Mise en place d'un réseau VPN au sein d'une entreprise. Cas de la BRALIMA Sarl en RDC( Télécharger le fichier original )par Eric BAHATI - SHABANI Institut supérieur de commerce Kinshasa - Licencié en réseaux informatiques 2011 |
II.2. Mise en place d'une politique de sécuritéLa sécurité des systèmes informatiques se cantonne généralement à garantir les droits d'accès aux données et ressources d'un système en mettant en place des mécanismes d'authentification et de contrôle permettant d'assurer que les utilisateurs des dites ressources possèdent uniquement les droits qui leur ont été octroyés. Les mécanismes de sécurité mis en place peuvent néanmoins provoquer une gêne au niveau des utilisateurs et les consignes et règles deviennent de plus en plus compliquées au fur et à mesure que le réseau s'étend. 22Ghernaouti-Hélie S., Stratégie et protection des systèmes d'information, Page 20 Ainsi, la sécurité informatique doit être étudiée de telle manière à ne pas empêcher les utilisateurs de développer les usages qui leur sont nécessaires, et de faire en sorte qu'ils puissent utiliser le système d'information en toute confiance. C'est la raison pour laquelle il est nécessaire de définir dans un premier temps une politique de sécurité, dont la mise en oeuvre se fait selon les quatre étapes suivantes :
o La confidentialité La confidentialité consiste à rendre l'information inintelligible à d'autres personnes que les seuls acteurs de la transaction. La confidentialité est la protection des données contre divulgation non autorisée maintien de secret des informations23. Il existe deux types d'actions complémentaires permettant d'assurer la confidentialité des données : ( Limiter et contrôler leur accès afin que seules les personnes habilitées à les lire ou à les modifier puissent le faire ; ( Les rendre inintelligibles en les chiffrant de telle sorte que les personnes qui ne sont pas autorisées à les obtenir ou qui ne possèdent pas les moyens de les déchiffrer ne puissent les utiliser. 23Ghernaouti-Hélie S., Sécurité informatique et réseaux, 3emeédition, DUNOD, Page 4 o Intégrité Vérifier l'intégrité des données consiste à déterminer si les données n'ont pas été altérées durant la communication (de manière fortuite ou intentionnelle). o Authentification. L'authentification consiste à assurer l'identité d'un utilisateur, c'est-à-dire de garantir à chacun des correspondants que son partenaire est bien celui qu'il croit être. Un contrôle d'accès peut permettre (par exemple par le moyen d'un mot de passe qui devra être crypté) l'accès à des ressources uniquement aux personnes autorisées. L'authentification doit permettre de vérifier l'identité d'une entité afin de s'assurer entre autres, de l'authenticité de celleci et qu'elle n'a pas fait l'objet d'une usurpation d'identité24. Avant de chiffrer des données il est nécessaire de s'assurer que la personne avec laquelle on communique et bien celle qu'elle prétend être. Plusieurs méthodes d'authentification sont possibles. Il a été démontré qu'il existait des algorithmes symétriques et asymétriques pour chiffrer un message. De la même manière, il existe des algorithmes symétriques et asymétriques pour assurer l'authentification. II.3. Chiffrement ou Cryptographie Le chiffrement des données (la cryptographie) est l'outil fondamental de la sécurité informatique. En effet, la mise en oeuvre de la cryptographie permet de réaliser des services de confidentialité des données transmisses ou stockées, des services de contrôle d'intégrité des données et d'authentification d'une entité, d'une transaction ou opération25. Le chiffrement est l'opération par laquelle on chiffre un message, c'est une opération de codage. 