Your SlideShare is downloading. ×
vpn
vpn
vpn
vpn
vpn
vpn
vpn
vpn
vpn
vpn
vpn
vpn
vpn
vpn
vpn
vpn
vpn
vpn
vpn
vpn
vpn
vpn
vpn
vpn
vpn
vpn
vpn
vpn
vpn
vpn
vpn
vpn
vpn
vpn
vpn
vpn
Upcoming SlideShare
Loading in...5
×

Thanks for flagging this SlideShare!

Oops! An error has occurred.

×
Saving this for later? Get the SlideShare app to save on your phone or tablet. Read anywhere, anytime – even offline.
Text the download link to your phone
Standard text messaging rates apply

vpn

3,370

Published on

Published in: Education
0 Comments
2 Likes
Statistics
Notes
  • Be the first to comment

No Downloads
Views
Total Views
3,370
On Slideshare
0
From Embeds
0
Number of Embeds
0
Actions
Shares
0
Downloads
316
Comments
0
Likes
2
Embeds 0
No embeds

Report content
Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
No notes for slide

Transcript

  • 1. sommaire1- Introduction2 - Principe de fonctionnement 2.1 - Principe général 2.2 - Fonctionnalités des Vpn 2.2.1 - Le Vpn daccès 2.2.2 - Lintranet Vpn 2.2.3 - Lextranet Vpn 2.2.4 - Bilan des caractéristiques fondamentales dun Vpn3 - Protocoles utilisés pour réaliser une connexion Vpn 3.1 - Rappels sur Ppp 3.1.1 - Généralités 3.1.2 - Format dune trame Ppp 3.1.3 - Les différentes phases dune connexion Ppp 3.2 - Le protocole Pptp 3.3 - Le protocole L2tp 3.3.1 - Concentrateurs daccès L2tp (Lac : L2tp Access Concentrator) 3.3.2 - Serveur réseau L2tp (Lns : L2tp Network Server) 3.4 - Le protocole Ipsec 3.4.1 - Vue densemble 3.4.2 - Principe de fonctionnement 3.4.3 - Le protocole Ah (Authentication Header) 3.4.4 - Protocole Esp (Encapsulating Security Payload) 3.4.5 - La gestion des clefs pour Ipsec : Isakmp et Ike 3.4.6 - Les deux modes de fonctionnement de Ipsec 3.5 - Le protocole Mpls 3.5.1 - Principe de fonctionnement de Mpls 3.5.2 - Utilisation du Mpls pour les Vpn 3.5.3 - Sécurité 3.6 - Le protocole Ssl 3.6.1 - Fonctionnement4 - Comparaison des différents protocoles 4.1 - Vpn-Ssl, une nouveauté marketing ? 4.2 - Pptp 4.3 - L2tp / Ipsec 4.4 - Mpls 4.5 - Mpls / Ipsec5 - Présentation d’Open VPN5.1-Fonctionnalités d’OPENVPN 5.1.1-Principe général
  • 2. 5.1.2-Mode routé 5.1.2.1-Principe 5.1.2.2-Avantages du Routing 5.1.2.3-Inconvénients du Routing 5.1.3-Mode bridgé 5.1.3.1-Principe 5.1.3.2-Fonctionnalités 5.1.3.3-Avantages du Bridging 5.1.3.4-Inconvénients du Bridging6 - Conclusion
  • 3. 1 – Introduction :La mise en place d’un VPN est basée sur des plateformes de cryptage. La configurationde ces plateformes dépend du système d’exploitation utilisé. L’établissement d’uneconnexion VPN nécessite des connaissances en cryptographie et en paramétrage réseau.Plusieurs solutions utilisant des plateformes propriétaires et d’autres libres existent. Latechnologie VPN garantit des échanges sécurisés dinformations sensibles, accessiblesdepuis nimporte quel endroit, du moment quune connexion Internet est disponible.2 - Principe de fonctionnement :Un réseau Vpn repose sur un protocole appelé "protocole de tunneling". Ce protocolepermet de faire circuler les informations de lentreprise de façon cryptée dun bout àlautre du tunnel. Ainsi, les utilisateurs ont limpression de se connecter directementsur le réseau de leur entreprise.Le principe de tunneling consiste à construire un chemin virtuel après avoir identifiélémetteur et le destinataire. Par la suite, la source chiffre les données et les achemineen empruntant Ce chemin virtuel. Afin dassurer un accès aisé et peu coûteux auxintranets ou aux extranets dentreprise, les réseaux privés virtuels daccès simulent unréseau privé, alors quils utilisent en réalité une infrastructure daccès partagée,comme Internet.Les données à transmettre peuvent être prises en charge par un protocole différentdIp. Dans Ce cas, le protocole de tunneling encapsule les données en ajoutant une en-tête. Le tunneling est lensemble des processus dencapsulation, de transmission et dedésencapsulation.
  • 4. 2.2 - Fonctionnalités des Vpn :- Le Vpn daccès- L’intranet VPN-L’extranet VPN 2.2.1 - Le Vpn daccès :Le VPN d‘accès : il est utilisé pour permettre à des utilisateurs itinérants daccéderau réseau de leur entreprise. Lutilisateur se sert dune connexion Internet afindétablir une liaison sécurisée. 2.2.2 - L’intranet VPN :L‘intranet VPN : il est utilisé pour relier deux ou plusieurs intranets dune mêmeEntreprise entre eux. Ce type de réseau est particulièrement utile au sein duneentreprise possédant plusieurs sites distants. Cette technique est égalementutilisée pour relier des réseaux dentreprise, sans quil soit question dintranet(partage de données, de ressources, exploitation de serveurs distants
  • 5. 2.2.3 - L‘extranet VPN :une entreprise peut utiliser le VPN pour communiquer avec ses clients et sespartenaires. Elle ouvre alors son réseau local à ces derniers. Dans ce cas, il estnécessaire davoir une authentification forte des utilisateurs, ainsi quune tracedes différents accès. De plus, seul une partie des ressources sera partagée, cequi nécessite une gestion rigoureuse des espaces déchange. 2.2.4 - Bilan des caractéristiques fondamentales dun Vpn : Un système de Vpn doit pouvoir mettre en œuvre les fonctionnalités suivantes : Authentification dutilisateur. Seuls les utilisateurs autorisés doivent pouvoir sidentifier sur le réseau virtuel. De plus, un historique des connexions et des actions effectuées sur le réseau doit être conservé. Gestion dadresses. Chaque client sur le réseau doit avoir une adresse privée. Cette adresse privée doit rester confidentielle. Un nouveau client doit pourvoir se connecter facilement au réseau et recevoir une adresse. Cryptage des données. Lors de leurs transports sur le réseau public les données doivent être protégées par un cryptage efficace. Gestion de clés. Les clés de cryptage pour le client et le serveur doivent pouvoir être générées et régénérées. Prise en charge multiprotocole. La solution Vpn doit supporter les protocoles les plus utilisés sur les réseaux publics en particulier Ip. Le Vpn est un principe : il ne décrit pas limplémentation effective de ces caractéristiques. Cest pourquoi il existe plusieurs produits différents sur le
