Agence du Numérique (ex - Agence Wallonne des Télécommunications / AWT), la plateforme ICT de la Wallonie

dimanche 4 décembre 2016

Les réseaux privés virtuels (VPN)

Le VPN (Virtual Private Network) permet d'établir des connexions sécurisées privées (un réseau privé) au travers d'un réseau public comme l'Internet
Twitter Facebook Delicious
Mis à jour le 24/01/2005 | Imprimer | Envoyer

Le VPN est réalisé avec les techniques d'encryption et d'authentification, en assurant la qualité de services requise par les applications. Le VPN permet l'économie de connexions directes coûteuses entre les différentes implantations de l'entreprise, l'accès Internet lui servant à la fois pour la consultation classique de sites Web et pour son réseau privé.

Utilisations

Le VPN est utilisé pour:

  • réaliser des connexions à distance pour des utilisateurs mobiles ou télétravailleurs,
  • réaliser des interconnexions Lan to Lan,
  • contrôler l'accès dans un intranet.

Le schéma ci-dessous illustre un VPN qui assure l'interconnexion Lan to Lan et permet la connexion de travailleurs distants.

VPN assurant l'interconnexion Lan to Lan et permet la connexion de travailleurs distants

Avantages

Les VPN présentent essentiellement deux avantages:

  • les économies sur les budgets alloués à la connectivité. Ces économies sont obtenues en remplaçant les connexions longues distances via des lignes louées privées par une connexion unique à Internet sur laquelle on implémente des tunnels VPN afin de réaliser un réseau privé à travers Internet;
  • la fléxibilité. Dans le cas d'une entreprise ou d'une administration ayant plusieurs localisations, l'ajout d'un nouveau site se fait simplement en le connectant à Internet et en l'incluant sur le VPN d'entreprise. Il sera ainsi très facilement intégré sur l'intranet d'entreprise.

Désavantages

Parmi les désavantages des VPN, on peut citer:

  • la disponibilité et les performances des VPN dépendent largement des fournisseurs de services et des sous-traitants. L'entreprise ou l'administration utilisant un VPN ne contrôle en effet pas tous les paramètres nécessaires;
  • les standards ne sont pas toujours respectés et les technologies VPN restent dépendantes des équipements utilisés. On conseille d'utiliser les équipements du même constructeur pour assurer le bon fonctionnement du VPN d'entreprise.
  • la mise en route d'un VPN réclame une forte expertise, et notamment une bonne compréhension de la sécurité informatique et des technologies VPN spécifiques.

Tunnels VPN (VPN Tunneling)

Réaliser un tunnel à travers des réseaux consiste à établir et à maintenir une connexion logique entre deux points. A travers cette connexion logique, on enverra des données à l'aide d'un protocole VPN. Les VPN supportent l'encryption et l'authentification afin d'assurer la sécurité des tunnels ainsi établis.

Il existe deux types de tunneling:

  • le tunneling volontaire basé sur un client VPN qui doit réaliser la connexion, créer le tunnel et puis l'utiliser. L'utilisateur lui-même doit savoir gérer ce type de connectivité: démarrer et arrêter le client VPN;
  • le tunneling transparent basé sur un équipement matériel ou logiciel qui gère ce type de connexion à l'insu de l'utilisateur. Celui-ci l'utilise d'une manière transparente.

Parmi les protocoles VPN Tunneling les plus utilisés, on citera: IPSec, PPTP, L2TP ou encore SSL. Ces protocoles sont incompatibles entre eux: les deux bouts du tunnel doivent être définis pour supporter le même protocole.

Les VPN basés sur IPSec (Internet Protocol Security)

IPsec est composé d'une collection de protocoles qui sont tous standardisés au sein de l'organisme IETF. On peut utiliser IPSec pour une solution complète VPN ou comme simple méthode de protection de communication réseau par l'utilisation de techniques d'encryption . Suivant le modèle réseau de l'organisme de standardisation ISO, IPSec est un protocole de niveau 3 (Layer Three Protocol).

L'IPSec permet à l'entreprise ou à l'administration de réaliser une extension de son périmètre de sécurité à l'aide de tunnels VPN, afin de permettre aux travailleurs distants ou aux travailleurs mobiles d'utiliser les ressources de l'entreprise (fichiers, courriers électroniques, applications, calendrier partagé, etc.). IPSec fournit des méthodes pour:

  • authentifier les deux noeuds (paires) connectés,
  • garantir l'intégrité et la confidentialité des données échangées à travers Internet.

La technologie IPSec fait usage de certificats numériques.

Le schéma suivant illustre un exemple d'usage des VPN IPSec.

VPN IPSec

Parmi les fournisseurs de solutions IPSec VPN, on citera notamment:

Les VPN basés sur PPTP (Point to Point Tunneling Protocol)

Les spécifications du standard PPTP ont été réalisées par plusieurs sociétés qui se sont associées afin d'accomplir cette tâche.

