Upload
others
View
1
Download
0
Embed Size (px)
Citation preview
Systems [email protected]
4
Qu ’est-ce qu ’un VPN (RPV)
Un réseau privé virtuel assure la connexion à un réseau privé de manière sécurisée au travers d ’un réseau public IP tel que l ’Internet.
Il utilise pour cela le tunneling du trafic, le cryptage des données et l ’authentification pour établir les tunnels.
Routeur
Serveur Réseaulocal
4219/ M RP
Trusted
Serveur d ’applications
Routeur
Réseaulocal
4219/ MR P
Trusted
5
Qu ’est-ce qu ’un VPN (RPV)
LAN42 19/MR P
Trusted
Routeur
Windows 95/98/NT/Linux/MacClient VPN
Windows 95/98/NT/Linux/MacClient VPN
Un réseau privé virtuel permet aussi bien l ’interconnexion de réseaux que de postes de travail. Cela est utilisé en particulier pour permettre la connexion de télé travailleurs ou de nomades.
7
Le tunneling - base des VPNs
Pour établir des VPN les équipements participant utilisent des protocoles de tunneling :
• PPTP - Point to Point Tunneling Protocol - il s ’agit d ’une extension de PPP développé par 3COM/ASCEND/ECI/MICROSOFT
• ATMP - Ascend Tunneling Management Protocol est un procédé propriétaire de tunneling d ’origine ASCEND
• L2F - Layer 2 Forwarding est un protocole propriétaire développé par CISCO
• L2TP - Layer 2 Tunneling Protocole est en quelque sorte le fruit de la fusion de PPTP et L2F(protocole propriétaire CISCO).
• IPSec - IP Secure est le standard de la sécurisation d ’échange de données sur réseau IP - il utilise un mécanisme puissant d ’échange de clé - RFC 2101-2109
cf : Annexe MS PPNA Win2K
8
Les protocoles de cryptage sur les routeurs Netopia
MPPE comme DES sont basé sur l ’utilisation de clés de cryptage symétriques.
• La clé sert à crypter les données
• La même clé sur l ’autre extrémité du tunnel sert à décrypter les paquets échangés entre les 2 partenaires
9
Le support des VPN sur les routeurs Netopia
Tunneling PPTP avec cryptage MPPETunneling ATMP avec cryptage DESIPSec avec cryptage DES ou 3DES
Les tunneling peuvent être combinés avec d’autres fonctions dans le routeur afin d’accroître la sécurité :
• Les connexions programmées• Les jeux de filtres Firewalls• Le Multi-NAT
10
ATMP Tunneling
RFC 2107 - Tunneling ATMP• Méthode de tunneling efficace pour une interconnexion facilitée des réseaux
d ’entreprise• Compatible avec l ’implémentation ATMP d ’Ascend ATMP• Permet de passer les trafics IP et IPX
Support Netopia de DES (Data Encryption Standard) 56-bit
• Authentification efficace et cryptage de données
• Plus rapide et performant que l ’implémentation de PPTP à processeur identique
• Permet un débit plus important sur des liens rapide tels que ADSL, LL,...
• Le cryptage DES est réservé aux interconnexions de routeurs Netopia
11
Extranet et Connexion des agences avec ATMP
SiègeSiège
AgenceAgence
= ATMP avec l’implémentation propriétaire de DES de Netopia nécessite des routeurs série R à chaque extrémité.
= ATMP
PartenairePartenaire
12
Le mécanisme d ’encapsulation de paquets avec ATMP
Routeur
Réseauprivé
ClientRTC ou RNIS
PPP
GRE
IP
Données
GRE
IP
DonnéesIP
Données
IP
Données
AdressesIP publiques
AdressesIP privées
Données
crypté
Routeur
PPP
GRE
IP
Données
Réseauprivé
Réseauprivé
13
Le Tunneling PPTP
Les routeurs Netopia peuvent être placés de part et d’autre du tunnel
• pour terminer le tunnel - il fonctionne en tant que PPTP Network Server (PNS)• pour initier le tunnel - il fonctionne en tant que PPTP Access Concentrator (PAC)
Il est possible d’utiliser la traduction d’adresses IP pour les connexions entrantes comme sortantes
Le routeur peut remplacer le serveur Microsoft pour les besoins VPN
• Cryptage 40-bit RC4 MPPE• Compatible avec les serveurs Microsoft NT à l ’autre bout du tunnel.
