SRT3 VPN
● Réseau privé virtuel (VPN ou Virtual Private Network) ● Rattacher deux réseaux locaux à travers un réseau non- sécurisé ● Procure même sécurité qu'un LAN – évite utilisation de lignes louées, onéreuse et difficile à mettre en oeuvre ● Tunnel sécurisé à travers réseau publique Internet : VPN point- à-point ● ou commutation à travers infrastructures dédiées mises en place par opérateurs (X25, FR, ATM, MPLS) : VPN opérateurs
VPN sous Linux ● Pas d'implémentation standard sous Linux (comme IPTables par exemple pour firewall) ● Pas d'implémentation standard pour VPN tout simplement ! ● GRE, PPTP, L2F, L2TP, IPSec, SSL sont autant de protocoles VPN ● 3 implémentations libres ressortent sous Linux : ● IPSec, PPTP, SSL
PPTP ● Point-to-Point Tunneling Protocol, développé entre autres par MS ● Modèle client-server, client standard sous Windows 95 à XP, clients existent sous Linux ● Serveur PPTP sous Linux : Poptop
Poptop ● Microsoft compatible authentication and encryption (MSCHAPv2, MPPE bit RC4 encryption) ● Support for multiple client connections ● Seamless integration into a Microsoft network environment (LDAP, SAMBA) using RADIUS plugin ● Works with Windows 95/98/Me/NT/2000/XP PPTP clients ● Works with Linux PPTP client ● Poptop is, and will remain, totally free under the GNU General Public License
IPSec ● Plus vieux « standard »VPN, supporté par routeurs commerciaux ● Difficile à mettre en place, ne marche pas derrière certaines passerelles NAT ● Nécessité de modifier piles IP dans le kernel ● Deux implémentations sous Linux : Openswan et KAME
SSL ● VPN basé sur le protocole SSL ● SSL over TCP ou UDP : pas de modification de la pile IP, donc pas de modification du Kernel ● Facile à prendre en compte dans les passerelles NAT et firewalls ● Configuration simple avec un protocole mature ● Supporté par la plupart des OS ● Supporte plusieurs types de configurations VPN
Types de VPNs point-à-point ● Reverse proxy/HTTPS : HTTP over SSL/TLS (déjà étudié) ● Webify : Convertir applications courantes (FTP, messagerie, netbios) en applications Web pour encapsulation dans HTTPS (souvent en Java) – En général, propriétaire. Cisco excelle dans ce domaine ● Tunneling : création d'un tunnel et encapsulation de n'importe quel protocole (un ou plusieurs) à l'intérieur – Complètement transparent pour les applications – Mise en oeuvre avec OpenSSL
OpenSSL ● Authentification par clé secrète partagée, certificats ou username/password ● Utilisation extensive de librairie OpenSSL et SSL/TLS – OpenSSL fait tout le travail de chiffrement de la donnée et du contrôle ● Disponible sur Solaris, Linux, OpenBSD, FreeBSD, NetBSD, Mac OS X, and Windows 2000/XP (client en préparation sur PocketPC) ● VPN station/réseau (routed) ou réseau/réseau (bridged)
SSH ● Permet de créer des tunnels sécurisés pour l'encapsulation d'un protocole