vpn et solutions pour l’entreprisecpham.perso.univ-pau.fr/enseignement/pau-uppa/... · vpn et...

34
1 VPN et Solutions pour l’entreprise Ces transparents sont basés sur une présentation compilés par David Lassalle et Khaled Bouadi, étudiants en DESS IIR de Lyon en 2001-2002 C. Pham Université de Pau et des Pays de l’Adour Département Informatique http://www.univ-pau.fr/~cpham [email protected]

Upload: dinhngoc

Post on 01-May-2018

220 views

Category:

Documents


1 download

TRANSCRIPT

Page 1: VPN et Solutions pour l’entreprisecpham.perso.univ-pau.fr/ENSEIGNEMENT/PAU-UPPA/... · VPN et Solutions pour l’entreprise Ces transparents sont basés sur une présentation compilés

1

VPN et Solutions pour l’entreprise

Ces transparents sont basés sur une présentation compilés parDavid Lassalle et Khaled Bouadi, étudiants en DESS IIR de Lyonen 2001-2002

C. PhamUniversité de Pau et des Pays de l’AdourDépartement Informatiquehttp://www.univ-pau.fr/[email protected]

Page 2: VPN et Solutions pour l’entreprisecpham.perso.univ-pau.fr/ENSEIGNEMENT/PAU-UPPA/... · VPN et Solutions pour l’entreprise Ces transparents sont basés sur une présentation compilés

Cours de C. Pham, Université de Pau et des Pays de l’Adour

Définition

Qu’est ce qu’un VPN?

Network :Un VPN permet d’interconnecter des sites distants => RéseauPrivate :Un VPN est réservé à un groupe d’usagers déterminés par authentification.Les données sont échangés de manière masquée au yeux des autres par cryptage => PrivéVirtual :Un VPN repose essentiellement sur des lignes partagés et non dédiées .Il n’est pas réellement déterminé.Il est construit par dessus un réseau public essentiellement.

Il s’agit d’un réseau privé construit par dessus un réseaupublic (Internet).

Page 3: VPN et Solutions pour l’entreprisecpham.perso.univ-pau.fr/ENSEIGNEMENT/PAU-UPPA/... · VPN et Solutions pour l’entreprise Ces transparents sont basés sur une présentation compilés

Internet

TunnelGatewa

y Gateway

(NAS)

Internet Service ProviderPublic Switched

TelephoneNetwork (PSTN)

WorkerMachine

Home Network

Accès distant d’un hôte au LAN distant viainternet (Host to LAN)

Page 4: VPN et Solutions pour l’entreprisecpham.perso.univ-pau.fr/ENSEIGNEMENT/PAU-UPPA/... · VPN et Solutions pour l’entreprise Ces transparents sont basés sur une présentation compilés

Accès distant d’un hôte au LAN distant viainternet (Host to LAN) (2)

Remote worker connects to Home Network through ISP createdtunnel

Allows wholesale dial-up

Internet

TunnelGateway

(NAC)

Gateway

(NAS)

Internet Service ProviderPublic Switched

TelephoneNetwork (PSTN)

Home Network

Page 5: VPN et Solutions pour l’entreprisecpham.perso.univ-pau.fr/ENSEIGNEMENT/PAU-UPPA/... · VPN et Solutions pour l’entreprise Ces transparents sont basés sur une présentation compilés

Interconnexion de LANs

Les réseaux distants 1 et 2 forment un réseau logique La communication est sécurisés au niveau le plus bas

Internet

TunnelGateway

(NAC)

Gateway

(NAS)

Network 1

Network 2

Page 6: VPN et Solutions pour l’entreprisecpham.perso.univ-pau.fr/ENSEIGNEMENT/PAU-UPPA/... · VPN et Solutions pour l’entreprise Ces transparents sont basés sur une présentation compilés

Solutions traditionnelles et VPN

Solutions traditionnelles Solution VPN

La solution VPN est une alternative aux solutions traditionnelles

Page 7: VPN et Solutions pour l’entreprisecpham.perso.univ-pau.fr/ENSEIGNEMENT/PAU-UPPA/... · VPN et Solutions pour l’entreprise Ces transparents sont basés sur une présentation compilés

Cours de C. Pham, Université de Pau et des Pays de l’Adour

Solutions traditionnelles Solution VPN

Avantages et Inconvenients

Avantages– de + en + de qualité de service

QOS– une GFA par contrat (sécurité

par contrat)– des débits en général assez

élevés voir très élevés– des délais d’acheminements

garantis Inconvénients

– coût beaucoup plus élevée quela solution VPN

– offre pas (ou peu) deprotection du contenu

Avantages– une couverture géographique

mondiale.– le coût de fonctionnement le

plus bas du marché(tarifscalculés sur la plus courtedistance au point d’accèsopérateur).

