Fonctionnalités des VPN

Télécharger le fichier pdf d’un mémoire de fin d’études

Fonctionnalités des VPN

Il existe 3 types standards d’utilisation des VPN.

Le VPN d’accès : VPN nomade

Le VPN d’accès est utilisé pour permettre à des utilisateurs itinérants d’accéder au réseau privé. L’utilisateur se sert d’une connexion Internet pour établir la connexion VPN. Il existe deux cas:
L’utilisateur demande au fournisseur d’accès de lui établir une connexion cryptée vers le serveur distant: il communique avec le NAS (Network Access Server) du fournisseur d’accès et c’est le NAS qui établit la connexion cryptée.
L’utilisateur possède son propre logiciel client pour le VPN auquel cas il établit directement la communication de manière cryptée vers le réseau de l’entreprise.
Les deux méthodes possèdent chacune leurs avantages et leurs inconvénients :

La première permet à l’utilisateur de communiquer sur plusieurs réseaux en créant plusieurs tunnels, mais nécessite un fournisseur d’accès proposant un NAS compatible avec la solution VPN choisie par l’entreprise. De plus, la demande de connexion par le NAS n’est pas cryptée ce qui peut poser des problèmes de sécurité. Sur la deuxième méthode ce problème disparaît puisque l’intégralité des informations sera cryptée dès l’établissement de la connexion. Par contre, cette solution nécessite que chaque client transporte avec lui le logiciel, lui permettant d’établir une communication cryptée. Nous verrons que pour pallier ce problème certaines entreprises mettent en place des VPN à base de SSL, technologie implémentée dans la majorité des navigateurs Internet du marché.
Quelle que soit la méthode de connexion choisie, ce type d’utilisation montre bien l’importance dans le VPN d’avoir une authentification forte des utilisateurs. Cette authentification peut se faire par une vérification « login / mot de passe », par un algorithme dit « Tokens sécurisés » (utilisation de mots de passe aléatoires) ou par certificats numériques.

Le VPN d’accès Ipsec avec Cisco VPN client :

Les VPN d’accès peuvent fournir un procédé de transmission de données sécurisé sur un réseau public, tel que l’Internet. Une mise en œuvre VPN commun est utilisée pour l’accès à distance à un bureau de l’entreprise à partir d’un emplacement de télétravailleur comme un bureau petit bureau ou domicile.
Dans ce cas de figure, vous allez construire un réseau multi-routeur et configurer les routeurs et les hôtes. Vous allez configurer un accès à distance VPN IPsec entre un ordinateur client et un réseau d’entreprise simulée. Vous allez utiliser CCP (Cisco Configuration professionnel) pour configurer une politique d’une zone de base pare-feu (ZBF) pour empêcher les connexions depuis l’extérieur du réseau d’entreprise. Vous utiliserez ensuite CCP pour configurer le serveur Cisco Easy VPN sur le routeur de passerelle d’entreprise. Enfin, vous pourrez configurer le client VPN Cisco sur un hôte, et se connecter au réseau d’entreprise via un routeur FAI simulé.
Le Cisco VPN Client permet aux organisations de mettre en place de bout en bout, tunnels cryptés (IPsec) VPN pour une connectivité sécurisée pour les employés mobiles ou les télétravailleurs. Il prend en charge Cisco Easy VPN, qui permet au client de recevoir des politiques de sécurité sur une connexion de tunnel VPN à partir du périphérique VPN de site central (Cisco Easy VPN Server), en minimisant les besoins de configuration à l’emplacement distant. Le Cisco Easy VPN est une solution évolutive pour les déploiements d’accès à distance pour laquelle il est impossible de configurer individuellement des politiques pour plusieurs PC à distance.

