Comment fonctionnent les réseaux privés virtuels (VPN) (Virtual Private Networks) ccnp_cch ccnp_cch.

Slides:



Advertisements
Présentations similaires
Guillaume CACHO Pierre-Louis BROUCHUD
Advertisements

Réseaux Privés Virtuels
Yonel Grusson.
Yonel Grusson.
SIRVIN Alexis RIVIERE Mathieu VERRIERE Arthur
Comprendre Internet Bases théoriques et exercices pratiques, pour débutants complets... Et curieux !
SRT3 VPN. ● Réseau privé virtuel (VPN ou Virtual Private Network) ● Rattacher deux réseaux locaux à travers un réseau non- sécurisé ● Procure même sécurité.
Le système Raid 5 Table des matières Qu'est ce que le RAID ? Les objectifs Le raid 5 Les avantages et les inconvénients Les composants d’un Raid.
1 Observer le paramétrage d’un réseau. 2 Dans notre réseau téléphonique habituel, les postes, reliés à un auto-commutateur... …peuvent dialoguer, car.
Février 2006X. Belanger / Guilde Introduction à. Février 2006X. Belanger / Guilde Qu'est ce que Samba ? ● Implémentation libre du protocole CIFS/SMB (client.
TP Sécurité - Sécuriser l’accès d’administration en utilisant
TSMSI 10/04 : Mise en place d'une interconnexion VPN
bgp always-compare-med
Enseignant Mr. KADRI MUSTAPHA
Chapitre10 Prise en charge des utilisateurs distants
Système de transmission de données & segmentation du réseaux
Haute École Roi Baudouin CATÉGORIE ÉCONOMIQUE INFORMATIQUE DE GESTION
Ce videoclip produit par l’Ecole Polytechnique Fédérale de Lausanne
OSPF - Comment OSPF génère les routes par défaut
Configurer NAT et PAT statique pour support d'un serveur Web interne
CCNP Réseau de Campus Concepts et Modèles cch_ccnp.
Sécurité - VPN - Configurer la mise à jour du client
SNET: Administration et sécurisation des réseaux EPFC Alain Smets
CCNP Routage Chapitre 4 - Questionnaire N°1
AAA - Présentation ccnp_cch ccnp_cch.
Sécurisation de l’accès Internet
Information et Système d’Information
BGP - Configuration iBGP et eBGP avec ou sans adresse de Loopback
Configuration de base de AAA sur un Server d'accès
Réseau informatique Sorenza Laplume 1.
Routage S 3 - Questionnaire N°1
Configuration Routeur SOHO77
Hot Standby Router Protocol standby preempt et standby track
Sécurité - Configuration de
Proxy ARP ccnp_cch ccnp_cch.
CCNP Routage Chapitre 4 - Questionnaire N°1
Support de NAT pour IPSec ESP Phase II
Sécurité - Configuration de -
Configuration Routeur SOHO77
Changer les critères de nommage
Comment fonctionne RADIUS?
Routage S 3 - Questionnaire N°1
Bienvenue Comment peut-on disposer d’un espace numérique permettant de stocker toutes sortes de documents pouvant être utilisés par n’importe quel membre.
Introduction Atelier sur: Création d’un réseaux local?
Questions 1- Qu'est ce qu'un réseau informatique ?
Les Pare-Feu.
Cours VI – Cryptographie symétrique
1 Internet Elaboré par :. 2 Introduction L’histoire Fonctionnement d’internet L’utilité d’internet Les avantages d’internet Les inconvénient d’internet.
INTRODUCTION A BGP AfNOG 2007 Alain Patrick AINA
Chapitre 7 Configuration de l'environnement du bureau
Introduction à la conception de site web
Échange de données informatisé (EDI)
Bureau distant sur Windows Vista /2008 Server
Informatique générale
Les protocoles de la couche application Chapitre 7.
Introduction Les réseaux informatiques sont nés dû besoin de relier des terminaux distants à un site central, puis des stations de travail et des serveurs.
Mise en place d'un Serveur Radius pour la sécurité d'un réseau Wireless sous Windows Serveur Présenter par le Stagiaire : Etienne Mamadou Guilavogui.
LES RESEAUX.
Exposé de système / réseaux IR3
Missions Locales Serveur Mutualisé
Remote Authentication Dial In User Service RADIUS GAUTHIER Julien.
1 Ivana Antić TS Ivana Nestorović TS Internet mai, 2014.
La collecte d’informations Présenté par: Boudries. S.
Les liaisons des données Sommaire Principe Les couches de liaison –LLC (Contrôle de Liaison Logique) –MAC (Contrôle d’Acces au Support) Mode de Communication.
CONFIGURATION D’UN ROUTEUR Introduction et planification du cours  Configuration d’un routeur  Administration d’un routeur  Protocoles RIP et IGRP 
Cours présenté par : Mr.Latli Hossam Eddine PSFEP 2 EN informatique / systems d’informations avancées Les Réseaux informatique.
Tableau de bord d’un système de recommandation
Dridi Lobna 1 Couche Réseau II Réseau : Gestion de l’accès.
LES RESEAUX. Besoin de communication LES RESEAUX Pour communiquer via un réseau informatique Support de transmission Carte réseau Éléments de réseau.
Internet Stage – Semaine 5.
Transcription de la présentation:

