Etablissement Inter – Etats d’Enseignement Supérieur

CENTRE D’EXCELLENCE TECHNOLOGIQUE PAUL BIYA

BP: 13719 Yaoundé (Cameroun) Tel. (+237) 242 72 99 57/(+237) 242 72 99 58
Site web: www.iaicameroun.com E-mail: [email protected]

Cours de Sécurité Informatique

Niveau 3 Filières : SR Année Aca. : 2023-2024

Sécurité par connexion VPN

Réseaux privés virtuels

Pour sécuriser le trafic réseau entre les sites et les utilisateurs, les organisations
utilisent des réseaux privés virtuels (VPN) pour créer des connexions de réseau privé
de bout en bout. Un VPN est virtuel en ce qu'il transporte des informations au sein
d'un réseau privé, mais ces informations sont en réalité transportées sur un réseau
public. Un VPN est privé en ce sens que le trafic est crypté pour garder les données
confidentielles pendant leur transport sur le réseau public.

La figure montre un ensemble de différents types de VPN gérés par le site principal
d'une entreprise. Le tunnel permet aux sites distants et aux utilisateurs d'accéder en
toute sécurité aux ressources réseau du site principal.
 Etablissement Inter – Etats d’Enseignement Supérieur
CENTRE D’EXCELLENCE TECHNOLOGIQUE PAUL BIYA
BP: 13719 Yaoundé (Cameroun) Tel. (+237) 242 72 99 57/(+237) 242 72 99 58
Site web: www.iaicameroun.com E-mail: [email protected]

Cours de Sécurité Informatique

Niveau 3 Filières : SR Année Aca. : 2023-2024

 Un pare-feu Cisco Adaptive Security Appliance (ASA) aide les organisations à

fournir une connectivité sécurisée et haute performance, y compris des VPN et un
accès permanent pour les succursales distantes et les utilisateurs mobiles.
 SOHO signifie petit bureau à domicile où un routeur compatible VPN peut fournir
une connectivité VPN vers le site principal de l'entreprise.
 Cisco AnyConnect est un logiciel que les télétravailleurs peuvent utiliser pour
établir une connexion VPN basée sur le client avec le site principal.

Les premiers types de VPN étaient strictement des tunnels IP qui n'incluaient ni
authentification ni cryptage des données. Par exemple, Generic Routing
 Etablissement Inter – Etats d’Enseignement Supérieur
CENTRE D’EXCELLENCE TECHNOLOGIQUE PAUL BIYA
BP: 13719 Yaoundé (Cameroun) Tel. (+237) 242 72 99 57/(+237) 242 72 99 58
Site web: www.iaicameroun.com E-mail: [email protected]

Cours de Sécurité Informatique

Niveau 3 Filières : SR Année Aca. : 2023-2024

Encapsulation (GRE) est un protocole de tunnellisation développé par Cisco et qui

n'inclut pas de services de chiffrement. Il est utilisé pour encapsuler le trafic IPv4 et
IPv6 dans un tunnel IP afin de créer une liaison point à point virtuelle.

Avantages VPN
Les VPN modernes prennent désormais en charge les fonctionnalités de cryptage,
telles que les VPN IPsec (Internet Protocol Security) et SSL (Secure Sockets Layer)
pour sécuriser le trafic réseau entre les sites.

Les principaux avantages des VPN sont indiqués dans le tableau.

Avantage La description

Avec l'avènement de technologies rentables à large bande

Économies de passante, les entreprises peuvent utiliser les VPN pour
coûts réduire leurs coûts de connectivité tout en augmentant
simultanément la bande passante des connexions à distance.

Les VPN offrent le plus haut niveau de sécurité disponible, en

utilisant des protocoles de cryptage et d'authentification
Sécurité
avancés qui protègent les données contre les accès non
autorisés.

Évolutivité Les VPN permettent aux organisations d'utiliser Internet, ce

 Etablissement Inter – Etats d’Enseignement Supérieur
CENTRE D’EXCELLENCE TECHNOLOGIQUE PAUL BIYA
BP: 13719 Yaoundé (Cameroun) Tel. (+237) 242 72 99 57/(+237) 242 72 99 58
Site web: www.iaicameroun.com E-mail: [email protected]

Cours de Sécurité Informatique

Niveau 3 Filières : SR Année Aca. : 2023-2024

Avantage La description

qui facilite l'ajout de nouveaux utilisateurs sans ajouter

d'infrastructure importante.

Les VPN peuvent être mis en œuvre sur une grande variété
d'options de liaison WAN, y compris toutes les technologies à
Compatibilité large bande populaires. Les télétravailleurs peuvent profiter
de ces connexions haut débit pour obtenir un accès sécurisé
à leurs réseaux d'entreprise.

VPN de site à site et d'accès à

distance
Les VPN sont généralement déployés dans l'une des configurations suivantes : site à
site ou accès à distance.

Cliquez sur chaque type de VPN pour plus d'informations.

 VPN de site à site
Un VPN de site à site est créé lorsque les périphériques de terminaison VPN,
également appelés passerelles VPN, sont préconfigurés avec des informations pour
établir un tunnel sécurisé. Le trafic VPN n'est crypté qu'entre ces appareils. Les
hôtes internes ne savent pas qu'un VPN est utilisé.
 Etablissement Inter – Etats d’Enseignement Supérieur
CENTRE D’EXCELLENCE TECHNOLOGIQUE PAUL BIYA
BP: 13719 Yaoundé (Cameroun) Tel. (+237) 242 72 99 57/(+237) 242 72 99 58
Site web: www.iaicameroun.com E-mail: [email protected]

Cours de Sécurité Informatique

Niveau 3 Filières : SR Année Aca. : 2023-2024

 VPN d'accès à distance

Un VPN d'accès à distance est créé dynamiquement pour établir une connexion
sécurisée entre un client et un dispositif de terminaison VPN. Par exemple, un VPN
SSL d'accès à distance est utilisé lorsque vous vérifiez vos informations bancaires en
ligne.
 Etablissement Inter – Etats d’Enseignement Supérieur
CENTRE D’EXCELLENCE TECHNOLOGIQUE PAUL BIYA
BP: 13719 Yaoundé (Cameroun) Tel. (+237) 242 72 99 57/(+237) 242 72 99 58
Site web: www.iaicameroun.com E-mail: [email protected]