Clientless et AnyConnect VPN SSL:

Le VPN SSL offre un accès sécurisé aux applications principalement basé sur le Web. Etant donné que le SSL utilise un navigateur Web, les utilisateurs n’ont généralement pas à utiliser de logiciel client spécifique sur leurs ordinateurs ce qu’on appelle Clientless. Le VPN SSL fonctionne au niveau de la couche session du modèle OSI. Et du fait que le client est un navigateur web, seules les applications qui prennent en charge un navigateur web peuvent utiliser cette solution VPN.
Mais parfois une connexion avec un tunnel VPN SSL exige une application client VPN qui doit être installé sur l’hôte distant. Après authentification, les utilisateurs peuvent accéder à une ressource interne comme s’ils étaient physiquement sur le réseau local. L’ASA supporte SSL et IPsec VPN basés sur le client.
Donc pour implémenter cela il s’agira en premier lieu de la configuration des différents matériels de la topologie à suivre. Dans la deuxième partie, on prépare l’ASA pour l’accès ASDM. Dans la troisième partie, on utilisera l’assistant ASDM VPN pour configurer un VPN d’accès distant sans client SSL (Clienless) et vérifier l’accès à l’aide d’un PC à distance avec un navigateur. Dans la quatrième partie, on va configurer un accès à distance SSL VPN basé sur client AnyConnect et vérifier la connectivité.

VPN Site to Site

L’intranet VPN est utilisé pour relier au moins deux intranets entre eux. Ce type de réseau est particulièrement utile au sein d’une entreprise possédant plusieurs sites distants. Le plus important dans ce type de réseau est de garantir la sécurité et l’intégrité des données. Certaines données très sensibles peuvent être amenées à transiter sur le VPN (base de données clients, informations financières…). Des techniques de cryptographie sont mises en œuvre pour vérifier que les données n’ont pas été altérées. Il s’agit d’une authentification au niveau paquet pour assurer la validité des données, de l’identification de leur source ainsi que leur non-répudiation. La plupart des algorithmes utilisés font appel à des signatures numériques qui sont ajoutées aux paquets. La confidentialité des données est, elle aussi, basée sur des algorithmes de cryptographie. La technologie en la matière est suffisamment avancée pour permettre une sécurité quasi parfaite. Le coût matériel des équipements de cryptage et décryptage ainsi que les limites légales interdisent l’utilisation d’un codage  » infaillible « . Généralement pour la confidentialité, le codage en lui-même pourra être moyen à faible, mais sera combiné avec d’autres techniques comme l’encapsulation IP dans IP pour assurer une sécurité raisonnable.

L’extranet VPN

Une entreprise peut utiliser le VPN pour communiquer avec ses clients et ses partenaires. Elle ouvre alors son réseau local à ces derniers. Dans ce cadre, il est fondamental que l’administrateur du VPN puisse tracer les clients sur le réseau et gérer les droits de chacun sur celui-ci.

Bilan des caractéristiques d’un VPN

Un système de VPN doit pouvoir mettre en œuvre les fonctionnalités suivantes :
Authentification d’utilisateur. Seuls les utilisateurs autorisés doivent pouvoir s’identifier sur le réseau virtuel. De plus, un historique des connexions et des actions effectuées sur le réseau doit être conservé.
Gestion d’adresses. Chaque client sur le réseau doit avoir une adresse privée. Cette adresse privée doit rester confidentielle. Un nouveau client doit pouvoir se connecter facilement au réseau et recevoir une adresse.
Cryptage des données. Lors de leurs transports sur le réseau public les données doivent être protégées par un cryptage efficace.
Gestion de clés. Les clés de cryptage pour le client et le serveur doivent pouvoir être générées et régénérées.
Prise en charge multiprotocole. La solution VPN doit supporter les protocoles les plus utilisés sur les réseaux publics en particulier IP.
Le VPN est un principe : il ne décrit pas l’implémentation effective de ces caractéristiques. C’est pourquoi il existe plusieurs produits différents sur le marché dont certains sont devenus standard, et même considérés comme des normes.

Les protocoles

Nous pouvons classer les protocoles que nous allons étudier en deux catégories:
Les protocoles de niveau 2 comme PPTP et L2TP.
Les protocoles de niveau 3 comme IPSEC ou MPLS.
Il existe en réalité trois protocoles de niveau 2 permettant de réaliser des VPN : PPTP (de Microsoft), L2F (développé par CISCO) et enfin L2tp. Nous n’évoquerons dans cette étude que PPTP et L2TP : le protocole L2F ayant aujourd’hui quasiment disparut. Le protocole PPTP aurait sans doute lui aussi disparu sans le soutien de Microsoft qui continue à l’intégrer à ses systèmes d’exploitation Windows. L2tp est une évolution de PPTP et de L2F, reprenant
les avantages des deux protocoles. Les protocoles de couche 2 dépendent des fonctionnalités spécifiées pour PPP (Point to Point Protocol), c’est pourquoi nous allons tout d’abord rappeler le fonctionnement de ce protocole.
PPP (Point to Point Protocol) est un protocole qui permet de transférer des données sur un lien synchrone ou asynchrone. Il est full duplex et garantit l’ordre d’arrivée des paquets. Il encapsule les paquets IP, IPX dans des trames PPP, puis transmet ces paquets encapsulés au travers de la liaison point à point. PPP est employé généralement entre un client d’accès à distance et un serveur d’accès réseau (NAS). Le protocole PPP est défini dans la Rfc 1661 appuyé de la Rfc 2153.

