Un VPN, comment ça marche?
Commençons par une petite définition pour visualiser le concept du VPN :
Citation
En informatique, un réseau privé virtuel (Virtual Private Network en anglais, abrégé en VPN) est un système permettant de créer un lien direct entre des ordinateurs distants.
En se basant sur cette définition, un VPN permet de créer une connection entre deux ordinateurs distants. Pour la suite de cette partie, je vais définir le concept du VPN avec en exemple, deux réseaux locaux d'entreprise. Imaginons un réseau local d'entreprise, autrement appelé LAN, ce réseau local est donc un réseau interne à l'entreprise et les liaisons entre les différentes machines appartiennent à l'entreprise. Néanmoins, un réseau local est actuellement de plus en plus relié à l'Internet grâce à des équipements d'interconnexion (répéteur, hub, bridge, gateway, switch, routeur, B-routeur, etc.). Cette liaison permet donc à l'entreprise de communiquer que ce soit avec des filliales, des clients ou autres. Pour autant, un problème intervient lorsqu'une entreprise communique avec d'autres entités par le biais de l'Internet. En effet, les données sont plus vulnérables sur Internet que lorsqu'elles circulent sur un réseau interne car le chemin emprunté par ces données n'est pas défini à l'avance: les données circulent donc sur des infrastructures publiques. A partir de ce moment-là, le chemin parcouru n'est pas sûr car le réseau peut être écouté ou détourné: les données ne sont donc pas protégées et aucune informations sensibles ne peut être échangées.
Il faut donc trouver une solution sécurisée pour ces données, l'une des premières solutions est de relier les deux réseaux internes distants par le biais de liaisons spécialisées (autrement appelé "lignes louées), mais la plupart des entreprises ne souhaitent pas ou ne peuvent pas se permettre de relier deux réseaux distants par des lignes spécialisées. Un compromis a donc été trouvé, il consiste à utiliser Internet comme moyen de transmission en utilisant un protocole d'encapsulisation qui va donc, bien entendu, encapsuler les données à transmettre de manière chiffrée. On parle alors de réseau privé virtuel : virtuel car il relie deux réseaux physiques qui sont les réseaux locaux par une liason non fiable, et privé car seuls les ordinateurs des différents réseaux locaux peuvent "voir" ces données.
Un VPN permet donc d'obtenir une ligne sécurisée bien qu'un VPN ne puisse pas assurer une qualité de service comparable à une ligne louée car le réseau physique n'est pas garanti.
Comment fonctionne un réseau privé virtuel?
Comme cela a été expliqué brièvement ci-dessus, un VPN repose sur un protocole d'encapsulation (ou de tunnelisation, dérivé de tunneling en anglais) qui permet de sécuriser les données passant d'une extrémité à une autre sur le réseau virtuel grâce à des algorithmes de cryptographie. Un schéma résume et éclairci parfaitement la situation.
Comme vous pouvez le voir, on dit que les données chiffrées passent par un tunnel VPN qui symbolise le fait qu'entre deux machines distantes reliées par un VPN, personne ne peut comprendre et voir les données, comme si elles passaient dans un tunnel. Ce schéma prend l'exemple d'une liaison par VPN entre deux machines distantes. Pour expliquer rapidement le schéma, on appelle client VPN l'élément permettant de chiffrer et déchiffrer les données du côté utilisateur et serveur VPN ou serveur d'accès distant l'élément permettant de chiffrer et déchiffrer les données du côté de l'organisation. Maintenant que tout cela est plus clair, on comprend que lorsqu'un utilisateur souhaite accéder au réseau privé virtuel, sa requête est transmise en clair au système passerelle, qui par l'intermédiaire d'une infrastructure réseau public va se connecter et transmettre la requête de manière chiffrée. La machine distante va donc envoyer les données à fournir au serveur VPN de son réseau local qui va les renvoyer de manière chiffrée au client. Ces données seront alors déchiffrées à la réception par le client VPN, puis transmises à l'utilisateur.
Les protocoles d'encapsulation:
Nous allons maintenant voir différents protocoles d'encapsulation. Pour vous donner une vision plus large de l'encapsulation dans le domaine des réseaux, je vais vous fournir une définition:
Citation
L'encapsulation, en informatique et spécifiquement pour les réseaux informatiques, est un procédé consistant à inclure les données d'un protocole dans un autre protocole.
Essayez de bien comprendre cette définition car elle est à la base de tous les protocoles d'encapsulation. Nous allons nous pencher sur quatre protocoles d'encapsulation qui sont largement utilisés au niveau des réseaux privés virtuels.