  • 6. marché dont certains sont devenus standard, et même considérés comme des normes.3 - Protocoles utilisés pour réaliser une connexion Vpn :Nous pouvons classer les protocoles que nous allons étudier en deux catégories: Les protocoles de niveau 2 comme Pptp et L2tp. Les protocoles de niveau 3 comme Ipsec ou Mpls.Il existe en réalité trois protocoles de niveau 2 permettant de réaliser des Vpn : Pptp(de Microsoft), L2F (développé par CISCO) et enfin L2tp. Nous névoquerons dans cette étude que Pptp et L2tp : le protocole L2F ayantaujourdhui quasiment disparut.Le protocole Pptp aurait sans doute lui aussi disparut sans le soutien de Microsoft quicontinue à lintégrer à ses systèmes dexploitation Windows. L2tp est une évolution dePptp et de L2F, reprenant les avantages des deux protocoles.Les protocoles de couche 2 dépendent des fonctionnalités spécifiées pour Ppp (Point toPoint Protocol), cest pourquoi nous allons tout dabord rappeler le fonctionnement deCe protocole. 3.1 - Rappels sur Ppp : Ppp (Point to Point Protocol) est un protocole qui permet de transférer des données sur un lien synchrone ou asynchrone. Il est full duplex et garantit lordre darrivée des paquets. Il encapsule les paquets Ip, Ipx et Netbeui dans des trames Ppp, puis transmet ces paquets encapsulés au travers de la liaison point à point. Ppp est employé généralement entre un client daccès à distance et un serveur daccès réseau (Nas). Le protocole Ppp est défini dans la Rfc 1661 appuyé de la Rfc 2153. 3.1.1 - Généralités Ppp est lun des deux protocoles issus de la standardisation des communications sur liaisons séries (Slip étant le deuxième). Il permet non seulement lencapsulation de datagrammes, mais également la résolution de certains
  • 7. problèmes liés aux protocoles réseaux comme lassignation et la gestion des adresses (Ip,X25 et autres). Une connexion Ppp est composée principalement de trois parties : Une méthode pour encapsuler les datagrammes sur la liaison série. Ppp utilise le format de trame Hdlc (Hight Data Level Control) de lISO (International Standartization Organisation). Un protocole de contrôle de liaison (Lcp - Link Control Protocol) pour établir, configurer et tester la connexion de liaison de données. Plusieurs protocoles de contrôle de réseaux (Ncps - Network Control Protocol) pour établir et configurer les différents protocoles de couche réseau. 3.1.2 - Format dune trame Ppp :Fanion - Séparateur de trame égale à la valeur 01111110. Un seul drapeau est nécessaireentre 2 trames.Adresse - Ppp ne permet pas un adressage individuel des stations donc Ce champ doitêtre à 0xFF (toutes les stations). Toute adresse non reconnue entraînera la destructionde la trame.Contrôle - Le champ contrôle doit être à 0x03Protocole - La valeur contenue dans Ce champ doit être impaire (loctet de poids fortétant pair). Ce champ identifie le protocole encapsulé dans le champ informations de latrame. Les différentes valeurs utilisables sont définies dans la Rfc « assignnumber » etreprésentent les différents protocoles supportés par Ppp (Osi, Ip, Decnet IV, Ipx...),les Ncp associés ainsi que les Lcp.
  • 8. Données - De longueur comprise entre 0 et 1500 octets, Ce champ contient ledatagramme du protocole supérieur indiqué dans le champ "protocole". Sa longueur estdétectée par le drapeau de fin de trame, moins deux octets de contrôle.Fcs (Frame Check Sequence) - Ce champ contient la valeur du checksum de la trame.Ppp vérifie le contenu du Fcs lorsquil reçoit un paquet. Le contrôle derreur appliquépar Ppp est conforme à X25. 3.1.3 - Les différentes phases dune connexion Ppp Toute connexion Ppp commence et finit par une phase dite de "liaison morte". Dès quun événement externe indique que la couche physique est prête, la connexion passe à la phase suivante, à savoir létablissement de la liaison. Comme Ppp doit être supporté par un grand nombre denvironnements, un protocole spécifique a été élaboré et intégré à Ppp pour toute la phase de connexion ; il sagit de Lcp (Link Control Protocol). Lcp est un protocole utilisé pour établir, configurer, tester, et terminer la connexion Ppp. Il permet de manipuler des tailles variables de paquets et effectue un certain nombre de tests sur la configuration. Il permet notamment de détecter un lien bouclé sur lui-même. La connexion Ppp passe ensuite à une phase dauthentification. Cette étape est facultative et doit être spécifiée lors de la phase précédente. Si lauthentification réussie ou quelle na pas été demandée, la connexion passe en phase de "Protocole réseau". Cest lors de cette étape que les différents protocoles réseaux sont configurés. Cette configuration seffectue séparément pour chaque protocole réseau. Elle est assurée par le protocole de contrôle de réseau (Ncp) approprié. A Ce moment, le transfert des données est possible. Les NPC peuvent à tout moment ouvrir ou fermer une connexion. Ppp peut terminer une liaison à tout moment, parce quune authentification a échouée, que la qualité de la ligne est mauvaise ou pour toute autre raison. Cest le Lcp qui assure la fermeture de la liaison à laide de paquets de terminaison. Les Ncp sont alors informés par Ppp de la fermeture de la liaison. 3.2 - Le protocole Pptp :Le Point-To-Point Tunneling Protocol (PPTP) est un protocole d’encapsulation s’appuyantsur le protocole PPP pour la communication. Ce protocole ne peut travailler que sur desréseaux IP. Historiquement parlant, ce protocole a été implémenté pour la première foispar Cisco, il fut ensuite repris par Microsoft dans ses systèmes Windows. Unespécification fut publiée dans laRequest For Comments (RFC) 2637 en juillet 1999,parmi les auteurs on citera à nouveau Microsoft, mais également l’équipementier 3Com,ainsi que d’autres sociétés moins connues (Ascend Communications, Copper MountainNetworks, ECI Telematics, etc…)
  • 9. Fonctionnement général dun VPN avec PPTPLe protocole PPTP consiste en deux flux de communication entre le client et le serveur,sappuyant directement sur le protocole IP :Le premier flux a pour rôle la gestion du lien entre les deux parties, il s’agit là d’uneconnexion sur le port 1723 du serveur en TCP.Le second flux concerne les données échangées entre les deux parties, bien entendu ceflux peut et doit être chiffré, ce dernier transite en utilisant leprotocole General Routing Encapsulation.PPTP ne concerne que le transport des données, un de ces deux protocoles intervientensuite pour sécuriser lauthentification, il faut en effet être certain que cest la bonnepersonne qui se connecte au serveur VPN !Password Authentification Protocol (PAP) : ce protocole décrit dans la RFC1994 consiste à mettre en place une authentification entre le client et le serveur VPN.Les informations dauthentification (nom dutilisateur et mot de passe) transitent enclair, ce qui nest pas lidéal si lon veut sécuriser au maximum...Challenge Handshake Authentification Protocol (CHAP) : ce protocole consiste en unmécanisme dauthentification crypté, il est donc sécurisé. Un protocole basé sur cedernier, développé par Microsoft, est aussi utilisé : MS-CHAP.Lauthentification effectuée, il faut désormais sécuriser la communication au sein duVPN; comme pour lauthentification, la sécurisation des données repose sur un protocolede PPP : Compression Control Protocol. Différents types de cryptage sont utilisés, quilssoient symétriques ou asymétriques. Les algorithmes RSA (DES, RC4 et IDEA) et lesclés publiques (Public Key Infrastructure, PKI) entre autres. 3.3 - Le protocole L2tp :L2TP est un protocole combinant les avantages du PPTP de Microsoft et du Layer 2Forwarding (L2F) de Cisco, ce protocole est décrit dans laRFC 2661 et a été créé par l’Internet Egineering Task Force (IETF), il s’appuie lui aussi sur le protocole PPP. Le
