Les Réseaux Privés Virtuels (VPN)

  • Article
Sur cette page

Les Réseaux privés virtuels Les Réseaux privés virtuels
Aperçu des réseaux virtuels privés Aperçu des réseaux virtuels privés
Eléments d'une connexion VPN Eléments d'une connexion VPN
Les connexions VPN Les connexions VPN
Gérer un réseau privé virtuel Gérer un réseau privé virtuel
La gestion des utilisateurs La gestion des utilisateurs
La gestion des noms et adresses de serveur La gestion des noms et adresses de serveur
La gestion des accès La gestion des accès
La gestion de l'authentification La gestion de l'authentification
La gestion de compte La gestion de compte
La gestion réseau La gestion réseau

Les Réseaux privés virtuels

Microsoft® Windows NT 4.0 inclut le support de la technologie des réseaux privés virtuels (Virtual Private Networking, VPN) qui utilise la connectivité IP de l'Internet pour connecter des clients et des bureaux distants. En tant que professionnel des réseaux, vous devez comprendre l'importance des réseaux privés virtuels pour votre entreprise et les technologies qui les font fonctionner : Point-to-Point Tunneling Protocol (PPTP), les réseaux privés virtuels et la sécurité, Les réseaux privés virtuels et le routage et la traduction (translation), les réseaux privés virtuels et les firewalls et le dépannage des connexions des réseaux privés virtuels. Vous devez déjà connaître TCP/IP, le routage IP et le serveur d'accès distant Windows NT 4.0.

Aperçu des réseaux virtuels privés

Un réseau virtuel privé (VPN) est l'extension d'un réseau privé qui regroupe des liaisons au travers de réseaux partagés ou publics tels que l'Internet. Un VPN vous permet d'envoyer des données entre deux ordinateurs par l'intermédiaire d'un inter-réseau partagé ou public d'une manière qui émule les propriétés d'une liaison privée point à point. L'action de configurer et de créer un réseau privé virtuel est appelée la mise en réseau privé virtuel.

Pour émuler une liaison point à point, les données sont encapsulées ou " enveloppées " avec un en-tête qui fournit les informations de routage leur permettant de traverser l'inter-réseau partagé ou public pour atteindre leur point d'arrivée. Pour émuler une liaison privée, les données envoyées sont cryptées pour qu'elles conservent leur confidentialité. Les paquets qui sont interceptés sur le réseau partagé ou public sont indéchiffrables sans les clés de cryptage. La liaison dans laquelle les données privées sont encapsulées et cryptées est appelée une connexion de réseau privé virtuel (VPN).

La Figure 1 illustre le concept logique d'un VPN

****

Figure 1 : Réseau Privé Virtuel (VPN)

Les connexions VPN permettent aux utilisateurs nomades ou travaillant à domicile d'obtenir une connexion d'accès distant vers un serveur de l'organisation en utilisant l'infrastructure fournie par un inter-réseau public tel que l'Internet. Du point de vue de l'utilisateur, le VPN est une connexion point à point entre l'ordinateur, le client VPN, et un serveur de l'organisation, le serveur VPN. L'infrastructure exacte du réseau partagé ou public n'est pas importante car tout se passe comme si les données étaient envoyées sur une liaison privées dédiée.

Les connexions VPN permettent aussi aux organisations d'avoir des connexions routées avec des bureaux géographiquement séparés ou avec d'autres organisations par l'intermédiaire d'un inter-réseau public tel que l'Internet tout en gardant des communications sécurisées. Une connexion VPN routée par l'Internet opère logiquement comme une liaison WAN dédiée.

Avec à la fois une connexion d'accès distant et une connexion routée, les connexions VPN permettent à une organisation de remplacer ses connexions dial-up longue distance ou ses liaisons spécialisées contre des connexions dial-up locales ou des lignes spécialisées avec un ISP.

Eléments d'une connexion VPN

Une connexion VPN Windows NT 4.0 inclut les composants suivants (voir fig.2)

Serveur VPN
Un ordinateur qui accepte des connexions VPN de clients VPN. Un serveur VPN peut fournir une connexion VPN accès distant ou une connexion VPN routeur à routeur. Pour plus d'informations, voyez "les connexions VPN".

