Conclusion partielle

Au cours de ce chapitre, nous avons parcouru les notions générales sur le réseau d'entreprise : comment cela fonctionne, à quoi ça sert, comment gêner ce réseau et améliorer sa productivité. Ensuite, on a montré maintenant quelques bases d'utilisation de l'ordinateur en entreprise. Outre ça, on a donné quelques conseils pour bien installer son réseau d'entreprise pour que les données circulent entre les utilisateurs et les lieux de stockage de ces données, tout en restant en sécurité à l'abri des menaces. Enfin, après cette longue excursion nous avons présentés une introduction générale sur la sécurité informatique. Ainsi nous pouvons sitôt approuver l'hypothèse selon laquelle la sécurité à 100% n'existe pas et que les risques 0 est chimérique. En effet, ce que nous devons faire ; c'est de défendre l'habilement les ressources informatiques à notre disposition, car le principe réacteur d'une entreprise, et sa sécurité vaut son pesant d'or. C'est ainsi que pour sécuriser, il faut deux éléments dont : ce qu'il faut protéger et comment le protéger.

CHAPITRE II : NOTIONS FONDAMENTALES SUR LE RESEAU

VPN/MPLS

II.0. Introduction

Les réseaux locaux TYPE LAN permettent de faire communiquer les ordinateurs d'un site d'une entreprise ensemble. Ces réseaux sont relativement sûr car ils sont quasiment toujours derrière une série de pare-feu ou coupés d'Internet et que le chemin emprunté par les données ne quitte pas l'entreprise et est connu.

Sur internet, on ne sait pas où passent les données car les chemins changent. Ces données peuvent donc être écoutées ou interceptées. Il n'est donc pas envisageable de faire connecter deux LAN entre eux par Internet sans moyen de sécuriser le cheminement des données échangées.

Cependant, ces types de réseaux sont non seulement non sécurisés mais aussi peu performants. Ainsi, les VPN ont été instaurés pour y remédier en connectant une machine distante ou tout un réseau local au réseau de l'entreprise comme s'ils étaient locaux

Il existe alors deux solutions :

? Relier les deux sites par une ligne spécialisée mais hors de prix ;

? Créer un réseau privé virtuel sécurisé autrement dit VPN. On encapsule (en anglais tunneling) les données dans un tunnel crypté.

Ce chapitre relate les différentes façons de déployer les VPNs, il décrit aussi les technologies et algorithmes qui sont associés aux VPNs pour une mise en oeuvre d'une sécurité fiable et rentable sur les réseaux.

Voici comment peut se schématiser un VPN :

Figure II.0. : Réseau VPN [¹²]

Page 22 sur 109

¹²Tirée de Deal (2008)

II.1. Page 23 sur 109

Mais alors pourquoi réseau virtuel privé ?

Virtuel simplement parce que le VPN relie deux réseaux physiques LAN par une liaison qui n'est pas tellement sûre et surtout pas dédiée à cet usage. Et privé parce que les données sont encryptées et que seuls les deux réseaux se voient mais ne sont pas vus de l'extérieur.

Pour résumé le VPN permet de mettre deux sites en relation de façon sécurisée à très faible coût par une simple connexion Internet. Mais cela se fait au détriment des performances car le passage par Internet est plus lent sur une liaison dédiée.

II.2. Propriétés d'un VPN

Un réseau VPN repose sur un protocole appelé « protocole de tunneling ». Ce protocole permet de faire circuler les informations de l'entreprise de façon cryptée d'un bout à l'autre du tunnel. Ainsi, les utilisateurs ont l'impression de se connecter directement sur le réseau de leur entreprise.

Le principe de tunneling consiste à construire un chemin virtuel après avoir identifié l'émetteur et le destinataire. Par la suite, la source chiffre les données et les achemine en empruntant ce chemin virtuel. Afin d'assurer un accès aisé et peu coûteux aux intranets ou aux extranets d'entreprise, les réseaux privés virtuels d'accès simulent un réseau privé, alors qu'ils utilisent en réalité une infrastructure d'accès partagée, comme Internet. [¹³]

II.3. Objectif et caractéristiques des VPN

? Etanchéité du trafic entre les différents réseaux privés virtuels ;

? Sécurisé des communications :

? Confidentialité (chiffrement des données) ;

? Authentification (utilisateurs ou DATA).

? Notion de qualité de service

? Type best effort dans le cas de simples tunnels crées par l'utilisateur ;

? QOS bien meilleur dans le cadre d'une offre VPN d'opérateur.

? Coût

? Permet de réduire les coûts liés à l'infrastructure réseau des entreprises

par la mise en place d'une liaison VPN.

II.3.1. Caractéristiques fondamentales d'un VPN (après les types de VPN)

Le principe d'un VPN est d'être transparent pour les utilisateurs et pour

les applications y ayant accès. Il doit être capable de mettre en oeuvre les

caractéristiques suivantes :

.. Authentification ;

.. Cryptage des données ;

.. Adressage ;

.. Filtrage de paquet ;

.. Gestion des clés ;

.. Support Multi protocole.

a) Authentification

Seuls les utilisateurs autorisés à la connexion VPN doivent pouvoir

s'identifier sur le réseau virtuel.