Généralités

PPP est l’un des deux protocoles issus de la standardisation des communications sur liaisons séries. Il permet non seulement l’encapsulation de datagrammes, mais également la résolution de certains problèmes liés aux protocoles réseaux comme l’assignation et la gestion des adresses (IP, X25 et autres).
Une connexion PPP est composée principalement de trois parties :
Une méthode pour encapsuler les datagrammes sur la liaison série. PPP utilise le format de trame HDLC (Hight Data Level Control) de l’ISO (International Standardisation Organisation).
Un protocole de contrôle de liaison (LCP – Link Control Protocol) pour établir, configurer et tester la connexion de liaison de données.
Plusieurs protocoles de contrôle de réseaux (NCPS – Network Control Protocol) pour établir et configurer les différents protocoles de couche réseau.

Les différentes phases d’une connexion PPP

Toute connexion PPP commence et finit par une phase dite de « liaison morte ». Dès qu’un événement externe indique que la couche physique est prête, la connexion passe à la phase suivante, à savoir l’établissement de la liaison. Comme PPP doit être supporté par un grand nombre d’environnements, un protocole spécifique a été élaboré et intégré à PPP pour toute la phase de connexion ; il s’agit de LCP (Link Control Protocol). LCP est un protocole utilisé pour établir, configurer, tester, et terminer la connexion PPP. Il permet de manipuler des tailles variables de paquets et effectue un certain nombre de tests sur la configuration. Il permet notamment de détecter un lien bouclé sur lui-même. La connexion PPP passe ensuite à une phase d’authentification. Cette étape est facultative et doit être spécifiée lors de la phase précédente. Si l’authentification réussie ou qu’elle n’a pas été demandée, la connexion passe en phase de « Protocole réseau ». C’est lors de cette étape que les différents protocoles réseaux sont configurés. Cette configuration s’effectue séparément pour chaque protocole réseau. Elle est assurée par le protocole de contrôle de réseau (NCP) approprié. A Ce moment, le transfert des données est possible. Les NPC peuvent à tout moment ouvrir ou fermer une connexion. Ppp peut terminer une liaison à tout moment, parce qu’une authentification a échouée, que la qualité de la ligne est mauvaise ou pour toute autre raison. C’est le LCP qui assure la fermeture de la liaison à l’aide de paquets de terminaison. Les NCP sont alors informés par Ppp de la fermeture de la liaison.

