Mise en place d'un réseau VPN au sein d'une entreprise. Cas de la BRALIMA Sarl en RDC

Section II. Protocoles utilises et sécurité des VPN

Il existe plusieurs protocoles dit de tunnellisation qui permettent la création des réseaux VPN à savoir :

Comme nous allons le voir, les technologies les plus utilisés pour la création de tunnels sécurisés pour tous types de flux sont PPP, PPTP, L2F, L2TP et IPSec.

Pour la sécurisation par service, par application, nous pouvons aussi utiliser des solutions du type HTTPS. Toutes ces méthodes vont être détaillées dans ce qui suit.

Les tunnels permettent d'envoyer des données d'un réseau à un autre. Ces données peuvent être des paquets ou des trames, qui seront encapsulés dans un entête supplémentaire par le protocole qui implémente le tunnel. Cet entête fourni les informations de routage pour l'acheminement de la charge utile encapsulé, dans le réseau intermédiaire. Les tunnels sont donc des chemins logiques emprunter au sein du réseau intermédiaire.

Les trames ne sont pas envoyées telles quelles, elles sont d'abord encapsulée par le protocole de tunneling, et décapsulé par ce même protocole à l'arrivée.

Le tunneling inclut donc tout un processus qui peut se résumer par l'encapsulation, la transmission et la désencapsulation.

La création d'un tunnel pour acheminer ces données est subordonnée à l'utilisation d'un même protocole aux ordinateurs communicants (PPTP, L2TP, IPSec).Le tunnel peut être créé de deux manières différentes :

Le tunnel volontaire : crée sur demande explicite d'un client pour la mise en place d'un VPN, dans ce mode de tunnel le client est un point final du VPN.

Le tunnel d'office : Crée d'office par le serveur d `accès réseau qui implémente le protocole d'accès réseau VPN, dans ce cas l'ordinateur client n'est pas un point final du VPN. Le client est le serveur d'accès réseau.

Figure 5 : Entête du réseau de transition a. PPP (Point To Point Protocol)

Le protocole PPP (Point To Point Protocol) est un ensemble de protocoles standard garantissant l'interopérabilité des logiciels d'accès distant de divers éditeurs.

Une connexion compatible PPP peut appeler des réseaux distants par l'intermédiaire d'un serveur PPP standard de l'industrie. PPP permet également à un serveur d'accès à distance de recevoir des appels entrants et de garantir l'accès au réseau à des logiciels d'accès distant d'autres éditeurs, conformes aux normes PPP.

Les normes PPP autorisent également des fonctions avancées qui ne sont pas disponibles avec d'anciennes normes, notamment SLIP.

Le protocole PPP prend en charge plusieurs méthodes d'authentification ainsi que la compression des données et leur cryptage. La plupart des versions du protocole PPP permettent d'automatiser l'ensemble de la procédure d'ouverture de session.

Le protocole PPP prend également en charge plusieurs protocoles de réseau local. Nous pouvons utiliser TCP/IP ou IPX comme protocole réseau. Toutefois, le protocole IPX/SPX n'est pas disponible sur Windows XP 64-Bit Edition.

PPP est le fondement des protocoles PPTP et L2TP utilisés dans les connexions VPN (Virtual Private Network) sécurisées. PPP est la principale norme de la plupart des logiciels d'accès distant.

b. PPTP (Point To Point Tunneling Protocol)

PPTP est un protocole réseau permettant un transfert sécurisé entre un client distant et un serveur privé.

Ceci est réalisé à l'aide d'un VPN basé sur TCP/IP. La technologie utilisée est une extension du protocole PPP permettant l'accès à distance.

PPTP et les VPN :

PPTP permet la création de VPN sur demande à travers des réseaux basés sur TCP/IP. Il peut de même être utilisé pour créer VPN entre deux ordinateurs dans le même réseau local.

PPTP est un protocole qui encapsule les paquets PPP dans des datagrammes IP pour la transmission sur internet ou un autre réseau public basé sur IP. Il peut même être utilisé pour des liaisons LAN to LAN.Les différents rôles que le protocole PPTP peut assurer son listées ci- dessous :

a) PPTP permet la création des VPN sur demande sur des réseaux basé sur TCP/IP.

b) PPTP peut être utilisé sur un même réseau local entre deux machines.

c) PPTP peut utiliser comme support pour la création de VPN aussi bien Internet que le réseau téléphonique public (PSTN).

d) PPTP offre une communication encryptée, sûr à travers ces deux réseaux publics.

e)

PPTP simplifie les accès longs distances pour les utilisateurs distants.

