HERMANT Pierre BTS Informatique de gestion Option ARLE
Transcription
HERMANT Pierre BTS Informatique de gestion Option ARLE
HERMANT Pierre BTS Informatique de gestion Option ARLE Acadé mie de LILLE NOTE DE SYTHESE THEME : Amélioration de la sécurité sur le réseau Privé (VPN) de l’association. Période de stage du 03 Janvier au 03 Mars 2006 ? Introduction ? Présentation de l’association ? Présentation du parc informatique ? Expression du besoin ? Problématique ? Situation de l’ADAE antérieure au stage ? Le VPN c’est quoi ? ? Analyse et propositions de solutions ? Prise de décision justifiée ? Mise en œuvre ? Conclusion Dans le cadre du BTS Informatique de gestion option ARLE, j’ai effectué un stage d’une durée de neuf semaines dans une association. Après avoir étudié plusieurs possibilités, j’ai choisi d’effectuer mon stage au sein du service informatique de L’association ADAE62 d’ARRAS Ayant effectué des taches aussi diverses que complémentaires pour ma formation durant le déroulement de ce stage telles que : configuration et installation de serveurs Windows 2000 dans chaque service de l’association, augmenter la sécurité du réseau à l’aide d’attribution de droits dans l’Active Directory et en cryptant les données du réseau VPN, télémaintenance, Récupération de données, Gestion de sauvegarde sur bande DAT… j’ai décidé de concentrer ma note de synthèse sur le point qui m’a le plus intéressé c'est-à-dire l’amélioration de la sécurité du réseau VPN. PRESENTATION DE L’ASSOCIATION ? ? ? ? SES MISSIONS : La protection des personnes, enfants ou adultes, La prise en charge des mineurs délinquants, La prévention et le traitement des risques d’exclusion et des situations de danger, La contribution au développement d’une meilleure compréhension des conflits et de leurs résolutions. ? ? ? ? SES OBJECTIFS : Eviter l’assignation et lutter contre l’exclusion, Développer les moyens adaptés S’engager dans un partenariat solide et véritable, dans le respect des attributions de chacun, Défendre l’originalité et la pertinence de la loi de 1901 - SES VOLONTES : Empathie, Bientraitance, Respect, Exigence, Réciprocité en définissent les contours et balisent les pratiques. - SES VALEURS : Le sujet central désigné comme valeur est la Personne… Cette valeur étendue comme respect et dignité de la personne humaine en chaque homme et comme valeur absolue. Mais pour qu’elle trouve son équilibre, deux autres valeurs sont essentielles : le droit à la citoyenneté et une certaine idée d’une Société juste, attentive et solidaire. Cette association existe depuis 50 ans et compte désormais 150 Salariés répartis sur six services plus le Siège. Répartition Géographique des services dans le Département. PRESENTATION DU PARC INFORMATIQUE Le parc informatique de l’association se compose d’une soixantaine de machines réparties sur les sept services qui eux-mêmes sont reliés par un réseau privé VPN grâce a des Routeurs Bewan LanBooster possédant 8 canaux VPN chacun et des connections hauts débits dans chaque service. Le service du Siège possédant deux applicatifs clients serveur liés aux activités spécifiques de l’association ( Mage et Siméon) et le service de Boulogne un ( CSWIN), les routeurs de ces deux services sont reliés en entrée sortie à tous les autres services de l association. Schéma du réseau : EXPRESSION DU BESOIN Cahier des charges : - Chaque service doit pouvoir se connecter via Terminal Serveur sur les 3 applicatifs présents sur les serveurs 2000 des services de Boulogne et du Siège. - Les données transitant sur le réseau de l’association étant sensibles du fait de ses activités (judiciaire, pénales, gestion de budgets…) la sécurité doit être optimum afin d’éviter toute tentative d’intrusion. - La notion économique est aussi importante car le budget de l’association étant financé par des organismes tels que : le Conseil Général, les caisses d’allocations familiales et la protection judiciaire de la jeunesse tout doit être étudié en termes de qualité/prix afin que le projet soit accepté et le budget pour celui-ci accordé. PROBLEMATIQUE : Le choix de l’association portant sur un système de réseau privé « semi-public » c'est-à-dire en utilisant Internet comme support de transmission plutôt que de passer par un prestataire VPN lui octroyant des liaisons spécialisées , induit un allègement de sécurité lié au fournisseur d’accès. Comment améliorer la sécurité du réseau privé tout en respectant le cahier des charges ? SITUATION DE l’ADAE ANTERIEURE AU STAGE : Le choix de l’association consistait à utiliser Internet comme support de transmission en utilisant le protocole d’encapsulation « PPTP » via des routeurs Bewan LanBooster 6104 ou 2204 possédant 8 canaux