Master 2 R&T 2017/2018

Virtual Private Network

En informatique, un réseau privé virtuel (Virtual Private Network) est un système permettant de
créer un lien direct entre des ordinateurs distants. On utilise notamment ce terme dans le
travail à distance, ainsi que pour l'accès à des structures de type cloud computing.

Fonctionnement

La connexion entre les ordinateurs est gérée de façon transparente par le logiciel de VPN,
créant un tunnel entre eux. Les ordinateurs connectés au VPN sont ainsi sur le même réseau
local (virtuel), ce qui permet de passer outre d'éventuelles restrictions sur le réseau (comme des
pare-feux ou des proxys).

Les deux principales techniques d'encapsulations

Le VPN SSL

Aussi appelé « clientless », car il ne nécessite pas l'installation d'un logiciel client ; un navigateur
internet compatible avec l’ouverture des sessions HTTPS SSL/TLS est suffisant.

Un tunnel VPN SSL ne permet pas de véhiculer différents protocoles de communication

comme le VPN IPSec, mais des solutions existent ainsi :

Pour le protocole RDP, l'ouverture d'un bureau distant utilisera l'accès Web aux services Bureau
à distance (RD Web Access) qui permet d’accéder aux programmes RemoteApp et aux services
Bureau à distance.

Le VPN IPsec

L'installation d'un logiciel « agent » est nécessaire afin d’établir un tunnel vers un serveur VPN.

1
Master 2 R&T 2017/2018

Un Tunnel VPN IPsec permet de véhiculer différents protocoles de communication tels que
SSH, RDP, SMB, SMTP, IMAP, etc.

Intérêt

Un VPN permet d'accéder à des ordinateurs distants comme si l'on était connecté au réseau
local. Il permet d'avoir un accès au réseau interne (réseau d'entreprise, par exemple) ou de créer
un réseau de pairs.

Un VPN dispose généralement aussi d'une « passerelle » permettant d'accéder à l'extérieur, ce

qui permet de changer l'adresse IP source apparente de ses connexions. Cela rend plus difficile
l'identification et la localisation approximative de l'ordinateur émetteur par le fournisseur de
service. Cependant, l'infrastructure de VPN (généralement un serveur) dispose des informations
permettant d'identifier l'utilisateur. Cela permet aussi de contourner les restrictions
géographiques de certains services proposés sur Internet.

Le VPN permet également de construire des « réseaux overlay », en construisant un réseau

logique sur un réseau sous-jacent, faisant ainsi abstraction de la topologie de ce dernier.

L'utilisation de VPN n'est généralement pas légalement restreinte.

Elle l'est en Chine2. Jusque mi-2017, le gouvernement semblait tolérer certains usages comme
l'accès par un grand nombre de chercheurs chinois à des études publiées en ligne dans le
monde mais inaccessible en Chine en raison d'une censure du Net qui a classé non seulement
Google Docs et Dropbox, mais aussi Google scholar en liste noire2.
En septembre 2017 il semble que la Chine ait décidé d'encore resserrer l'accès des Chinois à
Internet en accroissant la répression pour ceux qui utilisent des réseaux privés virtuels (VPN) (et
donc non-contrôlés par le gouvernement). La communauté scientifique internationale (relayée
par la revue Science) craint que cette mesure puisse « sérieusement éroder la capacité des
scientifiques chinois à rester en contact avec des pairs à l'étranger »2.

Chiffrement

Les connexions VPN ne sont pas nécessairement chiffrées. Cependant si l'on ne chiffre pas, cela
peut permettre à des éléments intermédiaires sur le réseau d'accéder au trafic du VPN, ce qui
peut être problématique si les informations qui y transitent sont sensibles. De plus en plus de

2
Master 2 R&T 2017/2018

fournisseurs proposent des connexions mélangées entre UDP et TCP ce qui résulte en une
augmentation de votre sécurité lorsque vous naviguez sur internet.3 De plus, des techniques de
DPI permettent à des pare-feux de filtrer le trafic du VPN s'il n'est pas chiffré.

Protocoles

Un réseau privé virtuel utilise un ou plusieurs protocoles parmi les suivants :

 GRE, souvent remplacé par L2TP, tous deux développés par Cisco.
 PPTP (Point-to-Point tunneling Protocol) est un protocole de niveau 2 développé par
Microsoft, 3Com, Ascend, US Robotics et ECI Telematics.
 L2F (Layer Two Forwarding) est un protocole de niveau 2 développé par Cisco Systems,
Nortel et Shiva. Il est désormais quasi-obsolète.
 L2TP (Layer Two Tunneling Protocol) est l'aboutissement des travaux de l'IETF
(RFC 39314) pour faire converger les fonctionnalités de PPTP et L2F. Il s'agit ainsi d'un
protocole de niveau 2 s'appuyant sur PPP.
 IPsec est un protocole de niveau 3, issu des travaux de l'IETF, permettant de transporter
des données chiffrées pour les réseaux IP.
 SSL/TLS, déjà utilisé pour sécuriser la navigation sur le web via HTTPS, permet
également l'utilisation d'un navigateur Web comme client VPN. Ce protocole est
notamment utilisé par OpenVPN.
 SSH permet, entre autres, d'envoyer des paquets depuis un ordinateur auquel on est
connecté.

