SlideShare a Scribd company logo
1 of 48
Download to read offline
1
A notre raison de vivre, d’espérer,
A notre source de courage, à ceux qu’on a de plus chères,
Nos petites familles,
Pour leurs sacrifices sans limite,
A nos enseignants
Pour leurs patience, leurs soutien
Et leurs encouragements
Et à nos amis
Pour leur témoigner une amitié et fidélité indéfinies
UNIVERSITEE ARABE PRIVEE DES SIENCES
Je remercie le seigneur DIEU pour tous les biens fait les grace et les bénédictions dont il ma
comblé et espere qu’il en sera toujours ainsi car c toi qui me donne la force
Je suis personnellement convaincue que ce projet ne sera pas la fin de ma carrière bien au
contraire, il marquera le début d’une nouvelle expérience de ma vie privée, ma vie
professionnelle et une bonne performance dans le domaine de l’informatique.
Au seuil de ce travail, je tiens à remercier profondément mon encadrant, Madame HELALI
WAFA qui sans sa précieuse assistance, ce PFA n’aurait sans doute pas abouti.
Enfin je tien à exprimer mes sincères remerciements a tous ceux qui ont contribué de prés ou
de loin à la réalisation de ce travail.
Réalisation d’un vpn site a site Page 2
UNIVERSITEE ARABE PRIVEE DES SIENCES
Liste des abréviations [1]
• L2TP : Layer 2 Tunneling Protocol
• VPN : Virtual Private Network
• GRE : Generic Routing Encapsulation
• IPsec : Internet Protocol Security
• IP : Internet Protocol
• IPV4 : Internet Protocol version 4
• IPV6 : Internet Protocol version 6
• SSH : Secure Shell
• Nas : Network Access Server
• Pptp : Point-to-point tunneling protocol
• L2F : Layer 2 Forwarding
• Ppp : Point-to-Point Protocol ou protocole point à point
• ISO : International Standardisation Organisation
• LCP : Link Control Protocol
• FTP : File Transfer Protocol
• Isakmp : Internet Security Association and Key Management Protocol
• ADSL : Asymmetric Digital Subscriber Line
• Mppe : Microsoft Point to Point Encryption
• Ike : Internet Key Exchange
Réalisation d’un vpn site a site Page 3
UNIVERSITEE ARABE PRIVEE DES SIENCES
Introduction générale……………………………………………………………………….6
Chapitre 1 : Présentation de l’entreprise et Etude de l’existant…………………………8
Introduction………………………………………………………………………...…………9
I- Etude de l’existant.………...
………………………………………………………….9
II-
Problématique……………………………………………………………………
…...9
III- Solution…………………………………………………………………………..10
Principe général………………………………………………………………….10
Tunnel (réseau informatique)………………………………………….……….11
Fonctionnalités des Vpn…………………………………………………...…….11
Chapitre 2 : Outils de développement……………………………………………………...14
Réalisation d’un vpn site a site Page 4
UNIVERSITEE ARABE PRIVEE DES SIENCES
Introduction………………………………………………………………………...………..15
I Protocoles et logiciels utilisés pour réaliser une connexion Vpn…………………15
Protocole de communication……………………...………………………..……15
Protocoles de sécurité……………………………………………………..……..19
II système d’exploitation…………………………………………………………….26
III Matériel Physique……………….………………………………………………..27
Chapitre 3 : réalisation……………………………………………………………………30
Introduction………………………………………………………………………...……...30
I configurations machines…………………………………………………………30
II Configurations routeur………………………………………………………….36
Conclusion
Réalisation d’un vpn site a site Page 5
UNIVERSITEE ARABE PRIVEE DES SIENCES
- Le Vpn d'accès…………………………………………………………………….12
- L'intranet Vpn………………………………………………………………….….13
- L'extranet Vpn……………………………………………………………….……14
- Connexion virtuel de pptp………………………………………………………...18
- Mode transport mode tunel………………………………………………………..20
- Ike…………………………………………………………………………………22
- Représentation global……………………………………………………………..25
- La fenêtre "Connexions réseau……………………………………………………30
- La fenêtre "Bienvenue dans l’Assistant Nouvelle connexion…………………….31
- La fenêtre "Type de connexion réseau……………………………………………31
- La fenêtre "Options de connexion avancées……………………………………...32
- La fenêtre "Périphériques pour connexions entrantes…………………………….32
- La fenêtre "Connexion réseau privée virtuelle (VPN) entrante…………………..33
- La fenêtre "Autorisations des utilisateurs………………………………………...33
- La fenêtre "logiciel de réseau…………………………………………………….34
- La fenêtre "Fin de l’Assistant Nouvelle connexion………………………………35
Réalisation d’un vpn site a site Page 6
UNIVERSITEE ARABE PRIVEE DES SIENCES
- La fenêtre "Propriétés de Connexions entrantes………………………………….36
- La fenêtre "Propriétés TCP/IP entrantes………………………………………….37
Introduction générale
L'informatique est le domaine d'activité scientifique, technique et industriel concernant le
traitement automatique de l'information par des machines : des systèmes embarqués, des
ordinateurs, des robots, des automates, etc.
Ces champs d'application peuvent être séparés en deux branches, l'une, de nature théorique,
qui concerne la définition de concepts et modèles, et l'autre, de nature pratique, qui s'intéresse
aux techniques concrètes d'implantation et de mise en œuvre sur le terrain. Certains domaines
de l'informatique peuvent être très abstraits, comme la complexité algorithmique, et d'autres
peuvent être plus proches d'un public profane. Ainsi par exemple, la théorie des langages
demeure un domaine davantage accessible aux professionnels formés (description des
ordinateurs et méthodes de programmation), tandis que les métiers liés aux interfaces homme-
machine sont accessibles à un plus large public.
Réalisation d’un vpn site a site Page 7
UNIVERSITEE ARABE PRIVEE DES SIENCES
Internet est un réseau informatique mondial constitué d'un ensemble de réseaux nationaux,
régionaux et privés. L'ensemble utilise un même protocole de communication : TCP/IP,
(Transmission Control Protocol / Internet Protocol).Internet propose trois types de services
fondamentaux :
le courrier électronique (e-mail) ;
le Web (les pages avec liens et contenus multimédia de ses sites Web) ;
L’échange de fichiers par FTP (File Transfer Protocol).
Le réseau Internet sert également, et de plus en plus, aux communications téléphoniques et à
la transmission de vidéos et d'audio en direct (ou streaming), c'est-à-dire à la manière d'un
téléviseur ou d'un récepteur radio.
L'ambition d'Internet s'exprime en une phrase : relier entre eux tous les ordinateurs du monde.
À l'image du téléphone qui permet de converser avec toute personne dont on connaît le
numéro, Internet est un système mondial d'échange de documents électroniques : textes,
fichiers, images, sons et séquences audiovisuelles.
C'est l'alliance de l'informatique et des télécommunications : la télématique au véritable sens
du terme, selon un mot français peu usité. Les utilisateurs d'Internet sont désignés par le terme
d'internautes, synonyme de cybernaute, de surfer ou de netsurfer. Quant aux informations du
réseau, elles sont accessibles à partir de « lieux » que l'on appelle les sites Internet.
C'est dans les années 1990 qu'Internet s'est imposé au grand public par la grâce d'un
système de consultation aisé : le World Wide Web (WWW). Le nombre d'ordinateurs hôtes
sur le réseau double chaque année jusqu'en 1994, avant de connaître une croissance
exponentielle
le réseau fonctionne bien mais les infrastructures doivent suivre, elle impose la construction
de lignes à haut débit (comme l'ADSL et la fibre optique) et d'accès par radio.
L'adressage a dû être revu. Chaque utilisateur connecté dispose en effet d'un numéro et le
protocole IpV4 (version 4 du protocole IP) ne prévoit pas un nombre suffisant d'adresses
possibles.
Réalisation d’un vpn site a site Page 8
UNIVERSITEE ARABE PRIVEE DES SIENCES
De la même manière que le réseau téléphonique a dû intégrer une numérotation différente, le
protocole IPv6 augmente le nombre de chiffres dans l'adresse, passant de 32 à 128 bits. Le
nombre d'adresses possibles passe donc de 232 en IPv4, soit environ 4 milliards, à 2128, soit
3,4 x 1038, une quantité à peu près incommensurable.
En avril 2012, il y aurait 677 millions de sites Web (selon le suivi de Netcraft) et plus de
deux milliards d'utilisateurs (selon différentes sources, notamment l'UIT et Internet Word
Stats).
Réalisation d’un vpn site a site Page 9
Chapitre 1 :
Etude de l’existant
UNIVERSITEE ARABE PRIVEE DES SIENCES
I Etude de l’existant
Les applications et les systèmes distribués font de plus en plus partie intégrante du paysage
d'un grand nombre d'entreprises. Ces technologies ont pu se développer grâce aux
performances toujours plus importantes des réseaux locaux. Mais le succès de ces applications
a fait aussi apparaître un de leur écueil.
En effet si les applications distribuées deviennent le principal outil du système d'information
de l'entreprise, comment assurer leur accès sécurisé au sein de structures parfois réparties sur
de grandes distances géographiques ? Concrètement comment une succursale d'une entreprise
peut-elle accéder aux données situées sur un serveur de la maison mère distant de plusieurs
milliers de kilomètres ? Les WAN ont commencé à être mis en place pour répondre à Ce type
de problématique.
Mais d'autres problématiques sont apparues ce qui n’empêche qu’ils ont aujourd'hui pris une
place importante dans les réseaux informatique et l'informatique distribuées. Mais dans un
cadre plus restreint on retrouve les réseaux LAN et pour communiqué que ce soit entre un
Réalisation d’un vpn site a site Page 10
UNIVERSITEE ARABE PRIVEE DES SIENCES
client et entreprise ou alors entreprise et ses diverses représentations des site web, des boites
email, des compte dans les différents réseaux sociaux existant sur la toile
II Problématique
Le monde devient de plus en plus un village plante terre on a besoin d’être ici comme ailleurs
on a besoin de communiquer les entreprise quand a elle ouvre des représentations dans le
monde ou les employer ont besoin d’être en contact en temps réel avec les autres succursale.
De ce fait on a besoin d’implémente des moyens de communications de plus en plus
perfectionné et des réseaux des sites web plus ou moins couteux il est très couteux de
concevoir un réseau local entre deux entreprise se trouvant a des grandes distances et aussi la
qualité des informations se dégrade plus la distance est grande.
Cela du au limites soit naturel ellipsoïde de fresnel ou alors dû au matériel utilisé lors de la
conception et avec une sécurité douteuse ou encore humain avec la recrudescence du
phénomène de piratage informatique du soit à la concurrence entre les entreprises soit tout
simplement à la cupidité de ces bandits de la nouvelle génération.
Pour ce qui les site web et les réseaux sociaux L'Internet quant à lui est un vaste monde
peuplé de dangers potentiels et de risques en tous genres. Comment alors, dans ce contexte,
partager sereinement des documents confidentiels ou des informations sensibles
III Solution
Pour résoudre tous les problèmes énoncé plus haut nous avons pensée a la mise en œuvre d’un
réseau vpn (vitual priverat network) réseaux virtuel utilisant comme support l’internet
1- Principe général
Un réseau Vpn repose sur un protocole appelé "protocole de tunneling". Ce protocole
permet de faire circuler les informations de l'entreprise de façon cryptée d'un bout à l'autre
du tunnel. Ainsi, les utilisateurs ont l'impression de se connecter directement sur le réseau
de leur entreprise.
Le principe de tunneling consiste à construire un chemin virtuel après avoir identifié
l'émetteur et le destinataire. Par la suite, la source chiffre les données et les achemine en
empruntant Ce chemin virtuel. Afin d'assurer un accès aisé et peu coûteux aux intranets ou
aux extranets d'entreprise, les réseaux privés virtuels d'accès simulent un réseau privé,
alors qu'ils utilisent en réalité une infrastructure d'accès partagée, commeInternet.
Les données à transmettre peuvent être prises en charge par un protocole différent d'Ip.
Réalisation d’un vpn site a site Page 11
UNIVERSITEE ARABE PRIVEE DES SIENCES
Dans Ce cas, le protocole de tunneling encapsule les données en ajoutant une en-tête. Le
tunneling est l'ensemble des processus d'encapsulation, de transmission et de
désencapsulation.
2- Tunnel (réseau informatique)
Un tunnel, dans le contexte de réseaux informatiques, est une encapsulation de données d'un
protocole réseau dans un autre, situé dans la même couche du modèle en couches, ou dans une
couche de niveau supérieur.
Par exemple, pour faire passer le protocole IPv6 dans l'Internet actuel (qui est presque
entièrement en IPv4) on va créer un tunnel entre deux machines IPv4; ce tunnel, pour le
protocole IPv6, semblera un simple lien point-à-point (un logiciel comme trace route ne verra
donc pas le tunnel).
En sécurité, on crée souvent des tunnels chiffrés, par exemple avec SSH. Les données peuvent
alors y circuler sans craindre d'être écoutées Les tunnels peuvent être utilisés pour créer des
réseaux privés virtuels (VPN).
Exemples de tunnels
• L2TP
• GRE
• 6to4
• IPsec
3- Fonctionnalités des Vpn
Il existe 3 types standards d'utilisation des Vpn. En étudiant ces schémas d'utilisation, il
est possible d'isoler les fonctionnalités indispensables des Vpn.
- Le Vpn d'accès
Réalisation d’un vpn site a site Page 12
UNIVERSITEE ARABE PRIVEE DES SIENCES
Le Vpn d'accès est utilisé pour permettre à des utilisateurs itinérants d'accéder au
réseau privé. L'utilisateur se sert d'une connexion Internet pour établir la connexion
Vpn. Il existe deux cas:
L'utilisateur demande au fournisseur d'accès de lui établir une connexion cryptée vers le
serveur distant : il communique avec le Nas (Network Access Server) du fournisseur d'accès
et c'est le Nas qui établit la connexion cryptée.
L'utilisateur possède son propre logiciel client pour le Vpn auquel cas il établit directement la
communication de manière cryptée vers le réseau de l'entreprise.
Les deux méthodes possèdent chacune leurs avantages et leurs inconvénients :
La première permet à l'utilisateur de communiquer sur plusieurs réseaux en créant plusieurs
tunnels, mais nécessite un fournisseur d'accès proposant un Nas compatible avec la solution
Vpn choisie par l'entreprise. De plus, la demande de connexion par le Nas n'est pas cryptée Ce
qui peut poser des problèmes de sécurité.
Sur la deuxième méthode Ce problème disparaît puisque l'intégralité des informations sera
cryptée dès l'établissement de la connexion. Par contre, cette solution nécessite que chaque
client transporte avec lui le logiciel, lui permettant d'établir une communication cryptée. Nous
verrons que pour pallier Ce problème certaines entreprises mettent en place des Vpn à base de
Ssl, technologie implémentée dans la majorité des navigateurs Internet du marché.
Quelle que soit la méthode de connexion choisie, Ce type d'utilisation montre bien
l'importance dans le Vpn d'avoir une authentification forte des utilisateurs. Cette
authentification peut se faire par une vérification "login / mot de passe", par un algorithme dit
"Tokens sécurisés" (utilisation de mots de passe aléatoires) ou par certificats numériques.
Réalisation d’un vpn site a site Page 13
UNIVERSITEE ARABE PRIVEE DES SIENCES
- L'intranet Vpn
L'intranet Vpn est utilisé pour relier au moins deux intranets entre eux. Ce type de
réseau est particulièrement utile au sein d'une entreprise possédant plusieurs sites
distants.
Le plus important dans Ce type de réseau est de garantir la sécurité et l'intégrité des
données. Certaines données très sensibles peuvent être amenées à transiter sur le Vpn
(base de données clients, informations financières...).
Des techniques de cryptographie sont mises en oeuvre pour vérifier que les données
n'ont pas été altérées. Il s'agit d'une authentification au niveau paquet pour assurer la
validité des données, de l'identification de leur source ainsi que leur non-répudiation.
La plupart des algorithmes utilisés font appel à des signatures numériques qui sont
ajoutées aux paquets. La confidentialité des données est, elle aussi, basée sur des
algorithmes de cryptographie. La technologie en la matière est suffisamment avancée
pour permettre une sécurité quasi parfaite.
Le coût matériel des équipements de cryptage et décryptage ainsi que les limites
légales interdisent l'utilisation d'un codage " infaillible ". Généralement pour la
confidentialité, le codage en lui-même pourra être moyen, mais sera combiné avec
