Академический Документы
Профессиональный Документы
Культура Документы
Fonctionnement
La connexion entre les ordinateurs est gérée de façon transparente par le logiciel de VPN,
créant un tunnel entre eux. Les ordinateurs connectés au VPN sont ainsi sur le même réseau
local (virtuel), ce qui permet de passer outre d'éventuelles restrictions sur le réseau (comme des
pare-feux ou des proxys).
Le VPN SSL
Aussi appelé « clientless », car il ne nécessite pas l'installation d'un logiciel client ; un navigateur
internet compatible avec l’ouverture des sessions HTTPS SSL/TLS est suffisant.
Pour le protocole RDP, l'ouverture d'un bureau distant utilisera l'accès Web aux services Bureau
à distance (RD Web Access) qui permet d’accéder aux programmes RemoteApp et aux services
Bureau à distance.
Le VPN IPsec
L'installation d'un logiciel « agent » est nécessaire afin d’établir un tunnel vers un serveur VPN.
1
Master 2 R&T 2017/2018
Un Tunnel VPN IPsec permet de véhiculer différents protocoles de communication tels que
SSH, RDP, SMB, SMTP, IMAP, etc.
Intérêt
Un VPN permet d'accéder à des ordinateurs distants comme si l'on était connecté au réseau
local. Il permet d'avoir un accès au réseau interne (réseau d'entreprise, par exemple) ou de créer
un réseau de pairs.
Chiffrement
Les connexions VPN ne sont pas nécessairement chiffrées. Cependant si l'on ne chiffre pas, cela
peut permettre à des éléments intermédiaires sur le réseau d'accéder au trafic du VPN, ce qui
peut être problématique si les informations qui y transitent sont sensibles. De plus en plus de
2
Master 2 R&T 2017/2018
fournisseurs proposent des connexions mélangées entre UDP et TCP ce qui résulte en une
augmentation de votre sécurité lorsque vous naviguez sur internet.3 De plus, des techniques de
DPI permettent à des pare-feux de filtrer le trafic du VPN s'il n'est pas chiffré.
Protocoles
GRE, souvent remplacé par L2TP, tous deux développés par Cisco.
PPTP (Point-to-Point tunneling Protocol) est un protocole de niveau 2 développé par
Microsoft, 3Com, Ascend, US Robotics et ECI Telematics.
L2F (Layer Two Forwarding) est un protocole de niveau 2 développé par Cisco Systems,
Nortel et Shiva. Il est désormais quasi-obsolète.
L2TP (Layer Two Tunneling Protocol) est l'aboutissement des travaux de l'IETF
(RFC 39314) pour faire converger les fonctionnalités de PPTP et L2F. Il s'agit ainsi d'un
protocole de niveau 2 s'appuyant sur PPP.
IPsec est un protocole de niveau 3, issu des travaux de l'IETF, permettant de transporter
des données chiffrées pour les réseaux IP.
SSL/TLS, déjà utilisé pour sécuriser la navigation sur le web via HTTPS, permet
également l'utilisation d'un navigateur Web comme client VPN. Ce protocole est
notamment utilisé par OpenVPN.
SSH permet, entre autres, d'envoyer des paquets depuis un ordinateur auquel on est
connecté.
Logiciels :
3
Master 2 R&T 2017/2018
Il s'agit d'un protocole réseau utilisé pour créer des réseaux privés virtuels (VPN), le plus
souvent entre un opérateur de collecte de trafic (dégroupeur ADSL ou opérateur de
téléphonie pour les accès RTC) et les fournisseurs d'accès à Internet.
Normalisation
Ce protocole, dont la normalisation par l'Internet Engineering Task Force (IETF) date de 1999,
est issu du protocole du même nom, propriétaire (brevet 5,918,019 aux États-Unis), écrit par
Cisco.
Le protocole combine des fonctionnalités de deux protocoles tunnel : Layer 2 Forwarding (L2F)
de Cisco et Point-to-point tunneling protocol (PPTP) de Microsoft.
Description
4
Master 2 R&T 2017/2018
Access Concentrator) et l'équipement qui termine le tunnel est appelé LNS (L2TP Network
Server).
Au départ, L2TP a été défini pour transporter des connexions PPP avec la RFC 26611, puis L2TP
a été généralisé pour transporter n'importe quel protocole de niveau 2 avec L2TPv3 dans la
RFC 39312.
protocole de tunnel point-à-point, est un protocole d'encapsulation PPP sur IP conçu par
Microsoft. Il permet de mettre en place des réseaux privés virtuels (VPN) au-dessus d'un réseau
public. Layer 2 Tunneling Protocol (L2TP) et IPsec sont des protocoles inspirés de PPTP et chargés
de le remplacer. Cependant, le protocole PPTP continue d'être utilisé car il est implémenté
nativement sur les machines Windows depuis Windows 2000. Toute machine Microsoft est donc
capable de mettre en place un tunnel PPTP avec une machine distante sans devoir ajouter de
mécanisme supplémentaire.
