Titre :	Les VPN : fonctionnement ,mise en oeuvre et maintenance des réseaux privés vertuels
Type de document :	texte imprime
Auteurs :	Jean-Paul Archier
Editeur :	Paris : ENI
Année de publication :	cop. 2010
Collection :	Expert IT
Importance :	552 p.
Présentation :	ill., couv. ill. en coul.
Format :	21cm
ISBN/ISSN/EAN :	978-2-7460-5522-3
Note générale :	VPN = Virtual Private Network = Réseaux privés virtuels. - La couv. porte en plus : "Téléchargement [sur] www.editions-eni.fr" et "Informatique technique" Bibliographie p. 542-543. Index
Langues :	Français
Mots-clés :	Extranets  Réseaux d'ordinateurs:mesures de sûreté
Résumé :	Ce livre sur les VPN (Virtual Private Network) s'adresse à un public d'informaticiens disposant de connaissances de base sur les réseaux et souhaitant acquérir des compétences pour mettre en place une solution de Réseau Privé Virtuel. Il a pour objectif d'une part de décrire l'essentiel du fonctionnement des principaux protocoles utilisés et d'autre part de présenter des exemples pouvant être utilisés comme trame pour la mise en place de ses propres VPN dans un environnement Windows, Linux ou Macintosh. Ces exemples sont bâtis autour de différents matériels et logiciels, utilisés régulièrement par l'auteur, et permettent l'illustration concrète de la mise en place de VPN IPsec, SSL, PPTP, L2TP dans des configurations variées (site à site, poste à site, poste à poste). L'auteur propose régulièrement des tests pour valider les configurations mises en place. Il appartient à chacun de puiser dans ce livre les informations qui lui conviennent et d'adapter son installation et ses réglages selon ses propres contraintes (fortement liées à la sécurisation des accès au(x) réseau(x) de l'entreprise). Un chapitre entier fournit au lecteur des pistes pour comprendre et résoudre les problèmes qui, tôt ou tard, surviennent dans la mise en uvre et l'exploitation d'un VPN. Des éléments complémentaires seront en téléchargement sur le site www.editions-eni.fr.
Note de contenu :	Introduction 1. Objectifs du livre 15 2. Public visé 16 3. Connaissances préalables recommandées 17 4. Organisation de l'ouvrage 17 5. Réseaux, matériels et logiciels utilisés dans ce livre 19 6. Conventions d'écriture 20 7. Commentaires et suggestions 21 Chapitre 1 Généralités sur les VPN 1. Objectifs du chapitre 23 2. Définition d'un VPN 23 3. Typologie des VPN 26 3.1 VPN d'entreprise 26 3.1.1 VPN site à site 26 3.1.2 VPN poste à site 28 3.1.3 VPN poste à poste 29 3.1.4 Avantages et inconvénients du VPN entreprise 30 3.2 VPN Opérateur 31 3.2.1 Caractéristiques du VPN opérateur site à site 31 3.2.2 Avantages et inconvénients du VPN opérateur 32 3.2.3 En option : VPN Nomade à réseau 33 4. Principaux protocoles 33 4.1 Niveau 2 34 4.1.1 PPTP (Point to Point Tunneling Protocol) 34 4.1.2 L2F (Layer 2 Forwarding) 34 4.1.3 L2TP (Layer 2 Tunneling Protocol) 34 4.2 Niveau 2.5 : MPLS 34 4.3 Niveau 3 et + 35 4.3.1 IPSEC 35 4.3.2 SSL/TLS 35 4.3.3 SSH 35 5. Critères de choix 36 Chapitre 2 Fonctionnement du protocole IPsec 1. Généralités 39 2. Principes de la construction d'un lien IPsec 39 2.1 AH (Authentication