Logiciels :

 OpenVPN, logiciel qui permet de créer un VPN.

 OpenSSH, logiciel d'accès distant permettant la création de tunnels sécurisés, voire d'un
VPN.
 Hamachi, logiciel pour créer un VPN.
 Peer2Me, logiciel permettant de créer un VPN entre ses participants (obsolète).
 n2n (en) (de Ntop), logiciel pour créer un VPN P2P.
 GNU Virtual Private Ethernet.
 Tor, un réseau permettant d'accéder anonymement à Internet.

3
Master 2 R&T 2017/2018

 Amazon Virtual Private Cloud, un réseau virtuel privé au sein d'AWS.

 TheGreenBow VPN, logiciel client VPN qui supporte les protocoles IPsec et OpenVPN

Layer 2 Tunneling Protocol (L2TP)

signifie protocole de tunnellisation de niveau 2.

 Il s'agit d'un protocole réseau utilisé pour créer des réseaux privés virtuels (VPN), le plus
souvent entre un opérateur de collecte de trafic (dégroupeur ADSL ou opérateur de
téléphonie pour les accès RTC) et les fournisseurs d'accès à Internet.

Normalisation

Ce protocole, dont la normalisation par l'Internet Engineering Task Force (IETF) date de 1999,
est issu du protocole du même nom, propriétaire (brevet 5,918,019 aux États-Unis), écrit par
Cisco.

Le protocole combine des fonctionnalités de deux protocoles tunnel : Layer 2 Forwarding (L2F)
de Cisco et Point-to-point tunneling protocol (PPTP) de Microsoft.

Description

Ce protocole permet de transporter des connexions en conservant les informations du niveau 2

au niveau 7 du modèle OSI. Le transport de ces connexions se fait grâce à des tunnels IP/UDP,
le port UDP utilisé en standard est le 1701. Un même tunnel peut transporter plusieurs
connexions, en général il n'y a qu'un seul tunnel entre deux mêmes équipements de terminaison.
L'équipement qui initie le tunnel, généralement un NAS ou un BAS, est appelé LAC (L2TP

4
Master 2 R&T 2017/2018

Access Concentrator) et l'équipement qui termine le tunnel est appelé LNS (L2TP Network
Server).

Au départ, L2TP a été défini pour transporter des connexions PPP avec la RFC 26611, puis L2TP
a été généralisé pour transporter n'importe quel protocole de niveau 2 avec L2TPv3 dans la
RFC 39312.

PPTP (Point-to-point tunneling protocol),

protocole de tunnel point-à-point, est un protocole d'encapsulation PPP sur IP conçu par
Microsoft. Il permet de mettre en place des réseaux privés virtuels (VPN) au-dessus d'un réseau
public. Layer 2 Tunneling Protocol (L2TP) et IPsec sont des protocoles inspirés de PPTP et chargés
de le remplacer. Cependant, le protocole PPTP continue d'être utilisé car il est implémenté
nativement sur les machines Windows depuis Windows 2000. Toute machine Microsoft est donc
capable de mettre en place un tunnel PPTP avec une machine distante sans devoir ajouter de
mécanisme supplémentaire.

Fonctionnement

Ce protocole ouvre deux canaux de communication entre le client et le serveur :

5
Master 2 R&T 2017/2018

 un canal de contrôle pour la gestion du lien, qui consiste en une connexion TCP sur le
port 1723 du serveur ;
 un canal de données transportant les données du réseau privé et utilisant le protocole IP
numéro 47.

Le canal de données consiste en une version non standard du protocole Generic Routing
Encapsulation (GRE). Les paquets GRE modifiés transportent des trames PPP. Enfin, les trames
PPP encapsulent les paquets IP transportés par le tunnel.

Le flux PPP peut être chiffré, authentifié et compressé à l'aide des mécanismes standard de PPP,
auxquels Microsoft a ajouté l'authentification MS-CHAP, le chiffrement Microsoft Point-to-
Point Encryption (MPPE) et la compression Microsoft Point-to-Point Compression (en)
(MPPC).

Les détails du protocole PPTP sont décrits dans le document informatif RFC 26371.

Implémentations

Sous Windows, PPTP est décrit comme la fonction « accès VPN ».

Il existe un client PPTP2 ainsi qu'un serveur PPTP3 sous Linux, ce qui permet d'établir des VPN
en environnement hétérogène.

Mac OS X comporte un client PPTP.