Comment fonctionnent les réseaux privés virtuels (VPN) (Virtual Private Networks) ccnp_cch ccnp_cch

Sommaire • Introduction • Que fait un VPN? • Analogie : Chaque LAN est une île • Technologies VPN ccnp_cch

Introduction ccnp_cch Ce document couvre les notions fondamentales des VPN, à savoir les composantes du VPN, les technologies, le "Tunneling" et la sécurité VPN. Rappels Le monde des affaires a évolué durant ces dix dernières années. Les échanges locaux ou nationaux sont devenus des marchés mondiaux avec une logistique associée. Un grand nombre de sociétés ont des services disséminés sur le territoire national et même sur le monde entier. Par contre il y a une chose dont toutes les sociétés ont besoin: un moyen pour établir des communications rapides sécurisées et fiables quelque soit le lieu de leurs bureaux. Jusqu'à aujourdh'ui, les communications fiables ont utilisé des ligne louées ou com- mutées pour réaliser un réseau WAN. Les lignes louées, jusqu'à 155 Mbit/s et le RNIS, avec la fibre optique ont fourni les moyens d'étendre les réseaux privés hors de leur zone géographique. Un réseau WAN a des avantages on évidents par rapport à un réseau public tel Internet quand celui-ci devient fiable et sécurisé. Utiliser des lignes louées pour constituer un réseau WAN peut devenir coûteux si la distance entre les sites est importante. Comme Internet est devenu accessible à tout le monde, le monde des affaires en a fait un des moyens d'expansion de ses réseaux. Au début il y a eu les Intranets qui sont conçus pour être utilisés uniquement par les employés des sociétés. Aujourd'hui un grand nombre de sociétés sont en train de créer leur propre VPN pour répondre aux besoins des employés itinérants et des sites distants. POP Télétravail Utilisateur itinérant Site Central Site Distant Partenaire Commercial Un VPN typique peut avoir un réseau LAN principal au site central de la société, d'autres réseaux LAN dans des bureaux ou des services distants et des utilisateurs itinérants. Typiquement un VPN est un réseau privé qui utilise un réseau public (Internet) pour connecter des sites distants ou des utilisateurs entre eux. Au lieu d'utiliser une con- nexion telle une ligne louée, un VPN utilise des connexions virtuelles routées à travers Internet, du site central de la société vers les sites distants ou les utilsateurs itinérants. ccnp_cch

Que fait un VPN? ccnp_cch Il y a deux types de VPN: • Accès distant (Remote access) - Appelé également VPDN (Virtual Private Dialup Network), c'est une connexion utilisateur vers LAN utilisée par une société dont les employés ont besoin de se connecter au réseau privé à partir de divers endroits. Typiquement une grande société qui veut construire un grand VPN accès distant fournit en quelque sorte une forme de compte d'accès Internet à ses utilisateurs en utilisant les services d'un ISP (Internet Service Provider). Les télétravailleurs peuvent en appelant un numéro spécifique atteindre Internet et ensuite accéder au réseau de la société en utilisant leur logiciel client VPN. Un bon exemple d'entreprise qui a besoin d'un VPN accès distant est une entreprise avec des centaines de vendeurs itinérants. Le VPN accès distant permet des connexions sécurisées, cryptées entre le réseau privé de la société et les utilisateurs distants au moyen d'un ISP tierce partie. • Site à site (Stie-to-Site) - Au travers de l'utilisation d'équipements dédiés et du cryptage à grande échelle, une entreprise peut relier plusieurs sites fixes par l'inter- médiaire d'un réseau public tel Internet. Chaque site a besoin d'une connexion locale au même réseau public, réduisant ainsi le coût des liaisons louées longues distances. Les VPN site à site peuvent être construits entre des bureaux de la même société ou par exemple vers un fournisseur externe pour partager une base de données. Un VPN bien conçu peut amener des gains de productivité importants pour une entreprise. Par exemple un VPN peut: • Etendre la connectivité géographique • Réduire les coûts de fonctionnement • Réduire les temps de transit et les coûts de transport pour les utilisateurs itinérants • Améliorer la productivité • Simplifier la topologie du réseau • Fournir un support pour des télétravailleurs • Fournir un retour sur investissement plus rapide par rapport aux WAN Quelles sont les fonctionnalités nécessaires pour un VPN Bien conçu? Le VPN doit avoir les fonctionnalités suivantes: • Sécurité • Fiabilité • Evolutivité • Gestion de réseau • Politique de gestion ccnp_cch