d'autres techniques comme l'encapsulation Ip dans Ip pour assurer une sécurité
raisonnable.
- L'extranet Vpn
Réalisation d’un vpn site a site Page 14
UNIVERSITEE ARABE PRIVEE DES SIENCES
Une entreprise peut utiliser le Vpn pour communiquer avec ses clients et ses
partenaires. Elle ouvre alors son réseau local à ces derniers. Dans Ce cadre, il est
fondamental que l'administrateur du Vpn puisse tracer les clients sur le réseau et gérer
les droits de chacun sur celui-ci.
Réalisation d’un vpn site a site Page 15
UNIVERSITEE ARABE PRIVEE DES SIENCES
Introduction
Un système de Vpn doit pouvoir mettre en œuvre les fonctionnalités suivantes :
Authentification d'utilisateur. Seuls les utilisateurs autorisés doivent pouvoir s'identifier sur le
réseau virtuel. De plus, un historique des connexions et des actions effectuées sur le réseau
doit être conservé.
Gestion d'adresses. Chaque client sur le réseau doit avoir une adresse privée. Cette adresse
privée doit rester confidentielle. Un nouveau client doit pourvoir se connecter facilement au
réseau et recevoir une adresse.
Réalisation d’un vpn site a site Page 16
Chapitre 2 :
Outils de développement
UNIVERSITEE ARABE PRIVEE DES SIENCES
Cryptage des données. Lors de leurs transports sur le réseau public les données doivent être
protégées par un cryptage efficace.
Gestion de clés. Les clés de cryptage pour le client et le serveur doivent pouvoir être générées
et régénérées.
Prise en charge multi protocole. La solution Vpn doit supporter les protocoles les plus utilisés
sur les réseaux publics en particulier IP.
Le Vpn est un principe : il ne décrit pas l'implémentation effective de ces caractéristiques.
C'est pourquoi il existe plusieurs produits différents sur le marché dont certains sont devenus
standard, et même considérés comme des normes.
I- Protocoles et logiciels utilisés pour réaliser une
connexion Vpn : [2]
Nous pouvons classer les protocoles que nous allons étudier en deux catégories:
Les protocoles de niveau 2 comme Pptp et L2tp.
Les protocoles de niveau 3 comme IP sec ou Mpls.
Il existe en réalité trois protocoles de niveau 2 permettant de réaliser des Vpn : Pptp (de
Microsoft), L2F (développé par CISCO) et enfin L2tp. Nous n'évoquerons dans cette étude
que Pptp et L2tp : le protocole L2F ayant aujourd'hui quasiment disparut.
Le protocole Pptp aurait sans doute lui aussi disparut sans le soutien de Microsoft qui
continue à l'intégrer à ses systèmes d'exploitation Windows. L2tp est une évolution de Pptp et
Les protocoles de couche 2 dépendent des fonctionnalités spécifiées pour Ppp (Point to Point
Protocol), c'est pourquoi nous allons tout d'abord rappeler le fonctionnement de Ce protocole.
1- protocole de communication
- Le protocole Pptp
Pptp, définit par la Rfc 2637, est un protocole qui utilise une connexion Ppp à travers un
réseau Ip en créant un réseau privé virtuel (Vpn). Microsoft a implémenté ses propres
algorithmes afin de l'intégrer dans ses versions de windows.
Réalisation d’un vpn site a site Page 17
UNIVERSITEE ARABE PRIVEE DES SIENCES
Ainsi, Pptp est une solution très employée dans les produits Vpn commerciaux à cause de son
intégration au sein des systèmes d'exploitation Windows. Pptp est un protocole de niveau 2
qui permet l'encryptage des données ainsi que leur compression.
L'authentification se fait grâce au protocole Ms-Chap de Microsoft qui, après la cryptanalyse
de sa version 1, a révélé publiquement des failles importantes. Microsoft a corrigé ces
défaillances et propose aujourd'hui une version 2 de Ms-Chap plus sûre.
Le principe du protocole Pptp est de créer des paquets sous le protocole Ppp et de les
encapsuler dans des datagrammes IP. Pptp crée ainsi un tunnel de niveau 3 défini par le
protocole Gre (Generic Routing Encapsulation).
Le tunnel Pptp se caractérise par une initialisation du client, une connexion de contrôle entre
le client et le serveur ainsi que par la clôture du tunnel par le serveur. Lors de l'établissement
de la connexion,
le client effectue d'abord une connexion avec son fournisseur d'accès Internet. Cette première
connexion établie une connexion de type Ppp et permet de faire circuler des données sur
Internet. Par la suite, une deuxième connexion dial-up est établie. Elle permet d'encapsuler les
paquets Ppp dans des datagrammes IP.
C'est cette deuxième connexion qui forme le tunnel Pptp. Tout trafic client conçu pour
Internet emprunte la connexion physique normale, alors que le trafic conçu pour le réseau
privé distant passe par une connexion virtuel de ppp
Plusieurs protocoles peuvent être associés à Pptp afin de sécuriser les données ou de les
Réalisation d’un vpn site a site Page 18
UNIVERSITEE ARABE PRIVEE DES SIENCES
compresser. On retrouve évidement les protocoles développés par Microsoft et cités
précédemment. Ainsi, pour le processus d'identification.
il est possible d'utiliser les protocoles Pap (Password Authentification Protocol) ou MsChap.
Pour l'encryptage des données, il est possible d'utiliser les fonctions de Mppe (Microsoft Point
to Point Encryption).
Enfin, une compression de bout en bout peut être réalisée par Mppc (Microsoft Point to Point
Compression). Ces divers protocoles permettent de réaliser une connexion Vpn complète,
mais les protocoles suivants permettent un niveau de performance et de fiabilité bien meilleur.
- Le protocole L2tp
L2tp, définit par la Rfc 2661, est issu de la convergence des protocoles Pptp et L2F. Il est
actuellement développé et évalué conjointement par Cisco Systems, Microsoft, Ascend, 3Com
ainsi que d'autres acteurs clés du marché des réseaux.
Il permet l'encapsulation des paquets Ppp au niveau des couches 2 (Frame Relay et Atm) et 3
(Ip). Lorsqu'il est configuré pour transporter les données sur IP, L2tp peut être utilisé pour
faire du tunnelling sur Internet. L2tp repose sur deux concepts : les concentrateurs d'accès
L2tp (Lac : L2tp Access Concentrator) et les serveurs réseau L2tp (Lns : L2tp Network
Server). L2tp n'intègre pas directement de protocole pour le chiffrement des données. C'est
pourquoi L'IETF préconise l'utilisation conjointe d'Ipsec et L2tp.
2- Protocoles de sécurité
- Le protocole Ipsec
Réalisation d’un vpn site a site Page 19
UNIVERSITEE ARABE PRIVEE DES SIENCES
Ipsec, définit par la Rfc 2401, est un protocole qui vise à sécuriser l'échange de données au
niveau de la couche réseau. Le réseau Ipv4 étant largement déployé et la migration vers Ipv6
étant inévitable, mais néanmoins longue, il est apparu intéressant de développer des
techniques de protection des données communes à Ipv4 et Ipv6.
Ces mécanismes sont couramment désignés par le terme Ipsec pour Ip Security Protocols.
Ipsec est basé sur deux mécanismes. Le premier, AH, pour Authentification Header vise à
assurer l'intégrité et l'authenticité des datagrammes IP. Il ne fournit par contre aucune
confidentialité : les données fournies et transmises par Ce "protocole" ne sont pas encodées.
Le second, Esp, pour Encapsulating Security Payload peut aussi permettre l'authentification
des données mais est principalement utilisé pour le cryptage des informations. Bien
qu'indépendants ces deux mécanismes sont presque toujours utilisés conjointement.
Enfin, le protocole Ike permet de gérer les échanges ou les associations entre protocoles de
sécurité. Avant de décrire ces différents protocoles, nous allons exposer les différents
éléments utilisésdans Ipsec.
Les deux modes de fonctionnement de Ipsec
Le mode transport prend un flux de niveau transport (couche de niveau 4 du modèle OSI) et
réalise les mécanismes de signature et de chiffrement puis transmet les données à la couche
Ip. Dans Ce mode, l'insertion de la couche Ipsec est transparente entre Tcp et Ip.
L'inconvénient de Ce mode réside dans le fait que l'en-tête extérieur est produit par la couche
Ip c'est-à-dire sans masquage d'adresse. De plus, le fait de terminer les traitements par la
couche Ip ne permet pas de garantir la non-utilisation des options Ip potentiellement
dangereuses. L'intérêt de Ce mode réside dans une relative facilité de mise en oeuvre.
Dans le mode tunnel, les données envoyées par l'application traversent la pile de protocole
jusqu'à la couche Ip incluse, puis sont envoyées vers le module Ipsec. L'encapsulation Ipsec
en mode tunnel permet le masquage d'adresses. Le mode tunnel est utilisé entre deux
passerelles de sécurité (routeur, firewall, ...) alors que le mode transport se situe entre deux
hôtes.
Réalisation d’un vpn site a site Page 20
UNIVERSITEE ARABE PRIVEE DES SIENCES
2 Ike (Internet Key Exchange)
IKE utilise Isakmp pour construire un protocole pratique. Il comprend quatre modes :
Le mode principal (Main mode)
Le mode agressif (Aggressive Mode)
Le mode rapide (Quick Mode)
Le mode nouveau groupe (New Groupe Mode)
Main Mode et Aggressive Mode sont utilisés durant la phase 1, Quick Mode est un échange
de phase 2. New Group Mode est un peu à part : Ce n'est ni un échange de phase 1, ni un
échange de phase 2, mais il ne peut avoir lieu qu'une fois qu'une SA Isakmp est établie ; il sert
à se mettre d'accord sur un nouveau groupe pour de futurs échanges Diffie-Hellman.
a) Phase 1 Main Mode Aggressive Mode
Réalisation d’un vpn site a site Page 21
UNIVERSITEE ARABE PRIVEE DES SIENCES
Les attributs suivants sont utilisés par Ike et négociés durant la phase 1 : un algorithme de
chiffrement, une fonction de hachage, une méthode d'authentification et un groupe pour
Diffie-Hellman.
Trois clefs sont générées à l'issue de la phase 1 : une pour le chiffrement, une pour
l'authentification et une pour la dérivation d'autres clefs. Ces clefs dépendent des cookies, des
aléas échangés et des valeurs publiques Diffie-Hellman ou du secret partagé préalable. Leur
calcul fait intervenir la fonction de hachage choisie pour la SA Isakmp et dépend du mode
d'authentification choisi. Les formules exactes sont décrites dans la Rfc 2409.
b) Phase 2 QuickMode
Les messages échangés durant la phase 2 sont protégés en authenticité et en confidentialité
grâce aux éléments négociés durant la phase 1. L'authenticité des messages est assurée par
l'ajout d'un bloc Hash
Quick Mode est utilisé pour la négociation de SA pour des protocoles de sécurité donnés
comme Ipsec. Chaque négociation aboutit en fait à deux SA, une dans chaque sens de la
communication.
Plus précisément, les échanges composant Ce mode ont le rôle suivant :
Négocier un ensemble de paramètres Ipsec (paquets de SA)
Échanger des nombres aléatoires, utilisés pour générer une nouvelle clef qui dérive du secret
généré en phase 1 avec le protocole Diffie-Hellman. De façon optionnelle, il est possible
d'avoir recours à un nouvel échange Diffie-Hellman, afin d'accéder à la propriété de Perfect
Forward Secrecy, qui n'est pas fournie si on se contente de générer une nouvelle clef à partir
de l'ancienne et des aléas.
Optionnellement, identifier le trafic que Ce paquet de SA protégera, au moyen de sélecteurs
(blocs optionnels IDi et IDr ; en leur absence, les adresses Ip des interlocuteurs sont utilisées).
Le groupe à utiliser pour Diffie-Hellman peut être négocié, par le biais du bloc SA, soit au
Réalisation d’un vpn site a site Page 22
UNIVERSITEE ARABE PRIVEE DES SIENCES
cours du Main Mode, soit ultérieurement par le biais du New Group Mode. Dans les deux cas,
il existe deux façons de désigner le groupe à utiliser :
Donner la référence d'un groupe prédéfini : il en existe actuellement quatre, les quatre groupes
Oakley (deux groupes MODP et deux groupes EC2N).
Donner les caractéristiques du groupe souhaité : type de groupe (MODP, ECP, EC2N),
nombre premier ou polynôme irréductible, générateurs...
Au final, le déroulement d'une négociation IKE suit le diagramme suivant :
- Le protocole Ah (Authentication Header)
Réalisation d’un vpn site a site Page 23
UNIVERSITEE ARABE PRIVEE DES SIENCES
L'absence de confidentialité permet de s'assurer que Ce standard pourra être largement
répandu sur Internet, y compris dans les endroits où l'exportation, l'importation ou l'utilisation
du chiffrement dans des buts de confidentialité est restreint par la loi.
Son principe est d'adjoindre au datagramme Ip classique un champ supplémentaire permettant
à la réception de vérifier l'authenticité des données incluses dans le datagramme. Ce bloc de
données est appelé "valeur de vérification d'intégrité" (Intégrity Check Value, Icv). La
protection contre le rejet se fait grâce à un numéro de séquence.
- Protocole Esp (Encapsulating Security Payload)
Esp peut assurer au choix, un ou plusieurs des services suivants :
Confidentialité (confidentialité des données et protection partielle contre l'analyse du trafic si
l'on utilise le mode tunnel).
Intégrité des données en mode non connecté et authentification de l'origine des données,
protection contre le rejeu.
Réalisation d’un vpn site a site Page 24
UNIVERSITEE ARABE PRIVEE DES SIENCES
La confidentialité peut être sélectionnée indépendamment des autres services, mais son
utilisation sans intégrité/authentification (directement dans Esp ou avec AH) rend le trafic
vulnérable à certains types d'attaques actives qui pourraient affaiblir le service de
confidentialité.
Le champ bourrage peut être nécessaire pour les algorithmes de chiffrement par blocs ou pour
aligner le texte Les données d'authentification ne sont présentes que si Ce service à été
sélectionné
Voyons maintenant comment est appliquée la confidentialité dans Esp.
- L'expéditeur :
Encapsule, dans le champ "charge utile" d’Esp, les données transportées par le datagramme
original et éventuellement l'en-tête Ip (mode tunnel).
Ajoute si nécessaire un bourrage.
Chiffre le résultat (données, bourrage, champs longueur et en-tête suivant).
Ajoute éventuellement des données de synchronisation cryptographiques (vecteur
d'initialisation) au début du champ "charge utile".
Le schéma ci-dessous représente tous les éléments présentés ci-dessus
Réalisation d’un vpn site a site Page 25
UNIVERSITEE ARABE PRIVEE DES SIENCES
On distingue deux situations :
Trafic sortant
Lorsque la "couche" Ipsec reçoit des données à envoyer, elle commence par consulter la base
de données des politiques de sécurité (SPD) pour savoir comment traiter ces données. Si cette
base lui indique que le trafic doit se voir appliquer des mécanismes de sécurité, elle récupère
les caractéristiques requises pour la SA correspondante et va consulter la base des SA (SAD).
Si la SA nécessaire existe déjà, elle est utilisée pour traiter le trafic en question. Dans le cas
contraire, Ipsec fait appel à IKE pour établir une nouvelle SA avec les caractéristiques
requises.
Trafic entrant
Lorsque la couche Ipsec reçoit un paquet en provenance du réseau, elle examine l'en-tête pour
savoir si Ce paquet s'est vu appliquer un ou plusieurs services Ipsec et si oui, quelles sont les
références de la SA. Elle consulte alors la SAD pour connaître les paramètres à utiliser pour la
vérification et/ou le déchiffrement du paquet. Une fois le paquet vérifié et/ou déchiffré, la Spd
est consultée pour savoir si l'association de sécurité appliquée au paquet correspondait bien à
celle requise par les politiques de sécurité.
Réalisation d’un vpn site a site Page 26
UNIVERSITEE ARABE PRIVEE DES SIENCES
Dans le cas où le paquet reçu est un paquet Ip classique, la Spd permet de savoir s'il a
néanmoins le droit de passer. Par exemple, les paquets IKE sont une exception. Ils sont traités
par Ike, qui peut envoyer des alertes administratives en cas de tentative de connexion
infructueuse.
II- Système d’exploitation [5]
Windows XP est une famille de systèmes d'exploitation multitâches propriétaires, développée
par Microsoft, permettant l'usage d'un ordinateur tel qu'un ordinateur fixe, un portable
ou encore un Media Center. Les lettres "XP" proviennent d'eXPerience1.
Windows XP est officiellement le successeur de Windows Me et de Windows 2000. Depuis
plusieurs années, Microsoft souhaitait fédérer ses familles de systèmes d’exploitation
(grand public et professionnels) en une seule famille, dans le but de réduire les coûts de
développement et de maintenance.
Windows 2000 devait remplir ce rôle, mais la complexité de son interface d'administration fit
