Catégories
Uncategorized

Réseau privé virtuel – Wikipedia

Permet à un réseau privé de passer par un réseau public

Présentation de la connexion VPN

UNE réseau privé virtuel (VPN) étend le réseau privé sur le réseau public et permet aux utilisateurs d’envoyer et de recevoir des données sur des réseaux partagés ou publics comme si leurs appareils informatiques étaient directement connectés au réseau privé. Par conséquent, les applications qui exécutent un VPN peuvent bénéficier de fonctionnalités, de sécurité et de gestion de réseau privé. Le chiffrement est courant, bien qu’il ne fasse pas partie intégrante d’une connexion VPN.[1]

La technologie VPN a été développée pour fournir un accès aux applications et ressources d’entreprise aux utilisateurs distants ou mobiles et aux affiliés. Pour des raisons de sécurité, une connexion réseau privée peut être établie à l’aide d’un protocole de tunneling en couches crypté, et les utilisateurs peuvent être tenus de passer par diverses méthodes d’authentification pour accéder au VPN. Dans d’autres applications, les utilisateurs d’Internet peuvent sécuriser leurs connexions VPN pour contourner les restrictions géographiques et la censure, ou se connecter à des serveurs proxy pour protéger leur identité et leur emplacement personnels afin de rester anonymes sur Internet. Cependant, certains sites Web bloquent l’accès à la technologie VPN connue pour éviter le contournement de leurs limites géographiques, et de nombreux fournisseurs de VPN développent des stratégies pour contourner ces blocages.

Un VPN est créé en établissant une connexion point à point virtuelle via l’utilisation de circuits dédiés ou avec des protocoles de tunneling sur les réseaux existants. Un VPN disponible sur Internet public peut offrir certains des avantages d’un réseau à large bande (WAN). Du point de vue de l’utilisateur, les ressources disponibles sur le réseau privé sont accessibles à distance.[2]

Classification VPN basée sur la topologie puis sur la technologie utilisée.

Un VPN typique d’un endroit à l’autre.

Les premiers réseaux de données permettaient des connexions de type VPN vers des sites distants via des modems commutés ou via des connexions de lignes louées utilisant des circuits virtuels X.25, Frame Relay et de transfert asynchrone (ATM) fournis via des réseaux propriétaires exploités par des opérateurs de télécommunications. . Ces réseaux ne sont pas considérés comme de véritables VPN car ils fournissent passivement des données qui sont transmises en créant des flux de données logiques.[3] Ils ont été remplacés par des VPN basés sur des réseaux IP et une commutation d’étiquette IP / multiprotocole (MPLS), en raison de réductions de coûts importantes et d’une bande passante accrue[4] rendu possible par les nouvelles technologies telles que la ligne d’abonné numérique (DSL)[5] et réseaux optiques.

Les VPN peuvent être caractérisés comme hôte vers réseau ou accès à distance en connectant un ordinateur à un réseau ou en site à site pour connecter deux réseaux. Dans un environnement d’entreprise, les VPN d’accès à distance permettent aux employés d’accéder à l’intranet de l’entreprise en dehors du bureau. Les VPN de site à site permettent aux associés de bureaux géographiquement différents de partager le même réseau virtuel. Un VPN peut également être utilisé pour connecter deux réseaux similaires sur un réseau central différent, tels que deux réseaux IPv6 connectés sur un réseau IPv4.[6]

Les systèmes VPN peuvent être classés selon:

  • protocole de tunneling utilisé pour tunneliser le trafic
  • l’emplacement du point final du tunnel, par ex. sur le bord de l’utilisateur ou sur le bord du fournisseur de réseau
  • le type de topologie de connexion, comme l’emplacement sur une page ou le réseau à réseau
  • niveaux de sécurité sécurisés
  • Couche OSI représentant un réseau de connexion, comme les assemblages de couche 2 ou la connexion réseau de couche 3
  • nombre de connexions simultanées

Mécanismes de sécurité[[[[Éditer]

Les VPN ne peuvent pas rendre les connexions Internet complètement anonymes, mais ils peuvent généralement augmenter la confidentialité et la sécurité. Pour empêcher la divulgation de données privées, les VPN autorisent généralement uniquement un accès distant authentique à l’aide de protocoles de tunneling et de techniques de chiffrement.