Client VPN
Un ordinateur qui initie une connexion VPN vers un serveur VPN. Un client VPN peut être un ordinateur individuel qui obtient une connexion VPN accès distant ou un routeur qui obtient une connexion VPN routeur à routeur. Les ordinateurs sous Microsoft® Windows NT® version 4.0, Microsoft® Windows® 98 peuvent créer des connexions VPN accès distant vers un serveur VPN sous Windows NT 4.0. Les ordinateurs sous Windows NT 4.0 faisant tourner le service de routage et d'accès distant (Routing and Remote Access Service, RRAS) peuvent créer des connexions VPN routeur à routeur vers un serveur VPN sous Windows NT 4.0 avec RRAS. Les clients VPN peuvent aussi être n'importe quel client PPTP non-Microsoft.

Tunnel
La portion de connexion dans laquelle vos données sont encapsulées.

La connexion VPN
La portion de connexion dans laquelle vos données sont cryptées. Pour des connexions VPN sécurisées, les données sont cryptées et encapsulées dans la même portion de la connexion.

Note : Il est possible de créer un tunnel et d'envoyer les données dans le tunnel sans cryptage. Ce n'est pas une connexion VPN car les données privées sont envoyées au travers d'un réseau partagé ou public sous une forme non cryptée et facilement lisible.

Protocoles de Tunneling
Utilisés pour gérer les tunnels et encapsuler les données privées. (Les données qui sont mises en tunnel doivent aussi être cryptées pour être une connexion VPN). Windows NT 4.0 inclut le protocole de tunneling PPTP. Pour des informations détaillées concernant ces protocoles, voyez "Point-to-Point Tunneling Protocol" ci-après.

Les données mises en tunnel (Tunneled data)
Données qui sont envoyées par une liaison privée point à point.

Inter-réseau de transit
L'inter-réseau partagé ou public traversé par les données encapsulées. Pour Windows NT 4.0, l'inter-réseau de transit est toujours un inter-réseau IP. L'inter-réseau de transit peut être l'Internet ou un Intranet privé sous IP.

****

Figure 2 : Composants d'une connexion VPN

Les connexions VPN

La création d'un VPN est très similaire à l'établissement d'une connexion point à point en utilisant les procédures d'accès réseau à distance et le routage par appel à la demande. Il existe deux types de connexions VPN : la connexion VPN accès distant et la connexion VPN routeur à routeur.

La connexion VPN accès distant
Une connexion VPN accès distant est réalisée par un client d'accès distant, un ordinateur à utilisateur unique, et se connecte à un réseau privé. Le serveur VPN fournit un accès aux ressources du serveur VPN ou à tout le réseau auquel le serveur VPN est rattaché. Les paquets envoyés à partir du client distant transitant par la connexion VPN proviennent originellement de l'ordinateur du client distant.

Le client d'accès distant (le client VPN) s'authentifie au serveur d'accès distant (le serveur VPN) et, réciproquement, le serveur s'authentifie auprès du client.

Connexion VPN routeur à routeur
Une connexion VPN routeur à routeur est effectuée par un routeur et connecte deux portions d'un réseau privé. Le serveur VPN fournit une connexion routée vers le réseau auquel le serveur VPN est rattaché. Dans une connexion VPN routeur à routeur, les paquets envoyés de l'un ou l'autre des routeurs transitant par la connexion VPN ne proviennent originellement pas des routeurs.

Le routeur appelant (le client VPN) s'authentifie au routeur répondant (le serveur VPN) et, réciproquement, le routeur répondant s'authentifie auprès du routeur appelant.

Les propriétés de VPN
Les connexions VPN utilisant PPTP ont les propriétés suivantes :

  • Encapsulation

  • Authentification

  • Cryptage des données

Encapsulation
La technologie VPN fournit un moyen d'encapsuler les données privées avec un en-tête qui leur permet de traverser l'inter-réseau de transit.

Authentification
Pour que la connexion VPN soit établie, le serveur VPN authentifie le client VPN qui tente de se connecter et vérifie que le client VPN a les permissions appropriées. Si l'authentification mutuelle est utilisée, le client VPN authentifie aussi le serveur VPN, fournissant une protection contre les faux serveurs VPN.

Cryptage des données
Pour assurer la confidentialité des données quand elles traversent l'inter-réseau de transit partagé ou public, elles sont cryptées par l'émetteur et décryptées par le récepteur. Pour les processus de cryptage et décryptage, l'émetteur et le récepteur doivent tous deux avoir connaissance de la clé de cryptage commune.

