VPN Réseaux Privés Virtuels. Historique Les entreprises se servent de réseaux privés pour...
24
VPN VPN Réseaux Privés Virtuels Réseaux Privés Virtuels
-
Upload
aude-blondeau -
Category
Documents
-
view
108 -
download
0
Transcript of VPN Réseaux Privés Virtuels. Historique Les entreprises se servent de réseaux privés pour...
VPNVPN
Réseaux Privés VirtuelsRéseaux Privés Virtuels
HistoriqueHistorique
Les entreprises se servent de Les entreprises se servent de réseaux privés pour communiquer réseaux privés pour communiquer avec des sites distants et d’autres avec des sites distants et d’autres entreprises .entreprises .
Elles utilisent des lignes louées, Elles utilisent des lignes louées, sécurisées mais coûteuses. sécurisées mais coûteuses.
Les postes nomades accèdent à Les postes nomades accèdent à l’entreprise via des communications l’entreprise via des communications RTC ou NUMERIS peu rapide.RTC ou NUMERIS peu rapide.
VPNVPN
La mise en place d’un VPN doit La mise en place d’un VPN doit permettre des connexions distantes permettre des connexions distantes ( sites ou postes isolés ) sécurisées et ( sites ou postes isolés ) sécurisées et surtout moins coûteuses puisque surtout moins coûteuses puisque utilisant Internet.utilisant Internet.
Problèmes : Comment séparer le trafic Problèmes : Comment séparer le trafic Internet et le trafic privé ? Comment Internet et le trafic privé ? Comment garantir la confidentialité et l’intégrité garantir la confidentialité et l’intégrité des données échangées ?des données échangées ?
CaractéristiquesCaractéristiques
Le trafic doit être chiffré.Le trafic doit être chiffré. Les sites sont authentifiés.Les sites sont authentifiés. Plusieurs protocoles doivent être Plusieurs protocoles doivent être
gérés :gérés : http; smtp , netbios etc.http; smtp , netbios etc.
La connexion est de type point à La connexion est de type point à point.point.
CaractéristiquesCaractéristiques
Utilisateur à SiteUtilisateur à Site
Le serveur VPN peut être :Le serveur VPN peut être : Le pare-feu de l’entreprise.Le pare-feu de l’entreprise. Un serveur VPN séparé.Un serveur VPN séparé.
L’utilisateur se connecte via L’utilisateur se connecte via Internet. Il initialise le VPN.Internet. Il initialise le VPN.
Le serveur VPN authentifie Le serveur VPN authentifie l’utilisateur.l’utilisateur.
Utilisateur à SiteUtilisateur à Site
Utilisateur à SiteUtilisateur à Site
Avantage :Avantage : Accès de n’importe où au prix d’une Accès de n’importe où au prix d’une
communication locale et/ou d’un abonnement communication locale et/ou d’un abonnement FAI.FAI.
Inconvénient :Inconvénient : Le débit dépend de l’état de la connexion Le débit dépend de l’état de la connexion
Internet.Internet. Sécurité accrue : Authentification forte , IP Sécurité accrue : Authentification forte , IP
Fixes.Fixes. Pas de NAT dynamique.Pas de NAT dynamique.
Site à SiteSite à Site
Le VPN est réalisé entre des pare-Le VPN est réalisé entre des pare-feu et/ou des routeurs.feu et/ou des routeurs.
Un des deux sites doit initialiser le Un des deux sites doit initialiser le VPN.VPN.
Les sites s’authentifient par échange Les sites s’authentifient par échange de certificats.de certificats.
Le VPN constitue un tunnel sécurisé.Le VPN constitue un tunnel sécurisé.
Site à SiteSite à Site
Site à SiteSite à Site
Avantages :Avantages : Les coûtsLes coûts
Inconvénients :Inconvénients : Adressage IP des sites.Adressage IP des sites. Renforcement de la sécurité.Renforcement de la sécurité.
Normes TechniquesNormes Techniques
Un VPN est composé de trois Un VPN est composé de trois éléments :éléments :
Le Serveur VPNLe Serveur VPN Les algorithmes de chiffrementLes algorithmes de chiffrement Le système d’authentificationLe système d’authentification
Normes techniquesNormes techniques
Eléments à prendre en compte :Eléments à prendre en compte : Durée de protection des informations.Durée de protection des informations. Nombre de connexions utilisateurs Nombre de connexions utilisateurs
simultanéessimultanées Type de connexion : fixes ou itinérantes.Type de connexion : fixes ou itinérantes. Nombre de sites distantsNombre de sites distants Volume du trafic à traiter Volume du trafic à traiter
( applications )( applications ) Politique de sécurité de l’entreprise.Politique de sécurité de l’entreprise.
Le Serveur VPNLe Serveur VPN
C’est le point d’extrémité du réseau C’est le point d’extrémité du réseau virtuel.virtuel.
Il doit être adapté à la charge.Il doit être adapté à la charge. Il doit être situé sur le réseau à Il doit être situé sur le réseau à
atteindre :atteindre : Pare-feuPare-feu RouteurRouteur Système autonome à l’intérieur d’une Système autonome à l’intérieur d’une
DMZ.DMZ.