qu'il sera rejeté par le grand public. En 1999, le projet Windows Neptune, qui devait
fournir la version "familiale" de Windows 2000 est abandonné. Il est remplacé par le
projet Whistler, reprenant de nombreuses idées des projets Neptune et Odyssey, qui
donne naissance à Windows XP et à ses deux versions : grand public et professionnelle.
Les deux versions utilisent le noyau et l'architecture de NT (dite version 5.1). La version
grand public est ainsi la même que la version professionnelle, mais elle est allégée de
toutes les fonctions estimées inutiles pour un usage domestique.
Windows XP est sorti le 25 octobre 2001 et selon une estimation d'un institut de statistiques
américaines, il a été vendu à près de 400 millions de copies en janvier 20062. Il a été
successivement remplacé par Windows Vista le 30 janvier 2007 puis par Windows 7 le
22 octobre 2009. La commercialisation de Windows XP fut arrêtée le 30 juin 2008, sauf
pour les mini-portables et les grandes entreprises.
L'édition la plus courante de Windows XP est la version Familiale qui est conçue pour les
utilisateurs domestiques tandis que la version Professionnelle, qui comprend entre
autres des fonctionnalités réseau et d'administration supplémentaires, est destinée aux
entreprises utilisant des réseaux et des serveurs. Il est à noter que cette dernière coûte
plus cher que l'édition Familiale. Windows XP Media Center a des fonctionnalités
multimédia complémentaires pour permettre par exemple de voir et d'enregistrer la TV,
Réalisation d’un vpn site a site Page 27
UNIVERSITEE ARABE PRIVEE DES SIENCES
regarder plus confortablement des DVD. Windows XP pour Tablet PC est une version
spécialement conçue pour les Tablet PC's. Deux versions distinctes de Windows XP en
64 bits sont sorties, une pour les processeurs Itanium et une pour les processeurs x86-
64.
NB le VNP peut aussi bien s implémenter sur d autre SE (linux mac ios androide…).
III – Matériel physique
- Concentrateurs d'accès L2tp (Lac : L2tp Access Concentrator)
Les périphériques Lac fournissent un support physique aux connexions L2tp. Le trafic étant
alors transféré sur les serveurs réseau L2tp. Ces serveurs peuvent s'intégrer à la structure d'un
réseau commuté Rtc ou alors à un système d'extrémité Ppp prenant en charge le protocole
L2tp. Ils assurent le fractionnement en canaux de tous les protocoles basés sur Ppp. Le Lac est
l'émetteur des appels entrants et le destinataire des appels sortants.
- Serveur réseau L2tp (Lns : L2tp Network Server)
Les serveurs réseau L2tp ou Lns peuvent fonctionner sur toute plate-forme prenant en charge
la terminaison Ppp. Le Lns gère le protocole L2tp côté serveur. Le protocole L2tp n'utilise
qu'un seul support, sur lequel arrivent les canaux L2tp. C'est pourquoi, les serveurs réseau
Lns, ne peuvent avoir qu'une seule interface de réseau local (Lan) ou étendu (Wan). Ils sont
cependant capables de terminer les appels en provenance de n'importe quelle interface Ppp du
concentrateur d'accès Lac : async., Rnis, Ppp sur Atm ou Ppp sur relais de trame. Le Lns est
l'émetteur des appels sortants et le destinataire des appels entrants. C'est le Lns qui sera
responsable de l'authentification du tunnel.
- Routeurs P, Pe et Ce
Une terminologie particulière est employée pour désigner les routeurs (en fonction de leur
rôle) dans un environnement Mpls / Vpn :
P (Provider) : ces routeurs, composant le coeur du backbone Mpls, n'ont aucune connaissance
de la notion de Vpn. Ils se contentent d'acheminer les données grâce à la commutation de
labels ;
Réalisation d’un vpn site a site Page 28
UNIVERSITEE ARABE PRIVEE DES SIENCES
Pe (Provider Edge) : ces routeurs sont situés à la frontière du backbone Mpls et ont par
définition une ou plusieurs interfaces reliées à des routeurs clients ;
Ce (Customer Edge) : ces routeurs appartiennent au client et n'ont aucune connaissance des
Vpn ou même de la notion de label. Tout routeur « traditionnel » peut être un routeur Ce, quel
que soit son type ou la version d'OS utilisée.
- Routeurs Virtuels : VRF
La notion même de Vpn implique l'isolation du trafic entre sites clients n'appartenant pas aux
mêmes Vpn. Pour réaliser cette séparation, les routeurs Pe ont la capacité de gérer plusieurs
tables de routage grâce à la notion de Vrf (Vpn Routing and Forwarding). Une Vrf est
constituée d'une table de routage, d'une Fib (Forwarding Information Base) et d'une table
Cef spécifiques, indépendantes des autres Vrf et de la table de routage globale. Chaque Vrf
est désignée par un nom (par ex. RED, GREEN, etc.) sur les routeurs Pe. Les noms sont
affectés localement et n'ont aucune signification vis-à-vis des autres routeurs.
Chaque interface de Pe, reliée à un site client, est rattachée à une Vrf particulière. Lors de la
réception de paquets Ip sur une interface client, le routeur Pe procède à un examen de la table
de routage de la Vrf à laquelle est rattachée l'interface et donc ne consulte pas sa table de
routage globale. Cette possibilité d'utiliser plusieurs tables de routage indépendantes permet
de gérer un plan d'adressage par sites, même en cas de recouvrement d'adresses entre Vpn
différents.
Réalisation d’un vpn site a site Page 29
UNIVERSITEE ARABE PRIVEE DES SIENCES
Réalisation d’un vpn site a site Page 30
Chapitre 3 :
Réalisation
UNIVERSITEE ARABE PRIVEE DES SIENCES
Introduction
Votre système d’exploitation Windows XP vous permet de créer en toute sécurité, via
Internet, votre propre réseau privé virtuel. Voici une suite de manipulations pour configurer
correctement votre ordinateur comme serveur pour une connexion VPN...
I : Configuration des machines [4]
Il est nécessaire de régler le pare-feu (Comment désactiver le pare-feu ?) ; de mettre l'adresse
IP locale du serveur VPN dans la DMZ ; de s'assurer que votre ordinateur faisant office de
serveur dispose d'un pare-feu correctement configuré. Pour une utilisation fréquente de votre
serveur VPN, nous vous conseillons de le configurer avec une adresse IP fixe (Comment
configurer un ordinateur avec une adresse IP fixe ?). Comment configurer votre ordinateur en
tant que serveur VPN sous Windows XP ?
1 Cliquez sur le bouton "Démarrer", choisissez "Paramètres" et "Panneau de configuration",
puis sélectionnez "Connexions réseau".
2 La fenêtre "Connexions réseau" s’affiche. Cliquez sur "Créer une nouvelle connexion".
3 La fenêtre "Bienvenue dans l’Assistant Nouvelle connexion" s’affiche. Cliquez sur le
bouton "Suivant >".
Réalisation d’un vpn site a site Page 31
UNIVERSITEE ARABE PRIVEE DES SIENCES
4 La fenêtre "Type de connexion réseau" s’affiche. Sélectionnez la proposition "Configurer
une connexion avancée", puis cliquez sur le bouton "Suivant >".
Réalisation d’un vpn site a site Page 32
UNIVERSITEE ARABE PRIVEE DES SIENCES
5 La fenêtre "Options de connexion avancées" s’affiche. Sélectionnez la proposition
"Accepter les connexions entrantes", puis cliquez sur le bouton "Suivant >".
6 La fenêtre "Périphériques pour connexions entrantes" s’affiche. Ne cochez rien, puis cliquez
sur le bouton "Suivant >".
Réalisation d’un vpn site a site Page 33
UNIVERSITEE ARABE PRIVEE DES SIENCES
7 La fenêtre "Connexion réseau privée virtuelle (VPN) entrante" s’affiche. Sélectionnez le
choix "Autorisez les connexions privées virtuelles", puis cliquez sur le bouton "Suivant >".
Réalisation d’un vpn site a site Page 34
UNIVERSITEE ARABE PRIVEE DES SIENCES
8 La fenêtre "Autorisations des utilisateurs" s’affiche. Sélectionnez le(s) utilisateur(s)
autorisé(s) à se connecter, puis cliquez sur le bouton "Suivant >".
Réalisation d’un vpn site a site Page 35
UNIVERSITEE ARABE PRIVEE DES SIENCES
Si l’utilisateur n’apparaît pas dans la liste, cliquez sur le bouton "Ajouter", renseignez les
différents champs, puis cliquez sur le bouton "OK".
Réalisation d’un vpn site a site Page 36
UNIVERSITEE ARABE PRIVEE DES SIENCES
9 La fenêtre "logiciel de réseau" s’affiche. Sélectionnez les services, protocoles et clients que
vous désirez activer. Par défaut, nous vous conseillons de ne rien modifier. Cliquez ensuite
sur le bouton "Suivant >".
10 La fenêtre "Fin de l’Assistant Nouvelle connexion" s’affiche. Cliquez sur le bouton
"Terminer".
Réalisation d’un vpn site a site Page 37
UNIVERSITEE ARABE PRIVEE DES SIENCES
11 Suite à cette dernière série de manipulations, pour configurer les propriétés de la
connexion VPN créée, il vaut à présent retourner dans la fenêtre "Connexion réseau".
Effectuez un clic droit sur la connexion VPN ainsi créée, puis sélectionnez dans le menu
contextuel "Propriétés".
Réalisation d’un vpn site a site Page 38
UNIVERSITEE ARABE PRIVEE DES SIENCES
12 La fenêtre "Propriétés de Connexions entrantes" s’affiche. Cliquez sur l’onglet "Gestion de
réseau". Sélectionnez Protocole Internet (TCP/IP), puis cliquez sur "Propriétés".
Réalisation d’un vpn site a site Page 39
UNIVERSITEE ARABE PRIVEE DES SIENCES
13 La fenêtre "Propriétés TCP/IP entrantes" s’affiche... Une série d'options apparaîssent :
 L'option "Autoriser les correspondants appelant à accéder à mon réseau local"
permet de configurer votre ordinateur comme routeur (si l'option est
décochée, l'appelant n'aura accès qu'à votre ordinateur ; si l'option est cochée,
l'appelant pourra accéder aux autres ordinateurs de votre réseau).
 L’option "Attribuer les adresses TCP/IP automatiquement avec DCHP"
permet d’assigner automatiquement les adresses TCP/IP.
Réalisation d’un vpn site a site Page 40
UNIVERSITEE ARABE PRIVEE DES SIENCES
 L’option Spécifier des adresses TCP/IP permet d'indiquer une plage d'adresse
à utiliser pour les appelants.Elle est utile lorsqu'il n'y a pas sur le réseau de
serveur DHCP.
REMARQUE : le nombre d'adresses allouées, calculé en fonction des
adresses tapées dans les zones "De" et "À", s'affiche dans la zone "Total".
 L’option "Autoriser l'ordinateur appelant à spécifier sa propre adresse IP"
inverse le processus d'attribution de l'adresse. Ce n'est plus votre ordinateur
qui attribue une adresse mais l’ordinateur de l’appelant.
ATTENTION : cette option risque de provoquer des conflits d’adresses IP sur
votre réseau.
 Cliquez sur le bouton "OK".
Votre ordinateur est maintenant configuré correctement en tant que serveur pour un réseau
virtuel via une connexion VPN
Test de la connexion VPN.
Ouvrez votre navigateur Web, puis saisissez dans la barre d’adresses l’IP du serveur VPN.
Réalisation d’un vpn site a site Page 41
UNIVERSITEE ARABE PRIVEE DES SIENCES
Si vous affichez les dossiers partagés du serveur VPN, c’est que la connexion VPN fonctionne
correctement.
II : Configuration routeurs : [3]
 Configuration du réseau sans cryptage
SITE 1 :
 router(config)# hostname site1
 site1(config)# interface ethernet0/0
 site1(config-if)# ip address 172.16.0.1 255.255.255.0
 site1(config-if)# no shudown
 site1(config-if)# exit
 site1(config) # interface serial 0/0
 site1(config-if) # ip address 10.1.1.2 255.255.255.252
 site1(config-if) # no shudown
 site1(config-if) # exit
 site1(config) # ip route 192.168.0.0 255.255.255.0 10.1.1.1
SITE 2 :
router(config)# hostname site2
site2(config)# interface Fastethernet0/0
site2(config-if)# ip address 192.168.0.1 255.255.255.0
site2(config-if)# no shudown
site2(config-if)# exit
site2(config) # interface serial 1/0
Réalisation d’un vpn site a site Page 42
UNIVERSITEE ARABE PRIVEE DES SIENCES
site2(config-if) # ip address 10.1.1.1 255.255.255.252
site2(config-if) # clock rate 64000
site2(config-if) # no shudown
site2(config-if) # exit
site2(config) # ip route 172.16.0.0 255.255.255.0 10.1.1.2
 Configuration CA
SITE 1 :
site1# clock set 10:14:59 22 jun 2007
site1(config) # ip domain-name bMCI.ma
site1(config) # ip host vpnca 172.16.0.10
site1(config) # crypto key generate rsa usage-keys
site1(config) # crypto ca trustpoint vpnca
http://vpnca/certsrv/mscep/mscep.dll
site1(ca-truspoint) # exit
site1(config) # crypto ca authenticate vpnca
SITE 2 :
Réalisation d’un vpn site a site Page 43
UNIVERSITEE ARABE PRIVEE DES SIENCES
site2# clock set 11:03:14 22 jun 2007
site2(config) # ip domain-name BMCI.ma
site2(config) # ip host vpnca 172.16.0.10
site2(config) # crypto key generate rsa usage-keys
site2(config) # crypto ca trustpoint vpnca
http://vpnca/certsrv/mscep/mscep.dll
site2(ca-truspoint) # exit
site2(config) # crypto ca authenticate vpnca
 Configuration IKE
SITE 1 :
site1(config) # crypto isakmp policy 1
site1(config-isakmp) # encryption des
site1(config-isakmp) # hash sha
site1(config-isakmp) # authentication rsa-sig
site1(config-isakmp) # lifetime 86400
site1(config-isakmp) # end
site1(config) # crypto isakmp key key1700 address 10.1.1.1
SITE 2 :
Réalisation d’un vpn site a site Page 44
UNIVERSITEE ARABE PRIVEE DES SIENCES
site2(config) # crypto isakmp policy 1
site2(config-isakmp) # encryption des
site2(config-isakmp) # hash sha
site2(config-isakmp) # authentication rsa-sig
site2(config-isakmp) # lifetime 86400
site2(config-isakmp) # end
site2(config) # crypto isakmp key key1700 address 10.1.1.2
 Configuration IPsec
SITE 1 :
site1(config)# crypto ipsec transform-set trs1 ah-sha-hmac esp-des
site1(config-crypto-trans)# mode tunnel
site1(cfg-crypto-trans)# exit
site1(config) # access-list 110 permit ip 172.16.0.0 0.0.0.255 192.168.0.0
0.0.0.255
site1(config) # access-list 110 permit tcp 172.16.0.0 0.0.0.255 192.168.0.0
0.0.0.255
site1(config)# crypto map map1 10 ipsec-isakmp
site1(cfg-crypto-map)# match address 110
site1(cfg-crypto-map)# set peer 10.1.1.1
site1(cfg-crypto-map) # exit
site1(config) # interface serial 0/0
Réalisation d’un vpn site a site Page 45
UNIVERSITEE ARABE PRIVEE DES SIENCES
site1(config-if) # crypto map map1
site1(config-if) # exit
SITE 2 :
site2(config)# crypto ipsec transform-set trs2 ah-sha-hmac esp-des
site2(config-crypto-trans)# mode tunnel
site2(cfg-crypto-trans)# exit
site2(config) # access-list 101 permit ip 192.168.0.0 0.0.0.255 172.16.0.0 0.0.0.255
site2(config) # access-list 101 permit tcp 192.168.0.0 0.0.0.255 172.16.0.0 0.0.0.255
site2(config)# crypto map map1 10 ipsec-isakmp
site2(cfg-crypto-map)# match address 101
site2(cfg-crypto-map)# set peer 10.1.1.2
site2(cfg-crypto-map) # exit
site2(config) # interface serial 1/0
site2(config-if) # crypto map map1
site2(config-if) # exit
Conclusion
Cette étude des solutions Vpn, met en évidence une forte concurrence entres les
différents protocoles pouvant être utilisés. Néanmoins, il est possible de distinguer deux
Réalisation d’un vpn site a site Page 46
UNIVERSITEE ARABE PRIVEE DES SIENCES
rivaux sortant leurs épingles du jeu, à savoir Ipsec et Mpls. Ce dernier est supérieur sur bien
des points, mais il assure, en outre, simultanément, la séparation des flux et leur
confidentialité. Le développement rapide du marché pourrait bien cependant donner
l'avantage au second. En effet, la mise en place de Vpn par Ip entre généralement dans une
politique de réduction des coûts liés à l'infrastructure réseau des entreprises. Les Vpn sur Ip
permettent en effet de se passer des liaisons louées de type Atm ou Frame Relay. Le coût des
Vpn Ip est actuellement assez intéressant pour motiver de nombreuses entreprises à franchir le
pas. A performance égales un Vpn Mpls coûte deux fois moins cher qu'une ligne Atm. Mais si
les solutions à base de Mpls prennent actuellement le devant face aux technologies Ipsec c'est
principalement grâce à l'intégration possible de solution de téléphonie sur Ip. La qualité de
service offerte par le Mpls autorise en effet Ce type d'utilisation. Le marché des Vpn profite
donc de l'engouement actuel pour ces technologies qui permettent elles aussi de réduire les
coûts des infrastructures de communication. Les Vpn sont donc amenés à prendre de plus en
plus de place dans les réseaux informatiques
Réalisation d’un vpn site a site Page 47
UNIVERSITEE ARABE PRIVEE DES SIENCES
[1] http://fr.wikipedia.org/wiki/Vpn
[2] http://www.commentcamarche.net/s/vpn
[3] http://www.livebox.asso.fr/livebox/tutoriaux/livebox-prov2/307-parametrage-du-
vpn-nomade.html
[4] http://assistance.orange.fr/configurer-votre-ordinateur-comme-serveur-vpn-
sous-windows-xp-2697.php
[4] http://windows.microsoft.com/fr-FR/windows/support
Réalisation d’un vpn site a site Page 48

