VPN

Par Dr RIAHLA Mohamed Amine

 VPN
• Le VPN (Virtual Private Network) est une technologie permettant de
communiquer à distance de manière privée, comme au sein d‘un réseau
privé (LAN) de type intranet d‘entreprise.

• Deux avantages majeurs :

– De hautes performances en termes de bande passante, autrement dit des
communications à très haut débit et de très grande qualité.
– La sécurité et la confidentialité des données

• Il est aujourd‘hui possible, grâce à ces technologies, d‘étendre son réseau

privé d‘entreprise à toute la planète.

Par Dr RIAHLA Mohamed Amine

 VPN (Types)
• Il existe deux types différents de VPN :
– Le VPN IPSec, VPN SSL, L2TP, PPTP sur le réseau IP Public.:
– Le VPN MPLS sur un réseau IP Privé.

• Le VPN IP Public est un réseau s‘appuyant sur Internet, tandis que le

VPN IP Privé est un réseau entièrement hébergé par l‘opérateur.

• Les VPN peuvent être classés selon les protocoles, services, et type de
trafic (couche OSI 2 ou 3) pouvant circuler en son sein.

Par Dr RIAHLA Mohamed Amine

 VPN IP MPLS (IP Privé) :
• Pas de cryptage point à point.

• Les données ne transitent pas via Internet, mais via un réseau spécial
hébergé par l‘opérateur, qui traite les données de manière spécifique.

• Contrairement au VPN IP Public, les données ne subissent aucun traitement

au niveau de l‘expéditeur et du récepteur, elles subissent ce traitement au
niveau du réseau MPLS hébergé par l‘opérateur.

Par Dr RIAHLA Mohamed Amine

 VPN IP MPLS (IP Privé) :
• La forme d'un réseau privé virtuel étanche et distribué sur un nuage MPLS.

• Les ordinateurs sur ce VPN y sont souvent raccordés physiquement,

• La notion de « virtuel » se rapportant alors au fait que l'infrastructure MPLS

fait circuler plusieurs réseaux virtuels étanches entre eux.

Par Dr RIAHLA Mohamed Amine

 VPN IP MPLS (IP Privé) :
• A l‘entrée du réseau MPLS, les données arrivent par paquets à un routeur
étiqueteur d‘extrémité (LER, Label Edge Routeur) qui leur assigne une
étiquette en fonction de leur nature, leur provenance, mode de transport…
puis il leur assigne un trajet spécifiquement adapté à cette étiquette.

• Les paquets étiquetés suivent leur trajet spécifique, balisé par des routeurs
étiqueteurs intermédiaires (LSR: Label Switching Routeur) pour routage.

• L‘étiquetage des données permet à l’admin de définir des priorité:

– Les données provenant du siège social soient prioritaires sur toutes les autres.
– Rendre prioritaires les données multimédia, pour l‘usage de la vidéoconférence.

Par Dr RIAHLA Mohamed Amine

 VPN IP MPLS (IP Privé) :

Pour un choix de moindre coût il faut

mieux choisi IP public (internet) mais
si en veut faire plus de sécurité il faut
mieux choisir IP privé.

Par Dr RIAHLA Mohamed Amine

 VPN Publique (protocoles) :
• Point-to-Point Protocol (PPP, protocole point à point) est un protocole de
transmission pour internet (couche 2 du modèle OSI).

• PPTP (Point-to-point tunneling protocol), protocole de tunnel point-à-point de

couche 2, est un protocole d'encapsulation PPP sur IP conçu par Microsoft.
– Mettre en place des réseaux privés virtuels (VPN) au-dessus d'un réseau public.
–  L2TP et IPsec sont des protocoles inspirés de PPTP et chargés de le remplacer.
– écarté les VPN PPTP de ce cours du fait des vulnérabilités du protocole. 

