VPN et Solutions pour lentreprise

C. Pham Universit de Pau et des Pays de lAdour Dpartement Informatique http://www.univ-pau.fr/~cpham Congduc.Pham@univ-pau.fr
Ces transparents sont bass sur une prsentation compils par David Lassalle et Khaled Bouadi, tudiants en DESS IIR de Lyon en 2001-2002

Dfinition
Quest

ce quun VPN?

Network :
Un VPN permet dinterconnecter des sites distants => Rseau

Private :
Un VPN est rserv un groupe dusagers dtermins par authentification. Les donnes sont changs de manire masque au yeux des autres par cryptage => Priv

Virtual :
Un VPN repose essentiellement sur des lignes partags et non ddies . Il nest pas rellement dtermin.Il est construit par dessus un rseau public essentiellement.

Il sagit dun rseau priv construit par dessus un rseau public (Internet).

Cours de C. Pham, Universit de Pau et des Pays de lAdour

Accs distant dun hte au LAN distant via internet (Host to LAN)
Public Switched Telephone Network (PSTN) Internet Service Provider Gatewa y Internet Tunnel Gateway (NAS)

Home Network Worker Machine

Accs distant dun hte au LAN distant via internet (Host to LAN) (2)
Public Switched Telephone Network (PSTN) Internet Service Provider Gateway (NAC) Internet Tunnel Gateway (NAS)

Home Network

Remote worker connects to Home Network through ISP created tunnel Allows wholesale dial-up

Interconnexion de LANs
Network 1

Gateway (NAC) Internet

Tunnel Gateway (NAS)

Network 2

Les rseaux distants 1 et 2 forment un rseau logique La communication est scuriss au niveau le plus bas

Solutions traditionnelles et VPN

La solution VPN est une alternative aux solutions traditionnelles

Solutions traditionnelles

Solution VPN

Avantages et Inconvenients
Solutions traditionnelles

Solution VPN

Avantages
de + en + de qualit de service QOS une GFA par contrat (scurit par contrat) des dbits en gnral assez levs voir trs levs des dlais dacheminements garantis

Avantages
une couverture gographique mondiale. le cot de fonctionnement le plus bas du march(tarifs calculs sur la plus courte distance au point daccs oprateur). offre des garanties de scurit (utilisation de tunnels). solution pour la gestion des postes nomades (grds nbs de points d accs).

Inconvnients
cot beaucoup plus leve que la solution VPN offre pas (ou peu) de protection du contenu

Inconvnients
la qualit de service (et les dlais dacheminement) nest pas garantie les performances ne sont pas toujours au rendez vous.

Cours de C. Pham, Universit de Pau et des Pays de lAdour

Enjeux des VPNs

confidentialit de linformation intgrit de linformation authentification des postes protection du client VPN gestion de la qualit de service et des dlais gestion des pannes Internet

Corporate Site

Partner #2 Partner #1

Cours de C. Pham, Universit de Pau et des Pays de lAdour

Authentification,confidentialit et intgrit

Ces notions sont gres dans la gestion des tunnels. Ces tunnels permettent dassurer ces notions par application (solution de niveau 7 : HTTPS) ou pour tous les types de flux (solutions de niveau 2/3 : PPTP,L2TP,IPSec) .
niveau 2 type PPTP, L2T niveau 3 type IPSec niveau 7 type HTTPS

Cours de C. Pham, Universit de Pau et des Pays de lAdour

Tolrance aux pannes

VPN doit pouvoir se prmunir de pannes ventuelles de manire fournir un temps de disponibilit maximum.
viter les attaques virales par la mise en place de firewalls (sur LANs et clients VPNs) possibilits dutiliser des ISP multiples.

Cours de C. Pham, Universit de Pau et des Pays de lAdour

Protection du client VPN

Des clients VPN peuvent tre hijacked et des pirates peuvent accder en toute impunit au rseau priv. Solutions
installer sur les clients VPN des firewalls personnels grs de manire centralise . lorganisation doit chercher fournir une solution de gestion centralise de la scurit de tous les clients VPNs
Attacker
Cable or xDSL

Internet

Cours de C. Pham, Universit de Pau et des Pays de lAdour

Implmentation des tunnels

processus en 3 phase :
Encapsulation : la charge utile est mise dans un entte supplmentaire Transmission : acheminement des paquets par un rseau intermdiaire. Dsencapsulation : rcupration de la charge utile.

