1. 1
A notre raison de vivre, d’espérer,
A notre source de courage, à ceux qu’on a de plus chères,
Nos petites familles,
Pour leurs sacrifices sans limite,
A nos enseignants
Pour leurs patience, leurs soutien
Et leurs encouragements
Et à nos amis
Pour leur témoigner une amitié et fidélité indéfinies
2. UNIVERSITEE ARABE PRIVEE DES SIENCES
Je remercie le seigneur DIEU pour tous les biens fait les grace et les bénédictions dont il ma
comblé et espere qu’il en sera toujours ainsi car c toi qui me donne la force
Je suis personnellement convaincue que ce projet ne sera pas la fin de ma carrière bien au
contraire, il marquera le début d’une nouvelle expérience de ma vie privée, ma vie
professionnelle et une bonne performance dans le domaine de l’informatique.
Au seuil de ce travail, je tiens à remercier profondément mon encadrant, Madame HELALI
WAFA qui sans sa précieuse assistance, ce PFA n’aurait sans doute pas abouti.
Enfin je tien à exprimer mes sincères remerciements a tous ceux qui ont contribué de prés ou
de loin à la réalisation de ce travail.
Réalisation d’un vpn site a site Page 2
3. UNIVERSITEE ARABE PRIVEE DES SIENCES
Liste des abréviations [1]
• L2TP : Layer 2 Tunneling Protocol
• VPN : Virtual Private Network
• GRE : Generic Routing Encapsulation
• IPsec : Internet Protocol Security
• IP : Internet Protocol
• IPV4 : Internet Protocol version 4
• IPV6 : Internet Protocol version 6
• SSH : Secure Shell
• Nas : Network Access Server
• Pptp : Point-to-point tunneling protocol
• L2F : Layer 2 Forwarding
• Ppp : Point-to-Point Protocol ou protocole point à point
• ISO : International Standardisation Organisation
• LCP : Link Control Protocol
• FTP : File Transfer Protocol
• Isakmp : Internet Security Association and Key Management Protocol
• ADSL : Asymmetric Digital Subscriber Line
• Mppe : Microsoft Point to Point Encryption
• Ike : Internet Key Exchange
Réalisation d’un vpn site a site Page 3
4. UNIVERSITEE ARABE PRIVEE DES SIENCES
Introduction générale……………………………………………………………………….6
Chapitre 1 : Présentation de l’entreprise et Etude de l’existant…………………………8
Introduction………………………………………………………………………...…………9
I- Etude de l’existant.………...
………………………………………………………….9
II-
Problématique……………………………………………………………………
…...9
III- Solution…………………………………………………………………………..10
Principe général………………………………………………………………….10
Tunnel (réseau informatique)………………………………………….……….11
Fonctionnalités des Vpn…………………………………………………...…….11
Chapitre 2 : Outils de développement……………………………………………………...14
Réalisation d’un vpn site a site Page 4
5. UNIVERSITEE ARABE PRIVEE DES SIENCES
Introduction………………………………………………………………………...………..15
I Protocoles et logiciels utilisés pour réaliser une connexion Vpn…………………15
Protocole de communication……………………...………………………..……15
Protocoles de sécurité……………………………………………………..……..19
II système d’exploitation…………………………………………………………….26
III Matériel Physique……………….………………………………………………..27
Chapitre 3 : réalisation……………………………………………………………………30
Introduction………………………………………………………………………...……...30
I configurations machines…………………………………………………………30
II Configurations routeur………………………………………………………….36
Conclusion
Réalisation d’un vpn site a site Page 5
6. UNIVERSITEE ARABE PRIVEE DES SIENCES
- Le Vpn d'accès…………………………………………………………………….12
- L'intranet Vpn………………………………………………………………….….13
- L'extranet Vpn……………………………………………………………….……14
- Connexion virtuel de pptp………………………………………………………...18
- Mode transport mode tunel………………………………………………………..20
- Ike…………………………………………………………………………………22
- Représentation global……………………………………………………………..25
- La fenêtre "Connexions réseau……………………………………………………30
- La fenêtre "Bienvenue dans l’Assistant Nouvelle connexion…………………….31
- La fenêtre "Type de connexion réseau……………………………………………31
- La fenêtre "Options de connexion avancées……………………………………...32
- La fenêtre "Périphériques pour connexions entrantes…………………………….32
- La fenêtre "Connexion réseau privée virtuelle (VPN) entrante…………………..33
- La fenêtre "Autorisations des utilisateurs………………………………………...33
- La fenêtre "logiciel de réseau…………………………………………………….34
- La fenêtre "Fin de l’Assistant Nouvelle connexion………………………………35
Réalisation d’un vpn site a site Page 6
7. UNIVERSITEE ARABE PRIVEE DES SIENCES
- La fenêtre "Propriétés de Connexions entrantes………………………………….36
- La fenêtre "Propriétés TCP/IP entrantes………………………………………….37
Introduction générale
L'informatique est le domaine d'activité scientifique, technique et industriel concernant le
traitement automatique de l'information par des machines : des systèmes embarqués, des
ordinateurs, des robots, des automates, etc.
Ces champs d'application peuvent être séparés en deux branches, l'une, de nature théorique,
qui concerne la définition de concepts et modèles, et l'autre, de nature pratique, qui s'intéresse
aux techniques concrètes d'implantation et de mise en œuvre sur le terrain. Certains domaines
de l'informatique peuvent être très abstraits, comme la complexité algorithmique, et d'autres
peuvent être plus proches d'un public profane. Ainsi par exemple, la théorie des langages
demeure un domaine davantage accessible aux professionnels formés (description des
ordinateurs et méthodes de programmation), tandis que les métiers liés aux interfaces homme-
machine sont accessibles à un plus large public.
Réalisation d’un vpn site a site Page 7
8. UNIVERSITEE ARABE PRIVEE DES SIENCES
Internet est un réseau informatique mondial constitué d'un ensemble de réseaux nationaux,
régionaux et privés. L'ensemble utilise un même protocole de communication : TCP/IP,
(Transmission Control Protocol / Internet Protocol).Internet propose trois types de services
fondamentaux :
le courrier électronique (e-mail) ;
le Web (les pages avec liens et contenus multimédia de ses sites Web) ;
L’échange de fichiers par FTP (File Transfer Protocol).
Le réseau Internet sert également, et de plus en plus, aux communications téléphoniques et à
la transmission de vidéos et d'audio en direct (ou streaming), c'est-à-dire à la manière d'un
téléviseur ou d'un récepteur radio.
L'ambition d'Internet s'exprime en une phrase : relier entre eux tous les ordinateurs du monde.
