Télécharger la présentation
La présentation est en train de télécharger. S'il vous plaît, attendez
Publié parThéodore Aubin Modifié depuis plus de 7 années
1
Comment fonctionnent les réseaux privés virtuels (VPN) (Virtual Private Networks)
ccnp_cch ccnp_cch
2
Sommaire • Introduction
• Que fait un VPN? • Analogie : Chaque LAN est une île • Technologies VPN ccnp_cch
3
Introduction ccnp_cch
Ce document couvre les notions fondamentales des VPN, à savoir les composantes du VPN, les technologies, le "Tunneling" et la sécurité VPN. Rappels Le monde des affaires a évolué durant ces dix dernières années. Les échanges locaux ou nationaux sont devenus des marchés mondiaux avec une logistique associée. Un grand nombre de sociétés ont des services disséminés sur le territoire national et même sur le monde entier. Par contre il y a une chose dont toutes les sociétés ont besoin: un moyen pour établir des communications rapides sécurisées et fiables quelque soit le lieu de leurs bureaux. Jusqu'à aujourdh'ui, les communications fiables ont utilisé des ligne louées ou com- mutées pour réaliser un réseau WAN. Les lignes louées, jusqu'à 155 Mbit/s et le RNIS, avec la fibre optique ont fourni les moyens d'étendre les réseaux privés hors de leur zone géographique. Un réseau WAN a des avantages on évidents par rapport à un réseau public tel Internet quand celui-ci devient fiable et sécurisé. Utiliser des lignes louées pour constituer un réseau WAN peut devenir coûteux si la distance entre les sites est importante. Comme Internet est devenu accessible à tout le monde, le monde des affaires en a fait un des moyens d'expansion de ses réseaux. Au début il y a eu les Intranets qui sont conçus pour être utilisés uniquement par les employés des sociétés. Aujourd'hui un grand nombre de sociétés sont en train de créer leur propre VPN pour répondre aux besoins des employés itinérants et des sites distants. POP Télétravail Utilisateur itinérant Site Central Site Distant Partenaire Commercial Un VPN typique peut avoir un réseau LAN principal au site central de la société, d'autres réseaux LAN dans des bureaux ou des services distants et des utilisateurs itinérants. Typiquement un VPN est un réseau privé qui utilise un réseau public (Internet) pour connecter des sites distants ou des utilisateurs entre eux. Au lieu d'utiliser une con- nexion telle une ligne louée, un VPN utilise des connexions virtuelles routées à travers Internet, du site central de la société vers les sites distants ou les utilsateurs itinérants. ccnp_cch
4
Que fait un VPN? ccnp_cch
Il y a deux types de VPN: • Accès distant (Remote access) - Appelé également VPDN (Virtual Private Dialup Network), c'est une connexion utilisateur vers LAN utilisée par une société dont les employés ont besoin de se connecter au réseau privé à partir de divers endroits. Typiquement une grande société qui veut construire un grand VPN accès distant fournit en quelque sorte une forme de compte d'accès Internet à ses utilisateurs en utilisant les services d'un ISP (Internet Service Provider). Les télétravailleurs peuvent en appelant un numéro spécifique atteindre Internet et ensuite accéder au réseau de la société en utilisant leur logiciel client VPN. Un bon exemple d'entreprise qui a besoin d'un VPN accès distant est une entreprise avec des centaines de vendeurs itinérants. Le VPN accès distant permet des connexions sécurisées, cryptées entre le réseau privé de la société et les utilisateurs distants au moyen d'un ISP tierce partie. • Site à site (Stie-to-Site) - Au travers de l'utilisation d'équipements dédiés et du cryptage à grande échelle, une entreprise peut relier plusieurs sites fixes par l'inter- médiaire d'un réseau public tel Internet. Chaque site a besoin d'une connexion locale au même réseau public, réduisant ainsi le coût des liaisons louées longues distances. Les VPN site à site peuvent être construits entre des bureaux de la même société ou par exemple vers un fournisseur externe pour partager une base de données. Un VPN bien conçu peut amener des gains de productivité importants pour une entreprise. Par exemple un VPN peut: • Etendre la connectivité géographique • Réduire les coûts de fonctionnement • Réduire les temps de transit et les coûts de transport pour les utilisateurs itinérants • Améliorer la productivité • Simplifier la topologie du réseau • Fournir un support pour des télétravailleurs • Fournir un retour sur investissement plus rapide par rapport aux WAN Quelles sont les fonctionnalités nécessaires pour un VPN Bien conçu? Le VPN doit avoir les fonctionnalités suivantes: • Sécurité • Fiabilité • Evolutivité • Gestion de réseau • Politique de gestion ccnp_cch