  • 10. protocole L2TP est aujourd’hui principalement utilisé par les Fournisseurs d’Accès àInternet (FAI ou ISP en anglais).L2TP est la plupart du temps couplé à IPSsec pour sécuriser les données, comme décritdans la RFC 3193, en effet, L2TP ne soccupe que du transport des données et non deleur confidentialité.Fonctionnement général dun VPN avec L2TPNous venons de voir que PPTP ne peut travailler que sur des réseaux IP, or, avec L2TP, ilest possible dinterconnecter nimporte quel réseau orienté paquet(IP, ATM, X.25, Frame Relay).Ce protocole de transport utilise UDP pour faire transiter les données et rajoute un en-tête L2TP auxpaquets. Le problème est que UDP ne propose pas de système de contrôlede lintégrité des données transmises (contrairement à TCP), L2TP sappuie donc surdeux flux pour communiquer :Un premier flux est utilisé pour contrôler lintégrité des échanges ainsi que gérer letunnel, il utilise le port UDP 1701.Le second flux sert à envoyer purement et simplement les données, il peut lui aussiutiliser le port 1701 mais pas nécessairement, une liste de ports a dailleurs été assignéepar le IANA à cet effet.Lauthentification et la sécurité des données ne sont pas assurées en natif par L2TP,cest pourquoi on rajoute souvent une couche IPSec à ce genre de VPN. Cette couchepermettra de garantir que les échanges se font entre les bonnes personnes (ou entités)et ne pourront être exploités en cas dinterception par une personne tierce.3.3.1 - Concentrateurs daccès L2tp : (Lac : L2tp Access Concentrator) Les périphériques Lac fournissent un support physique aux connexions L2tp. Le trafic étant alors transféré sur les serveurs réseau L2tp. Ces serveurs peuvent sintégrer à la structure dun réseau commuté Rtc ou alors à un système
  • 11. dextrémité Ppp prenant en charge le protocole L2tp. Ils assurent le fractionnement en canaux de tous les protocoles basés sur Ppp. Le Lac est lémetteur des appels entrants et le destinataire des appels sortants. 3.3.2 - Serveur réseau L2tp : (Lns : L2tp Network Server) Les serveurs réseau L2tp ou Lns peuvent fonctionner sur toute plate-forme prenant en charge la terminaison Ppp. Le Lns gère le protocole L2tp côté serveur. Le protocole L2tp nutilise quun seul support, sur lequel arrivent les canaux L2tp. Cest pourquoi, les serveurs réseau Lns, ne peuvent avoir quune seule interface de réseau local (Lan) ou étendu (Wan). Ils sont cependant capables de terminer les appels en provenance de nimporte quelle interface Ppp du concentrateur daccès Lac : async., Rnis, Ppp sur Atm ou Ppp sur relais de trame. Le Lns est lémetteur des appels sortants et le destinataire des appels entrants. Cest le Lns qui sera responsable de lauthentification du tunnel.3.4 - Le protocole Ipsec :Ipsec, définit par la Rfc 2401, est un protocole qui vise à sécuriser léchange dedonnées au niveau de la couche réseau. Le réseau Ipv4 étant largement déployé et lamigration vers Ipv6 étant inévitable, mais néanmoins longue, il est apparu intéressant dedévelopper des techniques de protection des données communes à Ipv4 et Ipv6. Cesmécanismes sont couramment désignés par le terme Ipsec pour Ip Security Protocols.Ipsec est basé sur deux mécanismes. Le premier, AH, pour Authentification Header viseà assurer lintégrité et lauthenticité des datagrammes IP. Il ne fournit par contreaucune confidentialité : les données fournies et transmises par Ce "protocole" ne sontpas encodées. Le second, Esp, pour Encapsulating Security Payload peut aussi permettrelauthentification des données mais est principalement utilisé pour le cryptage desinformations. Bien quindépendants ces deux mécanismes sont presque toujours utilisésconjointement. Enfin, le protocole Ike permet de gérer les échanges ou les associationsentre protocoles de sécurité. Avant de décrire ces différents protocoles, nous allonsexposer les différents éléments utilisés dans Ipsec. 3.4.1 - Vue densemble : Les mécanismes mentionnés ci-dessus font bien sûr appel à la cryptographie et utilisent donc un certain nombre de paramètres (algorithmes de chiffrement utilisés, clefs, mécanismes sélectionnés...) sur lesquels les tiers communicants doivent se mettre daccord. Afin de gérer ces paramètres, Ipsec a recours à la notion dassociation de sécurité (Security Association, SA). Une association de sécurité Ipsec est une "connexion" simplexe qui fournit des
  • 12. services de sécurité au trafic quelle transporte. On peut aussi la considérercomme une structure de données servant à stocker lensemble des paramètresassociés à une communication donnée.Une SA est unidirectionnelle ; en conséquence, protéger les deux sens dunecommunication classique requiert deux associations, une dans chaque sens. Lesservices de sécurité sont fournis par lutilisation soit de AH soit de Esp. Si AHet Esp sont tout deux appliqués au trafic en question, deux SA (voire plus) sontcréées ; on parle alors de paquet (bundle) de SA.Chaque association est identifiée de manière unique à laide dun triplet composéde: Ladresse de destination des paquets, Lidentifiant du protocole de sécurité utilisé (AH ou Esp), Un index des paramètres de sécurité (Security Parameter Index, SPI). Un SPI est un bloc de 32 bits inscrit en clair dans len-tête de chaque paquet échangé ; il est choisi par le récepteur.Pour gérer les associations de sécurités actives, on utilise une "base de donnéesdes associations de sécurité" (Security Association Database, SAD). Ellecontient tous les paramètres relatifs à chaque SA et sera consultée pour savoircomment traiter chaque paquet reçu ou à émettre.Les protections offertes par Ipsec sont basées sur des choix définis dans une"base de données de politique de sécurité" (Security Policy Database, SPD).Cette base de données est établie et maintenue par un utilisateur, unadministrateur système ou une application mise en place par ceux-ci. Elle permetde décider, pour chaque paquet, sil se verra apporter des services de sécurité,sil sera autorisé à passer ou rejeté.3.4.2 - Principe de fonctionnement :Le schéma ci-dessous représente tous les éléments présentés ci-dessus (enbleu), leurs positions et leurs interactions.