– offre des garanties de sécurité(utilisation de tunnels).

– solution pour la gestion despostes nomades (grds nbs depoints d ’accès).

Inconvénients– la qualité de service (et les

délais d’acheminement) n’estpas garantie

– les performances ne sont pastoujours au rendez vous.

Page 8: VPN et Solutions pour l’entreprisecpham.perso.univ-pau.fr/ENSEIGNEMENT/PAU-UPPA/... · VPN et Solutions pour l’entreprise Ces transparents sont basés sur une présentation compilés

Cours de C. Pham, Université de Pau et des Pays de l’Adour

CorporateSite

InternetInternet

Partner #1Partner #2

Enjeux des VPNs

confidentialité de l’information intégrité de l’information authentification des postes protection du client VPN gestion de la qualité de service et des délais gestion des pannes

Page 9: VPN et Solutions pour l’entreprisecpham.perso.univ-pau.fr/ENSEIGNEMENT/PAU-UPPA/... · VPN et Solutions pour l’entreprise Ces transparents sont basés sur une présentation compilés

Cours de C. Pham, Université de Pau et des Pays de l’Adour

Authentification,confidentialitéet intégrité

Ces notions sont gérées dans la gestion des tunnels. Ces tunnels permettent d’assurer ces notions par application

(solution de niveau 7 : HTTPS) ou pour tous les types de flux(solutions de niveau 2/3 : PPTP,L2TP,IPSec) .

– niveau 2 type PPTP, L2T– niveau 3 type IPSec– niveau 7 type HTTPS

Page 10: VPN et Solutions pour l’entreprisecpham.perso.univ-pau.fr/ENSEIGNEMENT/PAU-UPPA/... · VPN et Solutions pour l’entreprise Ces transparents sont basés sur une présentation compilés

Cours de C. Pham, Université de Pau et des Pays de l’Adour

Tolérance aux pannes

VPN doit pouvoir se prémunir de pannes éventuelles demanière à fournir un temps de disponibilité maximum.

– éviter les attaques virales par la mise en place de firewalls (surLANs et clients VPNs)

– possibilités d’utiliser des ISP multiples.

Page 11: VPN et Solutions pour l’entreprisecpham.perso.univ-pau.fr/ENSEIGNEMENT/PAU-UPPA/... · VPN et Solutions pour l’entreprise Ces transparents sont basés sur une présentation compilés

Cours de C. Pham, Université de Pau et des Pays de l’Adour

Internet

Attacker

Cable or xDSL

Protection du client VPN

Des clients VPN peuvent être “ hijacked ” et des piratespeuvent accéder en toute impunité au réseau privé.

Solutions– installer sur les clients VPN des firewalls personnels gérés de

manière centralisée .– l’organisation doit chercher à fournir une solution de gestion

centralisée de la sécurité de tous les clients VPNs

Page 12: VPN et Solutions pour l’entreprisecpham.perso.univ-pau.fr/ENSEIGNEMENT/PAU-UPPA/... · VPN et Solutions pour l’entreprise Ces transparents sont basés sur une présentation compilés

Cours de C. Pham, Université de Pau et des Pays de l’Adour

Implémentation des tunnels

processus en 3 phase :– Encapsulation : la charge utile est mise dans un entête

supplémentaire– Transmission : acheminement des paquets par un réseau

intermédiaire.– Désencapsulation : récupération de la charge utile.