Le modèle de sécurité VPN fournit:

Phases du cycle de vie d’un tunnel IPSec dans un réseau privé virtuel.

Les protocoles VPN sécurisés sont les suivants:

Authentification[[[[Éditer]

Les points de terminaison de tunnel doivent être authentifiés avant de pouvoir établir des tunnels VPN sécurisés. Les VPN d’accès à distance créés par l’utilisateur peuvent utiliser des mots de passe, la biométrie, l’authentification à deux facteurs ou d’autres méthodes cryptographiques. Les tunnels réseau utilisent souvent des mots de passe ou des certificats numériques. Ils stockent en permanence la clé pour permettre la configuration automatique du tunnel, sans intervention de l’administrateur.

Acheminement[[[[Éditer]

Les protocoles de tunneling peuvent fonctionner dans une topologie de réseau point à point qui ne serait pas théoriquement considérée comme un VPN car les VPN sont par définition censés prendre en charge des ensembles arbitraires et changeants de nœuds de réseau. Mais comme la plupart des implémentations de routeurs prennent en charge une interface de tunnel définie par logiciel, les VPN personnalisés sont souvent des tunnels simplement définis qui utilisent des protocoles de routage conventionnels.

Blocs de construction VPN fournis par le fournisseur de services[[[[Éditer]

Terminologie VPN d’un endroit à l’autre.

Selon que le fournisseur VPN (PPVPN) fonctionne en couche 2 ou 3, les blocs de construction décrits ci-dessous peuvent être L2 uniquement, L3 uniquement ou une combinaison des deux. La fonction de commutation d’étiquette multiprotocole (MPLS) brouille l’identité L2-L3.[[[[citation requise][[[[recherche originale?]

La RFC 4026 généralise les termes suivants pour couvrir les VPN MPLS L2 et VPN L3 (BGP), mais ils sont introduits dans RFC 2547.[15][16]

Appareils client (C)

Un appareil qui se trouve dans le réseau du client et qui n’est pas directement connecté au réseau du fournisseur de services. Les appareils C ne connaissent pas le VPN.

Périphérique client (CE)

Un périphérique à la périphérie du réseau du client qui permet d’accéder au PPVPN. Parfois, c’est juste une distinction entre la responsabilité du fournisseur et celle du client. D’autres fournisseurs de services permettent aux clients de le configurer.

Dispositif périphérique (PE)

Un appareil ou un ensemble d’appareils à la périphérie du réseau du fournisseur qui se connecte aux réseaux des clients via un appareil CE et affiche la vue du fournisseur sur l’emplacement du client. Les PE connaissent les VPN qui se connectent à travers eux et maintiennent l’état VPN.

Appareil du fournisseur (P)

Un appareil qui fonctionne au sein du réseau principal du fournisseur de services et ne se connecte pas directement à un point de terminaison client. Par exemple, il peut fournir un routage pour de nombreux tunnels exploités par tunnel appartenant aux PPVPN de différents clients. Bien que le périphérique P soit un élément clé de la mise en œuvre des PPVPN, il ne connaît pas lui-même le VPN et ne maintient pas l’état VPN. Son rôle principal est de permettre au fournisseur de services de mettre à l’échelle ses offres PPVPN, par exemple, en agissant comme un point d’agrégation pour plus d’EP. Les connexions P-to-P, dans un tel rôle, sont souvent des connexions optiques de grande capacité entre les principaux sites des fournisseurs.

Services PPVPN visibles par l’utilisateur[[[[Éditer]

Services de couche 2 OSI[[[[Éditer]

LAN virtuel

Le LAN virtuel (VLAN) est une technique de couche 2 qui permet la coexistence de plusieurs domaines d’un réseau local de diffusion (LAN) connecté via des canaux via le protocole de canal IEEE 802.1Q. D’autres protocoles de canal ont été utilisés mais sont obsolètes, notamment Inter-Switch Link (ISL), IEEE 802.10 (à l’origine un protocole de sécurité, mais un sous-réseau a été introduit pour raccourcir le canal) et l’émulation LAN ATM (LANE).