Header) 41 2.1.1 Principe du hachage (hash en anglais) 41 2.1.2 Caractéristiques principales de MD5 (Message Digest 5) 42 2.1.3 Caractéristiques principales de SHA1 43 2.1.4 SHA2 et SHA3 43 2.1.5 Intégration de l'en-tête AH dans un paquet IP en mode tunnel 44 2.1.6 Contenu de l'en-tête AH 45 2.1.7 Avantages et Limites du protocole AH 46 2.2 ESP (Encapsulating Security Payload) 47 2.2.1 Intégration d'ESP dans un paquet IP en mode tunnel 47 2.2.2 Contenu du paquet ESP 49 2.2.3 Avantages et limitations du protocole ESP 50 2.3 Identification des paramètres de sécurité d'un tunnel 51 2.3.1 Contenu d'une SAD ou SADB (Security Association Database) 53 2.3.2 Création des SA 55 2.4 Le protocole IKE (Internet Key Exchange) 55 2.4.1 IKE v1 56 2.4.2 IKE v2 77 2.4.3 Autres messages IKE 79 2.5 La SPD (Security Policy Database) 79 2.6 La PAD (Peer Authorization Database) 80 2.7 Traitement des paquets par les extrémités des tunnels 80 2.7.1 Traitement effectué par l'expéditeur 81 2.7.2 Traitement effectué par le destinataire 82 3. Notions avancées 83 3.1 Mode transport 83 3.2 IKE Keep-Alive et DPD (Dead Peer Detection) 85 3.2.1 IKE Keep-alive 85 3.2.2 Dead Peer Detection (DPD) 87 3.3 NAT-Traversal ou NAT-T 88 4. Pour aller plus loin 90 4.1 Quelques documents 90 4.2 Quelques liens 90 Chapitre 3 Implémentation d'IPsec en site à site 1. Généralités 91 2. Intérêt - Contraintes - Limitations d'un VPN site à site 92 3. Mise en oeuvre entre deux sites avec adresses IP fixes - Exemple Watchguard-Watchguard (Grenoble-Auxerre) 93 3.1 Matériels et réseaux utilisés 93 3.2 Choix des paramètres et des autorisations à mettre en place 93 3.3 Configuration côté Auxerre 94 3.4 Configuration côté Grenoble 107 3.5 Tests de validation 116 4. Variante avec une adresse IP fixe et une adresse IP dynamique avec utilisation d'un service tel que Dyndns 119 5. Variante avec une adresse IP fixe et une adresse IP dynamique sans utilisation d'un service de noms tel que Dyndns 123 6. Autres mises en oeuvre 127 Chapitre 4 Implémentation d'IPsec en poste à site 1. Généralités 129 2. Intérêt - Contraintes - Limitations d'un VPN poste à site 131 3. Mise en oeuvre entre un poste anonyme et un site à adresse IP fixe avec secret partagé (Client TheGreenBow - Matériel Zywall de Zyxel) 132 3.1 Matériels, logiciels et réseaux utilisés 132 3.2 Choix des paramètres et des autorisations à mettre en place 132 3.3 Configuration côté client 133 3.4 Configuration côté site de Paris 137 3.5 Tests de validation 140 3.6 Tests complémentaires 143 3.7 Amélioration de la sécurité de ce tunnel VPN 143 4. Mise en oeuvre entre un poste anonyme et un site à adresse IP dynamique avec secret partagé (Client NCP - Site Auxerre avec Watchguard) 145 4.1 Matériels, logiciels et réseaux utilisés 145 4.2 Choix des paramètres et des autorisations à mettre en place 146 4.3 Configuration côté site central 147 4.4 Configuration côté poste nomade 162 4.5 Tests de validation 170 5. Autres mises en oeuvre 174 6. Liens utiles 174 Chapitre 5 Implémentation d'IPsec en poste à poste 1. Généralités 177 2. Intérêt - Contraintes - Limitations d'un VPN poste à poste 177 3. Mise