Présentation des réseaux privés virtuels provisionnés par le fournisseur (PPVPN)

Les réseaux privés virtuels provisionnés par le fournisseur (PPVPN) sont des VPN au niveau de l'entreprise principalement utilisés par les entreprises pour permettre au personnel d'accéder à distance à leur réseau d'entreprise.. Les PPVPN sont également utilisés pour connecter en toute sécurité des sites et des réseaux physiquement séparés les uns aux autres sur Internet.


De cette façon, les différents sites apparaissent aux utilisateurs comme un réseau unique entièrement intégré. Une entreprise souhaitant exécuter un VPN d'entreprise peut créer et exploiter son propre VPN dédié. Alternativement, il peut louer un service PPVPN auprès d'un fournisseur de télécommunications ou d'un FAI desservant le secteur interentreprises.

Les VPN provisionnés ont l'avantage d'être faciles à mettre en œuvre et à utiliser. Le réseau VPN est généralement transparent pour les utilisateurs sans aucune authentification utilisateur distincte requise. Selon les protocoles et l'architecture VPN, une fois configurés, les machines hôtes des utilisateurs finaux participants de chaque côté du VPN peuvent ne pas avoir besoin d'un logiciel VPN spécial installé pour utiliser un VPN fourni par le fournisseur.

kw1kw1

Dans cet article

Fonctionnement des PPVPN

Les PPVPN utilisent des liaisons de trafic virtuelles sur Internet. appelés «tunnels» qui sont créés en utilisant des protocoles tels que GRE, MPLS, PPTP, L2TP et Ipsec. Ces protocoles permettent au trafic privé d'entreprise de traverser l'Internet public sans que la connexion ou les données ne soient compromises.

Pour les VPN d'accès à distance qui connectent un seul utilisateur à un réseau d'entreprise via un appel entrant, un routeur DLS ou un LAN sans fil, les protocoles utilisés seront généralement PPTP ou L2TP. Pour les VPN connectant deux réseaux de site ou plus entre eux, les protocoles seront normalement GRE, IPsec ou MPLS.

Le tunnel VPN est établi entre les passerelles de réseau VPN de chaque site, appelées “Provider Edge” et “Avantage client” dispositifs. Les tunnels VPN fonctionnent sur un ou deux des Couches de communication définies par OSI.

Il s'agit généralement de la couche OSI 2 ou de la couche 3. Les tunnels de la couche 2 utilisent PPTP et L2TP. Il s'agit de la couche de trames dans laquelle les trames Ethernet simples sont transportées via le VPN. Cela permet également aux paquets de diffusion de traverser le VPN. Les VPN MPLS fonctionnent également sur cette couche.

Des exemples de tunnels de couche 3 sont Encapsulation de route générique (GRE), utilisé pour encapsuler le trafic non IP pour le transport via Internet sans chiffrement. La couche 3 est également utilisée par le protocole IPsec qui intègre à la fois la fonctionnalité de tunneling et de cryptage.

Topologies VPN

Il existe deux topologies principales possibles pour configurer un VPN. - À base de maillage, où chaque ensemble d'appareils terminaux communique directement entre eux, sans avoir à passer par un point central. Cela permet de meilleures capacités de routage, mais signifie également que davantage de tunnels sont nécessaires.

Hub et basé sur les rayons, où chaque ensemble de dispositifs terminaux communique entre eux via un point central. Cette configuration réduit la complexité et le nombre de tunnels, mais elle impose également des exigences plus élevées en matière de fiabilité et entraîne une surcharge de trafic au point central. Cela signifie également qu'un seul point de défaillance est introduit dans le système.

Le type de topologie choisi dépendra de la nature des réseaux impliqués, du nombre de sites à relier et de leurs besoins de connectivité individuels. Pour une discussion approfondie des topologies et architectures utilisées par les VPN, voir l'article Une analyse des solutions de réseaux privés virtuels publié par l'Université de Nouvelle-Galles du Sud.

