VPN et Solutions pour l entreprise C. Pham Université de Pau et des Pays de l Adour Département Informatique http://www.univ-pau.fr/~cpham Congduc.Pham@univ-pau.fr Ces transparents sont basés sur une présentation compilés par David Lassalle et Khaled Bouadi, étudiants en DESS IIR de Lyon en 2001-2002 1
Définition Qu est ce qu un VPN? Network : Un VPN permet d interconnecter des sites distants => Réseau Private : Un VPN est réservé à un groupe d usagers déterminés par authentification. Les données sont échangés de manière masquée au yeux des autres par cryptage => Privé Virtual : Un VPN repose essentiellement sur des lignes partagés et non dédiées. Il n est pas réellement déterminé.il est construit par dessus un réseau public essentiellement. Il s agit d un réseau privé construit par dessus un réseau public (Internet).
Accès distant d un hôte au LAN distant via internet (Host to LAN) Public Switched Telephone Network (PSTN) Internet Service Provider Gatewa y Tunnel Gateway Internet (NAS) Worker Machine Home Network
Accès distant d un hôte au LAN distant via internet (Host to LAN) (2) Public Switched Telephone Network (PSTN) Internet Service Provider Gateway Tunnel Gateway (NAC) Internet (NAS) Home Network Remote worker connects to Home Network through ISP created tunnel Allows wholesale dial-up
Interconnexion de LANs Network 1 Gateway Tunnel Gateway (NAC) Internet (NAS) Network 2 Les réseaux distants 1 et 2 forment un réseau logique La communication est sécurisés au niveau le plus bas
Solutions traditionnelles et VPN La solution VPN est une alternative aux solutions traditionnelles Solutions traditionnelles Solution VPN
Avantages et Inconvenients Solutions traditionnelles Solution VPN Avantages de + en + de qualité de service QOS une GFA par contrat (sécurité par contrat) des débits en général assez élevés voir très élevés des délais d acheminements garantis Inconvénients coût beaucoup plus élevée que la solution VPN offre pas (ou peu) de protection du contenu Avantages une couverture géographique mondiale. le coût de fonctionnement le plus bas du marché(tarifs calculés sur la plus courte distance au point d accès opérateur). offre des garanties de sécurité (utilisation de tunnels). solution pour la gestion des postes nomades (grds nbs de points d accès). Inconvénients la qualité de service (et les délais d acheminement) n est pas garantie les performances ne sont pas toujours au rendez vous.
Enjeux des VPNs confidentialité de l information intégrité de l information authentification des postes protection du client VPN gestion de la qualité de service et des délais gestion des pannes Corporate Site Internet Partner #1 Partner #2
Authentification,confidentialité et intégrité Ces notions sont gérées dans la gestion des tunnels. Ces tunnels permettent d assurer ces notions par application (solution de niveau 7 : HTTPS) ou pour tous les types de flux (solutions de niveau 2/3 : PPTP,L2TP,IPSec). niveau 2 type PPTP, L2T niveau 3 type IPSec niveau 7 type HTTPS
Tolérance aux pannes VPN doit pouvoir se prémunir de pannes éventuelles de manière à fournir un temps de disponibilité maximum. éviter les attaques virales par la mise en place de firewalls (sur LANs et clients VPNs) possibilités d utiliser des ISP multiples.
Protection du client VPN Des clients VPN peuvent être hijacked et des pirates peuvent accéder en toute impunité au réseau privé. Solutions installer sur les clients VPN des firewalls personnels gérés de manière centralisée. l organisation doit chercher à fournir une solution de gestion centralisée de la sécurité de tous les clients VPNs Attacker Cable or xdsl Internet
Implémentation des tunnels processus en 3 phase : Encapsulation : la charge utile est mise dans un entête supplémentaire Transmission : acheminement des paquets par un réseau intermédiaire. Désencapsulation : récupération de la charge utile.
Les protocoles de tunneling PPTP : Point to Point Tunneling Protocol L2TP: Layer two Tunneling Protocol IPSec: IP Secure
PPTP description générale Protocole de niveau 2 Encapsule des trames PPP dans des datagrammes IP afin de les transférer sur un réseau IP Transfert sécurisée : cryptage des données PPP encapsulées mais aussi compression
Scénario d une connexion GRE: Internet Generic Routing Encapsulation L'entête GRE est utilisée pour encapsuler le paquet PPP dans le datagramme IP. Nécessite que les routeurs implémentent GRE
Example de tunneling PPTP SMB Packets IP Packets PPTP Client Computer PPP Encapsulator PPTP Interface SLIP Interface IP Packets SMB Packets PPTP Server Computer PPP Decapsulator PPTP Interface IP GRE Packets ISP Gateway SLIP Interface IP Packets
Exemple de tunneling PPTP (suite) TCP/IP Packet IP Header TCP Header Payload Data PPP Encapsulator PPP Header IP Header TCP Header Payload Data PPTP Interface IP GRE Header PPP Header IP Header TCP Header Payload Data SLIP Interface SLIP Header IP GRE Header PPP Header IP Header TCP Header Payload Data Modem
Client PPTP Ordinateur supportant PPTP Linux ou microsoft Client distant : accès d un ISP supportant les connexion PPP entrantes modem + dispositif VPN Client local (LAN) : En utilisant une connexion TCP/IP physique qui lui permet de se connecter directement au serveur PPTP. Dispositif VPN
PAP Password Authentication Protocol Mécanisme d authentification non crypté NAS demande le nom et mot de passe PAP les envoi en clair ( non codé). Pas de protection contre les usurpations d identité si le mot de passe est compromis
CHAP (Challenge Handshake Authentication Protocol) : Mécanisme d authentification crypté Algorithme de hachage MD5 à sens unique Pas de mot de passe circulant en clair
MS-CHAP (Microsoft Challenge Handshake Authentication Protocol): Mécanisme d authentification crypté Algorithme de hachage MD4 Similaire a CHAP (code de hachage en possession du serveur) Encryptage MPPE nécessite l authentification MS-CHAP
Layer 2 Tunneling Protocol (L2TP) Né de L2F (Cisco) et PPTP Encapsule PPP dans IP,X25, ATM Utilisation possible sur Internet ou des WAN
L2TP Protocol L2TP Access Concentrator LAC Control Session 1 (Call ID 1) Session 2 (Call ID 2) L2TP Network Server LNS Composants d un tunnel Canal de contrôle Sessions pour le transport de données Des tunnels multiples peuvent exister entre les pairs LAC-LNS pour supporter différents niveau de QoS.
