Qu’est-ce qu’un VPN et à quoi ça sert ?

Un VPN, ou réseau privé virtuel permet d’accéder à un réseau privé depuis un réseau public. Ainsi, utiliser un VPN permet aux utilisateurs d’envoyer et de recevoir des données sur des réseaux partagés ou publics. Comme si leurs périphériques informatiques étaient directement connectés au réseau privé. Les applications s’exécutant sur un réseau privé virtuel peuvent donc bénéficier des fonctionnalités, de la sécurité ; mais aussi de la gestion du réseau privé.

 

Qu'est-ce qu'un VPN et à quoi ça sert

 

Développement de la technologie VPN

La technologie VPN a été développée pour permettre aux utilisateurs distants et aux succursales des entreprises d’accéder en toute sécurité aux applications de l’entreprise et aux autres ressources. Ainsi, pour garantir la sécurité réseau, les données circulent dans des tunnels sécurisés. Aussi, elles utilisent des méthodes d’authentification. Comme des mots de passe, des vouchers et d’autres méthodes d’identification uniques afin d’accéder au réseau privé virtuel.

Ensuite, les internautes peuvent sécuriser leurs transactions avec un réseau privé virtuel. Ils peuvent aussi contourner des restrictions géographiques et la censure. Enfin, le VPN permet aussi de se connecter à des serveurs proxy pour protéger leur identité et leur emplacement afin de rester anonymes sur Internet. Cependant, certains sites internet bloquent l’accès à la technologie VPN pour éviter le contournement de leurs restrictions géographiques.

Un réseau privé virtuel est créé en établissant une connexion point à point virtuelle. Cela se fait grâce à l’utilisation de connexions dédiées, de protocoles de tunneling virtuel ou du chiffrement du trafic. Un réseau privé virtuel disponible à partir d’une connexion internet public peut offrir certains des avantages d’un réseau étendu (WAN). Du point de vue de l’utilisateur, les ressources disponibles sur le réseau privé sont accessibles à distance.

En outre, les VPN traditionnels sont caractérisés par une topologie point à point et ne tendent pas à prendre en charge ou à connecter des domaines de diffusion. Ainsi, des services tels que Microsoft Windows NetBIOS peuvent ne pas être totalement pris en charge ; ou fonctionner sur un réseau local. Les concepteurs ont développé des variantes VPN, telles que le service VPLS (Virtual Private LAN Service) et L2TP (Layer 2 Tunneling Protocol), pour surmonter cette limitation.

 

Les différents types et leur utilisation

Les premiers réseaux de données autorisaient les connexions distantes de type VPN par modem commuté. Ils utilisaient aussi des connexions de lignes utilisant des circuits virtuels ATM (Frame Relay et Asynchronous Transfer Mode). Ils étaient fournis par des réseaux détenus et exploités par des opérateurs de télécommunication.

Cependant, ces réseaux ne sont pas considérés comme de vrais VPN. Ils sécurisent passivement les données transmises par la création de flux de données logiques. Ainsi, ils ont été remplacés par des réseaux privés virtuels basés sur les réseaux IP et IP / MPLS (Multi-Protocol Label Switching). Grâce à des réductions de coûts significatives et à une bande passante accrue (grâce aux abonnements DSL et aux forfaits fibre optique).

Ensuite, les VPN peuvent être soit d’accès distant (connexion d’un ordinateur à un réseau), soit de site à site (connexion de deux réseaux). Dans certains pays cela permet de contourner la censure ou accéder à des services de streaming. Dans un contexte d’entreprise, les réseaux privés virtuels d’accès à distance permettent aux employés d’accéder à l’intranet de leur entreprise depuis leur domicile.

Enfin, les VPN de site à site permettent aux employés installés dans différents bureaux de partager un réseau virtuel cohérent. Un VPN peut également être utilisé pour interconnecter deux réseaux similaires sur un réseau intermédiaire différent. Par exemple, deux réseaux IPv6 sur un réseau IPv4.

 

Les systèmes VPN peuvent être classés par :

  • le protocole de tunneling utilisé pour tunneler le trafic ;
  • l’emplacement du point de terminaison du tunnel ;
  • le type de topologie des connexions, tel que site à site ou réseau à réseau ;
  • les niveaux de sécurité fournis ;
  • la couche OSI qu’ils présentent au réseau de connexion ;
  • le nombre de connexions simultanées.

 

Mécanismes de sécurité des réseaux privés virtuels

Les VPN ne peuvent pas rendre les connexions en ligne complètement anonymes. Mais ils peuvent généralement améliorer la confidentialité et la sécurité. Pour empêcher la divulgation d’informations privées, les VPN n’autorisent généralement que l’accès distant authentifié.

