Séduisants, les réseaux privés virtuels (ou VPN pour Virtual Private Networks) offrent aux entreprises la possibilité de transporter des informations sensibles en toute confidentialité sur un réseau public, internet étant le plus utilisé. Terminés les cloisonnements et les protections mises en place à l’aide de lignes louées dédiées et coûteuses pour acheminer ces données. Les économies sont désormais au rendez-vous. Pour arriver à un tel résultat, les VPN s’appuient sur un principe fort simple. Ils creusent des tunnels privés entre deux points connus à l’avance (deux sites d’une entreprise, un collaborateur itinérant et son bureau, etc.) à l’aide de protocoles de chiffrement.
Solutions matérielles où logicielles ?
Les éditeurs et les constructeurs se sont rués vers cet eldorado. Une étude du cabinet Frost et Sullivan estime ainsi que le CA des solutions VPN basées sur IP devrait passer de 658 M$ en 1999 à 14,5 Md$ en 2006 sur le seul marché EMEA (Europe, Moyen-Orient et Afrique). Résultat, les solutions fleurissent. Le laboratoire d’ Internet professionnel a donc décidé de passer au crible six solutions de réseaux privés virtuels représentatives de l’offre du marché. L’échantillon est volontairement hétérogène : 3 solutions logicielles avec Check Point Software (Check Point 2000 Enterprise Suite), Computer Associates (eTrust VPN) et Microsoft (offre intégrée dans le système d’exploitation Windows 2000) ; 3 solutions matérielles avec Cisco Systems (Cisco 1700/1720), Intel (serveur LanRover VPN, composé du LanRover VPN Gateway et du LanRover VPN Express VPN) et RedCreek (Ravlin 3200/5100). Plus performantes, les solutions matérielles sont dotées de cartes spécialisées qui accélèrent le chiffrement des données. Mais plus l’équipement est polyvalent et sollicité (lorsqu’il assure les fonctions de routage et de VPN par exemple), plus ses ressources s’épuisent et ses performances se détériorent. Mais les éditeurs ne se laissent pas impressionner. Proposé par Computer Associates, eTrust fonctionne très bien avec des cartes accélératrices pour le chiffrement, que l’on insère dans le serveur. Les réseaux privés virtuels reposent sur le chiffrement des données. Leur essor a engendré le développement de mécanismes souvent propriétaires comme le PPTP ( Point to Point Tunneling Protocol) de Microsoft, le L2F ( Layer Two Forwarding) de Cisco ou le L2TP ( Layer Two Tunneling Protocol) de l’IETF (Internet Engineering Task Force). Ces procédures agissent au niveau 2 du modèle Osi et sont couplées à des systèmes d’authentification des utilisateurs. Les solutions testées sont compatibles avec Radius (développé par Livingston et adopté par l’IETF) ou Tacacs+ (promu par Cisco). Par souci d’harmonisation, l’IETF a développé un mécanisme agissant au niveau de la couche réseau (niveau 3 du modèle Osi) pour l’établissement des tunnels privés. Baptisé IPSec, ce protocole a séduit les acteurs de ce marché. D’ailleurs, tous les produits de ce comparatif prennent en compte IPSec, excepté eTrust de Computer Associates (fonction prévue dans la version 2.5, disponible fin 2000). L’assouplissement de la réglementation française sur le sujet a aussi incité les éditeurs et les constructeurs à proposer le triple DES à base de clé 168 bits. Cet algorithme de chiffrement fort est complété par le DES 40 et 56 bits.
Filtrage du trafic entrant et administration centralisée
Reste que pour être efficaces et sûres, les solutions de réseaux privés virtuels doivent gérer les clés de chiffrement. Les acteurs du marché ont opté pour l’échange automatique ISAKMP ( Internet Security Association and Key Management Protocol) ou pour les certificats X.509. Ces derniers sont délivrés par des entreprises tierces dignes de confiance qui attestent de l’identité des protagonistes. Si ces mécanismes sont très efficaces pour établir un tunnel et protéger les données, ils restent insuffisants pour les collaborateurs nomades. Pour forer un tunnel, les itinérants se connecter d’abord à un FAI. L’établissement du VPN n’intervient que dans un second temps, un délai pendant lequel l’ordinateur est vulnérable. Pour éviter toute incursion et acte de malveillance, Check Point, Computer Associates et Intel ont doté leur solution de mécanismes de filtrage sur le trafic entrant. Mais une fois la sécurité des postes distants assurée, reste à les administrer. La gestion des mises à jour et des modifications de configuration doit être la plus transparente possible pour les administrateurs. Computer Associates et Intel proposent des mécanismes s’appuyant soit sur un serveur web, soit sur la messagerie électronique.
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.
