Etude portant sur l'interconnexion par VPN d'un intranet multi-sites

2.6. Caractéristique d'un VPN

Le VPN n'est qu'un concept et non une implémentation.

Il se caractérise par :

a. L'authentification des entités communicantes c'est-à-dire le serveur VPN doit s'assurer qu'il se communique avec le vrai client VPN et vice versa ;

b. L'authentification des utilisateurs c'est-à-dire seuls les agents ou utilisateurs autorisés ont droit de pouvoir se connecter au réseau privé et toute action effectuées sur le réseau être conservé ;

c. Gestion d'adresse : tous les utilisateurs doivent avoir une adresse privée et cette adresse doit rester confidentiel et le nouveau client doit pouvoir se connecter facilement au réseau et recevoir une adresse privée à lui ;

d. Cryptage de tunnel : lors des échanges des données sur Internet, ces données doivent être efficacement cryptées entre le client et le serveur VPN et vice versa ;

e. Gestion de clés : les clés de cryptage entre le client et le serveur VPN doivent être générées et régénérées automatiquement ;

f. Le VPN doit prendre en charge tous les protocoles afin de réaliser un vrai tunnel comme s'il y avait réellement présence d'un câble entre les deux réseaux.

2.7. Protocoles utilisés dans le VPN (protocole de tunnelisation)10(*)

Il existe deux catégories de protocoles VPN :

2.7.1. 1ere catégorie : les protocoles qui nécessite le matériel particulier

A. Les protocoles de la couche deux du modèle OSI (liaison de donnée) dans la pile de protocole TCP/IP

1) PPTP(Point to Point Tunneling Protocol), est un protocole qui permet de créer des trames avec le protocole PPP (Point to Point Protocol) et de les cryptées puis les encapsulés dans un paquet IP. Ce qui permet de relier deux réseaux par un point to point virtuel qui est acheminé par une connexion IP sur Internet. Nous pourrons alors dire que deux réseaux sont reliés par une ligne directe.

La connexion s'effectue de la sorte :

v Le client se connecte à l'Internet par son modem par le protocole PPP (classement) ;

v Le client se connecte alors au serveur VPN par une connexion IP encapsulant les paquets GRE/PPP cryptés puis va former deux connexions l'une sur l'autre ;

v La connexion normale sur Internet c'est-à-dire qu'elle achemine le trafic vers ou depuis Internet ;

v La connexion virtuelle au-dessus de la connexion Internet : elle achemine le trafic vers le réseau VPN ;

v A la fin de la connexion, le serveur Internet va fermer le tunnel.

Figure 2.6. Le protocole PPTP.

2) L2TP (Layer 2 Tunneling Protocol), est un protocole qui est très proche du protocole PPTP. Cette fois si les trames PPP sont encapsulés dans le protocole L2TP lui-même.

Il existe deux types serveurs pour utiliser le L2TP :

a. Le 1^er type de serveur pour l'utilisation du L2TP : LAC

LAC (L2TP Access Concentrateur), c'est un concentrateur d'accès L2TP. Il a une responsabilité d'identification et construit le tunnel vers le LNS.

Il se trouve obligatoirement dans une infrastructure du FAI (Fournisseur d'Accès Internet) de chaque usager du VPN, cela est donc très lourd et cher à mettre en place une mesure ou il faudra louer une place dans un serveur de connexion du FAI.

b. Le 2eme type de serveur pour l'utilisation du L2TP : LNS

LNS (L2TP Network Serveur), c'est un serveur réseau qui assure la communication du réseau auquel il est connecté et les LACS vers lesquels il y a présence d'un tunnel.

Il se retrouve généralement dans l'entreprise ou service auquel appartient l'utilisateur distant.

Figure 2.7. Le protocole L2TP.

B. Les protocoles de la couche trois du modèle OSI (réseau) dans la pile de protocole TCP/IP.

1. IPsec

C'est un protocole définit par IETF (Internet Engineering Task Force) qui permet d'assurer la sécurité des échanges des données au niveau de la couche réseau du modèle OSI.

