Edifiés dans les années 1990 sur des parcs de liaisons spécialisées louées par les exploitants de réseau aux entreprises, les réseaux privés ont évolué vers des structures dont on connaît aujourd’hui plusieurs types de réalisation. La sécurité de ces structures demeure une préoccupation majeure.
1 - Définition des réseaux privés virtuels
Créés à l’intention des entreprises multisites, les réseaux privés virtuels (VPN, Virtual Private Network) permettent des coûts moins élevés que ceux d’un parc de liaisons louées et une gestion plus personnalisée. Ils peuvent être gérés par un exploitant de réseau ou par l’entreprise elle-même, en tout ou partie. Ils sont établis entre des centres sélectionnés à partir des liens fournis par l’exploitant et fournissent aux entreprises les services demandés (voix, données, images, etc.).
Les VPN utilisent un système de partage dynamique de débit qui est orienté à l’avantage du client, selon l’importance du trafic sur le réseau et selon la nature des informations à transmettre par l’entreprise utilisatrice. Le cryptage et la détection d’intrusion sur points de présence comme sur site avec supervision du trafic sont les points forts des nouvelles offres.
On distingue, en référence au modèle ISO, les VPN de niveau 1 (constitués sur des liaisons numériques MIC, WDM, SDH ou ATM), de niveau 2 (PPP, Ethernet, relais de trame) et de niveau 3 (IP). Ces derniers, appelés VPN-IP, peuvent appartenir au réseau Internet public ou être créés en protocole IP par un exploitant de réseau sur ses liens propres.
De toute évidence, aujourd’hui la constitution de VPN sous IP facilite la gestion, du fait de la prolifération d’équipements adaptés à IP. La réduction de coût peut atteindre 25 %, dit-on et les avantages indiscutables sont liés à l’évolutivité du VPN qui s’explique par l’orientation actuelle du marché vers IP. L’essor du protocole MPLS (MultiProtocol Label Switching) illustre le fait. MPLS permet une meilleure qualité de service des échanges en IP grâce à la définition de liens prédéfinis dans le réseau (LSP, Label Switching Path). La commutation préparée et sécurisée par MPLS permet d’acheminer avec un minimum d’attente les paquets IP dans le réseau, en respectant les priorités demandées au préalable (en fonction des accords de service, ou SLA).
2 - Gestion des liens de niveau 3
Dans un réseau classique, le système de gestion surveille, grâce au protocole SNMP, l’état des routeurs utilisés sur le VPN, ainsi que l’état des circuits et des interfaces. Mais sur un réseau IP, la surveillance, dans le plan de contrôle, des aspects non apparents directement, tels que les défauts logiques de type intermittent, doit s’effectuer à l’aide d’équipements spécifiques chargés de l’analyse des liens. Ces analyseurs ressemblent à des routeurs qui ne seraient pas chargés de l’envoi des paquets, mais dont le rôle est d’écouter et d’échanger des informations relatives au trafic, ce qui permet une visibilité sur le réseau VPN.
Pour identifier les causes des défaillances de routage, il faut contrôler le fonctionnement des protocoles de routage, tels que OSPF (Open Shortest Path First) et IS-IS (Intermediate System-to-Intermediate System). En vérifiant les échanges d’information de niveau 3 entre les routeurs, des industriels aident les gestionnaires de réseau à localiser les mauvaises configurations de VPN ou les défauts intermittents de routage qui provoquent des dégradations des performances de réseau. A titre d’exemple, de mauvaises programmations de redondance d’équipements peuvent être à l’origine de mauvais acheminements de trafic, bien que SNMP identifie comme correcte la présence des deux équipements.
3 - VPN sur satellite
Une offre originale de VPN sur liaison par satellite, au catalogue de l’offre d’Equant, mérite d’être présentée. Les deux services offerts par Equant, le DSA (Dedicated Satellite Access) et l’IPSA (IP Satellite Access), ont des configurations et des caractéristiques différentes. Dans les deux cas, les VPN reposent sur le protocole MPLS du réseau d’Equant, initiés par des routeurs Cisco placés dans les centres d’accès. La différence porte sur l’accès situé entre les sites des utilisateurs et le point de présence de Equant le plus proche.
Le DSA offre des débits dédiés jusqu’à 2 Mbit/s par paliers de 64 kbit/s qui ne sont pas cryptés ou mis en tunnel sur la liaison satellite du fait des délais de transmission imposés à IPSec. Les accusés de réception demanderaient des temps trop longs sur la voie de retour. Equant propose, à défaut, de crypter ces liaisons à condition de limiter les débits.
IPSA permet des débits limités à 64 kbit/s avec des dépassements de débits autorisés pendant un certain temps. Equant utilise à ce propos un système fourni par iDirect Technologies qui optimise les échanges sur satellite effectués en TCP, de sorte que les retards ne ralentissent pas les débits réels. Cette liaison utilise le cryptage en triple DES sans créer pour cela un tunnel en IPSec.