Compatible avec les client DUN de Win 9x ou RAS de Windows NT
• Permet la connexion au réseau local de tout client Windows 9x, ou NT standard
14
Interconnexion et accès distant avec PPTP
SiègeSiège
AgenceAgence
Accès Distant client
PPTP
PPTPClient (PAC)
Dial Up or DSL,
Cable, Frame
PPTP Server (PNS)
DSL, Cable
ou Frame)
PPTP Server (PNS)
DSL, Cable
ou Frame)(
15
Le mécanisme d ’encapsulation de paquets avec PPTP
ConcentrateurPPTP
Réseauprivé
ClientRTC ou RNIS
PPP
GRE
PPP
IP
Données
GRE
PPP
IP
Données
PPP
IP
Données
IP
Données
AdressesIP publiques
AdressesIP privées
Données
crypté
Client PPTP etRTC ou RNIS
ServeurPPTP
17
Choix du protocole de VPN
Votre première démarche doit être le choix du protocole de RPV• Tunneling PPTP avec cryptage MPPE
• Convient pour connexion de postes client nomades comme pour la connexion de réseaux distant
• Tunneling ATMP avec cryptage DES
• Optimisé pour l ’interconnexion de réseaux• Non utilisable pour la connexion de postes
isolés distantsUn seul protocole est utilisable simultanément car
PPTP comme ATMP utilisent des paquets GRE - il est donc impossible de savoir comment décrypter les paquets entrants
19SiègeSiège
AgenceAgence
Extranet et Connexion des agences avec ATMP
= ATMP avec l’implémentation propriétaire de DES de Netopia nécessite des routeurs série R à chaque extrémité.
= ATMP
20
Configuration du routeur sur le site serveur en interconnexion de réseaux
Ce site doit disposer :• d ’une adresse IP fixe• d ’une connexion permanente
ou• d ’une connexion RNIS avec Call Back
ou• d ’une connexion RNIS avec des connexions programmées
Il faut configurer :• le default VPN answer profile• un profil de connexion VPN utilisant ATMP
25
Configuration du routeur sur le site client en interconnexion de réseaux
Ce site peut disposer : • d ’une adresse IP dynamique• d ’une connexion permanente ou commuté
Il faut configurer :• un profil de connexion VPN utilisant ATMP (qui va créer une entrée
dans la table de routage)
31
Interconnexion de réseaux avec PPTP
SiègeSiège
AgenceAgence
PPTPClient (PAC)
Dial Up or DSL, Cable,
Frame
PPTP Server (PNS)
DSL, Cable ou Frame)(
32
Configuration du routeur sur le site serveur en interconnexion de réseauxCe site doit disposer :
• d ’une adresse IP fixe• d ’une connexion permanente
ou• d ’une connexion RNIS avec Call Back
ou• d ’une connexion RNIS avec des connexions programmées
Il faut configurer :• le default VPN answer profile• un profil de connexion VPN utilisant PPTP
37
Configuration du routeur sur le site client en interconnexion de réseaux
Ce site peut disposer : • d ’une adresse IP dynamique• d ’une connexion permanente ou commuté
Il faut configurer :• un profil de connexion VPN utilisant PPTP (qui va créer une entrée
dans la table de routage)
42
SiègeSiège
AgenceAgence
Accès distant avec PPTP
Accès Distant client PPTP
PPTPClient (PAC)
Dial Up or DSL, Cable,
FramePPTP Server (PNS)
DSL, Cableou Frame)
PPTP Server (PNS)
DSL, Cableou Frame)(
43
Configuration du routeur du site serveur dans le cas d ’une connexion d ’un poste distant
Ce site doit disposer : • d ’une adresse IP fixe• d ’une connexion permanente
ou• d ’une connexion RNIS avec Call Back
ou• d ’une connexion RNIS avec des connexions programmées
• Il faut configurer :• le default VPN answer profile• un profil de connexion VPN utilisant PPTP
53
Concept
Lorsqu ’un adressage IP publique est utilisé sur le réseau du serveur VPN, un firewall est souvent en place - il faut donc configurer celui-ci pour autoriser le passage des paquets utilisés par les tunnels.
SiègeSiègeAgencAgencee
Accès Distant client PPTP
PPTPClient (PAC)
Dial Up or DSL, Cable,
Frame
PPTP Server (PNS)
DSL, Cable ou Frame)
PPTP Server (PNS)
DSL, Cable ou Frame)(
54
Firewall et VPN : notions de base avec ATMP
Laisser passer les paquets à destination de l ’adresse IP du serveur VPN (ex : le routeur)
Type des paquets :• UDP port de destination 5150
(le port source est dynamique)• GRE
56
Modification du jeu de filtres Basic Firewall : ajout de filtres autorisant l ’entrée de
paquets GRE
57
Modification du jeu de filtres Basic Firewall : ajout de filtres autorisant l ’entrée de
paquets UDP port 5150
59
Firewall et VPN :
notions de base avec PPTP
Laisser passer les paquets à destination de l ’adresse IP du serveur VPN (ex : le routeur)
Type des paquets :• TCP port de destination 1723
(le port source est dynamique)• GRE
61
Modification du jeu de filtres Basic Firewall : ajout de filtres autorisant l ’entrée de
paquets GRE
62
Modification du jeu de filtres Basic Firewall : ajout de filtres autorisant l ’entrée de
paquets TCP port 1723
66
VPN – Atelier/Simulation
client
192.168.x.1192.168.1.3
192.168.1.1
10.0.0.13810.0.0.1x
Routeur A
Routeur B