3.1.2 Présentation de la solution VPN retenue
a) VPN SSL
Ø Généralité
Le protocole SSL (Secure Socket Layer) permet la transmission
de données chiffrées. C'est un protocole de niveau 4 du
modèle OSI et a été créé par Netscape.
Cette technologie est acceptée par les navigateurs, mais aussi par les
serveurs. Un organisme est chargé de mettre en place des certificats de
confiance pour tous les sites qui utilisent le protocole SSL, dans le but de
bien identifier un site et l'organisme qui le gère.
Ø Fonctionnalité
Authentification : dans SSL v3,
l'authentification du serveur est obligatoire. Elle a lieu à l'ouverture
de la session. Elle emploie pour cela des certificats conformes à la
recommandation X.509 v3. Cela permet au client de s'assurer de
l'identité du serveur avant tout échange de données.
Confidentialité : Elle est
assurée par des algorithmes de chiffrement symétriques. Bien que
le même algorithme soit utilisé par les deux parties chacune
possède sa propre clé secrète qu'elle partage avec
l'autre. Les algorithmes utilisés sont : le DES, le 3DES, le R, le RC4
...
Intégrité : Elle est
assurée par l'application d'un algorithme de hachage aux données
(SHA ou MD5) transmises.
Ø Principe de fonctionnement
- Le navigateur se connecte à un serveur
sécurisé, une clé de cryptage unique est alors mise en
place tout au long de la transaction entre le serveur et le navigateur.
- Le navigateur envoie des données cryptées
à destination du serveur, qui sera seul à même de
déchiffrer les informations reçues, grâce à la mise
en place d'une clé d'échange unique entre eux.
- Le serveur envoie un avis de bonne réception de
l'information.
Une nouvelle transaction cryptée peut débuter,
en reprenant le même processus.
a-1) Les composants du VPN SSL
Pour le bon fonctionnement du VPN SSL, il est
nécessaire de disposer des composants suivants : un navigateur web,
concentrateur VPN ou serveur VPN, connexion internet
Le navigateur web : le navigateur va consister
à établir la connexion entre l'utilisateur et le réseau de
son entreprise. Exemple : internet explorer, mozilla firefox, etc....
Le concentrateur VPN : le concentrateur VPN est
un routeur dédié ou un firewall implémentant le VPN SSl.
Il servira de passerelle pour les différents utilisateurs distants.
Serveur VPN : c'est un ordinateur sur lequel il
sera installé un logiciel libre tel qu'OPEN VPN serveur.
Choix du concentrateur VPN
Notre choix s'est porté sur le Cisco ASA (Adaptative
Security Appliance) plus précisément le Cisco ASA 5540. En effet,
le Cisco ASA est un dispositif de sécurité qui associe un pare
feu des services VPN. Il bloque les attaques avant qu'elle ne se propage dans
le réseau. Dans la suite nous verrons comment fonctionne un VPN SSL sous
Cisco ASA
Fonctionnement de VPN SSL sous Cisco ASA
5540
Le VPN SSL sous ASA fonctionne selon le mode Anyconnect
Mode Anyconnect
Anyconnect est un logiciel qui se télécharge
automatiquement depuis l'ASA. Il crée un tunnel SSL
sécurisé entre un client distant et un site privé.
A l'instar du client IPSec, Anyconnect va créer une
interface réseau virtuelle à laquelle le Cisco ASA va attribuer
une adresse IP.
L'interface créée aura une adresse donnée
par l'ASA au cours de l'établissement du tunnel. Cette adresse fait
partie d'un pool d'adresses attribuées uniquement aux clients du VPN SSL
Anyconnect. Cette interface virtuelle ne sert en réalité
qu'à `tunneliser' les informations qui seront cryptées
grâce à SSL.
Authentification des utilisateurs
L'une des fonctionnalités du VPN SSL est
l'authentification des utilisateurs. Le Cisco asa permet d'authentifier les
utilisateurs. Elle utilise soit une base locale ou un serveur radius tous deux
intégré au concentrateur VPN.
Choix de l'authentification des
utilisateurs
Nous allons opter pour le serveur radius. Lors de la
création des login et mot de passe le Cisco ASA fait une copie dans la
base locale. Au cas où le serveur radius rencontre un souci, nos clients
seront toujours authentifie par le ASA. Le serveur radius peut supporter
jusqu'à 80 000 utilisateurs.
| 