À l'image du téléphone qui permet de converser avec toute personne dont on connaît le
numéro, Internet est un système mondial d'échange de documents électroniques : textes,
fichiers, images, sons et séquences audiovisuelles.
C'est l'alliance de l'informatique et des télécommunications : la télématique au véritable sens
du terme, selon un mot français peu usité. Les utilisateurs d'Internet sont désignés par le terme
d'internautes, synonyme de cybernaute, de surfer ou de netsurfer. Quant aux informations du
réseau, elles sont accessibles à partir de « lieux » que l'on appelle les sites Internet.
C'est dans les années 1990 qu'Internet s'est imposé au grand public par la grâce d'un
système de consultation aisé : le World Wide Web (WWW). Le nombre d'ordinateurs hôtes
sur le réseau double chaque année jusqu'en 1994, avant de connaître une croissance
exponentielle
le réseau fonctionne bien mais les infrastructures doivent suivre, elle impose la construction
de lignes à haut débit (comme l'ADSL et la fibre optique) et d'accès par radio.
L'adressage a dû être revu. Chaque utilisateur connecté dispose en effet d'un numéro et le
protocole IpV4 (version 4 du protocole IP) ne prévoit pas un nombre suffisant d'adresses
possibles.
Réalisation d’un vpn site a site Page 8
9. UNIVERSITEE ARABE PRIVEE DES SIENCES
De la même manière que le réseau téléphonique a dû intégrer une numérotation différente, le
protocole IPv6 augmente le nombre de chiffres dans l'adresse, passant de 32 à 128 bits. Le
nombre d'adresses possibles passe donc de 232 en IPv4, soit environ 4 milliards, à 2128, soit
3,4 x 1038, une quantité à peu près incommensurable.
En avril 2012, il y aurait 677 millions de sites Web (selon le suivi de Netcraft) et plus de
deux milliards d'utilisateurs (selon différentes sources, notamment l'UIT et Internet Word
Stats).
Réalisation d’un vpn site a site Page 9
Chapitre 1 :
Etude de l’existant
10. UNIVERSITEE ARABE PRIVEE DES SIENCES
I Etude de l’existant
Les applications et les systèmes distribués font de plus en plus partie intégrante du paysage
d'un grand nombre d'entreprises. Ces technologies ont pu se développer grâce aux
performances toujours plus importantes des réseaux locaux. Mais le succès de ces applications
a fait aussi apparaître un de leur écueil.
En effet si les applications distribuées deviennent le principal outil du système d'information
de l'entreprise, comment assurer leur accès sécurisé au sein de structures parfois réparties sur
de grandes distances géographiques ? Concrètement comment une succursale d'une entreprise
peut-elle accéder aux données situées sur un serveur de la maison mère distant de plusieurs
milliers de kilomètres ? Les WAN ont commencé à être mis en place pour répondre à Ce type
de problématique.
Mais d'autres problématiques sont apparues ce qui n’empêche qu’ils ont aujourd'hui pris une
place importante dans les réseaux informatique et l'informatique distribuées. Mais dans un
cadre plus restreint on retrouve les réseaux LAN et pour communiqué que ce soit entre un
Réalisation d’un vpn site a site Page 10
11. UNIVERSITEE ARABE PRIVEE DES SIENCES
client et entreprise ou alors entreprise et ses diverses représentations des site web, des boites
email, des compte dans les différents réseaux sociaux existant sur la toile
II Problématique
Le monde devient de plus en plus un village plante terre on a besoin d’être ici comme ailleurs
on a besoin de communiquer les entreprise quand a elle ouvre des représentations dans le
monde ou les employer ont besoin d’être en contact en temps réel avec les autres succursale.
De ce fait on a besoin d’implémente des moyens de communications de plus en plus
perfectionné et des réseaux des sites web plus ou moins couteux il est très couteux de
concevoir un réseau local entre deux entreprise se trouvant a des grandes distances et aussi la
qualité des informations se dégrade plus la distance est grande.
Cela du au limites soit naturel ellipsoïde de fresnel ou alors dû au matériel utilisé lors de la
conception et avec une sécurité douteuse ou encore humain avec la recrudescence du
phénomène de piratage informatique du soit à la concurrence entre les entreprises soit tout
simplement à la cupidité de ces bandits de la nouvelle génération.
Pour ce qui les site web et les réseaux sociaux L'Internet quant à lui est un vaste monde
peuplé de dangers potentiels et de risques en tous genres. Comment alors, dans ce contexte,
partager sereinement des documents confidentiels ou des informations sensibles
III Solution
Pour résoudre tous les problèmes énoncé plus haut nous avons pensée a la mise en œuvre d’un
réseau vpn (vitual priverat network) réseaux virtuel utilisant comme support l’internet
1- Principe général
Un réseau Vpn repose sur un protocole appelé "protocole de tunneling". Ce protocole
permet de faire circuler les informations de l'entreprise de façon cryptée d'un bout à l'autre
du tunnel. Ainsi, les utilisateurs ont l'impression de se connecter directement sur le réseau
de leur entreprise.
Le principe de tunneling consiste à construire un chemin virtuel après avoir identifié
l'émetteur et le destinataire. Par la suite, la source chiffre les données et les achemine en
empruntant Ce chemin virtuel. Afin d'assurer un accès aisé et peu coûteux aux intranets ou
aux extranets d'entreprise, les réseaux privés virtuels d'accès simulent un réseau privé,
alors qu'ils utilisent en réalité une infrastructure d'accès partagée, commeInternet.
Les données à transmettre peuvent être prises en charge par un protocole différent d'Ip.
Réalisation d’un vpn site a site Page 11
12. UNIVERSITEE ARABE PRIVEE DES SIENCES
Dans Ce cas, le protocole de tunneling encapsule les données en ajoutant une en-tête. Le
tunneling est l'ensemble des processus d'encapsulation, de transmission et de
désencapsulation.
2- Tunnel (réseau informatique)
Un tunnel, dans le contexte de réseaux informatiques, est une encapsulation de données d'un
protocole réseau dans un autre, situé dans la même couche du modèle en couches, ou dans une
couche de niveau supérieur.
Par exemple, pour faire passer le protocole IPv6 dans l'Internet actuel (qui est presque
entièrement en IPv4) on va créer un tunnel entre deux machines IPv4; ce tunnel, pour le
protocole IPv6, semblera un simple lien point-à-point (un logiciel comme trace route ne verra
donc pas le tunnel).
En sécurité, on crée souvent des tunnels chiffrés, par exemple avec SSH. Les données peuvent
alors y circuler sans craindre d'être écoutées Les tunnels peuvent être utilisés pour créer des
réseaux privés virtuels (VPN).