More Related Content

What's hot

Mise En Place d'une Solution de Supervision Réseau
Mise En Place d'une Solution de Supervision Réseau Mise En Place d'une Solution de Supervision Réseau
Mise En Place d'une Solution de Supervision Réseau Yaya N'Tyeni Sanogo
 
Mise en place d'un vpn site à site avec pfsense
Mise en place d'un vpn site à site avec pfsenseMise en place d'un vpn site à site avec pfsense
Mise en place d'un vpn site à site avec pfsensePape Moussa SONKO
 
Etude et mise en place d’une solution open source de gestion de la sécurité d...
Etude et mise en place d’une solution open source de gestion de la sécurité d...Etude et mise en place d’une solution open source de gestion de la sécurité d...
Etude et mise en place d’une solution open source de gestion de la sécurité d...Mohammed LAAZIZLI
 
Mise en place de vlan au sein d'un réseau
Mise en place de vlan au sein d'un réseauMise en place de vlan au sein d'un réseau
Mise en place de vlan au sein d'un réseauGeorges Amichia
 
Presentation pfe ingenieur d etat securite reseau et systemes
Presentation pfe ingenieur d etat securite reseau et systemesPresentation pfe ingenieur d etat securite reseau et systemes
Presentation pfe ingenieur d etat securite reseau et systemesHicham Moujahid
 
Implementation d'un portail captif cas de pfsense produit par bamba bamoussa
Implementation d'un portail captif  cas de pfsense produit par bamba bamoussa Implementation d'un portail captif  cas de pfsense produit par bamba bamoussa
Implementation d'un portail captif cas de pfsense produit par bamba bamoussa Bamoussa Bamba
 
ETUDE ET MISE EN PLACE D’UNE SOLUTION DE GESTION DE LA SECURITE DU RESEAU : C...
ETUDE ET MISE EN PLACE D’UNE SOLUTION DE GESTION DE LA SECURITE DU RESEAU : C...ETUDE ET MISE EN PLACE D’UNE SOLUTION DE GESTION DE LA SECURITE DU RESEAU : C...
ETUDE ET MISE EN PLACE D’UNE SOLUTION DE GESTION DE LA SECURITE DU RESEAU : C...Tidiane Sylla
 
Rapport de stage nagios
Rapport de stage nagiosRapport de stage nagios
Rapport de stage nagioshindif
 
Mise en place de la telephonie ip avec Asterisk
Mise en place de la telephonie ip avec AsteriskMise en place de la telephonie ip avec Asterisk
Mise en place de la telephonie ip avec AsteriskPape Moussa SONKO
 
Doc portail-captif-pfsense
Doc portail-captif-pfsenseDoc portail-captif-pfsense
Doc portail-captif-pfsenseservinfo
 
Installation et Configuration de Pfsense
Installation et Configuration de PfsenseInstallation et Configuration de Pfsense
Installation et Configuration de PfsenseIsmail Rachdaoui
 
Mise en place d'une infrastructure basée sur OpenStack
Mise en place d'une infrastructure basée sur OpenStack Mise en place d'une infrastructure basée sur OpenStack
Mise en place d'une infrastructure basée sur OpenStack Ahmed Slim
 
VPN - Virtual Private Network
VPN - Virtual Private NetworkVPN - Virtual Private Network
VPN - Virtual Private Networkjulienlfr
 
Mise en place d'un système de messagerie sécurisée pour une PME/PMI
Mise en place d'un système de messagerie sécurisée pour une PME/PMIMise en place d'un système de messagerie sécurisée pour une PME/PMI
Mise en place d'un système de messagerie sécurisée pour une PME/PMIPapa Cheikh Cisse
 
Rapport projet fin d'étude
Rapport projet fin d'étudeRapport projet fin d'étude
Rapport projet fin d'étudeHibaFarhat3
 

What's hot (20)

Rapport finiale
Rapport finialeRapport finiale
Rapport finiale
 
Rapport PFE VoIP
Rapport PFE VoIPRapport PFE VoIP
Rapport PFE VoIP
 
Mise En Place d'une Solution de Supervision Réseau
Mise En Place d'une Solution de Supervision Réseau Mise En Place d'une Solution de Supervision Réseau
Mise En Place d'une Solution de Supervision Réseau
 
Mise en place d'un vpn site à site avec pfsense
Mise en place d'un vpn site à site avec pfsenseMise en place d'un vpn site à site avec pfsense
Mise en place d'un vpn site à site avec pfsense
 
Etude et mise en place d’une solution open source de gestion de la sécurité d...
Etude et mise en place d’une solution open source de gestion de la sécurité d...Etude et mise en place d’une solution open source de gestion de la sécurité d...
Etude et mise en place d’une solution open source de gestion de la sécurité d...
 
Mise en place de vlan au sein d'un réseau
Mise en place de vlan au sein d'un réseauMise en place de vlan au sein d'un réseau
Mise en place de vlan au sein d'un réseau
 
Presentation pfe ingenieur d etat securite reseau et systemes
Presentation pfe ingenieur d etat securite reseau et systemesPresentation pfe ingenieur d etat securite reseau et systemes
Presentation pfe ingenieur d etat securite reseau et systemes
 
Implementation d'un portail captif cas de pfsense produit par bamba bamoussa
Implementation d'un portail captif  cas de pfsense produit par bamba bamoussa Implementation d'un portail captif  cas de pfsense produit par bamba bamoussa
Implementation d'un portail captif cas de pfsense produit par bamba bamoussa
 
ETUDE ET MISE EN PLACE D’UNE SOLUTION DE GESTION DE LA SECURITE DU RESEAU : C...
ETUDE ET MISE EN PLACE D’UNE SOLUTION DE GESTION DE LA SECURITE DU RESEAU : C...ETUDE ET MISE EN PLACE D’UNE SOLUTION DE GESTION DE LA SECURITE DU RESEAU : C...
ETUDE ET MISE EN PLACE D’UNE SOLUTION DE GESTION DE LA SECURITE DU RESEAU : C...
 
