Introduction au VPN

A l’heure où la mobilité est un argument dans le domaine professionnel, il est nécessaire de pouvoir travailler pour son entreprise à n’importe quel endroit du monde.

Pour des raisons évidentes de sécurité, toutes les informations indispensables à une entreprise ne peuvent pas être stockées sur un serveur accessible publiquement depuis internet. Elles ne sont donc théoriquement pas accesssibles depuis un réseau extérieur à celui de l’entreprise.

Un commercial en déplacement ne peut donc pas accéder aux informations de son entreprise si il est en déplacement à l’autre bout du monde ou non connecté au réseau de l’entreprise.

Pour remédier à ce problème, la technologie VPN (Virtual Private Network) a été mise en place afin contrer ce problème de sécurité et de permettre à un utilisateur n’étant pas connecté à un réseau interne de pouvoir quand même y accéder en totalité ou en partie au travers d’un reseau public (cf Internet).

Le principe du VPN est relativement simple, il a pour but de créer au travers d’un réseau public (et par conséquent non sécurisé) un tunnel crypté permettant de faire transiter des données jusqu’à un réseau privée disposant d’une connexion internet.

Pour envoyer des données au travers de ce tunnel, les 2 protagonistes (le commercial et l’entreprise par exemple) doivent se mettre d’accord sur l’algorithme de cryptage utilisé. Le commercial envoie ensuite ses données cryptées et éventuellement signées (pour rajouter une sécurité supplémentaire) dans le tunnel.

Ces données sont reçues par le serveur VPN de l’entreprise qui va les déchiffrer et vérifier leur intégrité.

Si un utilisateur récupérait les paquets transmis entre les 2 protagonistes, il ne trouverait que des paquets chiffrés et donc inexploitables sans avoir l’algorithme pour les déchiffrer. L’opération inverse se déroule lorsque les informations transitent du réseau de l’entreprise vers le commercial.

Voici la liste des protocoles de tunnelisation (source Wikipédia) :

  • GRE, souvent remplacé par L2TP, développé par Cisco.

  • PPTP (Point-to-Point tunneling Protocol) est un protocole de niveau 2 développé par Microsoft, 3Com, Ascend, US Robotics et ECI Telematics.

  • L2F (Layer Two Forwarding) est un protocole de niveau 2 développé par Cisco Systems, Nortel et Shiva. Il est désormais quasi-obsolète.

  • L2TP (Layer Two Tunneling Protocol) est l’aboutissement des travaux de l’IETF (RFC 3931) pour faire converger les fonctionnalités de PPTP et L2F. Il s’agit ainsi d’un protocole de niveau 2 s’appuyant sur PPP.

  • IPsec est un protocole de niveau 3, issu des travaux de l’IETF, permettant de transporter des données chiffrées pour les réseaux IP.

  • SSL/TLS offre une très bonne solution de tunnelisation. L’avantage de cette solution est d’utiliser un navigateur Web comme client VPN.

  • SSH, initialement connu comme remplacement sécurisé de telnet, offre la possibilité de tunneliser des connexions de type TCP, permettant d’accéder ainsi de façon sûre à des services offerts sur un réseau protégé, sans créer un réseau privé virtuel au sens plein. Toutefois, depuis sa version 4.3, le logiciel OpenSSH permet de créer des tunnels entre deux interfaces réseau virtuelles au niveau 3 (routage du seul trafic IP, interfaces TUN) ou au niveau 2 (tout le trafic Ethernet, interfaces TAP). Toutefois, OpenSSH ne gère que la création de ces tunnels, la gestion (routage, adressage, pontage, etc …), c’est à dire la création du VPN utilisant ces tunnels, restant à la charge de l’utilisateur.

  • VPN-Q : La mise en quarantaine des connexions permet d’isoler un utilisateur authentifié et d’inspecter sa configuration pour voir s’il ne présente aucun risque (le cas échéant de le mettre en conformité - correctifs, antivirus, pare-feu…). Ensuite et seulement s’il est conforme, il aura accès au réseau interne de l’entreprise. L’ajout de l’inspection du poste permet de réduire considérablement le risque des attaques contre le VPN. Sur les passerelles Microsoft ISA Server, la technologie est appelée_VPN Quarantaine_ (VPN-Q). L’automatisation est réalisée à travers le logiciel QSS (_Quarantine Security Suite_). Microsoft fournit le service NAP qui permet de faire la même chose également sur les câbles réseaux (switchs, …) et les accès Wi-Fi sécurisés.

La connexion VPN est intégrée nativement dans la plupart des systèmes d’exploitation qui supportent le plus souvent les protocoles PPTP et L2TP/IPsec. Il est donc simple sous Windows XP/Vista et Mac OS X de configurer en quelques secondes une connexion vers un serveur VPN.

Conclusion

Le VPN est donc un outil puissant permettant la mobilité de l’information au travers d’un média sécurisé. Cependant attention, un serveur VPN est souvent placé dans une DMZ (Zone déminilitarizée) et doit doit donc être correctement configuré afin de pouvoir accéder à tout ou partie des informations du réseau interne de l’entreprise.


Voir également