Le protocole PPTP:
Le protocole PPTP pour Point-to-Point Tunneling Protocol est un protocole de niveau 2 du modèle OSI (Niveau Trame) qui a été développé par Microsoft, 3Com, Ascend, US Robotics et ECI Telematics. Le principe de ce protocole est de créer des trames sous le protocole PPP (Point To Point, protocole permettant une communication standard entre différentes machines reliées à un modem) et de les encapsuler dans un datagramme IP. Plus clairement, ce mode de connexion permet aux machines distantes des deux réseaux d'être connectées par une connexion point à point comprenant un système de chiffrement, d'authentification. Par ce type de connexion, les données du réseau local ainsi que les adresses des machines sont encapsulées dans un message PPP qui est lui-même encapsulé dans un message IP.
Le protocole L2TP:
Le protocole L2TP pour Layer Two Tunneling Protocol est le fruit des travaux de l'IETF (Internet Engineering Task Force ) qui visaient à rassembler les fonctionnalités du protocole PPTP et du protocole L2F, protocole quasiment obsolète. Tout naturellement, il s'agit d'un protocole de niveau 2 s'appuyat sur le protocole PPP à la seule différence que le protocole L2TP encapsule des trames protocoles PPP qui encapsulent d'autres protocoles comme IP, IPX ou NetBIOS.
Le protocole IPSec:
Le protocole IPSec est un protocole lui aussi défini par l'IETF qui permet de sécuriser les échanges au niveau de la couche réseau, il s'agit donc d'un protocole niveau 3 du modèle OSI (Niveau Paquet). Ce protocole a été développé par l'IETF afin d'apporter des améliorations au niveau de la sécurité au protocole IP pour améliorer la confidentialité, l'intégrité et l'authentification des échanges.
Ce protocole se base sur trois modules distincts:
- Le module AH pour IP Authentification Header qui s'occupe de l'intégrité, de l'authentification et de la protection contre le rejeu des paquets à encapsuler.
- Le module ESP pour Encapsulating Security Payload qui définit le chiffrement des paquets. Le protocole ESP fournit en même temps la confidentialité, l'intégrit, l'authentification et la protection contre le rejeu.
- Le module SA pour Security Assocation qui définit l'échange des clés et des paramètres de sécurité. Les modules SA rassemblent la totalité des informations sur le traitement à appliquer aux paquets IP.
Le protocole SSL ou TLS:
Le protocole SSL pour Secure Sockets Layer est un protocole de sécurisation des échanges sur Internet développé par Netscape. Il est maintenant appelé protocole TLS pour Transport Layer Securitydepuis le rachat du brevet du protocole SSL par l'IETF en 2OO1. Le protocole TLS fonctionne sur un modèle client-serveur et fournit les objectifs de sécurités suivants: l'authentification du serveur, la confidentialité des données échangées, l'intégrité des données échangées, l'authentification ou l'authentification forte du client par le biais d'un certificat numérique.
La partie sur les protocoles d'encapsulation est maintenant terminée. L'encapsulation est donc à la base de tout réseau privé virtuel et bien comprendre son fonctionnement est essentiel pour apprendre à s'en servir.
Les limites du VPN
Un réseau privé jusqu'à quel point?
La connexion entre deux machines, deux réseaux est privée grâce au chiffrement des données. Il faut retenir que tout chiffrement est limité par la qualité du protocole employé, de l'implémentation de ce dernier, de la taille de la clé et d'autres nombreux paramètres. Mais ce qu'il ne faut pas oublié, c'est que toute communication chiffrée peut être déchiffrée , même sans être en possession de la clé chiffrement, à partir du moment que l'on dispose de la puissance nécessaire ou de temps (ou les deux). Dans le cadre d'une connexion point à point, il est possible à chaque point du réseau physique d'intercepter et de déchiffrer les données. La seule solution à ce problème de sécurité est de ne pas passser par un lien physique public comme Internet et de privilégier un lien physique direct entre deux machines comme dans cet exemple:
Les logiciels VPN :
Les VPN vendus sous la forme d'un logiciel sont loin d'être de vrais réseaux virtuels privés car le seul lien privé que nous pouvons trouver dans ces solutions est un lien entre la machine de l'utilisateur et le serveur du fournisseur. Dans le cas d'un logiciel VPN, les serveurs des VPN ne font que retransmettre les demandes aux serveurs que l'on souhaite visiter. Ces solutions n'ont donc pas grand intérêt à part d'anonymiser un peu l'utilisateur alors que les solutions de type proxy offrent davantage d'anonymat pour des conditions de réalisations moindres.
Articles
