Un oeil sur : les VPN

Introduction

Un Virtual Private Network (réseau privé virtuel), est un système permettant de créer un lien direct entre des ordinateurs distants. On utilise notamment ce terme dans le travail à distance, pour l'accès à des services cloud, normalement accessibles du réseau local de l'entreprise.

Dans ce cas, la connexion entre les ordinateurs est gérée de façon transparente par le logiciel de VPN, créant un tunnel entre eux. Les ordinateurs connectés au VPN sont ainsi sur le même réseau LAN (virtuel), d'où son nom.

Fonctionnellement, l'utilisateur distant peut bénéficier des avantages qu'il aurait en étant physiquement dans les locaux de l'entreprise.

En général, ces tunnels sont chiffrés pour permettre la confidentialité des communications sur les réseaux traversés.

L'installation

En règle générale, le serveur VPN est installé sur un pare-feu, qui joue entre autres le rôle de donner les accès voulus à l'utilisateur distant qui s'y connecte. Il s'agit d'un composant physique de votre réseau (souvent couplé à un routeur) qui est présent entre votre réseau privé et Internet.

Les logiciels clients sont en général faciles à installer, lorsqu'ils ne sont pas fournis par défaut dans le système d'exploitation. Leur configuration peut être complexe, mais elle ne doit être faite qu'une fois lors de l'installation.

Le choix du pare-feu et du logiciel client doit se faire en fonction du protocole VPN que l'on souhaite mettre en place, suivant le niveau de confidentialité des communications qui y transiteront. Le type de réseau duquel vous souhaitez initier la connection est une donnée importante, dans certains cas des protocoles VPN peuvent se retrouver bloqués par la politique du réseau local. Cet aspect est détaillé dans la suite.

Les protocoles

Le VPN traduit plus une fonctionnalité qu'une technologie. Il peut être mis en oeuvre via plusieurs protocoles, open-sources ou propriétaires.

PPTP

PPTP (Point-to-Point tunnel Protocol), ou Protocole de tunnel point-à-point, est un protocole d’encapsulation PPP (Protocole Point à Point) sur IP conçu par Microsoft. Le flux PPP peut être chiffré, authentifié et compressé à l’aide des mécanismes standard de PPP auxquels Microsoft a ajouté l’authentification MS-CHAP v2. Disponible en standard sur à peu près toutes les plateformes, la mise en place est facile et sans installation de logiciel supplémentaire. Cependant il ne doit plus être utilisé car sa résistance au hacking n’est pas suffisante. Microsoft a émis une recommandation importante et préconise l’utilisation de tunnels VPN L2TP, IKEv2 ou SSTP.

    Points Positifs :
  • Client intégré à presque toutes les plates-formes
  • Très facile à mettre en place
  • Rapide
    Point Négatif :
  • Authentification MS CHAPv2 vulnérable

L2TP et L2TP/IPSEC

Le protocole Layer 2 Tunnel est un protocole VPN qui, de base, ne fournis pas de chiffrement. Pour cette raison il est impératif de le compléter par IPSec. Disponible dans une grande majorité d’équipements, que ce soit du côté des terminaux comme du côté des équipements réseaux, il est aussi simple à mettre en oeuvre que PPTP.

    Points Négatifs :
  • Inconvénient pour les utilisateurs nomades car L2TP utilise un port UDP (500) pour se connecter. Or certains FireWall peuvent bloquer ce port et donc rendre toute connexion impossible (HotSpot Wifi, Hôtel, Centre d’affaires…)
  • Le chiffrement basé sur IPsec est reconnu comme fiable mais ses performances en terme de ressources CPU consommées pour effectuer le chiffrement ne sont pas très bonnes. Les protocoles basés sur SSL sont plus performants.

OpenVPN

OpenVPN est une technologie open source qui utilise la bibliothèque OpenSSL et les protocoles SSLv3/TLSv1 afin de fournir une solution robuste et fiable. Il est de plus disponibles sur de nombreux systèmes d’exploitation (Microsoft Windows, GNU / Linux, MacOS X et même les modèles Android via des applications tierces,…). C’est une solution simple pour gérer un réseau privé virtuel composé de machines hétéroclites. Un de ses principaux atouts est qu’il est hautement configurable. Il peut être configuré pour fonctionner sur n’importe quel port, y compris le port TCP 443 (HTTPS). Dans ce cas précis, le serveur OpenVPN pourra contourner d’éventuelles restrictions comme les pare-feux et proxys Web qui peuvent bloquer le trafic.

Un autre avantage de OpenVPN est que la bibliothèque utilisée pour assurer le chiffrement prend en charge de nombreux algorithmes comme AES, Blowfish, 3DES, CAST- 128, Camellia et plus... Les algorithmes les plus communs dans l’utilisation de chiffrement par les fournisseurs VPN sont AES et Blowfish. AES est la technologie la plus récente, mais les deux sont à considérer. Le fait que Blowfish soit de 128 bits plutôt que 64 signifie qu’il peut gérer un plus grand nombre de fichiers. Les différences sont assez mineures. La vitesse d’OpenVPN dépend du niveau de chiffrement utilisé. Dans tous les cas, OpenVPN est souvent plus performant (rapide) que IPSec.

La flexibilité d’OpenVPN peut être ennuyeuse car il peut être délicat à configurer. Lorsque vous utilisez le logiciel générique, il est nécessaire de télécharger et d’installer le client, mais aussi des fichiers de configuration supplémentaires. De nombreux fournisseurs de VPN contournent ce problème de configuration en fournissant des clients VPN sur mesure. OpenVPN est aujourd’hui très répandu et se trouve supporté par de très nombreux éditeurs de logiciel et de matériel.

    Points Positifs :
  • Hautement configurable
  • Très sécurisé (dépend techniquement de l’algorithme de chiffrement, mais sont tous très forts)
  • Peut contourner un pare-feu
  • Peut utiliser une large gamme d’algorithmes de chiffrement
    Points Négatifs :
  • Besoin d’un logiciel tiers
  • Peut-être difficile à mettre en place
  • Prise en charge limitée sur les appareils portables

SSTP

Secure Socket Tunneling Protocol a été introduit par Microsoft dans Windows Vista SP1 et est maintenant disponible pour Linux, Mac OS, BSD et Windows. SSTP est basé sur le protocole SSL ou TLS et donc sur l’authentification du serveur par certificat et établissement d’une liaison chiffrée entre les 2 hôtes. Cette base lui confère une très large compatibilité avec les équipements réseau, la connexion s’établissant via le protocole TCP vers le port 443 pour éviter les problèmes de pare-feu NAT. Il est facile à utiliser et stable.

    Points Positifs :
  • Très sécurisé (dépend de l’algorithme)
  • Majoritairement utilisé dans l’univers Windows
  • Supporté par Microsoft
  • Peut contourner la plupart des pare-feu
    Points Négatifs :
  • Installation uniquement sur Windows Server