Mise en place d'une architecture VPN MPLS avec gestion du temps de connexion et de la bande passante utilisateur( Télécharger le fichier original )par William Landry SIME SIME 3IL(Institut d'ingenierie d'informatique de Limoge)/ISTDI - Master Europeen en Informatique OPTION: Administration systémes resaux 2009 |
II- FonctionnementLe VPN repose sur un protocole de tunnellisation (tunneling), c'est-à-dire un protocole qui permet le passage de données cryptées6(*) d'une extrémité du VPN à l'autre grâce à des algorithmes. On emploi le terme « tunnel » pour symboliser le fait que les données soient cryptées et de ce fait incompréhensible pour tous les autres utilisateurs du réseau public (ceux qui ne se trouvent pas aux extrémités du VPN). Dans le cas d'un VPN établi entre deux machines, on appelle client VPN l'élément permettant de chiffrer et de déchiffrer les données du côté utilisateur (client) et serveur VPN (ou plus généralement serveur d'accès distant) l'élément chiffrant et déchiffrant les données du côté de l'organisation. De cette façon, lorsqu'un utilisateur nécessite d'accéder au réseau privé virtuel, sa requête va être transmise en clair au système passerelle, qui va se connecter au réseau distant par l'intermédiaire d'une infrastructure de réseau public, puis va transmettre la requête de façon chiffrée. L'ordinateur distant va alors fournir les données au serveur VPN de son réseau local qui va transmettre la réponse de façon chiffrée. A réception sur le client VPN de l'utilisateur, les données seront déchiffrées, puis transmises à l'utilisateur. Pour émuler une liaison point à point, les données sont encapsulées, ou enrobées, à l'aide d'une en-tête qui contient les informations de routage pour leur permettre de traverser le réseau partagé ou public jusqu'à leur destination finale. Pour émuler une liaison privée, les données sont cryptées à des fins de confidentialité. Les paquets interceptés sur le réseau partagé ou public restent indéchiffrables sans clé de décryptage. La liaison servant à l'encapsulation et au cryptage des données privées est une connexion VPN. Etant donné que chaque point d'un réseau VPN est relié au réseau central par le biais d'un tunnel, reliant la machine à un gateway7(*). Ainsi, tous les utilisateurs passent par le même "portail", ce qui permet de gérer la sécurité des accès, ainsi que le trafic utilisé par chacun. En effet, malgré son aspect sécurisé, un réseau VPN reste une extension du réseau principal vers chaque employé qui y accède, ce qui augmente d'autant le risque de failles. Centraliser les entrées au réseau permet de renforcer la sécurité, et de mieux gérer la taille prise par le réseau étendu. II-1 Méthode de connexionII-1.1 Le VPN d'accèsLe Vpn d'accès est utilisé pour permettre à des utilisateurs itinérants d'accéder au réseau privé. L'utilisateur se sert d'une connexion Internet pour établir la connexion Vpn. Il existe deux cas: o L'utilisateur demande au fournisseur d'accès de lui établir une connexion cryptée vers le serveur distant : il communique avec le Nas8(*) du fournisseur d'accès et c'est le Nas qui établit la connexion cryptée. o L'utilisateur possède son propre logiciel client pour le Vpn auquel cas il établit directement la communication de manière cryptée vers le réseau de l'entreprise. Les deux méthodes possèdent chacune leurs avantages et leurs inconvénients : La première permet à l'utilisateur de communiquer sur plusieurs réseaux en créant plusieurs tunnels, mais nécessite un fournisseur d'accès proposant un Nas8(*) compatible avec la solution Vpn choisie par l'entreprise. De plus, la demande de connexion par le Nas n'est pas cryptée Ce qui peut poser des problèmes de sécurité. Sur la deuxième méthode Ce problème disparaît puisque l'intégralité des informations sera cryptée dès l'établissement de la connexion. Par contre, cette solution nécessite que chaque client transporte avec lui le logiciel, lui permettant d'établir une communication cryptée. Quelle que soit la méthode de connexion choisie, Ce type d'utilisation montre bien l'importance dans le Vpn d'avoir une authentification forte des utilisateurs. Figure 2 : VPN connectant un utilisateur distant à un intranet privé * 6 Procédé grâce auquel on souhaite rendre la compréhension d'un document impossible à toute personne qui n'a pas la clé de déchiffrement. * 7 Equipement réseau permettant de commuter un paquet d'un site à un autre. * 8 Network attached storage ou serveur de stockage en français, il s'occupe majoritairement de la gestion des données pour les serveurs et les utilisateurs. |
|