HERMANT Pierre BTS Informatique de gestion Option ARLE

HERMANT Pierre
BTS Informatique de gestion
Option ARLE
Acadé mie de LILLE
NOTE DE SYTHESE
THEME : Amélioration de la sécurité sur le réseau Privé (VPN) de l’association.
Période de stage du 03 Janvier au 03 Mars 2006
? Introduction
? Présentation de l’association
? Présentation du parc informatique
? Expression du besoin
? Problématique
? Situation de l’ADAE antérieure au stage
? Le VPN c’est quoi ?
? Analyse et propositions de solutions
? Prise de décision justifiée
? Mise en œuvre
? Conclusion
Dans le cadre du BTS Informatique de gestion option ARLE, j’ai effectué un stage d’une durée de
neuf semaines dans une association. Après avoir étudié plusieurs possibilités, j’ai choisi d’effectuer
mon stage au sein du service informatique de L’association ADAE62 d’ARRAS
Ayant effectué des taches aussi diverses que complémentaires pour ma formation durant le
déroulement de ce stage telles que : configuration et installation de serveurs Windows 2000 dans
chaque service de l’association, augmenter la sécurité du réseau à l’aide d’attribution de droits dans
l’Active Directory et en cryptant les données du réseau VPN, télémaintenance, Récupération de
données, Gestion de sauvegarde sur bande DAT… j’ai décidé de concentrer ma note de synthèse sur
le point qui m’a le plus intéressé c'est-à-dire l’amélioration de la sécurité du réseau VPN.
PRESENTATION DE L’ASSOCIATION
?
?
?
?
SES MISSIONS :
La protection des personnes, enfants ou adultes,
La prise en charge des mineurs délinquants,
La prévention et le traitement des risques d’exclusion et des situations de danger,
La contribution au développement d’une meilleure compréhension des conflits et de leurs
résolutions.
?
?
?
?
SES OBJECTIFS :
Eviter l’assignation et lutter contre l’exclusion,
Développer les moyens adaptés
S’engager dans un partenariat solide et véritable, dans le respect des attributions de chacun,
Défendre l’originalité et la pertinence de la loi de 1901
- SES VOLONTES :
Empathie, Bientraitance, Respect, Exigence, Réciprocité en définissent les contours et balisent
les pratiques.
- SES VALEURS :
Le sujet central désigné comme valeur est la Personne… Cette valeur étendue comme respect
et dignité de la personne humaine en chaque homme et comme valeur absolue. Mais pour
qu’elle trouve son équilibre, deux autres valeurs sont essentielles : le droit à la citoyenneté et
une certaine idée d’une Société juste, attentive et solidaire.
Cette association existe depuis 50 ans et compte désormais 150 Salariés répartis sur six
services plus le Siège.
Répartition Géographique des services dans le Département.
PRESENTATION DU PARC INFORMATIQUE
Le parc informatique de l’association se compose d’une soixantaine de machines réparties sur les sept
services qui eux-mêmes sont reliés par un réseau privé VPN grâce a des Routeurs Bewan LanBooster
possédant 8 canaux VPN chacun et des connections hauts débits dans chaque service.
Le service du Siège possédant deux applicatifs clients serveur liés aux activités spécifiques de
l’association ( Mage et Siméon) et le service de Boulogne un ( CSWIN), les routeurs de ces deux
services sont reliés en entrée sortie à tous les autres services de l association.
Schéma du réseau :
EXPRESSION DU BESOIN
Cahier des charges :
-
Chaque service doit pouvoir se connecter via Terminal Serveur sur les 3 applicatifs
présents sur les serveurs 2000 des services de Boulogne et du Siège.
-
Les données transitant sur le réseau de l’association étant sensibles du fait de ses activités
(judiciaire, pénales, gestion de budgets…) la sécurité doit être optimum afin d’éviter toute
tentative d’intrusion.
