Réseau privé virtuel - Virtual private network

Un réseau privé virtuel ( VPN ) étend un réseau privé sur un réseau public et permet aux utilisateurs d'envoyer et de recevoir des données sur des réseaux partagés ou publics comme si leurs appareils informatiques étaient directement connectés au réseau privé. Les avantages d'un VPN incluent une augmentation des fonctionnalités, de la sécurité et de la gestion du réseau privé. Il donne accès à des ressources inaccessibles sur le réseau public et est généralement utilisé pour les travailleurs en télétravail . Le cryptage est courant, bien qu'il ne fasse pas partie intégrante d'une connexion VPN.

Un VPN est créé en établissant une connexion virtuelle point à point via l'utilisation de circuits dédiés ou avec des protocoles de tunneling sur des réseaux existants. Un VPN disponible sur l'Internet public peut offrir certains des avantages d'un réseau étendu (WAN). Du point de vue de l'utilisateur, les ressources disponibles au sein du réseau privé sont accessibles à distance.

Les types

Arbre de classification VPN basé d'abord sur la topologie, puis sur la technologie utilisée.
Présentation de la connectivité VPN, montrant les configurations intranet de site à site et de travail à distance utilisées ensemble

Les réseaux privés virtuels peuvent être classés en plusieurs catégories :

Accès à distance
Une configuration hôte-réseau est analogue à la connexion d'un ordinateur à un réseau local. Ce type permet d'accéder à un réseau d'entreprise, tel qu'un intranet . Cela peut être utilisé pour les travailleurs en télétravail qui ont besoin d'accéder à des ressources privées, ou pour permettre à un travailleur mobile d'accéder à des outils importants sans les exposer à l'Internet public.
Site à site
Une configuration de site à site connecte deux réseaux. Cette configuration étend un réseau à travers des bureaux géographiquement disparates, ou un groupe de bureaux à une installation de centre de données. Le lien d'interconnexion peut passer sur un réseau intermédiaire différent, tel que deux réseaux IPv6 connectés sur un réseau IPv4 .
Site à site basé sur l'extranet
Dans le contexte des configurations de site à site, les termes intranet et extranet sont utilisés pour décrire deux cas d'utilisation différents. Un VPN intranet de site à site décrit une configuration dans laquelle les sites connectés par le VPN appartiennent à la même organisation, tandis qu'un VPN extranet de site à site rejoint des sites appartenant à plusieurs organisations.

En règle générale, les individus interagissent avec les VPN d'accès à distance, tandis que les entreprises ont tendance à utiliser des connexions de site à site pour des scénarios d' entreprise à entreprise , de cloud computing et de succursale . Malgré cela, ces technologies ne s'excluent pas mutuellement et, dans un réseau d'entreprise très complexe, peuvent être combinées pour permettre l'accès à distance aux ressources situées sur un site donné, comme un système de commande qui réside dans un centre de données.

Les systèmes VPN peuvent également être classés par :

  • le protocole de tunneling utilisé pour tunneler le trafic
  • l'emplacement du point de terminaison du tunnel, par exemple, à la périphérie du client ou à la périphérie du fournisseur de réseau
  • le type de topologie des connexions, comme site à site ou réseau à réseau
  • les niveaux de sécurité fournis
  • la couche OSI qu'ils présentent au réseau de connexion, comme les circuits de couche 2 ou la connectivité réseau de couche 3
  • le nombre de connexions simultanées

Mécanismes de sécurité

Les VPN ne peuvent pas rendre les connexions en ligne complètement anonymes, mais ils peuvent généralement augmenter la confidentialité et la sécurité. Pour empêcher la divulgation d'informations privées, les VPN n'autorisent généralement qu'un accès distant authentifié à l'aide de protocoles de tunnel et de techniques de cryptage .

Le modèle de sécurité VPN fournit :

Les phases du cycle de vie d'un tunnel IPSec dans un réseau privé virtuel.

