VPN

Introduction

Un réseau privé virtuel (VPN) est une extension d'un réseau privé qui regroupe une ou plusieurs liaisons au travers de réseaux publics tels qu'Internet. Ces liaisons conservent les propriétés d'une liaison privée point à point grâce à l'encapsulation des données au moyen de protocoles de tunneling. Des méthodes d'authentification sont utilisées afin de maintenir la sécurité du réseau privé. La confidentialité des données transitant sur ces liaisons est garantie grâce à des méthodes de chiffrement. Le principe est de fournir à une société exactement les mêmes services qu'une liaison privée, à un coût beaucoup moins élevé, en utilisant une infrastructure publique.

Alcatel-Lucent OmniPCX Office Communication Server propose deux types de VPN :

• Une connexion VPN de type accès distant appelée "VPN client vers LAN".

• Une connexion VPN routeur à routeur appelée "VPN LAN vers LAN".

L'utilisateur distant peut se connecter au LAN de sa société depuis un poste fixe ou un portable. Dans ce cas, il se connecte à Internet via son point de présence puis effectue une demande d'établissement d'un tunnel VPN entre son poste et OmniPCX Office.

La sécurité des échanges est assurée à plusieurs niveaux et par différentes fonctions, comme le chiffrement des données, l'authentification des deux extrémités et le contrôle d'accès des utilisateurs aux ressources.

Pour la création et la gestion d'un tunnel, le client et le serveur doivent implémenter le même protocole. Trois types de protocoles sont pris en charge par Alcatel-Lucent OmniPCX Office Communication Server :

• le protocole PPTP (Point to Point Tunneling Protocol). C'est un protocole de couche liaison de données du modèle OSI (Open Systems Interconnection).

• le protocole L2TP (Layer 2 Tunneling Protocol). C'est aussi un protocole de couche liaison de données du modèle OSI.

• le protocole IPSec (IP Security Protocol). C'est un protocole de couche réseau du modèle OSI. Ce protocole fournit les services d'échange des clés entre les clients et le serveur (IKE), de chiffrement des paquets IP (ESP) et d'authentification des données (AH et ESP).

Lors de la demande de connexion effectuée par le client VPN, le protocole d'authentification, l'adresse IP du client et la méthode de chiffrement des données peuvent être négociés avec le serveur VPN (selon le protocole utilisé).

On désignera l'utilisateur distant comme étant le "client VPN" et OmniPCX Office le "serveur VPN". Dans tous les cas, l’utilisateur doit appartenir au groupe "Travailleurs Distants" ou à un groupe ayant les droits "accès distants". Trois types de clients sont pris en charge par Alcatel-Lucent OmniPCX Office Communication Server :

• le client PPTP,

• le client appelé "autre client IPSec", et

• le client IPSec Microsoft.

Le client PPTP recourt au protocole PPTP pour protéger les tunnels de connexion créés pour établir un VPN. Dans cette configuration, le client semble appartenir au LAN.

• Authentification

  Le protocole proposé par Alcatel-Lucent OmniPCX Office Communication Server est MS-CHAP version 2 (Microsoft Challenge Handshake Authentication Protocol). Si le client ne peut fournir ce type d'authentification, la connexion est refusée.

• Adresse IP du client

  La négociation IPCP (Internet Protocol Control Protocol) avec le serveur VPN alloue une adresse IP intranet au client. Cette adresse est configurée au préalable dans OmniPCX Office(voir "Configuration de Alcatel-Lucent OmniPCX Office Communication Server”).

• Chiffrement des données

  La méthode de chiffrement des données utilisée par OmniPCX Office est MPPE (Microsoft Point to Point Encryption) avec le chiffrage continu RSA RC4 et des clés de chiffrement 40 bits ou 128 bits. La tentative de connexion sera rejetée si le client n'est pas en mesure d'utiliser ces méthodes.

