Réseau privé virtuel

Un article de Wikipédia, l'encyclopédie libre.
Sauter à la navigation Sauter à la recherche
Page d'aide sur l'homonymie Pour les articles homonymes, voir VPN et RPV.
Principe d'un VPN simple

En informatique, un réseau privé virtuel, abrégé VPNVirtual Private Network (et RPV au Québec[1]), est un système permettant de créer un lien direct entre des ordinateurs distants, en isolant ce trafic. On utilise notamment ce terme dans le travail à distance, ainsi que pour l'accès à des structures de type cloud computing, mais également en matière de services MPLS.

Types[modifier | modifier le code]

Le VPN peut être de type point à point, utilisé entre un client et un concentrateur[2] VPN (routeur spécialisé, pare-feu, ou logiciel sur ordinateur), sur Internet par le biais d'un logiciel de VPN.

Dans une autre acception, le VPN peut exister sous la forme d'un réseau privé virtuel étanche et distribué sur un nuage MPLS[3]. Les ordinateurs sur ce VPN y sont souvent raccordés physiquement, la notion de « virtuel » se rapportant alors au fait que l'infrastructure MPLS fait circuler plusieurs réseaux virtuels étanches entre eux.

De façon plus générale les VPN peuvent être classés selon les protocoles, services, et type de trafic (couche OSI 2 ou 3) pouvant circuler en son sein.

VPN client / concentrateur[modifier | modifier le code]

La connexion entre les ordinateurs est gérée de façon transparente par un logiciel de VPN, créant un tunnel entre eux. Les ordinateurs connectés au VPN sont ainsi sur le même réseau local (virtuel), ce qui permet de passer outre d'éventuelles restrictions sur le réseau (comme des pare-feux ou des proxys).

Les principales techniques pour les postes clients[modifier | modifier le code]

Le VPN SSL[modifier | modifier le code]

Aussi appelé « clientless », car il ne nécessite pas l'installation d'un logiciel client ; un navigateur internet compatible avec l’ouverture des sessions HTTPS SSL/TLS est suffisant.

Un tunnel VPN SSL ne permet pas de véhiculer différents protocoles de communication comme le VPN IPsec, mais des solutions existent ainsi :

Pour le protocole RDP, l'ouverture d'un bureau distant utilisera l'accès Web aux services Bureau à distance (RD Web Access) qui permet d’accéder aux programmes RemoteApp et aux services Bureau à distance.

Le VPN IPsec[modifier | modifier le code]

L'installation d'un logiciel « agent » est nécessaire afin d’établir un tunnel vers un serveur VPN.

Un Tunnel VPN IPsec permet de véhiculer différents protocoles de communication tels que SSH, RDP, SMB, SMTP, IMAP, etc.

Une technique alternative consiste à utiliser du L2TP/IPsec[4] qui associe ces protocoles pour faire passer du PPP sur L2TP sur IPsec, en vue de faciliter la configuration côté client sous Windows[5].

Intérêt[modifier | modifier le code]

Un VPN permet d'accéder à des ordinateurs distants comme si l'on était connecté au réseau local. Il permet d'avoir un accès au réseau interne (réseau d'entreprise, par exemple) ou de créer un réseau de pairs.

Un VPN dispose généralement aussi d'une « passerelle » permettant d'accéder à l'extérieur, ce qui permet de changer l'adresse IP source apparente de ses connexions. Cela rend plus difficile l'identification et la localisation approximative de l'ordinateur émetteur par le fournisseur de service. Cependant, l'infrastructure de VPN (généralement un serveur) dispose des informations permettant d'identifier l'utilisateur : par exemple, les sociétés proposant des VPN gratuits ou payants peuvent récolter les données de navigation de leurs clients, ce qui relativise l'anonymat de ces services. Cela permet aussi de contourner les restrictions géographiques de certains services proposés sur Internet.

Le VPN permet également de construire des « réseaux overlay », en construisant un réseau logique sur un réseau sous-jacent, faisant ainsi abstraction de la topologie de ce dernier.

L'utilisation de VPN n'est généralement pas légalement restreinte.
Elle l'est en Chine[6]. Jusque mi-2017, le gouvernement semblait tolérer certains usages comme l'accès par un grand nombre de chercheurs chinois à des études publiées en ligne dans le monde mais inaccessibles en Chine en raison d'une censure du Net qui a classé non seulement Google Docs et Dropbox, mais aussi Google scholar en liste noire[6].
En septembre 2017 il semble que la Chine ait décidé d'encore resserrer l'accès des Chinois à Internet en accroissant la répression pour ceux qui utilisent des réseaux privés virtuels (VPN) (et donc non-contrôlés par le gouvernement). La communauté scientifique internationale (relayée par la revue Science) craint que cette mesure puisse « sérieusement éroder la capacité des scientifiques chinois à rester en contact avec des pairs à l'étranger »[6].

Chiffrement[modifier | modifier le code]

Les connexions VPN ne sont pas nécessairement chiffrées. Cependant si l'on ne chiffre pas, cela peut permettre à des éléments intermédiaires sur le réseau d'accéder au trafic du VPN, ce qui peut être problématique si les informations qui y transitent sont sensibles. De plus, des techniques de DPI permettent à des pare-feux de filtrer le trafic du VPN s'il n'est pas chiffré.

