Rseaux virtuels

La mise en place d'un rseau priv virtuel permet de connecter de

faon scurise des ordinateurs distants au travers d'une liaison
non fiable (Internet), comme s'ils taient sur le mme rseau local.

Ce procd est utilis par de nombreuses entreprises afin de

permettre leurs utilisateurs de se connecter au rseau d'entreprise
hors de leur lieu de travail.

Applications possibles :
Accs au rseau local (d'entreprise) distance et de faon
scurise pour les travailleurs nomades

Partage de fichiers scuriss

... S. LAZAAR, ENSA4
 Virtual Private Network

Comment une succursale dune entreprise peut-elle accder en scurit

aux donnes situes sur un serveur de la maison mre distant de
plusieurs milliers de kilomtres ?

Une solution: VPN (Virtual Private Network)

Principe:
Un rseau VPN repose sur un protocole appel "protocole de
tunneling".
Ce protocole permet de faire circuler les informations de l'entreprise
de faon crypte d'un bout l'autre du tunnel.

Les utilisateurs ont l'impression de se connecter directement sur

le rseau de leur entreprise
 Le principe de tunneling consiste construire un
chemin virtuel aprs avoir identifi l'metteur et le
destinataire.

la source chiffre les donnes et les achemine

en empruntant ce chemin virtuel.

Afin d'assurer un accs ais et peu coteux aux intranets ou

aux extranets d'entreprise, les rseaux privs virtuels d'accs simulent
un rseau priv, alors qu'ils utilisent en ralit une infrastructure
d'accs partage, comme Internet.
Les donnes transmettre peuvent tre prises en
charge par un protocole diffrent dIP.

Dans ce cas, le protocole de tunneling encapsule

les donnes en ajoutant une en-tte.

Le tunneling est l'ensemble des processus

d'encapsulation, de transmission et de
dsencapsulation.
 Fonctionnalits des VPN
Le VPN d'accs est utilis pour permettre des utilisateurs itinrants
d'accder au rseau priv.

L'utilisateur se sert d'une connexion Internet pour tablir la

connexion VPN. Il existe deux cas:

1. L'utilisateur demande au fournisseur d'accs de lui tablir

une connexion crypte vers le serveur distant : il communique avec
le NAS (Network Access Server) du fournisseur d'accs et c'est le
NAS qui tablit la connexion crypte.

2. L'utilisateur possde son propre logiciel client pour le VPN

auquel cas il tablit directement la communication de manire
crypte vers le rseau de l'entreprise.
Les deux mthodes possdent chacune leurs
avantages et leurs inconvnients :

La premire permet l'utilisateur de communiquer

sur plusieurs rseaux en crant plusieurs tunnels:

Ncessit dun fournisseur d'accs proposant un

NAS compatible avec la solution VPN choisie par
l'entreprise.
Demande de connexion par le NAS n'est pas
crypte (problmes de scurit).
Pour la deuxime mthode:

Le problme de scurit disparat puisque l'intgralit des

informations sera crypte ds l'tablissement de la
connexion.

Mais:

la solution ncessite que chaque client transporte avec lui le

logiciel, lui permettant d'tablir une communication
crypte.

Pour pallier ce problme, mise en place de VPN

base de SSL
Quelle que soit la mthode de connexion choisie, le
VPN impose d'avoir une authentification forte des
utilisateurs.

Cette authentification peut se faire par:

une vrification "login / mot de passe",
un algorithme dit "Tokens scuriss"
(utilisation de mots de passe alatoires)
ou certificats numriques.
 Bilan des caractristiques fondamentales d'un VPN

Un systme de VPN doit pouvoir mettre en oeuvre les fonctionnalits

suivantes :

Authentification d'utilisateurs.
Seuls les utilisateurs autoriss doivent pouvoir s'identifier sur le
rseau virtuel.
De plus, un historique des connexions et des actions effectues
sur le rseau doit tre conserv.

Gestion d'adresses. Chaque client sur le rseau doit avoir une adresse
prive. Cette adresse prive doit rester confidentielle.
 Bilan des caractristiques (suite)

Cryptage des donnes. Lors de leurs transports sur le

rseau public les donnes doivent tre protges par un
cryptage efficace.

Gestion de cls. Les cls de cryptage pour le client et le

serveur doivent pouvoir tre gnres et rgnres.

Prise en charge multiprotocole. La solution VPN doit

supporter les protocoles les plus utiliss sur les rseaux
publics en particulier IP.
 Protocoles utiliss pour raliser une connexion VPN
Les protocoles tudis sont deux catgories:
Les protocoles de niveau 2 comme PPTP et L2TP
Les protocoles de niveau 3 comme IPSEC ou MPLS.

Il existe 3 protocoles de niveau 2 permettant de raliser des VPN

PPTP (de Microsoft), L2F (dvelopp par CISCO) & L2TP.
L2F ayant aujourdhui quasiment disparu.
disparu
PPTP aurait sans doute lui aussi disparu Microsoft lintgre
ses systmes dexploitation Windows.

L2TP est une volution de PPTP et de L2F, reprenant

les avantages des deux protocoles.
 PROTOCOLE PPP

PPP (Point to Point Protocol) est un protocole transfre des

donnes sur un lien synchrone ou asynchrone.
Il garantit l'ordre d'arrive des paquets.

Il encapsule les paquets IP des trames PPP, puis transmet

ces paquets encapsuls au travers de la liaison point
point.