Le Serveur VPNLe Serveur VPN
Le Serveur VPNLe Serveur VPN
Chiffrement et Chiffrement et AuthentificationAuthentification
Algorithme FortAlgorithme Fort
Authentification physique : Adresse Authentification physique : Adresse IPIP
Authentification utilisateur forte :Authentification utilisateur forte : Mots de passes complexes, changés Mots de passes complexes, changés
périodiquement.périodiquement. Cartes à puces ou biométrie.Cartes à puces ou biométrie.
Les produitsLes produits
VPN à base de firewall :VPN à base de firewall : Cisco PIX, Watchguard, NetASQ etc.Cisco PIX, Watchguard, NetASQ etc.
VPN à base de routeurVPN à base de routeur VPN logiciels :VPN logiciels :
Existent sous WinNT, Win2000 ou LinuxExistent sous WinNT, Win2000 ou Linux Ex : Checkpoint VPNEx : Checkpoint VPN
VPN par Windows 2000VPN par Windows 2000
VPN sous Windows 2000VPN sous Windows 2000
Coté Serveur :Coté Serveur : S’installe à partir de la console Routage et Accès S’installe à partir de la console Routage et Accès
Distant se trouvant dans les outils d’administration.Distant se trouvant dans les outils d’administration. Utilise un trafic PPTP ou L2TPUtilise un trafic PPTP ou L2TP Mets en place des filtres sur les connexions Mets en place des filtres sur les connexions
rentrantes n’autorisant que ces 2 protocoles.rentrantes n’autorisant que ces 2 protocoles. Nécessite que l’on autorise les utilisateurs à se Nécessite que l’on autorise les utilisateurs à se
connecter à distance.connecter à distance. Coté Client :Coté Client :
Se configure comme une connexion réseau Se configure comme une connexion réseau distante.distante.
VPN sous Windows 2000VPN sous Windows 2000
PPTP : Point-to-Point Tunneling PPTP : Point-to-Point Tunneling ProtocolProtocol Utilise le port TCP 1723 et le protocole Utilise le port TCP 1723 et le protocole
IP ID 47 (GRE – Generic Routing IP ID 47 (GRE – Generic Routing Encapsulation)Encapsulation)
Utilise un cryptage MPPE sur 40, 56 ou Utilise un cryptage MPPE sur 40, 56 ou 128 bits.128 bits.
VPN sous Windows 2000VPN sous Windows 2000 PPTP est un protocole de niveau 2 qui PPTP est un protocole de niveau 2 qui
encapsule des trames PPP dans des encapsule des trames PPP dans des datagrammes IP afin de les transférer sur datagrammes IP afin de les transférer sur un réseau IP. PPTP permet le cryptage un réseau IP. PPTP permet le cryptage des données PPP encapsulées mais aussi des données PPP encapsulées mais aussi leur compression. leur compression.
VPN sous Windows 2000VPN sous Windows 2000
L2TP : Layer 2 Tunneling Protocol L2TP : Layer 2 Tunneling Protocol Utilise le port UDP 500 et les protocole Utilise le port UDP 500 et les protocole
IP ID 50 (IPSec ESP) et ID 51 (IPSec IP ID 50 (IPSec ESP) et ID 51 (IPSec AH)AH)
Utilise un cryptage DES 56 bits ou Utilise un cryptage DES 56 bits ou Triple DES sur 112 bits.Triple DES sur 112 bits.
Utilise des certificats IPSecUtilise des certificats IPSec
VPN sous Windows 2000VPN sous Windows 2000 Microsoft et Cisco, reconnaissant les mérites de deux Microsoft et Cisco, reconnaissant les mérites de deux
protocoles L2F et PPTP , se sont associés pour créer le protocoles L2F et PPTP , se sont associés pour créer le protocoles L2TP. On utilise souvent ce protocole pour créer protocoles L2TP. On utilise souvent ce protocole pour créer des VPN sur Internet. Dans ce cas, L2TP transporte des des VPN sur Internet. Dans ce cas, L2TP transporte des trames PPP dans des paquets IP. Il se sert d'une série de trames PPP dans des paquets IP. Il se sert d'une série de messages L2TP pour assurer la maintenance du tunnel et messages L2TP pour assurer la maintenance du tunnel et d'UDP pour envoyer les trames PPP dans du L2TP. d'UDP pour envoyer les trames PPP dans du L2TP.
VPN sous LinuxVPN sous Linux FreesWan :FreesWan :
compatible avec les solutions commerciales de compatible avec les solutions commerciales de Checkpoint, CISCO et Radius. Checkpoint, CISCO et Radius.
Gère les authentifications PSK, RSA et les Gère les authentifications PSK, RSA et les certificats X509 et permet un chiffrement fort avec certificats X509 et permet un chiffrement fort avec 3DES ou blowfish. 3DES ou blowfish.
CIPE :CIPE : Authentification basée sur un échange préalable de Authentification basée sur un échange préalable de
clefs, PSK, et un chiffrement fort utilisant blowfish clefs, PSK, et un chiffrement fort utilisant blowfish VPN construit sur UDP, ce qui le rend très facile à VPN construit sur UDP, ce qui le rend très facile à
intégrer à des réseaux locaux distants protégés par intégrer à des réseaux locaux distants protégés par des firewalls permetant la translation d'adresse des firewalls permetant la translation d'adresse
