Logo English Web Page
Accueil Association BSD Linux Dev Reseau Infologisme Mac OSX
tl tr
Sujet Structure Date 24-03-2011
Titre VPN Réseau Privé Virtuel - Tunneling Section Infologisme
Article

Concept – Réseau Privé Virtuel

Les réseaux locaux d‘entreprise LAN (acronyme de Local Area Network) sont constitués de réseaux internes, en propre pour une organisation, la liaison réseau entre les Serveurs et les Stations de travail sont la propriété privée de cette organisation. Il est fréquent pour une entreprise de vouloir connecter un Site distant au siège social, filiale, succursale ou le personnel par l‘intermédiaire du réseau Internet. Ces réseaux locaux d‘entreprise sont de plus en plus souvent connectés sur Internet par l‘intermédiaire d‘un équipement spécifique de connexion : Firewall, Passerelle, Routeur, Switch.

Les données transmises sur un réseau local interne ne sont pas vulnérables comme celles transitant par Internet. Avec une infrastructure de réseau publique Internet provenant de différents opérateurs, les données peuvent soient être « écoutées » par un utilisateur indiscret ou plus tragiquement spoliées et détournées de leur destination.

Attention, il est inconcevable de transmettre en ces conditions de l‘information critique ou sensible pour une organisation ou pour une entreprise.

Pour répondre au besoin de communication sécurisé, une solution consiste de connecter deux réseaux distants par une liaison spécialisée, ce qui relativement onéreux, mais sans appel au niveau de la sécurité.

Par raison économique, une utilisation du réseau publique Internet avec un VPN Réseau privé virtuel est une alternative intéressante, en anglais Tunneling VPN (acronyme de Virtual Private Network) pour désigner un réseau logique artificiel et non physique.

Un Réseau privé virtuel connecte des réseaux locaux physiques avec une connexion fiable et sécurisée, pour disposer d‘un prolongement du réseau local transparent pour un utilisateur final. Cette mise en œuvre permet en contrepartie de posséder une qualité de service et de sécurité comparable à celle d‘une ligne spécialisée.

Fonctionnement – Tunnel Réseau Privé Virtuel

Un Réseau privé virtuel est protégé par un tunnel exactement comme dans la circulation automobile, quand on traverse un tunnel, on devient invisible pour les autres automobilistes qui ne circule pas dans ce tunnel de double sens. Le Tunneling VPN reprend absolument ce principe identique. On génère un tunnel privatif à double sens confiner par cryptage pour faire transiter des données isolées et de façon invisible pour les autres utilisateurs du réseau publique Internet. Cela justifie bien l‘origine de l‘expression un « Tunnel VPN » et de définition identique en langue anglaise un « Tunneling VPN ».
Réseau local Site de Lyon
Routeur - Tunneling VPN
Internet
Tunneling VPN - Routeur
Réseau local Site de Paris distant
Le principe est d‘encapsuler les données pour les transmettre avec un chiffrement de sécurité. Techniquement, il est généré un container logique pour encapsuler les données d‘un « Datagramme » avec un algorithme de cryptographie exploitant un chiffrement d‘un certificat SSL (Secure Sockets Layer).

Le chiffrement SSL

L‘Agence nationale de la sécurité des systèmes d‘information, ANSSI, impose l‘usage de clef de 1536 bit ou plus depuis le 1er janvier 2009 et depuis le 1er janvier 2011 de passer en 2048 bit. Le NIST (National Institute of Standards & Technology) indique lui ne plus faire confiance aux clefs de moins de 2048 bit à partir du 1er janvier 2011. Attention tout de même, il faut scrupuleusement envisager les conséquences en terme de charge CPU du passage en 2048 bit. L‘augmentation du cryptage des clés RSA en 2048 bit sur des équipements bas de gamme, obsolètes et anciens devient critique.


Remarque :

Pour connecter deux Sites distants, sélectionner du matériel, un Routeur Firewall avec un nombre mesuré de sessions simultanées VPN IPSec, capable de prendre en charge le Tunneling VPN avec les protocoles IPSec, SSL, L2TP, offrant un débit VPN égale ou supérieur de la Bande passante disponible par la connexion Internet. Pour une connexion fibre optique de préférence symétrique, ne pas descendre en dessous de 75 Mbps de capacité de traitement VPN.

Lors d‘une utilisation nomade du Tunneling VPN choisir un ordinateur portable ayant une capacité de traitement suffisante, avec un processeur haut de gamme de type i7-640M ou i7-840QM ou i7-2820QM car le chiffrement du Tunneling VPN est réalisé par l‘ordinateur portable, sont à proscrire les processeurs bas de gamme de type i3 ou i5 pour cette utilisation avec une clef RSA de 2048 bit voir en 4096 bit.