en oeuvre entre deux machines sous Windows 179 3.1 Matériels, logiciels et réseaux utilisés 179 3.2 Choix des paramètres à mettre en place 179 3.3 Écrans de configuration 179 4. Autres mises en oeuvre 213 Chapitre 6 Fonctionnement des protocoles SSL-TLS 1. Objectifs 215 2. Historique 216 3. Principes de fonctionnement de SSL 217 3.1 Buts recherchés 217 3.2 Les principaux protocoles mis en oeuvre 218 3.3 Protocoles Handshake et Change Cipher Spec 219 3.3.1 Message ClientHello (1) 221 3.3.2 Message ServerHello (2) 223 3.3.3 Messages Certificate (3) 223 3.3.4 Message Server_Key_Exchange (3bis) 224 3.3.5 Message Certificate Request (4) 224 3.3.6 Message Server Hello Done (5) 225 3.3.7 Message Client certificate (6) 226 3.3.8 Message Client Key Exchange (7) 226 3.3.9 Message Certificate Verify (8) 228 3.3.10 Phase de calcul du secret partagé (pas d'échange à ce moment-là) 229 3.3.11 Message Client Change Cipher Specs (8) 229 3.3.12 Message Client Finished (8bis) 230 3.3.13 Message Server Change Cipher Specs (9) 230 3.3.14 Message Server Finished (9bis) 230 3.4 Protocole Application 231 3.5 Protocole Alert 231 3.6 Cas particulier de la reprise de session existante 232 4. Exemples de données échangées entre un client et un serveur 233 4.1 Établissement d'une session SSL entre un navigateur et un serveur, le client étant anonyme 234 4.2 Exemple de réutilisation d'une session déjà négociée 244 5. Pour aller plus loin 249 5.1 Quelques documents 249 5.2 Quelques liens 249 Chapitre 7 Implémentation de VPN SSL/TLS 1. Généralités 251 2. Connexion avec un client spécifique et authentification classique par nom d'utilisateur et mot de passe 252 2.1 Exemple d'utilisation d'un pare-feu Watchguard de type e-series ou XTM 252 2.1.1 Composants utilisés 252 2.1.2 Configuration du VPN 252 2.1.3 Tests de validation 258 2.1.4 Téléchargement du client depuis le pare-feu 261 2.1.5 Mise en place des certificats sur le pare-feu 263 2.1.6 Avantages et limites de cette solution 273 2.2 Exemple d'utilisation d'un pare-feu Cisco de type ASA5505 273 2.2.1 Composants utilisés 273 2.2.2 Configuration du VPN 275 2.2.3 Test de validation 287 3. Connexion sans client (portail SSL) et authentification par nom d'utilisateur 288 3.1 Exemple d'utilisation d'un pare-feu Zywall de type USG en mode portail 288 3.1.1 Composants utilisés 288 3.1.2 Configuration du VPN 289 3.1.3 Tests de validation 295 3.1.4 Mise en place des certificats sur le pare-feu 299 3.1.5 Avantages et limites de cette solution 303 3.2 Exemple d'utilisation d'un boitier Watchguard dédié SSL 303 3.2.1 Composants utilisés 303 3.2.2 Quelques écrans 304 3.3 Exemple d'utilisation d'un pare-feu Cisco ASA5505 308 3.3.1 Composants utilisés 309 3.3.2 Quelques écrans 309 3.4 Exemple d'utilisation d'un pare-feu Cisco SA520 315 3.4.1 Composants utilisés 315 3.4.2 Quelques écrans 316 4. Autres mises en oeuvre 318 Chapitre 8 Fonctionnement du protocole PPTP 1. Objectifs du chapitre 319 2. Principes 319 2.1 Composants d'un tunnel PPTP 320 2.2 Mécanismes de mise en oeuvre 320 2.2.1 La connexion de contrôle 320 2.2.2 Le protocole GRE dans PPTP 325 2.2.3 La partie VPN 