En savoir plus sur les VPN
Préambule
Les services qui se pratiquent classiquement sur un site, comme un réseau de fichier, un réseau de fax ou un serveur d'impression, ou plus généralement la mise en commun d'informations ou de fonctionnalités, deviennent rapidement un casse tête si ces mêmes services doivent être disponibles simultanément sur plusieurs sites, car il faut alors franchir un espace public. La première solution consiste à acheter des liaisons spécialisées. Cette solution est la plus compréhensible. Elle consiste en fait à relier physiquement les réseaux des différents sites en un seul réseau. On crée alors un Réseau Privé Physique, comme il y en a sur chacun des sites pris séparément. Mais cette solution est coûteuse. Un autre solution consiste à mettre en place, via internet, un protocole sécurisé d'échange de services entre les différents réseaux informatiques des différents sites. Une fois ce protocole d'échanges en place, on peut en faire abstraction et considérer que les sites communiquent entre eux comme s'ils étaient reliés physiquement. Or il ne le sont pas. Voilà pourquoi on parle de Réseau Privé Virtuel.
L'image du tunnel
Il est toujours souhaitable d'imager le discours. L'image du « tunnel VPN » est en effet très parlante et illustre le fonctionnement du Réseau Privé Virtuel de manière assez correcte. On peut en effet imaginer des tunnels reliant les sites, un tunnel pour chaque couple de sites. Les services informatiques proposés sur chacun des sites peuvent alors emprunter ces tunnels et être ainsi rendus disponibles sur chacun des autres sites. C'est le cryptage qui matérialise les parois du tunnel. Seules les informations cryptées selon le protocole propre au VPN sont reconnues comme circulant dans le tunnel.
La puissance du VPN
Le Réseau Privé Virtuel permet aux utilisateurs de s'affranchir de la notion de site. Par exemple, une imprimante d'un des sites peut, par le VPN, être disponible pour tous les sites, comme le serait une imprimante locale. Il en est de même, par exemple pour le fax, ou pour un serveur de données. Il permet ainsi de mutualiser tous les services informatiques, dès lors qu'une raison objective rend cette mutualisation intéressante comme :
- la mise à disposition d'information communes à tous les sites
- la centralisation de certaines ressources coûteuses (espace de stockage, liaisons RTC...)
- l'uniformisation des procédures d'accès d'un site à l'autre
- l'ouverture de tous les sites par un seul portail
L'administration d'un VPN
Les actes classique d'administration d'un Réseau informatique sont possibles de manière similaire sur un VPN, avec l'avantage de l'unicité de l'intervention. En effet, un ajout ou une modification de matériel ou de service sur un site est réalisé directement sur le VPN, et donc « annoncé » simultanément sur tous les autres sites. Il n'en reste pas moins qu'un tel outil doit faire l'objet d'attentions particulières qui vont au delà de l'administration d'un simple réseau local.
Les contraintes d'un VPN
Un VPN simule des « tunnels » entre chacun des sites qui le constituent. Cette simulation passe par l'identification univoque de chacun des points d'accès des sites sur internet, via son adresse IP. Il est donc extrèmement recommandé que les adresses IP de chacun des sites soient fixes. La plupart des fournisseurs d'accès propose de telles IP fixes. Il est donc conseillé, comme préalable à la mise en place du VPN, de valider avec son ou ses fournisseurs d'accès, la possibilité d'IP fixes.
Par ailleurs, la simulation des tunnels VPN n'affranchit pas l'utilisateur des contraintes techniques, en particuliers des « goulots de débit » que représentent les modems. Un VPN est et restera plus lent qu'un réseau physique.
La mise en place d'un VPN
La mise en place d'un VPN nécessite une intervention sur chacun des serveurs de chacun des sites. Cette intervention consiste, d'une part à mettre en place le service lui-même, et d'autre part à sécuriser les accès au VPN. En effet, un intrus qui réussi à pénétrer un site, se retrouve de fait sur le VPN. On ne relie donc pas des sites qui ne sont pas protégés par des firewall de haut niveau.
Une fois en place, le VPN est « ouvert » pour chacun de ses « clients ». Ces ouvertures sont d'ores et déjà des interventions d'administration du VPN en place. Les « clients » sont des utilisateurs, utilisant des ordinateurs du VPN (clients locaux) ou des ordinateurs distants, depuis chez eux ou depuis un site quelconque relié à Internet (clients distants ou itinérants).
La mise en place d'un VPN prend quelques heures à quelques jours en fonction de la taille des réseaux à relier entre eux, et bien entendu, du nombre de clients.
VPN, logiciels libres et PraKsys
Il existe plusieurs logiciels libres permettant de déployer un VPN. Quel que soit le choix du logiciel retenu, retenons toutefois leurs quelques avantages : les VPN libres sont disponibles pour tous les clients, quels que soient leur système d'exploitation les VPN libres tournent avec des systèmes d'exploitation libres (dont Linux) qui permettent des niveaux de sécurités sans doute inégalés les VPN libres sont les plus utilisés, donc les mieux maîtrisés par les administrateurs
PraKsys met en place, de manière standardisée, chez tous ses clients disposant de plusieurs sites, un VPN. Le firewall utilisé est netfilter. Le serveur de VPN est Openvpn.