Analogie: Chaque LAN est une île Cette analogie est liée à une terminologie anlo-saxonne: a LAN is an isLANd. Vous êtes sur une île dans un océan immense et vous êtes entouré d'autres îles, certaines proches ou très proches et d'autres éloignées ou très éloignées. Vous n'avez aucun moyen privé pour vous aller de votre île à une autre île. Supposons que votre île représente un LAN privé et Internet l'océan. Voyager avec un transport public est équivalent à une connexion Internet vers un serveur Web ou tout autr serveur. Vous n'avez aucun contrôle sur les équipements qui constituent Internet comme vous n'avez aucun contrôle sur les équipements du transport public. Ceci peut poser des problèmes de sécurité si vous essayer de vous connecter à une ressource privée au moyen d'une ressource publique. Continuons notre analogie. Votre île décide de construire un pont avec une autre île pour avoir un chemin direct plus sécurisé pour les personnes voyageant entre les deux îles. Il est très coûteux de construire et de maintenir le pont même si l'île voisine est très proche. Mais le besoin d'un chemin sécurisé fiable est si important que vous le construisez. Votre île voudrait se connecter avec une seconde île beaucoup plus éloi- gnée mais vous en concluez que le coût est beaucoup trop élevé. Cette situation est très proche de celle d'une ligne louée. Les ponts (lignes louées) sont des voies séparées et ils peuvent relier les îles (LAN). Beaucoup de sociétés ont choisi cette solution pour des raisons de sécurité et de fiabilité dans la connexion de leurs sites distants; cependant si les sites distants sont très éloignés, le coût des liaisons peut être prohibitif. Comment les VPN peuvnt-ils être placés dans cette analogie? On pourrait donner à chaque habitant de vos îles un sous-marin personnel miniature avec les capacités suivantes: • Il est rapide • Il est facile à transporter dans vos bagages • Il est capable de vous rendre invisible des bateaux ou des autres sous-marins • Il est fiable • Cela coûte peu d'ajouter des sous-marins à votre flotte une fois que l'achat du premier à été fait. Bien que les habitants de vos deux îles voyagent dans le trafic de l'océan, ils peuvent aller et venir comme ils le veulent, en toute sécurité et de manière privée. C'est la façon de travailler d'un VPN. Chaque membre distant de votre réseau peu communiquer de manière sécurisée et fiable en utilisant Internet comme support pour connecter les LANs. Un VPN peut évoluer en taille pour accepter plus d'utilisateurs et différents lieux plus aisément que des lignes louées. Contrairement aux lignes louées dont le coût augment avec la distance, la localisation géographique des différents sites influe peu sur la création d'un VPN. ccnp_cch