328 3. Forces et faiblesses de PPTP 329 4. Pour aller plus loin 330 4.1 Quelques documents 330 4.2 Quelques liens 331 Chapitre 9 Implémentation de VPN PPTP 1. Généralités 333 2. VPN PPTP en poste à site 335 2.1 Exemple d'une connexion de nomades au site de Grenoble (Watchguard X20e) 335 2.1.1 Configuration côté site central 335 2.1.2 Configuration du client 341 2.1.3 Tests 351 2.2 Exemples d'une connexion de nomades au site de Valence (D-Link) 361 2.2.1 Configuration côté site central 361 2.2.2 Configuration du client 372 2.2.3 Tests 373 3. PPTP en site à site 375 3.1 Matériels, logiciels et réseaux utilisés 376 3.2 Paramétrage du pare-feu de Grenoble (Watchguard X20e) 376 3.3 Paramétrage du pare-feu de Valence (D-Link) 376 3.4 Tests de validation 378 Chapitre 10 Fonctionnement du protocole L2TP 1. Objectifs du chapitre 383 2. Principes 384 2.1 Composants d'un tunnel L2TP 384 2.1.1 LAC (L2TP Access Concentrator) 384 2.1.2 LNS (L2TP Network Server) 385 2.2 Mécanismes du L2TP 385 2.2.1 Création du tunnel 387 2.3 Forces et faiblesses de L2TP 388 2.4 L2TP/IPsec (L2TP over IPSEC) 388 2.4.1 Structure de L2TP/IPsec 388 2.4.2 Exemples de trafic L2TP/IPsec 389 2.5 Évolution du L2TP : L2TPv3 397 3. Pour aller plus loin 398 Chapitre 11 Implémenation de VPN L2TP/IPsec 1. Généralités 399 2. VPN L2TP/IPsec en poste à site 401 2.1 Exemple d'une connexion de nomades au site de Paris (Zywall USG100) 401 2.1.1 Configuration côté site central 401 2.1.2 Configuration du client 407 2.1.3 Tests 419 2.2 Exemples d'une connexion de nomades au site de Valence (D-Link) 422 2.2.1 Configuration côté site central 422 2.2.2 Configuration du client 432 2.2.3 Tests 434 3. Autres implémentations 436 Chapitre 12 Configuration avancée des VPN 1. Objectifs du chapitre 437 2. Établissement de VPN unidirectionnels 438 2.1 Configuration 439 2.2 Tests 441 3. Translation d'adresses à l'intérieur des VPN 441 3.1 Cas du recouvrement d'adresses IP 441 3.1.1 Configuration côté Grenoble 443 3.1.2 Configuration côté Vienne 449 3.1.3 Tests de validation 451 3.2 Cas du masquage d'adresses entre un site et un autre 455 3.2.1 Les configurations 456 3.2.2 Les tests de validation 460 4. Accès VPN à des réseaux dotés de plusieurs routeurs 463 4.1 Cas de VPN site à site 465 4.1.1 Ajout des routes dans le tunnel 466 4.1.2 Ajout de règles pour autoriser les flux Auxerre (...) Paris sur chacun des pare-feu 469 4.1.3 Ajout de routes sur le pare-feu Internet de Grenoble 471 4.1.4 Ajout de routes sur le routeur du VPN opérateur sur le site de Grenoble 473 4.1.5 Ajout de routes sur le routeur Opérateur du site d'Auxerre 473 4.1.6 Autres routes 474 4.1.7 Tests finaux 474 4.2 Cas des nomades 476 5. Autres configurations avancées 478 Chapitre 13 Diagnostic et résolution de problèmes 1. Objectifs du chapitre 479 2. Problèmes lors de la création de VPN IPsec 480 2.1 Comment savoir à quelle étape de la création du VPN le problème réside ? 