Le document traite des VPN (réseaux privés virtuels) et de leurs solutions pour les entreprises, expliquant leur fonctionnement, types et avantages par rapport aux solutions traditionnelles. Il examine également les enjeux de la sécurité, l'authentification, et les protocoles de tunneling comme PPTP, L2TP et IPSec, tout en abordant la gestion de la qualité de service et des pannes. Enfin, il propose des recommandations pour le choix des solutions VPN en fonction des besoins spécifiques des entreprises.

1. VPN et Solutions pour l’entreprise David Lassalle Khaled Bouadi

2. Définition Qu’est ce qu’un VPN? Network : Un VPN permet d’interconnecter des sites distants => Réseau Private : Un VPN est réservé à un groupe d’usagers déterminés par authentification. Les données sont échangés de manière masquée au yeux des autres par cryptage => Privé Virtual : Un VPN repose essentiellement sur des lignes partagés et non dédiées . Il n’est pas réellement déterminé.Il est construit par dessus un réseau public essentiellement. Il s’agit d’un réseau privé construit par dessus un réseau public (Internet).

3. Types de VPNs Accès distant d’un hôte au LAN distant via internet (Host to LAN) Connexion entre plusieurs LANs distant via internet (LAN to LAN) Connexion entre deux ordinateurs via internet (Host to Host)

4. Solutions traditionnelles et VPN La solution VPN est une alternative aux solutions traditionnelles. Solutions traditionnelles Solution VPN

5. Avantages et Inconvenients Solutions traditionnelles Solution VPN Avantages - de + en + de qualité de service QOS - une GFA par contrat (sécurité par contrat) - des débits en général assez élevés voir très élevés - des délais d’acheminements garantis Inconvénients - coût beaucoup plus élevée que la solution VPN - offre pas (ou peu) de protection du contenu Avantages - une couverture géographique mondiale. - le coût de fonctionnement le plus bas du marché(tarifs calculés sur la plus courte distance au point d’accès opérateur). - offre des garanties de sécurité (utilisation de tunnels). - solution pour la gestion des postes nomades (grds nbs de points d ’accès). Inconvénients - la qualité de service (et les délais d’acheminement) n’est pas garantie - les performances ne sont pas toujours au rendez vous.

6. Enjeux des VPNs confidentialité de l’information intégrité de l’information authentification des postes protection du client VPN gestion de la qualité de service et des délais gestion des pannes Corporate Site Internet Partner #1 Partner #2

7. Authentification,confidentialité et intégrité Ces notions sont gérées dans la gestion des tunnels. Ces tunnels permettent d’assurer ces notions par application (solution de niveau 7 : HTTPS) ou pour tous les types de flux (solutions de niveau 2/3 : PPTP,L2TP,IPSec) . - niveau 2 type PPTP, L2T - niveau 3 type IPSec - niveau 7 type HTTPS

8. Tolérance aux pannes VPN doit pouvoir se prémunir de pannes éventuelles de manière à fournir un temps de disponibilité maximum. - éviter les attaques virales par la mise en place de firewalls (sur LANs et clients VPNs) - possibilités d’utiliser des ISP multiples.

9. Protection du client VPN Des clients VPN peuvent être “ hijacked ” et des pirates peuvent accéder en toute impunité au réseau privé. Solution => - installer sur les clients VPN des firewalls personnels gérés de manière centralisée . - l’organisation doit chercher à fournir une solution de gestion centralisée de la sécurité de tous les clients VPNs Internet Attacker Cable or xDSL

10. Implémentation des tunnels : processus en trois phase : - Encapsulation : la charge utile est mise dans un entête supplémentaire - Transmission : acheminement des paquets par un réseau intermedaire. - Désencapsulation : récupération de la charge utile.

11. PPTP : Point to Point Tunneling Protocol L2TP: Layer two Tunneling Protocol Ipsec: Ip secure Les protocoles de tunneling

12. PPTP description générale Protocole de niveau 2 Encapsule des trames PPP dans des datagrammes IP afin de les transférer sur un réseau IP Transfert sécurisée : cryptage des données PPP encapsulées mais aussi compression

13. Scénario d’une connexion GRE:(Internet Generic Routing Encapsulation) L'entête GRE est utilisée pour encapsuler le paquet PPP dans le datagramme IP.

14. Client PPTP Ordinateur supportant PPTP Linux ou microsoft Client distant : accès d’un ISP supportant les connexion PPP entrantes modem + dispositif VPN Client local (LAN) : En utilisant une connexion TCP/IP physique qui lui permet de se connecter directement au serveur PPTP. Dispositif VPN

15. PAP Password Authentication Protoco l Mécanisme d’authentification non crypté NAS demande le nom et mot de passe PAP les envoi en clair ( non codé).  Pas de protection contre les usurpations d’identité si le mot de passe est compromis

16. CHAP (Challenge Handshake Authentication Protoco l) : Mécanisme d’authentification crypté Algorithme de hachage MD5 à sens unique  Pas de mote de passe circulant en clair

17. MS-CHAP (Microsoft Challenge Handshake Authentication Protoco l): Mécanisme d’authentification crypté Algorithme de hachage MD4 Similaire a CHAP (code de hachage en possession du serveur) Encryptage MPPE nécessite l’authentification MS-CHAP