Service LAN privé virtuel (VPLS)

Développés par l’Institut des ingénieurs électriciens et électroniciens, les LAN virtuels (VLAN) permettent à plusieurs LAN étiquetés de partager des canaux communs. Les VLAN contiennent souvent uniquement des objets appartenant au client. Alors que VPLS tel que décrit dans la section ci-dessus (services OSI de niveau 1) prend en charge l’émulation point à point et point à multipoint, la méthode décrite ici étend les technologies de couche 2 telles que la jonction LAN 802.1 et 802.1q pour s’exécuter. . via des transports tels que Metro Ethernet.

Tel qu’utilisé dans ce contexte, le VPLS est un PPVPN de deuxième couche, émulant toutes les fonctionnalités d’un LAN traditionnel. Du point de vue de l’utilisateur, le VPLS permet à plusieurs segments LAN d’être interconnectés via un noyau de capteur à commutation de paquets ou optique, un noyau transparent pour l’utilisateur, c’est pourquoi les segments LAN distants se comportent comme un LAN unique.[17]

Dans VPLS, le réseau du fournisseur émule un pont d’apprentissage qui peut éventuellement contenir un service VLAN.

Pseudo-fil (PW)

PW est similaire à VPLS, mais peut fournir différents protocoles L2 aux deux extrémités. Son interface est généralement un protocole WAN comme le mode de transfert asynchrone ou le relais de trame. En revanche, lorsque l’objectif est de donner l’apparence d’un LAN situé entre deux ou plusieurs emplacements, un service de LAN privé virtuel ou IPLS serait approprié.

Tunnel Ethernet sur IP

EtherIP (RFC 3378)[18] est la spécification du protocole Ethernet sur tunneling IP. EtherIP ne dispose que d’un mécanisme d’encapsulation de paquets. Il n’y a aucune protection de la confidentialité ou protection de l’intégrité du message. EtherIP est introduit dans le réseau FreeBSD[19] et SoftEther VPN[20] programme serveur.

Service tel que LAN uniquement IP (IPLS)

Les sous-ensembles VPLS, CE doivent avoir des capacités de niveau 3; IPLS représente des paquets, pas des trames. Il peut prendre en charge IPv4 ou IPv6.

Architecture PPVPN de couche 3 OSI[[[[Éditer]

Cette section présente les principales architectures des PPVPN, l’une dans laquelle le PE sépare les adresses en double dans une instance de routage et l’autre, un routeur virtuel, dans lequel le PE contient une instance de routeur virtuel par VPN. L’ancienne approche et ses variantes ont attiré le plus l’attention.

L’un des défis du PPVPN implique que différents clients utilisent le même espace d’adressage, en particulier l’espace d’adressage privé IPv4.[21] Le fournisseur doit être en mesure de séparer les adresses qui se chevauchent dans les PPVPN multi-clients.

BGP / MPLS PPVPN

Dans la méthode qu’il a définie RFC 2547, les extensions BGP annoncent des routes dans une adresse VPN IPv4, qui sont sous la forme de chaînes de 12 octets, commençant par un diviseur de route (RD) de 8 octets et se terminant par une adresse IPv4 de 4 octets. Les RD distinguent les adresses en double dans le même PE.

Les PE comprennent la topologie de chaque VPN connecté directement aux tunnels MPLS ou via un routeur P. Dans la terminologie MPLS, les routeurs P sont des routeurs étiquetés sans reconnaissance VPN.

Routeur virtuel PPVPN

Architecture de routeur virtuel,[22][23] contrairement aux techniques BGP / MPLS, il ne nécessite pas de modification des protocoles de routage existants tels que BGP. En activant des domaines de routage logiquement indépendants, l’utilisateur qui gère le VPN est entièrement responsable de l’espace d’adressage. Dans différents tunnels MPLS, différents PPVPN sont séparés par leur propre étiquette, mais ils n’ont pas besoin de séparateurs de routage.

