Titre :

Construire son VPN

---------------Intro :
A l'heure de globalisation, une entreprise doit tre capable de fdrer les
rseaux de ses filiales en un seul rseau global. Les rseaux privs virtuels,
ou VPNs, offrent une rponse alternative aux coteuses lignes spcialises, en
s'appuyant sur l'infrastructure Internet existante.
---------------Article :
Si l'attrait en terme fonctionnel des rseaux privs virtuels (VPNs) est grand,
leur mise en place a un impact important sur le rseau existant de l'entreprise
et sur la politique de scurit qui lui est attache. L'introduction d'lments
extrieurs au rseau physique de l'entreprise, travers Internet, pose en
effet de nouveaux problmes de scurit, comme l'authentification des
utilisateurs distants ou encore la confidentialit et l'intgrit des donnes
changes.
Les VPNs s'appuient sur des tunnels permettant d'encapsuler dans des paquets IP
d'autres protocoles de niveau 3, comme IP par exemple. L'intrt du tunnel par
rapport au routage classique travers Internet est la transparence pour les
applications, les passerelles constituant les extrmits de ces tunnels tant
responsables de l'encapsulation des donnes devant y transiter.
Ce type de transport pose trois problmes majeurs, dcoulant directement de
l'absence de scurit du protocole IP (dans sa version 4). Premirement, on ne
peut pas compter sur le protocole IP pour authentifier l'hte distant voulant
tablir un tunnel : des protocoles d'authentification doivent donc tre mis en
place pour assurer l'identit des deux parties. Ensuite, IP n'offrant pas de
mcanisme assurant la confidentialit des donnes transporte, il convient
d'implmenter des mcanismes de chiffrement au niveau du tunnel. Enfin, des
mcanismes pour assurer l'intgrit des donnes doivent tre mis en place,
paralllement au chiffrement. La cryptographie apporte des rponses ces
problmes.
Usages et protocoles, la jungle !
Les besoins en VPN ne sont pas tous les mmes. On distingue trois situations.
1. Les utilisateurs nomades auxquels on souhaite fournir un accs aux
ressources du rseau de l'entreprise. C'est ce qu'on appelle de VDPN, pour
Virtual Dial-up Private Networking).
2. La liaison au moyen d'un tunnel scuris de deux sites distants.
3. La constitution d'un extranet global permettant un ensemble de sites
distants de communiquer via un rseau virtuel auxquels ils sont raccords.
Il existe plusieurs protocoles pour tablir des liaisons VPN. Les trois
principaux sont PPTP, L2TP et IPSEC.
PPTP (Point to Point Tunneling Protocol)
Dvelopp par Microsoft, ce protocole est prsent un standard public (RFC

2637). Il permet l'tablissement d'un lien PPP au dessus du protocole IP.

L'authentification est ralise par les protocoles PAP, MsCHAP ou MsCHAPv2, ce
dernier tant prfrer. Le transport des donnes est assur par une variante
du protocole GRE (Generic Routing Encapsulation, dvelopp par Cisco).
L'tablissement et le contrle du tunnel sont assurs par une connexion TCP
parallle.
N'offrant pas l'origine de mcanisme de chiffrement des donnes vhicules,
PPTP s'est vu tendu. Il supporte prsent le chiffrement des donnes via le
protocole MPPE reposant sur RC4, avec des cls de 64 ou 128 bits. Cependant,
PPTP n'offre aucun mcanisme de contrle d'intgrit des paquets.
L2TP (Layer 2 Tunneling Protocol)
L2TP est une volution d'un protocole initialement developp par Cisco, L2F,
pour y ajouter certaines ides de PPTP. Il est standardis par la RFC 2661.
Comme L2F, il permet d'tablit un lien PPP sur un protocole de niveau 2, ou
sur UDP dans le cas d'un transport sur IP. Comme PPTP, il utilise un flux pour
transporter les donnes, et un flux de contrle. L'authentification est
ralise par MsCHAP ou MSCHAPv2.
Si un mcanisme de chiffrement et de contrle d'intgrit doit tre mis en
place, on utilisera les mcanisme fournis par IPSEC, en particulier ESP.
IPsec (IP Security) - voir encadr
Le protocole IPsec dcoule des rflexions de l'IETF sur la scurit de la
version 6 du protocole IP (IPv6). IPsec (RFCs 2401 2412) permet le transport
de paquets IP au dessus du protocole IP de la manire la plus sre et la plus
efficace qui soit.
IPsec met en oeuvre deux protocoles. Le premier, ESP (Encapsulated Security
Payload) permet le chiffrement et le contrle de l'intgrit des donnes
transportes dans le tunnel. Le second, AH (Authentication Header) permet de
contrler l'intgrit des paquets IP complets ralisant le tunnel. Ces deux
protocoles sont donc complmentaires et peuvent utiliss seuls ou ensembles,
selon le degr de scurit souhait.
IPsec supporte deux modes. Le mode tunnel permet la liaison de deux rseaux
distants. Le mode transport permet deux htes de communiquer directement.
IPsec fait un large usage de procds cryptographiques. Les mcanismes et
protocoles utiliss sont extensibles souhait, mais l'usage de certains est
standardis. Le chiffrement fort est assur, ainsi que le contrle de
l'intgrit, aussi bien pour AH que pour ESP. L'authentification des deux
parties se fait par le protocole ISAKMP (Internet Security Association and Key
Management Protocol) qui assure l'authentification scurise par secret
partag, par cl publique (DSS ou RSA) ou par certificat x509, ainsi que
l'change des cls de session par le protocole IKE (Internet Key Exchange), et
leur renouvellement priodique.
Choisir son protocole...
Pour les problmatiques d'accs de postes isols sur Internet, on utilisera le
VDPN. La difficult de mise en oeuvre d'IPsec sur ce genre de configuration le
disqualifie souvent pour ce genre d'usage. PPTP et L2TP seront donc les
protocoles privilgis. Microsoft offrant le support PPTP en standard sur ses
systmes d'exploitation depuis Windows 98, celui-ci a largement pris le pas sur
L2TP, pourtant plus souple.
La mise en place d'un lien PPP offre une souplesse trs importante au niveau
des fonctionnalits ainsi que la possible rutilisation d'une architecture de
certains lments d'un accs RTC ou RNIS existant, comme les serveurs
d'authentification RADIUS. Un tel lien permet d'offrir un accs totalement
transparent tant pour le client nomade que pour le rseau auquel il se

