Le VPN est réalisé avec les techniques d'encryption et d'authentification, en assurant la qualité de services requise par les applications. Le VPN permet l'économie de connexions directes coûteuses entre les différentes implantations de l'entreprise, l'accès Internet lui servant à la fois pour la consultation classique de sites Web et pour son réseau privé.

Utilisations

Le VPN est utilisé pour:

• réaliser des connexions à distance pour des utilisateurs mobiles ou télétravailleurs,
• réaliser des interconnexions Lan to Lan LAN (Local Area Network)Réseau local d'ordinateurs qui partagent des ressources (serveur, imprimantes, scanners, etc.). Typiquement le bâtiment d'une entreprise. Le serveur héberge des applications et partage l'espace de stockage de données pour les utilisateurs,
• contrôler l'accès dans un intranet.

Le schéma ci-dessous illustre un VPN qui assure l'interconnexion Lan to Lan et permet la connexion de travailleurs distants.

Avantages

Les VPN présentent essentiellement deux avantages:

• les économies sur les budgets alloués à la connectivité. Ces économies sont obtenues en remplaçant les connexions longues distances via des lignes louées privées par une connexion unique à Internet sur laquelle on implémente des tunnels VPN afin de réaliser un réseau privé à travers Internet;
• la fléxibilité. Dans le cas d'une entreprise ou d'une administration ayant plusieurs localisations, l'ajout d'un nouveau site se fait simplement en le connectant à Internet et en l'incluant sur le VPN d'entreprise. Il sera ainsi très facilement intégré sur l'intranet d'entreprise.

Désavantages

Parmi les désavantages des VPN, on peut citer:

• la disponibilité et les performances des VPN dépendent largement des fournisseurs de services et des sous-traitants. L'entreprise ou l'administration utilisant un VPN ne contrôle en effet pas tous les paramètres nécessaires;
• les standards ne sont pas toujours respectés et les technologies VPN restent dépendantes des équipements utilisés. On conseille d'utiliser les équipements du même constructeur pour assurer le bon fonctionnement du VPN d'entreprise.
• la mise en route d'un VPN réclame une forte expertise, et notamment une bonne compréhension de la sécurité informatique et des technologies VPN spécifiques.

Tunnels VPN (VPN Tunneling)

Réaliser un tunnel à travers des réseaux consiste à établir et à maintenir une connexion logique entre deux points. A travers cette connexion logique, on enverra des données à l'aide d'un protocole VPN. Les VPN supportent l'encryption EncryptionTechnique par laquelle un contenu informationnel peut être protégé afin que seuls les intervenants autorisés à y avoir accès puissent effectivement la consulter. L'encryption utilise des algorithmes mathématiques de chiffrement tel que "Data Encryption Standard" ou "Advanced Encryption Standard" et l'authentification AuthentificationTechnologie qui permet de s'assurer de l'authenticité d'une transmission informatique par l'utilisation d'une signature électronique afin d'assurer la sécurité des tunnels ainsi établis.

Il existe deux types de tunneling:

• le tunneling volontaire basé sur un client VPN qui doit réaliser la connexion, créer le tunnel et puis l'utiliser. L'utilisateur lui-même doit savoir gérer ce type de connectivité: démarrer et arrêter le client VPN;
• le tunneling transparent basé sur un équipement matériel ou logiciel qui gère ce type de connexion à l'insu de l'utilisateur. Celui-ci l'utilise d'une manière transparente.

Parmi les protocoles VPN Tunneling les plus utilisés, on citera: IPSec, PPTP, L2TP ou encore SSL. Ces protocoles sont incompatibles entre eux: les deux bouts du tunnel doivent être définis pour supporter le même protocole.

Les VPN basés sur IPSec (Internet Protocol Security)

IPsec est composé d'une collection de protocoles qui sont tous standardisés au sein de l'organisme IETF IETF (Internet Engineering Task Force)Institution internationale chargée de réfléchir sur les évolutions de l'infrasructure de l'Internet. On peut utiliser IPSec pour une solution complète VPN ou comme simple méthode de protection de communication réseau par l'utilisation de techniques d'encryption . Suivant le modèle réseau de l'organisme de standardisation ISO ISO (International Organization for Standardization)Organisation internationale regroupant les instituts nationaux de normalisation de plus de cent pays, notamment chargée de définir un ensemble de protocoles réseaux, IPSec est un protocole de niveau 3 (Layer Three Protocol).