-
La notion économique est aussi importante car le budget de l’association étant financé par
des organismes tels que : le Conseil Général, les caisses d’allocations familiales et la
protection judiciaire de la jeunesse tout doit être étudié en termes de qualité/prix afin que le
projet soit accepté et le budget pour celui-ci accordé.
PROBLEMATIQUE :
Le choix de l’association portant sur un système de réseau privé « semi-public » c'est-à-dire en
utilisant Internet comme support de transmission plutôt que de passer par un prestataire VPN lui
octroyant des liaisons spécialisées , induit un allègement de sécurité lié au fournisseur d’accès.
Comment améliorer la sécurité du réseau privé tout en respectant le cahier des charges ?
SITUATION DE l’ADAE ANTERIEURE AU STAGE :
Le choix de l’association consistait à utiliser Internet comme support de transmission en utilisant le
protocole d’encapsulation « PPTP » via des routeurs Bewan LanBooster 6104 ou 2204 possédant 8
canaux VPN.
Du fait de l’encapsulation des données sur le réseau privé et de l’utilisation de ce réseau notamment
en terme de connexions terminal serveur (TSE) cette solution nécessite une bande passante de hauts
débits.
Ayant étudié plusieurs possibilités d’abonnements SDSL ou ADSL l’association a décidé de cumuler
plusieurs abonnements ADSL par services quand cela était nécessaire au détriment d’un abonnement
SDSL s’avérant plus coûteux.
-
288 € HT pour un abonnement SDSL sans compter le matériel dont il aurait fallu
s’équiper.
-
Moins de 100 € pour 3 abonnements ADSL pro classiques.
?
Le Siège qui possède deux applicatifs est donc Abonné de trois abonnements de 8M/800Ko ce
qui lui donne une bande passante de 24Megas/2,4 Mégas
?
Le service de Boulogne possédant un applicatif est quand à lui abonné à deux abonnements
6M/600Ko lui donnant une bande passante de 12Megas/1 ,2 Mégas
?
Les cinq autres services nécessitant une bande passante moins élevée sont abonnés a un
abonnement 8M/800Ko
Le VPN c’est quoi ?
Les réseaux locaux d'entreprise (LAN ou RLE) sont des réseaux internes à une organisation, c'est-àdire que les liaisons entre machines appartena nt à l'organisation. Ces réseaux sont de plus en plus
souvent reliés à Internet par l'intermédiaire d' équipements d'interconnexion. Il arrive ainsi souvent que
des entreprises éprouvent le besoin de communiquer avec des filiales, des clients ou même du
personnel géographiquement éloignés via internet.
Pour autant, les données transmises sur Internet sont beaucoup plus vulnérables que lorsqu'elles
circulent sur un réseau interne à une organisation car le chemin emprunté n'est pas défini à l'avance,ce
qui signifie que les données empruntent une infrastructure réseau publique appartenant à différents
opérateurs.
Ainsi il n'est pas impossible que sur le chemin parcouru, le réseau soit écouté par un utilisateur
indiscret ou même détourné. Il n'est donc pas concevable de transmettre dans de telles conditions des
informations sensibles pour l'organisation ou l'entreprise.
La première solution pour répondre à ce besoin de communication sécurisé consiste à relier les
réseaux distants à l'aide de liaisons spécialisées. Toutefois la plupart des entreprises ne peuvent pas se
permettre de relier deux réseaux locaux distants par une ligne spécialisée, il est parfois nécessaire
d'utiliser Internet comme support de transmission.
Un bon compromis consiste à utiliser Internet comme support de transmission en utilisant un
protocole d'"encapsulation" (en anglais tunneling , d'où l'utilisation impropre parfois du terme
"tunnelisation"), c'est-à-dire encapsulant les données à transmettre de façon chiffrée. On parle alors de
réseau privé virtuel (noté RPV ou VPN, acronyme de Virtual Private Network ) pour désigner le
réseau ainsi artificiellement créé.
Ce réseau est dit virtuel car il relie deux réseaux "physiques" (réseaux locaux) par une liaison non
fiable (Internet), et privé car seuls les ordinateurs des réseaux locaux de part et d'autre du VPN
peuvent "voir" les données.
