Les Réseaux Privés Virtuels (RPV/VPN) sont proposés par divers acteurs du marché des télécommunications pour fournir une connexion sécurisée au Système d'Information de l'entreprise, indépendamment du lieu géographique.
Les entreprises voient dans les RPV un moyen de réduire les coûts d'accès et d'échanges de données, tout en améliorant les performances et la sécurité.
Dans l'article intitulé "Accès distant" nous avons abordé la problématique des réseaux distants (WAN) pour interconnecter les différents réseaux locaux d'une entreprise multisites ou pour permettre à des collaborateurs nomades de se connecter sur l'Internet.
Nous avons vu de multiples solutions (RTC et son atout récent ADSL, RNIS, réseaux spécialisés X25, FR et ATM, Liaisons spécialisées, etc.). Toutes ces solutions vous permettent de construire un Réseau Privé Réel (même si les ressources que vous utilisez sont mutualisées comme c'est le cas sur un réseau X25 ou Frame Relay).
Ce concept de Réseau Privé Réel n'est ici que pour bien comprendre le concept de Réseau Privé Virtuel. Nous avons déjà vu avec X25, Frame Relay et la commutation de messages le concept de Circuit Virtuel. Sur le RTC/RNIS, vous êtes l'unique utilisateur de la ligne commutée vers votre correspondant.
Sur un réseau mutualisé comme ceux implantés par les opérateurs de services X25, Frame Relay et ATM, vous partagez la bande passante d'un gros tuyau avec d'autres utilisateurs. La solution est avantageuse car tout se passe comme si vous possédiez un circuit privé performant alors que vous ne payez que pour l'usage que vous en faîtes (en on pour les ressources que vous mobilisez).
Le Réseau Privé Virtuel (RPV, VPN en anglais -"Virtual Private Network"-) étend ce principe. Vous construisez un sous-ensemble dynamique (il varie en fonction de vos besoins) et privé (tout se passe comme si vous possédiez votre propre réseau) alors qu'il s'agit d'une construction virtuelle sur la base de ressources partagées. La mutualisation permet les meilleures performances au moindre coût.
Vous utiliserez un RPV pour :
Ceci étant posé, le réseau support sur lequel vous pouvez construire votre RPV peut être :
Dans le premier cas, vous n'aurez à payer qu'un abonnement à votre fournisseur d'accès mais il s'engagera uniquement sur ... l'accès.
La seconde solution est plus onéreuse, mais l'opérateur, maître de son réseau, peut s'engager sur les performances, la sécurité et la qualité de service.
Pour créer un RPV, au lieu d'une ligne dédiée, vous utilisez un réseau public, par exemple Internet, ou un réseau proposé par un opérateur comme support de la liaison de télécommunication entre les sites.
Une connexion RPV réclame un serveur RPV. Les postes qui se connectent sont des clients RPV. Un client RPV peut être un ordinateur individuel qui obtient une connexion RPV accès distant ou un routeur qui obtient une connexion RPV routeur à routeur.
Le RPV associe des algorithmes de cryptage à une technologie baptisée "tunneling" de manière à établir une connexion sécurisée entre deux sites.
Une fois les deux interlocuteurs identifiés, il faut créer un "tunnel", ce qui consiste à créer un chemin logique entre les deux points à relier au sein du réseau. Les paquets de données du protocole réseau utilisé par les deux extrémités sont "encapsulés" dans des paquets du protocole utilisé sur le réseau support.
Les services RPV sont bien sûr constitués autour du protocole IP, mais la simplicité de celui-ci a nécessité la définition de multiples protocoles complémentaires pour construire la totalité du service, en particulier pour ce qui touche la sécurité et la Qualité de Service.
Les protocoles PPTP, L2F et L2TP (fusion des deux précédents) sont des protocoles de bas niveau pour permettre l'accès des trames cryptées par le niveau intermédiaire du client ou du serveur au réseau.
IPSec agit au niveau intermédiaire, il définit de manière très précise les techniques de sécurité destinées à garantir la confidentialité, l'intégrité et l'authenticité des trames IP.
Les services IPSec s'appuient sur les modules Authentification Header pour garantir l'authenticité des trames IP, Encapsulation Security Payload pour la confidentialité des données en cryptant une trame source et Internet Key Exchange pour la gestion des protocoles de chiffrements retenus et le partage de la clef de chiffrement entre émetteur et destinataire.
Chiffrer, c'est transformer la teneur d'un message avec une clef pour que seul le destinataire qui possède la même clef puisse comprendre le sens du message. Le chiffrement est une des techniques de la cryptologie, science qui regroupe la cryptographie et la cryptanalyse. La cryptographie (du grec kruptos (caché) et graphein (écrire)) peut être assimilée à l' "étude des écritures secrètes" et consiste en l'art de dissimuler ses instructions à ses ennemis tout en étant capable de les transmettre à ses amis au moyen d'un texte chiffré. En face, chez l'adversaire, il s'agit de briser le code, de trouver le système qui préside à son élaboration : c'est la cryptanalyse. C'est ainsi que l'ami déchiffre alors que l'ennemi tente de décrypter.