  • 13. On distingue deux situations : Trafic sortant Lorsque la "couche" Ipsec reçoit des données à envoyer, elle commence par consulter la base de données des politiques de sécurité (SPD) pour savoir comment traiter ces données. Si cette base lui indique que le trafic doit se voir appliquer des mécanismes de sécurité, elle récupère les caractéristiques requises pour la SA correspondante et va consulter la base des SA (SAD). Si la SA nécessaire existe déjà, elle est utilisée pour traiter le trafic en question. Dans le cas contraire, Ipsec fait appel à IKE pour établir une nouvelle SA avec les caractéristiques requises. Trafic entrant Lorsque la couche Ipsec reçoit un paquet en provenance du réseau, elle examine len-tête pour savoir si Ce paquet sest vu appliquer un ou plusieurs services Ipsec et si oui, quelles sont les références de la SA. Elle consulte alors la SAD pour connaître les paramètres à utiliser pour la vérification et/ou le déchiffrement du paquet. Une fois le paquet vérifié et/ou déchiffré, la Spd est consultée pour savoir si lassociation de sécurité appliquée au paquet correspondait bien à celle requise par les politiques de sécurité.
  • 14. Dans le cas où le paquet reçu est un paquet Ip classique, la Spd permet de savoirsil a néanmoins le droit de passer. Par exemple, les paquets IKE sont uneexception. Ils sont traités par Ike, qui peut envoyer des alertes administrativesen cas de tentative de connexion infructueuse.3.4.3 - Le protocole Ah (Authentication Header):Labsence de confidentialité permet de sassurer que Ce standard pourra êtrelargement répandu sur Internet, y compris dans les endroits où lexportation,limportation ou lutilisation du chiffrement dans des buts de confidentialité estrestreint par la loi.Son principe est dadjoindre au datagramme Ip classique un champsupplémentaire permettant à la réception de vérifier lauthenticité des donnéesincluses dans le datagramme. Ce bloc de données est appelé "valeur devérification dintégrité" (Intégrity Check Value, Icv). La protection contre lerejet se fait grâce à un numéro de séquence.3.4.4 - Protocole Esp (Encapsulating Security Payload) :Esp peut assurer au choix, un ou plusieurs des services suivants :
  • 15. Confidentialité (confidentialité des données et protection partielle contre lanalyse du trafic si lon utilise le mode tunnel). Intégrité des données en mode non connecté et authentification de lorigine des données, protection contre le rejeu.La confidentialité peut être sélectionnée indépendamment des autres services,mais son utilisation sans intégrité/authentification (directement dans Esp ouavec AH) rend le trafic vulnérable à certains types dattaques actives quipourraient affaiblir le service de confidentialité.Le champ bourrage peut être nécessaire pour les algorithmes de chiffrement parblocs ou pour aligner le texte chiffré sur une limite de 4 octets.Les données dauthentification ne sont présentes que si Ce service a étésélectionné.Voyons maintenant comment est appliquée la confidentialité dans Esp.Lexpéditeur : Encapsule, dans le champ "charge utile" de Esp, les données transportées par le datagramme original et éventuellement len-tête Ip (mode tunnel). Ajoute si nécessaire un bourrage. Chiffre le résultat (données, bourrage, champs longueur et en-tête suivant). Ajoute éventuellement des données de synchronisation cryptographiques (vecteur dinitialisation) au début du champ "charge utile".
  • 16. 3.4.5 - La gestion des clefs pour Ipsec : Isakmp et IkeLes protocoles sécurisés présentés dans les paragraphes précédents ont recoursà des algorithmes cryptographiques et ont donc besoin de clefs. Un desproblèmes fondamentaux dutilisation de la cryptographie est la gestion de cesclefs. Le terme "gestion" recouvre la génération, la distribution, le stockage et lasuppression des clefs.IKE (Internet Key Exchange) est un système développé spécifiquement pourIpsec qui vise à fournir des mécanismes dauthentification et déchange de clefadaptés à lensemble des situations qui peuvent se présenter sur lInternet. Ilest composé de plusieurs éléments : le cadre générique Isakmp et une partie desprotocoles Oakley et Skeme. Lorsquil est utilisé pour Ipsec, IKE est de pluscomplété par un "domaine dinterprétation" pour Ipsec.3.4.5.1 - Isakmp (Internet Security Association and KeyManagement Protocol):Isakmp a pour rôle la négociation, létablissement, la modification et lasuppression des associations de sécurité et de leurs attributs. Il pose les basespermettant de construire divers protocoles de gestion des clefs (et plusgénéralement des associations de sécurité). Il comporte trois aspects principaux: Il définit une façon de procéder, en deux étapes appelées phase 1 et phase 2 : dans la première, un certain nombre de paramètres de sécurité propres à Isakmp sont mis en place, afin détablir entre les deux tiers un canal protégé ; dans un second temps, Ce canal est utilisé pour négocier les associations de sécurité pour les mécanismes de sécurité que lon souhaite utiliser (AH et Esp par exemple). Il définit des formats de messages, par lintermédiaire de blocs ayant chacun un rôle précis et permettant de former des messages clairs. Il présente un certain nombre déchanges types, composés de tels messages, qui permettant des négociations présentant des propriétés différentes : protection ou non de lidentité, perfect forward secrecy...Isakmp est décrit dans la Rfc 2408.3.4.5.2 Ike (Internet Key Exchange)IKE utilise Isakmp pour construire un protocole pratique. Il comprend quatremodes : Le mode principal (Main mode)
  • 17. Le mode agressif (Aggressive Mode) Le mode rapide (Quick Mode) Le mode nouveau groupe (New Groupe Mode)Main Mode et Aggressive Mode sont utilisés durant la phase 1, Quick Mode estun échange de phase 2. New Group Mode est un peu à part : Ce nest ni unéchange de phase 1, ni un échange de phase 2, mais il ne peut avoir lieu quunefois quune SA Isakmp est établie ; il sert à se mettre daccord sur un nouveaugroupe pour de futurs échanges Diffie-Hellman.a) Phase 1 : Main Mode et Aggressive ModeLes attributs suivants sont utilisés par Ike et négociés durant la phase 1 : unalgorithme de chiffrement, une fonction de hachage, une méthodedauthentification et un groupe pour Diffie-Hellman.Trois clefs sont générées à lissue de la phase 1 : une pour le chiffrement, unepour lauthentification et une pour la dérivation dautres clefs. Ces clefsdépendent des cookies, des aléas échangés et des valeurs publiques Diffie-Hellman ou du secret partagé préalable. Leur calcul fait intervenir la fonction dehachage choisie pour la SA Isakmp et dépend du mode dauthentification choisi.Les formules exactes sont décrites dans la Rfc 2409.b) Phase 2 : Quick ModeLes messages échangés durant la phase 2 sont protégés en authenticité et enconfidentialité grâce aux éléments négociés durant la phase 1. Lauthenticité desmessages est assurée par lajout dun bloc Hash après len-tête Isakmp et laconfidentialité est assurée par le chiffrement de lensemble des blocs dumessage.Quick Mode est utilisé pour la négociation de SA pour des protocoles de sécuritédonnés comme Ipsec. Chaque négociation aboutit en fait à deux SA, une danschaque sens de la communication.Plus précisément, les échanges composant Ce mode ont le rôle suivant : Négocier un ensemble de paramètres Ipsec (paquets de SA) Échanger des nombres aléatoires, utilisés pour générer une nouvelle clef qui dérive du secret généré en phase 1 avec le protocole Diffie-Hellman. De façon optionnelle, il est possible davoir recours à un nouvel échange Diffie- Hellman, afin daccéder à la propriété de Perfect Forward Secrecy, qui
