Mise en place d'une architecture VPN MPLS avec gestion du temps de connexion et de la bande passante utilisateur

IV-6 Comparaison des différents protocoles

Chaque protocole présenté permet de réaliser des solutions performantes de Vpn. Nous allons ici aborder les points forts et les points faibles de chacun de ses protocoles.

IV-6.1 Vpn-Ssl

Présentée comme la solution miracle pour permettre aux itinérants de se connecter aux applications réparties de l'entreprise les Vpn-Ssl souffrent de problèmes principalement liés aux navigateurs web utilisés. Le but d'utiliser des navigateurs web est de permettre aux utilisateurs d'utiliser un outil dont ils ont l'habitude et qui ne nécessite pas de configuration supplémentaire. Cependant lorsqu'un certificat expire l'utilisateur doit aller manuellement le renouveler. Cette opération peut poser problème aux utilisateurs novices. De plus sur la majorité des navigateurs web la consultation des listes de certificats révoqués n'est pas activée par défaut : toute la sécurité de Ssl reposant sur ces certificats ceci pose un grave problème de sécurité. Rien n'empêche de plus le client de télécharger une version modifiée de son navigateur pour pouvoir utiliser de nouvelles fonctionnalités (skins, plugins...). Rien ne certifie que le navigateur n'a pas été modifié et que son autorité de certification en soit bien une. Enfin Un autre problème lié à l'utilisation de navigateurs web comme base au Vpn est leur spécificité au monde web. En effet par défaut un navigateur n'interceptera que des communications Https^17(*) ou éventuellement Ftps^18(*). Toutes les communications venant d'autre type d'applications (MS Outlook, ou une base de données par exemple) ne sont pas supportées. Ce problème est généralement contourné par l'exécution d'une applet Java dédiée dans le navigateur. Mais ceci implique également la maintenance de cette applet (s'assurer que le client possède la bonne version, qu'il peut la re-télécharger au besoin)
L'idée suivant laquelle le navigateur web est une plate-forme idéale pour réaliser des accès Vpn est donc sérieusement à nuancer.

IV-6.2 Pptp

Pptp présente l'avantage d'être complètement intégré dans les environnements Windows. Ceci signifie en particulier que l'accès au réseau local distant pourra se faire via le système d'authentification de Windows NT : RADIUS et sa gestion de droits et de groupe. Cependant comme pour beaucoup de produit Microsoft la sécurité est le point faible:

- Mauvaise gestion des mots de passe dans les environnements mixtes win 95/NT

- Faiblesses dans la génération des clés de session : réalisé à partir d'un hachage du mot de passe au lieu d'être entièrement générées au hasard. (facilite les attaques « force brute »)

- Faiblesses cryptographiques du protocole MsCHAP^19(*) 1 corrigées dans la version 2 mais aucun contrôle sur cette version n'a été effectué par une entité indépendante.

- Identification des paquets non implémentée : vulnérabilité aux attaques de type « spoofing^20(*) »

* ¹⁷ Encapsulation des protocoles http et SSH pour le transfert sécurisé des pages web.

* ¹⁸ Encapsulation des protocoles FTP et SSH pour le transfert sécurisé des fichiers.

* ¹⁹ MS-CHAP est la version Microsoft du protocole CHAP (Challenge-Handshake Authentication Protocol).

* ²⁰ Technique qui consiste à usurper l'identité d'une autre personne ou organisation, ce qui permet de faire croire que le courriel provient d'une source différente de la source véritable.