Tunnels non cryptés[[[[Éditer]

Certains réseaux virtuels utilisent des protocoles de tunneling non chiffrés pour protéger la confidentialité des données. Bien que les VPN fournissent souvent la sécurité, un réseau à chevauchement non chiffré ne rentre pas parfaitement dans une catégorisation sécurisée ou fiable.[24] Par exemple, un tunnel installé entre deux hôtes avec une encapsulation de routage générique (GRE) est un réseau privé virtuel, mais il n’est ni sécurisé ni fiable.[25][26]

Les protocoles de tunneling en texte brut natifs incluent le protocole de tunneling de couche 2 (L2TP) lorsqu’ils sont configurés sans IPsec et le tunneling point à point (PPTP) ou le cryptage point à point Microsoft (MPPE).[27]

Réseaux de livraison fiables[[[[Éditer]

Les VPN de confiance n’utilisent pas de tunnel cryptographique; au lieu de cela, ils s’appuient sur la sécurité du réseau d’un seul fournisseur de services pour protéger le trafic.[28]

Du point de vue de la sécurité, les VPN font confiance au réseau de livraison en question ou doivent implémenter des mécanismes de sécurité au sein du VPN lui-même. À moins qu’un réseau de distribution fiable ne fonctionne que sur des sites physiquement sécurisés, les modèles sécurisés et sécurisés ont besoin d’un mécanisme d’authentification pour donner aux utilisateurs l’accès au VPN.

Types de déploiement[[[[Éditer]

VPN dans les environnements mobiles[[[[Éditer]

Les utilisateurs utilisent des réseaux privés virtuels mobiles dans des paramètres où le point de terminaison VPN n’est pas fixé à une seule adresse IP, mais se déplace à la place vers divers réseaux, tels que les réseaux de données des opérateurs mobiles ou entre plusieurs points d’accès Wi-Fi, sans abandonner une session VPN sécurisée. ou perte de session d’application.[32] Les VPN mobiles sont largement utilisés dans la sécurité publique où ils permettent aux responsables de l’application des lois d’accéder à des applications telles que l’envoi assisté par ordinateur et les bases de données criminelles,[33] et dans d’autres organisations ayant des exigences similaires telles que la gestion des services sur le terrain et les soins de santé[34][[[[une offre est requise pour confirmation]. Les VPN mobiles commerciaux sont souvent utilisés pour sécuriser un réseau Wi-Fi public.

VPN sur les routeurs[[[[Éditer]

Avec l’utilisation croissante des VPN, beaucoup ont commencé à déployer des connexions VPN sur des routeurs pour plus de sécurité et de cryptage de la transmission de données en utilisant diverses techniques cryptographiques.[35] Les utilisateurs à domicile déploient généralement des VPN sur leurs routeurs pour protéger des appareils tels que les téléviseurs intelligents ou les consoles de jeux, plutôt que d’être pris en charge par les clients VPN natifs. Les appareils pris en charge ne sont pas limités à ceux qui peuvent exécuter un client VPN.[36]

De nombreux fabricants de routeurs expédient des routeurs avec des clients VPN intégrés. Certains utilisent des micrologiciels open source tels que DD-WRT, OpenWRT et Tomato pour prendre en charge des protocoles supplémentaires tels que OpenVPN.

La configuration des services VPN sur un routeur nécessite une connaissance approfondie de la sécurité du réseau et une installation soignée. Une mauvaise configuration mineure d’une connexion VPN peut rendre le réseau vulnérable. Les performances varient en fonction de votre fournisseur d’accès Internet (FAI).[37]

Restrictions de mise en réseau[[[[Éditer]

La limitation des VPN traditionnels est qu’ils sont des connexions point à point et n’ont pas tendance à prendre en charge les domaines de diffusion; par conséquent, la communication, les logiciels et la mise en réseau, qui sont basés sur la couche 2 et les paquets de diffusion, tels que NetBIOS utilisés dans le réseau Windows, peuvent ne pas être entièrement pris en charge comme dans le réseau local. Les variantes VPN telles que les protocoles de réseau local virtuel privé (VPLS) et de tunneling de couche 2 sont conçues pour surmonter cette limitation.[38]

Services VPN[[[[Éditer]