Les paquets envoyés sur la connexion VPN dans l'inter-réseau de transit qui seraient interceptés sont incompréhensibles pour qui n'a pas la clé de cryptage commune. La longueur de la clé de cryptage est un important paramètre de sécurité. Des techniques de calcul peuvent être utilisées pour déterminer la clé de cryptage. Plus la clé de cryptage est longue et plus de telles techniques requièrent de puissance et de temps de calcul. C'est pourquoi il est important d'utiliser la taille de clé la plus grande possible.

En plus, plus il y a d'informations cryptées avec la même clé, plus il est facile de déchiffrer les données cryptées. A l'aide de quelques technologies de cryptage, vous avez l'option de configurer le nombre de fois où la clé de cryptage sera changée lors d'une connexion.

Pour plus d'informations sur la manière dont les clés de cryptage sont gérées pour les technologies VPN dans Windows NT 4.0 voyez "La sécurité VPN" ci-après.

Allocation d'adresse et de nom de serveur
Lorsqu'un serveur VPN est configuré, il crée une interface virtuelle qui représente l'interface sur laquelle toutes les connexions VPN sont faites. Lorsqu'un client VPN établit une connexion VPN une interface virtuelle est créée sur le client VPN qui représente l'interface connectée au serveur VPN. L'interface virtuelle sur le client VPN est connectée à l'interface virtuelle sur le serveur VPN créant une connexion VPN point à point.

Des adresses IP doivent être assignées aux interfaces virtuelles du client VPN et du serveur VPN. L'assignation de ces adresses est réalisée par le serveur VPN. Par défaut, le serveur VPN obtient les adresses IP pour lui-même et les clients VPN en utilisant Dynamic Host Configuration Protocol (DHCP). Vous pouvez également configurer une série d'adresses IP statiques.

L'allocation de nom de serveur, les serveurs d'allocation de DNS et WINS (Windows Internet Name System, se passent également lors du processus d'établissement de la connexion VPN. Les clients VPN obtiennent les adresses IP des serveurs DNS et WINS du serveur VPN pour l'intranet auquel le serveur VPN est rattaché.

Connexions VPN basées Internet et basées intranet
Les connexions VPN peuvent être utilisées chaque fois qu'une connexion point à point sécurisée est nécessaire pour connecter des utilisateurs ou des réseaux. Des connexions VPN typiques sont basées Internet ou basées intranet.

Les connexions VPN basées Internet
En utilisant une connexion VPN basée Internet vous pouvez éviter des coûts d'appels téléphoniques longues distances tout en bénéficiant de la disponibilité globale de l'Internet.

Accès distant par l'Internet
Au lieu d'avoir un client distant faisant un appel longue distance vers un serveur d'accès réseau d'entreprise ou externalisé, le client peut appeler un ISP local. En utilisant la connexion physique établie vers l'ISP local, le client d'accès distant initie une connexion VPN transitant par l'Internet vers le serveur VPN de l'organisation. une fois que la connexion VPN est créée, le client d'accès distant peut accéder aux ressources de l'intranet privé.

La figure 3 illustre l'accès distant au travers de l'Internet.

****

Figure 3 : une connexion VPN connectant un client distant à un intranet privé

Connecter des réseaux par l'Internet
Lorsque des réseaux sont connectés par l'Internet (comme montré figure 4), un routeur transfère les paquets vers un autre routeur en passant par une connexion VPN. Pour les routeurs, le VPN opère comme une liaison de niveau liaison de données.

****

Figure 4 : Un VPN connectant 2 sites distants par l'Internet

Plutôt que d'utiliser une coûteuse liaison dédiée WAN longue distance entre différentes succursales, les routeurs sont connectés à l'Internet en utilisant des liaisons dédiées WAN vers un ISP local. Une connexion VPN routeur à routeur est alors initiée par l'un des routeurs par l'Internet. Une fois connectés, les routeurs peuvent transférer le trafic l'un vers l'autre en utilisant la connexion VPN.

Connecter des réseaux en utilisant des liaisons distantes WAN
Plutôt que d'avoir le routeur d'une des succursales faisant un appel longue distance vers un serveur d'accès réseau (Network Access Server, NAS) d'entreprise ou externalisé, le routeur appelle un ISP local. En utilisant la connexion établie vers l'ISP local, une connexion VPN routeur à routeur est initiée par le routeur de la succursale vers le routeur hub de l'entreprise par l'Internet. Le routeur hub de l'entreprise agissant comme un serveur VPN doit être connecté à un ISP local en utilisant une liaison WAN dédiée.