Aspects de la sécurité VPN

La sécurité VPN nécessite des fonctionnalités d'autorisation utilisateur, d'authentification et de cryptage des données. Les tunnels VPN en eux-mêmes n'offrent pas toujours une sécurité adéquate. Cela dépend du protocole spécifique utilisé. Certains protocoles de transport contiennent une fonctionnalité de chiffrement. D'autres ne le font pas.

Même s'il est sécurisé, les données transitant par le VPN ne seront normalement protégées qu'entre les deux périphériques de passerelle. Cela signifie que les données voyageant entre les hôtes et le bord de la passerelle à chaque extrémité du VPN ne sont pas protégées.

Protocoles de transport VPN

Étant donné que les VPN fonctionnent via Internet public, les protocoles de transport utilisés sont cruciaux en matière de sécurité des données et des connexions. Les protocoles VPN les plus courants actuellement utilisés pour les PPVPN sont les suivants:.

Encapsulation de routage générique (GRE) GRE est utilisé pour encapsuler n'importe quel protocole dans IP. Une nouvelle version de GRE appelée GRE amélioré permet une transmission plus efficace. GRE est utilisé avec PPTP pour créer des tunnels VPN.

Protocole de tunneling point à point (PPTP) PPTP est un protocole de couche 2 utilisé pour les connexions point à point. Traditionnellement, il s'agissait d’accès à distance ou RNIS qui utilisaient Protocole point à point (PPP). PPTP était un développement ultérieur de PPP et utilise le mécanisme de sécurité propriétaire de Microsoft CHAP (Challenge Handshake Authentication Protocol) pour l'authentification. PPTP fournit un tunnel VPN entre un client final PPTP tel qu'un PC ou un ordinateur portable et un serveur compatible PPTP.

Chaque périphérique souhaitant utiliser PPTP doit avoir un logiciel client PPTP installé et configuré. PPTP à son tour utilise GRE pour encapsuler les trames PPP dans des paquets IP. Notez que de nombreux périphériques de pare-feu de filtrage de paquets bloquent le port PPTP par défaut, ils peuvent donc avoir besoin d'être reconfigurés pour permettre au trafic PPTP de passer. Un autre problème avec PPTP est que le protocole a longtemps été prouvé être intrinsèquement précaire.

De manière générale, vous ne voulez pas utiliser PPTP avec un VPN provisionné par un fournisseur. Protocole de tunneling de couche 2 (L2TP) L2TP remplace PPTP. Comme avec PPTP, L2TP assure la communication entre un client L2TP et un serveur compatible L2TP. Il nécessite que le logiciel client L2TP soit installé et configuré sur chaque système.

Cependant, contrairement à PPTP, qui utilise GRE pour tunneler les données, L2TP a son propre protocole de tunneling qui s'exécute sur le port UDP 1701. Cela facilite le passage de L2TP sans entrave par le biais de dispositifs de filtrage de paquets par rapport à PPTP. Un tunnel L2TP émule une connexion PPP et chaque tunnel L2TP comprend deux canaux: un canal de contrôle qui gère la session de communication et le canal de données qui transporte les paquets de données réels au format PPP. Les messages de contrôle perdus sont toujours renvoyés.

Cependant, comme avec PPTP, autre que l'authentification basée sur les défis initiale utilisant CHAP au début de la session, L2TP ne fournit aucune sécurité et donc L2TP ne doit pas être utilisé seul pour un VPN. Une façon courante d'ajouter de la sécurité à L2TP consiste à le regrouper avec IPsec pour fournir le chiffrement via le tunnel L2TP.

Sécurité du protocole Internet (IPsec) IPsec est un ensemble de protocoles établi et éprouvé composé de trois composants principaux: l'en-tête d'authentification (AH), l'encapsulation de la charge utile de sécurité (ESP) et l'échange de clés Internet (IKE) qui prend en charge le cryptage des données pour IPsec. IPsec assure la sécurité au niveau de la couche de paquets IP.