Un large éventail d’entités (généralement commerciales) fournissent des «VPN» à toutes fins, mais selon le fournisseur de services et l’application, elles ne créent souvent pas un véritable «réseau privé» avec quoi que ce soit d’important sur le réseau local. Néanmoins, le terme se généralise. Le grand public a surtout utilisé ce terme Service VPN ou juste VPN spécifiquement pour un produit ou service commercialisé qui utilise un protocole VPN pour tunneler le trafic Internet de l’utilisateur, donc l’adresse IP du serveur du fournisseur de services publics semble être l’adresse IP de l’utilisateur. En fonction des fonctionnalités correctement implémentées, le trafic des utilisateurs, l’emplacement et / ou l’IP réelle peuvent être cachés au public, offrant ainsi les options d’accès Internet souhaitées, telles que le contournement de la censure Internet, l’anonymat et le géoblocage. Ils ne tunnelent le trafic Internet des utilisateurs qu’entre Internet public et l’appareil de l’utilisateur, et il n’y a généralement aucun moyen pour les appareils des utilisateurs connectés au même « VPN » de se voir. Ces VPN peuvent être basés sur des protocoles VPN typiques ou sur plusieurs implémentations VPN camouflées comme les VPN SoftEther, mais des protocoles proxy comme Shadowsocks sont également utilisés.[39] Ces VPN sont généralement vendus comme des services de confidentialité.

Côté client, le paramètre VPN habituel de par sa conception n’est pas un VPN commun, mais utilise généralement les interfaces VPN du système d’exploitation pour capturer les données utilisateur pour l’envoi. Cela inclut des adaptateurs de réseau virtuels sur le système d’exploitation de l’ordinateur et des interfaces spécialisées «VPN» sur les systèmes d’exploitation mobiles. Une alternative moins courante consiste à fournir une interface proxy SOCKS.

Les utilisateurs doivent tenir compte du fait que lorsque le contenu transmis n’est pas crypté avant lors de la saisie d’un VPN, ces données sont visibles au point final de la réception (généralement sur le site Web du fournisseur VPN public), que le tunnel VPN soit ou non couverture il est lui-même chiffré pour le transport entre les nœuds. le seulement un VPN sécurisé est un endroit où les participants ont le contrôle tous les deux se termine tout le chemin de données ou le contenu est chiffré avant qu’il n’entre dans le tunnel du fournisseur de services.

Légalité[[[[Éditer]

Les VPN non acceptés seraient illégaux en Chine car ils peuvent être utilisés pour contourner le grand pare-feu. (VPN se réfère à tout protocole que les tunnels opèrent ailleurs, comme ci-dessus).[40]

Voir également[[[[Éditer]

Références[[[[Éditer]