• Mise en tunnel des données

  Après chiffrement des données, un en-tête PPP est ajouté pour créer la trame PPP. Celle-ci est alors encapsulée avec un en-tête GRE (Generic Routing Encapsulation RFC 1701 et 1702) modifié. La trame ainsi obtenue est, elle aussi, encapsulée avec un en-tête IP.

Le client IPSec Microsoft est intégré dans Windows depuis la version XP. Pour les versions 98, NT et Millenium, le client peut être téléchargé depuis le site Microsoft. Cette approche permet de sécuriser l’accès à distance client/passerelle sur Internet à l’aide :

• du protocole L2TP pour la mise en tunnel des données,

• de IPSec qui assure la confidentialité et l’intégrité des données en cryptant le trafic.

L2TP fournit les services d’authentification de l’utilisateur et d’assignation d’adresses IP au client. Comme ce protocole est basé sur le protocole PPP, l'authentification (jusqu'au niveau utilisateur) est assurée par le protocole MS-CHAP version 2 (Microsoft Challenge Handshake Authentication Protocol) et l'adressage IP du client par le protocole IPCP (Internet Protocol Control Protocol).

IPSec fournit les services d'intégrité des données, d'authentification de l'origine des données et de confidentialité tels que définis dans la section Autre client IPSec.

On entend par "autre client IPSec" tout client utilisant IPSec pour la mise en tunnel et le chiffrement des données. Cette approche confère au tunnel un très haut niveau de sécurité.

Les services de sécurité offerts sont :

• l'intégrité des données,

• l'authentification de l'origine des données, et

• la confidentialité.

Le standard IPsec définit deux extensions du protocole IP pour réaliser ces services ; AH (Authentification Header) pour l'intégrité et l'authentification des données, et ESP (Encapsulating Security Payload) pour l'intégrité, l'authentification des données et la confidentialité.

Alcatel-Lucent OmniPCX Office Communication Server prend uniquement en charge ESP. La confidentialité des données est assurée par les algorithmes de chiffrement DES, 3DES et AES. L'authentification et l'intégrité des données utilisent les algorithmes HMAC-MD5 et HMAC-SHA-1.

Lors de l'établissement de la connexion IPsec, les machines s'authentifient mutuellement grâce à :

• la méthode par clé secrète pré-partagée (Pre-Shared secret, PSK), ou

• la méthode par clés publiques. L'utilisation de PKI (Public Key Infrastructure), système de gestion des clés publiques, facilite la tâche de l 'administrateur (pour plus d 'information, consultez la section "PKI")

Dans certains cas, il est souhaitable d'effectuer en plus une authentification de l'utilisateur. Pour cela, Alcatel-Lucent OmniPCX Office Communication Server prend en charge la méthode d'authentification étendue (Xauth). L'utilisateur doit alors renseigner son nom d'utilisateur et son mot de passe.

Le principe d'un VPN LAN vers LAN est d'offrir une connexion sécurisée entre deux sites distants, tout en utilisant une infrastructure publique ou partagée. C'est une connexion routeur à routeur sur laquelle tous les paquets sont cryptés et sécurisés selon des méthodes négociées.

Le protocole de tunneling utilisé par Alcatel-Lucent OmniPCX Office Communication Server est IPSec (Internet Protocol Security, RFC 2401 2402 2406). C'est un protocole de couche réseau du modèle OSI (Open Systems Interconnection), dont le principe consiste à crypter les paquets IP puis à les encapsuler dans un en-tête IP supplémentaire avant de les envoyer sur un réseau IP.

Dans le cas d’un VPN LAN vers LAN, les services de sécurité offerts par IPSec sont les mêmes que ceux présentés dans la section "VPN Client vers LAN". Il est important de noter que Alcatel-Lucent OmniPCX Office Communication Server donne la possibilité :

• de sécuriser soit tout le LAN soit seulement une partie du LAN,

• de configurer manuellement les profils de sécurité en fonction du distant pour assurer une meilleure interopérabilité.