connecte.
Pour les problmatiques de liaison site site, on prendra IPsec qui est le
seul des trois protocoles offrir un service de tunnel rseau rseau. Ce
type de lien tant permanent, le niveau de scurit ncessaire n'est en outre
fourni que par IPsec : authentification, chiffrement, intgrit, renouvellement
priodique des cls.
La mise en place d'extranets n'est pas chose simple. Elle s'appuie sur IPsec,
mais demande la mise en oeuvre de procds compliqus, difficiles mettre en
oeuvre.
L'avenir des VPNs ?
Par son intgration par l'IETF dans IPv6, IPSEC constitue l'avenir des rseaux
privs virtuels sur IP. C'est pourquoi IPSRA (IP Secure Remote Access), un
protocole exploitant les extensions IPsec pour l'tablissement de VDPN, est en
cours de formalisation.
En attendant l'avnement de la version 6 d'IP, il est bon d'essayer de se
tourner au maximum vers IPsec. Si le march manquait d'outils permettant un
bonne intgration de ce protocole au sein des outils de gestion de politique de
scurit, ce n'est plus le cas. De nombreux constructeurs et diteurs offrent
aujourd'hui dans leur gamme des produits permettant de raliser des liens IPSEC
de manire simple, aussi bien pour raliser des liens site site que des
extranets, et mme des connexions VDPN.
En outre, IPSEC, parce qu'il supporte les certificats x509, peut tre interfac
avec un infrastructure cls publiques (PKI), permettant ainsi l'intgration
complte du VPN dans la politique de scurit de l'entreprise.
------------Encadr : IPsec
AH permet d'assurer l'intgrit des paquets IP entiers (entte et donnes)
impliqus dans le transport des paquets du tunnel, l'aide de rsums
cryptographiques de 96 bits calculs l'aide de variantes des algorithmes MD5
ou SHA-1 (respectivement HMAC-MD5-96 et HMAC-SHA-1-96). ESP permet d'assurer
l'intgrit des donnes transportes par le tunnel par les mmes procds que
AH, et la confidentialit de ces donnes soit par algorithme DES-CBC, avec cl
de 56 bits, soit par son successeur, 3DES-CBC, par cls 168 bits. D'autres
algorithmes peuvent galement tre utiliss, mais ne sont pas obligatoirement
disponibles sur toutes les plate-formes.
AH peut tre utilis seul si on ne souhaite pas chiffrer. ESP peut lui aussi
tre utilis seul, auquel cas on ne vrifie pas l'intgrit des paquets IP
sous-jacents. L'association de AH et ESP permet d'atteindre le niveau maximum
de scurit.
En raison de la vrification d'intgrit des paquets, IPsec pose des problmes
de compatibilit avec les quipements ralisant de la traduction d'adresses
(NAT) qui ne fonctionnent qu'avec ESP en mode tunnel. En effet, la modification
des enttes du paquet IP n'est ni compatible avec AH, ni avec ESP en mode
transport. C'est pourquoi les fonctions IPsec sont le plus souvent ralises
par les quipements qui grent la traduction d'adresses.
----------Figure : les diffrents cas de VPN.