Securisation des reseaux VPN avec IPSEC et RADIUS

Les réseaux locaux d’entreprise sont des réseaux internes à une organisation, c’est-à-dire que les liaisons entre machines appartiennent uniquement à l’organisation. Ces réseaux sont de plus en plus souvent reliés à Internet par l’intermédiaire d’équipements d’interconnexion. Il arrive ainsi que des entreprises éprouvent le besoin de communiquer avec des filiales, des clients ou même du personnel géographiquement éloignées via Internet. Pour autant, les données transmises sur Internet sont beaucoup plus vulnérables que lorsqu’elles circulent sur un réseau interne à une organisation car le chemin emprunté n’est pas défini à l’avance, ce qui signifie que les données empruntent une infrastructure réseau publique appartenant à différents opérateurs. Ainsi il n’est pas impossible que sur le chemin parcouru, le réseau soit écouté par un utilisateur indiscret ou même détourné. Il n’est donc pas concevable de transmettre dans de telles conditions des informations sensibles pour l’organisation ou l’entreprise.

GENERALITES SUR LES RESEAUX INFORMATIQUES

Un réseau informatique est un ensemble d’ordinateurs ou de périphériques autonomes connectés entre eux et qui sont situés dans un certain domaine géographique. Deux stations sont considérées comme interconnectées si elles sont capables d’échanger des flux d’information. Il convient toutefois de faire attention aux situations dans lesquelles le terme réseau est employé en informatique. En effet, il peut désigner l’ensemble des machines, le protocole de communications ou la manière dont les équipements sont connectés.

Propriétés des réseaux informatiques

Echelle géographique

Les réseaux sont classés en fonction de leur étendue géographique. Ainsi, on parlera de :
− PAN (Personnal Area Network) pour les réseaux personnels de moins d’une dizaine de machines ;
− LAN (Local Area Network) pour les réseaux locaux à l’échelle d’un bâtiment ;
− MAN (Metropolitan Area Network) pour les réseaux construits à l’échelle d’une ville ou d’un campus ;
− WAN (Wide Area Network) pour les réseaux à l’échelle d’un pays ou mondiale.

Le nombre de machines mises en réseau va définir la différence entre un LAN ou un PAN. En revanche, il est intéressant de noter que les MAN et les WAN peuvent être composés de plusieurs LAN ou PAN. Il y donc non seulement interconnexion de machines mais aussi de réseaux au travers desquels les messages seront acheminés.

Modes d’acheminement des messages

Comme la mise en réseau de machines correspond au besoin d’échanger des informations, des messages transitent en permanence dans un réseau. Il existe plusieurs stratégies pour acheminer un message au travers du réseau. On parle alors de techniques de commutation. Nous détaillerons les 5 méthodes les plus courantes à savoir :
− Commutation de circuits ;
− Commutation de messages ;
− Commutation de paquets ;
− Commutation de trames ;
− Commutation de cellules.

Commutation de circuits

C’est une méthode utilisée sur les réseaux téléphoniques classiques. Les communications passent par trois phases distinctes :
− L’établissement de la liaison où l’on va chercher et occuper un itinéraire pour acheminer le message ;
− Le maintien de la liaison pendant toute la durée de la connexion ;
− La libération des connexions sur ordre et le retour à l’état libre du réseau.

Commutation de messages

Cette méthode s’appuie sur les nœuds du réseau. Ainsi, le message transite de nœuds en nœuds jusqu’au destinataire. Un nœud ne peut envoyer le message que s’il a reçu ce dernier complètement. Ce mode a été abandonné et remplacé au profit de la commutation de paquets.

Commutation de paquets

Cette méthode consiste à fragmenter le message en paquets qui seront transmis de nœuds en nœuds jusqu’au destinataire. Il existe plusieurs stratégies pour acheminer les paquets.
− Dans le mode connecté les paquets empruntent toujours le même chemin (c’est le cas du réseau TRANSPAC) ;
− Dans le mode non-connecté les paquets peuvent emprunter des itinéraires différents. En réalité, chaque nœud va se charger d’aiguiller l’information. C’est sur ce principe que sont échangées les informations sur internet.

Comme il s’agit de l’un des plus répandus modes de commutation, ce dernier fait l’objet d’une norme internationale qui est l’œuvre des opérateurs téléphoniques : la norme X25. Pour permettre l’acheminement et le réassemblage des paquets, ce dernier renferme les informations suivantes :
− Un identifiant de source ;
− Un identifiant de destination ;
− Un numéro de séquence ;
− Un bloc contenant les données proprement dites ;
− Un code de vérification des erreurs.

Commutation de trames
C’est une extension de la commutation de paquets. La commutation est assurée directement au niveau du matériel employé pour construire le réseau.

Commutation de cellules
Cette méthode est également une extension de la commutation de paquets à laquelle on ajoute les avantages de la commutation de circuits. Les paquets ont une longueur fixe de 53 octets dont 5 sont utilisés pour l’en-tête. La connexion est mise en place avant toute émission de cellule. Le réseau ATM (Asynchronous Transfer Mode) exploite cette solution. A ce type de commutation est associée la notion de qualité de service qui dépend du type d’informations transportés.

Modèles de réseaux

Modèle OSI

Cette norme a été créée en 1984 par l’ISO (International Standard Organisation). Elle s’intéresse aux réseaux à commutation de paquets. Il s’agit d’un modèle à 7 couches qui décrit les réseaux. Chaque couche possède une problématique qui lui est propre. La mise en place d’un réseau consiste à trouver une solution par couche. Les couches sont en théorie indépendantes, il est donc possible de modifier la solution adoptée pour une couche sans affecter les couches supérieures ou inférieures. Le modèle OSI décrit ainsi les réseaux des couches basses qui concernent le matériel qui constitue le réseau jusqu’aux couches hautes qui décrivent la communication entre les applications fonctionnant à l’aide du réseau constitué.