18. Layer Two tunneling protocol Né de L2F et PPTP Encapsule PPP dans IP,X25, ATM Utilisation possible sur Internet ou des WAN

19. IPsec IPSecure IPsec protocole de niveau 3 Création de VPN sûr basé forcément sur IP Permet de sécurisé les applications mais également toute la couche IP

20. Authentification :Absence d’usurpation d’identité; la personne avec qui on est censé dialoguer est bien la personne avec qui on dialogue Confidentialité : Personne n’écoute la communication. Intégrité: Les données reçues n’ont pas été modifiées pendant la transmission. Les rôles d’ IPsec

21. Security Association Encapsulation et la désencapsulation des Paquets IPsec est dépendante du sens de transmission des paquets  Association services de sécurité et clés avec un trafic unidirectionnel Les données permettant de spécifier ce sens sont mise dans une SA

22. Security Association Une SA est identifiée par : Un Security Parameter Index (SPI). Le protocole IPSec utilisé. L'adresse de destination.

23. Mode Ipsec (transport) Transport : acheminement direct des données protégées par IPsec (ex : host to host)

24. Mode IPsec (tunnel) tunnel : trafic envoyé vers des passerelles Ipsec ( ex LAN to LAN)

25. Solution offertes par Ipsec Les protocoles utilisés par Ipsec Authentication header (AH) Encapsulating Security Payload (ESP) Internet Key Exchange (IKE)

26. Authentification header (AH) Authentification et intégrité des données. Entête ajoutée comportant une signature Appliqué a tout type de VPN.

27. ESP Encapsulating Security Payload La confidentialité des données;  L'authentification de l'origine des données;  La protection d'anti-replay (retransmission )  L'intégrité des données (sans connexion, par paquet).

28. Comparaison ESP entre AH Confidentialité assurée en ESP mais pas avec AH Différence de portion des données sécurisée dans authentification ESP et AH  AH protège les entête IP mais pas ESP L’anti-replay est optionnel avec AH et obligatoire avec ESP

29. IKE Internet Key Exchange: Un protocole puissant flexible de négociation méthodes d'authentification, méthodes de chiffrement, clés d'utilisation + temps d'utilisation échange intelligent et sûr des clés.

30. HTTPS - solution de niveau 7 - sécurité gérée cette fois par service,en fonction de l’application -authentification par serveur Radius ou autre

31. Solutions pour l’entreprise choix de la solution VPN - identification des types de flux WAN - flux bas débits synchrones utilisées pour les applications transactionnelles, SAP Emulation telnet ou 5250/3270 - flux large bande asynchrone pour les applications FTP, HTTP, messagerie Flux synchrones - nécessitent une bande passante minimale garantie avec un délai d’acheminement le plus petit et le plus constant possible, c’est le cas des applications temps réels - ne peuvent être offert qu’avec des réseaux de niveau 2 comme ATM ou Frame Relay - Internet n ’est pas adapté pour le moment Flux asynchrones - se produisent de manière imprévisible “ par rafales ” en occupant toute la bande passante disponible - aucune contrainte de délai d’acheminement n’est nécessaire - le volume d’informations véhiculées de cette manière est toujours en forte croissance Ex : transferts de fichiers, messagerie, navigation

32. Choix de la solution VPN En fonction des volumes et des types des échanges attendus, on peut décider de la solution à adopter parmi toutes celles proposées. 3 Alternatives VPN INTERNET - Faire cohabiter tous ces flux sur le même réseau : VPN INTERNET solution mise en place sur des réseaux de niveau 2 ou de niveau 3 solution la plus immédiate et la plus rencontrée utilisateurs jamais satisfaits : inadaptée aux flux synchrones A écarter

33. - Gérer la bande passante WAN : VPNs avec LAN/WAN Shaping solution technique la plus rapide à déployer après la précédente solution technique la plus adaptée et la plus performante flux synchrones et asynchrones cohabitent tjrs sur le même support mais la solution permet de les gérer plus correctement boitiers de LAN/WAN Shaping aux extrémités du réseau WAN opérateur Choix de la solution VPN

34. - VPN “ plus ” séparation des flux applicatifs entre différents réseaux - 1 réseau synchrone bas débit garanti ( debits < 64Kbits/s ) de niveau 2 ex : Frame Relay ou LS - 1 réseau asynchrone hauts débits ( débits > 128Kbits/s ) de niveau 3 ex : Internet Choix de la solution VPN

35. Quel VPN pour quel entreprise ? En fonction de la quantité et du type de flux inter sites, la solution varie : Sites Importants France => Télécoms avec WAN Shaping Sites importants Europe-Monde => VPN avec WAN Shaping Sites moyens Europe-Monde => VPN avec WAN Shaping Petits sites France-Europe-Monde => VPN Nomades France => Accès distants RAS/VPN Nomade Nomades Europe, Monde => VPN Nomade

36. Exemples concrets VPN IP internet Utilisation de tunnels IPSEC entre firewalls / nomades avec … => Checkpoint Firewall-1 / secureremote => CISCO PIX VPN / Secure client WAN TELCO et IP => Frame Relay / ATM / MPLS avec… => UUNET : Uusecure VPN => France Telecom :Global Intranet=> Global One : Global IP VPN => Belgacom : VPN Office => Maiaah : intranet => Communauté automobile (GALIA) : ENX