  • 18. nest pas fournie si on se contente de générer une nouvelle clef à partir de lancienne et des aléas. Optionnellement, identifier le trafic que Ce paquet de SA protégera, au moyen de sélecteurs (blocs optionnels IDi et IDr ; en leur absence, les adresses Ip des interlocuteurs sont utilisées).c) Les groupes : New Groupe ModeLe groupe à utiliser pour Diffie-Hellman peut être négocié, par le biais du blocSA, soit au cours du Main Mode, soit ultérieurement par le biais du New GroupMode. Dans les deux cas, il existe deux façons de désigner le groupe à utiliser : Donner la référence dun groupe prédéfini : il en existe actuellement quatre, les quatre groupes Oakley (deux groupes MODP et deux groupes EC2N). Donner les caractéristiques du groupe souhaité : type de groupe (MODP, ECP, EC2N), nombre premier ou polynôme irréductible, générateurs...d) Phases et modesAu final, le déroulement dune négociation IKE suit le diagramme suivant :
  • 19. 3.4.6 - Les deux modes de fonctionnement de Ipsec Le mode transport prend un flux de niveau transport (couche de niveau 4 du modèle OSI) et réalise les mécanismes de signature et de chiffrement puis transmet les données à la couche Ip. Dans Ce mode, linsertion de la couche Ipsec est transparente entre Tcp et Ip. Tcp envoie ses données vers Ipsec comme il les enverrait vers IPv4. Linconvénient de Ce mode réside dans le fait que len-tête extérieur est produit par la couche Ip cest-à-dire sans masquage dadresse. De plus, le fait de terminer les traitements par la couche Ip ne permet pas de garantir la non- utilisation des options Ip potentiellement dangereuses. Lintérêt de Ce mode réside dans une relative facilité de mise en oeuvre. Dans le mode tunnel, les données envoyées par lapplication traversent la pile de protocole jusquà la couche Ip incluse, puis sont envoyées vers le module Ipsec. Lencapsulation Ipsec en mode tunnel permet le masquage dadresses. Le mode tunnel est utilisé entre deux passerelles de sécurité (routeur, firewall, ...) alors que le mode transport se situe entre deux hôtes.3.5 - Le protocole MplsLe protocole Mpls est un brillant rejeton du "tout ip". Il se présente comme unesolution aux problèmes de routage des datagrammes Ip véhiculés sur Internet. Leprincipe de routage sur Internet repose sur des tables de routage. Pour chaquepaquet les routeurs, afin de déterminer le prochain saut, doivent analyser ladressede destination du paquet contenu dans lentête de niveau 3. Puis il consulte sa tablede routage pour déterminer sur quelle interface doit sortir le paquet. Ce mécanismede recherche dans la table de routage est consommateur de temps Cpu et avec la
  • 20. croissance de la taille des réseaux ces dernières années, les tables de routage desrouteurs ont constamment augmenté. Le protocole Mpls fut initialement développépour donner une plus grande puissance aux commutateurs Ip, mais avec lavènementde techniques de commutation comme Cef (Cisco Express Forwarding) et la mise aupoint de nouveaux Asic (Application Specific Interface Circuits), les routeurs Ip ontvu leurs performances augmenter sans le recours à Mpls. 3.5.1 - Principe de fonctionnement de Mpls : Le principe de base de Mpls est la commutation de labels. Ces labels, simples nombres entiers, sont insérés entre les en-têtes de niveaux 2 et 3, les routeurs permutant alors ces labels tout au long du réseau jusquà destination, sans avoir besoin de consulter lentête Ip et leur table de routage. 3.5.1.1 - Commutation par labels Cette technique de commutation par labels est appelée Label Swapping. Mpls permet de définir des piles de labels (label stack), dont lintérêt apparaîtra avec les Vpn. Les routeurs réalisant les opérations de label swapping sont appelés Lsr pour Label Switch Routers. Les routeurs Mpls situés à la périphérie du réseau (EdgeLsr), qui possèdent à la fois des interfaces Ip traditionnelles et des interfaces connectées au backboneMpls, sont chargés dimposer ou de retirer les labels des paquets Ip qui les traversent. Les routeurs dentrée, qui imposent les labels, sont appelés IngressLsr, tandis que les routeurs de sortie, qui retirent les labels, sont appelés EgressLsr. 3.5.1.2 - Classification des paquets A lentrée du réseau Mpls, les paquets Ip sont classés dans des Fec (Forwarding Equivalent Classes). Des paquets appartenant à une même Fec suivront le même chemin et auront la même méthode de forwarding. Typiquement, les Fec sont des préfixes Ip appris par lIgp tournant sur le backboneMpls, mais peuvent aussi être définis par des informations de Qos (Quality Of Services). La classification des paquets seffectue à lentrée du backboneMpls, par les IngressLsr. A
  • 21. lintérieur du backboneMpls, les paquets sont label-switchés, et aucunereclassification des paquets na lieu. Chaque Lsr affecte un label local, qui serautilisé en entrée, pour chacune de ses Fec et le propage à ses voisins. Les Lsrvoisins sont appris grâce à lIgp. Lensemble des Lsr utilisés pour une Fec,constituant un chemin à travers le réseau, est appelé Label Switch Path (Lsp). Ilexiste un Lsp pour chaque Fec et les Lsp sont unidirectionnels.3.5.2 - Utilisation du Mpls pour les Vpn :Pour satisfaire les besoins des opérateurs de services Vpn, la gestion de Vpn-IPà laide des protocoles Mpls a été définie dans une spécification référencée Rfc2547. Des tunnels sont créés entre des routeurs Mpls de périphérie appartenantà lopérateur et dédiés à des groupes fermés dusagers particuliers, quiconstituent des Vpn. Dans loptique Mpls/Vpn, un Vpn est un ensemble de sitesplacés sous la même autorité administrative, ou groupés suivant un intérêtparticulier.3.5.2.1 - Routeurs P, Pe et Ce :Une terminologie particulière est employée pour désigner les routeurs (enfonction de leur rôle) dans un environnement Mpls / Vpn : P (Provider) : ces routeurs, composant le coeur du backboneMpls, nont aucune connaissance de la notion de Vpn. Ils se contentent dacheminer les données grâce à la commutation de labels ; Pe (Provider Edge) : ces routeurs sont situés à la frontière du backboneMpls et ont par définition une ou plusieurs interfaces reliées à des routeurs clients Ce (Customer Edge) : ces routeurs appartiennent au client et nont aucune connaissance des Vpn ou même de la notion de label. Tout routeur « traditionnel » peut être un routeur Ce, quel que soit son type ou la version dOS utilisée.Le schéma ci-dessous montre lemplacement de ces routeurs dans unearchitecture Mpls :
  • 22. 3.5.2.2 - Routeurs Virtuels : VRF La notion même de Vpn implique lisolation du trafic entre sites clients nappartenant pas aux mêmes Vpn. Pour réaliser cette séparation, les routeurs Pe ont la capacité de gérer plusieurs tables de routage grâce à la notion de Vrf (VpnRouting and Forwarding). Une Vrf est constituée dune table de routage, dune Fib (Forwarding Information Base) et dune table Cef spécifiques, indépendantes des autres Vrf et de la table de routage globale. Chaque Vrf est désignée par un nom (par ex. RED, GREEN, etc.) sur les routeurs Pe. Les noms sont affectés localement et nont aucune signification vis-à-vis des autres routeurs. Chaque interface de Pe, reliée à un site client, est rattachée à une Vrf particulière. Lors de la réception de paquets Ip sur une interface client, le routeur Pe procède à un examen de la table de routage de la Vrf à laquelle est rattachée linterface et donc ne consulte pas sa table de routage globale. Cette possibilité dutiliser plusieurs tables de routage indépendantes permet de gérer un plan dadressage par sites, même en cas de recouvrement dadresses entre Vpn différents. 3.6 - Le protocole Ssl : SSL (Secure Sockets Layer) est un protocole de couche 4 (niveau transport) utilisépar une application pour établir un canal de communication sécurisé avec une autreapplication. Il fournit un accès sécurisé (via un tunnel dédicacé) vers des applicationsspécifiques de lentreprise ou de ladministration.
