21/02/2023

Les réseaux privés virtuels (VPN)

Ihsen NAKOURI

1 Année universitaire 2022-2023

Plan du cours
1. Introduction aux réseaux privés virtuels
2. Les protocoles de tunneling niveau 2 (Liaison de
données)
3. Le protocole de tunneling niveau 3 : IPSec
4. Les protocoles de gestion des clés pour IPSec
5. SSL / TLS

1
 21/02/2023

Introduction aux réseaux privés

virtuels
Ihsen NAKOURI

3 Année universitaire 2022-2023

Plan
 Introduction
 Définition des VPNs
 Les fonctionnalités d’un VPN
 Les avantages/limites
 Les composants d’un VPN
 Les types de connexion VPN
 Le tunneling

2
 21/02/2023

Introduction (1)
Mesures de sécurité implémentées

Réseau public
[Link]é avec d'autres utilisateurs
[Link] accès

Introduction (2)
 L’interconnexion des ressources distantes peut se faire via
l’usage des techniques d’accès multiple:
 Utilisation des lignes spécialisées,
 Inconvénients:
 Solutions très coûteuses
 Moins de flexibilité (dépend de l’opérateur)
 La sécurité n’est pas assurée (en totalité ou en partie).
 Besoin:
 Relier des sites distants de manière sécurisée et avec un coût
acceptable.
 Assurer des communications privées sur un réseau public.
 Solution: Les réseaux privés virtuels (Virtual Private
Networks).

3
 21/02/2023

Définition
 Definition (NIST SP800-113): “A virtual network, built
on top of an existing network infrastructure, which can provide
a secure communications mechanism for data and other
information transferred between two endpoints.”

 Généralement basé sur l'utilisation du cryptage, plusieurs

choix possibles :
 Comment et où effectuer le cryptage
 Quelles parties de la communication doivent être cryptées

Définitions
 Réseau:
 Les VPN(s) sont des réseaux qui permettent l’interconnexion
des entités distantes.
 Privé:
 Les VPN(s) ne permettent qu’un accès privé à l’information,
aucune connexion externe n’est autorisée.
 Virtuel:
 Les VPN(s) s’appuient sur des architectures de réseaux
partagées et sur une séparation logique des ressources sans
s’appuyer sur des connexions physiques dédiées.

4
 21/02/2023

Définition
 Un VPN est un réseau privé connectant différents sites
construit sur des réseaux publics (ex. l’Internet) en
utilisant les techniques de chiffrement et les protocoles
de tunnelisation (Tunneling).
 Un réseau VPN repose sur un protocole appelé protocole
de tunneling.
 Permet de faire circuler les informations de l'entreprise de
façon cryptée d'un bout à l'autre du tunnel.
 Le réseau public partagé backbone représente le
Backbone VPN.
 Utilisé pour transporter du trafic pour des VPNs multiples ou
pour un trafic non VPN.

Fonctions d’un VPN

 Un VPN doit assurer les fonctionnalités suivantes :
 Authentification des utilisateurs
 Authentification de l’origine des données
 Chiffrement des données (confidentialité de l’information)
 Intégrité de l’information
 Gestion d’adresses
 Gestion des clés et des certificats
 Prise en charge de multi-protocole
 Gestion de la qualité de service
 Disponibilité et gestion des pannes

10

5
 21/02/2023

Authentification (1)
 Seuls les utilisateurs autorisés de la connexion VPN
doivent pouvoir s'identifier sur le réseau virtuel.
 Authentification au niveau utilisateur
 Protocole PPTP (niveau 2).
 Basée sur le schéma d'authentification de PPP (PAP, MS-
CHAPv1&v 2).
 Authentification au niveau paquet:
 Protocole IPSec (niveau 3).
 Identification de la source des données transmises, non-
répudiation, etc.
 Basée sur les signatures numériques ajoutées aux paquets.

11

Authentification (2)
 Authentification de type EAP (Extensible Authentication
Protocol):
 Un protocole d’authentification
 Constitué d’un échange de trames dans un format spécifique à EAP
(RFC 3748).
 Quelques méthodes d’authentification sont prédéfinies mais d’autres
peuvent être ajoutées sans qu’il soit nécessaire de changer le
protocole réseau.
 A l’origine, EAP a été conçu pour être transporter par PPP (Point-to-
Point Protocol) (RFC 2284), il a ensuite été complété pour être
utilisable sur des réseaux filaires (et sans fil).
 EAP-TLS (RFC 2716) est une méthode d’authentification
forte basée sur des certificats électroniques.
 Deux certificats requis (client et serveur).
12

6
 21/02/2023

Cryptage et adressage
 Cryptage de données : Protection des données échangées
entre le client et le serveur VPN
 Le cryptage des données pour les tunnels PPTP utilise le protocole
MPPE (Microsoft Point-to-Point Encryption),
 Utilise l'algorithme RSA/RC4 pour créer une clé de cryptage basée
sur le mot de passe client.
 Adressage : Attribuer au client VPN une adresse IP privée lors
de la connexion au réseau distant et garantir que cette adresse
reste confidentielle:
 Les protocoles de tunneling niv. 2 supportent une assignation
dynamique d'une adresse à un client, grâce au protocole NCP
(Network Control Protocol).
 Les protocoles de tunneling niv. 3 assument une assignation statique
d'une adresse aux extrémités du tunnel avant que celui-ci soit établi.