¹³C. Tettamanti, « Tutorial VPN », TCOM, 2000.

·

Page 24 sur 109

Authentification au niveau utilisateur :

o Protocole PPTP (niveau 2) ;

o Basée sur le schéma d'authentification de PPP (PAP, MS-CHAP-v1&v2).

· Authentification au niveau paquet :

o Protocole IP sec (niveau 3) ;

o Identification de la source des données transmises, non-répudiation, etc.

o Basées sur les signatures numériques ajoutées aux paquets.

· Authentification de type EAP :

o EAP-TLS (RFC 2716) est une méthode d'authentification forte basée sur des certificats à clés publique.

b) Cryptage de données

· Nécessité de cryptage efficace pour protéger les données échangées entre le serveur VPN :

o Le cryptage des données pour les tunnels PPTP (implémentation Microsoft) utilise le protocole MPPE (Microsoft Point-To-Point Encryptions) ;

o Utilise l'algorithme RSA/RC4 pour créer une clé de cryptage sur le mot de passe client.

c) Adressage

· Attribuer au client VPN une adresse IP privée lors de la connexion au réseau distant et garantir que cette adresse reste confidentielle :

o Les protocoles de tunneling niveau 2 supportent une assignation dynamique d'une adresse à un client, grâce au protocole NCP (Network Control Protocol) ;

o Les protocoles de tunneling niveau 3 Layer 3 tunneling assument une assignation statique d'une adresse aux extrémités du tunnel avant que celle-ci soit établie.

d) Filtrage de paquets

· Mise en place de filtres sur l'interface correspond à la connexion à Internet du serveur VPN :

o Autoriser seulement le trafic d'utilisateur authentifiés ;

o Empêche le serveur VPN de recevoir du trafic en dehors du trafic VPN ;

o Assurer que seuls les données cryptées autorisées pénètrent au sortent du LAN privé.

e) Gestion des clés

Les clés de cryptage pour le client et le serveur doivent pouvoir être générées et régénérées.

f) Support Multi-protocole

· La solution VPN doit supporter les protocoles les plus utilisés sur les réseaux publics en particulier IP ;

· Les protocoles de tunneling niveau 2 peuvent supporter plusieurs protocoles de liaisons de données (Ethernet, PPP, FR, MPLS, etc.) ;

·

Page 25 sur 109

Les protocoles de tunneling niveau 3, tels que IPSec, supportent uniquement les couches cibles utilisant le protocole IP. [¹⁴]

II.3.2. Définition

Un réseau privé virtuel, ou VPN, est une connexion cryptée sur Internet d'un appareil à un réseau. La connexion cryptée permet de garantir la sécurité du réseau. Elle va garantir que les données sensibles sont transmises en toute sécurité et empêche les personnes non autorisées d'écouter le trafic et permet à l'utilisateur de travailler à distance. La technologie VPN est largement utilisée dans les entreprises.

C'est un système permettant de créer un lien direct entre des ordinateurs distants, lien qui isole leurs échanges du reste du trafic se déroulant sur des réseaux de télécommunications publics¹⁵] (Wikipédia).

Pour une entreprise multi sites, on va utiliser pour l'interconnexion des sites. Un utilisateur nomade ou en travail pourra aussi utiliser pour accéder au coeur de réseau de son entreprise.

> Seuls les utilisateurs ou les groupes qui sont enregistrés dans ce VPN peuvent y accéder ;

> Les données transitent dans un tunnel après avoir été chiffrées ;

> Tout se passe comme si la connexion se faisant en dehors d'infrastructure d'accès partagé comme Internet.

> Virtual : pas de liaison physique dédiée

> Private: authentification, cryptage, sécurisation des échanges

> Network : accès à un site ou un hôte distant

En bref : il s'agit d'un LAN étendu [ 16]

II.4. Connexion

Un VPN est "seulement" un PRINCIPE :

? Isolation de trafic

? Sécurité

Protocoles d'établissement d'une connexion VPN

? Niveau 2

Figure II.4. : VPN Niveau 2

> PPTP > L2TP

¹⁴ Tirée de https://fr.scrib.com/document/430938747/CM3-VPN Consulté le 27 Juillet 2022 à 13H 04'

¹⁵ Tirée de https://fr.m.wikipedia.org/wiki/R%C3%A9seau_priv%C3A9_virtuel Consulté le 27 Juillet 2022 à 12H 55'

¹⁶ Tirée de http://www.frameip.com/VPN Consulté le 28 Juillet 2022 à 14H 5'

Page 26 sur 109

? Niveau 3

Figure II.4. : VPN Niveau 3

> IPSEC > MPLS

II.5. LAN To LAN

Figure II.5. : VPN LAN TO LAN

II.5.1. Host LAN

Figure II.5.1. : VPN HOST LAN

II.5. 2. Intérêts du VPN

> Confidentialité et intégrité des échanges ;

> Authentification des équipements ;

> Authentification des utilisateurs ;

> Protection du client ;

> Qualité de service ;

> Protection contre les pannes.