L'IPSec permet à l'entreprise ou à l'administration de réaliser une extension de son périmètre de sécurité à l'aide de tunnels VPN, afin de permettre aux travailleurs distants ou aux travailleurs mobiles d'utiliser les ressources de l'entreprise (fichiers, courriers électroniques, applications, calendrier partagé, etc.). IPSec fournit des méthodes pour:

• authentifier les deux noeuds (paires) connectés,
• garantir l'intégrité et la confidentialité des données échangées à travers Internet.

La technologie IPSec fait usage de certificats numériques.

Le schéma suivant illustre un exemple d'usage des VPN IPSec.

Parmi les fournisseurs de solutions IPSec VPN, on citera notamment:

• Cisco Belgium 
  Cisco is the worldwide leader in networking that transforms how people connect, communicate and collaborate
  http://www.cisco.com/web/BE
• Juniper Networks 
  http://www.juniper.net
• Nortel 
  http://www.nortel.com
• FreeS/WAN Project 
  http://www.freeswan.org

Les VPN basés sur PPTP (Point to Point Tunneling Protocol)

Les spécifications du standard PPTP ont été réalisées par plusieurs sociétés qui se sont associées afin d'accomplir cette tâche.

Lorsque le besoin d'une connexion distante à un réseau d'entreprise apparaît, l'administrateur de ce réseau met généralement en place une technologie dite d'accès réseau distant "Remote Access Service" (RAS RAS / Service d'accès distant (Remote Access Service)Un service d'accès distant est une fonctionnalité d'un réseau de télécommunications permettant à un utilisateur de se connecter à distance à son réseau personnel, d'entreprise ou à son fournisseur d'accès Internet). La technologie la plus connue et la plus répandue est la connexion PPP PPP (Point-to-Point Protocol)Protocole de connexion point à point qui établit un lien simple entre deux ordinateurs pour transporter des paquets de données. Le transfert des données est bi-directionnel, full-duplex et est censé délivrer les paquets dans le bon ordre (Point to Point Protocol) qui établit une liaison entre le poste de travail distant et le serveur d'accès de l'entreprise.

La technologie PPTP est une évolution de la méthode de connexion distante PPP. La différence principale provient de la technologie de communication qui se situe entre le poste distant et le serveur d'accès de l'entreprise. PPP nécessite en effet le passage au travers d'un réseau téléphonique commuté de type PSTN PSTN / RTC (Public Switched Telephone Network)C'est le système téléphonique traditionnel présent dans l'immense majorité des foyers. On n'utilise que rarement l'expression Réseau Téléphonique Public Commuté, RTPC/ISDN RNIS / ISDN (Réseau Numérique à Intégration de Services)Réseau de télécommunications qui permet le transport de données numériques de bout en bout et qui fournit plusieurs téléservices et services supports/ADSL ADSL (Asymetric Digital Subscriber Line)Technologie qui permet une connexion digitale one to one, sur paire de fils de cuivre, à haut débit (jusqu'à 8 Mbits en réception et 640 Kbits en émission). Cette technologie permet d'utiliser le poste téléphonique et, en même temps, d'être connecté à Internet. La distance maximale entre l'abonné et le central local ne doit pas dépasser 5 km, alors que PPTP utilise un réseau de transport intermédiaire de type IP, comme l'Internet. En d'autres mots, le PPP réalise un appel vers le numéro de téléphone associé à un modem connecté au serveur d'accès de l'entreprise, tandis que PPTP réalise un appel vers une adresse IP Internet associée à la connexion réseau du serveur d'accès de l'entreprise. Ce serveur d'accès distant, dans le contexte de la technologie VPN, est communément appelé concentrateur VPN.

Suivant le modèle réseau de l'organisme de standardisation ISO, PPTP est un protocole de niveau 2 (Layer Two Protocol).