Cours de Sécurité Informatique

Niveau 3 Filières : SR Année Aca. : 2023-2024

VPN d'entreprise et de
fournisseur de services
De nombreuses options sont disponibles pour sécuriser le trafic de l'entreprise. Ces
solutions varient en fonction de la personne qui gère le VPN.
 Etablissement Inter – Etats d’Enseignement Supérieur
CENTRE D’EXCELLENCE TECHNOLOGIQUE PAUL BIYA
BP: 13719 Yaoundé (Cameroun) Tel. (+237) 242 72 99 57/(+237) 242 72 99 58
Site web: www.iaicameroun.com E-mail: [email protected]

Cours de Sécurité Informatique

Niveau 3 Filières : SR Année Aca. : 2023-2024

Les VPN peuvent être gérés et déployés comme :

 VPN d'entreprise – Les VPN gérés par l'entreprise sont une solution courante pour
sécuriser le trafic d'entreprise sur Internet. Les VPN de site à site et d'accès à
distance sont créés et gérés par l'entreprise à l'aide de VPN IPsec et SSL.
 VPN du fournisseur de services – Les VPN gérés par le fournisseur de services
sont créés et gérés sur le réseau du fournisseur. Le fournisseur utilise la
commutation multiprotocole par étiquette (MPLS) au niveau de la couche 2 ou de
la couche 3 pour créer des canaux sécurisés entre les sites d'une
entreprise. MPLS est une technologie de routage que le fournisseur utilise pour
créer des chemins virtuels entre les sites. Cela sépare efficacement le trafic du
trafic des autres clients. Les autres solutions héritées incluent les VPN Frame
Relay et Asynchronous Transfer Mode (ATM).

La figure répertorie les différents types de déploiements VPN gérés par l'entreprise et
gérés par le fournisseur de services qui seront abordés plus en détail dans ce
module.
 Etablissement Inter – Etats d’Enseignement Supérieur
CENTRE D’EXCELLENCE TECHNOLOGIQUE PAUL BIYA
BP: 13719 Yaoundé (Cameroun) Tel. (+237) 242 72 99 57/(+237) 242 72 99 58
Site web: www.iaicameroun.com E-mail: [email protected]

Cours de Sécurité Informatique

Niveau 3 Filières : SR Année Aca. : 2023-2024

VPN d'accès à distance

 Etablissement Inter – Etats d’Enseignement Supérieur
CENTRE D’EXCELLENCE TECHNOLOGIQUE PAUL BIYA
BP: 13719 Yaoundé (Cameroun) Tel. (+237) 242 72 99 57/(+237) 242 72 99 58
Site web: www.iaicameroun.com E-mail: [email protected]

Cours de Sécurité Informatique

Niveau 3 Filières : SR Année Aca. : 2023-2024

Dans la rubrique précédente, vous avez appris les bases d'un VPN. Ici, vous
découvrirez les types de VPN.

Les VPN sont devenus la solution logique pour la connectivité d'accès à distance
pour de nombreuses raisons. Comme le montre la figure, les VPN d'accès à distance
permettent aux utilisateurs distants et mobiles de se connecter en toute sécurité à
l'entreprise en créant un tunnel chiffré. Les utilisateurs distants peuvent répliquer en
toute sécurité leur accès de sécurité d'entreprise, y compris les applications de
messagerie et de réseau. Les VPN d'accès à distance permettent également aux
sous-traitants et aux partenaires d'avoir un accès limité aux serveurs, pages Web ou
fichiers spécifiques, selon les besoins. Cela signifie que ces utilisateurs peuvent
contribuer à la productivité de l'entreprise sans compromettre la sécurité du réseau.

Les VPN d'accès à distance sont généralement activés dynamiquement par

l'utilisateur lorsque cela est nécessaire. Les VPN d'accès à distance peuvent être
créés à l'aide d'IPsec ou de SSL. Comme illustré dans la figure, un utilisateur distant
doit initier une connexion VPN d'accès à distance.

La figure montre deux façons pour un utilisateur distant d'initier une connexion VPN
d'accès à distance : VPN sans client et VPN basé sur le client.
 Etablissement Inter – Etats d’Enseignement Supérieur
CENTRE D’EXCELLENCE TECHNOLOGIQUE PAUL BIYA
BP: 13719 Yaoundé (Cameroun) Tel. (+237) 242 72 99 57/(+237) 242 72 99 58
Site web: www.iaicameroun.com E-mail: [email protected]

Cours de Sécurité Informatique

Niveau 3 Filières : SR Année Aca. : 2023-2024

 Connexion VPN sans client - La connexion est sécurisée à l'aide d'une

connexion SSL de navigateur Web. SSL est principalement utilisé pour protéger le
trafic HTTP (HTTPS) et les protocoles de messagerie tels que IMAP et POP3. Par
exemple, HTTPS est en fait HTTP utilisant un tunnel SSL. La connexion SSL est
d'abord établie, puis les données HTTP sont échangées via la connexion.
 Connexion VPN basée sur le client – Le logiciel client VPN tel que Cisco
AnyConnect Secure Mobility Client doit être installé sur le terminal de l'utilisateur
distant. Les utilisateurs doivent initier la connexion VPN à l'aide du client VPN, puis
s'authentifier auprès de la passerelle VPN de destination. Lorsque les utilisateurs
 Etablissement Inter – Etats d’Enseignement Supérieur
CENTRE D’EXCELLENCE TECHNOLOGIQUE PAUL BIYA
BP: 13719 Yaoundé (Cameroun) Tel. (+237) 242 72 99 57/(+237) 242 72 99 58
Site web: www.iaicameroun.com E-mail: [email protected]

Cours de Sécurité Informatique

Niveau 3 Filières : SR Année Aca. : 2023-2024

distants sont authentifiés, ils ont accès aux fichiers et applications de

l'entreprise. Le logiciel client VPN crypte le trafic à l'aide d'IPsec ou de SSL et le
transmet via Internet à la passerelle VPN de destination.

