Table des matières:
Vidéo: Qu'est-ce qu'un VPN ? Comment utiliser un VPN et pourquoi vous en avez besoin ? | Le VPN 2024
Des réseaux privés virtuels (VPN) ont été créés pour résoudre deux problèmes différents: le coût élevé des lignes spécialisées nécessaires aux communications des succursales et la nécessité de permettre aux employés de se connecter de façon sécurisée aux réseaux du siège social lorsqu'ils étaient en déplacement à l'extérieur de la ville ou à la maison.
Fonctionnement d'un VPN
Un VPN utilise un protocole spécial pour établir un canal virtuel entre deux machines ou deux réseaux. Imaginez que vous puissiez souffler une bulle de savon sous la forme d'un tube et que vous seul et votre ami pourriez en parler. La bulle est temporaire et quand vous voulez avoir une autre conversation, vous devez créer une autre bulle. C'est un peu comme un canal VPN. Cette chaîne est en fait une session directe temporaire. C'est ce qu'on appelle communément le tunneling .
Le VPN échange ensuite un ensemble de secrets partagés pour créer une clé de chiffrement. Le trafic circulant le long du canal établi est enveloppé avec un paquet chiffré qui a une adresse à l'extérieur du paquet, mais le contenu est caché à la vue. C'est un peu comme un emballage de bonbons. Vous pouvez voir le bonbon, mais vous ne savez pas vraiment à quoi ressemble le bonbon à l'intérieur. La même chose arrive avec le trafic crypté. Le contenu original est caché de la vue, mais il a assez d'informations pour l'obtenir à sa destination. Une fois que les données ont atteint leur destination, l'encapsuleur est supprimé en toute sécurité.
Configuration d'un VPN
Vous pouvez configurer un VPN de deux manières: La première est normalement utilisée entre les réseaux et les pare-feu ou le cryptage des routeurs pour le cryptage et le décryptage du trafic. Dans cette configuration, il n'y a pas besoin de logiciel spécial sur le bureau ou les ordinateurs clients. La deuxième méthode consiste à avoir un pare-feu, un routeur de chiffrement ou un serveur VPN à l'extrémité de destination et un logiciel client VPN spécial sur les ordinateurs de bureau ou portables. Tout dépend si le VPN est une opération bidirectionnelle ou une opération unidirectionnelle.
Déterminer la relation
Dans une relation bidirectionnelle, vous avez deux réseaux qui veulent travailler ensemble et chacun a essentiellement la même configuration VPN que l'autre. La demande d'établissement d'une connexion VPN peut provenir de l'une ou l'autre direction. Aucun logiciel spécial n'est nécessaire sur les ordinateurs de bureau car tout le chiffrement et le déchiffrement sont effectués aux points d'entrée et de sortie du réseau. Les deux réseaux disposent également de systèmes de gestion de clés qui leur permettent de créer des clés secrètes pour une session VPN.Il est important que les deux réseaux aient des composants VPN compatibles ou qu'ils ne puissent pas communiquer entre eux.
Dans une relation unidirectionnelle, le réseau de destination dispose de la configuration VPN et il n'y a pas d'accord avec un autre réseau à partager. Dans ce cas, l'ordinateur qui veut établir la connexion avec le réseau doit avoir un logiciel client VPN et la requête ne peut être faite que dans un sens - du client au réseau. Le logiciel client peut demander et s'authentifier, mais les mécanismes de création de clés secrètes sont uniquement sur le réseau. L'ordinateur client aura une clé secrète stockée sur lui-même, mais il ne peut pas créer de nouvelles clés.
Généralement, le système unidirectionnel est utilisé pour les utilisateurs distants qui se connectent depuis leur domicile ou lorsqu'ils voyagent sur la route. Ils se connectent via leur FAI et les mécanismes d'établissement et de maintien des connexions VPN sont tous contenus sur le réseau de destination. Si quelqu'un avec un ordinateur portable sans le logiciel client VPN essayait de se connecter au réseau de l'entreprise, il n'irait pas trop loin parce qu'il n'aurait pas le logiciel client ou une clé secrète. De plus, l'utilisateur non autorisé ne figurerait pas dans la base de données VPN des utilisateurs autorisés. Cependant, une fois que quelqu'un se connecte et est authentifié, son accès est le même que s'il était assis dans le même bâtiment que le réseau de destination.