Exemples de tunnels
• L2TP
• GRE
• 6to4
• IPsec
3- Fonctionnalités des Vpn
Il existe 3 types standards d'utilisation des Vpn. En étudiant ces schémas d'utilisation, il
est possible d'isoler les fonctionnalités indispensables des Vpn.
- Le Vpn d'accès
Réalisation d’un vpn site a site Page 12
13. UNIVERSITEE ARABE PRIVEE DES SIENCES
Le Vpn d'accès est utilisé pour permettre à des utilisateurs itinérants d'accéder au
réseau privé. L'utilisateur se sert d'une connexion Internet pour établir la connexion
Vpn. Il existe deux cas:
L'utilisateur demande au fournisseur d'accès de lui établir une connexion cryptée vers le
serveur distant : il communique avec le Nas (Network Access Server) du fournisseur d'accès
et c'est le Nas qui établit la connexion cryptée.
L'utilisateur possède son propre logiciel client pour le Vpn auquel cas il établit directement la
communication de manière cryptée vers le réseau de l'entreprise.
Les deux méthodes possèdent chacune leurs avantages et leurs inconvénients :
La première permet à l'utilisateur de communiquer sur plusieurs réseaux en créant plusieurs
tunnels, mais nécessite un fournisseur d'accès proposant un Nas compatible avec la solution
Vpn choisie par l'entreprise. De plus, la demande de connexion par le Nas n'est pas cryptée Ce
qui peut poser des problèmes de sécurité.
Sur la deuxième méthode Ce problème disparaît puisque l'intégralité des informations sera
cryptée dès l'établissement de la connexion. Par contre, cette solution nécessite que chaque
client transporte avec lui le logiciel, lui permettant d'établir une communication cryptée. Nous
verrons que pour pallier Ce problème certaines entreprises mettent en place des Vpn à base de
Ssl, technologie implémentée dans la majorité des navigateurs Internet du marché.
Quelle que soit la méthode de connexion choisie, Ce type d'utilisation montre bien
l'importance dans le Vpn d'avoir une authentification forte des utilisateurs. Cette
authentification peut se faire par une vérification "login / mot de passe", par un algorithme dit
"Tokens sécurisés" (utilisation de mots de passe aléatoires) ou par certificats numériques.
Réalisation d’un vpn site a site Page 13
14. UNIVERSITEE ARABE PRIVEE DES SIENCES
- L'intranet Vpn
L'intranet Vpn est utilisé pour relier au moins deux intranets entre eux. Ce type de
réseau est particulièrement utile au sein d'une entreprise possédant plusieurs sites
distants.
Le plus important dans Ce type de réseau est de garantir la sécurité et l'intégrité des
données. Certaines données très sensibles peuvent être amenées à transiter sur le Vpn
(base de données clients, informations financières...).
Des techniques de cryptographie sont mises en oeuvre pour vérifier que les données
n'ont pas été altérées. Il s'agit d'une authentification au niveau paquet pour assurer la
validité des données, de l'identification de leur source ainsi que leur non-répudiation.
La plupart des algorithmes utilisés font appel à des signatures numériques qui sont
ajoutées aux paquets. La confidentialité des données est, elle aussi, basée sur des
algorithmes de cryptographie. La technologie en la matière est suffisamment avancée
pour permettre une sécurité quasi parfaite.
Le coût matériel des équipements de cryptage et décryptage ainsi que les limites
légales interdisent l'utilisation d'un codage " infaillible ". Généralement pour la
confidentialité, le codage en lui-même pourra être moyen, mais sera combiné avec
d'autres techniques comme l'encapsulation Ip dans Ip pour assurer une sécurité
raisonnable.
- L'extranet Vpn
Réalisation d’un vpn site a site Page 14
15. UNIVERSITEE ARABE PRIVEE DES SIENCES
Une entreprise peut utiliser le Vpn pour communiquer avec ses clients et ses
partenaires. Elle ouvre alors son réseau local à ces derniers. Dans Ce cadre, il est
fondamental que l'administrateur du Vpn puisse tracer les clients sur le réseau et gérer
les droits de chacun sur celui-ci.
Réalisation d’un vpn site a site Page 15
16. UNIVERSITEE ARABE PRIVEE DES SIENCES
Introduction
Un système de Vpn doit pouvoir mettre en œuvre les fonctionnalités suivantes :
Authentification d'utilisateur. Seuls les utilisateurs autorisés doivent pouvoir s'identifier sur le
réseau virtuel. De plus, un historique des connexions et des actions effectuées sur le réseau
doit être conservé.
Gestion d'adresses. Chaque client sur le réseau doit avoir une adresse privée. Cette adresse
privée doit rester confidentielle. Un nouveau client doit pourvoir se connecter facilement au
réseau et recevoir une adresse.
Réalisation d’un vpn site a site Page 16
Chapitre 2 :
Outils de développement
17. UNIVERSITEE ARABE PRIVEE DES SIENCES
Cryptage des données. Lors de leurs transports sur le réseau public les données doivent être
protégées par un cryptage efficace.
Gestion de clés. Les clés de cryptage pour le client et le serveur doivent pouvoir être générées
et régénérées.
Prise en charge multi protocole. La solution Vpn doit supporter les protocoles les plus utilisés
sur les réseaux publics en particulier IP.
Le Vpn est un principe : il ne décrit pas l'implémentation effective de ces caractéristiques.
C'est pourquoi il existe plusieurs produits différents sur le marché dont certains sont devenus
standard, et même considérés comme des normes.
I- Protocoles et logiciels utilisés pour réaliser une
connexion Vpn : [2]
Nous pouvons classer les protocoles que nous allons étudier en deux catégories:
Les protocoles de niveau 2 comme Pptp et L2tp.
Les protocoles de niveau 3 comme IP sec ou Mpls.
Il existe en réalité trois protocoles de niveau 2 permettant de réaliser des Vpn : Pptp (de
Microsoft), L2F (développé par CISCO) et enfin L2tp. Nous n'évoquerons dans cette étude
que Pptp et L2tp : le protocole L2F ayant aujourd'hui quasiment disparut.
Le protocole Pptp aurait sans doute lui aussi disparut sans le soutien de Microsoft qui
continue à l'intégrer à ses systèmes d'exploitation Windows. L2tp est une évolution de Pptp et
Les protocoles de couche 2 dépendent des fonctionnalités spécifiées pour Ppp (Point to Point
Protocol), c'est pourquoi nous allons tout d'abord rappeler le fonctionnement de Ce protocole.