Fonctionnement
5
Master 2 R&T 2017/2018
un canal de contrôle pour la gestion du lien, qui consiste en une connexion TCP sur le
port 1723 du serveur ;
un canal de données transportant les données du réseau privé et utilisant le protocole IP
numéro 47.
Le canal de données consiste en une version non standard du protocole Generic Routing
Encapsulation (GRE). Les paquets GRE modifiés transportent des trames PPP. Enfin, les trames
PPP encapsulent les paquets IP transportés par le tunnel.
Le flux PPP peut être chiffré, authentifié et compressé à l'aide des mécanismes standard de PPP,
auxquels Microsoft a ajouté l'authentification MS-CHAP, le chiffrement Microsoft Point-to-
Point Encryption (MPPE) et la compression Microsoft Point-to-Point Compression (en)
(MPPC).
Les détails du protocole PPTP sont décrits dans le document informatif RFC 26371.
Implémentations
Il existe un client PPTP2 ainsi qu'un serveur PPTP3 sous Linux, ce qui permet d'établir des VPN
en environnement hétérogène.
6
Master 2 R&T 2017/2018
(couche 7 du modèle OSI), ce qui le rend indépendant des applications, et veut dire que les
utilisateurs n'ont pas besoin de configurer chaque application aux standards IPsec1.
Présentation
Réalisée dans le but de fonctionner avec le protocole IPv6, la suite de protocoles IPsec a été
adaptée pour l'actuel protocole IPv4.
Son objectif est d'authentifier et de chiffrer les données : le flux ne pourra être compréhensible
que par le destinataire final (confidentialité) et la modification des données par des
intermédiaires ne pourra être possible (intégrité).
IPsec est souvent un composant de VPN, il est à l'origine de son aspect sécurité (canal sécurisé
ou tunneling). La mise en place d'une architecture sécurisée à base d'IPsec est détaillée dans la
RFC 43012.
Fonctionnement
un canal d'échange de clés, sur une connexion UDP depuis et vers le port 500
(ISAKMP (en) pour Internet Security Association and Key Management Protocol).
Le protocole IKE (Internet Key Exchange) est chargé de négocier la connexion. Avant qu'une
transmission IPsec puisse être possible, IKE est utilisé pour authentifier les deux extrémités d'un
tunnel sécurisé en échangeant des clés partagées. Ce protocole permet deux types
7
Master 2 R&T 2017/2018
Ces deux méthodes se distinguent par le fait que l'utilisation d'un certificat signé par une tierce-
partie appelée Autorité de certification (CA) assure la non-répudiation. Tandis qu'avec
l'utilisation de clefs RSA, une partie peut nier être à l'origine des messages envoyés.
IPsec utilise une association de sécurité (Security association) pour dicter comment les parties vont
faire usage de AH (Authentication header), protocole définissant un format d'en-tête spécifique
portant les informations d'authentification, et de l'encapsulation de la charge utile d'un paquet.
ISAKMP est défini comme un cadre pour établir, négocier, modifier et supprimer des SA
entre deux parties. En centralisant la gestion des SA, ISAKMP réduit la quantité de
fonctionnalité reproduite dans chaque protocole de sécurité. ISAKMP réduit également
le nombre d'heures exigé par l'installation de communications, en négociant tous les
services simultanément3.
Un ou plusieurs canaux de données par lesquels le trafic du réseau privé est véhiculé, deux
protocoles sont possibles :
8
Master 2 R&T 2017/2018
Modes de fonctionnement
IPsec peut fonctionner dans un mode transport hôte à hôte ou bien dans un mode tunnel
réseau.
Mode transport
Dans le mode transport, ce sont uniquement les données transférées (la partie payload du paquet
IP) qui sont chiffrées et/ou authentifiées. Le reste du paquet IP est inchangé et de ce fait le routage
des paquets n'est pas modifié. Néanmoins, les adresses IP ne pouvant pas être modifiées par le
NAT sans corrompre le hash de l'en-tête AH généré par IPsec, AH ne peux pas être utilisé dans
un environnement nécessitant ces modifications d'en-tête. En revanche, il est possible d'avoir
recours à l'encapsulation NAT-T pour encapsuler IPSec ESP. Le mode transport est utilisé pour
les communications dites hôte à hôte (Host-to-Host).
Mode tunnel
En mode tunnel, c'est la totalité du paquet IP qui est chiffré et/ou authentifié. Le paquet est
ensuite encapsulé dans un nouveau paquet IP avec un nouvel en-tête IP. Au contraire du mode
transport, ce mode supporte donc bien la traversée de NAT quand le protocole ESP est utilisé.
Le mode tunnel est utilisé pour créer des réseaux privés virtuels (VPN) permettant la
communication de réseau à réseau (c.a.d. entre deux sites distants), d'hôte à réseau (accès à
distance d'un utilisateur) ou bien d'hôte à hôte (messagerie privée).