Introduction
Les applications et les systèmes
distribués font de plus en plus partie intégrante du paysage d'un grand nombre
d'entreprises. Ces technologies ont pu se développer grâce aux performances
toujours plus importantes des réseaux locaux.
Mais le succès de ces applications a fait aussi apparaître un de leur écueil. En effet si les applications distribuées deviennent le principal outil du système d'information de l'entreprise, comment assurer leur accès sécurisé au sein de structures parfois réparties sur de grandes distances géographiques ? Concrètement comment une succursale d'une entreprise peut-elle accéder aux données situées sur un serveur de la maison mère distant de plusieurs milliers de kilomètres ? Les Vpn ont commencé à être mis en place pour répondre à Ce type de problématique. Mais d'autres problématiques sont apparues et les Vpn ont aujourd'hui pris une place importante dans les réseaux informatique et l'informatique distribuées. Nous verrons ici quelles sont les principales caractéristiques des Vpn à travers un certain nombre d'utilisation type. Nous nous intéresserons ensuite aux protocoles permettant leur mise en place.
Mais le succès de ces applications a fait aussi apparaître un de leur écueil. En effet si les applications distribuées deviennent le principal outil du système d'information de l'entreprise, comment assurer leur accès sécurisé au sein de structures parfois réparties sur de grandes distances géographiques ? Concrètement comment une succursale d'une entreprise peut-elle accéder aux données situées sur un serveur de la maison mère distant de plusieurs milliers de kilomètres ? Les Vpn ont commencé à être mis en place pour répondre à Ce type de problématique. Mais d'autres problématiques sont apparues et les Vpn ont aujourd'hui pris une place importante dans les réseaux informatique et l'informatique distribuées. Nous verrons ici quelles sont les principales caractéristiques des Vpn à travers un certain nombre d'utilisation type. Nous nous intéresserons ensuite aux protocoles permettant leur mise en place.
Principe de fonctionnement
Principe général
Un réseau Vpn repose sur un
protocole appelé "protocole de tunneling". Ce protocole permet de
faire circuler les informations de l'entreprise de façon cryptée d'un bout à
l'autre du tunnel. Ainsi, les utilisateurs ont l'impression de se connecter
directement sur le réseau de leur entreprise.
Le principe de tunneling consiste à construire un chemin virtuel après avoir identifié l'émetteur et le destinataire. Par la suite, la source chiffre les données et les achemine en empruntant Ce chemin virtuel. Afin d'assurer un accès aisé et peu coûteux aux intranets ou aux extranets d'entreprise, les réseaux privés virtuels d'accès simulent un réseau privé, alors qu'ils utilisent en réalité une infrastructure d'accès partagée, comme Internet.
Les données à transmettre peuvent être prises en charge par un protocole différent d'Ip. Dans Ce cas, le protocole de tunneling encapsule les données en ajoutant une en-tête. Le tunneling est l'ensemble des processus d'encapsulation, de transmission et de désencapsulation.
Le principe de tunneling consiste à construire un chemin virtuel après avoir identifié l'émetteur et le destinataire. Par la suite, la source chiffre les données et les achemine en empruntant Ce chemin virtuel. Afin d'assurer un accès aisé et peu coûteux aux intranets ou aux extranets d'entreprise, les réseaux privés virtuels d'accès simulent un réseau privé, alors qu'ils utilisent en réalité une infrastructure d'accès partagée, comme Internet.
Les données à transmettre peuvent être prises en charge par un protocole différent d'Ip. Dans Ce cas, le protocole de tunneling encapsule les données en ajoutant une en-tête. Le tunneling est l'ensemble des processus d'encapsulation, de transmission et de désencapsulation.
Fonctionnalités des Vpn
Il
existe 3 types standard d'utilisation des Vpn. En étudiant ces schémas
d'utilisation, il est possible d'isoler les fonctionnalités indispensables des
Vpn.
► Le Vpn
d'accès
Le Vpn d'accès est utilisé pour
permettre à des utilisateurs itinérants d'accéder au réseau privé.
L'utilisateur se sert d'une connexion Internet pour établir la connexion Vpn.
Il existe deux cas:
L'utilisateur demande au fournisseur
d'accès de lui établir une connexion cryptée vers le serveur distant : il communique
avec le Nas (Network Access Server) du fournisseur d'accès et c'est le Nas qui
établit la connexion cryptée.
L'utilisateur possède son propre
logiciel client pour le Vpn auquel cas il établit directement la communication
de manière cryptée vers le réseau de l'entreprise.
Les deux méthodes possèdent chacune
leurs avantages et leurs inconvénients :
La première permet à l'utilisateur
de communiquer sur plusieurs réseaux en créant plusieurs tunnels, mais
nécessite un fournisseur d'accès proposant un Nas compatible avec la solution
Vpn choisie par l'entreprise. De plus, la demande de connexion par le Nas n'est
pas cryptée Ce qui peut poser des problèmes de sécurité.