Les protocoles VPN sécurisés incluent les suivants :

  • La sécurité du protocole Internet ( IPsec ) a été initialement développée par l' Internet Engineering Task Force (IETF) pour IPv6 , qui était requise dans toutes les implémentations conformes aux normes d' IPv6 avant que la RFC  6434 n'en fasse seulement une recommandation. Ce protocole de sécurité basé sur des normes est également largement utilisé avec IPv4 et le Layer 2 Tunneling Protocol . Sa conception répond à la plupart des objectifs de sécurité : disponibilité, intégrité et confidentialité . IPsec utilise le cryptage, encapsulant un paquet IP dans un paquet IPsec. La désencapsulation se produit à la fin du tunnel, où le paquet IP d'origine est déchiffré et transmis à sa destination prévue.
  • Transport Layer Security ( SSL/TLS ) peut tunneler le trafic d'un réseau entier (comme dans le projet OpenVPN et le projet SoftEther VPN ) ou sécuriser une connexion individuelle. Un certain nombre de fournisseurs proposent des fonctionnalités VPN d'accès à distance via SSL. Un VPN SSL peut se connecter à partir d'emplacements où IPsec rencontre des problèmes avec la traduction d'adresses réseau et les règles de pare-feu.
  • Datagram Transport Layer Security ( DTLS ) – utilisé dans Cisco AnyConnect VPN et dans OpenConnect VPN pour résoudre les problèmes que SSL/TLS rencontre avec le tunneling sur TCP (le tunneling TCP sur TCP peut entraîner de gros retards et des interruptions de connexion).
  • Microsoft Point-to-Point Encryption ( MPPE ) fonctionne avec le protocole de tunneling point à point et dans plusieurs implémentations compatibles sur d'autres plates-formes.
  • Le protocole SSTP ( Secure Socket Tunneling Protocol ) de Microsoft permet de tunneler le trafic PPP ( Point-to-Point Protocol ) ou Layer 2 Tunneling Protocol via un canal SSL/TLS (SSTP a été introduit dans Windows Server 2008 et dans Windows Vista Service Pack 1).
  • Réseau privé virtuel multi-chemins (MPVPN). Ragula Systems Development Company est propriétaire de la marque déposée "MPVPN".
  • Secure Shell (SSH) VPN – OpenSSH offre un tunnel VPN (distinct de la redirection de port ) pour sécuriser les connexions distantes à un réseau ou aux liens inter-réseaux. Le serveur OpenSSH fournit un nombre limité de tunnels simultanés. La fonction VPN elle-même ne prend pas en charge l'authentification personnelle.
  • WireGuard est un protocole. En 2020, la prise en charge de WireGuard a été ajoutée aux noyaux Linux et Android, l'ouvrant à l'adoption par les fournisseurs de VPN. Par défaut, WireGuard utilise Curve25519 pour l' échange de clés et ChaCha20 pour le cryptage, mais inclut également la possibilité de pré-partager une clé symétrique entre le client et le serveur.
  • IKEv2 est un acronyme qui signifie Internet Key Exchange volume 2. Il a été créé par Microsoft et Cisco et est utilisé conjointement avec IPSec pour le cryptage et l'authentification. Son utilisation principale est dans les appareils mobiles, que ce soit sur les réseaux 3G ou 4G LTE, car il est efficace pour se reconnecter lorsqu'une connexion est perdue.

Authentification

Les points de terminaison du tunnel doivent être authentifiés avant que des tunnels VPN sécurisés puissent être établis. Les VPN d'accès à distance créés par l'utilisateur peuvent utiliser des mots de passe , la biométrie , l' authentification à deux facteurs ou d'autres méthodes cryptographiques . Les tunnels réseau à réseau utilisent souvent des mots de passe ou des certificats numériques . Ils stockent en permanence la clé pour permettre au tunnel de s'établir automatiquement, sans intervention de l'administrateur.

Routage

Les protocoles de tunneling peuvent fonctionner dans une topologie de réseau point à point qui ne serait théoriquement pas considérée comme un VPN car, par définition, un VPN est censé prendre en charge des ensembles arbitraires et changeants de nœuds de réseau. Mais comme la plupart des implémentations de routeur prennent en charge une interface de tunnel définie par logiciel, les VPN fournis par le client sont souvent simplement des tunnels définis exécutant des protocoles de routage conventionnels.

Blocs de construction VPN fournis par le fournisseur

Terminologie VPN de site à site.

Selon qu'un VPN fourni par le fournisseur (PPVPN) fonctionne en couche 2 ou en couche 3, les blocs de construction décrits ci-dessous peuvent être L2 uniquement, L3 uniquement ou une combinaison des deux. La fonctionnalité de commutation d'étiquettes multiprotocoles (MPLS) brouille l'identité L2-L3.

La RFC  4026 a généralisé les termes suivants pour couvrir les VPN MPLS L2 et les VPN L3 (BGP), mais ils ont été introduits dans la RFC  2547 .