1- protocole de communication
- Le protocole Pptp
Pptp, définit par la Rfc 2637, est un protocole qui utilise une connexion Ppp à travers un
réseau Ip en créant un réseau privé virtuel (Vpn). Microsoft a implémenté ses propres
algorithmes afin de l'intégrer dans ses versions de windows.
Réalisation d’un vpn site a site Page 17
18. UNIVERSITEE ARABE PRIVEE DES SIENCES
Ainsi, Pptp est une solution très employée dans les produits Vpn commerciaux à cause de son
intégration au sein des systèmes d'exploitation Windows. Pptp est un protocole de niveau 2
qui permet l'encryptage des données ainsi que leur compression.
L'authentification se fait grâce au protocole Ms-Chap de Microsoft qui, après la cryptanalyse
de sa version 1, a révélé publiquement des failles importantes. Microsoft a corrigé ces
défaillances et propose aujourd'hui une version 2 de Ms-Chap plus sûre.
Le principe du protocole Pptp est de créer des paquets sous le protocole Ppp et de les
encapsuler dans des datagrammes IP. Pptp crée ainsi un tunnel de niveau 3 défini par le
protocole Gre (Generic Routing Encapsulation).
Le tunnel Pptp se caractérise par une initialisation du client, une connexion de contrôle entre
le client et le serveur ainsi que par la clôture du tunnel par le serveur. Lors de l'établissement
de la connexion,
le client effectue d'abord une connexion avec son fournisseur d'accès Internet. Cette première
connexion établie une connexion de type Ppp et permet de faire circuler des données sur
Internet. Par la suite, une deuxième connexion dial-up est établie. Elle permet d'encapsuler les
paquets Ppp dans des datagrammes IP.
C'est cette deuxième connexion qui forme le tunnel Pptp. Tout trafic client conçu pour
Internet emprunte la connexion physique normale, alors que le trafic conçu pour le réseau
privé distant passe par une connexion virtuel de ppp
Plusieurs protocoles peuvent être associés à Pptp afin de sécuriser les données ou de les
Réalisation d’un vpn site a site Page 18
19. UNIVERSITEE ARABE PRIVEE DES SIENCES
compresser. On retrouve évidement les protocoles développés par Microsoft et cités
précédemment. Ainsi, pour le processus d'identification.
il est possible d'utiliser les protocoles Pap (Password Authentification Protocol) ou MsChap.
Pour l'encryptage des données, il est possible d'utiliser les fonctions de Mppe (Microsoft Point
to Point Encryption).
Enfin, une compression de bout en bout peut être réalisée par Mppc (Microsoft Point to Point
Compression). Ces divers protocoles permettent de réaliser une connexion Vpn complète,
mais les protocoles suivants permettent un niveau de performance et de fiabilité bien meilleur.
- Le protocole L2tp
L2tp, définit par la Rfc 2661, est issu de la convergence des protocoles Pptp et L2F. Il est
actuellement développé et évalué conjointement par Cisco Systems, Microsoft, Ascend, 3Com
ainsi que d'autres acteurs clés du marché des réseaux.
Il permet l'encapsulation des paquets Ppp au niveau des couches 2 (Frame Relay et Atm) et 3
(Ip). Lorsqu'il est configuré pour transporter les données sur IP, L2tp peut être utilisé pour
faire du tunnelling sur Internet. L2tp repose sur deux concepts : les concentrateurs d'accès
L2tp (Lac : L2tp Access Concentrator) et les serveurs réseau L2tp (Lns : L2tp Network
Server). L2tp n'intègre pas directement de protocole pour le chiffrement des données. C'est
pourquoi L'IETF préconise l'utilisation conjointe d'Ipsec et L2tp.
2- Protocoles de sécurité
- Le protocole Ipsec
Réalisation d’un vpn site a site Page 19
20. UNIVERSITEE ARABE PRIVEE DES SIENCES
Ipsec, définit par la Rfc 2401, est un protocole qui vise à sécuriser l'échange de données au
niveau de la couche réseau. Le réseau Ipv4 étant largement déployé et la migration vers Ipv6
étant inévitable, mais néanmoins longue, il est apparu intéressant de développer des
techniques de protection des données communes à Ipv4 et Ipv6.
Ces mécanismes sont couramment désignés par le terme Ipsec pour Ip Security Protocols.
Ipsec est basé sur deux mécanismes. Le premier, AH, pour Authentification Header vise à
assurer l'intégrité et l'authenticité des datagrammes IP. Il ne fournit par contre aucune
confidentialité : les données fournies et transmises par Ce "protocole" ne sont pas encodées.
Le second, Esp, pour Encapsulating Security Payload peut aussi permettre l'authentification
des données mais est principalement utilisé pour le cryptage des informations. Bien
qu'indépendants ces deux mécanismes sont presque toujours utilisés conjointement.
Enfin, le protocole Ike permet de gérer les échanges ou les associations entre protocoles de
sécurité. Avant de décrire ces différents protocoles, nous allons exposer les différents
éléments utilisésdans Ipsec.
Les deux modes de fonctionnement de Ipsec
Le mode transport prend un flux de niveau transport (couche de niveau 4 du modèle OSI) et
réalise les mécanismes de signature et de chiffrement puis transmet les données à la couche
Ip. Dans Ce mode, l'insertion de la couche Ipsec est transparente entre Tcp et Ip.
L'inconvénient de Ce mode réside dans le fait que l'en-tête extérieur est produit par la couche
Ip c'est-à-dire sans masquage d'adresse. De plus, le fait de terminer les traitements par la
couche Ip ne permet pas de garantir la non-utilisation des options Ip potentiellement
dangereuses. L'intérêt de Ce mode réside dans une relative facilité de mise en oeuvre.
Dans le mode tunnel, les données envoyées par l'application traversent la pile de protocole
jusqu'à la couche Ip incluse, puis sont envoyées vers le module Ipsec. L'encapsulation Ipsec
en mode tunnel permet le masquage d'adresses. Le mode tunnel est utilisé entre deux
passerelles de sécurité (routeur, firewall, ...) alors que le mode transport se situe entre deux
hôtes.