IPsec (Internet Protocol Security),

Défini par l'IETF comme un cadre de standards ouverts pour assurer des communications privées
et protégées sur des réseaux IP, par l'utilisation des services de sécurité cryptographiques1, est un
ensemble de protocoles utilisant des algorithmes permettant le transport de données sécurisées
sur un réseau IP. IPsec se différencie des standards de sécurité antérieurs en n'étant pas limité à
une seule méthode d'authentification ou d'algorithme et c'est la raison pour laquelle il est
considéré comme un cadre de standards ouverts1. De plus, IPsec opère à la couche réseau (couche
3 du modèle OSI) contrairement aux standards antérieurs qui opéraient à la couche application

6
Master 2 R&T 2017/2018

(couche 7 du modèle OSI), ce qui le rend indépendant des applications, et veut dire que les
utilisateurs n'ont pas besoin de configurer chaque application aux standards IPsec1.

Présentation

Réalisée dans le but de fonctionner avec le protocole IPv6, la suite de protocoles IPsec a été
adaptée pour l'actuel protocole IPv4.

Son objectif est d'authentifier et de chiffrer les données : le flux ne pourra être compréhensible
que par le destinataire final (confidentialité) et la modification des données par des
intermédiaires ne pourra être possible (intégrité).

IPsec est souvent un composant de VPN, il est à l'origine de son aspect sécurité (canal sécurisé
ou tunneling). La mise en place d'une architecture sécurisée à base d'IPsec est détaillée dans la
RFC 43012.

Fonctionnement

Lors de l'établissement d'une connexion IPsec, plusieurs opérations sont effectuées :

 Échange des clés

 un canal d'échange de clés, sur une connexion UDP depuis et vers le port 500
(ISAKMP (en) pour Internet Security Association and Key Management Protocol).

Le protocole IKE (Internet Key Exchange) est chargé de négocier la connexion. Avant qu'une
transmission IPsec puisse être possible, IKE est utilisé pour authentifier les deux extrémités d'un
tunnel sécurisé en échangeant des clés partagées. Ce protocole permet deux types

7
Master 2 R&T 2017/2018

d'authentifications, PSK (secret prépartagé ou secret partagé) pour la génération de clefs de

sessions RSA ou à l'aide de certificats.

Ces deux méthodes se distinguent par le fait que l'utilisation d'un certificat signé par une tierce-
partie appelée Autorité de certification (CA) assure la non-répudiation. Tandis qu'avec
l'utilisation de clefs RSA, une partie peut nier être à l'origine des messages envoyés.

IPsec utilise une association de sécurité (Security association) pour dicter comment les parties vont
faire usage de AH (Authentication header), protocole définissant un format d'en-tête spécifique
portant les informations d'authentification, et de l'encapsulation de la charge utile d'un paquet.

 Une association de sécurité (SA) est l'établissement d'information de sécurité partagée

entre deux entités de réseau pour soutenir la communication protégée. Une SA peut être
établie par une intervention manuelle ou par ISAKMP (Internet Security Association and Key
Management Protocol).

 ISAKMP est défini comme un cadre pour établir, négocier, modifier et supprimer des SA
entre deux parties. En centralisant la gestion des SA, ISAKMP réduit la quantité de
fonctionnalité reproduite dans chaque protocole de sécurité. ISAKMP réduit également
le nombre d'heures exigé par l'installation de communications, en négociant tous les
services simultanément3.

Transfert des données

Un ou plusieurs canaux de données par lesquels le trafic du réseau privé est véhiculé, deux
protocoles sont possibles :

 le protocole no 51, AH, (Authentication Header) fournit l'intégrité et l'authentification.

AH authentifie les paquets en les signant, ce qui assure l'intégrité de l'information. Une
signature unique est créée pour chaque paquet envoyé et empêche que l'information
soit modifiée3.
 le protocole no 50, ESP (Encapsulating Security Payload), en plus de l'authentification et
l'intégrité, fournit également la confidentialité par l'entremise de la cryptographie.

8
Master 2 R&T 2017/2018

Modes de fonctionnement

Différence mode transport / mode tunnel

IPsec peut fonctionner dans un mode transport hôte à hôte ou bien dans un mode tunnel
réseau.

Mode transport

Dans le mode transport, ce sont uniquement les données transférées (la partie payload du paquet
IP) qui sont chiffrées et/ou authentifiées. Le reste du paquet IP est inchangé et de ce fait le routage
des paquets n'est pas modifié. Néanmoins, les adresses IP ne pouvant pas être modifiées par le
NAT sans corrompre le hash de l'en-tête AH généré par IPsec, AH ne peux pas être utilisé dans
un environnement nécessitant ces modifications d'en-tête. En revanche, il est possible d'avoir
recours à l'encapsulation NAT-T pour encapsuler IPSec ESP. Le mode transport est utilisé pour
les communications dites hôte à hôte (Host-to-Host).

Mode tunnel

En mode tunnel, c'est la totalité du paquet IP qui est chiffré et/ou authentifié. Le paquet est
ensuite encapsulé dans un nouveau paquet IP avec un nouvel en-tête IP. Au contraire du mode
transport, ce mode supporte donc bien la traversée de NAT quand le protocole ESP est utilisé.
Le mode tunnel est utilisé pour créer des réseaux privés virtuels (VPN) permettant la
communication de réseau à réseau (c.a.d. entre deux sites distants), d'hôte à réseau (accès à
distance d'un utilisateur) ou bien d'hôte à hôte (messagerie privée).