VPN SSL
Lorsqu'un client négocie une connexion VPN SSL avec la passerelle VPN, il se
connecte en fait à l'aide de Transport Layer Security (TLS). TLS est la version la plus
récente de SSL et est parfois exprimée sous la forme SSL/TLS. Cependant, les deux
termes sont souvent utilisés de manière interchangeable.

SSL utilise l'infrastructure à clé publique et les certificats numériques pour

authentifier les pairs. Les technologies IPsec et SSL VPN offrent un accès à
pratiquement n'importe quelle application ou ressource réseau. Cependant, lorsque
la sécurité est un problème, IPsec est le meilleur choix. Si la prise en charge et la
facilité de déploiement sont les principaux problèmes, envisagez SSL. Le type de
méthode VPN mis en œuvre est basé sur les exigences d'accès des utilisateurs et
les processus informatiques de l'organisation. Le tableau compare les déploiements
d'accès à distance IPsec et SSL.

Caractéristique IPsec SSL

Limité – Seules les

Étendu – Toutes les
Applications prises applications Web et le
applications basées sur IP
en charge partage de fichiers sont
sont prises en charge.
pris en charge.
 Etablissement Inter – Etats d’Enseignement Supérieur
CENTRE D’EXCELLENCE TECHNOLOGIQUE PAUL BIYA
BP: 13719 Yaoundé (Cameroun) Tel. (+237) 242 72 99 57/(+237) 242 72 99 58
Site web: www.iaicameroun.com E-mail: [email protected]

Cours de Sécurité Informatique

Niveau 3 Filières : SR Année Aca. : 2023-2024

Caractéristique IPsec SSL

Fort – Utilise une

Modéré – Utilisation
authentification
Force d'une authentification
bidirectionnelle avec des
d'authentification unidirectionnelle ou
clés partagées ou des
bidirectionnelle.
certificats numériques.

Fort – Utilise des Modéré à fort – Avec

Force de
longueurs de clé de 56 bits des longueurs de clé de
chiffrement
à 256 bits. 40 bits à 256 bits.

Moyen – Parce qu'il Faible - Il ne nécessite

Complexité de la
nécessite un client VPN qu'un navigateur Web sur
connexion
préinstallé sur un hôte. un hôte.

Limité – Seuls des

appareils spécifiques avec Étendu - Tout appareil
Possibilité de
des configurations doté d'un navigateur Web
connexion
spécifiques peuvent se peut se connecter.
connecter.

Il est important de comprendre que les VPN IPsec et SSL ne s'excluent pas
mutuellement. Au lieu de cela, ils sont complémentaires ; les deux technologies
 Etablissement Inter – Etats d’Enseignement Supérieur
CENTRE D’EXCELLENCE TECHNOLOGIQUE PAUL BIYA
BP: 13719 Yaoundé (Cameroun) Tel. (+237) 242 72 99 57/(+237) 242 72 99 58
Site web: www.iaicameroun.com E-mail: [email protected]

Cours de Sécurité Informatique

Niveau 3 Filières : SR Année Aca. : 2023-2024

résolvent des problèmes différents et une organisation peut mettre en œuvre IPsec,
SSL ou les deux, selon les besoins de ses télétravailleurs.

VPN IPsec site à site

Les VPN de site à site sont utilisés pour connecter des réseaux sur un autre réseau
non fiable tel qu'Internet. Dans un VPN de site à site, les hôtes finaux envoient et
reçoivent le trafic TCP/IP non chiffré normal via un périphérique de terminaison
VPN. La terminaison VPN est généralement appelée une passerelle VPN. Un
périphérique de passerelle VPN peut être un routeur ou un pare-feu, comme illustré
dans la figure. Par exemple, l'appliance de sécurité adaptative Cisco (ASA) illustrée
sur le côté droit de la figure est un périphérique de pare-feu autonome qui combine
des fonctionnalités de pare-feu, de concentrateur VPN et de prévention des
intrusions dans une seule image logicielle.
 Etablissement Inter – Etats d’Enseignement Supérieur
CENTRE D’EXCELLENCE TECHNOLOGIQUE PAUL BIYA
BP: 13719 Yaoundé (Cameroun) Tel. (+237) 242 72 99 57/(+237) 242 72 99 58
Site web: www.iaicameroun.com E-mail: [email protected]

Cours de Sécurité Informatique

Niveau 3 Filières : SR Année Aca. : 2023-2024

La passerelle VPN encapsule et crypte le trafic sortant. Il envoie ensuite le trafic via
un tunnel VPN sur Internet vers une passerelle VPN sur le site cible. Dès réception,
la passerelle VPN réceptrice supprime les en-têtes, décrypte le contenu et relaie le
paquet vers l'hôte cible à l'intérieur de son réseau privé.

Les VPN de site à site sont généralement créés et sécurisés à l'aide de la sécurité IP
(IPsec).
 Etablissement Inter – Etats d’Enseignement Supérieur
CENTRE D’EXCELLENCE TECHNOLOGIQUE PAUL BIYA
BP: 13719 Yaoundé (Cameroun) Tel. (+237) 242 72 99 57/(+237) 242 72 99 58
Site web: www.iaicameroun.com E-mail: [email protected]

Cours de Sécurité Informatique

Niveau 3 Filières : SR Année Aca. : 2023-2024

GRE sur IPsec

Generic Routing Encapsulation (GRE) est un protocole de tunnellisation VPN de site
à site non sécurisé. Il peut encapsuler divers protocoles de couche réseau. Il prend
également en charge le trafic de multidiffusion et de diffusion qui peut être
nécessaire si l'organisation a besoin de protocoles de routage pour fonctionner sur
un VPN. Cependant, GRE ne prend pas en charge le chiffrement par défaut ; et par
conséquent, il ne fournit pas de tunnel VPN sécurisé.

Un VPN IPsec standard (non GRE) peut uniquement créer des tunnels sécurisés
pour le trafic unicast. Par conséquent, les protocoles de routage n'échangent pas
d'informations de routage sur un VPN IPsec.

Pour résoudre ce problème, nous pouvons encapsuler le trafic du protocole de

routage à l'aide d'un paquet GRE, puis encapsuler le paquet GRE dans un paquet
IPsec pour le transmettre en toute sécurité à la passerelle VPN de destination.