Page 13: VPN et Solutions pour l’entreprisecpham.perso.univ-pau.fr/ENSEIGNEMENT/PAU-UPPA/... · VPN et Solutions pour l’entreprise Ces transparents sont basés sur une présentation compilés

Cours de C. Pham, Université de Pau et des Pays de l’Adour

Les protocoles de tunneling

PPTP : Point to Point Tunneling Protocol L2TP: Layer two Tunneling Protocol IPSec: IP Secure

Page 14: VPN et Solutions pour l’entreprisecpham.perso.univ-pau.fr/ENSEIGNEMENT/PAU-UPPA/... · VPN et Solutions pour l’entreprise Ces transparents sont basés sur une présentation compilés

Cours de C. Pham, Université de Pau et des Pays de l’Adour

PPTP description générale

Protocole de niveau 2 Encapsule des trames PPP dans des datagrammes IP afin de

les transférer sur un réseau IP Transfert sécurisée : cryptage des données PPP encapsulées

mais aussi compression

Page 15: VPN et Solutions pour l’entreprisecpham.perso.univ-pau.fr/ENSEIGNEMENT/PAU-UPPA/... · VPN et Solutions pour l’entreprise Ces transparents sont basés sur une présentation compilés

Cours de C. Pham, Université de Pau et des Pays de l’Adour

Scénario d’une connexion

GRE: Internet Generic Routing Encapsulation– L'entête GRE est utilisée pour encapsuler le paquet PPP dans le

datagramme IP.– Nécessite que les routeurs implémentent GRE

Page 16: VPN et Solutions pour l’entreprisecpham.perso.univ-pau.fr/ENSEIGNEMENT/PAU-UPPA/... · VPN et Solutions pour l’entreprise Ces transparents sont basés sur une présentation compilés

ISP Gateway

PPTP Client Computer

PPTP Server Computer

Example de tunneling PPTP

PPPEncapsulator

IP Packets

SMB PacketsPPTP

InterfaceSLIP

Interface

PPPDecapsulator

IP Packets

SMB Packets

PPTPInterface

SLIPInterface

IP Packets

IP GRE Packets

Page 17: VPN et Solutions pour l’entreprisecpham.perso.univ-pau.fr/ENSEIGNEMENT/PAU-UPPA/... · VPN et Solutions pour l’entreprise Ces transparents sont basés sur une présentation compilés

Exemple de tunneling PPTP (suite)

PPTPInterface

PPPEncapsulator

SLIPInterface

IPHeader

TCPHeader

PayloadData

PPPHeader

IP GREHeader

IPHeader

TCPHeader

PayloadData

PPPHeader

IPHeader

TCPHeader

PayloadData

IPHeader

TCPHeader

PayloadData

PPPHeader

IP GREHeader

SLIPHeader

TCP/IP Packet

Modem

Page 18: VPN et Solutions pour l’entreprisecpham.perso.univ-pau.fr/ENSEIGNEMENT/PAU-UPPA/... · VPN et Solutions pour l’entreprise Ces transparents sont basés sur une présentation compilés

Cours de C. Pham, Université de Pau et des Pays de l’Adour

Client PPTP

Ordinateur supportant PPTP Linux ou microsoft

Client distant : accès d’un ISP supportant les connexion PPPentrantes modem + dispositif VPN

Client local (LAN) : En utilisant une connexion TCP/IP physiquequi lui permet de se connecter directement au serveur PPTP.Dispositif VPN

Page 19: VPN et Solutions pour l’entreprisecpham.perso.univ-pau.fr/ENSEIGNEMENT/PAU-UPPA/... · VPN et Solutions pour l’entreprise Ces transparents sont basés sur une présentation compilés

Cours de C. Pham, Université de Pau et des Pays de l’Adour

PAP Password Authentication Protocol

Mécanisme d’authentification non crypté

NAS demande le nom et mot de passe

PAP les envoi en clair ( non codé).

Pas de protection contre les usurpations d’identité si le mot depasse est compromis

Page 20: VPN et Solutions pour l’entreprisecpham.perso.univ-pau.fr/ENSEIGNEMENT/PAU-UPPA/... · VPN et Solutions pour l’entreprise Ces transparents sont basés sur une présentation compilés

Cours de C. Pham, Université de Pau et des Pays de l’Adour

CHAP (Challenge Handshake AuthenticationProtocol) :

Mécanisme d’authentification crypté Algorithme de hachage MD5 à sens unique

Pas de mot de passe circulant en clairPas de mot de passe circulant en clair

Page 21: VPN et Solutions pour l’entreprisecpham.perso.univ-pau.fr/ENSEIGNEMENT/PAU-UPPA/... · VPN et Solutions pour l’entreprise Ces transparents sont basés sur une présentation compilés

Cours de C. Pham, Université de Pau et des Pays de l’Adour

MS-CHAP (Microsoft ChallengeHandshake Authentication Protocol): Mécanisme d’authentification crypté Algorithme de hachage MD4 Similaire a CHAP (code de hachage en possession du serveur) Encryptage MPPE nécessite l’authentification MS-CHAP