  1. ^ Mason, Andrew G. (2002). Réseau privé virtuel sécurisé Cisco. Cisco Press. p. 7.
  2. ^ « Virtual Private Networking: An Overview. » Microsoft Technet. 4 septembre 2001
  3. ^ Cisco Systems et al. Manuel sur les technologies Internet, troisième édition. Cisco Press, 2000, p. 232.
  4. ^ Lewis, Mark. Comparaison, design. Et la planification des VPN. Cisco Press, 2006, p. 5
  5. ^ Consortium international d’ingénierie. Ligne d’abonné numérique 2001. Intl. Consortium d’ingénierie, 2001, p. 40
  6. ^ Technet Lab. « Trafic IPv6 sur des connexions VPN ». Archivé de l’original le 15 juin 2012.
  7. ^ RFC 6434, « IPv6 Node Requirements », E. Jankiewicz, J. Loughney, T. Narten (décembre 2011)
  8. ^ « 1. Connectivité VPN puissante supérieure ». www.softether.org. Projet VPN SoftEther.
  9. ^ « OpenConnect ». Téléchargé 8 avril 2013. OpenConnect est un client pour le VPN SSL AnyConnect de Cisco […] OpenConnect n’est pas officiellement pris en charge ou affilié de quelque manière que ce soit à Cisco Systems. Il s’est avéré que cela fonctionnait avec leur équipement.
  10. ^ « Pourquoi TCP sur TCP est une mauvaise idée ». sites.inka.de. Téléchargé 24 octobre 2018.
  11. ^ « Statut de la marque déposée et téléchargement du document ». tarr.uspto.gov.
  12. ^ msgstr « ssh (1) – Pages ouvertes du manuel OpenBSD ». man.openbsd.org.
  13. ^ c@cb.vu, Colin Barschel. Boîte à outils Unix. цб.ву.
  14. ^ « SSH_VPN – Wiki d’aide de la communauté ». help.ubuntu.com.
  15. ^ E. Rosen et Y. Rekhter (mars 1999). « VPN BGP / MPLS ». Groupe de travail sur l’ingénierie Internet (IETF). RFC 2547.
  16. ^ Lewis, Mark (2006). Comparaison, conception et implémentation de VPN (1er éd.). Indianapolis, Ind.: Cisco Press. 5–6. ISBN 1587051796.
  17. ^ Pont Ethernet (OpenVPN)
  18. ^ Hollenbeck, Scott; Housley, Russell. « EtherIP: Tunnellisation du Framework Ethernet dans les Datagrammes IP ».
  19. ^ Glyn M Burton: RFC 3378 EtherIP avec FreeBSD, 3 février 2011
  20. ^ nouvelles de net-security.org: le VPN multi-protocoles SoftEther devient open source, janvier 2014
  21. ^ Attribution d’adresse pour internet privé, RFC 1918, Y. Rekhter et al., Février 1996
  22. ^ RFC 2917, Architecture VPN MPLS IP de base
  23. ^ RFC 2918, E. Chen (septembre 2000)
  24. ^ Yang, Yanyan (2006). « Exactitude et sécurité de la sécurité IPsec / VPN ». Magazine à grande vitesse. 15: 275-289. CiteSeerX 10.1.1.94.8561.
  25. ^ « Présentation des réseaux privés virtuels fournis par le prestataire de services (PPVPN) ». Pensées sûres. Téléchargé 29 août 2016.
  26. ^ RFC 1702: encapsulation générique du routage sur les réseaux IPv4. Octobre 1994
  27. ^ IETF (1999), RFC 2661, protocole de tunnelisation de deuxième couche L2TP
  28. ^ Cisco Systems, Inc. (2004). Manuel sur les technologies pour le travail sur Internet. Série sur les technologies de réseau (4 éd.). Cisco Press. p. 233. ISBN 9781587051197. Téléchargé 15 février 2013. […] VPN utilisant des circuits dédiés, tels que Frame Relay […] sont parfois appelés VPN fiables, car les clients estiment que les installations réseau gérées par les fournisseurs de services ne seront pas compromises.
  29. ^ Protocole de tunneling de deuxième couche « L2TP », RFC 2661, W. Townsley et al., Août 1999
  30. ^ Réseaux privés virtuels IP basés sur l’adresse IP, RFC 2341, A. Valence et al., Mai 1998
  31. ^ Protocole de tunneling point à point (PPTP), RFC 2637, K. Hamzeh et al., Juillet 1999
  32. ^ Phifer, Lisa. « VPN mobile: combler le vide », SearchMobileComputing.com16 juillet 2006
  33. ^ Willett, Andy. « Résoudre les défis informatiques des officiers mobiles », www.officer.com, Mai 2006
  34. ^ Cheng, Roger. « Liens perdus », Le journal de Wall Street11 décembre 2007
  35. ^ « Protocoles de cryptage et de sécurité dans VPN ». Téléchargé 23 septembre 2015.
  36. ^ « VPN ». Draytek. Téléchargé 19 octobre 2016.
  37. ^ « Comment une mauvaise configuration des clients VPN peut-elle conduire à des failles de sécurité? ». RechercherEntrepriseWAN. Téléchargé 14 août 2018.
  38. ^ « Virtual Private Networking: An Overview. » 18 novembre 2019.
  39. ^ Hodge, Rae. « Proxy vs VPN: s’il est intégré à votre navigateur, il ne s’agit peut-être pas d’un vrai VPN. » CNET. Téléchargé 21 janvier 2020.
  40. ^ « Les entreprises et les consommateurs ne sont pas en sécurité avant l’interdiction du VPN en Chine. » Reuters. Téléchargé 3 avril 2018.

Lectures complémentaires[[[[Éditer]