Scénario typique d'une connexion PPTP.

a) Besoin d'un client (client PPTP), distant ou mobile de se connecter au réseau privé de l'entreprise

b) Connexion du client au serveur NAS de l'ISP (1^èreconnexion PPP).

c) Création de la liaison VPN appelé tunnel, avec le serveur PPTP, cette liaison est matérialisée par une deuxième connexion au PPP sur la première connexion déjà existante.

d) Envoi de donnée dans le tunnel sous forme de datagrammes IP, contenant des paquets PPP.

Figure 6 : Entête du réseau de transition

Le tunneling est le processus qui permet l'envoie de données dans un réseau public, depuis un client PPTP vers un serveur PPTP qui est connecté tant au réseau public qu'au réseau privé de l'entreprise.

Lorsque le serveur reçoit des paquets PPTP par le biais du réseau public, il les analyse et détermine dans le paquet PPP encapsulé, l'adresse de l'ordinateur à qui ils sont destinés. Les paquets encapsulés peuvent contenir plusieurs protocoles qui sont TCP/IP, IPX, etc.

Figure 7 : Entête du réseau de transition

Nous pouvons accéder à un réseau privé par l'intermédiaire d'Internet ou d'un autre réseau public au moyen d'une connexion à un réseau privé virtuel (VPN) utilisant le protocole PPTP (Point To Point Tunneling Protocol).

Le protocole PPTP autorise le transfert sécurisé des données d'un ordinateur distant vers un serveur privé en créant un réseau privé virtuel entre des réseaux de données TCP/IP. Le protocole PPTP prend en charge les réseaux privés virtuels multi protocoles à la demande sur des réseaux publics, tels qu'Internet. Développé en tant qu'extension du protocole PPP (Point To Point Protocol), PPTP lui confère un niveau supplémentaire de sécurité et de communication multi protocoles sur Internet.

Ainsi, grâce au nouveau protocole EAP (Extensible Authentication Protocol), le transfert des données par l'intermédiaire d'un réseau privé virtuel compatible PPTP est aussi sûr qu'au sein d'un réseau local d'entreprise.

PPTP encapsule (fait passer par un tunnel) les protocoles IP ou IPX dans des datagrammes PPP.

Autrement dit, nous pouvons exécuter à distance des programmes tributaires de protocoles réseau déterminés. Le serveur tunnel exécute l'ensemble des contrôles de la sécurité et des validations, et active le cryptage des données, rendant ainsi beaucoup plus sûr l'envoi d'informations sur des réseaux non sécurisés. Nous pouvons aussi recourir au protocole PPTP pour mettre en communication des réseaux locaux privés.

Figure 8: Illustration d'une connexion VPN utilisant PPTP

c. L2F (Layer TwoForwarding)

C'est un protocole de niveau 2, développé par Cisco Systems, Northern Telecom et Shiva. Il est désormais quasiobsolète.

d. L2TP (Layer Two Tunneling Protocol)

Nous pouvons accéder à un réseau privé par l'intermédiaire d'Internet ou d'un autre réseau public au moyen d'une connexion à un réseau privé virtuel (VPN) utilisant le protocole L2TP (Layer Two Tunneling Protocol). L2TP est un protocole de tunneling standard utilisé sur Internet qui possède pratiquement les mêmes fonctionnalités que le protocole PPTP (Point To Point Tunneling Protocol).

La version de L2TP mise en oeuvre dans Windows XP est conçue pour s'exécuter en mode natif sur des réseaux IP. Cette version de L2TP ne prend pas en charge l'encapsulation en mode natif sur des réseaux X.25, Frame Relay ou ATM.

Sur la base des spécifications des protocoles L2F (Layer TwoForwarding) et PPTP (Point To Point Tunneling Protocol), Nous pouvons utiliser le protocole L2TP pour configurer des tunnels entre les réseaux concernés.