Page 22: VPN et Solutions pour l’entreprisecpham.perso.univ-pau.fr/ENSEIGNEMENT/PAU-UPPA/... · VPN et Solutions pour l’entreprise Ces transparents sont basés sur une présentation compilés

Cours de C. Pham, Université de Pau et des Pays de l’Adour

Layer 2 Tunneling Protocol (L2TP)

Né de L2F (Cisco) et PPTP Encapsule PPP dans IP,X25, ATM Utilisation possible sur Internet ou des WAN

Page 23: VPN et Solutions pour l’entreprisecpham.perso.univ-pau.fr/ENSEIGNEMENT/PAU-UPPA/... · VPN et Solutions pour l’entreprise Ces transparents sont basés sur une présentation compilés

L2TP Protocol

Composants d’un tunnel– Canal de contrôle– Sessions pour le transport de données

Des tunnels multiples peuvent exister entre les pairs LAC-LNSpour supporter différents niveau de QoS.

ControlSession 1 (Call ID 1)Session 2 (Call ID 2)

LAC LNS

L2TP AccessConcentrator

L2TPNetworkServer

Page 24: VPN et Solutions pour l’entreprisecpham.perso.univ-pau.fr/ENSEIGNEMENT/PAU-UPPA/... · VPN et Solutions pour l’entreprise Ces transparents sont basés sur une présentation compilés

Cours de C. Pham, Université de Pau et des Pays de l’Adour

Control Channel

Functionality– Setup, teardown tunnel– Create, teardown payload “calls” within tunnel– Keepalive mechanism to detect tunnel outages

Characteristics– Retransmissions– Explicit ACKs– Sliding window congestion control– In order delivery

Page 25: VPN et Solutions pour l’entreprisecpham.perso.univ-pau.fr/ENSEIGNEMENT/PAU-UPPA/... · VPN et Solutions pour l’entreprise Ces transparents sont basés sur une présentation compilés

Cours de C. Pham, Université de Pau et des Pays de l’Adour

Sessions (Data Channels)

Payload delivery service– Encapsulated PPP packets sent in sessions– PPP over {IP, UDP, ATM, etc}

No fragmentation avoidance Optional window based congestion control Optional packet loss detection

Page 26: VPN et Solutions pour l’entreprisecpham.perso.univ-pau.fr/ENSEIGNEMENT/PAU-UPPA/... · VPN et Solutions pour l’entreprise Ces transparents sont basés sur une présentation compilés

Cours de C. Pham, Université de Pau et des Pays de l’Adour

Security

Basic L2TP does not define security PPP encryption can be used IP Security encryption can be used

– L2TP extension to define security where IP Security is not available

Page 27: VPN et Solutions pour l’entreprisecpham.perso.univ-pau.fr/ENSEIGNEMENT/PAU-UPPA/... · VPN et Solutions pour l’entreprise Ces transparents sont basés sur une présentation compilés

Cours de C. Pham, Université de Pau et des Pays de l’Adour

IPSec

IPsec protocole de niveau 3

Création de VPN sûr basé forcément sur IP Permet de sécurisé les applications mais également toute la

couche IP

Les rôles d’IPSec– Authentification :Absence d’usurpation d’identité; la personne avec

qui on est censé dialoguer est bien la personne avec qui ondialogue

– Confidentialité : Personne n’écoute la communication.– Intégrité: Les données reçues n’ont pas été modifiées pendant la

transmission.

Page 28: VPN et Solutions pour l’entreprisecpham.perso.univ-pau.fr/ENSEIGNEMENT/PAU-UPPA/... · VPN et Solutions pour l’entreprise Ces transparents sont basés sur une présentation compilés

Cours de C. Pham, Université de Pau et des Pays de l’Adour

HTTPS

solution de niveau 7 sécurité gérée cette fois par service, en fonction de l’application authentification par serveur Radius ou autre

Page 29: VPN et Solutions pour l’entreprisecpham.perso.univ-pau.fr/ENSEIGNEMENT/PAU-UPPA/... · VPN et Solutions pour l’entreprise Ces transparents sont basés sur une présentation compilés

Cours de C. Pham, Université de Pau et des Pays de l’Adour

Solutions pour l’entreprise

choix de la solution VPN– identification des types de flux WAN– flux bas débits synchrones utilisées pour les applications transactionnelles,

