| Réseaux VPN |
| VPN - VPN - VPN - VPN - VPN - VPN - VPN - VPN - VPN - VPN - VPN - VPN - VPN - VPN |
| Le concept de réseau
privé virtuel: |
| VPN - VPN - VPN - VPN - VPN - VPN - VPN - VPN - VPN - VPN - VPN - VPN - VPN - VPN |
| Sur Internet, les liaisons sont très
vulnérables car les données passent par des lignes susceptibles |
| d'être "écoutées". Néanmoins, dans le cas où
deux réseaux distants ne peuvent pas être reliés |
| par une ligne spécialisée, il est parfois
nécessaire d'utiliser Internet comme support de transmission. |
| On parle alorsde réseau
privé virtuel (VPN pour Virtual Private Network) lorsque les données
transitant |
| sur Internet sont sécurisées (c'est-à-dire
cryptées). Ce réseau est dit virtuel car il relie deux réseaux |
| "physiques" (LAN) par une liaison
Internet, et privé où seuls les ordinateurs des réseaux locaux |
| faisant partie du VPN peuvent
accéder aux données. |
|
| Fonctionnement d'un VPN |
| VPN - VPN - VPN - VPN - VPN - VPN - VPN - VPN - VPN - VPN - VPN - VPN - VPN - VPN |
| Un VPN
s’appuie sur les fonctionnalités de pour encapsuler
des données entre deux points. |
| Cette
encapsulation peut se faire sans cryptage des données (on ne parle pas alors
de VPN mais plutôt |
| de tunnel) ou bien via
des mécanismes de chiffrement et de cryptage. |
|
|
 |
|
| Il existe deux
topologies de connexion : |
| - entre sites |
| - d’un client à un site. |
| Lorsque la
connexion se fait entre deux sites, le tunnel est établi en général de
manière permanente |
| entre deux
équipements qui ont un rôle de passerelle. |
| VPN - VPN - VPN - VPN - VPN - VPN - VPN - VPN - VPN - VPN - VPN - VPN - VPN |
|
 |
|
| Ce mécanisme est complètement
transparent pour les clients, les équipements entre les deux sites |
| étant vu comme s’ils
étaient dans un même lieu physique (en fonction des règles de filtrage). |
| Lorsque la
connexion se fait entre un poste nomade et un site, c’est le poste nomade
qui fait la |
| demande et
établie le tunnel. |
|
|
 |
|
| Dans le cadre d'une connexion
depuis un client itinérant, lorsque la station émet une requête, |
| les données sont encapsulées
automatiquement à destination de
la passerelle |
| du site. Il est à noter
que cette encapsulation est transparente pour les applicatifs du postes client. |
| La mise en
place de ce tunnel se fait principalement au travers de deux protocoles :
L2TP et IPSec (on |
| peut aussi
utiliser PPTP mais, de par ses problèmes de sécurité, il est à éviter). |
|
| - L2TP (Layer 2
Tunneling Protocol) est un protocole issu de la normalisation de PPTP et
L2F, 2 |
| protocoles de
tunneling de niveau 2. Bien qu'il soit lui aussi -comme son nom l'indique-
un protocole |
| de niveau 2,
il est souvent utilisé sur UDP et IP pour transporter du PPP. |
| On obtient donc : |
|
|
 |
|
| - Autres modes
qu’il faut signaler, de plus haut niveaux, sont les tunnelings de niveau 3
(réseau) tel que |
| le protocole
IPSec. |
| Utilisé en
mode tunneling, ce protocole encapsule des paquets IP complets et les
protège jusqu'à |
| leur destination,
où les paquets IP sont "désencapsulés" et restitués. |
|
|
 |
|
|
|
> Revenir en haut |
|
| En bref… |
|
| Divers
matériels et logiciels VPN sont disponibles pour réaliser un VPN. Cisco, par
exemple, |
| offrent des routeurs,
des firewall ou des équipements dédiés. |
| Nos ingénieurs pourront vous
conseiller sur la solution la plus adaptée à votre problèmatique. |
| Cette
fonctionnalité de connexion sécurisée peut également être installée par
l’intermédiaire d’un |
| logiciel
établissant le tunnel directement sur le terminal (par exemple sur le PC
portable d'un employé |
| du service
après-vente ou d'un employé travaillant à domicile). Sur le serveur de
communication du |
| site central
des règles doivent également être validées afin d’établir le tunnel
sécurisé, ce dernier |
| pouvant
s’appuyer sur des lignes analogiques, RNIS, louées, ADSL ou sans fil. |
|
|
Mais
attention, malgré tous les efforts consentis à une normalisation, les
fonctionnalités |
|
d’établissement du tunnel ne sont pas toujours compatibles. C'est pourquoi,
avant d'opérer son choix, il |
| est important
de choisir si l’on veut opter pour une politique mono constructeur ou
utiliser des |
| matériels
compatibles. Qui plus est, on peut encore augmenter la sécurité en ajoutant
des solutions de |
| chiffrement
sur les postes clients permettant ainsi de parfaire le système d’accès
distant. Nos |
| approches
partenaires nous permettent de vous offrir ce niveau de qualification. |
|
|
|
> Revenir en haut |
| Architecture de
firewall et serveurs d’authentification |
|
| Reste à
décrire les différentes architectures de sécurité firewall pouvant inclure
une authentification |
| sur des bases
telles que Radius, Kerberos ou SecurID. Ces dernières architectures
permettent une |
| sécurité
supplémentaire via la mise en place de règles plus précises notamment au
niveau de ce que |
| peuvent faire ou ne pas
faire les utilisateurs. |
| Elles peuvent
également simplifier l’administration d’une solution via un serveur unique
authentifiant |
| aussi bien les
utilisateurs d’un domaine que ceux d’un VPN. |
|
|
|
|
|
|
|
> Revenir en haut |