Cours de C. Pham, Universit de Pau et des Pays de lAdour

Les protocoles de tunneling

PPTP : Point to Point Tunneling Protocol L2TP: Layer two Tunneling Protocol IPSec: IP Secure

Cours de C. Pham, Universit de Pau et des Pays de lAdour

PPTP description gnrale

Protocole de niveau 2 Encapsule des trames PPP dans des datagrammes IP afin de les transfrer sur un rseau IP Transfert scurise : cryptage des donnes PPP encapsules mais aussi compression

Cours de C. Pham, Universit de Pau et des Pays de lAdour

Scnario dune connexion

GRE: Internet Generic Routing Encapsulation

L'entte GRE est utilise pour encapsuler le paquet PPP dans le datagramme IP. Ncessite que les routeurs implmentent GRE

Cours de C. Pham, Universit de Pau et des Pays de lAdour

Example de tunneling PPTP

PPTP Client Computer
SMB Packets PPP Encapsulator PPTP Interface

IP Packets

SLIP Interface

PPTP Server Computer

IP Packets SMB Packets PPP Decapsulator PPTP Interface IP GRE Packets ISP Gateway SLIP Interface IP Packets

Exemple de tunneling PPTP (suite)

TCP/IP Packet
IP TCP Payload Header Header Data PPP Encapsulator PPTP Interface SLIP Interface Modem PPP IP TCP Payload Header Header Header Data IP GRE PPP IP TCP Payload Header Header Header Header Data SLIP IP GRE PPP IP TCP Payload Header Header Header Header Header Data

Client PPTP

Ordinateur supportant PPTP Linux ou microsoft Client distant : accs dun ISP supportant les connexion PPP entrantes modem + dispositif VPN Client local (LAN) : En utilisant une connexion TCP/IP physique qui lui permet de se connecter directement au serveur PPTP. Dispositif VPN

Cours de C. Pham, Universit de Pau et des Pays de lAdour

PAP Password Authentication Protocol

Mcanisme dauthentification non crypt NAS demande le nom et mot de passe PAP les envoi en clair ( non cod).

Pas de protection contre les usurpations didentit si le mot de passe est compromis

Cours de C. Pham, Universit de Pau et des Pays de lAdour

CHAP (Challenge Handshake Authentication Protocol) :

Mcanisme dauthentification crypt Algorithme de hachage MD5 sens unique

Pas de mot de passe circulant en clair

Cours de C. Pham, Universit de Pau et des Pays de lAdour

MS-CHAP (Microsoft Challenge Handshake Authentication Protocol):

Mcanisme dauthentification crypt Algorithme de hachage MD4 Similaire a CHAP (code de hachage en possession du serveur) Encryptage MPPE ncessite lauthentification MS-CHAP

Cours de C. Pham, Universit de Pau et des Pays de lAdour

Layer 2 Tunneling Protocol (L2TP)

N de L2F (Cisco) et PPTP Encapsule PPP dans IP,X25, ATM Utilisation possible sur Internet ou des WAN

Cours de C. Pham, Universit de Pau et des Pays de lAdour

L2TP Protocol
L2TP Access Concentrator
Control Session 1 (Call ID 1) Session 2 (Call ID 2)

L2TP Network Server LNS

LAC

Composants dun tunnel

Canal de contrle Sessions pour le transport de donnes

Des tunnels multiples peuvent exister entre les pairs LAC-LNS pour supporter diffrents niveau de QoS.