24 Prof. IVINZA LEPAPA A.C., Notes de cours de Télématique II, L2 info, ISC-GOMBE, 2011 - 2012, Page 4 25Ghernaouti-Hélie S., Sécurité informatique et réseaux, Edition DUNOD, Paris, 2011, Page 131 Chiffrer ou crypter une information permet de la rendre incompréhensible en l'absence d'un décodeur particulier. La cryptographie est une science qui consiste à écrire l'information (quelle que soit sa nature : voix, son, textes, données, image fixe ou animée) pour la rendre inintelligible à ceux ne possédant pas les capacités de la déchiffrer26. La sécurité d'un système informatique fait souvent l'objet de métaphores. En effet, on la compare régulièrement à une chaîne en expliquant que le niveau de sécurité d'un système est caractérisé par le niveau de sécurité du maillon le plus faible. Ainsi, une porte blindée est inutile dans un bâtiment si les fenêtres sont ouvertes sur la rue. Cela signifie que la sécurité doit être abordée dans un contexte global et notamment prendre en compte les aspects suivants :
II.4. Algorithmes symétriques Les algorithmes à clé symétrique ou secrète sont des algorithmes où la clé déchiffrement peut être calculée à partir de la clé de déchiffrement ou vice versa. Dans la plupart des cas la clé de chiffrement et la clé de déchiffrement sont identiques. Pour de tels algorithmes, l'émetteur et le destinataire doivent se mettre d'accord sur une clé à utiliser avant d'échanger des messages chiffrés. 26Ghernaouti-Hélie S., Sécurité informatique et réseaux, Edition DUNOD, Paris, 2011, P. 132 [34] II.5. Algorithmes asymétriques Les algorithmes asymétriques ou clé publique, sont différents. Ils sont conçus de telle manière que la clé de chiffrement soit différente de la clé de déchiffrement. La clé de déchiffrement ne peut pas être calculée à partir de la clé de déchiffrement. Ce sont des algorithmes à clé public car la clé de chiffrement peut être rendue publique. N'importe qui peut utiliser la clé de chiffrement pour chiffrer un message mais seul celui qui possède la clé de déchiffrement peut déchiffrer le message chiffré. La clé de chiffrement est appelée clé publique est la clé de déchiffrement est appelée clé privée. Dans les algorithmes à clé secrète, tout reposait sur le secret d'une clé commune qui devait être échangée dans la confidentialité la plus total, alors que la cryptographie à clé publique résout ce problème. L'algorithme asymétrique permet de réaliser plusieurs fonctions de sécurité relatives à la confidentialité, l'intégrité, l'authentification et à la non-répudiation. CHAPITRE II: VPN (Virtual Private Network) Section I. Généralités I.1. Définition
Dans les réseaux informatiques et les télécommunications, le réseau privé virtuel (Virtual Private Networking en anglais, abrégé en VPN) est vu comme une extension des réseaux locaux et préserve la sécurité logique que l'on peut avoir à l'intérieur d'un réseau local. Il correspond en fait à une interconnexion de réseaux locaux via une technique de « tunnel >>. Nous parlons de VPN lorsqu'un organisme interconnecte ses sites via une infrastructure partagée avec d'autres organismes. Il existe deux types de telles infrastructures partagées : les « Publiques >> comme Internet et les infrastructures dédiées que mettent en place les opérateurs pour offrir des servicesde VPN aux entreprises. C'est sur internet et les infrastructures IP que se sont développées les techniques de « tunnel >>27. Il permet d'échanger des données entre deux ordinateurs sur un réseau partagé ou public, selon un mode qui émule une liaison privée point à point. 27 http://fr.wikidedia.org/wiki/Réseau_privé_virtuel/2012/17h45' Toutefois la plupart des entreprises ne peuvent pas se permettre de relier deux réseaux locaux distants par une ligne spécialisée, il est parfois nécessaire d'utiliser Internet comme support de transmission. Un bon compromis consiste à utiliser Internet comme support de transmission en utilisant un protocole de "tunnellisation" (en anglais tunneling), c'est-à-dire encapsulant les données à transmettre de façon chiffrée. Nous parlons alors de réseau privé virtuel pour désigner le réseau ainsi artificiellement créé. I.2. Concept de VPN Les réseaux locaux d'entreprise (LAN ou RLE) sont des réseaux internes à une organisation, c'est-à-dire