 

Le modèle de sécurité d’un réseau privé virtuel fournit :

  • une confidentialité telle que même si le trafic réseau est détecté au niveau du paquet, un attaquant ne verrait que des données chiffrées ;
  • une authentification de l’expéditeur pour empêcher les utilisateurs non autorisés d’accéder au VPN ;
  • une intégrité du message pour détecter toute falsification des messages transmis.

 

Les protocoles sécurisés sont les suivants :

  • La sécurité de protocole Internet (IPsec) a été initialement développée par IETF (Internet Engineering Task Force) pour IPv6. Ce protocole de sécurité basé sur des normes est également largement utilisé avec IPv4. Mais aussi le protocole de tunnelisation de couche 2.
  • Sa conception répond à la plupart des objectifs de sécurité : authentification, intégrité et confidentialité. IPsec utilise le chiffrement, encapsulant un paquet IP dans un paquet IPsec. La désencapsulation se produit à la fin du tunnel, où le paquet IP d’origine est déchiffré et transféré vers la destination prévue.
  • La sécurité de la couche de transport (SSL / TLS) peut acheminer le trafic de tout un réseau ; ou sécuriser une connexion individuelle. Un certain nombre de fournisseurs fournissent des fonctionnalités VPN d’accès à distance via SSL. Un VPN SSL peut se connecter depuis des emplacements où IPsec rencontre des problèmes avec la traduction d’adresses réseau et les règles de pare-feu.
  • Datagram Transport Layer Security (DTLS) est utilisé dans Cisco AnyConnect VPN et dans OpenConnect VPN pour résoudre les problèmes liés au tunneling sur UDP par SSL / TLS.
  • Le cryptage point à point Microsoft (MPPE) fonctionne avec le protocole de tunneling point à point. Et dans plusieurs implémentations compatibles sur d’autres plates-formes.
  • Microsoft SSTP (Secure Socket Tunneling Protocol) tunnelise le trafic PPP (protocole point à point) ou le protocole de tunneling de couche 2 via un canal SSL 3.0.
  • Réseau privé virtuel multivoies (MPVPN). Ragula Systems Development Company est propriétaire de la marque déposée « MPVPN ».
  • Secure Shell (SSH) VPN : OpenSSH offre un tunneling VPN pour sécuriser les connexions distantes à un réseau ; ou à des liaisons inter-réseaux. Le serveur VPN OpenSSH fournit un nombre limité de tunnels concurrents. La fonctionnalité VPN elle-même ne prend pas en charge l’authentification personnelle.

 

Authentification du réseau privé virtuel

Les points d’extrémité de tunnel doivent être authentifiés avant que des tunnels VPN sécurisés puissent être établis. Les VPN d’accès à distance créés par l’utilisateur peuvent utiliser des mots de passe. Ils peuvent aussi utiliser des données biométriques, une authentification à deux facteurs ou d’autres méthodes cryptographiques.

Les tunnels réseau à réseau utilisent souvent des mots de passe ou des certificats numériques. Ils stockent en permanence la clé pour permettre au tunnel de s’établir automatiquement, sans intervention de l’administrateur.

 

Le routage : protocoles de tunneling 

Les protocoles de tunneling peuvent fonctionner dans une topologie de réseau point à point qui ne serait théoriquement pas considérée comme un VPN. Un réseau privé virtuel, par définition, devrait prendre en charge des ensembles de nœuds de réseau arbitraires et changeants. Cependant, la plupart des implémentations de routeurs prennent en charge une interface de tunnel définie par logiciel. Ainsi, les VPN provisionnés par le client sont souvent des tunnels définis exécutant des protocoles vpn de routage classiques.

 

Blocs de construction VPN fournis par le fournisseur d’accès

Selon que le VPN fourni par le fournisseur (PPVPN), fonctionne dans la couche 2 ou la couche 3, les blocs de construction décrits ci-dessous peuvent être L2 uniquement, L3 uniquement. Ou les combiner tous les deux.

La fonctionnalité de commutation d’étiquette multiprotocole (MPLS) brouille l’identité de L2-L3. La RFC 4026 a généralisé les termes suivants pour couvrir les VPN L2 et L3. Mais ils ont été introduits dans la RFC 2547.

 

Appareils client (C)

Un périphérique qui se trouve sur le réseau d’un client et qui n’est pas directement connecté au réseau du fournisseur de services. Les appareils C ne connaissent pas le réseau privé virtuel. Il idéal pour cacher ses activités en ligne.

 

Dispositif périphérique client (CE)

Un CE est un périphérique sur le réseau du client qui permet d’accéder au PPVPN. Parfois, il ne s’agit que d’un point de démarcation entre la responsabilité du fournisseur et celle du client. D’autres fournisseurs permettent aux clients de le configurer.