Réalisation d’un vpn site a site Page 20
21. UNIVERSITEE ARABE PRIVEE DES SIENCES
2 Ike (Internet Key Exchange)
IKE utilise Isakmp pour construire un protocole pratique. Il comprend quatre modes :
Le mode principal (Main mode)
Le mode agressif (Aggressive Mode)
Le mode rapide (Quick Mode)
Le mode nouveau groupe (New Groupe Mode)
Main Mode et Aggressive Mode sont utilisés durant la phase 1, Quick Mode est un échange
de phase 2. New Group Mode est un peu à part : Ce n'est ni un échange de phase 1, ni un
échange de phase 2, mais il ne peut avoir lieu qu'une fois qu'une SA Isakmp est établie ; il sert
à se mettre d'accord sur un nouveau groupe pour de futurs échanges Diffie-Hellman.
a) Phase 1 Main Mode Aggressive Mode
Réalisation d’un vpn site a site Page 21
22. UNIVERSITEE ARABE PRIVEE DES SIENCES
Les attributs suivants sont utilisés par Ike et négociés durant la phase 1 : un algorithme de
chiffrement, une fonction de hachage, une méthode d'authentification et un groupe pour
Diffie-Hellman.
Trois clefs sont générées à l'issue de la phase 1 : une pour le chiffrement, une pour
l'authentification et une pour la dérivation d'autres clefs. Ces clefs dépendent des cookies, des
aléas échangés et des valeurs publiques Diffie-Hellman ou du secret partagé préalable. Leur
calcul fait intervenir la fonction de hachage choisie pour la SA Isakmp et dépend du mode
d'authentification choisi. Les formules exactes sont décrites dans la Rfc 2409.
b) Phase 2 QuickMode
Les messages échangés durant la phase 2 sont protégés en authenticité et en confidentialité
grâce aux éléments négociés durant la phase 1. L'authenticité des messages est assurée par
l'ajout d'un bloc Hash
Quick Mode est utilisé pour la négociation de SA pour des protocoles de sécurité donnés
comme Ipsec. Chaque négociation aboutit en fait à deux SA, une dans chaque sens de la
communication.
Plus précisément, les échanges composant Ce mode ont le rôle suivant :
Négocier un ensemble de paramètres Ipsec (paquets de SA)
Échanger des nombres aléatoires, utilisés pour générer une nouvelle clef qui dérive du secret
généré en phase 1 avec le protocole Diffie-Hellman. De façon optionnelle, il est possible
d'avoir recours à un nouvel échange Diffie-Hellman, afin d'accéder à la propriété de Perfect
Forward Secrecy, qui n'est pas fournie si on se contente de générer une nouvelle clef à partir
de l'ancienne et des aléas.
Optionnellement, identifier le trafic que Ce paquet de SA protégera, au moyen de sélecteurs
(blocs optionnels IDi et IDr ; en leur absence, les adresses Ip des interlocuteurs sont utilisées).
Le groupe à utiliser pour Diffie-Hellman peut être négocié, par le biais du bloc SA, soit au
Réalisation d’un vpn site a site Page 22
23. UNIVERSITEE ARABE PRIVEE DES SIENCES
cours du Main Mode, soit ultérieurement par le biais du New Group Mode. Dans les deux cas,
il existe deux façons de désigner le groupe à utiliser :
Donner la référence d'un groupe prédéfini : il en existe actuellement quatre, les quatre groupes
Oakley (deux groupes MODP et deux groupes EC2N).
Donner les caractéristiques du groupe souhaité : type de groupe (MODP, ECP, EC2N),
nombre premier ou polynôme irréductible, générateurs...
Au final, le déroulement d'une négociation IKE suit le diagramme suivant :
- Le protocole Ah (Authentication Header)
Réalisation d’un vpn site a site Page 23
24. UNIVERSITEE ARABE PRIVEE DES SIENCES
L'absence de confidentialité permet de s'assurer que Ce standard pourra être largement
répandu sur Internet, y compris dans les endroits où l'exportation, l'importation ou l'utilisation
du chiffrement dans des buts de confidentialité est restreint par la loi.
Son principe est d'adjoindre au datagramme Ip classique un champ supplémentaire permettant
à la réception de vérifier l'authenticité des données incluses dans le datagramme. Ce bloc de
données est appelé "valeur de vérification d'intégrité" (Intégrity Check Value, Icv). La
protection contre le rejet se fait grâce à un numéro de séquence.
- Protocole Esp (Encapsulating Security Payload)
Esp peut assurer au choix, un ou plusieurs des services suivants :
Confidentialité (confidentialité des données et protection partielle contre l'analyse du trafic si
l'on utilise le mode tunnel).
Intégrité des données en mode non connecté et authentification de l'origine des données,
protection contre le rejeu.
Réalisation d’un vpn site a site Page 24
25. UNIVERSITEE ARABE PRIVEE DES SIENCES
La confidentialité peut être sélectionnée indépendamment des autres services, mais son
utilisation sans intégrité/authentification (directement dans Esp ou avec AH) rend le trafic
vulnérable à certains types d'attaques actives qui pourraient affaiblir le service de
confidentialité.
Le champ bourrage peut être nécessaire pour les algorithmes de chiffrement par blocs ou pour
aligner le texte Les données d'authentification ne sont présentes que si Ce service à été
sélectionné
Voyons maintenant comment est appliquée la confidentialité dans Esp.
- L'expéditeur :
Encapsule, dans le champ "charge utile" d’Esp, les données transportées par le datagramme
original et éventuellement l'en-tête Ip (mode tunnel).
Ajoute si nécessaire un bourrage.
Chiffre le résultat (données, bourrage, champs longueur et en-tête suivant).
Ajoute éventuellement des données de synchronisation cryptographiques (vecteur
d'initialisation) au début du champ "charge utile".
Le schéma ci-dessous représente tous les éléments présentés ci-dessus
Réalisation d’un vpn site a site Page 25
26. UNIVERSITEE ARABE PRIVEE DES SIENCES
On distingue deux situations :
Trafic sortant
Lorsque la "couche" Ipsec reçoit des données à envoyer, elle commence par consulter la base
de données des politiques de sécurité (SPD) pour savoir comment traiter ces données. Si cette
base lui indique que le trafic doit se voir appliquer des mécanismes de sécurité, elle récupère
les caractéristiques requises pour la SA correspondante et va consulter la base des SA (SAD).
Si la SA nécessaire existe déjà, elle est utilisée pour traiter le trafic en question. Dans le cas
contraire, Ipsec fait appel à IKE pour établir une nouvelle SA avec les caractéristiques
requises.
Trafic entrant
Lorsque la couche Ipsec reçoit un paquet en provenance du réseau, elle examine l'en-tête pour
savoir si Ce paquet s'est vu appliquer un ou plusieurs services Ipsec et si oui, quelles sont les
références de la SA. Elle consulte alors la SAD pour connaître les paramètres à utiliser pour la
vérification et/ou le déchiffrement du paquet. Une fois le paquet vérifié et/ou déchiffré, la Spd
est consultée pour savoir si l'association de sécurité appliquée au paquet correspondait bien à
celle requise par les politiques de sécurité.