  • 23. Le grand avantage de cette méthode réside dans sa simplicité: on utilise seulement sonbrowser habituel et on nutilise pas de client spécifique ou de matériel spécifique.Avec SSL VPN, les utilisateurs distants ou les utilisateurs mobiles peuvent avoir unaccès à des applications bien déterminées sur lintranet de leur organisation depuisnimporte quel accès Internet. Cependant, laccès aux ressources internes est pluslimité que celui fourni par un VPN IPSEC, puisque lon accède uniquement aux servicesqui ont été définis pas ladministrateur du VPN (par exemple les portails et sites Web,les fichiers ou le courrier électronique).Contrairement aux techniques VPN de type IPSEC, PPTP, L2TP, la technique VPN SSL sesitue à un niveau du modèle réseau ISO bien supérieur, en loccurrence le niveau 5,cest-à-dire "session applicative". Comme IPSEC, SSL utilise principalement descertificats numériques pour létablissement de communications sécurisées. 3.6.1 - Fonctionnement : Le protocole SslHandshake débute une communication Ssl. Suite à la requête du client, le serveur envoie son certificat ainsi que la liste des algorithmes quil souhaite utiliser. Le client commence par vérifier la validité du certificat du serveur. Cela se fait à laide de la clé publique de lautorité de certification contenue dans le navigateur du client. Le client vérifie aussi la date de validité du certificat et peut également consulter une CRL (CertificateRevocation List). Si toutes les vérifications sont passées, le client génère une clé symétrique et lenvoie au serveur. Le serveur peut alors envoyer un test au client, que le client doit signer avec sa clé privée correspondant à son propre certificat. Ceci est fait de façon à Ce que le serveur puisse authentifier le client. De nombreux paramètres sont échangés durant cette phase : type de clé, valeur de la clé, algorithme de chiffrage ... La phase suivante consiste en léchange de données cryptées (protocole Ssl Records). Les clés générées avec le protocole Handshake sont utilisées pour garantir lintégrité et la confidentialité des données échangées. Les différentes phases du protocole sont : Segmentation des paquets en paquets de taille fixe Compression (mais peu implémenté dans la réalité)
  • 24. Ajout du résultat de la fonction de hachage composé de la clé de cryptage, du numéro de message, de la longueur du message, de données ... Chiffrement des paquets et du résultat du hachage à laide de la clé symétrique générée lors du Handshake. Ajout dun en-tête Ssl au paquet.4 - Comparaison des différents protocolesChaque protocole présenté permet de réaliser des solutions performantesde Vpn. Nous allons ici aborder les points forts et les points faibles dechacun de ses protocoles. 4.1 - Vpn-Ssl, une nouveauté marketing ? Présentée comme la solution miracle pour permettre aux itinérants de se connecter aux applications réparties de lentreprise les Vpn-Ssl souffrent de problèmes principalement liés aux navigateurs web utilisés. Le but dutiliser des navigateurs web est de permettre aux utilisateurs dutiliser un outil dont ils ont lhabitude et qui ne nécessite pas de configuration supplémentaire. Cependant lorsquun certificat expire lutilisateur doit aller manuellement le renouveler. Cette opération peut poser problème aux utilisateurs novices. De plus sur la majorité des navigateurs web la consultation des listes de certificats révoqués nest pas activée par défaut : toute la sécurité de Ssl reposant sur ces certificats ceci pose un grave problème de sécurité. Rien nempêche de plus le client de télécharger une version modifiée de son navigateur pour pouvoir utiliser de nouvelles fonctionnalités (skins, plugins...). Rien ne certifie que le navigateur na pas été modifié
  • 25. et que son autorité de certification en soit bien une.Enfin Un autre problème lié à lutilisation de navigateurs web commebase au Vpn est leur spécificité au monde web. En effet par défaut unnavigateur ninterceptera que des communicationHttps ouéventuellement Ftps. Toutes les communications venant dautre typedapplications (MS Outlook, ou une base de données par exemple) nesont pas supportées. Ce problème est généralement contourné parlexécution dune applet Java dédiée dans le navigateur. Mais ceciimplique également la maintenance de cette applet (sassurer que leclient possède la bonne version, quil peut la re-télécharger au besoin)Lidée suivant laquelle le navigateur web est une plate-forme idéalepour réaliser des accès Vpn est donc sérieusement à nuancer.4.2 - PptpPptp présente lavantage dêtre complètement intégré dans lesenvironnements Windows. Ceci signifie en particulier que laccès auréseau local distant pourra se faire via le système dauthentification deWindows NT : RADIUS et sa gestion de droits et de groupe. Cependantcomme beaucoup de produit Microsoft la sécurité est le point faible duproduit : Mauvaise gestion des mots de passe dans les environnements mixtes win 95/NT Faiblesses dans la génération des clés de session : réalisé à partir dun hachage du mot de passe au lieu dêtre entièrement générées au hasard. (facilite les attaques « force brute ») Faiblesses cryptographiques du protocole MsCHAP 1 corrigées dans la version 2 mais aucun contrôle sur cette version na été effectué par une entité indépendante. Identification des paquets non implémentée : vulnérabilité aux attaques de type « spoofing »4.3 - L2tp / IpsecLes mécanismes de sécurité mis en place dans Ipsec sont plus robusteset plus reconnus que ceux mis en place par Microsoft dans Pptp. Pardéfaut le protocole L2tp utilise le protocole Ipsec. Cependant si leserveur distant ne le supporte pas L2tp pourra utiliser un autreprotocole de sécurité. Il convient donc de sassurer que lensemble deséquipements dun Vpn L2tp implémente bien le protocole Ipsec.Ipsec ne permet didentifier que des machines et non pas des
  • 26. utilisateurs. Ceci est particulièrement problématique pour lesutilisateurs itinérants. Il faut donc prévoir un service dauthentificationdes utilisateurs. Dans le cas de connexion dial-up cest lidentifiant deconnexion qui sera utilisé pour authentifier lutilisateur. Mais dans lecas de connexion via Internet il faudra prévoir une phasedauthentification supplémentaire à létablissement du tunnel.Dautre part Ipsec noffre aucun mécanisme de Qos Ce qui limite sesapplications : toutes les applications de voix sur Ip ou de vidéo surIp sont impossibles ou seront amenées à être complètementdépendantes des conditions de traffic sur linternet public.Enfin Ipsec à cause de la lourdeur des opérations decryptage/décryptage réduit les performances globales des réseaux.Lachat de périphériques dédiés, coûteux est souvent indispensable.4.4 - MplsMpls est aujourdhui la solution apparaissant comme la plus mature dumarché. La possibilité dobtenir une Qos garantie par contrat est unélément qui pèse fortement dans la balance des décideurs. Cependant,seuls des opérateurs spécialisés fournissent Ce service Ce qui peutposer de nouveaux problèmes. Tout dabord, Ce sont ces opérateurs deservices qui fixent les prix. Ce prix inclus forcement une marge pour lefournisseur de service. Dautre part certaines entreprise ne souhaitentpas sous traiter leurs communications à un seul opérateur. En effetlexplosion de la bulle boursière autour des valeurs technologiques asuscité une vague de faillite dopérateurs réseaux et de nombreusesentreprises ont vu leurs connexions coupées du jour au lendemain. Cerisque est aujourdhui fortement pris en compte par les décideursinformatiques. Cependant utiliser plusieurs opérateurs pour la gestiondu Vpn complique dautant la gestion et la configuration de celui-ci.Enfin létendu dun Vpn-Mpls est aujourdhui limité par la capacité delopérateur de service à couvrir de vastes zones géographiques.4.5 - Mpls / Ipsec Mpls Ipsec Le transfert se faisant sur Permet dattribuer des prioritésQualité de lInternet public, permet au trafic par le biais de classesservice seulement un service "best de service effort" Inférieur à celui des réseaux Faible grâce au transfert viaCoût Frame Relay et Atm mais le domaine Internet public