13

Filtrage des paquets et support multi-

protocole
 Filtrage : Mise en place de filtres sur l'interface
correspondant à la connexion à Internet du serveur VPN.
 Autoriser seulement le trafic VPN des utilisateurs authentifiés.
 Empêcher le serveur VPN de recevoir du trafic en dehors du trafic
VPN.
 Assurer que seuls les données cryptées autorisées pénètrent ou
sortent du réseau local privé.
 Support multi-protocole :
 La solution VPN doit supporter les protocoles les plus utilisés sur
les réseaux publiques en particulier IP.
 Les protocoles de tunneling niveau 2 supportent plusieurs
protocoles de liaisons de données (Ethernet, PPP, etc.).
 Les protocoles de tunneling niveau 3 supportent uniquement les
couches cibles utilisant le protocole IP.

14

7
 21/02/2023

Avantages des VPNs

 Facilité d’accès :
 Un VPN peut être accessible de n’importe quel emplacement
où une connexion internet est disponible.
 Coût acceptable:
 Le coût est minimisé par l’usage des connexions publiques
disponibles au lieu des liens de communication et des
équipements multiple.
 Extensibilité
 Facilité d’extension du réseau privé % aux liaisons dédiées.
 Communication sécurisée:
 Un VPN assure l’authentification, le contrôle d’accès, le
chiffrement des données (confidentialité et l’intégrité des
données).

15

Limites des VPNs

 La qualité de service
 Dépend de la qualité de service du réseau public utilisé (ne
peut pas être dans tous les cas garanti !).
 La disponibilité et les performances peuvent être affectés.
 La sécurité du réseau publique
 La sécurité des réseaux publique affecte les procédures de
déploiement des VPNs.
 Standards immature
 Les technologies VPN provenant de différents constructeurs
peuvent ne pas fonctionner correctement.

16

8
 21/02/2023

Les composants des VPN: Gateway VPN

 La passerelle VPN (Gateway VPN)
 Placée généralement aux extrémités du tunnel VPN.
 Localisée généralement au périmètre du réseau de l’entreprise.
 Conçue pour servir des ressources réseaux sécurisées
multiples.
 Peut être autonome ou intégrée au niveau des routeurs ou
des firewalls.
 Assure le tunneling, le contrôle d’accès, l’authentification et la
sécurité des données échangées.
 Vérifie le trafic entrant /sortant par rapport à la politique de
sécurité définie.
 Les paquets sont mis temporairement dans un buffer avant
l’établissement du tunnel.

17

Les composants des VPN: Client VPN

 Le client VPN
 Un outil (logiciel) utilisé par un utilisateur pour un accès
distant au VPN.
 Conçue pour fonctionner avec un seul ordinateur
(contrairement à une passerelle VPN).
 Assure l’authentification et la sécurité des données.
 Crée un tunnel entre l’ordinateur où le client est installé et
l’extrémité du VPN (où la passerelle VPN est installée).
 Possibilité de définition des clients VPN propriétaires (ex.
Cisco Secure VPN Client 5.0, vpnc : alternative libre au client
fourni par Cisco).

18

9
 21/02/2023

Types de connexions : Site à Site (1)

 Site à site ou Gateway to Gateway
 Permet une transparence au niveau des utilisateurs des deux réseaux
privés.
 Aucune installation spécifique ne sera à effectuer sur les clients des deux
réseaux (réseaux locaux).
 Configuration du routage au niveau des passerelles pour atteindre l’autre
réseau privé.
 Deux options:
 Intranet VPN
 Extranet VPN Tunnel

19

Types de connexions : Site à Site (2)

 Intranet VPNs:
 Permet l’interconnexion entre sites (réseaux locaux
localisés dans des zones géographiques différentes) d’une
seule entreprise.
 Relie au moins deux intranets entre eux.
 Utile pour des entreprises possédant plusieurs sites
distants.

20

10
 21/02/2023

Types de connexions : Site à Site (3)

 Extranet VPNs:
 Utilisé par une entreprise pour communiquer avec ses clients et ses
partenaires.
 Moyen pour ouvrir le réseau local de l’entreprise à ses clients et
partenaires.