Pour plus d'informations sur la configuration des connexions VPN en utilisant une connexion à distance vers un ISP local, voyez "adressage et routage pour les VPN" ci-après.

Il est possible d'avoir les deux succursales connectées à l'Internet en utilisant une liaison distante WAN. Cependant, c'est seulement faisable si l'ISP supporte le routage par appel à la demande vers les clients. L'ISP appelle le routeur du client lorsqu'un datagramme IP doit être délivré. Le routage par appel à la demande vers les clients n'est pas très largement supporté par les ISP.

Connexions VPN basées Intranet

Les connexions VPN basées intranet tirent parti de la connectivité IP dans l'intranet de l'organisation

Accès distant par le biais d'un intranet
Dans les intranets de certaines organisations les données d'un département, tel que les ressources humaines, sont tellement sensibles que la portion de réseau de ce département est physiquement déconnectée du reste de l'intranet de l'organisation. Si cela protège les données du département, cela crée des problèmes d'accessibilité à l'information pour les utilisateurs qui ne sont pas physiquement connectés à la portion séparée.

Les connexions VPN permettent à la portion de réseau du département sensible d'être connectée physiquement à l'intranet de l'organisation mais séparée par un serveur VPN. Le serveur VPN ne fournit pas une connexion routée directe entre un intranet d'entreprise et la portion de réseau séparée. Des utilisateurs sur l'intranet d'entreprise avec les permissions adéquates peuvent établir une connexion VPN accès distant avec le serveur VPN et avoir accès aux ressources protégées du réseau du département sensible.

De plus toutes les communications traversant la connexion sont cryptées pour conserver la confidentialité des données. Pour les utilisateurs qui n'ont pas les permissions pour établir une connexion VPN, la portion de réseau séparée est cachée.

****

La figure 5 illustre un accès distant sur un intranet.

Figure 5 : connexion VPN permettant un accès distant vers un réseau sécurisé sur un intranet

Connecter des réseaux par un intranet
Vous pouvez également connecter deux réseaux par un intranet en utilisant une connexion VPN routeur à routeur. Ce type de connexion VPN peut être nécessaire, par exemple, pour que deux départements situés en deux lieux différents et dont les données sont hautement sensibles puissent communiquer entre eux. Par exemple, le département financier peut avoir besoin de communiquer avec le département des ressources humaines pour échanger des informations concernant les salaires.

Le département financier et le département des ressources humaines sont connectés à l'intranet commun par des ordinateurs qui peuvent agir comme des clients VPN ou des serveurs VPN. Une fois que la connexion VPN est établie, les utilisateurs sur les ordinateurs de l'un ou l'autre des réseaux peuvent échanger des données sensibles par le biais de l'intranet d'entreprise.

La figure 6 montre des réseaux connectés par un intranet.

****

Figure 6 : une connexion VPN connectant deux réseaux par un intranet.

Gérer un réseau privé virtuel

Les réseaux privés virtuels doivent être gérés comme n'importe quelle autre ressource réseau et les questions de sécurité VPN, en particulier lors de connexions VPN par Internet, doivent être examinées avec beaucoup d'attention. Vous devez vous poser les questions suivantes :

  • Où seront stockées les données de comptes utilisateurs ?

  • Comment sont attribuées les adresses aux clients VPN ?

  • Qui est autorisé à créer une connexion VPN ?

  • Comment le serveur VPN vérifie-t-il l'identité de l'utilisateur essayant de se connecter par VPN ?

  • Comment le serveur VPN enregistre-t-il l'activité VPN ?

  • Comment le serveur VPN peut-il être géré en utilisant les protocoles et infrastructures de gestion de réseau standards ?

La gestion des utilisateurs

Comme il est, du point de vue de l'administration, insupportable d'avoir des comptes utilisateurs séparés sur des serveurs séparés pour le même utilisateur et d'essayer de les garder tous à jour, la plupart des administrateurs mettent en place une base de données de comptes principale (master account database) sur le contrôleur de domaine primaire (Primary Domain Controller, PDC) ou sur un serveur RADIUS (Remote Authentication Dial-in User Service) Ceci permet au serveur VPN d'envoyer les informations d'authentification vers un outil d'authentification central. Le même compte utilisateur est utilisé pour la connexion d'accès distant et l'accès distant VPN.

