN entre le siège d’unesociété et une de ses agences. Ce type de connexion VPN est nommé Intranet VPN.

FIGURE 3 – Intranet VPN

4 / 13

2.3 Extranet VPN

2.3 Extranet VPN

La connexion VPN routeur à routeur reliant les réseaux privés de deux entreprises entretenantdes rapports commerciaux (client et fournisseur). Ce type de connexion VPN est nomméExtranet VPN.

FIGURE 4 – Extranet VPN

Dans le cas d’une connexion VPN routeur à routeur (Intranet ou Extranet VPN) , il convientde configurer précisément ces routeurs, de telle sorte que les deux réseaux privés semblerontpouvoir dialoguer comme s’ils étaient simplement séparés par un seul routeur, occultant ainsiInternet.

Cette solution est actuellement en grand développement. Elle est adaptée à la situationtrès fréquente suivante : les sites A et B disposent chacun d’un abonnement internet, et dece fait dispose chacun d’une seule adresse IP publique, fournie par le FAI. La connexion VPNpermettra (en théorie) à n’importe quelle poste du site A d’entrer en communication avecn’importe quel poste du site B.

5 / 13

3 Éléments constitutifs

Dans le cas d’une connexion VPN d’accès distant, plusieurs éléments sont nécessaires :– le serveur VPN : situé dans l’entreprise, qui accepte les connexions VPN des clients.– le client VPN : distant, qui se connecte au serveur VPN.– le tunnel : portion de connexion dans laquelle les données sont encapsulées.– la connexion VPN : portion de connexion dans laquelle les données sont chiffrées.

FIGURE 5 – Client / Serveur / Tunnel VPN

En fait, dans une connexion VPN sécurisée, les données sont chiffrées et encapsulées dans lamême portion de la connexion. Tout cela se réalise avec des protocoles de "Tunneling" décritsau §5.

6 / 13

4 Les fonctionnalités

Un système de VPN sécurisé doit pouvoir mettre en oeuvre les fonctionnalités suivantes :– Authentification d’utilisateur : Seuls les utilisateurs autorisés doivent pouvoir s’identifier sur

le réseau virtuel. Un historique des connexions et des actions effectuées sur le réseau peutêtre défini et conservé. Inversement, le client peut également être amené à authentifier leserveur afin de se protéger des faux serveurs VPN.

– Gestion d’adresses : Chaque client sur le réseau dispose d’une adresse privée et confi-dentielle. Un nouveau client doit pourvoir se connecter facilement au réseau et recevoirune adresse.

– Cryptage des données : Lors de leur transport sur le réseau public les données doiventêtre protégées par un cryptage efficace.

– Gestion de clés : Les clés de cryptage pour le client et le serveur doivent pouvoir êtregénérées et régénérées.

– Prise en charge multiprotocole : La solution VPN doit supporter les protocoles les plus utiliséssur les réseaux publics en particulier IP.

La mise en œuvre d’un VPN aboutit à l’encapsulation des données, avec ajout d’un en-têteaux données privées afin de leur permettre de traverser Internet.

VPN est un principe : il ne décrit pas l’implémentation effective de ces caractéristiques. C’estpourquoi il existe plusieurs produits différents sur le marché dont certains sont devenus standard,et même considérés comme des normes.

7 / 13

5 Les protocoles

Les protocoles permettant un tunneling sécurisé se classent en deux catégories (qui nes’excluent pas !) :

– Les protocoles de niveau 2 comme PPTP (soutenu par Microsoft), L2F (développé par Cisco)et L2TP (évolution reprenant les avantages des 2 précédents), tous étant dépendants dePPP.

FIGURE 6 – Configuration client sous Windows 7

– Les protocoles de niveau 3 comme IpSec ou MPLS.

FIGURE 7 – Tunnel IPSEC

– A ces deux catégories peut s’ajouter le protocole SSL, de niveau 4, dans le cadre deVPN-SSL.

FIGURE 8 – Logo Secure Sockets Layer

8 / 13

6 Mise en œuvre

Deux scénarios sont envisageables quant au positionnement du serveur VPN de l’entreprise.– Serveur VPN en périphérie de réseau : Ici, le serveur VPN est aussi le serveur Proxy qui

donne accès à Internet pour le LAN ; il est également le pare-feu du réseau local et assurele mécanisme NAT. Il dispose forcément de 2 interfaces réseau.

FIGURE 9 – Serveur VPN en périphérie de réseau

– Serveur VPN à l’intérieur d’une DMZ : La configuration des éléments sera plus ou moinscomplexe selon la topologie du réseau de l’entreprise. Nous pouvons citer quelqueslogiciel serveurs VPN (OpenVPN, UltraVPN, EasyVPN mais aussi son intégration dans lesversions serveur de windows).

FIGURE 10 – Serveur VPN à l’intérieur de la DMZ

9 / 13

7 Solutions matérielles et logicielles

7.1 Solutions matérielles

L’offre actuelle de solutions VPN est répartie en deux catégories : VPN autonomes et VPN intégrées,comprenant par exemple les pare-feu (firewall) ou les routeurs VPN. Ce sont les solutions VPN in-tégrées qui offrent potentiellement les plus importantes économies de coûts. Actuellement, despare-feu déjà déployés, comme le "Cisco PIX", le "Nokia Checkpoint Firewall" et le "WatchguardFirebox", intègrent déjà des capacités VPN en option.