Les termes utilisés pour décrire l'encapsulation du tunnel GRE sur IPsec sont le
protocole passager, le protocole opérateur et le protocole de transport, comme
illustré dans la figure.
 Etablissement Inter – Etats d’Enseignement Supérieur
CENTRE D’EXCELLENCE TECHNOLOGIQUE PAUL BIYA
BP: 13719 Yaoundé (Cameroun) Tel. (+237) 242 72 99 57/(+237) 242 72 99 58
Site web: www.iaicameroun.com E-mail: [email protected]

Cours de Sécurité Informatique

Niveau 3 Filières : SR Année Aca. : 2023-2024

 Protocole passager - Il s'agit du paquet d'origine qui doit être encapsulé par
GRE. Il peut s'agir d'un paquet IPv4 ou IPv6, d'une mise à jour de routage, etc.
 Protocole de transporteur - GRE est le protocole de transporteur qui encapsule
le paquet passager d'origine.
 Protocole de transport – Il s'agit du protocole qui sera réellement utilisé pour
transmettre le paquet. Il peut s'agir d'IPv4 ou d'IPv6.
 Etablissement Inter – Etats d’Enseignement Supérieur
CENTRE D’EXCELLENCE TECHNOLOGIQUE PAUL BIYA
BP: 13719 Yaoundé (Cameroun) Tel. (+237) 242 72 99 57/(+237) 242 72 99 58
Site web: www.iaicameroun.com E-mail: [email protected]

Cours de Sécurité Informatique

Niveau 3 Filières : SR Année Aca. : 2023-2024

Par exemple, dans la figure affichant une topologie, Branch et HQ souhaitent

échanger des informations de routage OSPF via un VPN IPsec. Cependant, IPsec
ne prend pas en charge le trafic multidiffusion. Par conséquent, GRE sur IPsec est
utilisé pour prendre en charge le trafic du protocole de routage sur le VPN
IPsec. Plus précisément, les paquets OSPF (c'est-à-dire le protocole passager)
seraient encapsulés par GRE (c'est-à-dire le protocole opérateur) et ensuite
encapsulés dans un tunnel VPN IPsec.

La capture d'écran Wireshark dans la figure affiche un paquet Hello OSPF qui a été envoyé
à l'aide de GRE sur IPsec. Dans l'exemple, le paquet de multidiffusion OSPF Hello d'origine
 Etablissement Inter – Etats d’Enseignement Supérieur
CENTRE D’EXCELLENCE TECHNOLOGIQUE PAUL BIYA
BP: 13719 Yaoundé (Cameroun) Tel. (+237) 242 72 99 57/(+237) 242 72 99 58
Site web: www.iaicameroun.com E-mail: [email protected]

Cours de Sécurité Informatique

Niveau 3 Filières : SR Année Aca. : 2023-2024

(c'est-à-dire le protocole passager) a été encapsulé avec un en-tête GRE (c'est-à-dire le

protocole opérateur), qui est ensuite encapsulé par un autre en-tête IP (c'est-à-dire le
protocole de transport). Cet en-tête IP serait ensuite transmis via un tunnel IPsec.

VPN multipoints dynamiques

Les VPN IPsec de site à site et GRE sur IPsec conviennent à une utilisation lorsqu'il
n'y a que quelques sites à interconnecter en toute sécurité. Cependant, ils ne sont
 Etablissement Inter – Etats d’Enseignement Supérieur
CENTRE D’EXCELLENCE TECHNOLOGIQUE PAUL BIYA
BP: 13719 Yaoundé (Cameroun) Tel. (+237) 242 72 99 57/(+237) 242 72 99 58
Site web: www.iaicameroun.com E-mail: [email protected]

Cours de Sécurité Informatique

Niveau 3 Filières : SR Année Aca. : 2023-2024

pas suffisants lorsque l'entreprise ajoute beaucoup plus de sites. En effet, chaque
site nécessiterait des configurations statiques sur tous les autres sites ou sur un site
central.

Dynamic Multipoint VPN (DMVPN) est une solution logicielle Cisco permettant de
créer plusieurs VPN de manière simple, dynamique et évolutive. Comme d'autres
types de VPN, DMVPN s'appuie sur IPsec pour fournir un transport sécurisé sur les
réseaux publics, tels qu'Internet.

DMVPN simplifie la configuration du tunnel VPN et offre une option flexible pour
connecter un site central à des sites de succursales. Il utilise une configuration en
étoile pour établir une topologie entièrement maillée. Les sites satellites établissent
des tunnels VPN sécurisés avec le site concentrateur, comme illustré dans la figure.

Tunnels hub-to-spoke DMVPN

 Etablissement Inter – Etats d’Enseignement Supérieur
CENTRE D’EXCELLENCE TECHNOLOGIQUE PAUL BIYA
BP: 13719 Yaoundé (Cameroun) Tel. (+237) 242 72 99 57/(+237) 242 72 99 58
Site web: www.iaicameroun.com E-mail: [email protected]

Cours de Sécurité Informatique

Niveau 3 Filières : SR Année Aca. : 2023-2024

Chaque site est configuré à l'aide de l'encapsulation de routage générique multipoint

(mGRE) . L'interface de tunnel mGRE permet à une seule interface GRE de prendre
en charge dynamiquement plusieurs tunnels IPsec. Par conséquent, lorsqu'un
nouveau site nécessite une connexion sécurisée, la même configuration sur le site
concentrateur prend en charge le tunnel. Aucune configuration supplémentaire ne
serait nécessaire.
 Etablissement Inter – Etats d’Enseignement Supérieur
CENTRE D’EXCELLENCE TECHNOLOGIQUE PAUL BIYA
BP: 13719 Yaoundé (Cameroun) Tel. (+237) 242 72 99 57/(+237) 242 72 99 58
Site web: www.iaicameroun.com E-mail: [email protected]

Cours de Sécurité Informatique

Niveau 3 Filières : SR Année Aca. : 2023-2024

Les sites satellites peuvent également obtenir des informations sur d'autres sites
satellites à partir du site central et créer des tunnels virtuels de rayon à rayon,
comme illustré dans la figure.