Appareils du client (C)

Un appareil qui se trouve dans le réseau d'un client et qui n'est pas directement connecté au réseau du fournisseur de services. Les appareils C ne connaissent pas le VPN.

Dispositif de bord client (CE)

Un appareil à la périphérie du réseau du client qui donne accès au PPVPN. Parfois, il s'agit simplement d'un point de démarcation entre la responsabilité du fournisseur et celle du client. D'autres fournisseurs permettent aux clients de le configurer.

Dispositif de bord du fournisseur (PE)

Un appareil, ou un ensemble d'appareils, à la périphérie du réseau du fournisseur qui se connecte aux réseaux des clients via des appareils CE et présente la vue du fournisseur sur le site du client. Les PE connaissent les VPN qui se connectent à travers eux et maintiennent l'état du VPN.

Appareil fournisseur (P)

Un appareil qui fonctionne à l'intérieur du réseau central du fournisseur et ne s'interface directement avec aucun point de terminaison client. Il peut, par exemple, fournir un routage pour de nombreux tunnels exploités par le fournisseur qui appartiennent aux PPVPN de différents clients. Bien que le périphérique P soit un élément clé de la mise en œuvre des PPVPN, il n'est pas lui-même compatible VPN et ne maintient pas l'état VPN. Son rôle principal est de permettre au fournisseur de services de faire évoluer ses offres PPVPN, par exemple, en agissant comme un point d'agrégation pour plusieurs PE. Les connexions P-to-P, dans un tel rôle, sont souvent des liaisons optiques à haute capacité entre les principaux sites des fournisseurs.

Services PPVPN visibles par l'utilisateur

Services OSI de couche 2

Réseau local virtuel

Le réseau local virtuel (VLAN) est une technique de couche 2 qui permet la coexistence de plusieurs domaines de diffusion de réseau local (LAN) interconnectés via des jonctions utilisant le protocole de jonction IEEE 802.1Q . D'autres protocoles de jonction ont été utilisés mais sont devenus obsolètes, notamment Inter-Switch Link (ISL), IEEE 802.10 (à l'origine un protocole de sécurité mais un sous-ensemble a été introduit pour la jonction) et ATM LAN Emulation (LANE).

Service LAN privé virtuel (VPLS)

Développés par l' Institute of Electrical and Electronics Engineers , les réseaux locaux virtuels (VLAN) permettent à plusieurs réseaux locaux étiquetés de partager des liaisons communes. Les VLAN ne comprennent souvent que des installations appartenant au client. Alors que VPLS tel que décrit dans la section ci-dessus (services OSI de couche 1) prend en charge l'émulation des topologies point à point et point à multipoint, la méthode décrite ici étend les technologies de couche 2 telles que les liaisons LAN 802.1d et 802.1q pour exécuter sur des transports tels que Metro Ethernet .

Tel qu'utilisé dans ce contexte, un VPLS est un PPVPN de couche 2, émulant toutes les fonctionnalités d'un réseau local traditionnel. Du point de vue de l'utilisateur, un VPLS permet d'interconnecter plusieurs segments LAN sur un noyau fournisseur à commutation de paquets ou optique, un noyau transparent pour l'utilisateur, faisant en sorte que les segments LAN distants se comportent comme un seul LAN.

Dans un VPLS, le réseau fournisseur émule un pont d'apprentissage, qui peut éventuellement inclure un service VLAN.

Pseudo fil (PW)

PW est similaire à VPLS, mais il peut fournir différents protocoles L2 aux deux extrémités. Typiquement, son interface est un protocole WAN tel que Asynchronous Transfer Mode ou Frame Relay . En revanche, lorsqu'on vise à donner l'apparence d'un LAN contigu entre deux ou plusieurs emplacements, le service Virtual Private LAN ou IPLS serait approprié.

Tunneling Ethernet sur IP

EtherIP ( RFC  3378 ) est une spécification de protocole de tunneling Ethernet sur IP. EtherIP n'a qu'un mécanisme d'encapsulation de paquets. Il n'a aucune protection de confidentialité ni d'intégrité des messages. EtherIP a été introduit dans la pile réseau FreeBSD et le programme de serveur VPN SoftEther .

Service de type LAN uniquement IP (IPLS)

Sous-ensemble de VPLS, les appareils CE doivent avoir des capacités de couche 3 ; l'IPLS présente des paquets plutôt que des trames. Il peut prendre en charge IPv4 ou IPv6.

Architectures PPVPN de couche 3 OSI

Cette section traite des principales architectures pour les PPVPN, l'une où le PE lève l'ambiguïté des adresses en double dans une seule instance de routage, et l'autre, le routeur virtuel, dans lequel le PE contient une instance de routeur virtuel par VPN. La première approche et ses variantes ont retenu le plus l'attention.

L'un des défis des PPVPN implique que différents clients utilisent le même espace d'adressage, en particulier l'espace d'adressage privé IPv4. Le fournisseur doit être en mesure de lever l'ambiguïté des adresses qui se chevauchent dans les PPVPN de plusieurs clients.

BGP/MPLS PPVPN

Dans la méthode définie par la RFC  2547 , les extensions BGP annoncent les routes de la famille d'adresses VPN IPv4, qui se présentent sous la forme de chaînes de 12 octets, commençant par un identificateur de route (RD) de 8 octets et se terminant par une adresse IPv4 de 4 octets. . Les RD éliminent l'ambiguïté, sinon les adresses en double dans le même PE.

Les PE comprennent la topologie de chaque VPN, qui sont interconnectés avec des tunnels MPLS directement ou via des routeurs P. Dans la terminologie MPLS, les routeurs P sont des routeurs à commutation d'étiquettes sans prise en compte des VPN.

Routeur virtuel PPVPN

L'architecture du routeur virtuel, contrairement aux techniques BGP/MPLS, ne nécessite aucune modification des protocoles de routage existants tels que BGP. En fournissant des domaines de routage logiquement indépendants, le client exploitant un VPN est entièrement responsable de l'espace d'adressage. Dans les différents tunnels MPLS, les différents PPVPN sont désambiguïsés par leur étiquette mais n'ont pas besoin de distinguer les routages.

Tunnels non cryptés

Certains réseaux virtuels utilisent des protocoles de tunneling sans cryptage pour protéger la confidentialité des données. Alors que les VPN assurent souvent la sécurité, un réseau superposé non crypté ne rentre pas parfaitement dans la catégorisation sécurisée ou de confiance. Par exemple, un tunnel configuré entre deux hôtes avec l' encapsulation de routage générique (GRE) est un réseau privé virtuel mais n'est ni sécurisé ni approuvé.

Les protocoles de tunneling en texte brut natifs incluent le protocole de tunneling de couche 2 (L2TP) lorsqu'il est configuré sans IPsec et sans protocole de tunneling point à point (PPTP) ou Microsoft Point-to-Point Encryption (MPPE).

Réseaux de distribution de confiance

Les VPN de confiance n'utilisent pas le tunneling cryptographique ; au lieu de cela, ils s'appuient sur la sécurité du réseau d'un seul fournisseur pour protéger le trafic.

Du point de vue de la sécurité, les VPN font confiance au réseau de distribution sous-jacent ou doivent appliquer la sécurité avec des mécanismes dans le VPN lui-même. À moins que le réseau de livraison approuvé ne fonctionne uniquement entre des sites physiquement sécurisés, les modèles approuvés et sécurisés ont besoin d'un mécanisme d'authentification pour que les utilisateurs puissent accéder au VPN.

VPN dans les environnements mobiles

Les réseaux privés virtuels mobiles sont utilisés dans des contextes où un point de terminaison du VPN n'est pas fixé à une seule adresse IP , mais se déplace à la place sur divers réseaux tels que les réseaux de données d'opérateurs cellulaires ou entre plusieurs points d'accès Wi-Fi sans abandonner la session VPN sécurisée. ou perdre des sessions d'application. Les VPN mobiles sont largement utilisés dans la sécurité publique où ils donnent aux agents des forces de l'ordre l'accès à des applications telles que la répartition assistée par ordinateur et les bases de données criminelles, et dans d'autres organisations ayant des exigences similaires telles que la gestion des services sur le terrain et les soins de santé.

Limitations du réseau

Une limitation des VPN traditionnels est qu'ils sont des connexions point à point et n'ont pas tendance à prendre en charge les domaines de diffusion ; par conséquent, la communication, les logiciels et la mise en réseau, qui sont basés sur la couche 2 et les paquets de diffusion , tels que NetBIOS utilisé dans la mise en réseau Windows , peuvent ne pas être entièrement pris en charge comme sur un réseau local . Des variantes de VPN telles que Virtual Private LAN Service (VPLS) et les protocoles de tunneling de couche 2 sont conçues pour surmonter cette limitation.

Voir également

Les références

Lectures complémentaires