SAP– émulation telnet ou 5250/3270– flux large bande asynchrone pour les applications FTP, HTTP, messagerie

Flux synchrones– nécessitent une bande passante minimale garantie avec un délai

d’acheminement le plus petit et le plus constant possible, c’est le cas desapplications temps réels

– ne peuvent être offert qu’avec des réseaux de niveau 2 comme ATM ouFrame Relay

– Internet n ’est pas adapté pour le moment Flux asynchrones

– se produisent de manière imprévisible “ par rafales ” en occupant toute labande passante disponible

– aucune contrainte de délai d’acheminement n’est nécessaire– le volume d’informations véhiculées de cette manière est toujours en forte

croissance– Ex : transferts de fichiers, messagerie, navigation

Page 30: VPN et Solutions pour l’entreprisecpham.perso.univ-pau.fr/ENSEIGNEMENT/PAU-UPPA/... · VPN et Solutions pour l’entreprise Ces transparents sont basés sur une présentation compilés

Cours de C. Pham, Université de Pau et des Pays de l’Adour

Choix de la solution VPN

En fonction des volumes et des types des échanges attendus,on peut décider de la solution à adopter parmi toutes cellesproposées. 3 alternatives:

VPN INTERNET– Faire cohabiter tous ces flux sur le même réseau : VPN INTERNET– solution mise en place sur des réseaux de niveau 2 ou de niveau

3, la plus immédiate et la plus rencontrée– utilisateurs jamais satisfaits : inadaptée aux flux synchrones– A écarter

Gérer la bande passante WAN : VPNs avec LAN/WAN Shaping– solution technique la plus rapide à déployer après la précédente– solution technique la plus adaptée et la plus performante– flux synchrones et asynchrones cohabitent tjrs sur le même

support– mais la solution permet de les gérer plus correctement– boitiers de LAN/WAN Shaping aux extrémités du réseau WAN

opérateu

Page 31: VPN et Solutions pour l’entreprisecpham.perso.univ-pau.fr/ENSEIGNEMENT/PAU-UPPA/... · VPN et Solutions pour l’entreprise Ces transparents sont basés sur une présentation compilés

Cours de C. Pham, Université de Pau et des Pays de l’Adour

Choix de la solution VPN

Page 32: VPN et Solutions pour l’entreprisecpham.perso.univ-pau.fr/ENSEIGNEMENT/PAU-UPPA/... · VPN et Solutions pour l’entreprise Ces transparents sont basés sur une présentation compilés

Cours de C. Pham, Université de Pau et des Pays de l’Adour

Choix de la solution VPN

VPN “ plus ”– séparation des flux applicatifs entre différents réseaux– Un réseau synchrone bas débit garanti ( debits < 64Kbits/s ) de

niveau 2. Ex. : Frame Relay ou LS– Un réseau asynchrone hauts débits ( débits > 128Kbits/s ) de

niveau 3. Ex.: Internet

Page 33: VPN et Solutions pour l’entreprisecpham.perso.univ-pau.fr/ENSEIGNEMENT/PAU-UPPA/... · VPN et Solutions pour l’entreprise Ces transparents sont basés sur une présentation compilés

Cours de C. Pham, Université de Pau et des Pays de l’Adour

Quel VPN pour quelle entreprise ?

En fonction de la quantité et du type de flux inter sites, lasolution varie :

– Sites Importants France => Télécoms avec WAN Shaping– Sites importants Europe-Monde => VPN avec WAN Shaping– Sites moyens Europe-Monde => VPN avec WAN Shaping– Petits sites France-Europe-Monde => VPN– Nomades France => Accès distants RAS/VPN Nomade– Nomades Europe, Monde => VPN Nomade

Page 34: VPN et Solutions pour l’entreprisecpham.perso.univ-pau.fr/ENSEIGNEMENT/PAU-UPPA/... · VPN et Solutions pour l’entreprise Ces transparents sont basés sur une présentation compilés

Cours de C. Pham, Université de Pau et des Pays de l’Adour

Exemples concrets

VPN IP internet– Utilisation de tunnels IPSEC entre firewalls / nomades avec …– Checkpoint Firewall-1 / secureremote– CISCO PIX VPN / Secure client

WAN TELCO et IP– Frame Relay / ATM / MPLS avec…– UUNET : Uusecure VPN– France Telecom :Global Intranet=> Global One : Global IP VPN– Belgacom : VPN Office– Maiaah : intranet– Communauté automobile (GALIA) : ENX