Un réseau privé virtuel (VPN) est une connexion point à point sur un réseau privé ou public, par exemple Internet. Un client VPN utilise des protocoles TCP/IP spéciaux qualifiés de protocoles de tunnel qui établissent un canal sécurisé entre deux ordinateurs par lequel ils peuvent envoyer des données. Pour les deux ordinateurs participants, il existe une liaison point à point dédiée entre eux, alors qu’en réalité les données sont routées par Internet comme tout autre paquet. Dans un déploiement VPN classique, un client initie une connexion point à point à un serveur d’accès à distance par le biais d’Internet. Le serveur d’accès à distance répond à l’appel, authentifie l’appelant et transfère les données entre le client VPN et le réseau privé de l’organisation.
Pour émuler une liaison point à point, les données sont encapsulées avec un en-tête. L’en-tête fournit des informations de routage qui permettent aux données de traverser le réseau partagé ou public afin d’atteindre leur point de terminaison. Pour émuler une liaison privée, les données envoyées sont chiffrées par souci de confidentialité. Pour plus d’informations sur les protocoles de tunnel pris en charge dans cette version de Windows, voir
Pour les conditions d’installation, voir Conditions d’installation de RRAS en tant que serveur VPN.
Connexion VPN
Il existe deux types de connexions VPN :
VPN d’accès à distance
Une connexion d’accès à distance VPN permet à un utilisateur travaillant à domicile ou en déplacement d’accéder à un serveur sur un réseau privé à l’aide de l’infrastructure fournie par un réseau public, tel qu’Internet. Du point de vue de l’utilisateur, le VPN est une connexion point à point entre l’ordinateur client et le serveur d’une organisation. L’infrastructure du réseau partagé ou public n’a aucune importance car elle apparaît logiquement comme si les données étaient envoyées sur une liaison dédiée privée.
VPN de site à site
Une connexion VPN de site à site (souvent qualifiée de connexion VPN de routeur à routeur) permet à une organisation d’avoir des connexions routées entre différentes succursales ou avec d’autres organisations sur un réseau public tout en aidant à maintenir la sécurité des communications. Lorsque des réseaux sont connectés par le biais d’Internet, comme illustré sur la figure suivante, un routeur VPN transfère des paquets à un autre routeur VPN par le biais d’une connexion VPN. Pour les routeurs, la connexion VPN apparaît logiquement comme une liaison de couche dédiée de liaison de données.
Une connexion VPN de site à site connecte deux réseaux privés. Le serveur VPN fournit une connexion routée au réseau auquel il est connecté. Le routeur appelant s’authentifie auprès du routeur répondant et, pour l’authentification mutuelle, le routeur répondant s’authentifie auprès du routeur appelant. Dans une connexion VPN de site à site, les paquets envoyés de l’un ou l’autre routeur par le biais d’une connexion VPN ne proviennent généralement pas des routeurs.
VPN reliant deux sites distants par le biais d’Internet
Propriétés des connexions VPN
- Encapsulation. Les données privées sont encapsulées avec un en-tête qui contient des informations de routage permettant aux données de traverser le réseau de transit. Pour des exemples d’encapsulation, voir
Protocole de tunnel VPN (éventuellement en anglais) (https://go.microsoft.com/fwlink/?linkid=140602). - Authentification. L’authentification des connexions VPN prend trois formes différentes :
- Authentification de niveau utilisateur au moyen de l’authentification PPP (Point-to-Point Protocol). Pour établir la connexion VPN, le serveur VPN authentifie le client VPN qui tente d’établir la connexion à l’aide d’une méthode d’authentification de niveau utilisateur PPP et vérifie que le client VPN dispose de l’autorisation appropriée. Si l’authentification mutuelle est utilisée, le client VPN authentifie également le serveur VPN, ce qui procure une protection contre les ordinateurs se faisant passer pour des serveurs VPN.
- Authentification de niveau ordinateur à l’aide du protocole IKE (Internet Key Exchange). Pour établir une association de sécurité (SA) IPsec (Internet Protocol security), le client VPN et le serveur VPN utilisent le protocole IKE pour échanger des certificats d’ordinateurs ou une clé prépartagée. Dans les deux cas, le client et le serveur VPN s’authentifient l’un l’autre au niveau ordinateur. L’authentification par certificat d’ordinateur est une authentification beaucoup plus forte et est donc vivement recommandée. L’authentification de niveau ordinateur est utilisé par des connexions L2TP (Layer Two Tunneling Protocol)/IPsec ou IKE version 2.
- Authentification de l’origine des données et intégrité des données. Pour vérifier que les données envoyées sur la connexion VPN proviennent bien de l’autre extrémité de la connexion et n’ont pas été modifiées en transit, les données contiennent une somme de contrôle de chiffrement basée sur une clé de chiffrement connue uniquement de l’expéditeur et du destinataire. L’authentification de l’origine des données et l’intégrité des données sont disponibles pour les connexions L2TP/IPsec et IKE version 2.
- Authentification de niveau utilisateur au moyen de l’authentification PPP (Point-to-Point Protocol). Pour établir la connexion VPN, le serveur VPN authentifie le client VPN qui tente d’établir la connexion à l’aide d’une méthode d’authentification de niveau utilisateur PPP et vérifie que le client VPN dispose de l’autorisation appropriée. Si l’authentification mutuelle est utilisée, le client VPN authentifie également le serveur VPN, ce qui procure une protection contre les ordinateurs se faisant passer pour des serveurs VPN.
- Chiffrement des données. Pour assurer la confidentialité des données lorsqu’elles traversent le réseau partagé ou public de transit, les données sont chiffrées par l’expéditeur et déchiffrées par le destinataire. Le processus de chiffrement et de déchiffrement dépend de l’utilisation d’une clé de chiffrement commune par l’expéditeur et le destinataire.
Les paquets interceptés envoyés sur la connexion VPN sur le réseau de transit sont incompréhensibles à quiconque ne possède pas la clé de chiffrement commune. La longue de la clé de chiffrement est un paramètre de sécurité important. Vous pouvez utiliser des techniques de calcul pour déterminer la clé de chiffrement. Toutefois, de telles techniques requièrent davantage de puissance de traitement et de temps de calcul à mesure que les clés de chiffrement augmentent en taille. Il est par conséquent important d’utiliser la taille de clé la plus élevée possible afin de garantir la confidentialité des données.