VPN. Du fait de l’encapsulation des données sur le réseau privé et de l’utilisation de ce réseau notamment en terme de connexions terminal serveur (TSE) cette solution nécessite une bande passante de hauts débits. Ayant étudié plusieurs possibilités d’abonnements SDSL ou ADSL l’association a décidé de cumuler plusieurs abonnements ADSL par services quand cela était nécessaire au détriment d’un abonnement SDSL s’avérant plus coûteux. - 288 € HT pour un abonnement SDSL sans compter le matériel dont il aurait fallu s’équiper. - Moins de 100 € pour 3 abonnements ADSL pro classiques. ? Le Siège qui possède deux applicatifs est donc Abonné de trois abonnements de 8M/800Ko ce qui lui donne une bande passante de 24Megas/2,4 Mégas ? Le service de Boulogne possédant un applicatif est quand à lui abonné à deux abonnements 6M/600Ko lui donnant une bande passante de 12Megas/1 ,2 Mégas ? Les cinq autres services nécessitant une bande passante moins élevée sont abonnés a un abonnement 8M/800Ko Le VPN c’est quoi ? Les réseaux locaux d'entreprise (LAN ou RLE) sont des réseaux internes à une organisation, c'est-àdire que les liaisons entre machines appartena nt à l'organisation. Ces réseaux sont de plus en plus souvent reliés à Internet par l'intermédiaire d' équipements d'interconnexion. Il arrive ainsi souvent que des entreprises éprouvent le besoin de communiquer avec des filiales, des clients ou même du personnel géographiquement éloignés via internet. Pour autant, les données transmises sur Internet sont beaucoup plus vulnérables que lorsqu'elles circulent sur un réseau interne à une organisation car le chemin emprunté n'est pas défini à l'avance,ce qui signifie que les données empruntent une infrastructure réseau publique appartenant à différents opérateurs. Ainsi il n'est pas impossible que sur le chemin parcouru, le réseau soit écouté par un utilisateur indiscret ou même détourné. Il n'est donc pas concevable de transmettre dans de telles conditions des informations sensibles pour l'organisation ou l'entreprise. La première solution pour répondre à ce besoin de communication sécurisé consiste à relier les réseaux distants à l'aide de liaisons spécialisées. Toutefois la plupart des entreprises ne peuvent pas se permettre de relier deux réseaux locaux distants par une ligne spécialisée, il est parfois nécessaire d'utiliser Internet comme support de transmission. Un bon compromis consiste à utiliser Internet comme support de transmission en utilisant un protocole d'"encapsulation" (en anglais tunneling , d'où l'utilisation impropre parfois du terme "tunnelisation"), c'est-à-dire encapsulant les données à transmettre de façon chiffrée. On parle alors de réseau privé virtuel (noté RPV ou VPN, acronyme de Virtual Private Network ) pour désigner le réseau ainsi artificiellement créé. Ce réseau est dit virtuel car il relie deux réseaux "physiques" (réseaux locaux) par une liaison non fiable (Internet), et privé car seuls les ordinateurs des réseaux locaux de part et d'autre du VPN peuvent "voir" les données. Le système de VPN permet donc d'obtenir une liaison sécurisée à moindre coût, si ce n'est la mise en oeuvre des équipements terminaux. En contrepartie il ne permet pas d'assurer une qualité de service comparable à une ligne louée dans la mesure où le réseau physique est public et donc non garanti. Un réseau privé virtuel repose sur un protocole, appelé protocole de tunnelisation (tunneling ), c'està-dire un protocole permettant aux données passant d'une extrémité du VPN à l'autre d'être sécurisées par des algorithmes de cryptographie . Les principaux protocoles de tunneling sont les suivants : ? ? ? ? PPTP (Point-to-Point Tunneling Protocol) est un protocole de niveau 2 développé par Microsoft, 3Com, Ascend, US Robotics et ECI Telematics. L2F (Layer Two Forwarding ) est un protocole de niveau 2 développé par Cisco, Northern Telecom et Shiva. Il est désormais quasi-obsolète L2TP (Layer Two Tunneling Protocol) est l'aboutissement des travaux de l' IETF (RFC 2661) pour faire converger les fonctionnalités de PPTP et L2F. Il s'agit ainsi d'un protocole de niveau 2 s'appuyant sur PPP . IPSec est un protocole de niveau 3, issu des travaux de l'IETF, permettant de transporter des données chiffrées pour les réseaux IP. ANALYSE ET PROPOSITION DE SOLUTIONS : 1> NAT ou TRANSLATION D’ADRESSE L’une des solutions les moins coûteuse respectant le cahier des charges serait d’utiliser la translation d’adresse. Le principe du NAT consiste à utiliser une adresse IP routable (ou un nombre limité d'adresses IP) pour connecter l'ensemble des machines du réseau en réalisant, au niveau de la passerelle de connexion à Internet, une translation (littéralement une « traduction ») entre l'adresse interne (non routable) de la machine souhaitant se connecter et l'adresse IP de la passerelle. D'autre part, le mécanisme de translation d'adresses permet de sécuriser le réseau interne étant donné qu'il camoufle complètement l'adressage interne. En effet, pour un observateur externe au réseau, toutes les requêtes semblent provenir de la même adresse IP. Schéma de la solution dont les IP auront été préalablement modifiées pour des raisons de sécurité liées a l’entreprise : Si cette solution et peu coûteuse et respecte le cahier des charges elle ne peut être accepté e car elle est moins sécurisée que la solution actuelle en effet la faille due au Fournisseur d’Accès Internet est toujours présente et de plus il n'est pas impossible que sur le chemin parcouru, le réseau soit écouté par un utilisateur indiscret ou même détourné. (Simple scan IP au Niveau F2) Il n'est donc pas concevable de transmettre dans de telles conditions des informations sensibles pour l'association 2> PASSER EN VPN PUR ou PRESTATAIRE PRIVE Une des solutions les plus sécurisée serait de passer en VPN pur c'est-à-dire de passer par prestataire privé qui s’occuperait de relier les différents services de l’association par des liaisons spécialisées et qui en gérerait sa sécurité .Cette solution serait des plus sécurisante car les données sensibles transmises par l’association ne transiteraient plus sur la toile de l’Internet mais bien par un réseau propre à l’entreprise. Bien entendu Internet serait toujours disponible mais en option. Avantages : - Sécurité Garantie Temps Rétablissement : 4h contre 4 à 8 heures pour les abonnements ADSL pro Inconvénients : - Coût élevé Pas de flexibilité Dépendance au prestataire Engagement sur 3 à 5 ans contre 1 à 2 ans pour les abonnements ADSL pro Si cette solution est sans doute la plus sécurisante elle ne respecte pas la notion économique du cahier des charges. Pour cette raison cette solution ne sera pas retenue 3> AMELIORER LA SOLUTION EXISTANTE Dans la configuration actuelle les routeurs de l’association sont configurés de manière a que le protocole d’encapsulation ou de « tunnelisation » de son réseau privé soit le protocole « PPTP ». Ce protocole étant un protocole de niveau 2 il est possible d’augmenter la sécurité du réseau en passant a un protocole de niveau tel le protocole « IPSec » et en cryptant les données a l’aide de clefs de cryptage. Le protocole PPTP : Le principe du protocole PPTP (Point To Point Tunneling Protocol) est de créer des trames sous le protocole PPP et de les encapsuler dans un datagramme IP . Ainsi, dans ce mode de connexion, les machines distantes des deux réseaux locaux sont connectés par une connexion point à point (comprenant un système de chiffrement et d'authentification, et le paquet transite au sein d'un datagramme IP. De cette façon, les données du réseau local (ainsi que les adresses des machines présentes dans l'entête du message) s ont encapsulées dans un message PPP , qui est lui-même encapsulé dans un message IP. Le protocole IPSec : IPSec est un protocole défini par l'IETF permettant de sécuriser les échanges au niveau de la couche réseau. Il s'agit en fait d'un protocole apportant des améliorations au niveau de la sécurité au protocole IP afin de garantir la confidentialité, l'intégrité et l'authentification des échanges. Le protocole IPSec est basé sur trois modules : ? IP Authentification Header (AH) concernant l'intégrité, l'authentification et la protection contre le rejeu. des paquets à encapsuler ? Encapsulating Security Payload (ESP) définissant le chiffrement de paquets. ESP fournit la confidentialité, l'intégrité, l'authentification et la protection contre le rejeu. ? Security Assocation (SA) définissant l'échange des clés et des paramètres de sécurité. Les SA rassemblent ainsi l'ensemble des informations sur le traitement à appliquer aux paquets IP (les protocole s AH et/ou ESP, mode tunnel ou transport, les algo de sécurité utilisés par les protocoles, les clés utilisées,...). L'échange des clés se fait soit de manière manuelle soit avec le protocole d'échange IKE (la plupart du temps), qui permet aux deux parties de s'entendre sur les SA. PRISE DE DECISION JUSTIFIEE : La 3ème solution proposée est sans doute la plus adaptée car du fait d’utiliser la configuration et le matériel en place elle ne coûte rien et répond parfaitement au cahier des charges. MISE EN ŒUVRE : Pour des mesures de sécurité liées a l’association les noms de réseau, adresses IP, noms de domaines et encore clé IKE qui suivent seront donnés de manière indicative et ne révèlent en aucun cas les informations réelles de l’association. Nous verrons ici comment relier 2 services de l’association (Le Siège et LENS par exemple) il est évident que l’opération est à reproduire sur chaque liaison entre services de l’association Etape 1 : Configuration de l’appel entrant 1. Dans le menu Réglages Avancés, cliquer sur VPN et accès distants, puis sur Service d’appe l entrant. 