À l'instar de PPTP, L2TP encapsule les trames PPP (Point To Point Protocol)qui encapsulent ensuite les protocoles IP ou IPX et permettent aux utilisateurs d'exécuter à distance des programmes qui sont tributaires de protocoles réseau déterminés.

Figure 9: Illustration d'une connexion VPN utilisant L2TP

e. IPSEC (Internet protocol security)

1) Présentation et fonctionnement d'IPsec

IPSec (Internet Protocol Security) est un protocole fournissant un mécanisme de sécurisation au niveau de la couche réseau du modèle OSI. Il assure la confidentialité (grâce au cryptage), l'authentification (qui permet d'être certain de l'identité de l'émetteur) et l'intégrité des données permettant de s'assurer que personne n'a pu avoir accès aux informations. IPSec permet de protéger les données et également l'en-tête d'une trame, en masquant le plan d'adressage grace à l'ajout d'un en-tête IPSec à chaque datagramme IP³⁰.

IPSec de par sa position, il agit sur chaque datagramme IP et permet ainsi d'offrir une protection unique pour toutes les applications.

Ce protocole est indissociable d`IPv6 est utilisable aussi sur IPv4 si le fournisseur a choisi de l'implanter dans son produit³¹.

Les concepteurs, S. Kent et R. Atkinson de chez IETF (Internet Engineering Task Force) ont proposé une solution en novembre 1998 afin de répondre aux besoins directs du développement des réseaux en matière de sécurité.

En effet, en sécurisant le transport des données lors d'échanges internes et externes, la stratégie IPSec permet à l'administrateur réseau d'assurer une sécurité efficace pour son entreprise contre toute attaque venant de l'extérieur.

2) Concept de base d'IPSec

Le protocole IPSec est destiné à fournir différents services de sécurité.

Il permet grâce à plusieurs choix et options de définir différents niveaux de sécurité afin de répondre de façon adaptée aux besoins de chaque entreprise.

La stratégie IPSec permettant d'assurer la

confidentialité, l'intégrité et l'authentification des données entre deux hôtes est gérée par un ensemble de normes et de protocoles :

o Authentification des extrémités : Elle permet à chacun de s'assurer de l'identité de chacun des interlocuteurs. Précisons que l'authentification se fait entre les machines et non entre les utilisateurs, dans la mesure où IPSec est un protocole de couche 3.

o Confidentialité des données échangées : Le contenu de chaque paquet IP peut être chiffré afin qu'aucune personne non autorisée ne puisse le lire.

o Authenticité des données : IPSec permet de s'assurer que chaque paquet a bien été envoyé par l'hôte et qu'il a bien été reçu par le destinataire souhaité.

o Intégrité des données échangées :IPSec permet de vérifier qu'aucune donnée n'a été altérée lors du trajet.

o Protection contre les écoutes et analyses de trafic : Le mode tunneling permet de chiffrer les adresses IP réelles et les en-têtes des paquets IP de l'émetteur et du destinataire. Ce mode permet ainsi de contrecarrer toutes les attaques de ceux qui voudraient intercepter des trames afin d'en récupérer leur contenu.

o Protection contre le rejet : IPSec intègre la possibilité d'empêcher un pirate d'intercepter un paquet afin de le renvoyer à nouveau dans le but d'acquérir les mêmes droits que l'envoyeur d'origine.

Ces différentes caractéristiques permettent à l'hôte A de crypter ses données et de les envoyer vers l'hôte B via le réseau, puis à l'hôte B de les recevoir et de les décoder afin de les lire sans que personne ne puisse altérer ou récupérer ces données.

3) Application de l'IPSec au modèle OSI

Le mode tunneling d'IPSec est un protocole de couche 3 fournissant ses services pour sécuriser l'IP qui est de même couche.

Il a pour avantage d'offrir la protection des protocoles de couches supérieurs TCP/IP. Il s'étend également aux protocoles de couches 2 comme L2TP et PPTP.Il est utilisé:

o entre deux routeurs, il permet de créer des VPN

sécurisés, au-dessus d'un réseau public pas forcément réputé pour sa fiabilité (comme l'internet) ; par exemple pour protéger les échanges entre les différents sites ;

o entre un serveur et un poste individuel relié par

internet, il permet à un utilisateur d'accéder à des données internes sans réduire le niveau de sécurité; par exemple pour un administrateur désirant administrer ses machines lorsqu'il est en congé;

o En interne pour protéger une machine

particulièrement sensible et pour réaliser un contrôle d'accès fort; par exemple pour limiter l'accès à une autorité de certification à quelques postes de travail bien identifiés et en protéger les communications³².