En effet, c'est un protocole qui apporte des améliorations au niveau de la sécurité au protocole IP afin de garantir la confidentialité, l'intégralité et l'authentification des échanges.

v Les services de sécurité fournie par l'IPsec

IPsec vise à prévenir diverses attaques qui sont rendues possible par le protocole IP notamment :

Ø Il empêche à un adversaire d'espionner les données qui circulent sur le réseau ;

Ø Il lui empêche d'accéder à des ressources ou données protégées.

Elle présente des services suivants :

1. Confidentialité de données et de protection partielle contre l'analyse du trafic.

Les données transportées ne peuvent être lues par un utilisateur espionnant les communications aucun mot de passe, aucune information confidentielle ne circule en clair sur le réseau.

2. L'authenticité : il effectue l'authenticité des données et le contrôle d'accès continu.

L'authenticité est composée de deux services qui sont généralement fournis simultanément par un même mécanisme : l'authentification de l'origine de données et l'intégralité.

v L'authentification de l'origine de données garantissent que les données reçues proviennent de l'émetteur déclaré ;

v L'intégralité garantit que les données n'ont pas été modifiées pendant son transfert.

La garantie de l'authenticité de chaque paquet reçu permet la mise en oeuvre d'un contrôle d'accès fort tout au long d'une communication par contre un contrôle d'accès simple à son ouverture de la connexion, l'adversaire peut récupérer une communication à son compte.

Bref, ces services permettent en particulier de protéger ou d'assurer la sécurité à l'accès des ressources ou des données privées.

3. Protection contre le rejeu.

La protection contre le rejeu permet la détection d'une tentative attaque qui consiste à envoyer de nouveau un paquet valide à prendre précédemment sur le réseau. Ces services sont basés sur des mécanismes cryptographiques modernes qui leur donnent un nouveau de sécurité élevé lorsqu'ils utilisent les algorithmes fort. Les services de sécurité sont fournis au moyen de deux extensions du protocole IP appelées AH (Authentification Header) et ESP (Encapsulating Security Payload).

On distingue deux types de mode pour l'IPsec qui sont :

a. Le mode transport

Le mode transport, est un mode qui permet la protection des protocoles de niveau supérieur ;

IPsec récupère les données provenant de la couche quatre du modèle OSI (transport), il les signe et les cryptes puis ils les envoient au niveau de la couche trois du modèle OSI. Cela permet la transparence entre la couche quatre du modèle OSI et la couche trois du modèle OSI et du coup il est relativement facile de la mettre en place.

Il présente des inconvénients suivants :

v A l'en tête, il est produite par la couche réseau et donc IPsec ne peut pas contrôler dans ce cas ;

v Il ne peut pas masquer les adresses pour faire croire qu'entre un réseau LAN est entre deux LAN reliés ;

v Il n'assure pas la garantie d'utiliser IPS non voulue.

Figure 2.8. Le protocole IP.

b. mode tunnel

Le mode tunnel, est un mode qui permet l'encapsulation des données IP. Les paquets circulent dans la pile de protocole (TCP/IP) jusqu'à la couche trois du modèle OSI (réseau) et cette couche IP qui transmet ses données dans la couche IPsec.

Il y a donc un en-tête IP encapsulé dans les données IP et cette en tête IP qui est réelle pour le transport sur net.

Il présente des avantages tels que :

v L'en-tête IP réelle est produite dans la couche IPsec c'est-à-dire qu'elle permet l'encapsulation d'un en-tête IP avec les adresses relatives au réseau virtuel et en plus de les crypter de façon qu'ils ne soient pas modifiable ;

v On a des adresses IP virtuelles donc qui tirent partie au mieux du concept VPN ;

v Assure le contrôle total sur l'en-tête IP produite par IPsec pour l'encapsulation des données et de son en-tête IPsec.

Figure 2.9. Le protocole IPsec.

* ¹⁰http://www.frameip.com/vpn/, consulté le 22 Février 2019 à 18 heures 34'.