que les liaisons entre machines appartiennent à l'organisation. Ces réseaux sont de plus en plus souvent reliés à Internet par l'intermédiaire d'équipements d'interconnexion. Il arrive ainsi que des entreprises éprouvent le besoin de communiquer avec des filiales, des clients ou même des personnels géographiquement éloignés via internet. Pour autant, les données transmises sur Internet sont beaucoup plus vulnérables que lorsqu'elles circulent sur un réseau interne à une organisation car le chemin emprunté n'est pas défini à l'avance, ce qui signifie que les données empruntent une infrastructure réseau publique appartenant à différents opérateurs. Ainsi il n'est pas impossible que sur le chemin parcouru, le réseau soit écouté par un utilisateur indiscret ou même détourné. Il n'est donc pas concevable de transmettre dans de telles conditions des informations sensibles pour l'organisation ou l'entreprise. La première solution pour répondre à ce besoin de communication sécurisé consiste à relier les réseaux distants à l'aide de liaisons spécialisées. Ce réseau est dit virtuel car il relie deux réseaux "physiques" (réseaux locaux) par une liaison non fiable (Internet), et privé car seuls les ordinateurs des réseaux locaux de part et d'autre du VPN peuvent "voir" les données. Le système de VPN permet donc d'obtenir une liaison sécurisée à moindre coût, si ce n'est la mise en oeuvre des équipements terminaux. En contrepartie il ne permet pas d'assurer une qualité de service comparable à une ligne louée dans la mesure où le réseau physique est public et donc non garanti. I.3. Fonctionnement Le VPN repose sur un protocole de tunnellisation, c'est-à-dire un protocole qui permet le passage de données cryptées d'une extrémité du VPN à l'autre grâce à des algorithmes28. Nous employons le terme « tunnel » pour symboliser le fait que les données soient cryptées et de ce fait incompréhensible pour tous les autres utilisateurs du réseau public (ceux qui ne se trouvent pas aux extrémités du VPN). Dans le cas d'un VPN établi entre deux machines, on appelle client VPN l'élément permettant de chiffrer et de déchiffrer les données du côté utilisateur (client) et serveur VPN (ou plus généralement serveur d'accès distant) l'élément chiffrant et déchiffrant les données du côté de l'organisation. De cette façon, lorsqu'un utilisateur nécessite d'accéder au réseau privé virtuel, sa requête va être transmise en clair au système passerelle, qui va se connecter au réseau distant par l'intermédiaire d'une infrastructure de réseau public, puis va transmettre la requête de façon chiffrée. L'ordinateur distant va alors fournir les données au serveur VPN de son réseau local qui va transmettre la réponse de façon chiffrée. A réception sur le client VPN de l'utilisateur, les données seront déchiffrées, puis transmises à l'utilisateur. Pour émuler une liaison point à point, les données sont encapsulées, ou enrobées, à l'aide d'un en-tête qui contient les informations de routage pour leurs permettre de traverser le réseau partagé ou public jusqu'à leur destination finale. Pour émuler une liaison privée, les données sont cryptées à des fins de confidentialité. Les paquets interceptés sur le réseau partagé ou public restent indéchiffrables sans clé de décryptage. La liaison servant à l'encapsulation et au cryptage des données privées est une connexion VPN. Ainsi, tous les utilisateurs passent par le même "portail", ce qui permet de gérer la sécurité des accès, ainsi que le trafic utilisé par chacun. En effet, malgré son aspect sécurisé, un réseau VPN reste une extension du réseau principal vers chaque employé qui y accède, ce qui augmente d'autant le risque de failles. Centraliser les entrées au réseau permet de renforcer la sécurité, et de mieux gérer la taille prise par le réseau étendu. I.4. Méthode de connexion I.4.1. Le VPN d'accès Le VPN d'accès est utilisé pour permettre à des utilisateurs itinérants d'accéder au réseau privé. L'utilisateur