 

Dispositif périphérique de fournisseur (PE)

Un PE est un périphérique ou un ensemble de périphériques situé à la périphérie du réseau du fournisseur. Il se connecte aux réseaux des clients via des périphériques CE et présente la vue du fournisseur sur le site du client. Les PE sont au courant des VPN qui se connectent à travers eux et maintiennent l’état du réseau privé virtuel.

 

Dispositif fournisseur (P)

Enfin, un périphérique P fonctionne à l’intérieur du réseau principal du fournisseur et n’interfère pas directement avec les terminaux client. Il pourrait, par exemple, fournir un routage pour de nombreux tunnels gérés par des fournisseurs appartenant à des PPVPN de clients différents.

Bien que le périphérique P soit un élément clé de la mise en œuvre des PPVPN, il n’est pas lui-même compatible VPN. Il ne conserve pas l’état du réseau privé virtuel. Ainsi, son rôle principal est de permettre au fournisseur de services de mettre à l’échelle ses offres PPVPN.

Par exemple en agissant comme un point d’agrégation pour plusieurs PE. Les connexions P-à-P, dans un tel rôle, sont souvent des liaisons optiques de grande capacité entre les principaux emplacements des fournisseurs.

 

Le Virtual Private Network dans les environnements mobiles

Les utilisateurs utilisent des réseaux privés virtuels mobiles quand un point de terminaison du réseau privé virtuel n’est pas fixé à une seule adresse IP. C’est à dire quand ils se déplacent sur différents réseaux, tels que les réseaux de données des opérateurs cellulaires ou entre plusieurs points d’accès Wi-Fi.

Les VPN mobiles ont été largement utilisés dans le domaine de la sécurité publique afin d’accéder à des applications critiques ; telles que les bases de données criminelles.

Ainsi, au lieu de lier logiquement le nœud final du tunnel de réseau à l’adresse IP physique. Chaque tunnel est lié à une adresse IP associée de manière permanente sur le périphérique. Le logiciel VPN mobile gère l’authentification réseau nécessaire et gère les sessions réseau de manière transparente pour l’application et pour l’utilisateur.

Le protocole HIP (Host Identity Protocol), étudié par Internet Engineering Task Force, est conçu pour prendre en charge la mobilité des hôtes en séparant le rôle des adresses IP. Cela permet l’identification de l’hôte de leur fonctionnalité de localisation dans un réseau IP. Avec HIP, un hôte mobile maintient ses connexions logiques établies via l’identificateur d’identité de l’hôte tout en s’associant avec différentes adresses IP lors de l’itinérance entre les réseaux d’accès.

Notons que de nombreuses applications proposent des vpn gratuits. Mais ce ne sont pas les meilleurs VPN. A vous de choisir ceux avec le meilleur rapport qualité prix.

 

VPN sur les routeurs

Avec l’utilisation croissante des VPN, beaucoup ont commencé à déployer la connectivité VPN sur les routeurs. Ainsi, l’objectif étant de renforcer la sécurité et le cryptage de la transmission de données en utilisant diverses techniques cryptographiques.

A domicile, les utilisateurs déploient généralement des réseaux privés virtuels sur leurs routeurs pour protéger des périphériques. Par exemple, des téléviseurs intelligents ou des consoles de jeux qui ne sont pas pris en charge par les clients VPN natifs. Les périphériques pris en charge ne sont pas limités à ceux capables d’exécuter un client VPN.

De nombreux fabricants de routeurs fournissent des routeurs avec des clients VPN intégrés. Certains utilisent des microprogrammes open-source tels que DD-WRT, OpenWRT et Tomato ; afin de prendre en charge des protocoles supplémentaires tels que OpenVPN.

Enfin, la configuration des services VPN sur un routeur nécessite une connaissance approfondie de la sécurité du réseau et une installation soignée. Une mauvaise configuration des connexions d’un réseau privé virtuel peut rendre le réseau vulnérable. La performance variera en fonction du Fournisseur d’Accès à Internet.

 

Les limites 

Une limitation majeure des VPN traditionnels est qu’ils sont point à point. Aussi, ils ont tendance à ne pas prendre en charge ou à ne pas connecter des domaines de diffusion.

Ainsi, la communication, les logiciels et la mise en réseau, basés sur la couche 2 et les paquets de diffusion, peuvent ne pas être totalement pris en charge ; ou fonctionner comme sur un réseau local réel. Des variantes sur le réseau privé virtuel, telles que le service de réseau local privé virtuel (VPLS) et les protocoles de tunneling de couche 2. Elles sont conçues pour surmonter cette limitation.

Enfin, une connexion via un réseau privé virtuel peut ne pas être aussi robuste qu’une connexion directe à un réseau. Ce type de connexion dépend du fournisseur VPN et du fournisseur de services Internet. En cas d’échec, la connexion échoue.