4 - Protection des VPN
L’engouement des entreprises pour les VPN est tempéré par la crainte de piratage effectué à partir des accès distants, lesquels, on le sait, sont difficiles à protéger sous tous les aspects. Des protocoles de négociation, comme IP Security Protocol (ou IPSec), apportent une sécurité au transport de données par encapsulation des données au cours de leur trajet sur Internet. La passerelle de réception déroule les données encapsulées et restitue au destinataire les messages en clair. La partie fragile de ce montage se situe dans le lien accessible à tous qui se trouve entre la passerelle et le destinataire. D’autre part, la surveillance permanente et la maintenance de ce lien serait coûteuse par rapport au faible trafic qu’elle doit écouler. Des prestataires de service utilisent à défaut L2TP (Layer 2 Tunelling Protocol) ou PPTP (Point-to-Point Tunelling Protocol).
La disponibilité du logiciel de protection SSL (Secure Sockets Layer) a heureusement fait remonter les chiffres des ventes de VPN. SSL se substitue, progressivement, pour plusieurs applications au moins, au logiciel de protection IPSec VPN Remote Access. L’intérêt de SSL repose sur la capacité des butineurs classiques de la Toile associés à un serveur assurant l’identification des utilisateurs d’un réseau professionnel. Ces logiciels de recherche (SSL/HTTPS) établissent des sessions SSL entre les utilisateurs autorisés et les ressources qu’ils cherchent à atteindre (appelées "passerelles de couche d’application VPN"). L’avantage de cette procédure est d’éviter le déploiement de logiciels sur chaque côté des machines distantes qui peuvent avoir besoin d’appeler le VPN. Tout ce dont on a besoin, c’est d’un logiciel de recherche (un butineur, ou browser). Pour interroger une base de données ou pour des applications ordinaires, depuis un terminal fixe ou depuis un mobile, la solution SSL, qui agit sur la couche application, suffit à elle-même, quel que soit le système d’exploitation utilisé, et elle est économique.
Nortel a conçu une offre globale de VPN qui permet l’usage des deux protocoles, IPSec VPN et Secure Sockets Layer Remote Access Services. L’emploi de SSL Remote Access sur les réseaux professionnels est possible et n’exige pas d’effort particulier d’ajustement sur des infrastructures propres. SSL est inclus dans les équipements Shasta IP Services de Nortel et fonctionne avec un serveur de la Toile et un logiciel de recherche. Les équipements Shasta peuvent aussi offrir les services IPSec sur les connexions. L’ensemble fonctionne sur liaisons en Ethernet métropolitain, sur relais de trame et sur VPN en MPLS.
Netscreen rappelle que les deux technologies, IPSec et SSL ne doivent pas être considérées comme exclusives. Si le réseau VPN est fermé, IPSec fournit de hautes performances de sécurité. Si le réseau VPN est ouvert à des terminaux mobiles, alors, la solution SSL est nécessaire.
La sécurité des VPN peut être encore renforcée par l’addition d’un logiciel de détection d’intrusion et de blocage d’appels automatique compatible avec la famille d’applications IP. Le logiciel Security System de RealSecure est l’un de ceux-ci. Les PME/PMI n’ayant pas les moyens d’investir dans de multiples logiciels de protection, on estime que la solution d’une plateforme globale de contrôle de sécurité et d’authentification est envisageable.
Le cas des réseaux IP par radio pose la question de la surveillance de l’accès distant. Il faut pour cela utiliser des bornes permettant d’interdire le trafic direct entre les clients d’une même borne et interdire également les dialogues de niveau 2 entre les bornes au niveau du commutateur. Ainsi, les clients raccordés sur une même borne dans ce cas de figure ne pourront communiquer qu’avec le serveur DHCP pour obtenir une adresse IP et qu’avec le boîtier VPN pour construire ensuite le tunnel.
Les outils logiciels interdisant le trafic entre les clients d’une même borne se nomment : "Public Secure Packet Forwarding" (PSPF) de Cisco, "Local Bridge Filter" pour Nortel Networks, et "Station to Station Bridging" pour Extreme Networks. Les outils interdisant le trafic entre accès d’un même commutateur sont par exemple "Protected Port" de Cisco et "Ethernet Type Filter" chez Nortel Networks.
FGW - Fourth Generation Wireless , Du 15 au 17 Juin 2012, à Palma de Mallorca, Espagne, This event is intended to (...) ... [suite] SSS 2012 - 14th International Symposium on Stabilization, Safety, and Security of Distributed Systems, Du 1er au 4 Octobre 2012, à Toronto, Canada, The SSS 2012 Symposium is (...) ... [suite]