Le VPN

On peut distinguer deux sortes de VPN, ceux dits « public », et les VPN « opérateur ».

Le VPN public

Un VPN est un réseau privé qui utilise un réseau public (internet) comme backbone. Seuls les utilisateurs ou les groupes qui sont enregistrés dans un vpn peuvent y accéder. Les données transitant sur ce type de réseau sont entièrement chiffrées.

Cette connexion privée est basée sur la technique dite du « tunnelling », c’est un processus d’encapsulation, de transmission et de désencapsulation. Il consiste à construire un chemin virtuel après avoir identifié l’émetteur et le destinataire.

Les données à transmettre peuvent appartenir à un protocole différent d’IP. Le protocole de tunnelling encapsule les données en rajoutant un entête permettant le routage des trames dans le tunnel.

Le trafic entre les différents réseaux privés virtuels est complètement étanche. Les communications sont sécurisées. Une fois l’utilisateur authentifié sur le VPN, sa connexion est invisible, et ses informations restent confidentielles. La mise en place d’une liaison VPN permet de réduire les coûts d’une infrastructure d’entreprise.

Une solution de VPN devrait fournir au moins l’ensemble des 5 caractéristiques suivantes :

1-      Authentification 

Tout d’abord au niveau utilisateur, avec le Protocole PPTP (niveau 2), basée sur le schéma d’authentification de PPP (PAP, MS-CHAP v1 & v2).

Ensuite au niveau paquet, avec le Protocole Ipsec (niveau 3), une identification de la source des données transmises, avec non-répudiation, etc. Basée sur les signatures numériques ajoutées aux paquets.

Et enfin, une authentification de type EAP-TLS (RFC 2716), qui est une méthode d’authentification forte basée sur des certificats à clés publique.

2-      Cryptage de données

Le cryptage des données pour les tunnels PPTP (implémentation Microsoft) utilise le    protocole MPPE (Microsoft Point-to-point Encryption). Il utilise l’algorithme RSA/RC4 pour créer une clé de cryptage basée sur le mot de passe client.

3-      Adressage

Les protocoles de tunneling niveau 2 supportent une assignation dynamique d’une adresse à un client, grâce au protocole NCP (Network Control Protocol).

Les protocoles de tunneling niveau 3 Layer 3 tunneling assument une assignation statique d’une adresse aux extrémités du tunnel avant que celui-ci soit établi.

4-      Filtrage de paquet

C’est-à-dire autoriser seulement le trafic VPN d’utilisateurs authentifiés. Il faut aussi empêcher le serveur VPN de recevoir du trafic en dehors du VPN. Et enfin assurer que seules les données cryptées autorisées pénètrent au sortent du LAN privé.

5-      Support Multi-protocole

La solution VPN doit supporter les protocoles les plus utilisés sur les réseaux publics, en particulier IP. Les Protocoles de tunneling niveau 2 peuvent supporter plusieurs protocoles de liaisons de données (Ethernet, PPP, FR, MPLS, etc).

Les Protocoles de tunneling niveau 3, tels que IPSEC, supportent uniquement les couches cibles utilisant le protocole IP.

 

VPN opérateur

Comparés à des réseaux construits à partir de liaisons louées, les VPN opérateurs offrent un coût réduit grâce à la mutualisation. Le trafic de tous les clients est partagé entre les artères du réseau de l’opérateur. Ce dernier se charge de l’administration et de la maintenance. Cela impose une segmentation des flux qui permet à chaque client de posséder son propre réseau privé virtuel (VPN). Le principal atout d’un VPN opérateur est qu’il s’agit d’une connexion personnalisée. L’opérateur configure ses routeurs de telle sorte que la qualité de service soit la même à toute heure. Le temps de réponse et la bande passante ne fluctuent pas contrairement à un VPN public.  L’accès est entièrement dédié à l’entreprise.

Les différents VPN sont ainsi cloisonnés tantôt via la technologie MPLS, le protocole IP-Sec ou par simple tunneling de IP dans IP. Prenant le pas sur les autres, MPLS n’assure une certaine confidentialité qu’en garantissant l’étanchéité entre les flux. On peut y ajouter un chiffrement IP-Sec pour les applications les plus sensibles.

Quelle que soit la technologie, la connectivité est qualifiée de « any to any », car chaque site peut potentiellement communiquer avec tous les autres, avec l’internet ou avec les systèmes hébergés chez l’opérateur. Les VPN/IP se démarquent ainsi des offres Frame Relay. Celles-ci reposent également sur une infrastructure mutualisée, mais imposent l’établissement de circuits virtuels point à point entre les sites devant communiquer entre eux.