1. Livres & vidéos
  2. Les réseaux informatiques
  3. Gestion des accès distants aux ressources
Extrait - Les réseaux informatiques Guide pratique pour l'administration, la sécurité et la supervision (3e édition)
Extraits du livre
Les réseaux informatiques Guide pratique pour l'administration, la sécurité et la supervision (3e édition)
1 avis
Revenir à la page d'achat du livre

Gestion des accès distants aux ressources

Connexion à distance sécurisée : VPN nomade

1. Principe

L’augmentation des débits des connexions internet, notamment avec le déploiement de la fibre optique et des réseaux 4G et 5G, rend maintenant possible techniquement le travail à distance. Il est tout à fait envisageable qu’un employé d’une société puisse accéder à partir de n’importe quel accès internet, y compris domestique, aux ressources internes de la société dans des conditions réellement optimales.

Les travailleurs nomades ont donc la possibilité d’accéder à leurs ressources, quelle que soit leur situation géographique, on utilise alors le terme de « poste nomade ». Même si fonctionnellement, le nomade doit pouvoir accéder aux mêmes ressources réseau que lorsqu’il est connecté directement sur le LAN de sa société, l’administrateur réseau commettrait une erreur en la considérant comme une connexion interne standard. Il est préférable de placer toute connexion nomade dans un réseau particulier, afin de lui soumettre des règles de sécurité plus restrictives. On définit alors facilement les règles d’accès aux ressources situées dans les autres segments réseau de la société (dont le LAN).

À partir du moment où le poste nomade s’authentifie explicitement pour mettre en place la connexion, les firewalls permettent de gérer l’utilisateur spécifiquement et mettre en place les restrictions adéquates, quelle que soit d’ailleurs sa provenance.

La connexion nomade se configure de plusieurs manières. À l’origine, elle nécessitait l’utilisation d’une application cliente dédiée, souvent propriétaire, qui initiait une connexion vers la société avec des protocoles comme L2TP, PPTP, SSTP sur Windows et surtout IPSec. Cette configuration classique nécessite le paramétrage des deux côtés de la connexion. Les protocoles de sécurité en ce qui concerne l’authentification, l’intégrité et le chiffrement des échanges ont beaucoup évolué...

Connexion site à site : VPN IPSec

1. Le principe

À partir du moment où l’on veut relier deux réseaux distants en permanence, une connexion VPN nomade ne suffit plus. C’est d’ailleurs la raison initiale qui a poussé à la recherche sur les VPN. Pour une architecture de ce type, appelée alors « site à site », la mise en place d’un tunnel VPN IPSec est parfaitement adaptée.

Un tunnel IPSec est construit dans l’objectif de relier deux réseaux distants, séparés par un WAN, c’est-à-dire Internet. L’accès aux ressources du site distant est alors totalement transparent pour les utilisateurs, ces ressources sont d’ailleurs atteignables via le plan d’adressage privé du réseau distant en question. Virtuellement, cela revient à une architecture où deux segments réseau seraient reliés directement par un unique routeur au sein du même réseau de l’entreprise. Le premier protocole de tunnel site-à-site a été développé par Cisco avec le protocole GRE.

Ce dernier n’assure pas nativement de sécurité des échanges, IPSec a donc par la suite été développé par rapport à ce besoin de sécurité.

L’objectif de ce chapitre n’est pas de décrire de manière exhaustive IPSec (un ouvrage pourrait y être consacré…), mais simplement de mettre en avant les étapes de configuration et quelques principes qui permettront à l’administrateur réseau de le configurer, quel que soit le matériel ou le logiciel utilisé. On essaiera également d’énumérer l’ensemble des problèmes qui peuvent se poser ou les éléments techniques à anticiper avant la mise en place du tunnel.

IPSec assure les quatre principes fondamentaux de sécurité suivants :

  • L’authentification : on s’assure que l’émetteur ou le récepteur est bien celui qu’il prétend être.

  • L’antirejeu : le but est de veiller à ce qu’un message chiffré ne puisse pas être généré ou réémis par un tiers....

Autres types de VPN et ZTNA

1. VPN opérateurs : MPLS, VXLAN et EVPN

Il existe d’autres moyens pour interconnecter plusieurs sites distants à partir du moment où les accès internet de l’ensemble des sites sont gérés par le même opérateur. D’un point de vue opérateur, cela consiste à mettre en œuvre un simple routage accompagné de la mise en place d’une technologie appelée MPLS. Pour vulgariser, l’utilisation du MPLS dans l’optique d’un VPN permet de gérer une table de routage virtuelle (une VRF pour Virtual Routing and Forwarding) pour l’ensemble des sites raccordés d’un client donné. L’opérateur différencie ses clients en attribuant une VRF par client (pour une interconnexion donnée).

Ce qu’il faut retenir des VPN MPLS c’est qu’ils n’assurent en aucune façon le chiffrement et plus globalement la sécurité des échanges de données qui transitent de site à site. Libre au client, qui ignore souvent cet aspect-là malheureusement, de mettre en place une couche IPSec supplémentaire. L’inconvénient majeur de ce type de solutions est son coût. En effet, la mise en place et la maintenance d’une interconnexion VPN MPLS sont facturées de façon récurrente par l’opérateur à son client.

Un des arguments principaux tendant au choix d’une architecture VPN MPLS repose sur le fait que le FAI est en mesure techniquement d’assurer une qualité de service et une garantie de débit sur l’interconnexion, car c’est lui qui maîtrise l’infrastructure réseau de bout en bout. Les paquets ne transitent effectivement pas par d’autres opérateurs et MPLS a été prévu pour une implémentation poussée de QoS.

Outre la technologie MPLS, les opérateurs peuvent aussi proposer des interconnexions « niveau 2 » par l’intermédiaire des VXLANS (cf. chapitre Conception d’un réseau local - sous-section...