Chapitre 6. Réseaux privés virtuels (VPN)

Les sociétés disposant de plusieurs bureaux satellites se connectent souvent grâce à des lignes spécialisées pour l'efficacité et la protection de données importantes en transit. Par exemple, de nombreuses entreprises utilisent des lignes de relais de trame ou Transmission Temporelle Asynchrone (TTA) en tant que solution de réseau bout à bout pour relier un bureau avec les autres. Cela peut être une proposition chère, en particulier pour les petites et moyennes entreprises (PME) qui souhaitent développer sans avoir à payer les prix forts associés aux circuits numériques spécialisés de niveau d'entreprise.

Pour répondre à ce besoin, les réseaux privés virtuels (VPN, de l'anglais Virtual Private Networks) ont été développés. Suivant les mêmes principes fonctionnels que les circuits spécialisés, les VPN permettent les communications numériques sécurisées entre les deux partis (ou réseaux), créant ainsi un réseau de grande taille (WAN) depuis les LAN (de l'anglais Local Area Network) existants. La différence entre le relais de trame ou la TTA réside dans son moyen de transport. Les VPN transmettent sur des couches d'IP à l'aide de datagrammes comme couche de transport, devenant alors un conduit sécurisé à travers l'internet vers une destination voulue. La plupart des implémentations VPN de logiciel libre incorporent un cryptage Open Source standard pour masquer davantage les données en transit.

Certaines sociétés emploient des solutions VPN matérielles pour augmenter la sécurité, pendant que d'autres utilisent des implémentations logicielles ou basées sur des protocoles. Il existe plusieurs distributeurs avec des solutions VPN matérielles comme Cisco, Nortel, IBM et Checkpoint. Il existe une solution VPN basée sur les logiciels libres pour Linux appelée FreeS/Wan qui utilise une implémentation normalisée de IPSec (de l'anglais, Internet Protocol Security). Ces solutions VPN, qu'elles soient matérielles ou logicielles, agissent en tant que routeurs spécialisés qui se placent entre la connexion IP d'un bureau à l'autre.

Lorsqu'un paquet est transmis depuis un client, il l'envoie à travers le routeur ou la passerelle qui ensuite ajoute des informations d'en-tête pour le routage et l'authentification, appelées en-têtes d'authentification (AH, Authentication Header). Ces données sont cryptées et contiennent des instructions de traitement et de décryptage appelées ESP (Encapsulation Security Payload). Le routeur VPN récepteur isole les informations d'en-tête, décrypte les données et les transmet à leur destination originale (un poste de travail ou un noeud sur un réseau). À l'aide d'une connexion réseau à réseau, le noeud de réception sur le réseau local reçoit les paquets décryptés et prêts à être traités. Le processus de cryptage et de décryptage sur une connexion VPN réseau à réseau est transparent au noeud local.

Avec un tel niveau de sécurité intensifié, un pirate doit non seulement intercepter un paquet, mais également décrypter le paquet. Les intrus qui emploient une attaque man-in-the-middle entre un serveur et un client doivent également avoir accès au minimum à l'une des clés privées pour les sessions d'authentification. Vu qu'ils emploient plusieurs couches d'authentification et de cryptage, les VPN sont un moyen efficace et sécurisé pour connecter de multiples noeuds distants afin d'agir comme un intranet unifié.