Tunnels DMVPN Hub-to-Spoke et Spoke-to-Spoke

Interface de tunnel virtuel IPsec

 Etablissement Inter – Etats d’Enseignement Supérieur
CENTRE D’EXCELLENCE TECHNOLOGIQUE PAUL BIYA
BP: 13719 Yaoundé (Cameroun) Tel. (+237) 242 72 99 57/(+237) 242 72 99 58
Site web: www.iaicameroun.com E-mail: [email protected]

Cours de Sécurité Informatique

Niveau 3 Filières : SR Année Aca. : 2023-2024

Comme les DMVPN, l'interface de tunnel virtuel IPsec (VTI) simplifie le processus de
configuration requis pour prendre en charge plusieurs sites et l'accès à distance. Les
configurations IPsec VTI sont appliquées à une interface virtuelle au lieu d'un
mappage statique des sessions IPsec à une interface physique.

IPsec VTI est capable d'envoyer et de recevoir du trafic crypté IP monodiffusion et

multidiffusion. Par conséquent, les protocoles de routage sont automatiquement pris
en charge sans avoir à configurer les tunnels GRE.

IPsec VTI peut être configuré entre les sites ou dans une topologie hub-and-spoke.
 Etablissement Inter – Etats d’Enseignement Supérieur
CENTRE D’EXCELLENCE TECHNOLOGIQUE PAUL BIYA
BP: 13719 Yaoundé (Cameroun) Tel. (+237) 242 72 99 57/(+237) 242 72 99 58
Site web: www.iaicameroun.com E-mail: [email protected]

Cours de Sécurité Informatique

Niveau 3 Filières : SR Année Aca. : 2023-2024

VPN MPLS du fournisseur de

services
 Etablissement Inter – Etats d’Enseignement Supérieur
CENTRE D’EXCELLENCE TECHNOLOGIQUE PAUL BIYA
BP: 13719 Yaoundé (Cameroun) Tel. (+237) 242 72 99 57/(+237) 242 72 99 58
Site web: www.iaicameroun.com E-mail: [email protected]

Cours de Sécurité Informatique

Niveau 3 Filières : SR Année Aca. : 2023-2024

Les solutions WAN traditionnelles des fournisseurs de services, telles que les lignes
louées, le relais de trame et les connexions ATM, étaient intrinsèquement sécurisées
dans leur conception. Aujourd'hui, les fournisseurs de services utilisent MPLS dans
leur réseau central. Le trafic est transmis via le backbone MPLS à l'aide d'étiquettes
qui sont préalablement distribuées entre les routeurs principaux. À l'instar des
connexions WAN héritées, le trafic est sécurisé car les clients du fournisseur de
services ne peuvent pas voir le trafic des autres.

MPLS peut fournir aux clients des solutions VPN gérées ; par conséquent, la
sécurisation du trafic entre les sites clients relève de la responsabilité du fournisseur
de services. Il existe deux types de solutions VPN MPLS prises en charge par les
fournisseurs de services :

 VPN MPLS de couche 3 – Le fournisseur de services participe au routage du

client en établissant un peering entre les routeurs du client et les routeurs du
fournisseur. Ensuite, les routes client reçues par le routeur du fournisseur sont
ensuite redistribuées via le réseau MPLS vers les sites distants du client.
 VPN MPLS de couche 2 – Le fournisseur de services n'est pas impliqué dans le
routage du client. Au lieu de cela, le fournisseur déploie un service de réseau local
privé virtuel (VPLS) pour émuler un segment de réseau local à accès multiple
Ethernet sur le réseau MPLS. Aucun routage n'est impliqué. Les routeurs du client
appartiennent en effet au même réseau multiaccès.

La figure montre un fournisseur de services qui propose à la fois des VPN MPLS de
couche 2 et de couche 3.
 Etablissement Inter – Etats d’Enseignement Supérieur
CENTRE D’EXCELLENCE TECHNOLOGIQUE PAUL BIYA
BP: 13719 Yaoundé (Cameroun) Tel. (+237) 242 72 99 57/(+237) 242 72 99 58
Site web: www.iaicameroun.com E-mail: [email protected]

Cours de Sécurité Informatique

Niveau 3 Filières : SR Année Aca. : 2023-2024

Technologies IPsec
IPsec est une norme IETF (RFC 2401-2412) qui définit comment un VPN peut être
sécurisé sur des réseaux IP. IPsec protège et authentifie les paquets IP entre la
source et la destination. IPsec peut protéger le trafic de la couche 4 à la couche 7.
 Etablissement Inter – Etats d’Enseignement Supérieur
CENTRE D’EXCELLENCE TECHNOLOGIQUE PAUL BIYA
BP: 13719 Yaoundé (Cameroun) Tel. (+237) 242 72 99 57/(+237) 242 72 99 58
Site web: www.iaicameroun.com E-mail: [email protected]

Cours de Sécurité Informatique

Niveau 3 Filières : SR Année Aca. : 2023-2024

En utilisant le framework IPsec, IPsec fournit ces fonctions de sécurité essentielles :

 Confidentialité – IPsec utilise des algorithmes de cryptage pour empêcher les

cybercriminels de lire le contenu des paquets.
 Intégrité – IPsec utilise des algorithmes de hachage pour s'assurer que les
paquets n'ont pas été modifiés entre la source et la destination.
 Authentification de l'origine – IPsec utilise le protocole Internet Key Exchange
(IKE) pour authentifier la source et la destination. Méthodes d'authentification, y
compris l'utilisation de clés pré-partagées (mots de passe), de certificats
numériques ou de certificats RSA.
 Diffie-Hellman - Échange de clé sécurisé utilisant généralement divers groupes
de l'algorithme DH.

IPsec n'est lié à aucune règle spécifique pour les communications sécurisées. Cette
flexibilité du cadre permet à IPsec d'intégrer facilement de nouvelles technologies de
sécurité sans mettre à jour les normes IPsec existantes. Les technologies
actuellement disponibles sont alignées sur leur fonction de sécurité spécifique. Les
emplacements ouverts affichés dans la structure IPsec de la figure peuvent être
remplis avec n'importe lequel des choix disponibles pour cette fonction IPsec afin de
créer une association de sécurité (SA) unique.
 Etablissement Inter – Etats d’Enseignement Supérieur
CENTRE D’EXCELLENCE TECHNOLOGIQUE PAUL BIYA
BP: 13719 Yaoundé (Cameroun) Tel. (+237) 242 72 99 57/(+237) 242 72 99 58
Site web: www.iaicameroun.com E-mail: [email protected]

Cours de Sécurité Informatique

Niveau 3 Filières : SR Année Aca. : 2023-2024

Les fonctions de sécurité sont répertoriées dans le tableau.