IPsec est un protocole de niveau réseau qui peut être intégré aux serveurs, clients et autres appareils, par exemple dans un routeur, un concentrateur VPN dédié ou un pare-feu. Toutes les versions de Windows depuis 2000 / XP et Mac OSX 10.3+ et la plupart des systèmes d'exploitation mobiles sont livrés avec une prise en charge native de L2TP et IPsec. IPsec sécurise chaque paquet IP, qu'il s'agisse d'un paquet TCP, UDP ou autre. IPsec est généralement considéré comme le protocole de transport VPN le plus sûr et le plus efficace, mais il présente également certaines limites.

L'en-tête d'authentification (AH) AH fournit une authentification utilisateur ainsi qu'une protection de l'intégrité pour les en-têtes de paquets et les données. Cependant, AH n'effectue aucun chiffrement de paquets. Pour cette raison, AH et ESP avaient tendance à être regroupés. Depuis que des capacités d'authentification ont été ajoutées à ESP, AH est devenu moins important et certains systèmes IPsec ne l'incluent plus.

Cependant, AH est toujours une fonctionnalité utile car il offre une compatibilité descendante avec les appareils et logiciels qui en dépendent encore. Il est important de noter que AH a deux modes: transport et tunnel. En mode tunnel, AH crée un nouvel en-tête IP pour chaque paquet de données. En mode transport, qui est généralement utilisé pour les connexions directes d'hôte à hôte (par exemple PC-à-serveur ou serveur-à-serveur), AH ne modifie pas l'en-tête IP d'origine ni ne crée un nouvel en-tête IP. Cela signifie que si vous utilisez un VPN de passerelle à passerelle ou d'hôte à passerelle, vous devez vous assurer que vos appareils sont configurés pour reconfigurer les adresses IP source ou de destination pour que les paquets pointent vers les adresses IP de la passerelle. Sinon, les paquets n'atteindront pas leur destination.

Encapsuler la charge utile de sécurité (ESP) Initialement, ESP ne fournissait que le chiffrement des données par paquets avec une protection d'intégrité prise en charge par le protocole AH. Dans les versions ultérieures d'IPsec, ESP peut désormais effectuer ensemble le chiffrement, la protection de l'intégrité ou le chiffrement et la protection de l'intégrité. Comme avec AH, ESP a à la fois des modes de transport et de tunnel. Pour la plupart des VPN, le mode tunnel est utilisé. Dans ce cas, ESP ajoute un nouvel en-tête IP pour chaque paquet contenant les adresses d'extrémité du tunnel.

Problèmes potentiels avec IPsec

L'utilisation d'IPsec avec des passerelles NAT (Network Address Translation) peut être problématique. AH ne doit être utilisé en mode tunnel que si le trafic doit traverser des passerelles NAT car le mode de transport AH n'est pas compatible NAT. Un autre problème est que AH authentifie l'intégralité du paquet IPsec, y compris l'en-tête IP, tandis que les NAT doivent pouvoir modifier les adresses IP des paquets.

Par conséquent, l'authentification IPsec en mode tunnel peut ne pas fonctionner avec certains trafics de protocole d'application tels que FTP, SIP / VOIP ou IRC qui s'appuie sur des adresses IP intégrées pour fonctionner correctement. Une solution de contournement consiste à exécuter la fonctionnalité NAT avant d'appliquer IPsec. Cela peut être fait en utilisant une passerelle IPsec qui exécute également NAT.

Une autre alternative consiste à appliquer l'encapsulation UDP des paquets ESP en ajoutant un en-tête UDP à chaque paquet, qui fournit une adresse IP et un port UDP qui peuvent être utilisés par NAT. IPsec est particulièrement utile pour les extrémités externes finales où le chiffrement est explicitement souhaité lors de la connexion aux PC et ordinateurs portables des utilisateurs. IPsec est également le seul protocole qui offre un accès VPN sécurisé aux hôtes de connexion à distance. L'Institut national des normes et de la technologie (NIST) a publié un rapport détaillé Guide des VPN Ipsec ce qui vaut la peine d'être lu si vous envisagez sérieusement d'implémenter un VPN basé sur IPsec.