Modèle TCP/IP

TCP/IP fut développé par le DoD (Département de la défense) des Etats-Unis et par DARPA (Agence de projet de recherché de défense avancée) dans les années 70. TCP/IP fut conçu pour être un standard ouvert, que quiconque puisse l’utiliser pour connecter des ordinateurs ensemble et échanger des informations. Par la suite, il est devenu le modèle de base pour l’Internet. TCP/IP prend comme modèle de référence le modèle OSI mais seulement avec 4 couches fonctionnelles. Certaines couches du modèle TCP/IP portent les mêmes noms que celles du modèle OSI mais avec des fonctions différentes.

Le rapport de stage ou le pfe est un document d’analyse, de synthèse et d’évaluation de votre apprentissage, c’est pour cela chatpfe.com propose le téléchargement des modèles complet de projet de fin d’étude, rapport de stage, mémoire, pfe, thèse, pour connaître la méthodologie à avoir et savoir comment construire les parties d’un projet de fin d’étude.

Table des matières

INTRODUCTION GENERALE
CHAPITRE 1 GENERALITES SUR LES RESEAUX INFORMATIQUES
1.1. Introduction
1.2. Propriétés des réseaux informatiques
1.2.1. Echelle géographique
1.2.2. Modes d’acheminement des messages
1.2.2.1. Commutation de circuits
1.2.2.2. Commutation de messages
1.2.2.3. Commutation de paquets
1.2.2.4. Commutation de trames
1.2.2.5. Commutation de cellules
1.3. Modèles de réseaux
1.3.1. Modèle OSI
1.3.2. Modèle TCP/IP
1.4. Réseaux physiques
1.4.1. Topologies des réseaux
1.4.1.1. Topologie maillée
1.4.1.2. Topologie en bus
1.4.1.3. Topologie en anneau
1.4.1.4. Topologie en étoile
1.4.2. Techniques de partage du support physique
1.4.3. Normes associées aux réseaux physiques
1.4.4. Exemple de solutions matérielles pour les réseaux
1.4.4.1. Réseau Ethernet
1.4.4.2. Réseau Wifi
1.5. Réseaux logiques
1.5.1. Adressage logique IPv4
1.5.1.1. Notion d’adresse IP
1.5.1.2. Notion de sous-réseau
1.5.2. Mécanismes de routage IPv4
1.5.2.1. Concept de routage
1.5.2.2. Table de routage
1.5.2.3. Routage statique
1.5.2.4. Protocoles de routage
a. Routing Information Protocol
b. Open Shortest Path First
1.6. Conclusion
CHAPITRE 2 RESEAUX PRIVES VIRTUELS
2.1. Introduction
2.2. Propriétés d’un VPN
2.2.1. Contraintes d’un VPN
2.2.2. Types de VPN
2.3. Protocoles utilisés
2.3.1. Protocole PPTP
2.3.2. Protocole L2TP
2.3.3. Protocole IPSec
2.3.4. Protocole MPLS
2.4. Avantages et utilisations pratiques d’un VPN
2.4.1. Sécurisé
2.4.2. Simple
2.4.3. Economique
2.4.4. Mobile
2.5. Authentification RADIUS
2.5.1. Présentation de RADIUS
2.5.2. Caractéristiques de RADIUS
2.5.2.1. Modèle client/serveur
2.5.2.2. Sécurité réseau
2.5.2.3. Mécanismes flexibles d’authentification
2.5.2.4. Protocole extensible
2.5.3. Fonctionnement général
2.5.4. Challenge/Réponse
2.5.5. Accounting
2.6. Conclusion
CHAPITRE 3 INTERNET PROTOCOL SECURITY
3.1. Introduction
3.2. Aspect technique
3.3. Détails du protocole
3.3.1. Gestion des flux IPSec
3.3.1.1. Security Policy
3.3.1.2. Security Association
3.3.1.3. Bases de données SPD et SAD
3.3.2. Modes d’IPSec
3.3.2.1. Mode Transport
3.3.2.2. Mode Tunnel
3.3.3. Détails des protocoles ajoutés
3.3.3.1. En-tête AH
3.3.3.2. Champs ESP
3.4. Gestion des clefs IPSec
3.4.1. Types de clefs
3.4.1.1. Clefs de chiffrement
3.4.1.2. Clefs maîtresses
3.4.1.3. Clefs de session ou de chiffrement de données
3.4.2. Echange de clefs et authentification
3.4.2.1. Mécanismes de sécurisation des échanges
3.4.2.2. Algorithme de Diffie-Hellman
3.4.3. ISAKMP et IKE
3.4.3.1. ISAKMP
3.4.3.2. IKE
a. Phase 1 : Main mode et Aggressive mode
b. Phase 2 : Quick Mode
3.5. Conclusion
CHAPITRE 4 SIMULATION D’UN VPN D’ACCES SOUS GNS3
4.1. Création de la topologie
4.2. Mise en place du serveur RADIUS sous Debian
4.2.1. Installation de FreeRadius sous Debian
4.2.2. Ajouter un Client
4.2.3. Ajouter un utilisateur
4.2.4. Tester le serveur localement
4.3. Mise en place du serveur VPN avec SDM
4.4. Se connecter au serveur avec Cisco VPN Client
4.5. Résultat de la simulation
CONCLUSION GENERALE