2. Dans la rubrique Début des adresse s IP, indiquer la première adresse IP à assigner aux équipements distants. Paramétrage du routeur situé dans l’Agence principale : Paramétrage du routeur situé dans la Succursale : 3. Cliquer sur OK pour valider les informations. 4. Pour chacun des routeurs, cliquer ensuite sur Interconnexion de réseaux afin d’établir la fiche d’interconnexion et de créer le lien VPN entre les deux routeurs. Etape 2 : Création du profil VPN Pour relier les deux réseaux privés (les deux routeurs), nous devons désormais créer sur chaque site un profil d’interconnexion afin de saisir les caractéristiques de la connexion VPN avec le réseau distant. 1. Dans le menu Réglages Avancés, cliquer sur VPN et accè s distants, puis sur Interconnexion de rése aux. L’écran suivant apparaît. 2. Cliquer sur un numéro dans la colonne Numéro. 3. Pour chaque profil d’inte rconnexion, renseigner le s rubriques nécessa ires Partie 1 : Paramètres généraux 1. P our activer le profil, sélectionner l’option Activer ce profil. 2. Dans la rubrique Nom du profi l, indiquer un nom qui soit clair (10 caractères maximum), correspondant à la connexion V PN. 3. En face de l’intitulé Sens de l’appel, sélectionnez la direction de l’appel pour ce profil : Ici : Entrant/Sortant : l’interconnexion peut s’établir aussi bien sur appels entrants que sur appels sorta nts. 4. Dans la rubrique Ping sur l’IP , saisir l’adresse IP du routeur distant. C’est notamment indispensable quand la connexion est paramétrée avec une clé IPSec. En cas de coupure VP N par le distant, cette option permet de rela ncer la session VPN. Partie 2 : Paramètres d’appel sortant et entrant 1. Dans la partie Type de serveur appelé , sélectionner le protocole utilisé pour établir la connexion VPN ici le protocole sera donc IPSec on sélectionnera ensuite le niveau de sécurité dans la partie Méthode de sécurité IPSec ici : 3DES avec authentif ication le s données sont chiffrées et l’en-tête des paquets IP est authentifié 2. en choisissant tunnel IPSEC dans la partie type de serveur appelé Le bouton Clé de partage IKE devient alors accessible . Saisissez-la , puis cliquez sur OK. Paramétrage du routeur situé dans l’Agence principale (LanBooste r 6204 x) : Paramé trage du route ur situé dans la Succursale (LanBooster 6104 x) : . Cliquer ensuite sur OK pour que les paramètres de l’interconnexion soie nt pris en compte. Une fois ces paramètres enre gistrés, le profil créé est a jouté. Dans la colonne Etat, « v » signifie que le profil est activé. Etape 3 : Para métrage du protocole IPSec Introduction Le protocole IPSec vise à séc uriser les échanges au niveau de la couche réseau. L’utilisation de ce protocole permet : • la gestion et l’échange de clés entre routeurs, • l’authentification des paquets IP (méthode de séc urité AH : A uthentication Header), • le chiffrement des paquets IP (méthode de sécur ité ESP : Encapsulating Security Payload). Configuration IPSec Pour réaliser le paramétrage IPSec, procédez comme suit : 1. Dans le menu Réglages Avancés, cliquer sur VPN et accès dis tants, puis sur Sécurité IKE / IPSec afin de saisir les paramètres de séc urité. 2. Sélectionnez ensuite le niveau de sécurité. Cochez en fonction du type de protocole IP Sec sélectionné ici : Tunne l IPSec : Haute (3DES avec authentification) 3. Cliquez sur OK afin de valider les paramètres de connexion. Cliquez ensuite sur Etat de la co nnexion VPN afin de constater le bon fonctionnement du lien VPN. Etape 4 : Etat de la connexion VPN Après avoir établi la fiche d’interconnexion, vérifier désormais que le lien VPN est bien établi. 1. Cliquer sur Etat de la connexion VPN. 2. Dans la liste, sélectionner le lien VPN avec leque l on souhaite établir la connexion, puis cliquer sur Appele r. Les paramètres de la connexion doivent alors apparaître dans Etat de la connexion VPN. 3. Pour interrompre la connexion VPN, cliquer sur Arrête r. CONCLUSION : Le réseau privé de l’association est désormais plus sécurisé tout en respectant le cahier des charges. Ce projet m’aura permis de voir le déroulement d’une étude comparative dans le milieu de l’entreprise, de découvrir et d’approfondir mes connaissances sur le VPN, de travailler en équipe et de savoir réaliser une tache en respectant les limites données par le cahier des charges fourni au préalable. Je garderais un bilan et des souvenirs positifs de ce stage de deuxième année.