  • 27. supérieur à celui des autres Vpn IP. Sécurité totale grâce à la combinaison de certificats Comparable à la sécurité numériques et de Pki pour Sécurité offerte par les réseaux Atm et lauthentification ainsi quà Frame Relay existants. une série doptions de cryptage, triple DES et AES notamment Toutes les applications, y Accès à distance et nomade compris les logiciels sécurisé. Applications sous dentreprise vitaux exigeant Applications IP, notamment courrier une qualité de service élevée compatibles électronique et Internet. et une faible latence et les Inadapté au trafic en temps applications en temps réel réel ou à priorité élevée (vidéo et voix sur IP) Dépend du réseau Mpls du Très vaste puisque repose Etendue fournisseur de services sur laccès à Internet Evolutivité élevée puisque Les déploiements les plus nexige pas une interconnexion vastes exigent une dégal à égal entre les sites et planification soigneuse pour Evolutivité que les déploiements répondre notamment aux standardpeuvent prendre en problèmes dinterconnexion charge plusieurs dizaines de site à site et de peering milliers de connexions par Vpn Frais de Traitements Aucun traitement exigé par le gestion du supplémentaires pour le routage réseau cryptage et le décryptage Le fournisseur de services doit Possibilité dutiliser Vitesse de déployer un routeur Mpls en linfrastructure du réseau Ip déploiement bordure de réseau pour existant permettre l&148;accès client Prise en Non requise. Le Mpls est une Logiciels ou matériels client charge par technologie réseau requis le client5 -Présentation d’Open VPN :Open VPN est une application libre et open source qui implémentent le logiciel de réseauprivé virtuel (VPN) pour créer des solutions sécurisées point à point ou des connexions
  • 28. de site à site dans des configurations routés ou pontés, et des installations daccèsdistant. Cest un VPN SSL se basant sur la création dun tunnel IP (UDP ou TCP auchoix) authentifié et chiffré avec la bibliothèque Open SSL. Il utilise le protocole SSL /TLS pour le chiffrement et est capable de traverser des traducteurs dadresses réseau(NAT) et de pare-feu.Donc, avec Open VPN, vous pouvez créer un réseau privé sécurisé en utilisant laconnexion Internet. Open VPN utilise la bibliothèque Open SSL pour le chiffrement desdonnées, les canaux de commande et de données transmises. Open VPN travail enmultiforme. Donc, une fois le serveur est installé et configuré (sous Linux), le clientpeut se connecter depuis nimporte quelle plateforme (Windows, Mac, OS ou Linux).5.1-Fonctionnalités d’OPENVPN :Open VPN est une solution qui se base sur SSL. Cela permet dassurer deux choses à lafois, sans avoir besoin de beaucoup de logiciel côté client : lauthentification du client et du serveur la sécurisation du canal de transmissionIl existe deux modes de fonctionnement d’Open VPN : le mode routé (Router) qui permet de connecter des utilisateurs itinérants à un réseau interne le mode ponté (Bridger) qui permet de relier entre eux deux sous-réseaux 5.1.1-Principe général :Le principe général est de relier les /dev/tun (routé) ou /dev/tap (ponté) du serveur etdes clients par un canal sécurisé par Open SSL.
  • 29. fonctionnement dOpen VPN 5.1.2-Mode routé : 5.1.2.1-Principe :Le principe général (sans tenir compte des sous réseaux) dOpen VPN est le suivant : Le serveur crée une connexion Point à Point entre lui et le système dexploitation. Par exemple : x.y.z.1 pour le système d’exploitation OS x.y.z.2 pour le serveur Open VPN (passerelle vers le réseau VPN).On voit donc sur le serveur
  • 30. o une interface tun0 qui a pour IP x.y.z.1 et qui est liée Point à Point avec une IPx.y.z.2 (le serveur VPN). Le serveur VPN récupère donc les paquets arrivant sur cetteinterface et envoie des paquets depuis x.y.z.2 vers x.y.z.1. x.y.z.1 est donc pingâble dans la mesure où cest une interface gérée par lOS du serveur. ifconfig tun0 donne : Lien encap:UNSPEC HWaddr 00-00-00-00-00-00-00-00-00-00-00-00-00-00- 00-00 inet adr: x.y.z.1 P-t-P :x.y.z.2 Masque:255.255.255.255 UP POINTOPOINT RUNNING NOARP MULTICAST MTU:1500 Metric:1o une route pour que lOS sache que x.y.z.2 (le serveur VPN) est lautre bout duPoint à Point sur tun0 et une route pour indiquer que les paquets à destination du réseauVPN (nimporte quel client VPN) doivent passer par tun0 et par le serveur VPN (qui sertde passerelle entre les machines clients et la machine serveur). route donne : Destination Passerelle Genmask Indic Metric Ref Use Iface x.y.z.2 * 255.255.255.255 UH 0 0 0 tun0 x.y.z.0 x.y.z.2 255.255.255.0 UG 0 0 0 tun0 pour chaque client, le serveur crée une connexion Point à Point avec le client. Par exemple x.y.z.6 pour le client x.y.z.5 pour le serveur VPN (je reviendrais sur lattribution du numéro dhôte dans la section suivante).On voit sur le client :
  • 31. o une interface tun0 qui a pour IP x.y.z.6 et qui est liée Point à Point avec une IPx.y.z.5 (le serveur VPN). Le client VPN récupère donc les paquets arrivant sur cetteinterface et envoie des paquets depuis x.y.z.6 vers x.y.z.5. x.y.z.6 est donc pingâble dans la mesure où cest une interface gérée par lOS du client. ifconfig tun0 donne Link encap:UNSPEC HWaddr 00-00-00-00-00-00-00-00-00-00-00-00- 00-00-00-00 inet adr:x.y.z.6 P-t-P:x.x.z.5 Masque:255.255.255.255 UP POINTOPOINT RUNNING NOARP MULTICAST MTU:1500 Metric:1 o une route pour que lOS sache que x.y.z.5 (le serveur VPN) est lautre bout du Point à Point sur tun0, une route pour indiquer que les paquets à destination du réseau VPN (principalement le serveur VPN mais aussi entre client) doivent passer par tun0 et par le serveur VPN (qui sert de passerelle entre les machines clients et la machine serveur) et autant de route que lon veut pour indiquer que les paquets à destination dun réseau se trouvant derrière la machine serveur doivent passer par le réseau VPN via tun0 et donc via le serveur VPN. Destination Passerelle Genmask Indic Metric Ref Use Iface 172.20.9.5 * 255.255.255.255 UH 0 0 0 tun0 172.20.9.0 172.20.9.5 255.255.255.0 UG 0 0 0 tun0 192.168.0.0 172.20.9.5 255.255.255.0 UG 0 0 0 tun0 Le serveur VPN a donc deux IP virtuelles (non pingâble) ce qui lui permet deservir de passerelle antre la machine cliente qui a une IP réelle sur une interfacevirtuelle et la machine serveur qui a aussi une IP réelle sur une interface virtuelle (lamachine, pas seulement le serveur Open VPN).