Le chiffrement est opéré avec un algorithme à clef publique ou avec un algorithme à clef privée. Les algorithmes à clef privée sont aussi appelés algorithmes symétriques. En effet, lorsque l'on chiffre une information à l'aide d'un algorithme symétrique avec une clef secrète, le destinataire utilisera la même clef secrète pour déchiffrer. Il est donc nécessaire que les deux interlocuteurs se soient mis d'accord sur une clef privée auparavant, par courrier, par téléphone ou lors d'un entretien privé.
La cryptographie à clef publique a été inventée par Whitfield Diffie et Martin Hetlman en 1976 pour éviter ce problème d'échange de clef secrète préalable. Les algorithmes à clef publique, appelés algorithmes asymétriques, utilisent la clef publique (connue de tous) du destinataire, qui sera à priori le seul à pouvoir le déchiffrer à l'aide de sa clef privée (connue de lui seul).
IPSec s'appuie souvent sur les modes de chiffrement DES (Data Encryption Standard) et 3DES. DES est un algorithme à clé privée créé à l'origine par IBM en 1977. 3DES utilise une suite de 3 clefs. D'autres modes de chiffrement sont possibles (CAST, Blowfish, RSA, …).
Authentifier, c'est fournir la preuve de son identité auprès de son interlocuteur. Dans le cas de chiffrement à clef privée, il est indispensable d'authentifier son interlocuteur avant de lui communiquer la clef privée. L'authentification peut s'opérer par le biais de certificats numériques.
Le protocole MPLS attribue à chaque trame IP une étiquette (Le L de MPLS signifie Label) qui lui attribue un niveau de prorité. On traitera ainsi de manière prioritaire une trame de streaming video ou de voix sur IP par rapport à une trame transactionnelle, elle-même prioritaire vis à vis d'une trame de transfert de fichiers. Cette étiquette permet d'introduire dans les réseaux IP une approche de gestion de la Qualité de Service (QoS) jusqu'ici réservée au protocole ATM.
Le RPV est moins coûteux à déployer que le WAN privé ; il ne requiert que des connexions locales et élimine du même coup le coût des appels interurbains et internationaux.
Une solution liaison point à point coûte 1 000 euros par site (routeur ADSL avec back up RNIS, Fast Etherrnet, Firewall et RVSCOM Lite ainsi que licence VPN IPSec).
Une liaison multipoints impliquera une dépense de 1 500 euros pour le serveur (passerelle IPSec à 5 tunnels LAN to LAN ou 20 clients mobiles, Firewall, accès Internet via ADSL/RNIS, Gestion QoS, routage avancé, administration SNMP) et 1 000 euros par site (idem ci-dessus).
En fonction des sites et des types de trafic, vous organiserez votre WAN autour d'un véritable réseau privé ou d'un RPV, ou même d'une combinaison des deux technologies.
Le Réseau Privé Virtuel (RPV) permet d'étendre le réseau de l'entreprise de manière sécurisée et à moindre coût. Les agences peuvent être facilement reliées au site central en utilisant une liaison ADSL. Les nomades peuvent, pour leur part, se connecter par modem à Internet.
La mise en place d'un RPV nécessite l'installation d'une passerelle hébergée sur le point d'entrée de la plate-forme des serveurs (sur un serveur, un routeur, un coupe-feu...). Cette passerelle assure la gestion des sessions de communication et leur chiffrement en répondant aux requêtes des clients du RPV : passerelles du même type ou logiciels clients hébergés par les portables des nomades. Afin d'assurer l'accès sécurisé au réseau, il faut ajouter à cette structure un serveur d'authentification (de type Radius, par exemple) voire un système de gestion de certificats.
Les petites structures ont tout aussi besoin de sécurité que les grandes, mais n'ont pas les ressources pour intégrer les composants des solutions aussi complexes que celles décrites ci-dessus. Elles sont demandeuses de solutions intégrées dès l'origine, peu coûteuses et simples à administrer. Certains fournisseurs proposent des boîtiers "tout en un" faisant office de RPV et de solution de sécurité type pare-feu (environ 300 €uros).
Outre les RPV, il existe d'autres technologies qui assurent la sécurité des échanges de données. Elles agissent en général au niveau des protocoles de niveau supérieur. Les protocoles SSH (Secure Shell), Socks et SSL/TLS (Secure Socket Layer/Transport Layer Security) sécurisent les échanges entre un navigateur et un serveur HTTP. Les logiciels de chiffrement de données (fichiers, e-mails) assurent, eux aussi, mais ponctuellement, la sécurité des données.
Le concept RPV tend à se développer et tous les acteurs du marché l'intègrent progressivement dans leur offre.
Les constructeurs d'équipements réseau installent des fonctions de RPV au sein de leurs matériels : de la simple passerelle RPV au routeur doté de fonctions RPV, en passant par le coupe-feu ou la carte réseau intégrant des fonctions de chiffrement IPSec.
Les éditeurs de logiciels se proposent d'installer les RPV directement sur les serveurs. Les nouvelles versions des grands systèmes d'exploitation réseau acceptent les protocoles IPSec et L2TP en natif. Des éditeurs spécialisés proposent des logiciels clients ou serveurs RPV.
Certains opérateurs télécoms ou fournisseurs d'accès Internet proposent des services de RPV. Les tunnels sont alors créés au niveau du point d'accès Internet, ce qui rend le mécanisme transparent pour les entreprises, tant du point de vue de l'achat de logiciels ou de matériels que de leur paramétrage et de leur maintenance.