5
Analogie: Chaque LAN est une île
Cette analogie est liée à une terminologie anlo-saxonne: a LAN is an isLANd. Vous êtes sur une île dans un océan immense et vous êtes entouré d'autres îles, certaines proches ou très proches et d'autres éloignées ou très éloignées. Vous n'avez aucun moyen privé pour vous aller de votre île à une autre île Supposons que votre île représente un LAN privé et Internet l'océan. Voyager avec un transport public est équivalent à une connexion Internet vers un serveur Web ou tout autr serveur. Vous n'avez aucun contrôle sur les équipements qui constituent Internet comme vous n'avez aucun contrôle sur les équipements du transport public. Ceci peut poser des problèmes de sécurité si vous essayer de vous connecter à une ressource privée au moyen d'une ressource publique Continuons notre analogie. Votre île décide de construire un pont avec une autre île pour avoir un chemin direct plus sécurisé pour les personnes voyageant entre les deux îles. Il est très coûteux de construire et de maintenir le pont même si l'île voisine est très proche. Mais le besoin d'un chemin sécurisé fiable est si important que vous le construisez. Votre île voudrait se connecter avec une seconde île beaucoup plus éloi- gnée mais vous en concluez que le coût est beaucoup trop élevé. Cette situation est très proche de celle d'une ligne louée. Les ponts (lignes louées) sont des voies séparées et ils peuvent relier les îles (LAN). Beaucoup de sociétés ont choisi cette solution pour des raisons de sécurité et de fiabilité dans la connexion de leurs sites distants; cependant si les sites distants sont très éloignés, le coût des liaisons peut être prohibitif. Comment les VPN peuvnt-ils être placés dans cette analogie? On pourrait donner à chaque habitant de vos îles un sous-marin personnel miniature avec les capacités suivantes: • Il est rapide • Il est facile à transporter dans vos bagages • Il est capable de vous rendre invisible des bateaux ou des autres sous-marins • Il est fiable • Cela coûte peu d'ajouter des sous-marins à votre flotte une fois que l'achat du premier à été fait. Bien que les habitants de vos deux îles voyagent dans le trafic de l'océan, ils peuvent aller et venir comme ils le veulent, en toute sécurité et de manière privée. C'est la façon de travailler d'un VPN. Chaque membre distant de votre réseau peu communiquer de manière sécurisée et fiable en utilisant Internet comme support pour connecter les LANs. Un VPN peut évoluer en taille pour accepter plus d'utilisateurs et différents lieux plus aisément que des lignes louées. Contrairement aux lignes louées dont le coût augment avec la distance, la localisation géographique des différents sites influe peu sur la création d'un VPN. ccnp_cch
6
Technologies VPN ccnp_cch
Un VPN bien conçu utilise plusieurs méthodes pour maintenir votre connexion et sécuriser vos données. • Cryptage des données - Comme votre réseau privé passe au travers d'un réseau public, le cryptage des données est vital. La majorité des VPNs utilisent un des protocoles suivants pour fournir du cryptage: IPSec (Internet Protocol security protocol) - Ce protocole fournit des fonctions de sécurité avancée telles que des algorithmes de cryptage surs et une authentifi cation plus élaborée. IPsec a deux modes de cryptage: tunnel et transport Le mode tunnel crypte l'en-tête et la charge utile du paquet tandis que le mode transport crypte uniquement la charge utile. Seuls les systèmes compatibles IPSec peuvent tirer tous les avantages de ce protocole. Tous les équipements doivent utiliser une clé ou un certificat commun ainsi que des politiques de sécurité similaires Pour les utlisateurs VPN accès distant, un package logiciel tierce-parie permet la connexion et le cryptage pour les utilisateurs de PC. IPSec supporte soit le cryptage DES (56 bits) ou 3DES (168 bits) PPTP/MPPE - PPTP a été crée par le PPTP Forum, consortium de