Présentation
RÉSUMÉ
Cet article présente succinctement les principales topologies et technologies utilisées pour mettre en place des VPN (Virtual Private Network) ou RPV (Réseau Privé Virtuel).
Après avoir abordé les fonctions d’un VPN, l’article décrit les deux possibilités d’exploitation (par l’entreprise ou un opérateur) des VPN, puis les topologies classiques : maillage total, étoile, Hub and Spoke, hybride.
L’impact d’un VPN d’entreprise est également envisagé avant de décrire brièvement les principaux protocoles : IPsec, SSL, GRE, MPLS, ainsi que les services privés de VPN fournis par des sociétés commerciales.
Lire cet article issu d'une ressource documentaire complète, actualisée et validée par des comités scientifiques.
Lire l’articleAuteur(s)
-
Jean-Paul ARCHIER : Formateur et Consultant Réseau - JPACONSEIL
INTRODUCTION
Il est très fréquent que les échanges entre différents sites d’une même entreprise, entre entreprises, ou bien encore entre des télétravailleurs et leur entreprise se fassent au travers du réseau Internet. Il est alors impératif que l’utilisation de ce réseau, sur lequel les communications sont potentiellement accessibles par des tiers, ne compromette pas la sécurité de ces échanges. Il y a notamment un risque de capture des données échangées, mais aussi d’altération de ces dernières. Pour pallier ces risques, le moyen le plus classique est l’utilisation de VPN (Virtual Private Network) ou RPV (Réseau Privé Virtuel) entre les interlocuteurs.
Un VPN permet également de contourner les contraintes et filtrages qui peuvent être imposés dans certains pays pour limiter l’accès à l’information des résidents ou la capacité de ces derniers à transmettre des messages ou des documents au reste du monde.
Un VPN peut donc être bâti entre des réseaux complets, entre un ordinateur et un réseau distant, ou bien encore entre deux ordinateurs, en se basant sur des techniques et protocoles très variés. Le choix de ces derniers se fera selon les objectifs à atteindre, les contraintes techniques ou réglementaires, mais aussi selon les compétences nécessaires à leur mise en œuvre ou à leur maintenance. La gestion de ces VPN peut être totalement assumée par l’entreprise ou bien confiée à un opérateur.
Dans le premier cas, cela nécessite des compétences en interne ou le recours à des prestataires. Le coût peut donc varier sensiblement. Dans le cas de VPN délégués à un opérateur, le budget évidemment beaucoup plus élevé et la durée d’engagement généralement associée à ces contrats font qu’il est nécessaire de mener une réflexion approfondie avant un déploiement de cet ordre.
Pour ce qui est de l’usage à titre particulier, le choix se fera surtout selon le budget nécessaire si l’on recourt à un abonnement auprès d’un tiers, ainsi que sur les possibilités offertes par le VPN proposé, notamment les capacités à contourner les filtrages ou à se délocaliser virtuellement en utilisant des serveurs situés dans un pays différent du pays de résidence. La diversité des protocoles proposés, ainsi que le nombre et la localisation des serveurs VPN, seront également des critères importants pour choisir entre les différents prestataires disponibles. Il est également possible pour un particulier de bâtir un VPN avec son domicile lorsqu’il est à l’extérieur, s’il dispose des compétences et de l’infrastructure.
Cet article est réservé aux abonnés.
Il vous reste 95 % à découvrir.
Déjà abonné ? Se connecter
MOTS-CLÉS
pare-feu MPLS VPN Maillage chiffrement réseau privé virtuel IPsec
VERSIONS
- Version archivée 1 de oct. 2004 par Mohammed ACHEMLAL, Michel DUDET
DOI (Digital Object Identifier)
Présentation
Topologie des VPNArticle inclus dans l'offre
"Sécurité des systèmes d'information"
(83 articles)
Actualisée et enrichie d’articles validés par nos comités scientifiques.
Quiz, médias, tableaux, formules, vidéos, etc.
Opérationnels et didactiques, pour garantir l'acquisition des compétences transverses.
Un ensemble de services exclusifs en complément des ressources.
1. Fonctionnalités et objectifs
Un VPN (Virtual Private Network) ou RPV (Réseau Privé Virtuel) est un tunnel sécurisé établi entre deux extrémités dont les fonctionnalités et finalités multiples sont décrites ci-après.
Un VPN digne de ce nom doit disposer de fonctionnalités minimales pour pouvoir atteindre les objectifs qui lui sont fixés.
1.1 Fonctionnalités
Un VPN doit avoir la capacité d’assurer la totalité des fonctions suivantes.
HAUT DE PAGE1.1.1 Transport d’adresses IP privées sur réseau public
La fonction première du VPN est d’établir un tunnel entre deux entités. En l’occurrence il s’agit ici d’encapsuler des paquets circulant entre des réseaux dotés d’adresses IP privées (type RFC 1918, donc non routables sur Internet) dans des paquets dont les champs adresses source et destination sont des adresses IP publiques, routables sur Internet.
Ainsi, dans l’exemple de la figure 1, si les équipements du réseau local du site A (avec des adresses sur le subnet 192.168.75.0/24) veulent communiquer avec ceux du site B (en 192.168.89.0/24), ils ne peuvent le faire directement car leurs adresses ne peuvent et ne doivent pas être routées sur Internet. Une solution classique est donc d’encapsuler leurs paquets IP dans un VPN bâti entre les adresses IP publiques 203.0.113.75 et 198.58.100.89 de leurs pare-feux respectifs.