Lorsque le besoin d'une connexion distante à un réseau d'entreprise apparaît, l'administrateur de ce réseau met généralement en place une technologie dite d'accès réseau distant "Remote Access Service" (RAS). La technologie la plus connue et la plus répandue est la connexion PPP (Point to Point Protocol) qui établit une liaison entre le poste de travail distant et le serveur d'accès de l'entreprise.

La technologie PPTP est une évolution de la méthode de connexion distante PPP. La différence principale provient de la technologie de communication qui se situe entre le poste distant et le serveur d'accès de l'entreprise. PPP nécessite en effet le passage au travers d'un réseau téléphonique commuté de type PSTN/ISDN/ADSL, alors que PPTP utilise un réseau de transport intermédiaire de type IP, comme l'Internet. En d'autres mots, le PPP réalise un appel vers le numéro de téléphone associé à un modem connecté au serveur d'accès de l'entreprise, tandis que PPTP réalise un appel vers une adresse IP Internet associée à la connexion réseau du serveur d'accès de l'entreprise. Ce serveur d'accès distant, dans le contexte de la technologie VPN, est communément appelé concentrateur VPN.

Suivant le modèle réseau de l'organisme de standardisation ISO, PPTP est un protocole de niveau 2 (Layer Two Protocol).

A lui seul, PPTP ne fournit aucun mécanisme permettant le chiffrement de la communication. Pour être considérée comme une tehcnologie VPN, PPTP est associé à une autre technologie dénommée Microsoft Point-to-Point Encryption (MPPE).

PPTP est fréquemment associé avec Microsoft car un logiciel client est disponible sur toutes les versions du système d'exploitation Windows. Cependant, Microsoft n'est pas le créateur unique de ce standard, néanmoins il l'implémente sur la majorité de ses plates-formes.

Les VPN basés sur L2TP (Layer Two Tunneling Protocol)

Dans un souci d'ouverture et de standardisation du protocole PPP, l'organisme de standardisation IETF a décidé de réaliser une technologie équivalente à PPTP mais dont l'avantage est d'être une norme publique pouvant être implémentée par n'importe quelle entreprise développant des logiciels. Cette ouverture publique de la technologie ne pouvant être associée à un brevet, on dispose ainsi plus facilement d'une technologie flexible et sécurisée d'accès distant aux réseaux d'entreprises.

Les principaux acteurs ayant contribué à la standardisation du protocole L2TP sont Microsoft et Cisco. En effet, afin de définir ce nouveau protocole, les atouts des technologies PPTP de Microsoft et Layer 2 Forwarding de Cisco ont été combinés.

Le L2TP possède un certain nombre d'avantages par rapport à PPTP:

PPTP assure la confidentialité aux données, alors que L2TP va plus loin en assurant en plus leur intégrité (protection contre des modifications au cours du transfert de l'expéditeur vers le destinataire), la non répudiation (une assurance sur l'identité de l'expéditeur), mais aussi en fournissant une protection contre les attaques informatiques "Replay Attack" (quelqu'un obtient des informations sur la communication en cours et utilise ces informations pour obtenir une connection vers le réseau distant).

Comme PPTP, L2TP est un protocole de niveau 2 (Layer Two Protocol).

Les VPN basés sur SSL

SSL (Secure Sockets Layer) VPN fournit un accès sécurisé (via un tunnel dédicacé) vers des applications spécifiques de l'entreprise ou de l'administration. Le grand avantage de cette méthode réside dans sa simplicité: on utilise seulement son browser habituel et on n'utilise pas de client spécifique ou de matériel spécifique.

Avec SSL VPN, les utilisateurs distants ou les utilisateurs mobiles peuvent avoir un accès à des applications bien déterminées sur l'intranet de leur organisation depuis n'importe quel accès Internet. Cependant, l'accès aux ressources internes est plus limité que celui fourni par un VPN IPSe, puisque l'on accède uniquement aux services qui ont été définis pas l'administrateur du VPN (par exemple les portails et sites Web, les fichiers ou le courrier électronique).

Contrairement aux techniques VPN de type IPSec, PPTP, L2TP, la technique VPN SSL se situe à un niveau du modèle réseau ISO bien supérieur, en l'occurence le niveau 5, c'est-à-dire "session applicative". Comme IPSec, SSL utilise principalement des certificats numériques pour l'établissement de communications sécurisées.

Le schéma ci-dessous illustre cette technologie.

VPN SSL

Parmi les fournisseurs de solutions SSL VPN, on notera par exemple:

Comment choisir?

Le VPN est souvent la manière la plus efficace et la moins chère pour permettre l'accès distant à un réseau d'entreprise.

La première étape avant la mise en place d'un serveur/concentrateur VPN est de choisir la technologie à utiliser (parmi IPSec, PPTP, L2TP et SSL). Chacune d'entre elles a ses avantages et ses inconvénients, c'est pourquoi afin de faire un choix judicieux, il est important de:

  • se familiariser avec leurs caractéristiques spécifiques,
  • connaître avec précision les besoins des utilisateurs.
Portail de la Région wallonne