Le système de VPN permet donc d'obtenir une liaison sécurisée à moindre coût, si ce n'est la mise en
oeuvre des équipements terminaux. En contrepartie il ne permet pas d'assurer une qualité de service
comparable à une ligne louée dans la mesure où le réseau physique est public et donc non garanti.
Un réseau privé virtuel repose sur un protocole, appelé protocole de tunnelisation (tunneling ), c'està-dire un protocole permettant aux données passant d'une extrémité du VPN à l'autre d'être sécurisées
par des algorithmes de cryptographie .
Les principaux protocoles de tunneling sont les suivants :
?
?
?
?
PPTP (Point-to-Point Tunneling Protocol) est un protocole de niveau 2 développé par
Microsoft, 3Com, Ascend, US Robotics et ECI Telematics.
L2F (Layer Two Forwarding ) est un protocole de niveau 2 développé par Cisco, Northern
Telecom et Shiva. Il est désormais quasi-obsolète
L2TP (Layer Two Tunneling Protocol) est l'aboutissement des travaux de l' IETF (RFC 2661)
pour faire converger les fonctionnalités de PPTP et L2F. Il s'agit ainsi d'un protocole de niveau
2 s'appuyant sur PPP .
IPSec est un protocole de niveau 3, issu des travaux de l'IETF, permettant de transporter des
données chiffrées pour les réseaux IP.
ANALYSE ET PROPOSITION DE SOLUTIONS :
1> NAT ou TRANSLATION D’ADRESSE
L’une des solutions les moins coûteuse respectant le cahier des charges serait d’utiliser la translation
d’adresse.
Le principe du NAT consiste à utiliser une adresse IP routable (ou un nombre limité d'adresses IP)
pour connecter l'ensemble des machines du réseau en réalisant, au niveau de la passerelle de
connexion à Internet, une translation (littéralement une « traduction ») entre l'adresse interne (non
routable) de la machine souhaitant se connecter et l'adresse IP de la passerelle.
D'autre part, le mécanisme de translation d'adresses permet de sécuriser le réseau interne étant donné
qu'il camoufle complètement l'adressage interne. En effet, pour un observateur externe au réseau,
toutes les requêtes semblent provenir de la même adresse IP.
Schéma de la solution dont les IP auront été préalablement modifiées pour des raisons de sécurité liées
a l’entreprise :
Si cette solution et peu coûteuse et respecte le cahier des charges elle ne peut être accepté e car elle est
moins sécurisée que la solution actuelle en effet la faille due au Fournisseur d’Accès Internet est
toujours présente et de plus il n'est pas impossible que sur le chemin parcouru, le réseau soit écouté
par un utilisateur indiscret ou même détourné. (Simple scan IP au Niveau F2) Il n'est donc pas
concevable de transmettre dans de telles conditions des informations sensibles pour l'association
2> PASSER EN VPN PUR ou PRESTATAIRE PRIVE
Une des solutions les plus sécurisée serait de passer en VPN pur c'est-à-dire de passer par prestataire
privé qui s’occuperait de relier les différents services de l’association par des liaisons spécialisées et
qui en gérerait sa sécurité .Cette solution serait des plus sécurisante car les données sensibles
transmises par l’association ne transiteraient plus sur la toile de l’Internet mais bien par un réseau
propre à l’entreprise. Bien entendu Internet serait toujours disponible mais en option.
Avantages :
-
Sécurité
Garantie Temps Rétablissement : 4h contre 4 à 8 heures pour les abonnements ADSL pro
Inconvénients :
-
Coût élevé
Pas de flexibilité
Dépendance au prestataire
Engagement sur 3 à 5 ans contre 1 à 2 ans pour les abonnements ADSL pro
Si cette solution est sans doute la plus sécurisante elle ne respecte pas la notion économique du cahier
des charges. Pour cette raison cette solution ne sera pas retenue
3> AMELIORER LA SOLUTION EXISTANTE
Dans la configuration actuelle les routeurs de l’association sont configurés de manière a que le
protocole d’encapsulation ou de « tunnelisation » de son réseau privé soit le protocole « PPTP ». Ce
protocole étant un protocole de niveau 2 il est possible d’augmenter la sécurité du réseau en passant a
un protocole de niveau tel le protocole « IPSec » et en cryptant les données a l’aide de clefs de
cryptage.