constructeurs dont Microsoft fait partie. PPTP supporte les VPNs multi-protocoles avec un cryptage sur 40 bits ou 128 bits en utilisant le protocole MPPE (Microsoft Point to Point Encryption). Il est important de noter que PPTP seul ne fournit pas de fonction de cryptage L2TP/IPSec - Communément appelé L2TP over IPSec, il permet de fournir la sécurité pour IPSec par le mode tunnel de L2TP (Layer 2 Tunneling Protocol) L2TP est le produit d'un partenariat entre les membres du forum PPTP, Cisco et l'IETF. Utilisé nativement pour les accès distants VPN avec le système d'exploita tion Window 2000 (Client IPSec et L2TP). Les fournisseurs d'accès Internet peuvent fournir des connexions entrantes à des utilisateurs et peuvent ensuite crypter le trafic avec IPSec entre le point d'accès et le serveur d'accès distant de l'entreprise. • Authentification des données - Tout comme il est important que vos données soient cryptées lorsqu'elles traversent le réseau public, il est aussi important de vérifier que celle-ci n'ont pas été modifiées pendant le transit. IPSec par exemple peut authentifier la portion encryptée du paquet ou l'en-tête et les données pour vérifier l'intégrité du paquet. • Tunnel de données - Le "Tunneling" est un processus d'encapsulation d'un paquet dans sa totalité par un autre paquet pour être transmis sur le réseau. Tous les protocoles de cryptage listés ci-dessus utilisent le "Tunneling" comme moyen de transfert des données cryptées à travers un réseau public. Il est important de comprendre que le "tunneling" par lui-même ne fournit pas de sécurité pour les données. Le paquet original est encapsulé dans un autre paquet mais les données restent toujours lisibles par un équipement de capture de paquets. Le "tunneling" fait partie intégrante du fonctionnement des VPNs. ccnp_cch
7
Le "tunneling" requiert trois protocoles différents: • Le protocole à transporter ou passenger protocol (IP, IPX,..) • Le protocole d'encapsulation pour le tunnel (GRE, IPSec, L2F, L2TP, PPTP) des données originales • Le protocole de transport. Protocole utilisé par le réseau sur lequel l'information est transportée Le paquet original (passenger protocol) est encapsulé par un protocole d'encapsula tion puis est ensuite placé dans le paquet du protocole de transport (IP) du réseau public. Notez également que le protocole d'encapsulation transporte souvent les données cryptées. Comme nous pouvons le constater IPX et Netbeui peuvent être transportés de manière sécurisée sur Internet Pour les VPNs Site à Site, le protocole d'encapsulation est usuellement IPSEc ou GRE (Genric Routing Encapsulation). GRE inclut des informations sur le type de paquet encapsulé et sur la connexion entre le client et le serveur Pour les VPNs accès distant, le "tunneling" est associé à PPP . PPP est le protocole de liaison utilisé pour transporter des protocoles sur un réseau WAN entre une machine utilisateur et un système distant. Le "Tunneling" PPP utilisera soit PPTP, L2TP ou L2F( Layer 2 Forwarding de Cisco) • AAA - Authentication, Authorization et Accounting est utilisé pour un accès plus sécurisé dans un environnement accès distant. Sans authentification d'utilisateur, toute personne utilisant un PC avec un client VPN préconfiguré peut établir une connexion sécurisée avec u n réseau distant. Avec l'authentification de l'utilisateur, un nom et un mot de passe valides doivent également être entrés avant que la con nexion soit établie Le nom de l'utilisateur et le mot de passe peuvent être stockés sur l'équipement de terminaison du VPN ou sur un serveur AAA externe qui peut fournir l'authentifi cation en utilisant diverses bases de données telles Windows200/NT, Novell, LDAP, Quand la requête d'établissement de tunnel provient du client distant, l'équipement VPN demande le nom d'utilisateur et le mot de passe. Celui-ci peut être authentifié localement ou transmis au serveur AAA externe qui vérifie: • Qui vous êtes (authentification) • Ce que vous êtes autorisé à faire (Authorization) • Ce que vous faites actuellement (Accounting) L'information d'Accounting est utilisée tout particulièrement pour tracer l'activité du client pour de l'audit de sécurité, la facturation ou du reporting. ccnp_cch
Présentations similaires
© 2024 SlidePlayer.fr Inc.
All rights reserved.