ktsdesign - Fotolia

VPN IP : Trois technologies en lice et des applications différentes

Les VPN IP permettent aux entreprises de créer des réseaux privés sécurisés à moindre coût. Elles sont aussi le moyen le plus fiable pour relier des utilisateurs itinérants, des télétravailleurs ou des partenaires à l’Intranet de l’entreprise. LeMagIT fait le point sur les technologies en lice.

Apparus dans le courant des années 2000, les VPN IP ont été développés comme une alternative économique aux vrais réseaux privés — tels que ceux élaborés à partir de liaisons louées -, mais aussi comme un moyen de connecter de façon sécurisée des utilisateurs itinérants au réseau d’entreprises. Selon les cas, ils s’appuient sur des réseaux d’opérateurs ou des réseaux publics, comme Internet, et mettent en œuvre des technologies de compartimentation et de sécurisation qui en font de quasi-réseaux privés.

Dans le monde IP, trois technologies principales cohabitent, les VPN IP MPLS, les VPN L2TP/IPSec et les VPN SSL. Nous avons délibérément écarté les VPN PPTP de cet article du fait des vulnérabilités du protocole.

VPN IP MPLS : la technologie la plus déployée pour les interconnexions de sites

La plus couramment mise en œuvre pour l’interconnexion de sites est une technologie normalisée par l’IETF (RFC 4364), baptisée MPLS (Multiprotocol Label Switching. Proposées par la plupart des opérateurs mondiaux, les technologies de VPN IP MPLS permettent aux entreprises d’interconnecter de façon performante leurs sites tout en mettant en œuvre des mécanismes de qualité de service sophistiqués.

Les VPN IP MPLS ne peuvent toutefois être utilisés pour relier des utilisateurs nomades et la technologie est plus coûteuse que les autres technologies de réseau privé virtuel IP. Elle est souvent privilégiée par les entreprises pour sa simplicité de mise en œuvre et pour ses caractéristiques en matière de gestion de la qualité de service (dans la pratique le déploiement et l’exploitation du réseau repose sur les épaules des opérateurs délivrant le service et la complexité du fonctionnement interne du réseau MPLS est totalement masqué à l’utilisateur).

VPN L2TP IPSec : relier des sites ou des utilisateurs à votre réseau via Internet en toute sécurité

Une autre technologie utilisée pour constituer des réseaux privés IP est L2TP/IPSec. L2TP est un protocole de l’IETF (RFC 2661) permettant de créer des « tunnels » au-dessus de liaisons Internet publiques. Les informations circulant dans ces tunnels sont en outre chiffrées par le protocole IPSec (un autre protocole de l’IETF).

VPN SSL vs VPN L2TP/IPSec

Grâce à IPSec, seuls les deux équipements situés à chaque bout du tunnel peuvent décrypter les données. De cette façon, on est assuré que le contenu des échanges entre deux points est sécurisé, tout en réalisant de sensibles économies par rapport à un réseau de liaisons louées traditionnel. Les VPN L2TP/IPSec (RFC 3193) peuvent être mis en œuvre pour relier des sites entre eux. Ils offrent alors une alternative économique aux VPN IP MPLS (à ceci près que l’entreprise gère en général les équipements de terminaison, alors que pour MPLS c’est l’opérateur qui prend en charge cette tâche). Mais on peut aussi les utiliser pour relier au réseau de l’entreprise des utilisateurs nomades, des télétravailleurs ou de petites agences.

Les systèmes d’exploitation utilisés le plus couramment sur les postes de travail et terminaux nomades (Windows, Mac OS X, IOS et Android) disposent tous de clients L2TP/IPSec permettant d’initier une connexion vers un équipement de terminaison de tunnels installé au sein de l’entreprise. Ceci permet de supprimer l’un des grands problèmes qu’ont connu les VPN L2TP à leur début à savoir la nécessité de déployer en masse des logiciels clients spécifiques sur les postes de travail. Cela n’empêche pas les fournisseurs de mettre en avant leurs propres clients, souvent intégrés avec des solutions d’endpoint protection. Il est à noter que les points de terminaison de tunnels dans les entreprises peuvent être de multiple nature. Il s'agit souvent de routeurs multifonctions, mais il est aussi possible de la confier à des appliances dédiées ou à des équipements spécialisés, surtout lorsqu’il est nécessaire de terminer un très grand nombre de tunnels simultanément.

VPN SSL : Les VPN IP à l’heure du web

La technologie la plus récente pour mettre en œuvre des VPN IP est la technologie dite des VPN SSL. Comme avec les VPN L2TP, l’objectif est de créer un tunnel sécurisé entre deux équipements, l’un au sein du réseau de l’entreprise, l’autre à l’extérieur (en général un poste de travail ou un téléphone mobile). À l’origine, la technologie VPN SSL a été développée pour rendre l’utilisation des VPN plus simple pour les utilisateurs. La connexion s’effectue en général via un navigateur et le tunnel créé est sécurisé en s’appuyant sur le protocole SSL (ou plus récemment sur TLS).

Le tunnel créé entre le poste de travail et la passerelle au sein de l’entreprise permet de protéger l’accès à certaines applications spécifiques. Le problème est que pour les applications hors navigateur, (messagerie, application métier,…), il faut en général installer un plug-in (java par exemple chez F5 Network ou Active X chez d’autres).Avec les problèmes de sécurité de ces technologies, certains fournisseurs de technologies VPN SSL ont fini par proposer des clients VPN SSL (c’est par exemple le cas de Cisco, Fortinet, Sophos, ou d’OpenVPN).

VPN L2TP/IPSec ou VPN SSL ?

Du point de vue d’un utilisateur final utilisateur, plus grand-chose ne distingue les VPN IP L2TP et VPN SSL. Il existe toutefois de vraies différences entre les deux technologies, notamment en matière d’authentification. Et les usages des deux technologies restent souvent différents.

Côté authentification, les VPN L2TP/IPSec s’appuient sur le protocole IKE (Internet Key Exchange), et sur des certificats numériques ou des secrets pré-partagés. Les VPN SSL, quant à eux, utilisent systématiquement des certificats pour l’authentification du client et ce, quel que soit le mode d’authentification de l’utilisateur (certificats ou login/mot de passe).

Globalement, on peut considérer que les VPN SSL sont une meilleure solution dans les scénarios ou la confiance est limitée ou dans les cas où il est impossible d’installer des certificats pour l’authentification (kiosques, PC partagés, PC personnels…). Si vous avez besoin de contrôler l’accès par utilisateur et par application, SSL semble la meilleure voie, tandis que s’il faut donner un accès homogène à des serveurs ou à un sous-réseau à un large groupe d’utilisateurs, un VPN L2TP/IPSec est mieux adapté.

En fait, dans bien des cas, les deux technologies sont complémentaires : Nombre d’entreprises utilisent des VPN L2TP/IPSec pour interconnecter des sites distants au siège et ont recours aux VPN SSL pour la connexion de leurs utilisateurs nomades.

Pour approfondir sur Développement mobile