RPV : relier en mode privé les sites distants

Les entreprises souhaitent aujourd'hui avoir un réseau de communication le plus étendu possible en reliant les agences et autres filiales au réseau central, mais aussi les partenaires de l'entreprise et les travailleurs itinérants. Dans les deux premiers cas, le réseau local peut être étendu, mais l'opération est très complexe et coûteuse si l'on s'en tient à l'utilisation de lignes de communication louées ou privées. Leur dimensionnement est souvent sans commune mesure avec les besoins et les moyens de l'entreprise et cette solution n'a pas la souplesse requise pour un réseau amené à évoluer sans cesse. Pour les travailleurs nomades, la solution la plus simple consiste à les connecter au réseau local grâce à un serveur d'accès distant et au réseau téléphonique. Mais le coût des appels longue distance est rapidement rédhibitoire. L'idée de base du RPV est donc de faire transiter les données sur un réseau public (téléphonique, relais de trame et surtout Internet), qui implique des coûts de communications inférieurs. Trois problèmes se posent alors. Le premier est le transport des flux quels qu'ils soient (AppleTalk, IP, IPX...) à travers un réseau utilisant parfois un autre protocole de transport (un problème simplifié par la généralisation d'IP dans les entreprises et l'emploi d'Internet comme réseau support). Le deuxième est d'assurer la sécurité des données sur un réseau public qui n'est pas conçu pour. Reste le problème de la qualité de service ?" contrôlable sur un réseau privé ?" qui ne peut être assurée sur un réseau public. D'où l'utilisation par certains opérateurs de protocoles de type MPLS pour améliorer leurs services de RPV.

Le réseau privé virtuel (RPV) permet donc d'étendre le réseau de l'entreprise de manière sécurisée et à moindre coût. Les agences peuvent être facilement reliées au site central en utilisant une liaison câble ou ADSL. Les travailleurs itinérants peuvent, pour leur part, se connecter par modem à Internet. La mise en place d'un réseau privé virtuel nécessite l'installation d'une passerelle hébergée sur le point d'entrée du site central (sur un serveur, un routeur, un coupe-feu...). Elle assure la gestion des sessions de communication et leur chiffrement en répondant aux requêtes des clients du RPV : passerelles du même type ou logiciels clients hébergés par les portables des travailleurs itinérants. Afin d'assurer l'accès sécurisé au réseau, il faut ajouter à cette structure un serveur d'authentification (de type Radius, par exemple) voire un système de gestion de certificats.

Le composant clé du RPV est le tunnel. Il consiste à créer un chemin logique entre les deux points à relier au sein du réseau public. Les paquets de données du protocole réseau utilisé par les deux extrémités sont insérés dans des paquets du protocole utilisé sur le réseau public. Les quatre principaux protocoles de RPV sont PPTP, L2F, L2TP, et IPSec qui est une véritable enveloppe protocolaire. Les trois premiers (agissant au niveau de la couche OSI numéro 2) sont conçus pour accéder au réseau de l'entreprise à distance mais s'en remettent à PPP (sur lequel ils s'appuient, à l'exception de L2F) ou à IPSec pour assurer les fonctions de sécurité. L2TP est un protocole issu de l'Internet Engineering Task Force (IETF), qui est une sorte de synthèse des protocoles PPTP (utilisé en particulier par Microsoft) et L2F (utilisé par Cisco) quasiment tombé en désuétude. IPSec agit, lui, au niveau 3 de la couche OSI. Bien que limité aux réseaux IP (aussi bien pour le protocole de transport que pour le protocole transporté), il rencontre un grand succès pour l'interconnexion des réseaux locaux. Issu, lui aussi, de l'IETF, IPSec définit de manière très précise les techniques de sécurité destinées à garantir la confidentialité, l'intégrité et l'authenticité des paquets IP (voir infographie).

Les constructeurs d'équipements réseau (Cisco, Intel, 3Com, Nortel Networks, Lucent, BinTec, Eicon, WatchGuard, etc.) installent des fonctions de RPV au sein de leurs matériels : de la simple passerelle RPV au routeur doté de fonctions RPV, en passant par le coupe-feu ou la carte réseau intégrant des fonctions de chiffrement IPSec (Intel, 3Com). Pour les routeurs, il faut distinguer les modèles capables de créer des RPV (ils abritent une passerelle RPV) de ceux dits pass through qui offrent seulement la compatibilité avec les RPV (ils ne bloquent pas les paquets modifiés). Les éditeurs de logiciels se proposent d'installer les RPV directement sur les serveurs. Microsoft accepte les protocoles IPSec et L2TP en natif dans Windows 2000 et XP. Le protocole PPTP est aussi présent au niveau serveur à partir de Windows NT 4.0 et au niveau client à partir de Windows 95/98. D'autres éditeurs, tels Check Point, Nokia, Network Associates ou F-Secure, proposent des logiciels clients ou serveurs RPV. Certains opérateurs télécoms ou fournisseurs d'accès Internet (Colt, Cable & Wireless, KPNQwest, WorldCom) proposent des services de RPV. Les tunnels sont alors créés au niveau du point d'accès Internet, ce qui rend le mécanisme transparent pour les entreprises, tant du point de vue de l'achat de logiciels ou de matériels que de leur paramétrage et de leur maintenance.

Outre les RPV, il existe de nombreuses technologies qui assurent la sécurité des échanges de données informatiques. Elles agissent en général à d'autres niveaux des couches OSI. Les protocoles SSH (Secure Shell), Socks et SSL/TLS (Secure Socket Layer/Transport Layer Security) sécurisent les échanges entre un navigateur et un serveur HTTP. Les logiciels de chiffrement de données (fichiers, e-mails) comme PGP (Pretty Good Privacy) ou Security Box de MSI assurent, eux aussi, mais ponctuellement, la sécurité des données.