7.1.1 Solution "VPN Intégrés"

Pratiquement tous les routeurs, y compris les routeurs d’accès modulaires Cisco, intègrentégalement une solution VPN. Le coût associé à ces solutions est généralement déjà comprisdans le coût du routeur ou du pare-feu. Dans ce type de scénario, activer des services VPN nenécessite que quelques paramétrages du pare-feu ou du routeur.

Comme l’utilisation de réseaux VPN se fait généralement dans le cadre d’une politique desécurité réseau complète, disposer d’une solution VPN intégrée peut permettre de réaliser deséconomies considérables en termes d’administration, notamment dans des environnementsqui comprennent plusieurs pare-feu, routeurs et passerelles VPN.

Le Routeur Cisco 892 1 est un bon exemple d’un solution intégrée.

FIGURE 11 – Cisco 892 - Routeur 10/100/1000 jusqu’à 50 tunnels VPN

1. Cisco892 sur le site ndm.net - http://www.ndm.net/lan/Cisco/cisco-892-integrated-services-router

10 / 13

7.1 Solutions matérielles

7.1.2 Solution "VPN Autonomes"

Les solutions VPN autonomes, que l’on appelle généralement des concentrateurs VPN,trouvent principalement leur place dans les entreprises ayant besoin de gérer plusieurs milliersde connexions VPN simultanées. Aucune solution VPN intégrée et aucun serveur VPN n’offreautant de fiabilité, de performances et une telle capacité de montée en puissance. Le coût,en revanche, s’en ressent et vous risquez de payer très cher un concentrateur VPN d’entreprisequi offre ce type de fonctionnalités.

Nous pouvons citer en exemple, le DIGI Transport VC7400 2 gérant jusqu’à 3000 tunnels VPN.

FIGURE 12 – VC7400 - Jusqu’à 3000 tunnels VPN

2. Documentation technique du VC7400 - http://www.digi.com/pdf/ds_digitransportvc7400.pdf

11 / 13

7.2 Solutions logicielles

7.2 Solutions logicielles

Il faut aussi considérer les options offertes par la mise en place d’un serveur VPN pour desconnexions sécurisées via internet.

Microsoft, Novell, UNIX, AS400 et Linux permettent d’utiliser des services VPN (certains mieuxque d’autres). Il est probable que vous utilisiez déjà ces systèmes d’exploitation et que vous lesmaîtrisiez.

Mettre en place un serveur VPN peut vous faire réaliser des économies importantes si vous nedisposez pas d’un pare-feu ou d’un routeur VPN.

FIGURE 13 – OpenVPN (Linux/Windows)

FIGURE 14 – OpenSWAN (Linux)

FIGURE 15 – Tinc (Linux)FIGURE 16 – plus simplement dans l’OS du ser-veur

Utiliser des serveurs VPN implique généralement une meilleure intégration dans le réseau,notamment pour l’authentification. Les entreprises qui utilisent principalement Microsoft pourrontbénéficier de l’intégration transparente des services VPN dans Windows 2000 et éventuellementde ISA Server quand il s’agit de créer des services VPN en conjonction avec Active Directory,les certificats et les cartes à puce (smart cards ).

Les postes clients ou les sites sous système d’exploitation Microsoft n’auront pas de problèmesparticuliers pour installer ou utiliser des logiciels client VPN.

Mais les économies de coûts s’arrêteront là. En termes de sécurité, de fiabilité et de coût,les serveurs VPN ne sont pas la panacée. Cela ne surprendra personne qu’une solution VPNmatérielle offre une meilleure fiabilité qu’une solution basée sur un système d’exploitationserveur comme ceux de Microsoft.

Il en va de même pour les pare-feu et les routeurs. Les coûts associés à la maintenance et àl’administration s’ajoutent au forfait mensuel. De plus, le coût de la mise en place d’un serveurVPN peut dépasser les 2500 dollars ( 2600 euros) , si vous additionnez le coût du matériel et deslogiciels (sauf Linux qui est l’exception qui confirme la règle).

12 / 13

TABLE DES FIGURES

Table des figures

1 Principe d’un VPN . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 32 VPN d’accès . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 43 Intranet VPN . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 44 Extranet VPN . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 55 Client / Serveur / Tunnel VPN . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 66 Configuration client sous Windows 7 . . . . . . . . . . . . . . . . . . . . . . . . . . . . 87 Tunnel IPSEC . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 88 Logo Secure Sockets Layer . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 89 Serveur VPN en périphérie de réseau . . . . . . . . . . . . . . . . . . . . . . . . . . . . 910 Serveur VPN à l’intérieur de la DMZ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 911 Cisco 892 - Routeur 10/100/1000 jusqu’à 50 tunnels VPN . . . . . . . . . . . . . . . . 1012 VC7400 - Jusqu’à 3000 tunnels VPN . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1113 OpenVPN (Linux/Windows) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1214 OpenSWAN (Linux) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1215 Tinc (Linux) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1216 plus simplement dans l’OS du serveur . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12

13 / 13