Commutation d'étiquette multiprotocole (MPLS)

Jusqu'au début des années 2000, IPsec était le protocole de fournisseur de services VPN par défaut proposé aux entreprises par les télécommunications et les FAI. Mais depuis lors, MPLS a commencé à devenir plus populaire. MPLS est souvent décrit comme se situant entre les couches OSI 2 et 3. En effet, MPLS comprend à la fois le routage IP au niveau de la couche 3 ainsi que la fonctionnalité de commutation de paquets de la couche 2. MPLS, comme “Multiprotocole” nom implique, peut transporter des paquets à partir d'une gamme diversifiée de différents protocoles réseau. MPLS est désormais proposé par de nombreux réseaux de fournisseurs de services, et déployé pour leurs propres dorsales Internet.

MPLS transfère les paquets sur la couche 2 (la couche de commutation). À ce stade, la nécessité d'un routage IP est évitée car chaque paquet est étiqueté lors de son entrée dans le réseau du fournisseur de services par le routeur de bordure d'étiquette entrant ou «entrant» ou LER. Tous les routeurs de commutation d'étiquettes (LSR) participants MPLS suivants effectuent le transfert de paquets uniquement en fonction de ces étiquettes, sans aucune référence à l'adresse dans l'en-tête IP..

Enfin, le routeur LER sortant ou «de sortie» supprime l'étiquette MPLS et transfère le paquet IP à sa destination finale. Les VPN MPLS sont parfois appelés par les fournisseurs de services un service de réseau local privé virtuel (VPLS) ou un réseau routé privé virtuel (VPRN). MPLS offre un certain nombre d'avantages par rapport à IPsec.

Tout d'abord, plutôt que de s'appuyer sur une série de recherches de tables de routeurs en cours de route pour chaque paquet, MPLS utilise ses propres chemins prédéterminés appelés chemins commutés par étiquette pour sélectionner à l'avance la route optimale pour tous les paquets. Cela accélère considérablement le transfert de données.

MPLS possède également une excellente capacité de qualité de service (QoS). MPLS prend en charge la définition de plusieurs niveaux de service en utilisant ses propres routes LSP (Label Switching Protocol) pour respecter des accords de niveau de service spécifiques en fonction des caractéristiques du trafic, de la latence, de la perte de paquets et des problèmes d'indisponibilité. Par exemple, un réseau pourrait définir trois niveaux de service - un pour le trafic VOIP, un pour le trafic sensible au temps et un autre pour le trafic de données standard. L'EETimes a publié un article approfondi sur la mise en œuvre de solutions PPVPN basées sur MPLS.

Alors quel protocole est le meilleur pour un PPVPN?

IPsec a tendance à être favorisé par les petites entreprises pour les VPN au niveau de la couche 3 OSI et en particulier pour les hôtes d'accès à distance. Dans ces cas, IPsec avec L2TP ou IPsec avec GRE seront les protocoles préférés. PPTP a l'avantage d'être facile à implémenter car il est disponible sous forme intégrée avec MS-Windows et de nombreux autres systèmes.

Cependant, en raison des inconvénients de sécurité, l'utilisation de PPTP n'est pas recommandée pour un VPN sécurisé. Gardez à l'esprit qu'IPsec et GRE ne prennent pas en charge la fonctionnalité QoS par eux-mêmes. IPSec est moins fréquemment rencontré dans les moyennes et grandes entreprises en raison de la complexité de leurs exigences de connectivité réseau.

Pour les utilisateurs mobiles et les connexions d'accès à distance, MPLS n'est pas une option. MPLS s'arrête au «bord client» ou au périphérique CE (généralement un routeur). MPLS est le mieux adapté au déploiement pour les VPN de site à site entre les bords de routeur des sites réseau et pour les grandes entreprises, et en particulier pour les réseaux avec des volumes de trafic plus élevés et un trafic de différents types qui bénéficient de la ségrégation QoS. Si vous recherchez un fournisseur VPN MPLS approprié, consultez le Liste des fournisseurs de services commerciaux VPN MPLS au Royaume-Uni et dans le monde maintenu par The Network Union.

Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me