Le protocole PPTP :
Le principe du protocole PPTP (Point To Point Tunneling Protocol) est de créer des trames sous le
protocole PPP et de les encapsuler dans un datagramme IP . Ainsi, dans ce mode de connexion, les
machines distantes des deux réseaux locaux sont connectés par une connexion point à point
(comprenant un système de chiffrement et d'authentification, et le paquet transite au sein d'un
datagramme IP.
De cette façon, les données du réseau local (ainsi que les adresses des machines présentes dans l'entête du message) s ont encapsulées dans un message PPP , qui est lui-même encapsulé dans un message
IP.
Le protocole IPSec :
IPSec est un protocole défini par l'IETF permettant de sécuriser les échanges au niveau de la couche
réseau. Il s'agit en fait d'un protocole apportant des améliorations au niveau de la sécurité au protocole
IP afin de garantir la confidentialité, l'intégrité et l'authentification des échanges.
Le protocole IPSec est basé sur trois modules :
?
IP Authentification Header (AH) concernant l'intégrité, l'authentification et la protection
contre le rejeu. des paquets à encapsuler
?
Encapsulating Security Payload (ESP) définissant le chiffrement de paquets. ESP fournit la
confidentialité, l'intégrité, l'authentification et la protection contre le rejeu.
?
Security Assocation (SA) définissant l'échange des clés et des paramètres de sécurité. Les SA
rassemblent ainsi l'ensemble des informations sur le traitement à appliquer aux paquets IP (les
protocole s AH et/ou ESP, mode tunnel ou transport, les algo de sécurité utilisés par les
protocoles, les clés utilisées,...). L'échange des clés se fait soit de manière manuelle soit avec le
protocole d'échange IKE (la plupart du temps), qui permet aux deux parties de s'entendre sur
les SA.
PRISE DE DECISION JUSTIFIEE :
La 3ème solution proposée est sans doute la plus adaptée car du fait d’utiliser la configuration et le
matériel en place elle ne coûte rien et répond parfaitement au cahier des charges.
MISE EN ŒUVRE :
Pour des mesures de sécurité liées a l’association les noms de réseau, adresses IP, noms de domaines
et encore clé IKE qui suivent seront donnés de manière indicative et ne révèlent en aucun cas les
informations réelles de l’association.
Nous verrons ici comment relier 2 services de l’association (Le Siège et LENS par exemple) il est
évident que l’opération est à reproduire sur chaque liaison entre services de l’association
Etape 1 : Configuration de l’appel entrant
1. Dans le menu Réglages Avancés, cliquer sur VPN et accès distants, puis sur Service d’appe l
entrant.
2. Dans la rubrique Début des adresse s IP, indiquer la première adresse IP à assigner aux
équipements distants.
Paramétrage du routeur situé dans l’Agence principale :
Paramétrage du routeur situé dans la Succursale :
3. Cliquer sur OK pour valider les informations.
4. Pour chacun des routeurs, cliquer ensuite sur Interconnexion de réseaux afin d’établir la fiche
d’interconnexion et de créer le lien VPN entre les deux routeurs.
Etape 2 : Création du profil VPN
Pour relier les deux réseaux privés (les deux routeurs), nous devons désormais créer sur
chaque site un profil d’interconnexion afin de saisir les caractéristiques de la connexion VPN avec
le réseau distant.
1. Dans le menu Réglages Avancés, cliquer sur VPN et accè s distants, puis sur Interconnexion
de rése aux. L’écran suivant apparaît.