Rapport de stage nagios
Rapport de stage nagiosRapport de stage nagios
Rapport de stage nagios
 
Vpn
VpnVpn
Vpn
 
GNS3, VoIP, ToIP
GNS3, VoIP, ToIPGNS3, VoIP, ToIP
GNS3, VoIP, ToIP
 
Mise en place de la telephonie ip avec Asterisk
Mise en place de la telephonie ip avec AsteriskMise en place de la telephonie ip avec Asterisk
Mise en place de la telephonie ip avec Asterisk
 
Doc portail-captif-pfsense
Doc portail-captif-pfsenseDoc portail-captif-pfsense
Doc portail-captif-pfsense
 
Installation et Configuration de Pfsense
Installation et Configuration de PfsenseInstallation et Configuration de Pfsense
Installation et Configuration de Pfsense
 
Mise en place d'une infrastructure basée sur OpenStack
Mise en place d'une infrastructure basée sur OpenStack Mise en place d'une infrastructure basée sur OpenStack
Mise en place d'une infrastructure basée sur OpenStack
 
VPN - Virtual Private Network
VPN - Virtual Private NetworkVPN - Virtual Private Network
VPN - Virtual Private Network
 
projet fin d'étude IWAN
projet fin d'étude IWANprojet fin d'étude IWAN
projet fin d'étude IWAN
 
Mise en place d'un système de messagerie sécurisée pour une PME/PMI
Mise en place d'un système de messagerie sécurisée pour une PME/PMIMise en place d'un système de messagerie sécurisée pour une PME/PMI
Mise en place d'un système de messagerie sécurisée pour une PME/PMI
 
Rapport projet fin d'étude
Rapport projet fin d'étudeRapport projet fin d'étude
Rapport projet fin d'étude
 

Similar to mis en place dun vpn site à site

Glossaire des acronymes du numérique
Glossaire des acronymes du numérique Glossaire des acronymes du numérique
Glossaire des acronymes du numérique Yohan_Dubigeon
 
conception et réalisation d'une application de gestion des rapports téléphoni...
conception et réalisation d'une application de gestion des rapports téléphoni...conception et réalisation d'une application de gestion des rapports téléphoni...
conception et réalisation d'une application de gestion des rapports téléphoni...ismailbou
 
UC: la lumière au bout du tunnel
UC: la lumière au bout du tunnelUC: la lumière au bout du tunnel
UC: la lumière au bout du tunnelMaurice Duchesne
 
MUKENGE KANKONDE Zack mise en place d'un système de stockage et sauvegarde d...
MUKENGE KANKONDE  Zack mise en place d'un système de stockage et sauvegarde d...MUKENGE KANKONDE  Zack mise en place d'un système de stockage et sauvegarde d...
MUKENGE KANKONDE Zack mise en place d'un système de stockage et sauvegarde d...ZackMukenge
 
Etude comparative entre les grilles, cloud et p2p
Etude comparative entre les grilles, cloud et p2pEtude comparative entre les grilles, cloud et p2p
Etude comparative entre les grilles, cloud et p2pkamar MEDDAH
 
La veille de Né Kid du 10.02.11 : le cloud
La veille de Né Kid du 10.02.11 : le cloudLa veille de Né Kid du 10.02.11 : le cloud
La veille de Né Kid du 10.02.11 : le cloudNé Kid
 
Services Internet en Entreprise 2022.pptx
Services Internet en Entreprise 2022.pptxServices Internet en Entreprise 2022.pptx
Services Internet en Entreprise 2022.pptxmepapy
 
Mémoire analyse fonctionnelle et rédimensinnement d'une infrastructure réseau...
Mémoire analyse fonctionnelle et rédimensinnement d'une infrastructure réseau...Mémoire analyse fonctionnelle et rédimensinnement d'une infrastructure réseau...
Mémoire analyse fonctionnelle et rédimensinnement d'une infrastructure réseau...GeorgeMillan2
 
resume-theorique-m205-v2-0-6315ee954ea50 (5).pdf
resume-theorique-m205-v2-0-6315ee954ea50 (5).pdfresume-theorique-m205-v2-0-6315ee954ea50 (5).pdf
resume-theorique-m205-v2-0-6315ee954ea50 (5).pdfFootballLovers9
 
Supervision d'un réseau informatique avec Nagios
Supervision d'un réseau informatique avec NagiosSupervision d'un réseau informatique avec Nagios
Supervision d'un réseau informatique avec Nagioschristedy keihouad
 

Similar to mis en place dun vpn site à site (20)

Reseau informatique
Reseau informatiqueReseau informatique
Reseau informatique
 
23508212 vpn
23508212 vpn23508212 vpn
23508212 vpn
 
Glossaire des acronymes du numérique
Glossaire des acronymes du numérique Glossaire des acronymes du numérique
Glossaire des acronymes du numérique
 
conception et réalisation d'une application de gestion des rapports téléphoni...
conception et réalisation d'une application de gestion des rapports téléphoni...conception et réalisation d'une application de gestion des rapports téléphoni...
conception et réalisation d'une application de gestion des rapports téléphoni...
 
Livre blanc-ipv6
Livre blanc-ipv6Livre blanc-ipv6
Livre blanc-ipv6
 
UC: la lumière au bout du tunnel
UC: la lumière au bout du tunnelUC: la lumière au bout du tunnel
UC: la lumière au bout du tunnel
 
MUKENGE KANKONDE Zack mise en place d'un système de stockage et sauvegarde d...
MUKENGE KANKONDE  Zack mise en place d'un système de stockage et sauvegarde d...MUKENGE KANKONDE  Zack mise en place d'un système de stockage et sauvegarde d...
MUKENGE KANKONDE Zack mise en place d'un système de stockage et sauvegarde d...
 
Etude comparative entre les grilles, cloud et p2p
Etude comparative entre les grilles, cloud et p2pEtude comparative entre les grilles, cloud et p2p
Etude comparative entre les grilles, cloud et p2p
 
La veille de Né Kid du 10.02.11 : le cloud
La veille de Né Kid du 10.02.11 : le cloudLa veille de Né Kid du 10.02.11 : le cloud
La veille de Né Kid du 10.02.11 : le cloud
 
Internet
InternetInternet
Internet
 
ICDL MODULE 1 Lesson 4
ICDL MODULE 1 Lesson 4ICDL MODULE 1 Lesson 4
ICDL MODULE 1 Lesson 4
 
Services Internet en Entreprise 2022.pptx
Services Internet en Entreprise 2022.pptxServices Internet en Entreprise 2022.pptx
Services Internet en Entreprise 2022.pptx
 
Cloud Computing
Cloud ComputingCloud Computing
Cloud Computing
 
Les reseaux
Les reseauxLes reseaux
Les reseaux
 
Do you speak technique ?
Do you speak technique ?Do you speak technique ?
Do you speak technique ?
 
Mémoire analyse fonctionnelle et rédimensinnement d'une infrastructure réseau...
Mémoire analyse fonctionnelle et rédimensinnement d'une infrastructure réseau...Mémoire analyse fonctionnelle et rédimensinnement d'une infrastructure réseau...
Mémoire analyse fonctionnelle et rédimensinnement d'une infrastructure réseau...
 
resume-theorique-m205-v2-0-6315ee954ea50 (5).pdf
resume-theorique-m205-v2-0-6315ee954ea50 (5).pdfresume-theorique-m205-v2-0-6315ee954ea50 (5).pdf
resume-theorique-m205-v2-0-6315ee954ea50 (5).pdf
 
10 chapitre1
10 chapitre110 chapitre1
10 chapitre1
 
Création
CréationCréation
Création
 
Supervision d'un réseau informatique avec Nagios
Supervision d'un réseau informatique avec NagiosSupervision d'un réseau informatique avec Nagios
Supervision d'un réseau informatique avec Nagios
 

More from Manuel Cédric EBODE MBALLA

More from Manuel Cédric EBODE MBALLA (11)

Pres requis pour instalation des clients pour symantion endpoint
Pres requis pour instalation des clients pour symantion endpoint Pres requis pour instalation des clients pour symantion endpoint
Pres requis pour instalation des clients pour symantion endpoint
 
Tutoriel word
Tutoriel wordTutoriel word
Tutoriel word
 
Général réseau typologie et architecture
Général réseau typologie et architecture Général réseau typologie et architecture
Général réseau typologie et architecture
 
petit cours sur la sécurité des réseaux informatiques
petit cours sur la sécurité des réseaux informatiques petit cours sur la sécurité des réseaux informatiques
petit cours sur la sécurité des réseaux informatiques
 
mis en place d'une solution multi-tenant pour la supervision
mis en place d'une solution multi-tenant pour la supervisionmis en place d'une solution multi-tenant pour la supervision
mis en place d'une solution multi-tenant pour la supervision
 
Nessus outil d audit
Nessus outil d auditNessus outil d audit
Nessus outil d audit
 
Audit et sécurité des systèmes d'information
Audit et sécurité des systèmes d'informationAudit et sécurité des systèmes d'information
Audit et sécurité des systèmes d'information
 
Introduction informatique
Introduction informatiqueIntroduction informatique
Introduction informatique
 
tutoriel sur la mise en place d'une politique de sécurité informatique
tutoriel sur la mise en place d'une politique de sécurité informatiquetutoriel sur la mise en place d'une politique de sécurité informatique
tutoriel sur la mise en place d'une politique de sécurité informatique
 
VPN WINDOWS LINUX OPENVPN
VPN WINDOWS LINUX OPENVPNVPN WINDOWS LINUX OPENVPN
VPN WINDOWS LINUX OPENVPN
 
politique de sécurité a mettre en place
politique de sécurité a mettre en place politique de sécurité a mettre en place
politique de sécurité a mettre en place
 

