1.8.3. Fonctionnalités des VPN
Il existe 3 types standards d'utilisation des VPN. En
étudiant ces schémas d'utilisation, il est possible d'isoler les
fonctionnalités indispensables des VPN.
Figure 13: VPN d'accès Client (source
[16])
Le VPN d'accès est utilisé pour permettre
à des utilisateurs itinérants d'accéder au réseau
privé. L'utilisateur se sert d'une connexion Internet pour
établir la connexion VPN. Il existe deux cas
· L'utilisateur demande au fournisseur d'accès de
lui établir une connexion cryptée vers le serveur distant : il
communique avec le NAS (Network Access Server) du fournisseur d'accès et
c'est le NAS qui établit la connexion cryptée.
· L'utilisateur possède son propre logiciel client
pour le VPN auquel cas il établit directement la communication de
manière cryptée vers le réseau de l'entreprise.
Les deux méthodes possèdent chacune leurs
avantages et leurs inconvénients :
· La première permet à l'utilisateur de
communiquer sur plusieurs réseaux en créant plusieurs tunnels,
mais nécessite un fournisseur d'accès proposant un NAS compatible
avec la solution VPN choisie par l'entreprise. De plus, la demande de connexion
par le NAS n'est pas cryptée Ce qui peut poser des problèmes de
sécurité.
· Sur la deuxième méthode Ce
problème disparaît puisque l'intégralité des
informations sera cryptée dès l'établissement de la
connexion. Par contre, cette solution nécessite que chaque client
transporte avec lui le logiciel, lui permettant d'établir une
communication cryptée. Nous verrons que pour pallier Ce problème
certaines entreprises mettent en place des VPN à base de SSL,
technologie implémentée dans la majorité des navigateurs
Internet du marché.
Quelle que soit la méthode de connexion choisie, Ce
type d'utilisation montre bien l'importance dans le VPN d'avoir une
authentification forte des utilisateurs. Cette authentification peut se faire
par une vérification "login / mot de passe", par un algorithme dit
"Tokens sécurisés" (utilisation de mots de passe
aléatoires) ou par certificats numériques.
1.9.
SÉCURISATION DES PROTOCOLES DE ROUTAGE
Routage messages protocoles d'échange qui maintiennent
chaque routeur dans un réseau mis à jour sur la situation
actuelle des autres réseaux.
Quand un routeur reçoit de mauvaises informations de
routage il provoque le chaos dans le réseau. Réseaux deviennent
inaccessibles, ce qui coute temps et argent. Sécuriser les protocoles de
routage a été développés pour sécuriser que
les données contenues dans est légitime et sans erreur.
a. OSPF
OSPF prend en charge trois types d'authentification :
nulle, texte et MD5. Authentification nulle, ou tapez 0 est la valeur par
défaut et signifie qu'aucune information d'authentification est inclus
dans les paquets de mise à jour de routage. L'authentification en texte
brut ou type 1, utilise un mécanisme simple mot de passe pour
authentifier le routage des paquets de mise à jour. Authentification
MD5, ou de type 2, est le plus sur car il utilise le cryptage MD5 pour
sécuriser les mots de passe utilisés pour authentifier les
paquets de mise à jour de routage.
b. EIGRP
Authentification dans EIGRP utilise une clé
pré-partagée pour authentifier les paquets de mise à jour
de routage. Chaque routeur qui participe à la mise à jour de
routage est configuré avec une clé, qui est créé
par l'administrateur, qui permet les mises à jour devant être
authentifiée par ses concurrents. Lorsque l'authentification est
configurée sur un routeur avec EIGRP, il ne reçoit plus les mises
à jour de routage non-authentifiés.
c. IS-IS
IS-IS prend en charge deux types d'authentification :
texte clair et MD5. MD5 est l'option la plus sure, et peut être mis en
place au niveau 1 ou 2 de manière indépendante, ce qui entraine
des options de configuration souples pour les administrateurs. Avec
l'authentification MD5, les mots de passe peuvent êtremodifiés
sans perturber le flux de messages.
d. RIPv2
RIPv2 prend également en charge l'authentification MD5,
qui impose à chaque mise à jour de routage à être
authentifié avant que les mises à jour soient contenues et
appliquée à la table de routage du routeur.
| 
