Pourquoi mettre en oeuvre un VPN ? Technologie indispensable pour relier des sites distants.

Le réseau d’entreprise

Le réseau est au coeur de la productivité d’une entreprise, et évolue en même temps qu’elle, au fil de sa croissance, d’acquisitions, de partenariats, de ses besoins de mobilité. Le réseau qui relie l’ensemble la propriété de l’entreprise, tandis que les interconnexions entre ces sites empruntent le plus souvent des infrastructures publiques ou du moins non sécurisées.

On appelle Réseau Privé Virtuel, en anglais Virtual Private Network ou donc « VPN », l’ensemble des techniques permettant d’étendre le Réseau de l’entreprise en préservant la confidentialité des données (Privé) et en traversant les barrières physiques des réseaux traditionnels (Virtuel). Certaines entreprises n’ont pas les moyens, ni parfois même l’intérêt, d’avoir des liens d’interconnexion dédiés. La mise en place d’une interconnexion par VPN leur permet alors de connecter leurs propres réseaux au travers d’un réseau public, en particulier Internet, à des coûts beaucoup plus faibles tout en conservant les garanties de sécurité nécessaires.

Les solutions VPN apportent généralement les bénéfices suivants :

  • Authentification par clé publique (bien plus sécurisée qu’un mot de passe)
  • Confidentialité des échanges (chiffrement)
  • Confidentialité a posteriori en cas de compromission des secrets cryptographiques
  • Transport de paquets à destination d’un réseau privé via un réseau public (encapsulation)

Le principal inconvénient à l’utilisation d’un VPN porte sur les performances, puisque le réseau Internet que l'on emprunte ne possède pas les garanties de qualité de service d’un réseau dédié. Nous verrons plus loin que l’encapsulation et le chiffrement ont également un coût en matière de performances.

Principes

On distingue généralement deux types de besoins pour les connexions au réseau d’entreprise :

  • Les connexions d’un employé au réseau
  • L’interconnexion entre deux branches de l’entreprise

En effet, si l’objectif est similaire, et si les moyens techniques mis en jeu sont souvent les mêmes, les différences conceptuelles entre ces deux types d’accès font qu'on utilisera le plus souvent des solutions différentes pour gérer ces deux cas.

La connexion d’un employé au réseau relève d’une approche de type client-serveur. Le serveur est un concentrateur VPN central sur lequel chaque employé se connecte, obtenant ainsi, après authentification, l’accès aux ressources de l’entreprise. Bien souvent, les clients de ce VPN ne peuvent communiquer entre eux, hormis via une ressource du réseau (serveur de messagerie, etc.). La connexion du réseau d’une filiale au siège de l’entreprise peut parfois s’effectuer suivant le même principe. Par exemple, de grandes entreprises très centralisées, peuvent reposer sur un modèle en étoile.

En revanche ce modèle est très peu performant dès lors que les réseaux périphériques essaient de communiquer entre eux, puisque tout le trafic passe alors par un goulot d’étranglement central.

Interconnexion

Dans d’autres entreprises, ce modèle n’est pas pertinent. Par exemple, une entreprise structurée en agences indépendantes de taille identique échangeant fréquemment des données ne peut pas fonctionner sur un modèle en étoile. Dans ce cas, il n’est pas possible non plus de définir un serveur autrement que de façon arbitraire.

Dès que l'on dépasse 3 entités, l’égalité entre les noeuds n’est pas retranscrite dans la topologie réseau : certains d’entre eux doivent être arbitrairement désignés comme des serveurs.

Heureusement, certains protocoles de VPN ne fonctionnent pas selon le modèle client-serveur, mais suivant un principe décentralisé. Dans ce cas la configuration se fait de façon identique sur chaque équipement.

image inteconnexions de sites via des VPNs

Tunnel

Dans chacun des cas cités, le VPN permettra d’établir un « tunnel », soit entre un poste et un réseau, soit entre deux réseaux.

Un tunnel est une connexion réseau virtuelle, dont le trafic est en réalité dirigé vers une autre interface réseau après avoir subi un traitement, généralement une encapsulation et le chiffrement des informations contenues dans la trame.

L’encapsulation permet, comme mentionné plus haut, de masquer la véritable destination d’une trame réseau dans le cas où celle-ci serait à destination d’une IP privée. En effet, la plupart des réseaux d’entreprise utilisent des adresses privées, car l’obtention d'adresses publiques pour un usage interne pose de lourds problèmes administratifs et est devenue impossible en raison de la pénurie d'adresse Ipv4. Elle est de ce fait réservée aux pionniers d’Internet (militaires, universités, entreprises de télécom...).

Il est bien sûr possible d’enchaîner les tunnels, si l’interface de base est une interface virtuelle, le même processus se répète sur cette interface, encapsulant une nouvelle fois le trafic, et ce jusqu'à retomber sur une interface physique de la machine, qui enverra réellement la trame sur le fil.

Dimensionnement

L’encapsulation, en particulier lorsqu’elle est complétée par le chiffrement des échanges, présente un coût non négligeable. C’est pourquoi les équipements VPN sont souvent dédiés, ou cohabitent avec des firewalls réseau qui consomment peu de ressources. Le coût de l’encapsulation est rarement limitant pour peu que l’on utilise des serveurs récents. Un serveur bas de gamme encaissera sans problèmes 10 Mbps de trafic chiffré, un serveur un peu plus performant et équipé de cartes réseau haut de gamme pourra assurer des connexions entre réseaux plus rapides (au dessus de 100 Mbps). Ces limites apparaissent en revanche beaucoup plus vite sur des équipements dédiés possédant des processeurs de faible puissance.

Il est également utile de noter que certains serveurs ou équipements spécialisés peuvent être équipés de puces d'accélération cryptographique, qui assurent le support d’un ou plusieurs mécanismes de chiffrement. Pour peu que l’on configure un mécanisme supporté au niveau du logiciel qui assure le chiffrement, et que le système d'exploitation supporte cette fonctionnalité, le processeur sera considérablement déchargé.

Nos coordonnées :
Nous contacter (+33) 02 90 38 04 42
Numéro non surtaxé

Vous pouvez nous joindre à ce numéro à nos heures de bureau. N'hésitez pas à utiliser l'interface de tchat en bas à droite, nous répondrons à vos interrogations.

Par Email contact@uxware.bzh

Vous pouvez nous joindre par email. N'hésitez pas à détailler au maximum votre demande, c'est indispensable pour établir un devis précis. Nous vous reconctactons trés rapidement.

Notre Support Support Technique

Vous pouvez contactez le support technique par le biais du numéros figurant sur votre interface. Vous pouvez également ouvrir un ticket pour toute demande technique.