mis en place dun vpn site à site

  • 1. 1 A notre raison de vivre, d’espérer, A notre source de courage, à ceux qu’on a de plus chères, Nos petites familles, Pour leurs sacrifices sans limite, A nos enseignants Pour leurs patience, leurs soutien Et leurs encouragements Et à nos amis Pour leur témoigner une amitié et fidélité indéfinies
  • 2. UNIVERSITEE ARABE PRIVEE DES SIENCES Je remercie le seigneur DIEU pour tous les biens fait les grace et les bénédictions dont il ma comblé et espere qu’il en sera toujours ainsi car c toi qui me donne la force Je suis personnellement convaincue que ce projet ne sera pas la fin de ma carrière bien au contraire, il marquera le début d’une nouvelle expérience de ma vie privée, ma vie professionnelle et une bonne performance dans le domaine de l’informatique. Au seuil de ce travail, je tiens à remercier profondément mon encadrant, Madame HELALI WAFA qui sans sa précieuse assistance, ce PFA n’aurait sans doute pas abouti. Enfin je tien à exprimer mes sincères remerciements a tous ceux qui ont contribué de prés ou de loin à la réalisation de ce travail. Réalisation d’un vpn site a site Page 2
  • 3. UNIVERSITEE ARABE PRIVEE DES SIENCES Liste des abréviations [1] • L2TP : Layer 2 Tunneling Protocol • VPN : Virtual Private Network • GRE : Generic Routing Encapsulation • IPsec : Internet Protocol Security • IP : Internet Protocol • IPV4 : Internet Protocol version 4 • IPV6 : Internet Protocol version 6 • SSH : Secure Shell • Nas : Network Access Server • Pptp : Point-to-point tunneling protocol • L2F : Layer 2 Forwarding • Ppp : Point-to-Point Protocol ou protocole point à point • ISO : International Standardisation Organisation • LCP : Link Control Protocol • FTP : File Transfer Protocol • Isakmp : Internet Security Association and Key Management Protocol • ADSL : Asymmetric Digital Subscriber Line • Mppe : Microsoft Point to Point Encryption • Ike : Internet Key Exchange Réalisation d’un vpn site a site Page 3
  • 4. UNIVERSITEE ARABE PRIVEE DES SIENCES Introduction générale……………………………………………………………………….6 Chapitre 1 : Présentation de l’entreprise et Etude de l’existant…………………………8 Introduction………………………………………………………………………...…………9 I- Etude de l’existant.………... ………………………………………………………….9 II- Problématique…………………………………………………………………… …...9 III- Solution…………………………………………………………………………..10 Principe général………………………………………………………………….10 Tunnel (réseau informatique)………………………………………….……….11 Fonctionnalités des Vpn…………………………………………………...…….11 Chapitre 2 : Outils de développement……………………………………………………...14 Réalisation d’un vpn site a site Page 4
  • 5. UNIVERSITEE ARABE PRIVEE DES SIENCES Introduction………………………………………………………………………...………..15 I Protocoles et logiciels utilisés pour réaliser une connexion Vpn…………………15 Protocole de communication……………………...………………………..……15 Protocoles de sécurité……………………………………………………..……..19 II système d’exploitation…………………………………………………………….26 III Matériel Physique……………….………………………………………………..27 Chapitre 3 : réalisation……………………………………………………………………30 Introduction………………………………………………………………………...……...30 I configurations machines…………………………………………………………30 II Configurations routeur………………………………………………………….36 Conclusion Réalisation d’un vpn site a site Page 5
  • 6. UNIVERSITEE ARABE PRIVEE DES SIENCES - Le Vpn d'accès…………………………………………………………………….12 - L'intranet Vpn………………………………………………………………….….13 - L'extranet Vpn……………………………………………………………….……14 - Connexion virtuel de pptp………………………………………………………...18 - Mode transport mode tunel………………………………………………………..20 - Ike…………………………………………………………………………………22 - Représentation global……………………………………………………………..25 - La fenêtre "Connexions réseau……………………………………………………30 - La fenêtre "Bienvenue dans l’Assistant Nouvelle connexion…………………….31 - La fenêtre "Type de connexion réseau……………………………………………31 - La fenêtre "Options de connexion avancées……………………………………...32 - La fenêtre "Périphériques pour connexions entrantes…………………………….32 - La fenêtre "Connexion réseau privée virtuelle (VPN) entrante…………………..33 - La fenêtre "Autorisations des utilisateurs………………………………………...33 - La fenêtre "logiciel de réseau…………………………………………………….34 - La fenêtre "Fin de l’Assistant Nouvelle connexion………………………………35 Réalisation d’un vpn site a site Page 6
  • 7. UNIVERSITEE ARABE PRIVEE DES SIENCES - La fenêtre "Propriétés de Connexions entrantes………………………………….36 - La fenêtre "Propriétés TCP/IP entrantes………………………………………….37 Introduction générale L'informatique est le domaine d'activité scientifique, technique et industriel concernant le traitement automatique de l'information par des machines : des systèmes embarqués, des ordinateurs, des robots, des automates, etc. Ces champs d'application peuvent être séparés en deux branches, l'une, de nature théorique, qui concerne la définition de concepts et modèles, et l'autre, de nature pratique, qui s'intéresse aux techniques concrètes d'implantation et de mise en œuvre sur le terrain. Certains domaines de l'informatique peuvent être très abstraits, comme la complexité algorithmique, et d'autres peuvent être plus proches d'un public profane. Ainsi par exemple, la théorie des langages demeure un domaine davantage accessible aux professionnels formés (description des ordinateurs et méthodes de programmation), tandis que les métiers liés aux interfaces homme- machine sont accessibles à un plus large public. Réalisation d’un vpn site a site Page 7
  • 8. UNIVERSITEE ARABE PRIVEE DES SIENCES Internet est un réseau informatique mondial constitué d'un ensemble de réseaux nationaux, régionaux et privés. L'ensemble utilise un même protocole de communication : TCP/IP, (Transmission Control Protocol / Internet Protocol).Internet propose trois types de services fondamentaux : le courrier électronique (e-mail) ; le Web (les pages avec liens et contenus multimédia de ses sites Web) ; L’échange de fichiers par FTP (File Transfer Protocol). Le réseau Internet sert également, et de plus en plus, aux communications téléphoniques et à la transmission de vidéos et d'audio en direct (ou streaming), c'est-à-dire à la manière d'un téléviseur ou d'un récepteur radio. L'ambition d'Internet s'exprime en une phrase : relier entre eux tous les ordinateurs du monde. À l'image du téléphone qui permet de converser avec toute personne dont on connaît le numéro, Internet est un système mondial d'échange de documents électroniques : textes, fichiers, images, sons et séquences audiovisuelles. C'est l'alliance de l'informatique et des télécommunications : la télématique au véritable sens du terme, selon un mot français peu usité. Les utilisateurs d'Internet sont désignés par le terme d'internautes, synonyme de cybernaute, de surfer ou de netsurfer. Quant aux informations du réseau, elles sont accessibles à partir de « lieux » que l'on appelle les sites Internet. C'est dans les années 1990 qu'Internet s'est imposé au grand public par la grâce d'un système de consultation aisé : le World Wide Web (WWW). Le nombre d'ordinateurs hôtes sur le réseau double chaque année jusqu'en 1994, avant de connaître une croissance exponentielle le réseau fonctionne bien mais les infrastructures doivent suivre, elle impose la construction de lignes à haut débit (comme l'ADSL et la fibre optique) et d'accès par radio. L'adressage a dû être revu. Chaque utilisateur connecté dispose en effet d'un numéro et le protocole IpV4 (version 4 du protocole IP) ne prévoit pas un nombre suffisant d'adresses possibles. Réalisation d’un vpn site a site Page 8
  • 9. UNIVERSITEE ARABE PRIVEE DES SIENCES De la même manière que le réseau téléphonique a dû intégrer une numérotation différente, le protocole IPv6 augmente le nombre de chiffres dans l'adresse, passant de 32 à 128 bits. Le nombre d'adresses possibles passe donc de 232 en IPv4, soit environ 4 milliards, à 2128, soit 3,4 x 1038, une quantité à peu près incommensurable. En avril 2012, il y aurait 677 millions de sites Web (selon le suivi de Netcraft) et plus de deux milliards d'utilisateurs (selon différentes sources, notamment l'UIT et Internet Word Stats). Réalisation d’un vpn site a site Page 9 Chapitre 1 : Etude de l’existant
  • 10. UNIVERSITEE ARABE PRIVEE DES SIENCES I Etude de l’existant Les applications et les systèmes distribués font de plus en plus partie intégrante du paysage d'un grand nombre d'entreprises. Ces technologies ont pu se développer grâce aux performances toujours plus importantes des réseaux locaux. Mais le succès de ces applications a fait aussi apparaître un de leur écueil. En effet si les applications distribuées deviennent le principal outil du système d'information de l'entreprise, comment assurer leur accès sécurisé au sein de structures parfois réparties sur de grandes distances géographiques ? Concrètement comment une succursale d'une entreprise peut-elle accéder aux données situées sur un serveur de la maison mère distant de plusieurs milliers de kilomètres ? Les WAN ont commencé à être mis en place pour répondre à Ce type de problématique. Mais d'autres problématiques sont apparues ce qui n’empêche qu’ils ont aujourd'hui pris une place importante dans les réseaux informatique et l'informatique distribuées. Mais dans un cadre plus restreint on retrouve les réseaux LAN et pour communiqué que ce soit entre un Réalisation d’un vpn site a site Page 10
  • 11. UNIVERSITEE ARABE PRIVEE DES SIENCES client et entreprise ou alors entreprise et ses diverses représentations des site web, des boites email, des compte dans les différents réseaux sociaux existant sur la toile II Problématique Le monde devient de plus en plus un village plante terre on a besoin d’être ici comme ailleurs on a besoin de communiquer les entreprise quand a elle ouvre des représentations dans le monde ou les employer ont besoin d’être en contact en temps réel avec les autres succursale. De ce fait on a besoin d’implémente des moyens de communications de plus en plus perfectionné et des réseaux des sites web plus ou moins couteux il est très couteux de concevoir un réseau local entre deux entreprise se trouvant a des grandes distances et aussi la qualité des informations se dégrade plus la distance est grande. Cela du au limites soit naturel ellipsoïde de fresnel ou alors dû au matériel utilisé lors de la conception et avec une sécurité douteuse ou encore humain avec la recrudescence du phénomène de piratage informatique du soit à la concurrence entre les entreprises soit tout simplement à la cupidité de ces bandits de la nouvelle génération. Pour ce qui les site web et les réseaux sociaux L'Internet quant à lui est un vaste monde peuplé de dangers potentiels et de risques en tous genres. Comment alors, dans ce contexte, partager sereinement des documents confidentiels ou des informations sensibles III Solution Pour résoudre tous les problèmes énoncé plus haut nous avons pensée a la mise en œuvre d’un réseau vpn (vitual priverat network) réseaux virtuel utilisant comme support l’internet 1- Principe général Un réseau Vpn repose sur un protocole appelé "protocole de tunneling". Ce protocole permet de faire circuler les informations de l'entreprise de façon cryptée d'un bout à l'autre du tunnel. Ainsi, les utilisateurs ont l'impression de se connecter directement sur le réseau de leur entreprise. Le principe de tunneling consiste à construire un chemin virtuel après avoir identifié l'émetteur et le destinataire. Par la suite, la source chiffre les données et les achemine en empruntant Ce chemin virtuel. Afin d'assurer un accès aisé et peu coûteux aux intranets ou aux extranets d'entreprise, les réseaux privés virtuels d'accès simulent un réseau privé, alors qu'ils utilisent en réalité une infrastructure d'accès partagée, commeInternet. Les données à transmettre peuvent être prises en charge par un protocole différent d'Ip. Réalisation d’un vpn site a site Page 11
  • 12. UNIVERSITEE ARABE PRIVEE DES SIENCES Dans Ce cas, le protocole de tunneling encapsule les données en ajoutant une en-tête. Le tunneling est l'ensemble des processus d'encapsulation, de transmission et de désencapsulation. 2- Tunnel (réseau informatique) Un tunnel, dans le contexte de réseaux informatiques, est une encapsulation de données d'un protocole réseau dans un autre, situé dans la même couche du modèle en couches, ou dans une couche de niveau supérieur. Par exemple, pour faire passer le protocole IPv6 dans l'Internet actuel (qui est presque entièrement en IPv4) on va créer un tunnel entre deux machines IPv4; ce tunnel, pour le protocole IPv6, semblera un simple lien point-à-point (un logiciel comme trace route ne verra donc pas le tunnel). En sécurité, on crée souvent des tunnels chiffrés, par exemple avec SSH. Les données peuvent alors y circuler sans craindre d'être écoutées Les tunnels peuvent être utilisés pour créer des réseaux privés virtuels (VPN). Exemples de tunnels • L2TP • GRE • 6to4 • IPsec 3- Fonctionnalités des Vpn Il existe 3 types standards d'utilisation des Vpn. En étudiant ces schémas d'utilisation, il est possible d'isoler les fonctionnalités indispensables des Vpn. - Le Vpn d'accès Réalisation d’un vpn site a site Page 12
  • 13. UNIVERSITEE ARABE PRIVEE DES SIENCES Le Vpn d'accès est utilisé pour permettre à des utilisateurs itinérants d'accéder au réseau privé. L'utilisateur se sert d'une connexion Internet pour établir la connexion Vpn. Il existe deux cas: L'utilisateur demande au fournisseur d'accès de lui établir une connexion cryptée vers le serveur distant : il communique avec le Nas (Network Access Server) du fournisseur d'accès et c'est le Nas qui établit la connexion cryptée. L'utilisateur possède son propre logiciel client pour le Vpn auquel cas il établit directement la communication de manière cryptée vers le réseau de l'entreprise. Les deux méthodes possèdent chacune leurs avantages et leurs inconvénients : La première permet à l'utilisateur de communiquer sur plusieurs réseaux en créant plusieurs tunnels, mais nécessite un fournisseur d'accès proposant un Nas compatible avec la solution Vpn choisie par l'entreprise. De plus, la demande de connexion par le Nas n'est pas cryptée Ce qui peut poser des problèmes de sécurité. Sur la deuxième méthode Ce problème disparaît puisque l'intégralité des informations sera cryptée dès l'établissement de la connexion. Par contre, cette solution nécessite que chaque client transporte avec lui le logiciel, lui permettant d'établir une communication cryptée. Nous verrons que pour pallier Ce problème certaines entreprises mettent en place des Vpn à base de Ssl, technologie implémentée dans la majorité des navigateurs Internet du marché. Quelle que soit la méthode de connexion choisie, Ce type d'utilisation montre bien l'importance dans le Vpn d'avoir une authentification forte des utilisateurs. Cette authentification peut se faire par une vérification "login / mot de passe", par un algorithme dit "Tokens sécurisés" (utilisation de mots de passe aléatoires) ou par certificats numériques. Réalisation d’un vpn site a site Page 13
  • 14. UNIVERSITEE ARABE PRIVEE DES SIENCES - L'intranet Vpn L'intranet Vpn est utilisé pour relier au moins deux intranets entre eux. Ce type de réseau est particulièrement utile au sein d'une entreprise possédant plusieurs sites distants. Le plus important dans Ce type de réseau est de garantir la sécurité et l'intégrité des données. Certaines données très sensibles peuvent être amenées à transiter sur le Vpn (base de données clients, informations financières...). Des techniques de cryptographie sont mises en oeuvre pour vérifier que les données n'ont pas été altérées. Il s'agit d'une authentification au niveau paquet pour assurer la validité des données, de l'identification de leur source ainsi que leur non-répudiation. La plupart des algorithmes utilisés font appel à des signatures numériques qui sont ajoutées aux paquets. La confidentialité des données est, elle aussi, basée sur des algorithmes de cryptographie. La technologie en la matière est suffisamment avancée pour permettre une sécurité quasi parfaite. Le coût matériel des équipements de cryptage et décryptage ainsi que les limites légales interdisent l'utilisation d'un codage " infaillible ". Généralement pour la confidentialité, le codage en lui-même pourra être moyen, mais sera combiné avec d'autres techniques comme l'encapsulation Ip dans Ip pour assurer une sécurité raisonnable. - L'extranet Vpn Réalisation d’un vpn site a site Page 14