Protocole – Tunneling VPN

Description et mise en œuvre des Protocoles de Tunneling VPN.
IPSec Internet Protocol Security RFC 4301
L2TP Layer Two Tunneling Protocol RFC 2661
L2F Layer Two Forwarding RFC 2341
PPTP Point-to-Point Tunneling Protocol RFC 2637

Protocole – IPSec Internet Protocol Security

Le protocole IPSec permet de sécuriser la couche réseau en apportant des améliorations de sécurité au protocole IP afin de garantir une confidentialité, une intégrité avec une authentification des échanges sur Internet.

Voir détail sur l‘article : Le protocole IPSec - Internet Protocol Security

Protocole – TLS Transport Layer Security

Le protocole TLS auparavant nommé SSL Secure Sockets Layer est un protocole de sécurité par chiffrement des échanges sur Internet, au départ développé par la société Netscape en version SSL 2 et SSL 3 qui fût ensuite renommé par IETF en TLS Transport Layer Security suite au rachat du brevet de Netscape par cette organisation en 2001. Le protocole TLS a subi deux révisions subséquentes :

TLS version 1.1 décrite par le RFC 4346 publié en 2006
TLS version 1.2 décrite par le RFC 5246 publié en 2008

Outils – Tunneling VPN

OpenSSH – Description

OpenSSH (OpenBSD Secure Shell) est un ensemble d‘outils de connexion réseau utilisés pour accéder à des machines distantes de façon sécurisée. De surcroît, OpenSSH peut sécuriser n‘importe quelle connexion TCP/IP via un tunnel avec le protocole SSH. OpenSSH chiffre tout le trafic de façon à déjouer les écoutes réseau, les prises de contrôle de connexion, et aux attaques au niveau du réseau.

Normalement, quand on utilise telnet ou rlogin, les données sont envoyées sur le réseau en clair, sous forme non chiffrée. Un « Renifleur de paquets » placé n‘importe où entre le client et le serveur peut prendre connaissance de votre nom d‘utilisateur, de votre mot de passe et des données transmises lors de votre session. OpenSSH offre une variété de méthodes d‘authentification et de chiffrage pour éviter ce genre de problème. – Extrait du Handbook documentation FreeBSD

Site Web en Français : www.openssh.com


OpenSSL – Description

OpenSSL Project est un effort collaboratif pour développer une solide boîte à outils de qualité, entièrement en Open Source. Avec une implémentation du protocole Secure Sockets Layer (SSL v2/v3) et du protocole Transport Layer Security (TLS v1) comprenant une bibliothèque de cryptographie, robuste et complète pour un usage général. – www.openssl.org


OpenVPN – Description

OpenVPN fournit toutes les options SSL VPN pour mettre en œuvre la couche OSI 2 ou 3 avec une extension de réseau sécurisée, utilisant le protocole standard de l‘industrie SSL/TLS, supportant des méthodes d‘authentification client flexibles et basées sur les certificats, des cartes à puce et ou avec des informations d‘identification nom d‘utilisateur et mot de passe. Ce qui permet pour l‘utilisateur une politique de contrôle d‘accès spécifiques de groupe, ainsi qu‘une utilisation des règles de firewall appliquées à une Interface virtuelle VPN. OpenVPN n‘est pas un mandataire d‘application Web (proxy) et ne fonctionne pas via un navigateur Web. – www.openvpn.netHowto En


STunnel – Description

Le programme STunnel est conçu pour fonctionner comme une couche de chiffrement SSL entre des clients distants et des serveurs locaux (inetd-démarrables) ou distants. Le concept est qu‘à partir de daemons non-SSL présents sur le système, on peut facilement les configurer pour communiquer avec des clients sur des liens sécurisés SSL.

STunnel peut être utilisé pour ajouter des fonctionnalités SSL à des daemons classiques Inetd tels que les serveurs IMAP, POP-2 et POP-3, à d‘autres autonomes tels que HTTP, NNTP et SMTP, ainsi que pour tunneliser PPP sur des sockets réseau sans modification du code source. – www.stunnel.orgSTunnel.8 Fr

Ce produit inclut du code de chiffrement écrit par Eric Young.


Article connexe du sujet

Le protocole IPSec - Internet Protocol Security
Présentation de Système BSD - FreeBSD
Principe fondamental de sécurité Réseau
Un Serveur BSD ou Linux pour quoi faire ?

Auteur
Eric Douzet
Début de page
bl br
C-extra.com v. 1.2.2 © 2000-2014, tous droits réservés  –  Mise à jour le 12 Avril 2014 Infologisme.com