• L2TP (Layer 2 Tunneling Protocol): Protocole de tunnellisation de niveau 2.

pas de cryptage. Il assure uniquement transport et integrité
• Ipsec: Un protocole transportant des paquets (couche 3)

Par Dr RIAHLA Mohamed Amine

 VPN Publique (protocoles) :
• L2TP/Ipsec: association de ces deux protocoles pour faire passer
du PPP sur L2TP sur IPsec,

• VPN SSL: il ne nécessite pas l'installation d'un logiciel client ; un navigateur

Web compatible avec l’ouverture des sessions HTTPS SSL/TLS est suffisant

Par Dr RIAHLA Mohamed Amine

 VPN IPSec :
• Les données sont cryptées chez l‘expéditeur avant d‘emprunter un tunnel
VPN à travers Internet qui le relie au récepteur et décryptées à la réception

On parle de:
• Cryptage « point à point » un expéditeur et
un récepteur (ex: le siège social et une
antenne locale)
• Cryptage « multipoint »:plusieurs (ex: le
siège social et les différents cadres en
déplacement).

Par Dr RIAHLA Mohamed Amine

 VPN SSL : Les VPN IP à l’heure du web
• SSL/TLS:
– Utilisé pour sécuriser la navigation web via HTTPS, permet aussi l'utilisation d'un
navigateur Web comme client VPN.
– Ce protocole est aussi utilisé par OpenVPN.

• VPN SSL: Technologie la plus récente pour mettre en œuvre des VPN IP.
– But: créer un tunnel sécurisé entre deux équipements, l’un au sein du réseau de
l’entreprise, l’autre à l’extérieur (un poste de travail ou un téléphone mobile).
– Développé pour rendre l’utilisation des VPN plus simple pour les utilisateurs.
– La connexion s’effectue en général via un navigateur (client léger) et le tunnel créé est
sécurisé en s’appuyant sur le protocole SSL.
– Le tunnel créé entre le poste de travail et la passerelle au sein de l’entreprise permet
de protéger l’accès à certaines applications spécifiques.

Par Dr RIAHLA Mohamed Amine

 VPN SSL : Les VPN IP à l’heure du web
• Problème avec VPN SSL:
– Pour les applications hors navigateur, (messagerie, application métier,…), il faut en
général installer un plug-in (java chez F5 Network ou Active X chez d’autres).
– Avec les problèmes de sécurité de ces technologies, certains fournisseurs de
technologies VPN SSL ont fini par proposer des clients VPN SSL (Client lourd :
Cisco, Fortinet, Sophos, ou d’OpenVPN).

• Le protocole RDP: l'ouverture d'un bureau distant utilisera l'accès Web aux

services Bureau à distance (RD Web Access) qui permet d’accéder aux
programmes RemoteApp et aux services Bureau à distance.

Par Dr RIAHLA Mohamed Amine

 VPN L2TP/IPSec ou VPN SSL ?

Du point de vue d’un utilisateur final utilisateur, plus grand-chose ne

distingue les VPN IP L2TP et VPN SSL.

Par Dr RIAHLA Mohamed Amine

 VPN L2TP/IPSec ou VPN SSL ?
VPN L2TP/IPSec VPN SSL
L'installation d'un logiciel « agent » est Un navigateur suffit
nécessaire afin d’établir un tunnel
vers un serveur VPN.

Un Tunnel VPN IPsec permet de Pour les applications hors navigateur,

véhiculer différents protocoles de (messagerie, application métier,…), il
communication tels que SSH, RDP, faut installer un plug-in
SMB, SMTP, IMAP, etc.

S’il faut donner un accès homogène à Les VPN SSL sont une meilleure
des serveurs ou à un sous-réseau à solution les cas où il est impossible
un large groupe d’utilisateurs, un VPN d’installer des certificats pour
L2TP/IPSec est mieux adapté. l’authentification (kiosques, PC
partagés, PC personnels…).
Les deux technologies sont complémentaires :
VPN L2TP/IPSec pour interconnecter des sites distants au siège
VPN SSL pour la connexion de leurs utilisateurs nomades.