Fonction IPsec La description

Protocole IPsec Les choix pour le protocole IPsec incluent l'en-tête

 Etablissement Inter – Etats d’Enseignement Supérieur
CENTRE D’EXCELLENCE TECHNOLOGIQUE PAUL BIYA
BP: 13719 Yaoundé (Cameroun) Tel. (+237) 242 72 99 57/(+237) 242 72 99 58
Site web: www.iaicameroun.com E-mail: [email protected]

Cours de Sécurité Informatique

Niveau 3 Filières : SR Année Aca. : 2023-2024

Fonction IPsec La description

d'authentification (AH) ou le protocole de sécurité

d'encapsulation (ESP). AH authentifie le paquet de couche
3. ESP crypte le paquet de couche 3. Remarque : ESP+AH
est rarement utilisé car cette combinaison ne traversera pas
avec succès un périphérique NAT.

Le chiffrement garantit la confidentialité du paquet de

couche 3. Les choix incluent Data Encryption Standard
Confidentialité (DES), Triple DES (3DES), Advanced Encryption Standard
(AES) ou Software-Optimized Encryption Algorithm
(SEAL). Aucun cryptage n'est également une option.

Garantit que les données arrivent inchangées à la

Intégrité destination à l'aide d'un algorithme de hachage, tel que
message-digest 5 (MD5) ou Secure Hash Algorithm (SHA).

Authentification IPsec utilise Internet Key Exchange (IKE) pour authentifier

les utilisateurs et les appareils qui peuvent communiquer
indépendamment. IKE utilise plusieurs types
d'authentification, y compris le nom d'utilisateur et le mot de
passe, le mot de passe à usage unique, la biométrie, les
clés pré-partagées (PSK) et les certificats numériques
 Etablissement Inter – Etats d’Enseignement Supérieur
CENTRE D’EXCELLENCE TECHNOLOGIQUE PAUL BIYA
BP: 13719 Yaoundé (Cameroun) Tel. (+237) 242 72 99 57/(+237) 242 72 99 58
Site web: www.iaicameroun.com E-mail: [email protected]

Cours de Sécurité Informatique

Niveau 3 Filières : SR Année Aca. : 2023-2024

Fonction IPsec La description

utilisant l'algorithme Rivest, Shamir et Adleman (RSA).

IPsec utilise l'algorithme DH pour fournir une méthode

d'échange de clé publique permettant à deux pairs d'établir
Diffie-Hellman une clé secrète partagée. Vous avez le choix entre plusieurs
groupes différents, notamment DH14, 15, 16 et DH 19, 20,
21 et 24. DH1, 2 et 5 ne sont plus recommandés.

La figure montre des exemples de SA pour deux implémentations différentes. Une

SA est le bloc de construction de base d'IPsec. Lors de l'établissement d'une liaison
VPN, les pairs doivent partager la même SA pour négocier les paramètres d'échange
de clés, établir une clé partagée, s'authentifier mutuellement et négocier les
paramètres de chiffrement. Notez que SA Exemple 1 n'utilise aucun cryptage.

Exemples d'association de sécurité IPsec

 Etablissement Inter – Etats d’Enseignement Supérieur
CENTRE D’EXCELLENCE TECHNOLOGIQUE PAUL BIYA
BP: 13719 Yaoundé (Cameroun) Tel. (+237) 242 72 99 57/(+237) 242 72 99 58
Site web: www.iaicameroun.com E-mail: [email protected]

Cours de Sécurité Informatique

Niveau 3 Filières : SR Année Aca. : 2023-2024

Encapsulation du protocole IPsec

Le choix de l'encapsulation du protocole IPsec est le premier bloc de construction du
framework. IPsec encapsule les paquets à l'aide de l'en-tête d'authentification (AH)
ou du protocole de sécurité d'encapsulation (ESP). Le choix de AH ou ESP établit
quels autres blocs de construction sont disponibles.
 Etablissement Inter – Etats d’Enseignement Supérieur
CENTRE D’EXCELLENCE TECHNOLOGIQUE PAUL BIYA
BP: 13719 Yaoundé (Cameroun) Tel. (+237) 242 72 99 57/(+237) 242 72 99 58
Site web: www.iaicameroun.com E-mail: [email protected]

Cours de Sécurité Informatique

Niveau 3 Filières : SR Année Aca. : 2023-2024

 AH n'est approprié que lorsque la confidentialité n'est pas requise ou autorisée. Il

fournit l'authentification et l'intégrité des données, mais il ne fournit pas la
confidentialité des données (chiffrement). Tout le texte est transporté non crypté.
 ESP assure à la fois la confidentialité et l'authentification. Il assure la confidentialité
en effectuant un cryptage sur le paquet IP. ESP fournit une authentification pour le
paquet IP interne et l'en-tête ESP. L'authentification fournit l'authentification de
l'origine des données et l'intégrité des données. Bien que le chiffrement et
 Etablissement Inter – Etats d’Enseignement Supérieur
CENTRE D’EXCELLENCE TECHNOLOGIQUE PAUL BIYA
BP: 13719 Yaoundé (Cameroun) Tel. (+237) 242 72 99 57/(+237) 242 72 99 58
Site web: www.iaicameroun.com E-mail: [email protected]

Cours de Sécurité Informatique

Niveau 3 Filières : SR Année Aca. : 2023-2024

l'authentification soient facultatifs dans ESP, au minimum, l'un d'entre eux doit être
sélectionné.

Confidentialité
La confidentialité est obtenue en cryptant les données, comme le montre la figure. Le
degré de confidentialité dépend de l'algorithme de chiffrement et de la longueur de la
clé utilisée dans l'algorithme de chiffrement. Si quelqu'un essaie de pirater la clé par
une attaque par force brute, le nombre de possibilités d'essayer est fonction de la
longueur de la clé. Le temps de traitement de toutes les possibilités est fonction de la
puissance informatique de l'appareil attaquant. Plus la clé est courte, plus elle est
facile à casser. Une clé 64 bits peut mettre environ un an à rompre avec un
ordinateur relativement sophistiqué. Une clé de 128 bits avec la même machine peut
prendre environ 1019 ou 10 quintillions d'années à décrypter.