Le protocole PPTP

PPTP, définit par la RFC 2637, est un protocole qui utilise une connexion PPP à travers un réseau IP en créant un réseau privé virtuel (VPN). Microsoft a implémenté ses propres algorithmes afin de l’intégrer dans ses versions de Windows. Ainsi, PPTP est une solution très employée dans les produits VPN commerciaux à cause de son intégration au sein des systèmes d’exploitation Windows. PPTP est un protocole de niveau 2 qui permet l’encryptage des données ainsi que leur compression. L’authentification se fait grâce au protocole Ms-Chap de Microsoft qui, après la cryptanalyse de sa version 1, a révélé publiquement des failles importantes. Microsoft a corrigé ces défaillances et propose aujourd’hui une version 2 de Ms-Chap plus sûre. La partie chiffrement des données s’effectue grâce au protocole MPPE
(Microsoft Point-to-Point Encryption). Le principe du protocole PPTP est de créer des paquets sous le protocole PPP et de les encapsuler dans des datagrammes IP. PPTP crée ainsi un tunnel de niveau 3 défini par le protocole GRE (Generic Routing Encapsulation). Le tunnel PPTP se caractérise par une initialisation du client, une connexion de contrôle entre le client et le serveur ainsi que par la clôture du tunnel par le serveur. Lors de l’établissement de la connexion, le client effectue d’abord une connexion avec son fournisseur d’accès Internet. Cette première connexion établie une connexion de type PPP et permet de faire circuler des données sur Internet. Par la suite, une deuxième connexion dial-up est établie. Elle permet d’encapsuler les paquets PPP dans des datagrammes IP. C’est cette deuxième connexion qui forme le tunnel PPTP. Tout trafic client conçu pour Internet emprunte la connexion physique normale, alors que le trafic conçu pour le réseau privé distant, passe par la connexion virtuelle de PPTP.
Plusieurs protocoles peuvent être associés à PPTP afin de sécuriser les données ou de les compresser. On retrouve évidement les protocoles développés par Microsoft et cités précédemment. Ainsi, pour le processus d’identification, il est possible d’utiliser les protocoles PAP (Password Authentification Protocol) ou MsChap. Pour l’encryptage des données, il est possible d’utiliser les fonctions de MPPE (Microsoft Point to Point Encryption). Enfin, une compression de bout en bout peut être réalisée par MPPC (Microsoft Point to Point Compression). Ces divers protocoles permettent de réaliser une connexion VPN complète, mais les protocoles suivants permettent un niveau de performance et de fiabilité bien meilleur.

Le protocole L2TP

L2TP, définit par la Rfc 2661, est issu de la convergence des protocoles PPTP et L2F. Il est actuellement développé et évalué conjointement par Cisco Systems, Microsoft, Ascend, 3Com ainsi que d’autres acteurs clés du marché des réseaux. Il permet l’encapsulation des paquets
PPP au niveau des couches 2 (Frame Relay et Atm) et 3 (Ip). Lorsqu’il est configuré pour transporter les données sur IP, L2tp peut être utilisé pour faire du tunnelling sur Internet. L2tp repose sur deux concepts : les concentrateurs d’accès L2tp (Lac : L2tp Access Concentrator) et les serveurs réseau L2tp (Lns : L2tp Network Server). L2tp n’intègre pas directement de protocole pour le chiffrement des données. C’est pourquoi L’IETF préconise l’utilisation conjointe d’Ipsec et L2tp.

Concentrateurs d’accès L2tp (Lac : L2tp Access Concentrator)

Les périphériques Lac fournissent un support physique aux connexions L2tp. Le trafic étant alors transféré sur les serveurs réseau L2tp. Ces serveurs peuvent s’intégrer à la structure d’un réseau commuté Rtc ou alors à un système d’extrémité Ppp prenant en charge le protocole L2tp. Ils assurent le fractionnement en canaux de tous les protocoles basés sur Ppp. Le Lac est l’émetteur des appels entrants et le destinataire des appels sortants.

Serveur réseau L2tp (Lns : L2tp Network Server)

Les serveurs réseau L2tp ou Lns peuvent fonctionner sur toute plate-forme prenant en charge la terminaison PPP. Le LNS gère le protocole L2tp côté serveur. Le protocole L2tp n’utilise qu’un seul support, sur lequel arrivent les canaux L2tp. C’est pourquoi, les serveurs réseau Lns, ne peuvent avoir qu’une seule interface de réseau local (Lan) ou étendu (Wan). Ils sont cependant capables de terminer les appels en provenance de n’importe quelle interface Ppp du concentrateur d’accès Lac : async, Rnis, PPP sur Atm ou PPP sur relais de trame. Le Lns est l’émetteur des appels sortants et le destinataire des appels entrants. C’est le Lns qui sera responsable de l’authentification du tunnel.

