Chapitre 6. Réseaux privés virtuels (VPN)

Les sociétés disposant de plusieurs bureaux satellites se connectent souvent grâce à des lignes spécialisées pour l'efficacité et la protection de données importantes en transit. Par exemple, de nombreuses entreprises utilisent des lignes de relais de trame ou Transmission Temporelle Asynchrone (TTA) en tant que solution de réseau bout à bout pour relier un bureau avec les autres. Cela peut être une proposition chère, en particulier pour les petites et moyennes entreprises (PME) qui souhaitent développer sans avoir à payer les prix forts associés aux circuits numériques spécialisés de niveau d'entreprise.

Les ingénieurs ont développé une solution rentable à ce problème sous la forme de réseaux privés virtuels (VPN, de l'anglais Virtual Private Networks). Suivant les mêmes principes fonctionnels que les circuits spécialisés, les VPN permettent les communications numériques sécurisées entre les deux partis (ou réseaux), créant ainsi un réseau de grande taille (WAN) depuis les LAN existants. La différence entre le relais de trame ou la TTA réside dans son moyen de transport. Les VPN transmettent sur des couches de datagrammes (UDP) ou d'IP, devenant alors un conduit sécurisé à travers l'internet vers une destination voulue. La plupart des implémentations VPN de logiciel libre incorporent un cryptage Open Source standard pour masquer davantage les données en transit.

Certaines sociétés emploient des solutions VPN matérielles pour augmenter la sécurité, pendant que d'autres utilisent des implémentations logicielles ou basées sur des protocoles. Il existe plusieurs distributeurs avec des solutions VPN matérielles comme Cisco, Nortel, IBM et Checkpoint. Il existe une solution VPN basée sur les logiciels libres pour Linux appelée FreeS/Wan qui utilise une implémentation normalisée de IPSec (de l'anglais, Internet Protocol Security). Ces solutions VPN agissent en tant que routeurs spécialisés qui se placent entre la connexion IP d'un bureau à l'autre.

Lorsque un paquet est transmis depuis un client, il l'envoie à travers le routeur ou la passerelle qui ensuite ajoute des informations d'en-tête pour le routage et l'authentification, appelées en-têtes d'authentification (AH, Authentication Header). Ces données sont cryptées et contiennent des instructions de traitement et de décryptage appelées ESP (Encapsulation Security Payload). Le routeur VPN récepteur isole les informations d'en-tête et les transmet à leur destination originale (un poste de travail ou un noeud sur un réseau). À l'aide d'une connexion réseau à réseau, le noeud de réception sur le réseau local reçoit les paquets décryptés et prêts à être traités. Le processus de cryptage et de décryptage sur une connexion VPN réseau à réseau est transparent au noeud local.

Avec un tel niveau de sécurité intensifié, un pirate doit non seulement intercepter un paquet, mais également décrypter le paquet (qui, dans le cas de la plupart des VPN, emploie normalement le chiffre 168 bit de 3DES - triple Data Encryption Standard). Les intrus qui emploient une attaque man-in-the-middle entre un serveur et un client doivent également avoir accès aux clés échangées pour les sessions d'authentification. Les VPN sont un moyen efficace et sécurisé pour connecter de multiples noeuds distants afin d'agir comme un intranet unifié.

6.1. VPN et Red Hat Enterprise Linux

Les utilisateurs et les administrateurs de Red Hat Enterprise Linux ont plusieurs options quant à l'implémentation d'une solution logicielle pour connecter et sécuriser leur WAN. Il existe, cependant, deux méthodes pour implémenter des connexions VPN qui sont actuellement supportées dans Red Hat Enterprise Linux. Une solution équivalente qui peut être utilisée en tant que substitut sécurisé à l'utilisation de VPN, implique l'utilisation de OpenSSH en tant que tunnel entre deux noeuds distants. Cette solution est une solide alternative à Telnet, rsh et autres méthodes de communication vers des hôtes distants, mais elle ne répond pas complètement aux besoins de rentabilité de tous les télétravailleurs et les succursales d'une société. Deux autres solutions incluses dans Red Hat Enterprise Linux qui adhèrent plus à la définition d'un VPN, sont CIPE (Crypto IP Encapsulation) et IPsec (Internet Protocol Security).