  • 32. Cela peut se résumer par le schéma suivant : Mode routé 5.1.2.2-Avantages du Routing : Rapide même sur des réseaux de grande taille Permet de régler plus finement le MTU pour un meilleur rendement 5.1.2.3-Inconvénients du Routing : Les clients doivent utiliser un serveur WINS (comme samba) pour faire marcher le parcours du voisinage réseau entre les réseaux reliés par le VPN Les routes doivent être configurées pour chaque sous réseau à atteindre Les logiciels qui dépendent du broadcast IP ne verront pas les machines qui sont de lautre côté du VPN
  • 33. Fonctionne uniquement avec Ipv4 et Ipv6 si le pilote TUN/TAP de la plate-forme gère ce dernier. 5.1.3-Mode bridgé : 5.1.3.1-Principe :Le principe du mode bridgé est le suivant, par exemple si la carte réseau à bridger est eth0 : sur le serveur : on fait un pont br0 (bridge) regroupant linterface physique eth0 et linterface virtuelle tap0 pour partager le sous réseau d’eth0 avec tap0. Cela permet dintégrer les clients dans le sous réseau d’eth0. o on lance le bridge ce qui a pour effet de créer les interfaces br0, tap0 et de ponter tap0 et eth0 sur br0 :  br0 obtient la configuration IP d’eth0  tap0 et eth0 perdent leurs configurations IP/Ethernet (adresse MAC comprise) et passent en mode Promiscious (remonte tous les paquets arrivant sans faire le tri dans la carte réseau) sans adresse IP o on obtient donc les interfaces suivantes par ifconfig  eth0 : Lien encap:Ethernet HWaddr 00:50:DA:11:6B:CE UP BROADCAST RUNNING PROMISC MULTICAST MTU:1500 Metric:1  tap0 : Lien encap:Ethernet HWaddr 00:FF:AF:FE:3C:D1 UP BROADCAST RUNNING PROMISC MULTICAST MTU:1500 Metric:1  br0 : Lien encap:Ethernet HWaddr 00:50:DA:11:6B:CE inet adr:192.168.0.25 Bcast:192.168.0.255 Masque:255.255.255.0 UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
  • 34. sur le client, Open VPN crée une interface tap0 reflétant la configuration IP obtenue sur le réseau de l’eth0 de la machine serveur. Par exemple, si le pool dadresses IP pour les clients VPN est entre 192.168.0.129 et 192.168.0.254 (autrement dit le sous réseau 192.168.0.128/25) : o on obtient donc linterface suivante par ifconfig tap0 : Link encap:Ethernet HWaddr 16:31:8C:46:64:35 inet adr:192.168.0.129 Bcast:192.168.0.255 Masque:255.255.255.0 adr inet6: fe80::1431:8cff:fe46:6435/64 Scope:Lien UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1 le serveur Open VPN sert alors de simple connexion sécurisée entre le tap0 du client et le tap0 du serveur. Tout ce qui est écrit sur lun est retransmis sur lautre et vice-versa. En plus, il alloue les adresses IP des clients, cette adresse étant choisie parmi un pool dadresses du sous réseau initialement d’eth0Cela peut donc se résumer par le schéma suivant : Mode bridgé 5.1.3.2-Fonctionnalités :
  • 35. Le mode bridgé permet dobtenir les fonctionnalités dEthernet (niveau 2 de la pile IP) commele transport natif des protocoles de niveau 3 comme NetBIOS ou IPX et pas seulement IPcomme dans le mode routé. Cela permet aussi de faire des broadcast sur les deux réseauxrelié. On configure le bridge sur la machine client et serveur ce qui permet de relier les deuxréseaux qui sont derrières ces deux machines.Le mode routé est plus simple dans le cas où lon na pas besoin de ces fonctionnalitésdEthernet.On peut connecter des machines dans les deux modes pour créer des architecturesrelativement complexes mais cela nest pas lobjet de ce guide. 5.1.3.3-Avantages du Bridging : Les paquets de diffusions traversent le VPN. Cela permet à des applications comme le partage de fichier par NetBIOS Windows ou laffichage du voisinage réseau de fonctionner. Pas de route à configurer. Fonctionne avec tous les protocoles qui se trouvent au dessus dEthernet, comme IPv4, IPv6, Netware IPX, AppleTalk, etc. Simple à configurer pour les utilisateurs itinérants5.1.3.4-Inconvénients du Bridging : Moins rapide que le mode Routing et moins adapter aux réseaux VPN de grande taille6 - Conclusion :Cette étude des solutions Vpn, met en évidence une forte concurrenceentres les différents protocoles pouvant être utilisés. Néanmoins, il estpossible de distinguer deux rivaux sortant leurs épingles du jeu, à savoirIpsec et Mpls. Ce dernier est supérieur sur bien des points, mais il assure,en outre, simultanément, la séparation des flux et leur confidentialité. Ledéveloppement rapide du marché pourrait bien cependant donnerlavantage au second. En effet, la mise en place de Vpn par Ip entre
  • 36. généralement dans une politique de réduction des coûts liés àlinfrastructure réseau des entreprises. Les Vpn sur Ip permettent en effetde se passer des liaisons louées de type Atm ou Frame Relay. Le coût desVpnIp est actuellement assez intéressant pour motiver de nombreusesentreprises à franchir le pas. A performance égales un VpnMpls coûtedeux fois moins cher quune ligne Atm. Mais si les solutions à base deMpls prennent actuellement le devant face aux technologies Ipsec cestprincipalement grâce à lintégration possible de solution de téléphonie surIp. La qualité de service offerte par le Mpls autorise en effet Ce typedutilisation. Le marché des Vpn profite donc de lengouement actuel pources technologies qui permettent elles aussi de réduire les coût desinfrastructures de communication. Les Vpn sont donc amenés à prendrede plus en plus de place dans les réseaux informatiques.

×