Control Channel

Functionality
Setup, teardown tunnel Create, teardown payload calls within tunnel Keepalive mechanism to detect tunnel outages

Characteristics
Retransmissions Explicit ACKs Sliding window congestion control In order delivery

Cours de C. Pham, Universit de Pau et des Pays de lAdour

Sessions (Data Channels)

Payload delivery service

Encapsulated PPP packets sent in sessions PPP over {IP, UDP, ATM, etc}

No fragmentation avoidance Optional window based congestion control Optional packet loss detection

Cours de C. Pham, Universit de Pau et des Pays de lAdour

Security

Basic L2TP does not define security PPP encryption can be used IP Security encryption can be used
L2TP extension to define security where IP Security is not available

Cours de C. Pham, Universit de Pau et des Pays de lAdour

IPSec

IPsec protocole de niveau 3 Cration de VPN sr bas forcment sur IP Permet de scuris les applications mais galement toute la couche IP Les rles dIPSec
Authentification :Absence dusurpation didentit; la personne avec qui on est cens dialoguer est bien la personne avec qui on dialogue Confidentialit : Personne ncoute la communication. Intgrit: Les donnes reues nont pas t modifies pendant la transmission.

Cours de C. Pham, Universit de Pau et des Pays de lAdour

HTTPS

solution de niveau 7 scurit gre cette fois par service, en fonction de lapplication authentification par serveur Radius ou autre

Cours de C. Pham, Universit de Pau et des Pays de lAdour

Solutions pour lentreprise

choix de la solution VPN

identification des types de flux WAN flux bas dbits synchrones utilises pour les applications transactionnelles, SAP mulation telnet ou 5250/3270 flux large bande asynchrone pour les applications FTP, HTTP, messagerie

Flux synchrones
ncessitent une bande passante minimale garantie avec un dlai dacheminement le plus petit et le plus constant possible, cest le cas des applications temps rels ne peuvent tre offert quavec des rseaux de niveau 2 comme ATM ou Frame Relay Internet n est pas adapt pour le moment

Flux asynchrones
se produisent de manire imprvisible par rafales en occupant toute la bande passante disponible aucune contrainte de dlai dacheminement nest ncessaire le volume dinformations vhicules de cette manire est toujours en forte croissance Ex : transferts de fichiers, messagerie, navigation

Cours de C. Pham, Universit de Pau et des Pays de lAdour

Choix de la solution VPN

En fonction des volumes et des types des changes attendus, on peut dcider de la solution adopter parmi toutes celles proposes. 3 alternatives: VPN INTERNET
Faire cohabiter tous ces flux sur le mme rseau : VPN INTERNET solution mise en place sur des rseaux de niveau 2 ou de niveau 3, la plus immdiate et la plus rencontre utilisateurs jamais satisfaits : inadapte aux flux synchrones A carter

Grer la bande passante WAN : VPNs avec LAN/WAN Shaping

solution technique la plus rapide dployer aprs la prcdente solution technique la plus adapte et la plus performante flux synchrones et asynchrones cohabitent tjrs sur le mme support mais la solution permet de les grer plus correctement boitiers de LAN/WAN Shaping aux extrmits du rseau WAN oprateu

Cours de C. Pham, Universit de Pau et des Pays de lAdour

Choix de la solution VPN

Cours de C. Pham, Universit de Pau et des Pays de lAdour

Choix de la solution VPN

VPN plus
sparation des flux applicatifs entre diffrents rseaux Un rseau synchrone bas dbit garanti ( debits < 64Kbits/s ) de niveau 2. Ex. : Frame Relay ou LS Un rseau asynchrone hauts dbits ( dbits > 128Kbits/s ) de niveau 3. Ex.: Internet

Cours de C. Pham, Universit de Pau et des Pays de lAdour

Quel VPN pour quelle entreprise ?

En fonction de la quantit et du type de flux inter sites, la solution varie :

Sites Importants France => Tlcoms avec WAN Shaping Sites importants Europe-Monde => VPN avec WAN Shaping Sites moyens Europe-Monde => VPN avec WAN Shaping Petits sites France-Europe-Monde => VPN Nomades France => Accs distants RAS/VPN Nomade Nomades Europe, Monde => VPN Nomade

Cours de C. Pham, Universit de Pau et des Pays de lAdour

Exemples concrets

VPN IP internet
Utilisation de tunnels IPSEC entre firewalls / nomades avec Checkpoint Firewall-1 / secureremote CISCO PIX VPN / Secure client

WAN TELCO et IP
Frame Relay / ATM / MPLS avec UUNET : Uusecure VPN France Telecom :Global Intranet=> Global One : Global IP VPN Belgacom : VPN Office Maiaah : intranet Communaut automobile (GALIA) : ENX

Cours de C. Pham, Universit de Pau et des Pays de lAdour