Les algorithmes de chiffrement mis en évidence dans la figure sont tous des
cryptosystèmes à clé symétrique.
 Etablissement Inter – Etats d’Enseignement Supérieur
CENTRE D’EXCELLENCE TECHNOLOGIQUE PAUL BIYA
BP: 13719 Yaoundé (Cameroun) Tel. (+237) 242 72 99 57/(+237) 242 72 99 58
Site web: www.iaicameroun.com E-mail: [email protected]

Cours de Sécurité Informatique

Niveau 3 Filières : SR Année Aca. : 2023-2024

 DES utilise une clé de 56 bits.

 3DES est une variante du DES 56 bits. Il utilise trois clés de cryptage 56 bits
indépendantes par bloc de 64 bits, ce qui offre une force de cryptage nettement
plus élevée que DES.
 AES offre une sécurité plus forte que DES et est plus efficace en termes de calcul
que 3DES. AES propose trois longueurs de clé différentes : 128 bits, 192 bits et
256 bits.
 Etablissement Inter – Etats d’Enseignement Supérieur
CENTRE D’EXCELLENCE TECHNOLOGIQUE PAUL BIYA
BP: 13719 Yaoundé (Cameroun) Tel. (+237) 242 72 99 57/(+237) 242 72 99 58
Site web: www.iaicameroun.com E-mail: [email protected]

Cours de Sécurité Informatique

Niveau 3 Filières : SR Année Aca. : 2023-2024

 SEAL est un chiffrement de flux, ce qui signifie qu'il chiffre les données en continu
plutôt que de chiffrer des blocs de données. SEAL utilise une clé de 160 bits.

Intégrité
L'intégrité des données signifie que les données reçues sont exactement les mêmes
que celles qui ont été envoyées. Potentiellement, les données pourraient être
interceptées et modifiées. Par exemple, dans la figure, supposons qu'un chèque de
100 $ soit adressé à Alex. Le chèque est ensuite envoyé à Alex, mais il est
intercepté par un acteur menaçant. L'auteur de la menace change le nom du chèque
en Jeremy et le montant du chèque en 1 000 $ et tente de l'encaisser. Selon la
qualité de la falsification du chèque modifié, l'attaquant pourrait réussir.
 Etablissement Inter – Etats d’Enseignement Supérieur
CENTRE D’EXCELLENCE TECHNOLOGIQUE PAUL BIYA
BP: 13719 Yaoundé (Cameroun) Tel. (+237) 242 72 99 57/(+237) 242 72 99 58
Site web: www.iaicameroun.com E-mail: [email protected]

Cours de Sécurité Informatique

Niveau 3 Filières : SR Année Aca. : 2023-2024

Étant donné que les données VPN sont transportées sur l'Internet public, une
méthode de preuve de l'intégrité des données est nécessaire pour garantir que le
contenu n'a pas été altéré. Le code d'authentification de message haché (HMAC) est
un algorithme d'intégrité des données qui garantit l'intégrité du message à l'aide
d'une valeur de hachage. La figure met en évidence les deux algorithmes HMAC les
plus courants.
 Etablissement Inter – Etats d’Enseignement Supérieur
CENTRE D’EXCELLENCE TECHNOLOGIQUE PAUL BIYA
BP: 13719 Yaoundé (Cameroun) Tel. (+237) 242 72 99 57/(+237) 242 72 99 58
Site web: www.iaicameroun.com E-mail: [email protected]

Cours de Sécurité Informatique

Niveau 3 Filières : SR Année Aca. : 2023-2024

Remarque : Cisco classe désormais SHA-1 comme hérité et recommande au moins

SHA-256 pour l'intégrité.

 Message-Digest 5 (MD5) utilise une clé secrète partagée de 128 bits. Le message
de longueur variable et la clé secrète partagée de 128 bits sont combinés et
exécutés via l'algorithme de hachage HMAC-MD5. La sortie est un hachage de
128 bits.
 L'algorithme de hachage sécurisé (SHA) utilise une clé secrète de 160 bits. Le
message de longueur variable et la clé secrète partagée de 160 bits sont
 Etablissement Inter – Etats d’Enseignement Supérieur
CENTRE D’EXCELLENCE TECHNOLOGIQUE PAUL BIYA
BP: 13719 Yaoundé (Cameroun) Tel. (+237) 242 72 99 57/(+237) 242 72 99 58
Site web: www.iaicameroun.com E-mail: [email protected]

Cours de Sécurité Informatique

Niveau 3 Filières : SR Année Aca. : 2023-2024

combinés et exécutés via l'algorithme HMAC-SHA-1. La sortie est un hachage de

160 bits.

Authentification
Lorsque vous faites des affaires à distance, vous devez savoir qui est à l'autre bout
du fil, par courriel ou par télécopieur. Il en va de même pour les réseaux
VPN. L'appareil à l'autre extrémité du tunnel VPN doit être authentifié avant que le
chemin de communication ne soit considéré comme sécurisé. La figure met en
évidence les deux méthodes d'authentification par les pairs.
 Etablissement Inter – Etats d’Enseignement Supérieur
CENTRE D’EXCELLENCE TECHNOLOGIQUE PAUL BIYA
BP: 13719 Yaoundé (Cameroun) Tel. (+237) 242 72 99 57/(+237) 242 72 99 58
Site web: www.iaicameroun.com E-mail: [email protected]

Cours de Sécurité Informatique

Niveau 3 Filières : SR Année Aca. : 2023-2024

 Une valeur de clé secrète pré-partagée (PSK) est entrée manuellement dans
chaque pair. La PSK est combinée avec d'autres informations pour former la clé
d'authentification. Les PSK sont faciles à configurer manuellement, mais ne
s'adaptent pas bien, car chaque pair IPsec doit être configuré avec le PSK de
chaque autre pair avec lequel il communique.
 L'authentification Rivest, Shamir et Adleman (RSA) utilise des certificats
numériques pour authentifier les pairs. Le périphérique local dérive un hachage et
le chiffre avec sa clé privée. Le hachage chiffré est attaché au message et est
 Etablissement Inter – Etats d’Enseignement Supérieur
CENTRE D’EXCELLENCE TECHNOLOGIQUE PAUL BIYA
BP: 13719 Yaoundé (Cameroun) Tel. (+237) 242 72 99 57/(+237) 242 72 99 58
Site web: www.iaicameroun.com E-mail: [email protected]

Cours de Sécurité Informatique

Niveau 3 Filières : SR Année Aca. : 2023-2024

transmis à l'extrémité distante et agit comme une signature. À l'extrémité distante,

le hachage chiffré est déchiffré à l'aide de la clé publique de l'extrémité locale. Si le
hachage déchiffré correspond au hachage recalculé, la signature est
authentique. Chaque pair doit authentifier son homologue opposé avant que le
tunnel ne soit considéré comme sécurisé.