se sert d'une connexion Internet pour établir la connexion VPN. Il existe deux cas: o Bralima demande au fournisseur d'accès de lui établir une connexion cryptée vers le serveur distant : o il communique avec le Nas du fournisseur d'accès et c'est le Nas qui établit la connexion cryptée ; o Bralima possède son propre logiciel pour le VPN auquel il établit directement la communication de manière cryptée vers le réseau de l'entreprise. Les deux méthodes possèdent chacune leurs avantages et leurs inconvénients : La première permet à l'utilisateur de communiquer sur plusieurs réseaux en créant plusieurs tunnels, mais nécessite un fournisseur d'accès proposant un Nas compatible avec la solution VPN choisie par l'entreprise. De plus, la demande de connexion par le Nas n'est pas cryptée ce qui peut poser des problèmes de sécurité. Sur la deuxième méthode Ce problème disparaît puisque l'intégralité des informations sera cryptée dès l'établissement de la connexion29. Par contre, cette solution nécessite que chaque client transporte avec lui le logiciel, lui permettant d'établir une communication cryptée. 29 GHERNAOUTI HélieSolange, Guide de cyber sécurité pour les pays en développement, Edition DUNOD, 2008. Quelle que soit la méthode de connexion choisie, Ce type d'utilisation montre bien l'importance dans le VPN d'avoir une authentification forte des utilisateurs. Figure 1 : VPN connectant un utilisateur distant à un intranet privé I.5. Topologie des V.P.N Figure 2 : VPN connectant un utilisateur distant à un intranet privé Les VPN s'appuient principalement sur Internet comme support de transmission, avec un protocole d'encapsulation et un protocole d'authentification, au niveau des topologies, on retrouve des réseaux privés virtuels en étoile, maillé ou partiellement maillé. Dans cette topologie toutes les ressources sont centralisées au même endroit et c'est à ce niveau qu'on retrouve le serveur d`accès distant ou serveur VPN, dans ce cas de figure tous les employés du réseau s'identifient ou s'authentifient au niveau du serveur et pourront ainsi accéder aux ressources qui se situent sur l'intranet. Figure 4 : V.P.N maillé Dans cette autre topologie les routeurs ou passerelles présents aux extrémités de chaque site seront considérés comme des serveurs d'accès distant, les ressources ici sont décentralisées sur chacun des sites autrement dit les employés pourront accéder aux informations présents sur tous les réseaux. I.5. Intérêt d'un VPN La mise en place d'un réseau privé virtuel permet de connecter de façon sécurisée des ordinateurs distants au travers d'une liaison non fiable (Internet), comme s'ils étaient sur le même réseau local. Ce procédé est utilisé par de nombreuses entreprises afin de permettre à leurs utilisateurs de se connecter au réseau d'entreprise hors de leur lieu de travail. Nous pouvons facilement imaginer un grand nombre d'applications possible: o Les connexions VPN offrent un accès au réseau local (d'entreprise) à distance et de façon sécurisée pour les travailleurs nomades. o Les connexions VPN permettent d'administrer efficacement et de manière sécurisé un réseau local à partir d'une machine distante ; o Les connexions VPN permettent aux utilisateurs qui travaillent à domicile ou depuis d'autres sites distants d'accéder à distance à un serveur d'entreprise par l'intermédiaire d'une infrastructure de réseau public, telle qu'Internet ; o Les connexions VPN permettent également aux entreprises de disposer de connexions routées partagées avec d'autres entreprises sur un réseau public, tel qu'Internet, et de continuer à disposer de communications sécurisées, pour relier, par exemple des bureaux éloignés géographiquement ; o Une connexion VPN routée via Internet fonctionne logiquement comme une liaison de réseau étendu (WAN, Wide Area Network) dédiée. Les connexions VPN permettent de partager des fichiers et programmes de manière sécurisés entre une machine locale et une machine distante. |
|