Présentation
RÉSUMÉ
Les VPN SSL sont un type très particulier de réseau privé virtuel (VPN), ils permettent d’accéder à distance aux ressources d’un intranet (le réseau privé d’une entité) depuis un autre intranet (interconnexion de sites), ou depuis un équipement isolé (nomadisme). Les différents mécanismes d’accès aux ressources d’un réseau privé (intranet) sont décrits. L’article s‘attarde sur le nomadisme, ce dernier usage est le plus fréquent, mais aussi le plus complexe des VPN SSL, en détaillant l’architecture de la passerelle SSL pour les nomades, son authentification, les applications clientless et non clientless et les fonctions avancées qui apportent une valeur ajoutée aux VPN SSL.
Lire cet article issu d'une ressource documentaire complète, actualisée et validée par des comités scientifiques.
Lire l’articleAuteur(s)
-
Wilfrid RABOT : Ingénieur R&D - France Télécom Division R&D
INTRODUCTION
Différentes technologies permettent de construire des VPN SSL. En effet, les VPN SSL constituent un type très particulier de réseau privé virtuel (VPN) car, contrairement à IPsecProtocole IPsec, ils utilisent un protocole destiné à transporter des données applicatives (SSL) pour construire un VPN.Après une définition de leurs principes fondamentaux, les VPN SSL sont présentés dans le contexte de l’interconnexion de sites et celui de l’accès pour les nomades. Le nomadisme étant le cas d’usage le plus courant mais aussi le plus complexe, les différents mécanismes d’accès aux ressources d’un réseau privé (intranet) sont décrits en détail. La conclusion synthétise les avantages et inconvénients des VPN SSL et des VPN IPsec.
Cet article est réservé aux abonnés.
Il vous reste 94 % à découvrir.
Déjà abonné ? Se connecter
DOI (Digital Object Identifier)
Présentation
NomadismeArticle inclus dans l'offre
"Sécurité des systèmes d'information"
(80 articles)
Actualisée et enrichie d’articles validés par nos comités scientifiques.
Quiz, médias, tableaux, formules, vidéos, etc.
Opérationnels et didactiques, pour garantir l'acquisition des compétences transverses.
Un ensemble de services exclusifs en complément des ressources.
3. Interconnexion de sites
Pour l’interconnexion de sites en VPN SSL, les paquets IP doivent être encapsulés dans un protocole compatible avec TCP. Il n’existe pas de standard, mais une solution existe dans le domaine public : STunnel [4] permet d’encapsuler un flux PPP (et donc IP) dans une connexion SSL.
L’interconnexion de sites peut être réalisée selon deux architectures principales : les VPN qui sont complètement interconnectés (full mesh) et ceux qui sont interconnectés en étoile (star mesh).
Dans le premier cas (figure 2), toutes les passerelles sont interconnectées. Pour chaque tunnel, il est nécessaire de définir un serveur et d’ouvrir le port 443 en entrée sur le pare-feu vers la passerelle SSL. Cette architecture présente l’avantage d’optimiser le trajet des flux mais nécessite des modifications sur quasiment tous les pare-feu.
Dans le second cas (figure 3), toutes les passerelles sont connectées sur un site central (A). Cette architecture présente donc l’avantage de n’imposer de modification que sur le pare-feu du site central mais elle fait passer tous les flux via celui-ci (les flux entre B et C passent par A et sont en clair sur la passerelle A). Cette configuration en étoile impose de disposer d’une passerelle A correctement dimensionnée afin d’accepter l’ensemble des flux des autres sites sans aucun impact sur les performances.
Dans tous les cas, l’authentification côté client peut être réalisée :
-
par la couche SSL à l’aide d’un certificat ;
-
par le protocole d’encapsulation au-dessus dans la couche SSL (par exemple, si SSL transporte du PPP, on peut utiliser son mécanisme d’authentification). Il est important que le mécanisme d’authentification utilisé ne soit pas sensible à la compromission d’une connexion SSL. En effet, un tiers qui réussirait à déchiffrer une connexion ne doit pas pouvoir récupérer des informations qui lui permettraient d’établir sa propre connexion vers la passerelle.
Pour les autorisations, chaque passerelle doit contenir une fonction de type pare-feu qui filtre les échanges avec les sites distants.
Cet article est réservé aux abonnés.
Il vous reste 95 % à découvrir.
Déjà abonné ? Se connecter
Interconnexion de sites
Article inclus dans l'offre
"Sécurité des systèmes d'information"
(80 articles)
Actualisée et enrichie d’articles validés par nos comités scientifiques.
Quiz, médias, tableaux, formules, vidéos, etc.
Opérationnels et didactiques, pour garantir l'acquisition des compétences transverses.
Un ensemble de services exclusifs en complément des ressources.
BIBLIOGRAPHIE
-
(1) - DIERKS (T.), RESCORLA (E.) - The TLS Protocol Version 1.1. - draft-ietf-tls-rfc2246-bis-13 (work in progress), IETF (juin 2005).
-
(2) - DIERKS (T.), ALLEN (C.) - The TLS Protocol. - Version 1.0. RFC 2246, IETF (janv. 1999).
-
(3) - KHARE (R.), LAWRENCE (S.) - Upgrading to TLS Within HTTP/1.1. - RFC 2817, IETF (mai 2000).
-
(4) - * - STunnel : http://www.stunnel.org
-
(5) - RESCORLA (E.), MODADUGU (N.) - Datagram Transport Layer Security. - draft-rescorla-dtls-05 (work in progress), IETF (juin 2004).
-
(6) - LAURENT-MAKNAVICIUS (M.) - Protocole IPsec. - Protocole IPsec, Sécurité des systèmes d’information (2003).
-
...
Cet article est réservé aux abonnés.
Il vous reste 94 % à découvrir.
Déjà abonné ? Se connecter
Article inclus dans l'offre
"Sécurité des systèmes d'information"
(80 articles)
Actualisée et enrichie d’articles validés par nos comités scientifiques.
Quiz, médias, tableaux, formules, vidéos, etc.
Opérationnels et didactiques, pour garantir l'acquisition des compétences transverses.
Un ensemble de services exclusifs en complément des ressources.