Control Channel Functionality Setup, teardown tunnel Create, teardown payload calls within tunnel Keepalive mechanism to detect tunnel outages Characteristics Retransmissions Explicit ACKs Sliding window congestion control In order delivery
Sessions (Data Channels) Payload delivery service Encapsulated PPP packets sent in sessions PPP over {IP, UDP, ATM, etc} No fragmentation avoidance Optional window based congestion control Optional packet loss detection
Security Basic L2TP does not define security PPP encryption can be used IP Security encryption can be used L2TP extension to define security where IP Security is not available
IPSec IPsec protocole de niveau 3 Création de VPN sûr basé forcément sur IP Permet de sécurisé les applications mais également toute la couche IP Les rôles d IPSec Authentification :Absence d usurpation d identité; la personne avec qui on est censé dialoguer est bien la personne avec qui on dialogue Confidentialité : Personne n écoute la communication. Intégrité: Les données reçues n ont pas été modifiées pendant la transmission.
HTTPS solution de niveau 7 sécurité gérée cette fois par service, en fonction de l application authentification par serveur Radius ou autre
Solutions pour l entreprise choix de la solution VPN identification des types de flux WAN flux bas débits synchrones utilisées pour les applications transactionnelles, SAP émulation telnet ou 5250/3270 flux large bande asynchrone pour les applications FTP, HTTP, messagerie Flux synchrones nécessitent une bande passante minimale garantie avec un délai d acheminement le plus petit et le plus constant possible, c est le cas des applications temps réels ne peuvent être offert qu avec des réseaux de niveau 2 comme ATM ou Frame Relay Internet n est pas adapté pour le moment Flux asynchrones se produisent de manière imprévisible par rafales en occupant toute la bande passante disponible aucune contrainte de délai d acheminement n est nécessaire le volume d informations véhiculées de cette manière est toujours en forte croissance Ex : transferts de fichiers, messagerie, navigation
Choix de la solution VPN En fonction des volumes et des types des échanges attendus, on peut décider de la solution à adopter parmi toutes celles proposées. 3 alternatives: VPN INTERNET Faire cohabiter tous ces flux sur le même réseau : VPN INTERNET solution mise en place sur des réseaux de niveau 2 ou de niveau 3, la plus immédiate et la plus rencontrée utilisateurs jamais satisfaits : inadaptée aux flux synchrones A écarter Gérer la bande passante WAN : VPNs avec LAN/WAN Shaping solution technique la plus rapide à déployer après la précédente solution technique la plus adaptée et la plus performante flux synchrones et asynchrones cohabitent tjrs sur le même support mais la solution permet de les gérer plus correctement boitiers de LAN/WAN Shaping aux extrémités du réseau WAN opérateu
Choix de la solution VPN
Choix de la solution VPN VPN plus séparation des flux applicatifs entre différents réseaux Un réseau synchrone bas débit garanti ( debits < 64Kbits/s ) de niveau 2. Ex. : Frame Relay ou LS Un réseau asynchrone hauts débits ( débits > 128Kbits/s ) de niveau 3. Ex.: Internet
Quel VPN pour quelle entreprise? En fonction de la quantité et du type de flux inter sites, la solution varie : Sites Importants France => Télécoms avec WAN Shaping Sites importants Europe-Monde => VPN avec WAN Shaping Sites moyens Europe-Monde => VPN avec WAN Shaping Petits sites France-Europe-Monde => VPN Nomades France => Accès distants RAS/VPN Nomade Nomades Europe, Monde => VPN Nomade
Exemples concrets VPN IP internet Utilisation de tunnels IPSEC entre firewalls / nomades avec Checkpoint Firewall-1 / secureremote CISCO PIX VPN / Secure client WAN TELCO et IP Frame Relay / ATM / MPLS avec UUNET : Uusecure VPN France Telecom :Global Intranet=> Global One : Global IP VPN Belgacom : VPN Office Maiaah : intranet Communauté automobile (GALIA) : ENX