  • 15. UNIVERSITEE ARABE PRIVEE DES SIENCES Une entreprise peut utiliser le Vpn pour communiquer avec ses clients et ses partenaires. Elle ouvre alors son réseau local à ces derniers. Dans Ce cadre, il est fondamental que l'administrateur du Vpn puisse tracer les clients sur le réseau et gérer les droits de chacun sur celui-ci. Réalisation d’un vpn site a site Page 15
  • 16. UNIVERSITEE ARABE PRIVEE DES SIENCES Introduction Un système de Vpn doit pouvoir mettre en œuvre les fonctionnalités suivantes : Authentification d'utilisateur. Seuls les utilisateurs autorisés doivent pouvoir s'identifier sur le réseau virtuel. De plus, un historique des connexions et des actions effectuées sur le réseau doit être conservé. Gestion d'adresses. Chaque client sur le réseau doit avoir une adresse privée. Cette adresse privée doit rester confidentielle. Un nouveau client doit pourvoir se connecter facilement au réseau et recevoir une adresse. Réalisation d’un vpn site a site Page 16 Chapitre 2 : Outils de développement
  • 17. UNIVERSITEE ARABE PRIVEE DES SIENCES Cryptage des données. Lors de leurs transports sur le réseau public les données doivent être protégées par un cryptage efficace. Gestion de clés. Les clés de cryptage pour le client et le serveur doivent pouvoir être générées et régénérées. Prise en charge multi protocole. La solution Vpn doit supporter les protocoles les plus utilisés sur les réseaux publics en particulier IP. Le Vpn est un principe : il ne décrit pas l'implémentation effective de ces caractéristiques. C'est pourquoi il existe plusieurs produits différents sur le marché dont certains sont devenus standard, et même considérés comme des normes. I- Protocoles et logiciels utilisés pour réaliser une connexion Vpn : [2] Nous pouvons classer les protocoles que nous allons étudier en deux catégories: Les protocoles de niveau 2 comme Pptp et L2tp. Les protocoles de niveau 3 comme IP sec ou Mpls. Il existe en réalité trois protocoles de niveau 2 permettant de réaliser des Vpn : Pptp (de Microsoft), L2F (développé par CISCO) et enfin L2tp. Nous n'évoquerons dans cette étude que Pptp et L2tp : le protocole L2F ayant aujourd'hui quasiment disparut. Le protocole Pptp aurait sans doute lui aussi disparut sans le soutien de Microsoft qui continue à l'intégrer à ses systèmes d'exploitation Windows. L2tp est une évolution de Pptp et Les protocoles de couche 2 dépendent des fonctionnalités spécifiées pour Ppp (Point to Point Protocol), c'est pourquoi nous allons tout d'abord rappeler le fonctionnement de Ce protocole. 1- protocole de communication - Le protocole Pptp Pptp, définit par la Rfc 2637, est un protocole qui utilise une connexion Ppp à travers un réseau Ip en créant un réseau privé virtuel (Vpn). Microsoft a implémenté ses propres algorithmes afin de l'intégrer dans ses versions de windows. Réalisation d’un vpn site a site Page 17
  • 18. UNIVERSITEE ARABE PRIVEE DES SIENCES Ainsi, Pptp est une solution très employée dans les produits Vpn commerciaux à cause de son intégration au sein des systèmes d'exploitation Windows. Pptp est un protocole de niveau 2 qui permet l'encryptage des données ainsi que leur compression. L'authentification se fait grâce au protocole Ms-Chap de Microsoft qui, après la cryptanalyse de sa version 1, a révélé publiquement des failles importantes. Microsoft a corrigé ces défaillances et propose aujourd'hui une version 2 de Ms-Chap plus sûre. Le principe du protocole Pptp est de créer des paquets sous le protocole Ppp et de les encapsuler dans des datagrammes IP. Pptp crée ainsi un tunnel de niveau 3 défini par le protocole Gre (Generic Routing Encapsulation). Le tunnel Pptp se caractérise par une initialisation du client, une connexion de contrôle entre le client et le serveur ainsi que par la clôture du tunnel par le serveur. Lors de l'établissement de la connexion, le client effectue d'abord une connexion avec son fournisseur d'accès Internet. Cette première connexion établie une connexion de type Ppp et permet de faire circuler des données sur Internet. Par la suite, une deuxième connexion dial-up est établie. Elle permet d'encapsuler les paquets Ppp dans des datagrammes IP. C'est cette deuxième connexion qui forme le tunnel Pptp. Tout trafic client conçu pour Internet emprunte la connexion physique normale, alors que le trafic conçu pour le réseau privé distant passe par une connexion virtuel de ppp Plusieurs protocoles peuvent être associés à Pptp afin de sécuriser les données ou de les Réalisation d’un vpn site a site Page 18
  • 19. UNIVERSITEE ARABE PRIVEE DES SIENCES compresser. On retrouve évidement les protocoles développés par Microsoft et cités précédemment. Ainsi, pour le processus d'identification. il est possible d'utiliser les protocoles Pap (Password Authentification Protocol) ou MsChap. Pour l'encryptage des données, il est possible d'utiliser les fonctions de Mppe (Microsoft Point to Point Encryption). Enfin, une compression de bout en bout peut être réalisée par Mppc (Microsoft Point to Point Compression). Ces divers protocoles permettent de réaliser une connexion Vpn complète, mais les protocoles suivants permettent un niveau de performance et de fiabilité bien meilleur. - Le protocole L2tp L2tp, définit par la Rfc 2661, est issu de la convergence des protocoles Pptp et L2F. Il est actuellement développé et évalué conjointement par Cisco Systems, Microsoft, Ascend, 3Com ainsi que d'autres acteurs clés du marché des réseaux. Il permet l'encapsulation des paquets Ppp au niveau des couches 2 (Frame Relay et Atm) et 3 (Ip). Lorsqu'il est configuré pour transporter les données sur IP, L2tp peut être utilisé pour faire du tunnelling sur Internet. L2tp repose sur deux concepts : les concentrateurs d'accès L2tp (Lac : L2tp Access Concentrator) et les serveurs réseau L2tp (Lns : L2tp Network Server). L2tp n'intègre pas directement de protocole pour le chiffrement des données. C'est pourquoi L'IETF préconise l'utilisation conjointe d'Ipsec et L2tp. 2- Protocoles de sécurité - Le protocole Ipsec Réalisation d’un vpn site a site Page 19
  • 20. UNIVERSITEE ARABE PRIVEE DES SIENCES Ipsec, définit par la Rfc 2401, est un protocole qui vise à sécuriser l'échange de données au niveau de la couche réseau. Le réseau Ipv4 étant largement déployé et la migration vers Ipv6 étant inévitable, mais néanmoins longue, il est apparu intéressant de développer des techniques de protection des données communes à Ipv4 et Ipv6. Ces mécanismes sont couramment désignés par le terme Ipsec pour Ip Security Protocols. Ipsec est basé sur deux mécanismes. Le premier, AH, pour Authentification Header vise à assurer l'intégrité et l'authenticité des datagrammes IP. Il ne fournit par contre aucune confidentialité : les données fournies et transmises par Ce "protocole" ne sont pas encodées. Le second, Esp, pour Encapsulating Security Payload peut aussi permettre l'authentification des données mais est principalement utilisé pour le cryptage des informations. Bien qu'indépendants ces deux mécanismes sont presque toujours utilisés conjointement. Enfin, le protocole Ike permet de gérer les échanges ou les associations entre protocoles de sécurité. Avant de décrire ces différents protocoles, nous allons exposer les différents éléments utilisésdans Ipsec. Les deux modes de fonctionnement de Ipsec Le mode transport prend un flux de niveau transport (couche de niveau 4 du modèle OSI) et réalise les mécanismes de signature et de chiffrement puis transmet les données à la couche Ip. Dans Ce mode, l'insertion de la couche Ipsec est transparente entre Tcp et Ip. L'inconvénient de Ce mode réside dans le fait que l'en-tête extérieur est produit par la couche Ip c'est-à-dire sans masquage d'adresse. De plus, le fait de terminer les traitements par la couche Ip ne permet pas de garantir la non-utilisation des options Ip potentiellement dangereuses. L'intérêt de Ce mode réside dans une relative facilité de mise en oeuvre. Dans le mode tunnel, les données envoyées par l'application traversent la pile de protocole jusqu'à la couche Ip incluse, puis sont envoyées vers le module Ipsec. L'encapsulation Ipsec en mode tunnel permet le masquage d'adresses. Le mode tunnel est utilisé entre deux passerelles de sécurité (routeur, firewall, ...) alors que le mode transport se situe entre deux hôtes. Réalisation d’un vpn site a site Page 20
  • 21. UNIVERSITEE ARABE PRIVEE DES SIENCES 2 Ike (Internet Key Exchange) IKE utilise Isakmp pour construire un protocole pratique. Il comprend quatre modes : Le mode principal (Main mode) Le mode agressif (Aggressive Mode) Le mode rapide (Quick Mode) Le mode nouveau groupe (New Groupe Mode) Main Mode et Aggressive Mode sont utilisés durant la phase 1, Quick Mode est un échange de phase 2. New Group Mode est un peu à part : Ce n'est ni un échange de phase 1, ni un échange de phase 2, mais il ne peut avoir lieu qu'une fois qu'une SA Isakmp est établie ; il sert à se mettre d'accord sur un nouveau groupe pour de futurs échanges Diffie-Hellman. a) Phase 1 Main Mode Aggressive Mode Réalisation d’un vpn site a site Page 21
  • 22. UNIVERSITEE ARABE PRIVEE DES SIENCES Les attributs suivants sont utilisés par Ike et négociés durant la phase 1 : un algorithme de chiffrement, une fonction de hachage, une méthode d'authentification et un groupe pour Diffie-Hellman. Trois clefs sont générées à l'issue de la phase 1 : une pour le chiffrement, une pour l'authentification et une pour la dérivation d'autres clefs. Ces clefs dépendent des cookies, des aléas échangés et des valeurs publiques Diffie-Hellman ou du secret partagé préalable. Leur calcul fait intervenir la fonction de hachage choisie pour la SA Isakmp et dépend du mode d'authentification choisi. Les formules exactes sont décrites dans la Rfc 2409. b) Phase 2 QuickMode Les messages échangés durant la phase 2 sont protégés en authenticité et en confidentialité grâce aux éléments négociés durant la phase 1. L'authenticité des messages est assurée par l'ajout d'un bloc Hash Quick Mode est utilisé pour la négociation de SA pour des protocoles de sécurité donnés comme Ipsec. Chaque négociation aboutit en fait à deux SA, une dans chaque sens de la communication. Plus précisément, les échanges composant Ce mode ont le rôle suivant : Négocier un ensemble de paramètres Ipsec (paquets de SA) Échanger des nombres aléatoires, utilisés pour générer une nouvelle clef qui dérive du secret généré en phase 1 avec le protocole Diffie-Hellman. De façon optionnelle, il est possible d'avoir recours à un nouvel échange Diffie-Hellman, afin d'accéder à la propriété de Perfect Forward Secrecy, qui n'est pas fournie si on se contente de générer une nouvelle clef à partir de l'ancienne et des aléas. Optionnellement, identifier le trafic que Ce paquet de SA protégera, au moyen de sélecteurs (blocs optionnels IDi et IDr ; en leur absence, les adresses Ip des interlocuteurs sont utilisées). Le groupe à utiliser pour Diffie-Hellman peut être négocié, par le biais du bloc SA, soit au Réalisation d’un vpn site a site Page 22
  • 23. UNIVERSITEE ARABE PRIVEE DES SIENCES cours du Main Mode, soit ultérieurement par le biais du New Group Mode. Dans les deux cas, il existe deux façons de désigner le groupe à utiliser : Donner la référence d'un groupe prédéfini : il en existe actuellement quatre, les quatre groupes Oakley (deux groupes MODP et deux groupes EC2N). Donner les caractéristiques du groupe souhaité : type de groupe (MODP, ECP, EC2N), nombre premier ou polynôme irréductible, générateurs... Au final, le déroulement d'une négociation IKE suit le diagramme suivant : - Le protocole Ah (Authentication Header) Réalisation d’un vpn site a site Page 23
  • 24. UNIVERSITEE ARABE PRIVEE DES SIENCES L'absence de confidentialité permet de s'assurer que Ce standard pourra être largement répandu sur Internet, y compris dans les endroits où l'exportation, l'importation ou l'utilisation du chiffrement dans des buts de confidentialité est restreint par la loi. Son principe est d'adjoindre au datagramme Ip classique un champ supplémentaire permettant à la réception de vérifier l'authenticité des données incluses dans le datagramme. Ce bloc de données est appelé "valeur de vérification d'intégrité" (Intégrity Check Value, Icv). La protection contre le rejet se fait grâce à un numéro de séquence. - Protocole Esp (Encapsulating Security Payload) Esp peut assurer au choix, un ou plusieurs des services suivants : Confidentialité (confidentialité des données et protection partielle contre l'analyse du trafic si l'on utilise le mode tunnel). Intégrité des données en mode non connecté et authentification de l'origine des données, protection contre le rejeu. Réalisation d’un vpn site a site Page 24
  • 25. UNIVERSITEE ARABE PRIVEE DES SIENCES La confidentialité peut être sélectionnée indépendamment des autres services, mais son utilisation sans intégrité/authentification (directement dans Esp ou avec AH) rend le trafic vulnérable à certains types d'attaques actives qui pourraient affaiblir le service de confidentialité. Le champ bourrage peut être nécessaire pour les algorithmes de chiffrement par blocs ou pour aligner le texte Les données d'authentification ne sont présentes que si Ce service à été sélectionné Voyons maintenant comment est appliquée la confidentialité dans Esp. - L'expéditeur : Encapsule, dans le champ "charge utile" d’Esp, les données transportées par le datagramme original et éventuellement l'en-tête Ip (mode tunnel). Ajoute si nécessaire un bourrage. Chiffre le résultat (données, bourrage, champs longueur et en-tête suivant). Ajoute éventuellement des données de synchronisation cryptographiques (vecteur d'initialisation) au début du champ "charge utile". Le schéma ci-dessous représente tous les éléments présentés ci-dessus Réalisation d’un vpn site a site Page 25
  • 26. UNIVERSITEE ARABE PRIVEE DES SIENCES On distingue deux situations : Trafic sortant Lorsque la "couche" Ipsec reçoit des données à envoyer, elle commence par consulter la base de données des politiques de sécurité (SPD) pour savoir comment traiter ces données. Si cette base lui indique que le trafic doit se voir appliquer des mécanismes de sécurité, elle récupère les caractéristiques requises pour la SA correspondante et va consulter la base des SA (SAD). Si la SA nécessaire existe déjà, elle est utilisée pour traiter le trafic en question. Dans le cas contraire, Ipsec fait appel à IKE pour établir une nouvelle SA avec les caractéristiques requises. Trafic entrant Lorsque la couche Ipsec reçoit un paquet en provenance du réseau, elle examine l'en-tête pour savoir si Ce paquet s'est vu appliquer un ou plusieurs services Ipsec et si oui, quelles sont les références de la SA. Elle consulte alors la SAD pour connaître les paramètres à utiliser pour la vérification et/ou le déchiffrement du paquet. Une fois le paquet vérifié et/ou déchiffré, la Spd est consultée pour savoir si l'association de sécurité appliquée au paquet correspondait bien à celle requise par les politiques de sécurité. Réalisation d’un vpn site a site Page 26