II.6. Fonctionnement un VPN

Le VPN repose sur le protocole de tunnelisation qui est un protocole permettant de chiffrer les données par un algorithme cryptographique entre les deux réseaux.

Le VPN n'est qu'un concept, ce n'est pas une implémentation. Il se caractérise par les obligations suivantes :

> Authentification des entités communautaires : le serveur VPN doit pouvoir être sûr de parler au vrai client VPN et vice-versa ;

> Authentification des utilisateurs : seuls les bonnes personnes doivent pouvoir se connecter au réseau virtuel. On doit aussi pouvoir conserver les logs de connexions ;

> Gestion des adresses : tous les utilisateurs doivent avoir une adresse privée et les niveaux clients vont obtenir une facilement ;

> Cryptage du tunnel : les données échangées sur Internet doivent être dûment cryptées entre le client VPN et le serveur VPN et vice-versa ;

> Les clés de cryptage doivent être régénérées souvent (automatiquement) ;

> Le VPN peut supporter tous les protocoles afin de réaliser un vrai tunnel comme s'il y avait réellement un câble entre les deux réseaux.

En outre, un VPN fonctionne en faisant transiter votre trafic Internet par un serveur privé mis à votre disposition par le fournisseur de service. De sorte que lorsque vous envoyez ou recevez des paquets de données, celles-ci sont acheminées vers la destination depuis le serveur distant et non votre ordinateur ou smartphone. Le VPN se comporte ainsi comme un intermédiaire. L'autre caractéristique importante d'un VPN, c'est le volet chiffrement qui permet de crypter vos communications.

Ces données sont ainsi chiffrées avant de sortir de votre appareil et même votre FAI ne peut y accéder. Si ces informations venaient à être sont interceptées par des tiers, elles seront illisibles. En termes plus accessibles, lorsque vous utilisez un client VPN, vos requêtes sont cryptées avant d'être transmises au serveur. Ce dernier les décrypte avant de les envoyer sur Internet. Au retour, les données sont de nouveau chiffrées par le serveur puis renvoyées vers votre terminal pour être décodées par le client VPN.

Figure II.6. Fonctionnement un VPN

II.8. Les différents types de VPN

Suivant les besoins, on référence 3 types de VPN : à savoir :

> Le VPN d'accès ;

> Intranet VPN ;

> Extranet VPN.

a) Le VPN d'accès :

Le VPN d'accès est utilisé pour permettre à des utilisateurs itinérants

d'accéder au privé.

L'utilisateur se sent d'une connexion internet pour établir la connexion

Page 27 sur 109

VPN.

Il existe deux cas :

> L'utilisateur demande au fournisseur d'accès de lui établir une connexion crypte vers le serveur distant : il communique avec le NAS du fournisseur d'accès et c'est le NAS qui établit la connexion cryptée ;

> L'utilisateur possède son propre logiciel client pour le VPN auquel cas établit directement la communication de manière cryptée vers le réseau de l'entreprise.

Les deux méthodes possèdent chacune leurs avantages et leurs Inconvénients :

> La première permet à l'utilisateur de communiquer sur plusieurs réseaux en créant plusieurs tunnels, mais nécessite un fournisseur d'accès proposant un NAS compatible avec la solution VPN n'est pas cryptée de ce qui peut poser des problèmes de sécurité ;

> Sur la deuxième méthode ce problème disparaît puisque l'intégralité des informations sera cryptée de l'établissement de la connexion. Par contre, cette solution nécessite que chaque client transporte avec lui le logiciel, lui permettant d'établir une communication cryptée. Quelle que soit la méthode de connexion choisie, ce type d'utilisation montre bien l'importance dans le VPN d'avoir une authentification des utilisateurs.

Figure II.8.a) VPN d'accès

Page 28 sur 109

b) L'Intranet VPN

Dans une entreprise l'Intranet met à la disposition des employés des

documents divers (texte, vidéo, image...), ce qui permet d'avoir un accès centralisé

et cohérent aux informations de l'entreprise.

L'Intranet peut remplir plusieurs fonctions :

> Mise à disposition de documents techniques ;

> Mise à disposition d'informations sur l'entreprise ;

> Forums de discussion, listes de diffusion, chat en direct ;

> Gestion de projets, agenda, aide à la décision ;

> Un échange de données entre collaborateurs ;

> Portail vers Internet ;

> Messagerie électronique ;

> Annuaire du personnel ;

> Visioconférence.

Page 29 sur 109

Figure : II.8.b) L'Intranet VPN

c) L'extranet VPN

Une entreprise peut utiliser le VPN pour communiquer avec ses clients et ses partenaires. Elle ouvre alors son réseau local à ces derniers. Dans ce cas, il est ne nécessaire d'avoir une authentification forte des utilisateurs, ainsi qu'une trace des différents accès. De plus, seul une partie des ressources sera partagée, ce qui nécessite une gestion rigoureuse des espaces d'échanges. [¹⁷]

Figure : II.8.c) : Extranet VPN