2. Cliquer sur un numéro dans la colonne Numéro.
3.
Pour chaque profil d’inte rconnexion, renseigner le s rubriques nécessa ires
Partie 1 : Paramètres généraux
1. P our activer le profil, sélectionner l’option Activer ce profil.
2. Dans la rubrique Nom du profi l, indiquer un nom qui soit clair (10 caractères maximum),
correspondant à la connexion V PN.
3. En face de l’intitulé Sens de l’appel, sélectionnez la direction de l’appel pour ce profil :
Ici :
Entrant/Sortant : l’interconnexion peut s’établir aussi bien sur appels entrants que sur
appels sorta nts.
4. Dans la rubrique Ping sur l’IP , saisir l’adresse IP du routeur distant. C’est notamment
indispensable quand la connexion est paramétrée avec une clé IPSec. En cas de coupure VP N par
le distant, cette option permet de rela ncer la session VPN.
Partie 2 : Paramètres d’appel sortant et entrant
1. Dans la partie Type de serveur appelé , sélectionner le protocole
utilisé pour établir la connexion VPN ici le protocole sera donc IPSec on sélectionnera ensuite
le niveau de sécurité dans la partie Méthode de sécurité IPSec ici : 3DES avec authentif ication
le s données sont chiffrées et l’en-tête des paquets IP est authentifié
2. en choisissant tunnel IPSEC dans la partie type de serveur appelé Le bouton Clé de partage
IKE devient alors accessible . Saisissez-la , puis cliquez sur OK.
Paramétrage du routeur situé dans l’Agence principale (LanBooste r 6204 x) :
Paramé trage du route ur situé dans la Succursale (LanBooster 6104 x) :
. Cliquer ensuite sur OK pour que les paramètres de l’interconnexion soie nt pris en
compte. Une fois ces paramètres enre gistrés, le profil créé est a jouté. Dans la colonne Etat,
« v » signifie que le profil est activé.
Etape 3 : Para métrage du protocole IPSec
Introduction
Le protocole IPSec vise à séc uriser les échanges au niveau de la couche réseau. L’utilisation
de ce protocole permet :
• la gestion et l’échange de clés entre routeurs,
• l’authentification des paquets IP (méthode de séc urité AH : A uthentication Header),
• le chiffrement des paquets IP (méthode de sécur ité ESP : Encapsulating Security Payload).
Configuration IPSec
Pour réaliser le paramétrage IPSec, procédez comme suit :
1. Dans le menu Réglages Avancés, cliquer sur VPN et accès dis tants, puis sur Sécurité
IKE / IPSec afin de saisir les paramètres de séc urité.
2.
Sélectionnez ensuite le niveau de sécurité. Cochez en fonction du type de protocole
IP Sec sélectionné ici : Tunne l IPSec : Haute (3DES avec authentification)
3.
Cliquez sur OK afin de valider les paramètres de connexion. Cliquez ensuite sur Etat
de la co nnexion VPN afin de constater le bon fonctionnement du lien VPN.
Etape 4 : Etat de la connexion VPN
Après avoir établi la fiche d’interconnexion, vérifier désormais que le lien VPN est bien
établi.
1. Cliquer sur Etat de la connexion VPN.
2. Dans la liste, sélectionner le lien VPN avec leque l on souhaite établir la connexion,
puis cliquer sur Appele r. Les paramètres de la connexion doivent alors apparaître dans
Etat de la connexion VPN.
3. Pour interrompre la connexion VPN, cliquer sur Arrête r.
CONCLUSION :
Le réseau privé de l’association est désormais plus sécurisé tout en respectant le cahier des
charges.
Ce projet m’aura permis de voir le déroulement d’une étude comparative dans le milieu de
l’entreprise, de découvrir et d’approfondir mes connaissances sur le VPN, de travailler en
équipe et de savoir réaliser une tache en respectant les limites données par le cahier des
charges fourni au préalable.
Je garderais un bilan et des souvenirs positifs de ce stage de deuxième année.