VPN
Caractéristiques fondamentales d’un Vpn
Un système de Vpn doit pouvoir mettre en œuvre les fonctionnalités suivantes :
- Authentification d’utilisateur. Seuls les utilisateurs autorisés doivent pouvoir s’identifier sur le réseau virtuel. De plus, un historique des connexions et des actions effectuées sur le réseau doit être conservé.
- Gestion d’adresses. Chaque client sur le réseau doit avoir une adresse privée. Cette adresse privée doit rester confidentielle. Un nouveau client doit pourvoir se connecter facilement au réseau et recevoir une adresse.
- Cryptage des données. Lors de leurs transports sur le réseau public les données doivent être protégées par un cryptage efficace.
- Gestion de clés. Les clés de cryptage pour le client et le serveur doivent pouvoir être générées et régénérées.
- Prise en charge multiprotocole. La solution Vpn doit supporter les protocoles les plus utilisés sur les réseaux publics en particulier Ip.
Pour mettre en place un client VPN de PfSense : http://general.sio57.info/wp/?p=708
Pour installer le serveur VPN sur IpFire : http://general.sio57.info/wp/?p=802
3 types standard d’utilisation des Vpn
L’un des sites est configuré comme client et l’autre site comme serveur.
Le VPN peut utiliser un système de clés partagées si il y a peu de liens VPN site-à-site à monter. Au delà de 5 à 6 liens VPN site-à-site, il peut être judicieux d’utiliser la gestion de certificat (SSL/TLS – PKI) par simplicité d’administration.
Liens vers les fournisseurs, la gestion des accès devra être très précises.
Dans les Intranet et Extranet VPN, il faut garantir la confidentialité, l’authentification et l’intégrité des données.
Protocoles de transport
Nous pouvons classer les protocoles en trois catégories:
- Les protocoles de niveau 2 comme Pptp et L2tp.
- Les protocoles de niveau 3 comme Ipsec ou Mpls
- SSL / TLS (niveau 5/6)
Chiffrement
VPN SSL/TLS
Les Vpn Ssl présentent en effet le gros avantage de ne pas nécessiter du coté client plus qu’un navigateur Internet classique. En effet le protocole Ssl est implémenté en standard dans les navigateurs modernes.
Ssl est un protocole utilisé par une application pour établir un canal de communication sécurisé avec une autre application : http -s, ftp -s
Ssl a deux grandes fonctionnalités :
- l’authentification du serveur et du client à l’établissement de la connexion
- et le chiffrement des données durant la connexion.
Le protocole Ipsec
Ipsec est un protocole qui vise à sécuriser l’échange de données au niveau de la couche réseau et non au niveau des applications.
Il est principalement utilisé entre deux passerelles de sécurité (routeur, firewall, …), dont dans les modes sites à sites.
‘IPsec et OpenVPN peuvent tous les deux être actifs et en service en parallèle sur un même serveur pfSense. La seule contrainte étant, évidemment, de ne pas utiliser les mêmes sous-réseaux sur vos lien OpenVPN et IPsec.
Direct Access -Microsoft
- « substitut au VPN » de Microsoft, c’est un moyen d’établir une connexion sécurisée entre le client et le réseau d’entreprise sans affecter les performances.
- Sous Windows server 2008 : tunnel en Ipv6 alors que sous 2012 : Ipv4…
Protocoles transportés
L’utilisation du protocole TCP n’est pas adaptée à un environnement VPN, car en cas de pertes de paquets ceux-ci devront être retransmis. Ce qui n’est pas forcément souhaité. La conséquence serait un ralentissement du lien VPN à cause d’une forte ré-émission de paquets.
TCP est en revanche particulièrement intéressant si vous devez passer au travers d’une connexion particulièrement restrictive. Dans ce cas, l’utilisation du port 443 (correspondant au port HTTPS) est particulièrement judicieux (il est rare que le port 443 soit bloqué en sortie d’un réseau vers Internet).
Une réflexion au sujet de « VPN »