La figure 1 illustre un exemple dans lequel chaque site possède un seul réseau local mais il est assez courant de devoir interconnecter deux sites dotés de plusieurs réseaux locaux au travers du même VPN. Ainsi, dans la figure 2, le site B possède un réseau interne et un réseau DMZ (DeMilitarized Zone, par exemple pour héberger des serveurs web accessibles depuis Internet) et le site A a besoin que les équipements de son réseau interne puissent accéder à l’ensemble des réseaux de B. Il faudra donc configurer le VPN de manière que tous les réseaux soient interconnectés au travers de ce VPN. Cela passe généralement par l’inclusion dans le VPN de deux routes vers 192.168.89.0/24 et 172.16.89.0/24 du côté A et de la seule route vers 192.168.75.0/24...
Cet article est réservé aux abonnés.
Il vous reste 93 % à découvrir.
Déjà abonné ? Se connecter
Fonctionnalités et objectifs
Article inclus dans l'offre
"Sécurité des systèmes d'information"
(83 articles)
Actualisée et enrichie d’articles validés par nos comités scientifiques.
Quiz, médias, tableaux, formules, vidéos, etc.
Opérationnels et didactiques, pour garantir l'acquisition des compétences transverses.
Un ensemble de services exclusifs en complément des ressources.
BIBLIOGRAPHIE
-
(1) - DONENFELD (J.A.) - Wireguard : Next Generation Kernel Network Tunnel - (2020). PDF disponible en ligne https://www.wireguard. com/papers/wireguard.pdf
-
(2) - BERTLETT (G.), INAMDAR (A.) - IKEv2 IPsec Virtual Private Networks: Understanding and Deploying IKEv2, IPsec VPNs, and FlexVPN in Cisco IOS. - Cisco Press (2016).
-
(3) - ARCHIER (J.-P.) - LES VPN Fonctionnement, mise en œuvre et maintenance. - Éditions ENI (2013).
-
(4) - DE GHEIN (L.) - MPLS Fundamentals. - Cisco Press (2016).
-
(5) - OPPLIGER (R.) - SSL and TLS : Theory and Practice. - 3e edition. Artech House (2023).
-
(6) - National Institute of Standards and Technology - SHA-3 Standard : Permutation-Based Hash and Extendable-Output Functions. - PDF...
DANS NOS BASES DOCUMENTAIRES
ANNEXES
RFC 1191 – MOGUL J., DOERING S. Path MTU Discovery – Novembre 1996
RFC 1321 – RIVEST R. – The MD5 Message-Digest Algorithm – Avril 1992
RFC 1701 – HANKS S., LI T., FARINACCI D., TRAINA P. Generic Routing Encapsulation (GRE) – Octobre 1994
RFC 1702 – HANKS S., LI T., FARINACCI D., TRAINA P. Generic Routing Encapsulation over IPv4 networks – Octobre 1994
RFC 2784 – FARINACCI D., HANKS S., MEYER D., TRAINA P. Generic Routing Encapsulation (GRE) – Mars 2000
RFC 2890 – DOMMETY G. Key and Sequence Number Extension to GRE – Septembre 2000
RFC 3031 – ROSEN E., VISWANATHAN A., CALLON R. – Multiprotocol Label Switching Architecture – Janvier 2001
RFC 3931 – LAU j., TOWNSLEY E., GOYRET E. Layer Two Tunneling Protocol version 3 – Mars 2005
RFC 3948 – HUTTUNEN A., SWANDER V., VOLPE V., DIBURRO L., STENBERG M. UDP Encapsulation of IPsec ESP Packets – Janvier 2005
RFC 4301 – KENT S., SEO K. – Security Architecture for the Internet Protocol (IPSEC) – Décembre 2005
RFC 4302 – KENT S. – IP Authentication Header (AH) – Décembre 2005
RFC 4821 – MATHIS M., HEFFNER J. Packetization Layer Path MTU Discovery – Mars 2007
RFC 5462 – ANDERSSON L., ASATI R. – Multiprotocol Label Switching (MPLS) Label Stack Entry: “EXP” Field Renamed to “Traffic Class” Field – Février 2009
RFC 6071 FRANKEL S., KRISHNAN A. IPsec and IKE Documentation Roadmap – Fevrier 2011
RFC 6178 SMITH D., MULLOOLY J., JAEGER W., SCHOLL T. Label Edge Router
Forwarding of IPv4 Packets – Mars 2011
RFC 6234 EASTLAKE D., HANSEN T., US Secure Hash Algorithms (SHA and SHA-based HMAC and HKDF) – Mai 2011
RFC 7296 – KAUFMAN C., HOFFMAN P., NIR Y., ERONEN P. KIVINEN T. – Internet Key Exchange Protocol version 2 IKEv2 – Octobre 2014
RFC 7568 – BARNES R., THOMSON H., PIRONTI A., LANGLEY A....
Cet article est réservé aux abonnés.
Il vous reste 92 % à découvrir.
Déjà abonné ? Se connecter
Article inclus dans l'offre
"Sécurité des systèmes d'information"
(83 articles)
Actualisée et enrichie d’articles validés par nos comités scientifiques.
Quiz, médias, tableaux, formules, vidéos, etc.
Opérationnels et didactiques, pour garantir l'acquisition des compétences transverses.
Un ensemble de services exclusifs en complément des ressources.