À l'intérieur ou à l'extérieur?
Vous pouvez configurer le point d'extrémité VPN à divers emplacements. Le point de terminaison est l'endroit où le trafic VPN entre dans votre réseau. Dans certains cas, le point de terminaison est également le pare-feu, car de nombreux pare-feu sont dotés de capacités VPN de nos jours. Le point de terminaison peut également se trouver devant le pare-feu, dans une zone démilitarisée d'un côté du pare-feu ou à l'intérieur du pare-feu. Chacune de ces configurations a ses avantages et ses inconvénients.
Si vous choisissez de placer votre VPN devant le pare-feu, le mécanisme effectue tout le chiffrement et le décryptage seul. Cela signifie qu'il n'est pas nécessaire d'autoriser un tunnel VPN ouvert à travers votre pare-feu. Tout le trafic à travers le pare-feu aura été pré-filtré et formaté afin que le pare-feu puisse le lire. Cependant, si le VPN tombe en panne ou tombe en panne, vous serez confronté à une situation où tout le trafic sortira non chiffré, ou aucun trafic ne sortira. Cela dépend si votre VPN échouera en position ouverte ou fermée.
Un VPN sur le pare-feu semble être une bonne solution car, encore une fois, vous n'avez pas besoin de laisser un tunnel ouvert à travers le pare-feu. Le pare-feu va gérer tout le cryptage, le décryptage, et son travail régulier de l'examen du trafic. Ce type de solution impose cependant un fardeau énorme au pauvre petit pare-feu. Le cryptage et le décryptage exigent beaucoup de main-d'œuvre pour un ordinateur, tout comme l'examen du trafic, ce qui peut entraîner un goulot d'étranglement pour le trafic.
Une autre méthode consiste à placer le VPN à l'intérieur du pare-feu. Cela soulage le pare-feu et / ou le routeur de devoir gérer le cryptage et le décryptage du trafic, mais vous devez autoriser un tunnel VPN à traverser le pare-feu.Un pare-feu ne peut pas lire le trafic crypté et il permettra à ce trafic de passer à travers sans être contesté. Bien sûr, le trafic sera toujours arrêté par le mécanisme VPN, mais à ce moment-là, il est déjà dans le réseau interne.
Sécurisation du client
La manière la plus simple de rompre la sécurité d'un VPN est probablement de mettre la main sur un ordinateur portable utilisé pour établir une connexion VPN. L'ordinateur portable volé aura le logiciel client VPN, l'ID utilisateur et la clé secrète tous stockés sur une machine. Un propriétaire d'ordinateur portable intelligent n'aura pas enregistré le mot de passe pour le tunnel VPN sur son ordinateur. S'il l'a fait, le voleur vient d'obtenir lui-même un billet gratuit pour se promener dans votre réseau!
Les utilisateurs qui utilisent des ordinateurs portables pour établir des connexions VPN avec votre réseau doivent recevoir des leçons de sécurité. Ils doivent disposer d'un logiciel anti-virus à jour et s'assurer qu'il s'exécute chaque fois qu'ils démarrent leur ordinateur. De plus, l'ordinateur portable doit avoir un logiciel de pare-feu personnel configuré. Certains clients VPN incluent déjà des pare-feu personnels, vous devrez donc vérifier avec votre fournisseur si le vôtre le fait ou non. Le pare-feu personnel peut garantir que seul le client VPN établit la connexion et qu'il ne s'agit pas d'un programme de cheval de Troie déguisé en client VPN. Une autre bonne précaution est d'activer le mot de passe du BIOS. De cette façon, si l'ordinateur est volé, il ne peut même pas être démarré sans le mot de passe.