Sur la deuxième méthode Ce problème
disparaît puisque l'intégralité des informations sera cryptée dès
l'établissement de la connexion. Par contre, cette solution nécessite que
chaque client transporte avec lui le logiciel, lui permettant d'établir une
communication cryptée. Nous verrons que pour pallier Ce problème certaines
entreprises mettent en place des Vpn à base de Ssl, technologie implémentée
dans la majorité des navigateurs Internet du marché.
Quelle que soit la méthode de
connexion choisie, Ce type d'utilisation montre bien l'importance dans le Vpn
d'avoir une authentification forte des utilisateurs. Cette authentification
peut se faire par une vérification "login / mot de passe", par un
algorithme dit "Tokens sécurisés" (utilisation de mots de passe
aléatoires) ou par certificats numériques.
► L'intranet
Vpn
L'intranet Vpn est utilisé pour
relier au moins deux intranets entre eux. Ce type de réseau est
particulièrement utile au sein d'une entreprise possédant plusieurs sites
distants. Le plus important dans Ce type de réseau est de garantir la sécurité
et l'intégrité des données. Certaines données très sensibles peuvent être
amenées à transiter sur le Vpn (base de données clients, informations
financières...). Des techniques de cryptographie sont mises en oeuvre pour
vérifier que les données n'ont pas été altérées. Il s'agit d'une
authentification au niveau paquet pour assurer la validité des données, de
l'identification de leur source ainsi que leur non-répudiation. La plupart des
algorithmes utilisés font appel à des signatures numériques qui sont ajoutées
aux paquets. La confidentialité des données est, elle aussi, basée sur des
algorithmes de cryptographie. La technologie en la matière est suffisamment
avancée pour permettre une sécurité quasi parfaite. Le coût matériel des
équipements de cryptage et décryptage ainsi que les limites légales interdisent
l'utilisation d'un codage " infaillible ". Généralement pour la
confidentialité, le codage en lui-même pourra être moyen à faible, mais sera
combiné avec d'autres techniques comme l'encapsulation Ip dans Ip pour assurer
une sécurité raisonnable.
► L'extranet
Vpn
Une entreprise peut utiliser le Vpn
pour communiquer avec ses clients et ses partenaires. Elle ouvre alors son
réseau local à ces derniers. Dans Ce cadre, il est fondamental que
l'administrateur du Vpn puisse tracer les clients sur le réseau et gérer les
droits de chacun sur celui-ci.
► Bilan des caractéristiques fondamentales d'un Vpn
Un système de Vpn doit pouvoir
mettre en oeuvre les fonctionnalités suivantes :
·
Authentification
d'utilisateur. Seuls les utilisateurs autorisés doivent pouvoir s'identifier
sur le réseau virtuel. De plus, un historique des connexions et des actions
effectuées sur le réseau doit être conservé.
·
Gestion
d'adresses. Chaque client sur le réseau doit avoir une adresse privée. Cette
adresse privée doit rester confidentielle. Un nouveau client doit pourvoir se
connecter facilement au réseau et recevoir une adresse.
·
Cryptage
des données. Lors de leurs transports sur le réseau public les données doivent
être protégées par un cryptage efficace.
·
Gestion
de clés. Les clés de cryptage pour le client et le serveur doivent pouvoir être
générées et régénérées.
·
Prise
en charge multiprotocole. La solution Vpn doit supporter les protocoles les
plus utilisés sur les réseaux publics en particulier Ip.
Le Vpn est un principe : il ne
décrit pas l'implémentation effective de ces caractéristiques. C'est pourquoi
il existe plusieurs produits différents sur le marché dont certains sont
devenus standard, et même considérés comme des normes.
Protocoles utilisés pour réaliser une connexion Vpn
Nous pouvons classer les protocoles
que nous allons étudier en deux catégories:
- Les protocoles de niveau 2 comme Pptp et L2tp.
- Les protocoles de niveau 3 comme Ipsec ou Mpls.
- Protocole de niveau 4 comme SSL/TLS (Secure Socket Layer/Tranports Layer Security).
Il existe en réalité trois
protocoles de niveau 2 permettant de réaliser des Vpn : Pptp (de Microsoft),
L2F (développé par CISCO) et enfin L2tp. Nous n'évoquerons dans cette étude que
Pptp et L2tp : le protocole L2F ayant aujourd'hui quasiment disparut. Le
protocole Pptp aurait sans doute lui aussi disparut sans le soutien de
Microsoft qui continue à l'intégrer à ses systèmes d'exploitation Windows. L2tp
est une évolution de Pptp et de L2F, reprenant les avantages des deux
protocoles.
Les protocoles de couche 2 dépendent des fonctionnalités spécifiées pour Ppp (Point to Point Protocol), c'est pourquoi nous allons tout d'abord rappeler le fonctionnement de Ce protocole.
Les protocoles de couche 2 dépendent des fonctionnalités spécifiées pour Ppp (Point to Point Protocol), c'est pourquoi nous allons tout d'abord rappeler le fonctionnement de Ce protocole.
Aucun commentaire :
Enregistrer un commentaire