Par Dr RIAHLA Mohamed Amine

VPN-IPsec

Par Dr RIAHLA Mohamed Amine

 VPN

• On a vu qu’Il existe de nombreux protocoles permettant la tunnellisation des

données (PPTP, L2TP, PPP,...)

• But: Comprendre comment fonctionne un protocole de tunnellisation

• IPsec est l’un des protocoles les plus utilisés aujourd’hui. 
• Conçu à la base pour IPv6, il sera, de plus en plus utilisé dans le futur.
• IPsec fonctionne aussi en mode transport un peu comme SSH. Il est possible
l’utiliser pour d’autres besoins que la tunnelisation.

Par Dr RIAHLA Mohamed Amine

 Créez un tunnel avec IPsec
• Une banque vient de racheter une nouvelle banque et souhaite l’intégrer à
son réseau.
• Traiter les comptes en banque de tous ses nouveaux clients dans la
nouvelle banque, depuis son site principal,
• Gérer ses anciens clients depuis son nouveau site.

Par Dr RIAHLA Mohamed Amine

 Comment cela fonctionne ?
• Le serveur de la banque A veut envoyer un paquet au serveur de la
banque B.

• Il va transiter normalement jusqu’au routeur A.

• Le paquet n’est pas vu comme un paquet allant du serveur A au serveur B
(Adresses Privées qui peuvent contenir des info privées) , mais du
routeur A au routeur B (Adresses publiques)

Par Dr RIAHLA Mohamed Amine

 Comment cela fonctionne ?
• Les données envoyées par le serveur A sont cryptées et seulement
décryptables par le routeur B. Le routeur B va donc décrypter le paquet et
l’envoyer au serveur B.

Par Dr RIAHLA Mohamed Amine

 Deux protocoles en un
• IPsec est donc l’association de plusieurs protocoles :
– Échange des clés: pour gérer la négociation entre les deux routeurs (PC ou firewall),
IPsec utilise le protocole Internet Key Exchange.
– Transfert des données: Pour la sécurité les données et l’intégrité des données, il utilise
les protocoles Encapsulating Security Payload(ESP) et Authentication Header (AH).

Par Dr RIAHLA Mohamed Amine

 Internet Key Exchange

• C’est ce protocole qui gère la connexion entre les deux routeurs. Cette
connexion se fait en deux phases :
• Phase 1: chargé de négocier la connexion sécurisé en utilisant:
• Soit les certificats de chaque partie,
• Soit un mot de passe partagé.
• Phase 2: Ouvrir ce tunnel sécurisé

Par Dr RIAHLA Mohamed Amine

 Internet Key Exchange

• Le protocole IKE (Internet Key Exchange) permet 2 types d'authentifications

•  PSK (secret prépartagé ou secret partagé) pour la génération de clefs de
sessions RSA ou
• A l'aide de certificats.
• Un Certificat signé par une tierce-partie appelée Autorité de certification (CA)
assure la non-répudiation. Tandis qu'avec l'utilisation de clefs RSA, une partie
peut nier être à l'origine des messages envoyés.

Par Dr RIAHLA Mohamed Amine

 Transfert securisé
• Assure :
– Confidentialité 
– Authentification 
– Intégrité 
– Protection contre l’analyse de trafic : chiffrer les IP réelles de la source et
destination
– Authenticité des données : Chaque paquet échangé a bien été émis par la bonne
machine et qu'il est bien à destination de la seconde machine.
– Protection contre le rejeu : envoyer de nouveau un paquet valide intercepté
précédemment sur le réseau pour obtenir la même autorisation que ce paquet à entrer
dans le réseau. Ce service est assuré par la présence d’un numéro de séquence.