21

Types de connexion - Client à site

 Client à site / Client to Gateway / Remote Access
 Permet l’accès pour un utilisateur distant à son réseau de l’entreprise.
 Les connexions sont gérées par l’équipement d’un utilisateur final et
d’un équipement du réseau local de destination (l’autre côté).
 Les équipements des deux côtés gèrent l’authentification, le contrôle
d’accès et le chiffrement des données.

22

11
 21/02/2023

VPN d’accès
 Deux cas possibles :
 1er cas:
 L’utilisateur demande au fournisseur d'accès de lui établir
une connexion cryptée vers le serveur distant.
 Il communique avec le NAS (Network Access Server) du
fournisseur d'accès et le NAS établit la connexion
cryptée.
 2ème cas:
 L'utilisateur possède son propre logiciel client pour le
VPN.
 Il établit directement la communication de manière
cryptée vers le réseau de l'entreprise.
23

VPN d’accès : Avantages et inconvénients

 1er cas:
 Permet à l'utilisateur de communiquer sur plusieurs réseaux
en créant plusieurs tunnels.
 Le fournisseur d'accès doit proposer un NAS compatible avec
la solution VPN choisie par l'entreprise.
 La demande de connexion par le NAS n'est pas cryptée
(problèmes de sécurité!).
 2ème cas:
 L'intégralité des informations sera cryptée dès l'établissement
de la connexion.
 Cette solution nécessite que chaque client dispose du logiciel,
lui permettant une communication cryptée.

24

12
 21/02/2023

Principe de base – Tunneling

 Définition :
 Fonctionnement d'une connexion réseau au-dessus d'une autre
connexion réseau.
 Objectif :
 Permettre à deux hôtes ou sites de communiquer via un autre
réseau qu'ils ne peuvent pas (ou ne veulent pas) utiliser directement.
25

Principe de base – Tunneling

 Le tunneling est une méthode pour construire un réseau
privé en se basant sur un réseau public.
 Construire un chemin virtuel après avoir identifié
l'émetteur et le destinataire.
 Les données à transférer (ou charge utile) peuvent être
les trames (ou paquets) d'un autre protocole
 Le protocole de tunneling encapsule la trame dans un en-
tête supplémentaire qui fournit les informations
d'acheminement afin que la charge utile encapsulée puisse
traverser le réseau intermédiaire.
 Les paquets encapsulés sont ensuite acheminés entre des
extrémités du tunnel sur le réseau.

26

13
 21/02/2023

Tunneling
 Le chemin logique que les paquets encapsulés
(incompréhensible pour les entités non autorisées entre les
deux extrémités du VPN) empruntent par l'intermédiaire du
réseau est qualifié de Tunnel.
 A la destination, la trame est désencapsulée et transférée à sa
destination finale.
 Le réseau de transit peut être n'importe quel réseau (Internet)
 le tunneling englobe l'intégralité de ce processus:
 encapsulation,
 Transmission
 et désencapsulation de paquets

27

Site-To-Site Tunneling
 Site-To-Site Tunneling: Permet à une PDU d'être transportée d'un site à un autre
sans que son contenu ne soit traité par les hôtes sur la route.
 Principe: Encapsuler l'ensemble du PDU dans une autre PDU émise sur le réseau
reliant les deux sites.

 L'encapsulation a lieu dans le routeur d ’extrémité sur le src. site.

 La désencapsulation a lieu dans le routeur d ’extrémité sur le dst. site.
28

14
 21/02/2023

Secure Tunneling
 Secure Tunneling: Permet à une PDU d'être transportée d'un site à un
autre sans que son contenu ne soit vu ou modifié par les hôtes sur la route.
Idée: Chiffrez la PDU, puis encapsulez-la dans une autre PDU envoyé sur le
réseau reliant les deux sites.

 Le chiffrement est effectué par le routeur d’extrémité sur le src. site.

 Le déchiffrement est effectué par le routeur d’extrémité sur le dst. site.
 Remarque : Dest @ dans l'en-tête IP est l’adresse du routeur d’extrémité
29sur
le dst. site

Les protocoles de tunneling

 Pour qu'un tunnel puisse être établi, le client et le serveur du
tunnel doivent utiliser le même protocole de tunneling.
 La technologie de tunneling peut être basée sur un protocole
de tunneling de couche 2 ou de couche 3.
 Niv 2: Les protocoles de couche 2 (liaison de données):
 PPTP (Point-to-Point Tunneling Protocol),
 L2TP (Layer Two Tunneling Protocol) et L2F (Layer Two Forwarding).
 Ils encapsulent la charge utile dans une trame PPP (Point-to- Point
Protocol).
 Niv 3: Les protocoles encapsulent les paquets IP dans un en-
tête IP supplémentaire avant de les envoyer sur un réseau IP.
 IPSec constitue un exemple de protocole de tunneling de couche 3.
 Des technologies basées sur des protocoles de couche 4 (SSL,
SSH).
30

15