Le protocole Ipsec

IpSec, définit par la Rfc 2401, est un protocole qui vise à sécuriser l’échange de données au niveau de la couche réseau. Le réseau Ipv4 étant largement déployé et la migration vers Ipv6 étant inévitable, mais néanmoins longue, il est apparu intéressant de développer des techniques de protection des données communes à Ipv4 et Ipv6. Ces mécanismes sont couramment désignés par le terme Ipsec pour IP Security Protocol. Ipsec est basé sur deux mécanismes. Le premier, AH, pour Authentification Header vise à assurer l’intégrité et l’authenticité des datagrammes IP. Il ne fournit par contre aucune confidentialité : les données fournies et transmises par ce « protocole » ne sont pas encodées. Le second, Esp, pour Encapsulating Security Payload peut aussi permettre l’authentification des données mais est principalement utilisé pour le cryptage des informations. Bien qu’indépendants ces deux mécanismes sont presque toujours utilisés conjointement. Enfin, le protocole Ike permet de gérer les échanges ou les associations entre protocoles de sécurité. Avant de décrire ces différents protocoles, nous allons exposer les différents éléments utilisés dans Ipsec.

Vue d’ensemble

Les mécanismes mentionnés ci-dessus font bien sûr appel à la cryptographie et utilisent donc un certain nombre de paramètres (algorithmes de chiffrement utilisés, clefs, mécanismes sélectionnés…) sur lesquels les tiers communicants doivent se mettre d’accord. Afin de gérer ces paramètres, Ipsec a recours à la notion d’association de sécurité (Security Association, SA).
Une association de sécurité Ipsec est une « connexion » simplexe qui fournit des services de sécurité au trafic qu’elle transporte. On peut aussi la considérer comme une structure de données servant à stocker l’ensemble des paramètres associés à une communication donnée.
Une SA est unidirectionnelle ; en conséquence, protéger les deux sens d’une communication classique requiert deux associations, une dans chaque sens. Les services de sécurité sont fournis par l’utilisation soit d’AH soit d’Esp. Si AH et Esp sont tous deux appliqués au trafic en question, deux SA (voire plus) sont créées ; on parle alors de paquet (bundle) de SA.
Chaque association est identifiée de manière unique à l’aide d’un triplet composé de:
L’adresse de destination des paquets,
L’identifiant du protocole de sécurité utilisé (AH ou Esp),
Un index des paramètres de sécurité (Security Parameter Index, SPI). Un SPI est un bloc de 32 bits inscrit en clair dans l’en-tête de chaque paquet échangé ; il est choisi par le récepteur. Pour gérer les associations de sécurités actives, on utilise une « base de données des associations de sécurité » (Security Association Database, SAD). Elle contient tous les paramètres relatifs à chaque SA et sera consultée pour savoir comment traiter chaque paquet reçu ou à émettre. Les protections offertes par Ipsec sont basées sur des choix définis dans une « base de données de politique de sécurité » (Security Policy Database, SPD). Cette base de données est établie et maintenue par un utilisateur, un administrateur système ou une application mise en place par ceux-ci. Elle permet de décider, pour chaque paquet, s’il se verra apporter des services de sécurité, s’il sera autorisé à passer ou rejeté.

Principe de fonctionnement

Le schéma ci-dessous représente tous les éléments présentés ci-dessus (en bleu), leurs positions et leurs interactions.
On distingue deux situations :
Trafic sortant
Lorsque la « couche » Ipsec reçoit des données à envoyer, elle commence par consulter la base de données des politiques de sécurité (SPD) pour savoir comment traiter ces données. Si cette base lui indique que le trafic doit se voir appliquer des mécanismes de sécurité, elle récupère les caractéristiques requises pour la SA correspondante et va consulter la base des SA (SAD). Si la SA nécessaire existe déjà, elle est utilisée pour traiter le trafic en question. Dans le cas contraire, Ipsec fait appel à IKE pour établir une nouvelle SA avec les caractéristiques requises.
Trafic entrant
Lorsque la couche Ipsec reçoit un paquet en provenance du réseau, elle examine l’en-tête pour savoir si ce paquet s’est vu appliquer un ou plusieurs services Ipsec et si oui, quelles sont les références de la SA. Elle consulte alors la SAD pour connaître les paramètres à utiliser pour la vérification et/ou le déchiffrement du paquet. Une fois le paquet vérifié et/ou déchiffré, la Spd est consultée pour savoir si l’association de sécurité appliquée au paquet correspondait bien à celle requise par les politiques de sécurité.
Dans le cas où le paquet reçu est un paquet IP classique, la Spd permet de savoir s’il a néanmoins le droit de passer. Par exemple, les paquets IKE sont une exception. Ils sont traités par Ike, qui peut envoyer des alertes administratives en cas de tentative de connexion infructueuse.