Réalisation d’un vpn site a site Page 26
27. UNIVERSITEE ARABE PRIVEE DES SIENCES
Dans le cas où le paquet reçu est un paquet Ip classique, la Spd permet de savoir s'il a
néanmoins le droit de passer. Par exemple, les paquets IKE sont une exception. Ils sont traités
par Ike, qui peut envoyer des alertes administratives en cas de tentative de connexion
infructueuse.
II- Système d’exploitation [5]
Windows XP est une famille de systèmes d'exploitation multitâches propriétaires, développée
par Microsoft, permettant l'usage d'un ordinateur tel qu'un ordinateur fixe, un portable
ou encore un Media Center. Les lettres "XP" proviennent d'eXPerience1.
Windows XP est officiellement le successeur de Windows Me et de Windows 2000. Depuis
plusieurs années, Microsoft souhaitait fédérer ses familles de systèmes d’exploitation
(grand public et professionnels) en une seule famille, dans le but de réduire les coûts de
développement et de maintenance.
Windows 2000 devait remplir ce rôle, mais la complexité de son interface d'administration fit
qu'il sera rejeté par le grand public. En 1999, le projet Windows Neptune, qui devait
fournir la version "familiale" de Windows 2000 est abandonné. Il est remplacé par le
projet Whistler, reprenant de nombreuses idées des projets Neptune et Odyssey, qui
donne naissance à Windows XP et à ses deux versions : grand public et professionnelle.
Les deux versions utilisent le noyau et l'architecture de NT (dite version 5.1). La version
grand public est ainsi la même que la version professionnelle, mais elle est allégée de
toutes les fonctions estimées inutiles pour un usage domestique.
Windows XP est sorti le 25 octobre 2001 et selon une estimation d'un institut de statistiques
américaines, il a été vendu à près de 400 millions de copies en janvier 20062. Il a été
successivement remplacé par Windows Vista le 30 janvier 2007 puis par Windows 7 le
22 octobre 2009. La commercialisation de Windows XP fut arrêtée le 30 juin 2008, sauf
pour les mini-portables et les grandes entreprises.
L'édition la plus courante de Windows XP est la version Familiale qui est conçue pour les
utilisateurs domestiques tandis que la version Professionnelle, qui comprend entre
autres des fonctionnalités réseau et d'administration supplémentaires, est destinée aux
entreprises utilisant des réseaux et des serveurs. Il est à noter que cette dernière coûte
plus cher que l'édition Familiale. Windows XP Media Center a des fonctionnalités
multimédia complémentaires pour permettre par exemple de voir et d'enregistrer la TV,
Réalisation d’un vpn site a site Page 27
28. UNIVERSITEE ARABE PRIVEE DES SIENCES
regarder plus confortablement des DVD. Windows XP pour Tablet PC est une version
spécialement conçue pour les Tablet PC's. Deux versions distinctes de Windows XP en
64 bits sont sorties, une pour les processeurs Itanium et une pour les processeurs x86-
64.
NB le VNP peut aussi bien s implémenter sur d autre SE (linux mac ios androide…).
III – Matériel physique
- Concentrateurs d'accès L2tp (Lac : L2tp Access Concentrator)
Les périphériques Lac fournissent un support physique aux connexions L2tp. Le trafic étant
alors transféré sur les serveurs réseau L2tp. Ces serveurs peuvent s'intégrer à la structure d'un
réseau commuté Rtc ou alors à un système d'extrémité Ppp prenant en charge le protocole
L2tp. Ils assurent le fractionnement en canaux de tous les protocoles basés sur Ppp. Le Lac est
l'émetteur des appels entrants et le destinataire des appels sortants.
- Serveur réseau L2tp (Lns : L2tp Network Server)
Les serveurs réseau L2tp ou Lns peuvent fonctionner sur toute plate-forme prenant en charge
la terminaison Ppp. Le Lns gère le protocole L2tp côté serveur. Le protocole L2tp n'utilise
qu'un seul support, sur lequel arrivent les canaux L2tp. C'est pourquoi, les serveurs réseau
Lns, ne peuvent avoir qu'une seule interface de réseau local (Lan) ou étendu (Wan). Ils sont
cependant capables de terminer les appels en provenance de n'importe quelle interface Ppp du
concentrateur d'accès Lac : async., Rnis, Ppp sur Atm ou Ppp sur relais de trame. Le Lns est
l'émetteur des appels sortants et le destinataire des appels entrants. C'est le Lns qui sera
responsable de l'authentification du tunnel.
- Routeurs P, Pe et Ce
Une terminologie particulière est employée pour désigner les routeurs (en fonction de leur
rôle) dans un environnement Mpls / Vpn :
P (Provider) : ces routeurs, composant le coeur du backbone Mpls, n'ont aucune connaissance
de la notion de Vpn. Ils se contentent d'acheminer les données grâce à la commutation de
labels ;
Réalisation d’un vpn site a site Page 28
29. UNIVERSITEE ARABE PRIVEE DES SIENCES
Pe (Provider Edge) : ces routeurs sont situés à la frontière du backbone Mpls et ont par
définition une ou plusieurs interfaces reliées à des routeurs clients ;
Ce (Customer Edge) : ces routeurs appartiennent au client et n'ont aucune connaissance des
Vpn ou même de la notion de label. Tout routeur « traditionnel » peut être un routeur Ce, quel
que soit son type ou la version d'OS utilisée.
- Routeurs Virtuels : VRF
La notion même de Vpn implique l'isolation du trafic entre sites clients n'appartenant pas aux
mêmes Vpn. Pour réaliser cette séparation, les routeurs Pe ont la capacité de gérer plusieurs
tables de routage grâce à la notion de Vrf (Vpn Routing and Forwarding). Une Vrf est
constituée d'une table de routage, d'une Fib (Forwarding Information Base) et d'une table
Cef spécifiques, indépendantes des autres Vrf et de la table de routage globale. Chaque Vrf
est désignée par un nom (par ex. RED, GREEN, etc.) sur les routeurs Pe. Les noms sont
affectés localement et n'ont aucune signification vis-à-vis des autres routeurs.
Chaque interface de Pe, reliée à un site client, est rattachée à une Vrf particulière. Lors de la
réception de paquets Ip sur une interface client, le routeur Pe procède à un examen de la table
de routage de la Vrf à laquelle est rattachée l'interface et donc ne consulte pas sa table de
routage globale. Cette possibilité d'utiliser plusieurs tables de routage indépendantes permet
de gérer un plan d'adressage par sites, même en cas de recouvrement d'adresses entre Vpn
différents.