PPP est employ gnralement entre un client d'accs

distance et un serveur d'accs rseau (NAS).
 PROTOCOLE PPP

Le protocole PPP nest pas un protocole permettant

ltablissement dun VPN

Mais

Il est trs souvent utilis pour transfrer les

informations au travers dun VPN.
 PROTOCOLE PPTP
PPTP est un protocole qui utilise une connexion PPP
travers un rseau IP en crant un VPN.

PPTP est une solution trs employe dans les produits

VPN commerciaux cause de son intgration au sein des
systmes d'exploitation Windows.

PPTP est un protocole de niveau 2 qui permet

l'encryptage
encryptage des donnes ainsi que leur compression
compression.

Un nouveau client doit pourvoir se connecter facilement

au rseau et recevoir une adresse.
 PROTOCOLE PPTP

L'authentification
authentification se fait grce au protocole Ms-Chap de
Microsoft qui, aprs la cryptanalyse de sa version 1, a
rvl publiquement des failles importantes.

Microsoft a corrig ces dfaillances et propose aujourd'hui

une version 2 de Ms-Chap plus sre.

La partie chiffrement des donnes s'effectue grce au

protocole MPPE (Microsoft Point-to-Point Encryption).
 Microsoft a mis au point une version spcifique de CHAP,
MS-CHAP (Microsoft
Microsoft Challenge Handshake Authentication
Protocol version 1 amliorant la scurit.

CHAP implique que l'ensemble des mots de passe des

utilisateurs soient stocks en clair sur le serveur:

do vulnrabilit potentielle.

MS-CHAP propose une fonction de hachage propritaire

permettant de stocker un hash intermdiaire du mot de passe sur
le serveur:

Le protocole MS-CHAP-v1 souffre de failles de scurit lies

des faiblesses de la fonction de hachage propritaire.
 Une fonction de hachage (fonction de condensation
condensation) est
une fonction permettant d'obtenir un condens (hach ou
en anglais message digest) d'un texte, i.e une suite de
caractres assez courte reprsentant le texte qu'il condense.

La fonction de hachage doit tre telle qu'elle associe un et

un seul hach un texte en clair.
Le principe du protocole PPTP est de crer des paquets sous le
protocole PPP et de les encapsuler dans des datagrammes IP.

Le tunnel PPTP se caractrise par:

une initialisation du client,

une connexion de contrle entre le client et le serveur,

la clture du tunnel par le serveur.

Lors de l'tablissement de la connexion, le client effectue
d'abord une connexion avec son fournisseur d'accs Internet.

Cette premire connexion tablie une connexion de type PPP

et permet de faire circuler des donnes sur Internet.

Une deuxime connexion dial-up est tablie.

Elle permet d'encapsuler les paquets PPP dans des datagrammes IP.

Cette deuxime connexion forme le tunnel PPTP:

Tout trafic client conu pour Internet emprunte la connexion
physique normale,
Le trafic conu pour le rseau priv distant passe par la connexion
virtuelle de PPTP.
Le protocole PPTP un protocole de niveau 2 qui encapsule
des trames PPP dans des datagrammes IP afin de les
transfrer sur un rseau IP.

PPTP permet le chiffrement des donnes PPP encapsules

mais aussi leur compression.
 Protocole L2TP (Layer Two Tunneling Protocol)

Le protocole L2TP (Layer Two Tunneling Protocol) est un

protocole de tunneling

Contrairement PPTP, L2TP dans Windows 2000 n'utilise

pas MPPE (Microsoft Point-
Point-to
to--Point Encryption) pour
crypter les datagrammes PPP.

L2TP s'appuie sur les services de cryptage de la scurit du

protocole Internet (IPSec
(IPSec).
). La combinaison de L2TP et
IPSec est connue sous la dsignation " L2TP sur IPSec ".
 Ipsec

IPSec est une ensemble de protocoles dvelopps par l'IETF

(Internet Engineering Task Force) qui a pour vocation
d'tablir des canaux communications scuriss garantissant
l'intgrit
intgrit et la confidentialit des donnes vhicules au niveau
de la couche IP.

IPSec est largement utilis par les quipements VPN en

entreprise.

Certaines configurations IPSec qui utilisent notamment l'ESP

(Encapsulating Security Payload) ou AH (Authentication
Header) seraient vulnrables une attaque permettant
d'intercepter les donnes en clair.
 Un dogme s'effondre

La confidentialit des donnes vhicules travers

un tunnel IPSec est donc remise en question.
D'aprs le NISCC (Nationnal Infrastructure Security
Coordination Centre) , 1 vulnrabilit a pu tre
dmontre en laboratoire au prix d'un effort
"modr".

Bien sr, l'attaque requiert que l'assaillant puisse

intercepter les paquets IPSec sur le rseau.
 Mode de fonctionnement du protocole L2TP

Le protocole L2TP transporte des trames PPP dans des paquets

IP.
Le protocole UDP est utilis pour envoyer les trames PPP au sein
de trames L2TP.
 Mise en place dun VPN sous windows

Windows XP permet de grer nativement des rseaux privs virtuels

de petite taille, convenant pour des rseaux de petites entreprises ou
familiaux (appels SOHO, Small Office/Home Office).

Pour mettre en place un rseau priv virtuel:

installer au niveau du rseau local un serveur d'accs distant
(serveur VPN) accessible depuis Internet

paramtrer chaque client pour lui permettre de s'y connecter.