Protocoles[modifier | modifier le code]

Un réseau privé virtuel utilise un ou plusieurs protocoles parmi les suivants :

  • GRE (Generic Routing Encapsulation) développé au départ par Cisco, à l'origine protocole transportant des paquets de couche 3, mais pouvant désormais aussi transporter la couche 2[7]
  • PPTP (Point-to-Point tunneling Protocol) est un protocole transportant des trames de couche 2 (du PPP) développé par Microsoft, 3Com, Ascend, US Robotics et ECI Telematics.
  • L2F (Layer Two Forwarding) est un protocole transportant des trames PPP (couche 2) développé par Cisco Systems, Nortel et Shiva. Il est désormais obsolète.
  • L2TP (Layer Two Tunneling Protocol) est l'aboutissement des travaux de l'IETF (RFC 3931[8]) pour faire converger les fonctionnalités de PPTP et L2F. Il s'agit ainsi d'un protocole transportant des sessions PPP (couche 2).
  • IPsec est un protocole transportant des paquets (couche 3), issu des travaux de l'IETF, permettant de transporter des données chiffrées pour les réseaux IP. Il est associé au protocole IKE pour l'échange des clés.
  • L2TP/IPsec est une association de ces deux protocoles (RFC 3193[4]) pour faire passer du PPP sur L2TP sur IPsec, en vue de faciliter la configuration côté client sous Windows[5].
  • SSL/TLS, déjà utilisé pour sécuriser la navigation sur le web via HTTPS, permet également l'utilisation d'un navigateur Web comme client VPN. Ce protocole est notamment utilisé par OpenVPN.
  • SSH permet, entre autres, d'envoyer des paquets depuis un ordinateur auquel on est connecté.
  • MPLS permet de créer des VPN distribués (VPRN)[9] sur un nuage MPLS[10], de niveau 2 (L2VPN) point à point[11], point à multipoint (VPLS), ou de niveau 3 (L3VPN) notamment en IPv4 (VPNv4)[12] et/ou IPv6 (VPNv6 / 6VPE[13],[14]), par extension et propagation de VRF (Virtual routing and forwarding – tables de routage virtuelles) sur l'ensemble du réseau MPLS

Notes et références[modifier | modifier le code]

  1. Le grand dictionnaire de l’Office québécois de la langue française
  2. « Les réseaux privés virtuels (VPN) », sur www.awt.be (consulté le 15 mars 2018)
  3. (en) Ahmed Mehaoua, « Virtual Private Networks » [PDF], sur Université Paris Descartes - UFR de mathématiques et informatique, (consulté le 15 mars 2018)
  4. a et b (en) Aboba, Bernard et Zorn, Glen, « Securing L2TP using IPsec », sur tools.ietf.org (consulté le 10 juin 2018)
  5. a et b « PPTP vs L2TP/IPSec vs OpenVPN », sur www.ivpn.net (consulté le 10 juin 2018)
  6. a, b et c Pain E (2017) Reports raise concerns about France's nuclear waste tomb| Science | 1er septembre 2017 |Vol. 357| Issue 6354| pp. 858|DOI: 10.1126/science.357.6354.858
  7. (en) Garg, Pankaj et Wang, Yu-Shun, « NVGRE: Network Virtualization Using Generic Routing Encapsulation », sur tools.ietf.org (consulté le 15 mars 2018)
  8. (en) « Layer Two Tunneling Protocol - Version 3 (L2TPv3) », Request for Comments no 3931, mars 2005.
  9. (en) « Virtual Private Routed Network Service », sur infoproducts.alcatel-lucent.com (consulté le 15 mars 2018)
  10. (en) Rosen, Eric C. et Rekhter, Yakov, « BGP/MPLS IP Virtual Private Networks (VPNs) », sur tools.ietf.org (consulté le 15 mars 2018)
  11. (en) Rosen, Eric C. et Andersson, Loa, « Framework for Layer 2 Virtual Private Networks (L2VPNs) », sur tools.ietf.org (consulté le 15 mars 2018)
  12. Guichard, Jim, et Apcar, Jeff,, MPLS and VPN architectures. volume II (ISBN 1587144328, OCLC 910782073, lire en ligne)
  13. « IPv6 over MPLS Security > IPv6 Internet Security for Your Network », sur www.ciscopress.com (consulté le 15 mars 2018)
  14. (en) Carugi, Marco et Clercq, Jeremy De, « BGP-MPLS IP Virtual Private Network (VPN) Extension for IPv6 VPN », sur tools.ietf.org (consulté le 15 mars 2018)

Voir aussi[modifier | modifier le code]

Articles connexes[modifier | modifier le code]

Logiciels :

  • OpenVPN, logiciel qui permet de créer un VPN.
  • OpenSSH, logiciel d'accès distant permettant la création de tunnels sécurisés, voire d'un VPN.
  • Hamachi, logiciel pour créer un VPN.
  • Peer2Me, logiciel permettant de créer un VPN entre ses participants (obsolète).
  • n2n (en) (de Ntop), logiciel pour créer un VPN P2P.
  • GNU Virtual Private Ethernet.
  • Tor (The onion router), un réseau permettant d'accéder anonymement à Internet.
  • Amazon Virtual Private Cloud, un réseau virtuel privé au sein d'AWS.
  • TheGreenBow VPN, logiciel client VPN qui supporte les protocoles IPsec et OpenVPN

Liens externes[modifier | modifier le code]