Ŕ Ipsec et la gestion des clés

Les protocoles sécurisés présentés dans les paragraphes précédents ont recours à des algorithmes cryptographiques et ont donc besoin de clefs. Un des problèmes fondamentaux d’utilisation de la cryptographie est la gestion de ces clefs. Le terme « gestion » recouvre la génération, la distribution, le stockage et la suppression des clefs. IKE (Internet Key Exchange) est un système développé spécifiquement pour Ipsec qui vise à fournir des mécanismes d’authentification et d’échange de clef adaptés à l’ensemble des situations qui peuvent se présenter sur l’Internet. Il est composé de plusieurs éléments : le cadre générique ISAKMP et une partie des protocoles Oakley et Skeme. Lorsqu’il est utilisé pour Ipsec, IKE est de plus complété par un « domaine d’interprétation » pour Ipsec.

ISAKMP (Internet Security Association and Key Management Protocol)

ISAKMP a pour rôle la négociation, l’établissement, la modification et la suppression des associations de sécurité et de leurs attributs. Il pose les bases permettant de construire divers protocoles de gestion des clefs (et plus généralement des associations de sécurité). Il comporte trois aspects principaux :
Il définit une façon de procéder, en deux étapes appelées phase 1 et phase 2 : dans la première, un certain nombre de paramètres de sécurité propres à Isakmp sont mis en place, afin d’établir entre les deux tiers un canal protégé ; dans un second temps, Ce canal est utilisé pour négocier les associations de sécurité pour les mécanismes de sécurité que l’on souhaite utiliser (AH et ESP par exemple).
Il définit des formats de messages, par l’intermédiaire de blocs ayant chacun un rôle précis et permettant de former des messages clairs.
Il présente un certain nombre d’échanges types, composés de tels messages, qui permettent des négociations présentant des propriétés différentes : protection ou non de l’identité, perfect forward secrecy…

Ike (Internet Key Exchange)

IKE utilise Isakmp pour construire un protocole pratique. Il comprend quatre modes :
Le mode principal (Main mode)
Le mode agressif (Agressive Mode)
Le mode rapide (Quick Mode)
Le mode nouveau groupe (New Groupe Mode)
Main Mode et Agressive Mode sont utilisés durant la phase 1, Quick Mode est un échange de phase 2. New Group Mode est un peu à part : Ce n’est ni un échange de phase 1, ni un échange de phase 2, mais il ne peut avoir lieu qu’une fois qu’une SA Isakmp est établie ; il sert à se mettre d’accord sur un nouveau groupe pour de futurs échanges Diffie-Hellman.

Phase 1 : Main Mode et Aggressive Mode

Les attributs suivants sont utilisés par Ike et négociés durant la phase 1 : un algorithme de chiffrement, une fonction de hachage, une méthode d’authentification et un groupe pour Diffie-Hellman.
Trois clefs sont générées à l’issue de la phase 1 : une pour le chiffrement, une pour l’authentification et une pour la dérivation d’autres clefs. Ces clefs dépendent des cookies, des aléas échangés et des valeurs publiques Diffie-Hellman ou du secret partagé préalable. Leur calcul fait intervenir la fonction de hachage choisie pour la SA Isakmp et dépend du mode d’authentification choisi. Les formules exactes sont décrites dans la Rfc 2409.

Phase 2 : Quick Mode

Les messages échangés durant la phase 2 sont protégés en authenticité et en confidentialité grâce aux éléments négociés durant la phase 1. L’authenticité des messages est assurée par l’ajout d’un bloc Hash après l’en-tête Isakmp et la confidentialité est assurée par le chiffrement de l’ensemble des blocs du message.
Quick Mode est utilisé pour la négociation de SA pour des protocoles de sécurité donnés comme Ipsec. Chaque négociation aboutit en fait à deux SA, une dans chaque sens de la communication.
Plus précisément, les échanges composant ce mode ont le rôle suivant :
Négocier un ensemble de paramètres Ipsec (paquets de SA)
Échanger des nombres aléatoires, utilisés pour générer une nouvelle clef qui dérive du secret généré en phase 1 avec le protocole Diffie-Hellman. De façon optionnelle, il est possible d’avoir recours à un nouvel échange Diffie-Hellman, afin d’accéder à la propriété de Perfect Forward Secrecy, qui n’est pas fournie si on se contente de générer une nouvelle clef à partir de l’ancienne et des aléas. Optionnellement, identifier le trafic que Ce paquet de SA protégera, au moyen de sélecteurs (blocs optionnels IDi et IDr ; en leur absence, les adresses Ip des interlocuteurs sont utilisées).