4) Modes de transit des données : transport et tunnel

Ces deux modes permettent de sécuriser les échanges réseau lors d'une communication. Néanmoins, le niveau de sécurité le plus élevé est le mode tunnel.

+ Le mode transport offre essentiellement une protection aux protocoles de niveaux supérieurs. En effet, ce mode ne modifie pas l'en-tête initial dans la mesure où il ne fait que s'intercaler entre la couche IP et la couche transport ;

+ Le mode tunnel intègre les fonctionnalités du mode transport et permet de protéger un ou plusieurs flux de données entre utilisateurs internes ou connectés via un VPN (Virtual Private Network). Lorsqu'un paquet de données est envoyé sur le réseau, le paquet est lui-même encapsulé dans un autre paquet.

32 http://www.ietf.org/html.charters/ipsec

On crypte alors le corps de ce nouveau paquet à l'aide d'algorithmes de sécurités adéquats et on ne laisse en clair que l'entête contenant les adresses IP publiques de l'émetteur et du destinataire.Le mode tunnel propose 2 protocoles de sécurité :

o PPTP (Point to Point Tunneling Protocol) : Ce protocole standard dans l'industrie a été pris en charge pour la première fois par Windows NT 4.0. PPTP est une extension du protocole PPP (Point to Point Protocol) qui s'appuie sur les mêmes mécanismes d'authentification, de compression et de cryptage que PPP.

o L2TP / IPSec : Celui-ci gère tous les types de trafic pour assurer l'encapsulation des données. Il encapsule les paquets d'origine dans une trame PPP, en effectuant une compression d'entête si possible, puis encapsule de nouveau dans un paquet de type UDP. IPSec et L2TP sont associés afin d'assurer la sécurité et la tunnellisation des paquets sur n'importe quel réseau IP. Leur association représente également une option garantissant la simplicité, la souplesse d'utilisation, l'interaction et la sécurité.

Figure10 : Principe d'encapsulation des paquets

5) Principe d'échange de clés Internet (IKE)

La gestion des clés et la négociation des paramètres de sécurité est faite par IKE (Internet Key Exchange). Dans le contexte des réseaux privés virtuels.

IPSec permet donc de garantir la confidentialité, l'authenticité ainsi que l'intégrité des données véhiculées à travers un tunnel³³.

Le protocole IKE gère la sécurité en établissant un premier tunnel entre les 2 machines (le tunnel IKE). La deuxième phase consiste à établir d'autres tunnels secondaires pour la transmission de données utilisateur entre les 2 machines.

L'authentification utilise les certificats d'ordinateur pour vérifier que les ordinateurs sources et de destination s'approuvent mutuellement.

Si la sécurité du transport IPSec est correctement établie, L2TP négocie le tunnel, ainsi que la compression et les options d'authentification de l'utilisateur, puis procède à un contrôle d'accès basé sur l'identité de l'utilisateur.

6) Le piloteIPSec

Nommé IPSEC.sys, le pilote IPSec doit également être présent sur chaque poste Windows Client. Il permet de contrôler les paquets IP et d'effectuer les vérifications avec les stratégies de sécurité locale et les filtres IP mis en place.

7) Processus d'établissement d'une connexion

Afin de mettre en place un processus d'établissement d'une connexion, faisons l'étude d'un cas d'égal à égal :

L'hôte A est un utilisateur itinérant qui se connecte via une liaison spécialisée vers l'hôte B qui est un serveur de base de données interne à son entreprise. Cette connexion pour des raisons de confidentialité et de sécurité doit être protégée.