La gestion des noms et adresses de serveur

Le serveur VPN doit avoir des adresses IP disponibles pour les allouer à l'interface virtuelle du serveur VPN et aux clients VPN lors de la phase de négociation du protocole de contrôle IP (IP Control Protocol, IPCP) du processus d'établissement de la connexion. L'adresse IP allouée au client VPN est assignée à l'interface virtuelle du client VPN.

Pour les serveurs VPN sous Windows NT 4.0, les adresses IP allouées aux clients VPN sont obtenues par défaut par le biais de DHCP. Vous pouvez également configurer une série d'adresses IP statiques.

Le serveur VPN doit aussi être configuré avec des adresses serveur DNS et WINS à allouer au client lors de la négociation IPCP.

La gestion des accès

La gestion des accès pour les connexions VPN accès distant pour Windows NT 4.0 est réalisée grâce à la configuration des propriétés de connexion à distance sur les comptes utilisateurs. Pour gérer les accès distants pour chaque utilisateur individuellement, activez le paramètre "Grant dialin permission to user" dans les propriétés dialin des comptes utilisateur qui ont l'autorisation de créer des connexions d'accès distant et modifiez les propriétés du service d'accès distant et du service de routage et d'accès distant avec les paramètres de connexion requis.

La gestion de l'authentification

Le service d'accès distant de Windows NT 4.0 utilise l'authentification Windows NT. Le service de routage et d'accès distant de Windows NT 4.0 (RRAS) peut être configuré pour utiliser soit Windows NT soit RADIUS comme fournisseur d'authentification.

L'authentification Windows NT 4.0

Si Windows NT 4.0 est sélectionné comme fournisseur d'authentification, alors les pièces justificatives d'identité de l'utilisateur (user credentials) envoyées par les utilisateurs tentant des connexions d'accès distant sont authentifiées en utilisant les mécanismes d'authentification normaux de Windows NT.

L'authentification RADIUS

Si RADIUS est sélectionné et configuré comme fournisseur d'authentification sur le serveur VPN, les pièces justificatives d'identité de l'utilisateur et les paramètres de la requête de connexion sont envoyés comme une série de messages de requêtes RADIUS vers un serveur RADIUS.

Le serveur RADIUS reçoit une requête de connexion utilisateur du serveur VPN et authentifie l'utilisateur en utilisant sa base de données d'authentification. Un serveur RADIUS peut aussi maintenir une base de données de stockage centrale contenant d'autres propriétés utilisateur intéressantes. En plus d'une réponse positive ou négative à une requête d'authentification, RADIUS peut informer le serveur VPN d'autres paramètres de connexion applicables pour cet utilisateur, tel que la durée de session maximum, l'assignation d'adresses IP fixes, etc.

RADIUS peut répondre à des requêtes d'authentification basées sur sa propre base de données ou il peut agir comme un front end pour un autre serveur de base de données tel qu'un serveur ODBC générique (Open Database Connectivity) ou un PDC Windows NT 4.0. Ce dernier peut être situé sur le même ordinateur que le serveur RADIUS, ou autre part. En plus, un serveur RADIUS peut agir comme un client proxy pour un serveur RADIUS distant.

Le protocole RADIUS est décrit dans RFC 2138 et RFC 2139.

La gestion de compte

Le service de routage et d'accès distant de Windows NT 4.0 (RRAS) peut être configuré pour utiliser RADIUS pour la gestions des comptes utilisateurs. Les messages de gestion de comptes de RADIUS sont envoyés au serveur RADIUS où ils sont stockés pour une analyse ultérieure.
La plupart des serveurs RADIUS peuvent être configurés pour mettre des enregistrements de requêtes d'authentification dans un fichier de comptes. Il y a aussi une série de messages (du serveur d'accès distant vers le serveur RADIUS) qui demandent des enregistrements de comptes au début de l'appel, à la fin de l'appel et à des intervalles de temps déterminés lors de l'appel. Il existe des packages de facturation et d'audit réalisés par des tierces parties qui permettent de produire des rapports très utiles.

La gestion réseau

L'ordinateur agissant en tant que serveur VPN peut participer dans un environnement SNMP (Simple Network Management Protocol) en tant qu'agent SNMP si le service SNMP Windows NT 4.0 est installé. Le serveur VPN enregistre les informations de gestion dans divers "objects identifiers" de l'Internet Management Information Base (MIB) II, qui est installé avec le service SNMP de Windows NT 4.0. Les objets dans l'Internet MIB II sont documentés dans RFC 1213.

<< 1 2 3 4 5 >>

Dernière mise à jour le mardi 2 mai 2000