CHAPITRE 2

Les VPN
Virtual Private Network
1.Introduction
2.Principe des VPN
3.Types des VPN
4.Le protocole IPSEC
5.Avantages/ inconvénients des VPN

1
 Les VPN : Exemple 1

Serveur Tp BDD

10.0.1.129/25
Machine A
Un étudiant routeur

Internet

LAN ESI

10.0.1.128/25

Par exemple depuis la machine A, l’utilisateur

accède au serveur 10.0.1.129 via ssh
 Les VPN : Exemple 2

Serveur de l’entreprise

Machine A 10.0.1.129/25
Un employé routeur

Internet

LAN Entreprise

10.0.1.128/25

Par exemple la machine A effectue un ping 10.0.1.129

 Les VPN : Exemple 3
LAN 2 ( Site 2)

10.0.3.0/24

Routeur

Machine B
10.0.2.2/24

Routeur

10.0.1.2/24
Machine A
Internet

Routeur LAN 3 ( Siége principal )

LAN 1 ( Site 1)
10.0.2.0/24

10.0.1.0/24

Par exemple la machine A effectue un ping 10.0.2.2

 Les WAN

• Les Réseaux à longue distance ou les réseaux étendus (Wide

Area Networks, WAN) interconnectent des réseaux locaux, et
donnent accès aux ordinateurs situés en d'autres lieux lointains.

• Les réseaux étendus couvre une région sur plusieurs centaines

voire milliers de km (un pays, un continent, …)

• Les WAN sont des Réseaux publics ou privés ( nécessitent

généralement une authentification des utilisateurs /des machines)

• Internet est un exemple d’un réseau WAN public

5
 Les WAN
• Le réseau Internet est un réseau mondial, son utilisation peut
simplifier la conception des WAN ( relier des machines
distantes entre elles ) .

• Problèmes :
– La sécurité : les données transitent par d’autres opérateurs dans le
monde en entier( plusieurs ISP ), pour cela il faut utiliser des
mécanismes sécurisés.
– Authentification : Les entités doivent être authentifiées ( privé ) .
– Adressage : Utilisation d’un adressage privé ( ne pas changer
l’adressage existant)
• Solution : utiliser les réseaux privés virtuels ( Les VPN ).
6
 Les VPN
• Les réseaux privés virtuels (VPN : Virtual Private Network) permettent de
créer un chemin virtuel sécurisé entre une source et une destination.
• Grâce à un principe de tunnel (tunnelling) dont chaque extrémité est
identifiée, les données transitent après avoir été chiffrées (cryptées).

LAN 2
LAN 1 Serveur/routeur
Serveur/routeur Réseau privé virtuel
VPN VPN

Internet

Liaison avec l’ISP x Liaison avec l’ISP y

 Remarque

• Chiffrement/cryptage : transformation d'un texte claire en un

texte codé ( non claire ) .

• Déchiffrement/decryptage : c'est l'opération inverse du

chiffrement.

• Il existe plusieurs algorithmes de chiffrement : AES, DES ,….

 Les sites utilisent un adressage privé  ils ne doivent pas changer
leur plan d’adressage.

VPN R
10.0.0.64/26
10.0.0.128/26
Internet
Internet
¨ VPN R

VPN R
10.0.0.192/26
VPN R VPN B
10.0.0.0/26 VPN B 10.0.0.128/26
10.0.0.0/26
9
 Les VPN : principe

Machine B
10.0.1.2/25 10.0.1.129/25
Machine A

Serveur/routeur
Serveur/routeur Réseau privé virtuel
VPN VPN

Internet

LAN 1 LAN 2
Données Cryptées
10.0.1.0/25 10.0.1.128/25

Par exemple la machine A effectue un ping 10.0.1.129

 Caractéristiques des VPN
• Un VPN repose essentiellement sur des lignes partagés et non
dédiées  Il est construit au dessus un réseau public
(Internet).

• Un VPN est réservé à un groupe d’usagers déterminés par

authentification : privé.

• Le passage des données sur Internet doit s’accompagner d’un

processus de chiffrement pour protéger les données  Il faut
garantir que seuls les éléments qui appartiennent à un
VPN peuvent les interpréter.

11
 Types de VPN
• Il existe 2 types de VPN :
– Host to LAN
– LAN to LAN

12
 Types de VPNs
Host to LAN

Accès distant d’un hôte au LAN distant via internet (Host to LAN)

LAN
Réseau privé virtuel Serveur/routeur
VPN

Internet
Une machine connectée
à Internet

-13-
 Types de VPNs
LAN to LAN

Connexion entre plusieurs LANs distant via Internet (LAN to LAN)

LAN 2
LAN 1 Serveur/routeur
Serveur/routeur Réseau privé virtuel
VPN VPN

Internet

-14-
 Principe de tunnelling
• A la source du tunnel, les données sont insérées ( encapsulées )
dans un paquet du protocole de tunnelisation .
• La source chiffre aussi les données et les achemine en
empruntant ce chemin virtuel
Entête du réseau
de transit

LAN 2
LAN 1

Internet

Paquet de
Paquet de données
données reçu
envoyé
 Exemple : un tunnel IP in IP (encapsulation de IP
dans IP)