La figure montre un exemple d'authentification PSK. Au niveau du dispositif local, la

clé d'authentification et les informations d'identité sont envoyées via un algorithme de
hachage pour former le hachage pour le pair local (Hash_L). L'authentification
unidirectionnelle est établie en envoyant Hash_L à l'appareil distant. Si le
périphérique distant peut créer indépendamment le même hachage, le périphérique
local est authentifié. Une fois que l'appareil distant a authentifié l'appareil local, le
processus d'authentification commence dans la direction opposée et toutes les
étapes sont répétées de l'appareil distant à l'appareil local.

Authentification PSK
 Etablissement Inter – Etats d’Enseignement Supérieur
CENTRE D’EXCELLENCE TECHNOLOGIQUE PAUL BIYA
BP: 13719 Yaoundé (Cameroun) Tel. (+237) 242 72 99 57/(+237) 242 72 99 58
Site web: www.iaicameroun.com E-mail: [email protected]

Cours de Sécurité Informatique

Niveau 3 Filières : SR Année Aca. : 2023-2024

La figure montre un exemple d'authentification RSA. Au niveau du périphérique local,

la clé d'authentification et les informations d'identité sont envoyées via l'algorithme de
hachage pour former le hachage pour l'homologue local (Hash_L). Ensuite, le
Hash_L est chiffré à l'aide de la clé de chiffrement privée de l'appareil local. Cela
crée une signature numérique. La signature numérique et un certificat numérique
sont transmis au dispositif distant. La clé de cryptage publique pour décrypter la
signature est incluse dans le certificat numérique. Le dispositif distant vérifie la
signature numérique en la déchiffrant à l'aide de la clé de chiffrement publique. Le
résultat est Hash_L. Ensuite, le périphérique distant crée indépendamment Hash_L à
partir des informations stockées. Si le Hash_L calculé est égal au Hash_L déchiffré,
 Etablissement Inter – Etats d’Enseignement Supérieur
CENTRE D’EXCELLENCE TECHNOLOGIQUE PAUL BIYA
BP: 13719 Yaoundé (Cameroun) Tel. (+237) 242 72 99 57/(+237) 242 72 99 58
Site web: www.iaicameroun.com E-mail: [email protected]

Cours de Sécurité Informatique

Niveau 3 Filières : SR Année Aca. : 2023-2024

le périphérique local est authentifié. Une fois que l'appareil distant a authentifié
l'appareil local,

Authentification RSA

Échange de clé sécurisé avec

Diffie-Hellman
 Etablissement Inter – Etats d’Enseignement Supérieur
CENTRE D’EXCELLENCE TECHNOLOGIQUE PAUL BIYA
BP: 13719 Yaoundé (Cameroun) Tel. (+237) 242 72 99 57/(+237) 242 72 99 58
Site web: www.iaicameroun.com E-mail: [email protected]

Cours de Sécurité Informatique

Niveau 3 Filières : SR Année Aca. : 2023-2024

Les algorithmes de chiffrement nécessitent une clé secrète partagée symétrique pour
effectuer le chiffrement et le déchiffrement. Comment les dispositifs de chiffrement et
de déchiffrement obtiennent-ils la clé secrète partagée ? La méthode d'échange de
clé la plus simple consiste à utiliser une méthode d'échange de clé publique, telle
que Diffie-Hellman (DH), comme illustré dans la figure.
 Etablissement Inter – Etats d’Enseignement Supérieur
CENTRE D’EXCELLENCE TECHNOLOGIQUE PAUL BIYA
BP: 13719 Yaoundé (Cameroun) Tel. (+237) 242 72 99 57/(+237) 242 72 99 58
Site web: www.iaicameroun.com E-mail: [email protected]

Cours de Sécurité Informatique

Niveau 3 Filières : SR Année Aca. : 2023-2024

DH permet à deux pairs d'établir une clé secrète partagée qu'eux seuls connaissent,
même s'ils communiquent sur un canal non sécurisé. Les variantes de l'échange de
clés DH sont spécifiées en tant que groupes DH :

 Les groupes DH 1, 2 et 5 ne doivent plus être utilisés. Ces groupes prennent en

charge une taille de clé de 768 bits, 1024 bits et 1536 bits, respectivement.
 Les groupes DH 14, 15 et 16 utilisent des tailles de clé plus grandes avec 2048
bits, 3072 bits et 4096 bits, respectivement, et leur utilisation est recommandée
jusqu'en 2030.
 Les groupes DH 19, 20, 21 et 24 avec des tailles de clé respectives de 256 bits,
384 bits, 521 bits et 2048 bits prennent en charge la cryptographie à courbe
elliptique (ECC), qui réduit le temps nécessaire pour générer des clés. Le groupe
DH 24 est le cryptage de nouvelle génération préféré.

Le groupe DH que vous choisissez doit être suffisamment fort, ou avoir suffisamment
de bits, pour protéger les clés IPsec pendant la négociation. Par exemple, le groupe
DH 1 est suffisamment puissant pour prendre en charge le cryptage DES et 3DES,
mais pas AES. Par exemple, si les algorithmes de chiffrement ou d'authentification
utilisent une clé de 128 bits, utilisez le groupe 14, 19, 20 ou 24. Cependant, si les
algorithmes de chiffrement ou d'authentification utilisent une clé de 256 bits ou plus,
utilisez le groupe 21 ou 24.