Réalisation d’un vpn site a site Page 29
30. UNIVERSITEE ARABE PRIVEE DES SIENCES
Réalisation d’un vpn site a site Page 30
Chapitre 3 :
Réalisation
31. UNIVERSITEE ARABE PRIVEE DES SIENCES
Introduction
Votre système d’exploitation Windows XP vous permet de créer en toute sécurité, via
Internet, votre propre réseau privé virtuel. Voici une suite de manipulations pour configurer
correctement votre ordinateur comme serveur pour une connexion VPN...
I : Configuration des machines [4]
Il est nécessaire de régler le pare-feu (Comment désactiver le pare-feu ?) ; de mettre l'adresse
IP locale du serveur VPN dans la DMZ ; de s'assurer que votre ordinateur faisant office de
serveur dispose d'un pare-feu correctement configuré. Pour une utilisation fréquente de votre
serveur VPN, nous vous conseillons de le configurer avec une adresse IP fixe (Comment
configurer un ordinateur avec une adresse IP fixe ?). Comment configurer votre ordinateur en
tant que serveur VPN sous Windows XP ?
1 Cliquez sur le bouton "Démarrer", choisissez "Paramètres" et "Panneau de configuration",
puis sélectionnez "Connexions réseau".
2 La fenêtre "Connexions réseau" s’affiche. Cliquez sur "Créer une nouvelle connexion".
3 La fenêtre "Bienvenue dans l’Assistant Nouvelle connexion" s’affiche. Cliquez sur le
bouton "Suivant >".
Réalisation d’un vpn site a site Page 31
32. UNIVERSITEE ARABE PRIVEE DES SIENCES
4 La fenêtre "Type de connexion réseau" s’affiche. Sélectionnez la proposition "Configurer
une connexion avancée", puis cliquez sur le bouton "Suivant >".
Réalisation d’un vpn site a site Page 32
33. UNIVERSITEE ARABE PRIVEE DES SIENCES
5 La fenêtre "Options de connexion avancées" s’affiche. Sélectionnez la proposition
"Accepter les connexions entrantes", puis cliquez sur le bouton "Suivant >".
6 La fenêtre "Périphériques pour connexions entrantes" s’affiche. Ne cochez rien, puis cliquez
sur le bouton "Suivant >".
Réalisation d’un vpn site a site Page 33
34. UNIVERSITEE ARABE PRIVEE DES SIENCES
7 La fenêtre "Connexion réseau privée virtuelle (VPN) entrante" s’affiche. Sélectionnez le
choix "Autorisez les connexions privées virtuelles", puis cliquez sur le bouton "Suivant >".
Réalisation d’un vpn site a site Page 34
35. UNIVERSITEE ARABE PRIVEE DES SIENCES
8 La fenêtre "Autorisations des utilisateurs" s’affiche. Sélectionnez le(s) utilisateur(s)
autorisé(s) à se connecter, puis cliquez sur le bouton "Suivant >".
Réalisation d’un vpn site a site Page 35
36. UNIVERSITEE ARABE PRIVEE DES SIENCES
Si l’utilisateur n’apparaît pas dans la liste, cliquez sur le bouton "Ajouter", renseignez les
différents champs, puis cliquez sur le bouton "OK".
Réalisation d’un vpn site a site Page 36
37. UNIVERSITEE ARABE PRIVEE DES SIENCES
9 La fenêtre "logiciel de réseau" s’affiche. Sélectionnez les services, protocoles et clients que
vous désirez activer. Par défaut, nous vous conseillons de ne rien modifier. Cliquez ensuite
sur le bouton "Suivant >".
10 La fenêtre "Fin de l’Assistant Nouvelle connexion" s’affiche. Cliquez sur le bouton
"Terminer".
Réalisation d’un vpn site a site Page 37
38. UNIVERSITEE ARABE PRIVEE DES SIENCES
11 Suite à cette dernière série de manipulations, pour configurer les propriétés de la
connexion VPN créée, il vaut à présent retourner dans la fenêtre "Connexion réseau".
Effectuez un clic droit sur la connexion VPN ainsi créée, puis sélectionnez dans le menu
contextuel "Propriétés".
Réalisation d’un vpn site a site Page 38
39. UNIVERSITEE ARABE PRIVEE DES SIENCES
12 La fenêtre "Propriétés de Connexions entrantes" s’affiche. Cliquez sur l’onglet "Gestion de
réseau". Sélectionnez Protocole Internet (TCP/IP), puis cliquez sur "Propriétés".
Réalisation d’un vpn site a site Page 39
40. UNIVERSITEE ARABE PRIVEE DES SIENCES
13 La fenêtre "Propriétés TCP/IP entrantes" s’affiche... Une série d'options apparaîssent :
L'option "Autoriser les correspondants appelant à accéder à mon réseau local"
permet de configurer votre ordinateur comme routeur (si l'option est
décochée, l'appelant n'aura accès qu'à votre ordinateur ; si l'option est cochée,
l'appelant pourra accéder aux autres ordinateurs de votre réseau).
L’option "Attribuer les adresses TCP/IP automatiquement avec DCHP"
permet d’assigner automatiquement les adresses TCP/IP.
Réalisation d’un vpn site a site Page 40
41. UNIVERSITEE ARABE PRIVEE DES SIENCES
L’option Spécifier des adresses TCP/IP permet d'indiquer une plage d'adresse
à utiliser pour les appelants.Elle est utile lorsqu'il n'y a pas sur le réseau de
serveur DHCP.
REMARQUE : le nombre d'adresses allouées, calculé en fonction des
adresses tapées dans les zones "De" et "À", s'affiche dans la zone "Total".
L’option "Autoriser l'ordinateur appelant à spécifier sa propre adresse IP"
inverse le processus d'attribution de l'adresse. Ce n'est plus votre ordinateur
qui attribue une adresse mais l’ordinateur de l’appelant.
ATTENTION : cette option risque de provoquer des conflits d’adresses IP sur
votre réseau.
Cliquez sur le bouton "OK".
Votre ordinateur est maintenant configuré correctement en tant que serveur pour un réseau
virtuel via une connexion VPN
Test de la connexion VPN.
Ouvrez votre navigateur Web, puis saisissez dans la barre d’adresses l’IP du serveur VPN.
Réalisation d’un vpn site a site Page 41
42. UNIVERSITEE ARABE PRIVEE DES SIENCES
Si vous affichez les dossiers partagés du serveur VPN, c’est que la connexion VPN fonctionne
correctement.