Technologies VPN ccnp_cch Un VPN bien conçu utilise plusieurs méthodes pour maintenir votre connexion et sécuriser vos données. • Cryptage des données - Comme votre réseau privé passe au travers d'un réseau public, le cryptage des données est vital. La majorité des VPNs utilisent un des protocoles suivants pour fournir du cryptage: - IPSec (Internet Protocol security protocol) - Ce protocole fournit des fonctions de sécurité avancée telles que des algorithmes de cryptage surs et une authentifi- cation plus élaborée. IPsec a deux modes de cryptage: tunnel et transport. Le mode tunnel crypte l'en-tête et la charge utile du paquet tandis que le mode transport crypte uniquement la charge utile. Seuls les systèmes compatibles IPSec peuvent tirer tous les avantages de ce protocole. Tous les équipements doivent utiliser une clé ou un certificat commun ainsi que des politiques de sécurité similaires. Pour les utlisateurs VPN accès distant, un package logiciel tierce-parie permet la connexion et le cryptage pour les utilisateurs de PC. IPSec supporte soit le cryptage DES (56 bits) ou 3DES (168 bits). - PPTP/MPPE - PPTP a été crée par le PPTP Forum, consortium de constructeurs dont Microsoft fait partie. PPTP supporte les VPNs multi-protocoles avec un cryptage sur 40 bits ou 128 bits en utilisant le protocole MPPE (Microsoft Point to Point Encryption). Il est important de noter que PPTP seul ne fournit pas de fonction de cryptage. - L2TP/IPSec - Communément appelé L2TP over IPSec, il permet de fournir la sécurité pour IPSec par le mode tunnel de L2TP (Layer 2 Tunneling Protocol). L2TP est le produit d'un partenariat entre les membres du forum PPTP, Cisco et l'IETF. Utilisé nativement pour les accès distants VPN avec le système d'exploita- tion Window 2000 (Client IPSec et L2TP). Les fournisseurs d'accès Internet peuvent fournir des connexions entrantes à des utilisateurs et peuvent ensuite crypter le trafic avec IPSec entre le point d'accès et le serveur d'accès distant de l'entreprise. • Authentification des données - Tout comme il est important que vos données soient cryptées lorsqu'elles traversent le réseau public, il est aussi important de vérifier que celle-ci n'ont pas été modifiées pendant le transit. IPSec par exemple peut authentifier la portion encryptée du paquet ou l'en-tête et les données pour vérifier l'intégrité du paquet. • Tunnel de données - Le "Tunneling" est un processus d'encapsulation d'un paquet dans sa totalité par un autre paquet pour être transmis sur le réseau. Tous les protocoles de cryptage listés ci-dessus utilisent le "Tunneling" comme moyen de transfert des données cryptées à travers un réseau public. Il est important de comprendre que le "tunneling" par lui-même ne fournit pas de sécurité pour les données. Le paquet original est encapsulé dans un autre paquet mais les données restent toujours lisibles par un équipement de capture de paquets. Le "tunneling" fait partie intégrante du fonctionnement des VPNs. ccnp_cch

Le "tunneling" requiert trois protocoles différents: • Le protocole à transporter ou passenger protocol (IP, IPX,..) • Le protocole d'encapsulation pour le tunnel (GRE, IPSec, L2F, L2TP, PPTP) des données originales • Le protocole de transport. Protocole utilisé par le réseau sur lequel l'information est transportée. Le paquet original (passenger protocol) est encapsulé par un protocole d'encapsula- tion puis est ensuite placé dans le paquet du protocole de transport (IP) du réseau public. Notez également que le protocole d'encapsulation transporte souvent les données cryptées. Comme nous pouvons le constater IPX et Netbeui peuvent être transportés de manière sécurisée sur Internet. Pour les VPNs Site à Site, le protocole d'encapsulation est usuellement IPSEc ou GRE (Genric Routing Encapsulation). GRE inclut des informations sur le type de paquet encapsulé et sur la connexion entre le client et le serveur. Pour les VPNs accès distant, le "tunneling" est associé à PPP . PPP est le protocole de liaison utilisé pour transporter des protocoles sur un réseau WAN entre une machine utilisateur et un système distant. Le "Tunneling" PPP utilisera soit PPTP, L2TP ou L2F( Layer 2 Forwarding de Cisco) • AAA - Authentication, Authorization et Accounting est utilisé pour un accès plus sécurisé dans un environnement accès distant. Sans authentification d'utilisateur, toute personne utilisant un PC avec un client VPN préconfiguré peut établir une connexion sécurisée avec u n réseau distant. Avec l'authentification de l'utilisateur, un nom et un mot de passe valides doivent également être entrés avant que la con- nexion soit établie. Le nom de l'utilisateur et le mot de passe peuvent être stockés sur l'équipement de terminaison du VPN ou sur un serveur AAA externe qui peut fournir l'authentifi- cation en utilisant diverses bases de données telles Windows200/NT, Novell, LDAP,. Quand la requête d'établissement de tunnel provient du client distant, l'équipement VPN demande le nom d'utilisateur et le mot de passe. Celui-ci peut être authentifié localement ou transmis au serveur AAA externe qui vérifie: • Qui vous êtes (authentification) • Ce que vous êtes autorisé à faire (Authorization) • Ce que vous faites actuellement (Accounting) L'information d'Accounting est utilisée tout particulièrement pour tracer l'activité du client pour de l'audit de sécurité, la facturation ou du reporting. ccnp_cch

Feed-back: Politique de confidentialité Feed-back
Do Not Sell My Personal Information
Notre projet: SlidePlayer Les conditions d'utilisation

© 2024 SlidePlayer.fr Inc. All rights reserved.