La sécurité IPSec est alors déployée afin de garantir le cryptage des données et l'authentification des 2 hôtes. La connexion va donc se dérouler en 6 étapes :

Figure 11 : Processus d'établissement d'une connexion

+ 1^ère étape : L'hôte A cherche à télécharger des données situées sur le serveur FTP. Pour ce faire, il lance une transaction vers ce dernier. Le pilote IPSec de l'hôte A signale au service ISAKMP/Oakley que la stratégie de sécurité nécessite l'IPSec. On utilise alors les stratégies utilisées par l'agent de stratégie dans la base de registre ;

+ 2^ème étape : Le Service ISAKMP/Oakley des deux hôtes génère une clé partagée et une association de sécurité (contrat de confiance) ;

· :
· 3^ème étape : Les pilotes IPSec des deux hôtes prennent chacun la clé et l'association ;

· :
· 4^ème étape : Les données envoyées par l'hôte A sont cryptées grâce à la clé (processus géré par le pilote IPSec) ;

· :
· 5^ème étape : Le serveur hôte B reçoit les données et les décrypte grâce au pilote IPSec qui connaît la clé partagée et l'association de sécurité ;

+ 6^ème étape : Les données sont ensuite transmises à la couche d'application (couche 7 du modèle OSI).

f. Comparaison des différents protocoles

Chaque protocole présenté permet de réaliser des solutions performantes de VPN. Nous allons ici aborder les points forts et les points faibles de chacun de ses protocoles.

+ VPN-Ssl

Présentée comme la solution miracle pour permettre aux itinérants de se connecter aux applications réparties de l'entreprise les VPN-Ssl souffrent de problèmes principalement liés aux navigateurs web utilisés. Le but d'utiliser des navigateurs web est de permettre aux utilisateurs d'utiliser un outil dont ils ont l'habitude et qui ne nécessite pas de configuration supplémentaire. Cependant lorsqu'un certificat expire l'utilisateur doit aller manuellement le renouveler.

De plus sur la majorité des navigateurs web la consultation des listes de certificats révoqués n'est pas activée par défaut : toute la sécurité de Ssl reposant sur ces certificats ceci pose un grave problème de sécurité. Rien n'empêche de plus le client de télécharger une version modifiée de son navigateur pour pouvoir utiliser de nouvelles fonctionnalités (skins, plugins,...). Rien ne certifie que le navigateur n'a pas été modifié et que son autorité de certification en soit bien une.

Enfin Un autre problème lié à l'utilisation de navigateurs web comme base au VPN est leur spécificité au monde web. En effet par défaut un navigateur n'interceptera que des communications HTTPS ou éventuellement FTPS. Toutes les communications venant d'autre type d'applications (Microsoft Outlook, Lotusnotes, ou une base de données par exemple) ne sont pas supportées. Ce problème est généralement contourné par l'exécution d'une application dédiée dans le navigateur.

Mais ceci implique également la maintenance de cette application (s'assurer que le client possède la bonne version, qu'il peut la télécharger au besoin).

L'idée suivant laquelle le navigateur web est une plate-forme idéale pour réaliser des accès VPN est donc sérieusement à nuancer.

+ PPTP

PPTP présente l'avantage d'être complètement intégré dans les environnements Windows. Cependant comme pour beaucoup de produits Microsoft, la sécurité est le point faible:

o Mauvaise gestion des mots de passe dans les environnements mixtes Windows 95/NT ;

o Faiblesses dans la génération des clés de session : réalisé à partir d'un hachage du mot de passe au lieu d'être entièrement générées au hasard. (facilite les attaques « force brute ») ;

o Identification des paquets non implémentée : vulnérabilité aux attaques de type « spoofing »

+ L2tp / IPSec

Les mécanismes de sécurité mis en place dans IPSec sont plus robustes et plus reconnus que ceux mis en place par Microsoft dans PPTP. Par défaut le protocole L2tp utilise le protocole IPSec. Cependant si le serveur distant ne le supporte pas L2tp pourra utiliser un autre protocole de sécurité. Il convient donc de s'assurer que l'ensemble des équipements d'un VPN L2tp implémente bien le protocole IPSec.IPSec ne permet d'identifier que des machines et non pas des utilisateurs. Ceci est particulièrement problématique pour les utilisateurs itinérants.

Enfin IPsec à cause de la lourdeur des opérations de cryptage/décryptage réduit les performances globales des réseaux. L'achat de périphériques dédiés, coûteux est souvent indispensable.