  • 27. UNIVERSITEE ARABE PRIVEE DES SIENCES Dans le cas où le paquet reçu est un paquet Ip classique, la Spd permet de savoir s'il a néanmoins le droit de passer. Par exemple, les paquets IKE sont une exception. Ils sont traités par Ike, qui peut envoyer des alertes administratives en cas de tentative de connexion infructueuse. II- Système d’exploitation [5] Windows XP est une famille de systèmes d'exploitation multitâches propriétaires, développée par Microsoft, permettant l'usage d'un ordinateur tel qu'un ordinateur fixe, un portable ou encore un Media Center. Les lettres "XP" proviennent d'eXPerience1. Windows XP est officiellement le successeur de Windows Me et de Windows 2000. Depuis plusieurs années, Microsoft souhaitait fédérer ses familles de systèmes d’exploitation (grand public et professionnels) en une seule famille, dans le but de réduire les coûts de développement et de maintenance. Windows 2000 devait remplir ce rôle, mais la complexité de son interface d'administration fit qu'il sera rejeté par le grand public. En 1999, le projet Windows Neptune, qui devait fournir la version "familiale" de Windows 2000 est abandonné. Il est remplacé par le projet Whistler, reprenant de nombreuses idées des projets Neptune et Odyssey, qui donne naissance à Windows XP et à ses deux versions : grand public et professionnelle. Les deux versions utilisent le noyau et l'architecture de NT (dite version 5.1). La version grand public est ainsi la même que la version professionnelle, mais elle est allégée de toutes les fonctions estimées inutiles pour un usage domestique. Windows XP est sorti le 25 octobre 2001 et selon une estimation d'un institut de statistiques américaines, il a été vendu à près de 400 millions de copies en janvier 20062. Il a été successivement remplacé par Windows Vista le 30 janvier 2007 puis par Windows 7 le 22 octobre 2009. La commercialisation de Windows XP fut arrêtée le 30 juin 2008, sauf pour les mini-portables et les grandes entreprises. L'édition la plus courante de Windows XP est la version Familiale qui est conçue pour les utilisateurs domestiques tandis que la version Professionnelle, qui comprend entre autres des fonctionnalités réseau et d'administration supplémentaires, est destinée aux entreprises utilisant des réseaux et des serveurs. Il est à noter que cette dernière coûte plus cher que l'édition Familiale. Windows XP Media Center a des fonctionnalités multimédia complémentaires pour permettre par exemple de voir et d'enregistrer la TV, Réalisation d’un vpn site a site Page 27
  • 28. UNIVERSITEE ARABE PRIVEE DES SIENCES regarder plus confortablement des DVD. Windows XP pour Tablet PC est une version spécialement conçue pour les Tablet PC's. Deux versions distinctes de Windows XP en 64 bits sont sorties, une pour les processeurs Itanium et une pour les processeurs x86- 64. NB le VNP peut aussi bien s implémenter sur d autre SE (linux mac ios androide…). III – Matériel physique - Concentrateurs d'accès L2tp (Lac : L2tp Access Concentrator) Les périphériques Lac fournissent un support physique aux connexions L2tp. Le trafic étant alors transféré sur les serveurs réseau L2tp. Ces serveurs peuvent s'intégrer à la structure d'un réseau commuté Rtc ou alors à un système d'extrémité Ppp prenant en charge le protocole L2tp. Ils assurent le fractionnement en canaux de tous les protocoles basés sur Ppp. Le Lac est l'émetteur des appels entrants et le destinataire des appels sortants. - Serveur réseau L2tp (Lns : L2tp Network Server) Les serveurs réseau L2tp ou Lns peuvent fonctionner sur toute plate-forme prenant en charge la terminaison Ppp. Le Lns gère le protocole L2tp côté serveur. Le protocole L2tp n'utilise qu'un seul support, sur lequel arrivent les canaux L2tp. C'est pourquoi, les serveurs réseau Lns, ne peuvent avoir qu'une seule interface de réseau local (Lan) ou étendu (Wan). Ils sont cependant capables de terminer les appels en provenance de n'importe quelle interface Ppp du concentrateur d'accès Lac : async., Rnis, Ppp sur Atm ou Ppp sur relais de trame. Le Lns est l'émetteur des appels sortants et le destinataire des appels entrants. C'est le Lns qui sera responsable de l'authentification du tunnel. - Routeurs P, Pe et Ce Une terminologie particulière est employée pour désigner les routeurs (en fonction de leur rôle) dans un environnement Mpls / Vpn : P (Provider) : ces routeurs, composant le coeur du backbone Mpls, n'ont aucune connaissance de la notion de Vpn. Ils se contentent d'acheminer les données grâce à la commutation de labels ; Réalisation d’un vpn site a site Page 28
  • 29. UNIVERSITEE ARABE PRIVEE DES SIENCES Pe (Provider Edge) : ces routeurs sont situés à la frontière du backbone Mpls et ont par définition une ou plusieurs interfaces reliées à des routeurs clients ; Ce (Customer Edge) : ces routeurs appartiennent au client et n'ont aucune connaissance des Vpn ou même de la notion de label. Tout routeur « traditionnel » peut être un routeur Ce, quel que soit son type ou la version d'OS utilisée. - Routeurs Virtuels : VRF La notion même de Vpn implique l'isolation du trafic entre sites clients n'appartenant pas aux mêmes Vpn. Pour réaliser cette séparation, les routeurs Pe ont la capacité de gérer plusieurs tables de routage grâce à la notion de Vrf (Vpn Routing and Forwarding). Une Vrf est constituée d'une table de routage, d'une Fib (Forwarding Information Base) et d'une table Cef spécifiques, indépendantes des autres Vrf et de la table de routage globale. Chaque Vrf est désignée par un nom (par ex. RED, GREEN, etc.) sur les routeurs Pe. Les noms sont affectés localement et n'ont aucune signification vis-à-vis des autres routeurs. Chaque interface de Pe, reliée à un site client, est rattachée à une Vrf particulière. Lors de la réception de paquets Ip sur une interface client, le routeur Pe procède à un examen de la table de routage de la Vrf à laquelle est rattachée l'interface et donc ne consulte pas sa table de routage globale. Cette possibilité d'utiliser plusieurs tables de routage indépendantes permet de gérer un plan d'adressage par sites, même en cas de recouvrement d'adresses entre Vpn différents. Réalisation d’un vpn site a site Page 29
  • 30. UNIVERSITEE ARABE PRIVEE DES SIENCES Réalisation d’un vpn site a site Page 30 Chapitre 3 : Réalisation
  • 31. UNIVERSITEE ARABE PRIVEE DES SIENCES Introduction Votre système d’exploitation Windows XP vous permet de créer en toute sécurité, via Internet, votre propre réseau privé virtuel. Voici une suite de manipulations pour configurer correctement votre ordinateur comme serveur pour une connexion VPN... I : Configuration des machines [4] Il est nécessaire de régler le pare-feu (Comment désactiver le pare-feu ?) ; de mettre l'adresse IP locale du serveur VPN dans la DMZ ; de s'assurer que votre ordinateur faisant office de serveur dispose d'un pare-feu correctement configuré. Pour une utilisation fréquente de votre serveur VPN, nous vous conseillons de le configurer avec une adresse IP fixe (Comment configurer un ordinateur avec une adresse IP fixe ?). Comment configurer votre ordinateur en tant que serveur VPN sous Windows XP ? 1 Cliquez sur le bouton "Démarrer", choisissez "Paramètres" et "Panneau de configuration", puis sélectionnez "Connexions réseau". 2 La fenêtre "Connexions réseau" s’affiche. Cliquez sur "Créer une nouvelle connexion". 3 La fenêtre "Bienvenue dans l’Assistant Nouvelle connexion" s’affiche. Cliquez sur le bouton "Suivant >". Réalisation d’un vpn site a site Page 31
  • 32. UNIVERSITEE ARABE PRIVEE DES SIENCES 4 La fenêtre "Type de connexion réseau" s’affiche. Sélectionnez la proposition "Configurer une connexion avancée", puis cliquez sur le bouton "Suivant >". Réalisation d’un vpn site a site Page 32
  • 33. UNIVERSITEE ARABE PRIVEE DES SIENCES 5 La fenêtre "Options de connexion avancées" s’affiche. Sélectionnez la proposition "Accepter les connexions entrantes", puis cliquez sur le bouton "Suivant >". 6 La fenêtre "Périphériques pour connexions entrantes" s’affiche. Ne cochez rien, puis cliquez sur le bouton "Suivant >". Réalisation d’un vpn site a site Page 33
  • 34. UNIVERSITEE ARABE PRIVEE DES SIENCES 7 La fenêtre "Connexion réseau privée virtuelle (VPN) entrante" s’affiche. Sélectionnez le choix "Autorisez les connexions privées virtuelles", puis cliquez sur le bouton "Suivant >". Réalisation d’un vpn site a site Page 34
  • 35. UNIVERSITEE ARABE PRIVEE DES SIENCES 8 La fenêtre "Autorisations des utilisateurs" s’affiche. Sélectionnez le(s) utilisateur(s) autorisé(s) à se connecter, puis cliquez sur le bouton "Suivant >". Réalisation d’un vpn site a site Page 35
  • 36. UNIVERSITEE ARABE PRIVEE DES SIENCES Si l’utilisateur n’apparaît pas dans la liste, cliquez sur le bouton "Ajouter", renseignez les différents champs, puis cliquez sur le bouton "OK". Réalisation d’un vpn site a site Page 36
  • 37. UNIVERSITEE ARABE PRIVEE DES SIENCES 9 La fenêtre "logiciel de réseau" s’affiche. Sélectionnez les services, protocoles et clients que vous désirez activer. Par défaut, nous vous conseillons de ne rien modifier. Cliquez ensuite sur le bouton "Suivant >". 10 La fenêtre "Fin de l’Assistant Nouvelle connexion" s’affiche. Cliquez sur le bouton "Terminer". Réalisation d’un vpn site a site Page 37
  • 38. UNIVERSITEE ARABE PRIVEE DES SIENCES 11 Suite à cette dernière série de manipulations, pour configurer les propriétés de la connexion VPN créée, il vaut à présent retourner dans la fenêtre "Connexion réseau". Effectuez un clic droit sur la connexion VPN ainsi créée, puis sélectionnez dans le menu contextuel "Propriétés". Réalisation d’un vpn site a site Page 38
  • 39. UNIVERSITEE ARABE PRIVEE DES SIENCES 12 La fenêtre "Propriétés de Connexions entrantes" s’affiche. Cliquez sur l’onglet "Gestion de réseau". Sélectionnez Protocole Internet (TCP/IP), puis cliquez sur "Propriétés". Réalisation d’un vpn site a site Page 39
  • 40. UNIVERSITEE ARABE PRIVEE DES SIENCES 13 La fenêtre "Propriétés TCP/IP entrantes" s’affiche... Une série d'options apparaîssent :  L'option "Autoriser les correspondants appelant à accéder à mon réseau local" permet de configurer votre ordinateur comme routeur (si l'option est décochée, l'appelant n'aura accès qu'à votre ordinateur ; si l'option est cochée, l'appelant pourra accéder aux autres ordinateurs de votre réseau).  L’option "Attribuer les adresses TCP/IP automatiquement avec DCHP" permet d’assigner automatiquement les adresses TCP/IP. Réalisation d’un vpn site a site Page 40
  • 41. UNIVERSITEE ARABE PRIVEE DES SIENCES  L’option Spécifier des adresses TCP/IP permet d'indiquer une plage d'adresse à utiliser pour les appelants.Elle est utile lorsqu'il n'y a pas sur le réseau de serveur DHCP. REMARQUE : le nombre d'adresses allouées, calculé en fonction des adresses tapées dans les zones "De" et "À", s'affiche dans la zone "Total".  L’option "Autoriser l'ordinateur appelant à spécifier sa propre adresse IP" inverse le processus d'attribution de l'adresse. Ce n'est plus votre ordinateur qui attribue une adresse mais l’ordinateur de l’appelant. ATTENTION : cette option risque de provoquer des conflits d’adresses IP sur votre réseau.  Cliquez sur le bouton "OK". Votre ordinateur est maintenant configuré correctement en tant que serveur pour un réseau virtuel via une connexion VPN Test de la connexion VPN. Ouvrez votre navigateur Web, puis saisissez dans la barre d’adresses l’IP du serveur VPN. Réalisation d’un vpn site a site Page 41
  • 42. UNIVERSITEE ARABE PRIVEE DES SIENCES Si vous affichez les dossiers partagés du serveur VPN, c’est que la connexion VPN fonctionne correctement. II : Configuration routeurs : [3]  Configuration du réseau sans cryptage SITE 1 :  router(config)# hostname site1  site1(config)# interface ethernet0/0  site1(config-if)# ip address 172.16.0.1 255.255.255.0  site1(config-if)# no shudown  site1(config-if)# exit  site1(config) # interface serial 0/0  site1(config-if) # ip address 10.1.1.2 255.255.255.252  site1(config-if) # no shudown  site1(config-if) # exit  site1(config) # ip route 192.168.0.0 255.255.255.0 10.1.1.1 SITE 2 : router(config)# hostname site2 site2(config)# interface Fastethernet0/0 site2(config-if)# ip address 192.168.0.1 255.255.255.0 site2(config-if)# no shudown site2(config-if)# exit site2(config) # interface serial 1/0 Réalisation d’un vpn site a site Page 42
  • 43. UNIVERSITEE ARABE PRIVEE DES SIENCES site2(config-if) # ip address 10.1.1.1 255.255.255.252 site2(config-if) # clock rate 64000 site2(config-if) # no shudown site2(config-if) # exit site2(config) # ip route 172.16.0.0 255.255.255.0 10.1.1.2  Configuration CA SITE 1 : site1# clock set 10:14:59 22 jun 2007 site1(config) # ip domain-name bMCI.ma site1(config) # ip host vpnca 172.16.0.10 site1(config) # crypto key generate rsa usage-keys site1(config) # crypto ca trustpoint vpnca http://vpnca/certsrv/mscep/mscep.dll site1(ca-truspoint) # exit site1(config) # crypto ca authenticate vpnca SITE 2 : Réalisation d’un vpn site a site Page 43
  • 44. UNIVERSITEE ARABE PRIVEE DES SIENCES site2# clock set 11:03:14 22 jun 2007 site2(config) # ip domain-name BMCI.ma site2(config) # ip host vpnca 172.16.0.10 site2(config) # crypto key generate rsa usage-keys site2(config) # crypto ca trustpoint vpnca http://vpnca/certsrv/mscep/mscep.dll site2(ca-truspoint) # exit site2(config) # crypto ca authenticate vpnca  Configuration IKE SITE 1 : site1(config) # crypto isakmp policy 1 site1(config-isakmp) # encryption des site1(config-isakmp) # hash sha site1(config-isakmp) # authentication rsa-sig site1(config-isakmp) # lifetime 86400 site1(config-isakmp) # end site1(config) # crypto isakmp key key1700 address 10.1.1.1 SITE 2 : Réalisation d’un vpn site a site Page 44
  • 45. UNIVERSITEE ARABE PRIVEE DES SIENCES site2(config) # crypto isakmp policy 1 site2(config-isakmp) # encryption des site2(config-isakmp) # hash sha site2(config-isakmp) # authentication rsa-sig site2(config-isakmp) # lifetime 86400 site2(config-isakmp) # end site2(config) # crypto isakmp key key1700 address 10.1.1.2  Configuration IPsec SITE 1 : site1(config)# crypto ipsec transform-set trs1 ah-sha-hmac esp-des site1(config-crypto-trans)# mode tunnel site1(cfg-crypto-trans)# exit site1(config) # access-list 110 permit ip 172.16.0.0 0.0.0.255 192.168.0.0 0.0.0.255 site1(config) # access-list 110 permit tcp 172.16.0.0 0.0.0.255 192.168.0.0 0.0.0.255 site1(config)# crypto map map1 10 ipsec-isakmp site1(cfg-crypto-map)# match address 110 site1(cfg-crypto-map)# set peer 10.1.1.1 site1(cfg-crypto-map) # exit site1(config) # interface serial 0/0 Réalisation d’un vpn site a site Page 45
  • 46. UNIVERSITEE ARABE PRIVEE DES SIENCES site1(config-if) # crypto map map1 site1(config-if) # exit SITE 2 : site2(config)# crypto ipsec transform-set trs2 ah-sha-hmac esp-des site2(config-crypto-trans)# mode tunnel site2(cfg-crypto-trans)# exit site2(config) # access-list 101 permit ip 192.168.0.0 0.0.0.255 172.16.0.0 0.0.0.255 site2(config) # access-list 101 permit tcp 192.168.0.0 0.0.0.255 172.16.0.0 0.0.0.255 site2(config)# crypto map map1 10 ipsec-isakmp site2(cfg-crypto-map)# match address 101 site2(cfg-crypto-map)# set peer 10.1.1.2 site2(cfg-crypto-map) # exit site2(config) # interface serial 1/0 site2(config-if) # crypto map map1 site2(config-if) # exit Conclusion Cette étude des solutions Vpn, met en évidence une forte concurrence entres les différents protocoles pouvant être utilisés. Néanmoins, il est possible de distinguer deux Réalisation d’un vpn site a site Page 46
  • 47. UNIVERSITEE ARABE PRIVEE DES SIENCES rivaux sortant leurs épingles du jeu, à savoir Ipsec et Mpls. Ce dernier est supérieur sur bien des points, mais il assure, en outre, simultanément, la séparation des flux et leur confidentialité. Le développement rapide du marché pourrait bien cependant donner l'avantage au second. En effet, la mise en place de Vpn par Ip entre généralement dans une politique de réduction des coûts liés à l'infrastructure réseau des entreprises. Les Vpn sur Ip permettent en effet de se passer des liaisons louées de type Atm ou Frame Relay. Le coût des Vpn Ip est actuellement assez intéressant pour motiver de nombreuses entreprises à franchir le pas. A performance égales un Vpn Mpls coûte deux fois moins cher qu'une ligne Atm. Mais si les solutions à base de Mpls prennent actuellement le devant face aux technologies Ipsec c'est principalement grâce à l'intégration possible de solution de téléphonie sur Ip. La qualité de service offerte par le Mpls autorise en effet Ce type d'utilisation. Le marché des Vpn profite donc de l'engouement actuel pour ces technologies qui permettent elles aussi de réduire les coûts des infrastructures de communication. Les Vpn sont donc amenés à prendre de plus en plus de place dans les réseaux informatiques Réalisation d’un vpn site a site Page 47
  • 48. UNIVERSITEE ARABE PRIVEE DES SIENCES [1] http://fr.wikipedia.org/wiki/Vpn [2] http://www.commentcamarche.net/s/vpn [3] http://www.livebox.asso.fr/livebox/tutoriaux/livebox-prov2/307-parametrage-du- vpn-nomade.html [4] http://assistance.orange.fr/configurer-votre-ordinateur-comme-serveur-vpn- sous-windows-xp-2697.php [4] http://windows.microsoft.com/fr-FR/windows/support Réalisation d’un vpn site a site Page 48