II : Configuration routeurs : [3]
Configuration du réseau sans cryptage
SITE 1 :
router(config)# hostname site1
site1(config)# interface ethernet0/0
site1(config-if)# ip address 172.16.0.1 255.255.255.0
site1(config-if)# no shudown
site1(config-if)# exit
site1(config) # interface serial 0/0
site1(config-if) # ip address 10.1.1.2 255.255.255.252
site1(config-if) # no shudown
site1(config-if) # exit
site1(config) # ip route 192.168.0.0 255.255.255.0 10.1.1.1
SITE 2 :
router(config)# hostname site2
site2(config)# interface Fastethernet0/0
site2(config-if)# ip address 192.168.0.1 255.255.255.0
site2(config-if)# no shudown
site2(config-if)# exit
site2(config) # interface serial 1/0
Réalisation d’un vpn site a site Page 42
43. UNIVERSITEE ARABE PRIVEE DES SIENCES
site2(config-if) # ip address 10.1.1.1 255.255.255.252
site2(config-if) # clock rate 64000
site2(config-if) # no shudown
site2(config-if) # exit
site2(config) # ip route 172.16.0.0 255.255.255.0 10.1.1.2
Configuration CA
SITE 1 :
site1# clock set 10:14:59 22 jun 2007
site1(config) # ip domain-name bMCI.ma
site1(config) # ip host vpnca 172.16.0.10
site1(config) # crypto key generate rsa usage-keys
site1(config) # crypto ca trustpoint vpnca
http://vpnca/certsrv/mscep/mscep.dll
site1(ca-truspoint) # exit
site1(config) # crypto ca authenticate vpnca
SITE 2 :
Réalisation d’un vpn site a site Page 43
44. UNIVERSITEE ARABE PRIVEE DES SIENCES
site2# clock set 11:03:14 22 jun 2007
site2(config) # ip domain-name BMCI.ma
site2(config) # ip host vpnca 172.16.0.10
site2(config) # crypto key generate rsa usage-keys
site2(config) # crypto ca trustpoint vpnca
http://vpnca/certsrv/mscep/mscep.dll
site2(ca-truspoint) # exit
site2(config) # crypto ca authenticate vpnca
Configuration IKE
SITE 1 :
site1(config) # crypto isakmp policy 1
site1(config-isakmp) # encryption des
site1(config-isakmp) # hash sha
site1(config-isakmp) # authentication rsa-sig
site1(config-isakmp) # lifetime 86400
site1(config-isakmp) # end
site1(config) # crypto isakmp key key1700 address 10.1.1.1
SITE 2 :
Réalisation d’un vpn site a site Page 44
45. UNIVERSITEE ARABE PRIVEE DES SIENCES
site2(config) # crypto isakmp policy 1
site2(config-isakmp) # encryption des
site2(config-isakmp) # hash sha
site2(config-isakmp) # authentication rsa-sig
site2(config-isakmp) # lifetime 86400
site2(config-isakmp) # end
site2(config) # crypto isakmp key key1700 address 10.1.1.2
Configuration IPsec
SITE 1 :
site1(config)# crypto ipsec transform-set trs1 ah-sha-hmac esp-des
site1(config-crypto-trans)# mode tunnel
site1(cfg-crypto-trans)# exit
site1(config) # access-list 110 permit ip 172.16.0.0 0.0.0.255 192.168.0.0
0.0.0.255
site1(config) # access-list 110 permit tcp 172.16.0.0 0.0.0.255 192.168.0.0
0.0.0.255
site1(config)# crypto map map1 10 ipsec-isakmp
site1(cfg-crypto-map)# match address 110
site1(cfg-crypto-map)# set peer 10.1.1.1
site1(cfg-crypto-map) # exit
site1(config) # interface serial 0/0
Réalisation d’un vpn site a site Page 45
46. UNIVERSITEE ARABE PRIVEE DES SIENCES
site1(config-if) # crypto map map1
site1(config-if) # exit
SITE 2 :
site2(config)# crypto ipsec transform-set trs2 ah-sha-hmac esp-des
site2(config-crypto-trans)# mode tunnel
site2(cfg-crypto-trans)# exit
site2(config) # access-list 101 permit ip 192.168.0.0 0.0.0.255 172.16.0.0 0.0.0.255
site2(config) # access-list 101 permit tcp 192.168.0.0 0.0.0.255 172.16.0.0 0.0.0.255
site2(config)# crypto map map1 10 ipsec-isakmp
site2(cfg-crypto-map)# match address 101
site2(cfg-crypto-map)# set peer 10.1.1.2
site2(cfg-crypto-map) # exit
site2(config) # interface serial 1/0
site2(config-if) # crypto map map1
site2(config-if) # exit
Conclusion
Cette étude des solutions Vpn, met en évidence une forte concurrence entres les
différents protocoles pouvant être utilisés. Néanmoins, il est possible de distinguer deux
Réalisation d’un vpn site a site Page 46
47. UNIVERSITEE ARABE PRIVEE DES SIENCES
rivaux sortant leurs épingles du jeu, à savoir Ipsec et Mpls. Ce dernier est supérieur sur bien
des points, mais il assure, en outre, simultanément, la séparation des flux et leur
confidentialité. Le développement rapide du marché pourrait bien cependant donner
l'avantage au second. En effet, la mise en place de Vpn par Ip entre généralement dans une
politique de réduction des coûts liés à l'infrastructure réseau des entreprises. Les Vpn sur Ip
permettent en effet de se passer des liaisons louées de type Atm ou Frame Relay. Le coût des
Vpn Ip est actuellement assez intéressant pour motiver de nombreuses entreprises à franchir le
pas. A performance égales un Vpn Mpls coûte deux fois moins cher qu'une ligne Atm. Mais si
les solutions à base de Mpls prennent actuellement le devant face aux technologies Ipsec c'est
principalement grâce à l'intégration possible de solution de téléphonie sur Ip. La qualité de
service offerte par le Mpls autorise en effet Ce type d'utilisation. Le marché des Vpn profite
donc de l'engouement actuel pour ces technologies qui permettent elles aussi de réduire les
coûts des infrastructures de communication. Les Vpn sont donc amenés à prendre de plus en
plus de place dans les réseaux informatiques
Réalisation d’un vpn site a site Page 47
48. UNIVERSITEE ARABE PRIVEE DES SIENCES
[1] http://fr.wikipedia.org/wiki/Vpn
[2] http://www.commentcamarche.net/s/vpn
[3] http://www.livebox.asso.fr/livebox/tutoriaux/livebox-prov2/307-parametrage-du-
vpn-nomade.html
[4] http://assistance.orange.fr/configurer-votre-ordinateur-comme-serveur-vpn-
sous-windows-xp-2697.php
[4] http://windows.microsoft.com/fr-FR/windows/support
Réalisation d’un vpn site a site Page 48