Les groupes : New Groupe Mode

Le groupe à utiliser pour Diffie-Hellman peut être négocié, par le biais du bloc SA, soit au cours du Main Mode, soit ultérieurement par le biais du New Group Mode. Dans les deux cas, il existe deux façons de désigner le groupe à utiliser:
Donner la référence d’un groupe prédéfini : il en existe actuellement quatre, les quatre groupes Oakley (deux groupes MODP et deux groupes EC2N).
Donner les caractéristiques du groupe souhaité : type de groupe (MODP, ECP, EC2N), nombre premier ou polynôme irréductible, générateurs…

Le rapport de stage ou le pfe est un document d’analyse, de synthèse et d’évaluation de votre apprentissage, c’est pour cela rapport-gratuit.com propose le téléchargement des modèles complet de projet de fin d’étude, rapport de stage, mémoire, pfe, thèse, pour connaître la méthodologie à avoir et savoir comment construire les parties d’un projet de fin d’étude.

Table des matières

INTRODUCTION
PARTIE I : CADRE THEORIQUE
I PROBLEMATIQUE
II-DEFINITION GENERAL
III-PRINCIPE GENERAL
IV – FONCTIONNALITES DES VPN
1 – Le VPN d’accès : VPN nomade
1.2- Le VPN d’accès Ipsec avec Cisco VPN client :
1.2- Clientless et AnyConnect VPN SSL:
2 – VPN Site to Site
3 – L’extranet VPN
4 – Bilan des caractéristiques d’un VPN
V-LES PROTOCOLES
1 Ŕ Le Protocole Ppp
1.1 – Généralités
1.2 – Format d’une trame Ppp
1.3 – Les différentes phases d’une connexion Ppp
2 – Le protocole PPTP
3 – Le protocole L2tp
3.1 – Concentrateurs d’accès L2tp (Lac : L2tp Access Concentrator)
3.2 – Serveur réseau L2tp (Lns : L2tp Network Server)
4 – Le protocole Ipsec
4.1 – Vue d’ensemble
4.2 – Principe de fonctionnement
4.3 Ŕ Ipsec et la gestion des clés
4.3.1 – ISAKMP (Internet Security Association and Key Management Protocol)
4.3.2 Ike (Internet Key Exchange)
4.4 – Le protocole AH (Authentication Header)
4.5 – Protocole ESP (Encapsulating Security Payload)
4.6 – Les modes de fonctionnement de Ipsec
5 – Le protocole Mpls
5.1 – Principe de fonctionnement de Mpls
5.1.1 – Commutation par labels
5.1.2 – Classification des paquets
5.2 – Utilisation du Mpls pour les VPN
5.2.1 – Routeurs P, Pe et Ce
5.2.2 – Routeurs Virtuels : VRF
5.3 – Sécurité
6 – Le protocole SSL
6.1 – Fonctionnement
PARTIE II: ETUDE COMPARATIVE DES SOLUTIONS DE VPN D’ACCES
VI – COMPARAISON DES DIFFERENTS PROTOCOLES
1 – Vpn-Ssl
2 – Pptp
3 – L2tp / Ipsec
4 – Mpls
5 – Mpls / Ipsec
6 – Choix d’IPSEC:
VII- AVANTAGES ET INCONVENIENTS DE LA SOLUTION VPN
1-Avantages d’un VPN :
2- Inconvénients d’un VPN
PARTIE III : MISE EN ŒUVRE ET CONFIGURATION
VIII- MISE EN ŒUVRE
1- La mise en œuvre d’un VPN IPSEC Remote Access avec Easy VPN
2- Pré-requis et matériels
3-Architecture
4- Configuration
4-1 : Configuration de base des paramètres pour tous les routeurs
4.2- Configuration d’un accès VPN à distance cote Serveur
4.3- Configuration VPN cote client nomade
CONCLUSION

Télécharger le rapport complet

Télécharger aussi :

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *