Thème : CONCEPTION ET MISE EN PLACE DE LA SOLUTION VPN EN ENTREPRISE Présenté par FARIZ ALI MAHAMOUD Encadrant : Jurys : Mr Rachid Boukharrazi Mr Wail Bassou Année 2015/2016 Dédicace………………………………………………………………………..1 Remerciement ………………………………………………………………….2 Introduction……………………………………………………………………3 Chapitre I : Présentation de la conception et mise a jour de VPN I°) _ Pourquoi le VPN………………………………4 A°) _ Utiliser un VPN pour la sécurité…………………………5 B°) _ Utiliser un VPN pour préserver son anonymat : …………………… C°) _ Utiliser un VPN pour se sécuriser lors de connexion à des wifi publics D°) _ Utiliser un VPN pour télécharger : …………………………………………. II°) _ les types de VPN…………………………………..6 A°) _ Lan-to-Lan………………………………………….7 B°) _ Nomade ou Road Warrior ……………………………….8 III°) _ Comment choisir un VPN………………………………….. IV°) _ Conception d’un serveur VPN…………………………………. V°) _ Installation d’un serveur VPN……………………… VI°) _ Installation d’un clients VPN…………………………………… VII°) _ Mise en place et configuration ……………………………………… Chapitre II : les conceptions de VPN I°) _ les avantages et les inconvenant d’un modèle VPN……………………… A°) _ les avantages ………………………………………………………. B°) _ les inconvenant ……………………………………………………… II°) _ installation d’un serveur VPN ………………………………………… A°) _ …………………………………………………………………………. B°) _ …………………………………………………………………….. II°) _ Les différentes implémentations des VPNs : ………………………… A°) _ implantation couche 1…………………………………………………. B°) _ implantation couche 2……………………………………………….. C°)_ tunneling …………………………………………………………. IV°) _ conception d’un serveur VPN…………………………………………… A°) _ B°) _ Conclusion ……………………………………………………………………… Organigramme ……………………………………………………………… Logo…………………………………………………………………………… DEDICACE Que ce travail témoigne de mes respects : A mes parents : Grâce à leurs tendres Encouragements et leurs grands sacrifices, ils ont pu créer le climat affectueux et propice à la Poursuite de mes études. Aucune dédicace ne pourrait exprimer mon respect, mon Considération et mes profonds sentiments envers eux. On prie le bon Dieu de les bénir, de Veiller sur eux, en espérant qu’ils seront toujours fiers de moi. A mes sœurs et à mes frères. A ma Famille. Ils vont trouver ici l’expression de mes sentiments de Respect et de reconnaissance pour le soutien qu’ils n’ont cessé de nous porter. A tous mes Professeurs : Leur générosité et leur soutien m’oblige de leurs témoigner mes profond Respect et mon loyale considération. A tous mes amis et mes collègues : Ils vont trouver ici le Témoignage d’une fidélité et d’une amitié infinie Introduction Étant apprentis en quatrième année d'école d'ingénieur en Informatique, Réseaux et télécoms, j'ai pas eu l’opportunité occupé le poste d'administrateur réseau cette année dans mon stage d'accueil. Pour cette raison, c'est tout naturellement dans le domaine du réseau que j'ai orienté mon choix d'exposé. Je n'ai pas eu la chance de travailler dans les technologies de VPN, aussi j'ai voulu profiter de cet exercice pour acquérir de nombreuses connaissances dans ce domaine. Le VPN est avant tout une réponse à un besoin actuellement de plus en plus présent. En effet, toutes entreprises composées d'au moins deux bâtiments distants ont besoins de pouvoir communiquer entre eux pour les besoins d'un système d'information. De plus, les VPN permettent de connecter ponctuellement un utilisateur distant ayant une connexion internet aux services de son entreprise (mails, transfert de fichiers, ...) Historiquement, les entreprises louaient des lignes spécialisées au Maroc Telecom pour pouvoir relier tous ses sites car celles-ci offraient de bonnes performances. Aujourd'hui, l'ADSL offre des débits et une fiabilité acceptables. Ainsi, le VPN est aujourd'hui une bonne alternative à la location d'une ligne spécialisée, très coûteuse. Chapitre I : Présentation de la conception et mise à jour de VPN I°) _ Pourquoi le VPN 1) Utiliser un VPN pour la sécurité Un VPN rajoute une couche de sécurité entre votre pc et internet. En effet, en utilisant un VPN, ce n’est plus votre pc qui est la cible d’attaque, mais le VPN. Et les VPN sont généralement très bien sécurisé pour éviter que leurs serveurs ne tombent suite à une attaque. Vous naviguerez ainsi de manière plus sereine. 2) Utiliser un VPN pour préserver son anonymat : En utilisant un VPN, ce n’est plus votre adresse IP qui est connu des sites que vous visitez, mais l’adresse IP de votre VPN. Du coup, les sites ne peuvent plus savoir dans quel pays vous êtes, ni quel est votre navigateur internet, la résolution de votre écran, etc. Il faut tout de même penser à vider les cookies de votre navigateur avant de vous connecter à un site, sinon celui ci sera capable de se souvenir de vous. 3) Utiliser un VPN pour se sécuriser lors de connexion à des wifi publics : Lorsque vous vous connecter à des réseaux wifi publiques genre Mc Donald, gares, aéroport, etc. Vous pouvez facilement devenir la cible de gens voulant récupérer vos infos. Il ne faut pas oublier que vous êtes tous sur la même borne wifi, et qu’il est très facile de sniffer les données transitant sur le réseau. Un VPN peut empêcher cela car la connexion entre vous et le VPN se fait de manière chiffrée. De ce fait personne ne peut récupérer vos données sensibles comme vos mots de passes, code de carte bancaire, etc. 4) Utiliser un VPN pour télécharger : Lorsque vous utilisez des services de téléchargements comme RapidShare ou autres, vous devez la plupart du temps, attendre entre 2 téléchargements. C’est une mesure faite exprès pour vous donner envie de prendre un compte payant chez eux, ce qui aura pour effet de supprimer ce temps d’attente. Et bien il est possible de faire pareil avec un VPN, puisque l’attente entre 2 téléchargements est basée sur votre adresse IP. Il vous suffit de cliquer sur « changer IP » dans votre VPN avant de lancer un nouveau téléchargement pour que le temps d’attente n’existe plus. Et pour les plus pressé il existe même une solution pour que Downloader commande votre VPN, et fasse le changement d’adresse IP tout seul. II°) _ les types de VPN On peut dénombrer deux grands types de VPN, chacun d'eux caractérise une utilisation bien particulière de cette technologie A°) _LAN-to-LAN Tout d'abord le LAN-to-LAN qui permet de relier deux réseaux d'entreprises entre eux de façon transparente. Généralement les deux sites ont des tranches IP différentes ce qui oblige les postes clients à passer par le routeur. Celui-ci est directement relié à l'équipement responsable du VPN ou implante directement les protocoles choisit pour la mise en place du VPN. Ce type de VPN est installé de manière permanente. B°) Nomade ou Road Warrior Ensuite, il existe le type nomade, également appelé "Road Warrior" qui permet à un utilisateur distant de son entreprise de se connecter à celle-ci pour pouvoir profiter de ses services. Ainsi, il pourra lire ses mails, récupérer des fichiers présents sur le réseau de son entreprise, ... Etant donné son utilisation, ce type de VPN est installé de manière occasionnelle. III°) comment choisir un VPN ? Le premier critère à prendre en compte pour choisir le Top VPN est bien sûr la compatibilité avec vos différents appareils. Vous devez donc vérifier que le VPN fonctionne avec le système d’exploitation que vous utilisez sur votre ordinateur, Windows, Mac OS ou Linux, mais aussi avec votre tablette et votre Smartphone donc IOS, Android, Windows Phone… Le Top VPN propose généralement une application propriétaire compatible avec la plupart de ces systèmes, HideMyAss propose une application compatible Windows, Mac OS, IOS et Android. Par contre, si le VPN ne propose pas d’application compatible avec le système que vous utilisez, il propose peut-être un protocole VPN qui fonctionnera avec le système de votre appareil. VII°) Mise en place et configuration A°)_ PPTP (Point-to-Point tunneling Protocol) Le principe du protocole PPTP (Point To Point Tunneling Protocol) est de créer des trames sous le protocole PPP et de les encapsuler dans un datagramme IP. Ainsi, dans ce mode de connexion, les machines distantes des deux réseaux locaux sont connectés par une connexion point à point (comprenant un système de chiffrement et d'authentification, et le paquet transite au sein d'un datagramme IP. De cette façon, les données du réseau local (ainsi que les adresses des machines présentes dans l'en-tête du message) sont encapsulées dans un message PPP, qui est lui-même encapsulé dans un message IP. B°)_Le protocole L2TP Le protocole L2TP est un protocole standard de tunnelisation (standardisé dans un RFC) très proche de PPTP. Ainsi le protocole L2TP encapsule des trames protocole PPP, encapsulant elles-mêmes d'autres protocoles (tels que IP, IPX ou encore NetBIOS). C°)_Le protocole IPSec IPSec est un protocole défini par l'IETF permettant de sécuriser les échanges au niveau de la couche réseau. Il s'agit en fait d'un protocole apportant des améliorations au niveau de la sécurité au protocole IP afin de garantir la confidentialité, l'intégrité et l'authentification des échanges. Le protocole IPSec est basé sur trois modules : IP Authentification Header (AH) concernant l'intégrité, l'authentification et la protection contre le rejeu. des paquets à encapsuler Encapsulating Security Payload (ESP) définissant le chiffrement de paquets. ESP fournit la confidentialité, l'intégrité, l'authentification et la protection contre le rejeu. Security Assocation (SA) définissant l'échange des clés et des paramètres de sécurité. Les SA rassemblent ainsi l'ensemble des informations sur le traitement à appliquer auxpaquets IP (les protocoles AH et/ou ESP, mode tunnel ou transport, les algo de sécurité utilisés par les protocoles, les clés utilisées,...). L'échange des clés se fait soit de manière manuelle soit avec le protocole d'échange IKE (la plupart du temps), qui permet aux deux parties de s'entendre sur les SA. Chapitre II : les conceptions des VPN I°) _ les avantages et les inconvenant d’un modèle VPN A°) _ les avantages Le modèle d’overlay présente les avantages suivants : fournisseur de service en faisant le point de démarcation entre le fournisseur de service et le client plus faciles à contrôler D'autre part, le modèle peer-to-peer fournit ce qui suit : effort de configuration nt additionnels B°) _ les inconvenant Le modèle d’overlay a les inconvénients suivants : routage optimum être provisionnés manuellement, et la largeur de bande doit être provisionnée sur une base site à site (pas toujours facile à réaliser). généraux élevés d'encapsulation (s'étendant de 20 à 80 octets par datagramme transporté). Les inconvénients principaux du peer-to-peer résultent de la participation de fournisseur de service dans le routage client : correct de client et de la convergence rapide du réseau du client suivant un échec de liaison. client qui ont été cachés du fournisseur de service dans le modèle d'overlay. de service a besoin de la connaissance détaillée du routage IP, qui n'est pas aisément disponible dans les équipes traditionnelles de fournisseur de service. II°) _ Les différentes implémentations des VPNs : Les réalisations traditionnelles des VPNs ont été toutes basées sur le modèle d’overlay, dans lequel le fournisseur de service a vendu les circuits virtuels entre les sites client comme remplacement pour le point consacré pour diriger des liens. Le modèle d’overlay a eu un certain nombre d'inconvénients. Pour surmonter ces inconvénients (en particulier dans les réseaux basés sur IP), un nouveau modèle appelé peer-to-peer VPN a été présenté, dans lequel le fournisseur de service participe activement au routage du client. Schéma : différentes implémentations des réseaux VPNs A°) _Implémentation couche1 Dans l'implémentation couche 1, le fournisseur de service vend des circuits de la couche 1 mis en application avec des technologies telles que le RNIS, le Digital Service 0 (DS0), l'E1, le T1, la hiérarchie synchrone (SDH) ou SONNET. Le client est responsable de l'encapsulation de la couche 2 entre les dispositifs de client et le transport pour des données IP à travers l'infrastructure. Schéma : différentes technologies d’implémentation couche 1 B°) _Implémentation couche2 Une implémentation couche 2 est le modèle WAN commuté traditionnel, mis en application avec des technologies telles que le X.25, le Frame Relay, l'ATM, et le SMDS (Switched Multimegabit Data Service). Le fournisseur de service est responsable de transporter les trames de la couche 2 entre les sites clients, et le client est responsable de toutes les couches supérieures. Schéma : les protocoles d’implémentation Couche 2 C°) _ Tunneling Un tunnel, dans le contexte de réseaux informatiques, est une encapsulation de données d'un protocole réseau dans un autre, situé dans la même couche du modèle en couches, ou dans une couche de niveau supérieur, il permet de faire circuler les informations de l'entreprise de façon sécurisée d'un bout à l'autre bout. Schéma : protocoles de tunneling dans le modèles OSI Conclusion La mise en place d'un VPN permet donc de relier un ordinateur à un réseau local ou deux réseaux locaux de manière sécurisée. Cette installation dépend de l'utilisation que l'on souhaite en faire. Ainsi, pour permettre à un utilisateur distant de se connecter au réseau de son entreprise, on privilégiera la mise en place de PPTP ou L2TP qui sont taillés pour ce type d'utilisation. Pour relier deux sites distants de manière continue, on utilisera plutôt le protocole IP Sec qui présente l'avantage d'etre sur et performant. Son principal inconvénient réside dans sa complexité de mise en place. Enfin si on a juste besoin de se connecter à un portail afin de lire ses mails, ou autres, l'utilisation de SSL est parfaitement adaptée. Comme nous l'avons vu précédemment, la mise en place d'un VPN nécessite l'étude de différents points afin de bien dimensionner son utilisation et être sur de son choix. En effet, la mise en place d'un VPN est plus qu'un défi technique mais également humain. Il faut prendre en compte la maintenance du VPN dans le cas où l'on choisit une solution interne à l'entreprise (en opposition à une solution louée à un opérateur).