A lui seul, PPTP ne fournit aucun mécanisme permettant le chiffrement de la communication. Pour être considérée comme une tehcnologie VPN, PPTP est associé à une autre technologie dénommée Microsoft Point-to-Point Encryption (MPPE).

PPTP est fréquemment associé avec Microsoft car un logiciel client est disponible sur toutes les versions du système d'exploitation Windows. Cependant, Microsoft n'est pas le créateur unique de ce standard, néanmoins il l'implémente sur la majorité de ses plates-formes.

Les VPN basés sur L2TP (Layer Two Tunneling Protocol)

Dans un souci d'ouverture et de standardisation du protocole PPP, l'organisme de standardisation IETF a décidé de réaliser une technologie équivalente à PPTP mais dont l'avantage est d'être une norme publique pouvant être implémentée par n'importe quelle entreprise développant des logiciels. Cette ouverture publique de la technologie ne pouvant être associée à un brevet, on dispose ainsi plus facilement d'une technologie flexible et sécurisée d'accès distant aux réseaux d'entreprises.

Les principaux acteurs ayant contribué à la standardisation du protocole L2TP sont Microsoft et Cisco. En effet, afin de définir ce nouveau protocole, les atouts des technologies PPTP de Microsoft et Layer 2 Forwarding de Cisco ont été combinés.

Le L2TP possède un certain nombre d'avantages par rapport à PPTP:

PPTP assure la confidentialité aux données, alors que L2TP va plus loin en assurant en plus leur intégrité (protection contre des modifications au cours du transfert de l'expéditeur vers le destinataire), la non répudiation (une assurance sur l'identité de l'expéditeur), mais aussi en fournissant une protection contre les attaques informatiques "Replay Attack" (quelqu'un obtient des informations sur la communication en cours et utilise ces informations pour obtenir une connection vers le réseau distant).

Comme PPTP, L2TP est un protocole de niveau 2 (Layer Two Protocol).

Les VPN basés sur SSL

SSL SSL (Secure Socket Layer)Protocole de sécurité permettant une communication confidentielle entre deux applications (généralement client/serveur) sur Internet (Secure Sockets Layer) VPN fournit un accès sécurisé (via un tunnel dédicacé) vers des applications spécifiques de l'entreprise ou de l'administration. Le grand avantage de cette méthode réside dans sa simplicité: on utilise seulement son browser habituel et on n'utilise pas de client spécifique ou de matériel spécifique.

Avec SSL VPN, les utilisateurs distants ou les utilisateurs mobiles peuvent avoir un accès à des applications bien déterminées sur l'intranet de leur organisation depuis n'importe quel accès Internet. Cependant, l'accès aux ressources internes est plus limité que celui fourni par un VPN IPSe, puisque l'on accède uniquement aux services qui ont été définis pas l'administrateur du VPN (par exemple les portails et sites Web, les fichiers ou le courrier électronique).

Contrairement aux techniques VPN de type IPSec, PPTP, L2TP, la technique VPN SSL se situe à un niveau du modèle réseau ISO bien supérieur, en l'occurence le niveau 5, c'est-à-dire "session applicative". Comme IPSec, SSL utilise principalement des certificats numériques pour l'établissement de communications sécurisées.

Le schéma ci-dessous illustre cette technologie.

Parmi les fournisseurs de solutions SSL VPN, on notera par exemple:

• Netilla 
  http://www.netilla.com
• GoToMyPC 
  http://www.gotomypc.com
• Aventail Corporation 
  http://www.aventail.com
• OpenVPN 
  http://openvpn.sourceforge.net

Comment choisir?

Le VPN est souvent la manière la plus efficace et la moins chère pour permettre l'accès distant à un réseau d'entreprise.

La première étape avant la mise en place d'un serveur/concentrateur VPN est de choisir la technologie à utiliser (parmi IPSec, PPTP, L2TP et SSL). Chacune d'entre elles a ses avantages et ses inconvénients, c'est pourquoi afin de faire un choix judicieux, il est important de:

• se familiariser avec leurs caractéristiques spécifiques,
• connaître avec précision les besoins des utilisateurs.