Serveur B
10.0.1.129/25
10.0.1.2/25
Machine A A B data

VPN
Internet

gw1 gw2
source destination

A B data Données Cryptées

@gw1 @gw2 A B d ata

10.0.1.0/25
10.0.1.128/25

Par exemple la machine A effectue un ping 10.0.1.129 16

 Éléments d’une connexion VPN
• Un VPN est composé essentiellement de 3 éléments :
– Un Serveur VPN :
• matériel (serveur, routeur /passerelle) qui accepte les connexions des clients
VPN.
• Lors d'une demande de connexion, le serveur authentifie le client.
• Une fois le tunnel ainsi ouvert, la source chiffre les données et les envoie
dans ce tunnel.
• A l'arrivée, le serveur VPN déchiffre les données et les distribue sur le
réseau local.
– Un Client VPN :
• c'est l'ordinateur qui va initier la connexion vers le serveur VPN.
• Il s'agit d'un logiciel qui réalisera les fonctions d'établissement du tunnel et
de chiffrement et déchiffrement des données.
– Tunnel :
• c'est la partie de la connexion pendant laquelle les données sont chiffrées.
Cela nécessite l’utilisation d’un protocole de tunneling.
17
 Les VPN et les couches OSI
• Classification des VPN selon les couches du
modèle OSI
– VPN de niveau 2 (couche liaison)
– VPN de niveau 3 (couche réseau)
– VPN de niveau >= 4 (couche transport, session ,
application )

18
 VPN (logiciels) et couches OSI

Application HTTPS, …
Présentation
Session SSL / TLS
Transport
Réseau IP / IPSec (ESP, AH)
Liaison PPTP, L2TP, …
Physique

19
 Protocole VPN : Protocoles de "tunneling "

• Il faut utiliser le même protocole de tunneling dans tous les

composants du VPN.

• Les principaux protocoles de niveau 2 et 3 permettant

l’établissement d’un VPN :

– le protocole PPTP (Point to Point Tunneling Protocol) mis

au point par la société Microsoft ;
– le protocole L2TP (Layer Two Tunneling Protocol) proposé
par l’IETF;
– le protocole IPSEC ( IP Secured ) : proposé par l’IETF;

20
 IPSec

• Selon l’IETF : IPSec est un protocole de sécurité au sein de la

couche réseau, qui a été développé pour fournir un service de
sécurité à base de cryptographie, permettant de garantir
l’authentification, l’intégrité, le contrôle d’accès et la
confidentialité des données.
• Services de sécurités offerts par IPsec :
– Authentification des extrémités
– Confidentialité des données échangées
– Authenticité des données
– Intégrité des données échangées

21
 Composants d’IPsec

• Protocoles de sécurité :
– Authentication Header (AH)
– Encapsulation Security Payload (ESP)

• Utilise deux modes :

– Mode transport : pas d’entête IP supplémentaire
– Mode tunnel : un nouveau entête IP est rajouté

22
 IPsec

Authentication Header (AH) Encapsulation Security Payload (ESP

Mode transport Mode tunnel Mode transport Mode tunnel

23
 IPSec : Le protocole AH

• AH = Authentication Header .
• Garantit :
– l'authentification.
– l'intégrité
– Pas de confidentialité !
• Les données sont seulement signées ( utiliser une fonction de
hachage ) mais pas chiffrées.
• Utiliser les algorithmes MD5 (128 bits) et SHA-1

24
IPSec : Le protocole AH

25
 IPSec : Le protocole ESP
• ESP = Encapsulating Security Payload
• Seules les données sont protégées (pas de protection
de l’en-tête)
• ESP Garantit :
– l'authentification.
– l'intégrité
– la confidentialité

26
IPSec : Le protocole ESP

27
 Remarque
• Avant de commencer les échanges sécurisés , une phase de
négociation des paramètres à utiliser est entamée entre les deux
extrémité du VPN

• Paramètres négociés :
– Une méthode d’authentification pour garantir l’identité des deux
extrémités .
– Mise en œuvre d’une méthode ( choix d’un algorithme ) de
chiffrement des données.
– Un algorithme de hachage est spécifié afin de permettre de
garantir l’identité de la personne et le contrôle d’intégrité des
données.
– ……………………….

28
 Utiliser les VPN
• Les VPN sont supportés pratiquement par l’ensemble des
systèmes d’exploitation : Windows , Linux , Unix

• Il sont aussi supportés par l’ensemble des constructeurs du

matériel réseau : CISCO , …..

• Il existe aussi des programmes clients sur l’ensemble des

plateformes ( par fois intégré avec le système d’exploitation )

29
 Avantages et inconvénients des VPN

Avantages :

• Une couverture géographique mondiale.

• Offre des garanties de sécurité (utilisation de tunnels).
• Solution pour la gestion des postes mobiles.
Inconvénient :

• Le délais d’acheminement n’est pas garantie  les

données traverse des réseaux différents dans le monde
entier
• Moins de performances  les opérations de chiffrement
et de déchiffrement prennent beaucoup de temps .
-30-