• IPSEC fait appel à deux mécanismes de sécurité pour le trafic IP :

– AH (Authentification Header).
– ESP (Encapsulation Security Payload)

Par Dr RIAHLA Mohamed Amine

 Transfert securisé
2 protocoles Suivant les besoins en sécurité
•  AH : 
– Assure l’intégrité des données en mode non connecté et l’authentification de
l’origine des datagrammes IP sans chiffrement des données .
– Ajouter un bloc au datagramme IP
• Une partie de ce bloc servira à l’authentification,
• Une autre partie, contenant un numéro de séquence, assurera la protection contre le rejeu.

• ESP : 
– Assure la confidentialité des données et la protection partielle contre l’analyse du
trafic, dans le cas du mode tunnel.
– C’est pour ces raisons que ce protocole est le plus largement employé.
– ESP, modifie le paquet originel (paquet qui sera restitué dans son état lors de la
réception) :
– Tout d’abord, il crypte le paquet, Puis il modifie l'en-tête IP pour l’intégrité.

Par Dr RIAHLA Mohamed Amine

 IPSec: Mode de fonctionnement
•  Mode Transport : 
– les données sont prises au niveau de la couche 4 OSI (couche transport).
– Elles sont cryptées et signées avant d’être transmise à la couche IP.
–  iI n’y a pas de masquage d’adresse !!!!
– Trois variantes:

Par Dr RIAHLA Mohamed Amine

 IPSec: Mode de fonctionnement
• Mode Tunnel : 
– L’encapsulation Ipsec a lieu après que les données envoyées par l’application est
traversé la pile de protocole jusqu’à la couche IP incluses.
– Il y a bien masquage des adresses.

Par Dr RIAHLA Mohamed Amine

 La SPD
(Security Policy Database)
• Une liste ordonnée d'entrées contenant des critères de contrôle d'accès,
similaires à des règles de pare-feux

• Tout comme les règles d'un pare-feu ou encore les SAs vues
précédemment, les sélecteurs sont les suivants :A
– Adresses IP de source et de destination, masques, intervalles...
– Ports de source et de destination
– Protocole supérieur
– Utilisateur ou identifiant de système (ou certificats X.509 réutilisés par
les SAs...)

Par Dr RIAHLA Mohamed Amine

 Exemple VPN

Par Dr RIAHLA Mohamed Amine

 Exemple VPN
• Depuis un hôte de réseau B d'IP 192.168.0.10 , un traceroute vers l'hôte du
réseau A d'IP 172.16.252.2

• Et pourtant, si l'on cherche la « vraie route »

Par Dr RIAHLA Mohamed Amine

 Ce qu’il faut retenir

• Il existe de nombreux protocoles de tunnellisation mais IPsec est un des plus

utilisés et il le sera encore plus dans un réseau IPv6, étant conçu pour cela.

• IPsec permet :
• L’intégrité des données.
• La sécurité des données.
• L’authentification.

• IPsec est une suite de protocoles, il en utilise plusieurs :

• ESP pour l’intégrité, la sécurité et l’authentification.
• AH..
• IKE pour gérer la connexion entre les deux parties.

Par Dr RIAHLA Mohamed Amine

 Ce qu’il faut retenir

• Un assemblage de plusieurs protocoles et mécanismes ce qui le rend

techniquement très complexe.
• IPSec ne permet pas d'authentifier les personnes et ne peut donc pas servir à
sécuriser des transactions.
• De ce point de vue, ce n'est pas un concurrent de SSL.

Par Dr RIAHLA Mohamed Amine

 Logiciels

• OpenVPN, permet de créer un VPN.

• OpenSSH, accès distant permettant la création de tunnels sécurisés, ou VPN.
• Hamachi, pour créer un VPN.
• n2n , logiciel pour créer un VPN P2P.
• GNU Virtual Private Ethernet.
• Tor (The onion router), anonymement à Internet.
• Amazon Virtual Private Cloud, un réseau virtuel privé au sein d'AWS.
• TheGreenBow VPN, client VPN supporte les protocoles IPsec et OpenVPN

Par Dr RIAHLA Mohamed Amine

 OpenVPN

Par Dr RIAHLA Mohamed Amine