481 2.2 Problèmes survenant lors de la phase 1 490 2.2.1 Problème de clé partagée 490 2.2.2 Divergence sur le mode d'établissement : main ou aggressive 493 2.2.3 Mauvaise identification d'une des deux extrémités 494 2.2.4 Problèmes liés au groupe Diffie-Hellman 495 2.2.5 Problèmes liés aux réglages de cryptage et d'authentification 496 2.2.6 Conseils pratiques pour la résolution de problèmes de phase 1 497 2.3 Problèmes survenant lors de la phase 2 498 2.3.1 Discordance dans les réseaux à router à l'intérieur du tunnel 498 2.3.2 Discordance dans le mode (tunnel ou transport) 501 2.3.3 Discordance dans les réglages PFS 503 2.3.4 Discordance dans les protocoles (AH ou ESP) 504 2.3.5 Discordance dans les paramètres de cryptage et d'authentification 505 2.3.6 Conclusions sur les problèmes de Phase 2 505 2.4 Problèmes survenant après les phases 1 et 2 dans un contexte simple (Paris-Grenoble) 506 2.4.1 Le trafic ne parvient pas au pare-feu de Paris 509 2.4.2 Le trafic ne quitte pas le site de Paris 511 2.4.3 Le trafic ne parvient pas au pare-feu de Grenoble 511 2.4.4 Le trafic ne parvient pas au matériel visé sur Grenoble 514 2.4.5 Le trafic n'est pas accepté par le matériel de Grenoble 516 2.4.6 La réponse ne parvient pas au pare-feu de Grenoble 517 2.4.7 La réponse ne quitte pas le site de Grenoble 517 2.4.8 La réponse ne parvient pas au pare-feu de Paris 518 2.4.9 La réponse ne parvient pas au poste demandeur sur Paris 519 2.4.10 Considérations générales 519 2.5 Problèmes survenant après les phases 1 et 2 dans un contexte complexe (Paris-Auxerre par exemple) 520 2.6 Problèmes survenant avec des VPN IPsec pour postes Nomades 521 3. Problèmes survenant en cours de vie des VPN IPsec 523 3.1 VPN tombé et ne remontant plus 523 3.2 VPN tombant régulièrement 524 3.3 Surveillance des VPN 525 4. Problèmes liés aux VPN SSL 526 1. Objectifs du chapitre 527 2. Compléments sur Diffie-Hellman 527 3. PFS (Perfect Forward Secrecy) 532 4. Compléments sur les certificats 533 5. Compléments sur les protocoles de chiffrage DES, 3DES, AES 539 5.1 DES (Data Encryption Standard) 540 5.2 3DES ou Triple Data Encryption Algorithm (TDEA) 540 5.3 AES (Advanced Encryption Standard) 541 5.4 Blowfish 541 6. Principaux RFC 541 7. Quelques livres 542 8. Quelques liens pour finir 543 Index
En ligne :	https://www.amazon.fr/VPN-Fonctionnement-maintenance-R%C3%A9seaux-Virtuels/dp/27 [...]
Permalink :	./index.php?lvl=notice_display&id=14625

Les VPN : fonctionnement ,mise en oeuvre et maintenance des réseaux privés vertuels [texte imprime] / Jean-Paul Archier . - Paris : ENI, cop. 2010 . - 552 p. : ill., couv. ill. en coul. ; 21cm. - (Expert IT) .
ISBN : 978-2-7460-5522-3

VPN = Virtual Private Network = Réseaux privés virtuels. - La couv. porte en plus : "Téléchargement [sur] www.editions-eni.fr" et "Informatique technique"

Bibliographie p. 542-543. Index
Langues : Français

Mots-clés :	Extranets  Réseaux d'ordinateurs:mesures de sûreté
Résumé :	Ce livre sur les VPN (Virtual Private Network) s'adresse à un public d'informaticiens disposant de connaissances de base sur les réseaux et souhaitant acquérir des compétences pour mettre en place une solution de Réseau Privé Virtuel. Il a pour objectif d'une part de décrire l'essentiel du fonctionnement des principaux protocoles utilisés et d'autre part de présenter des exemples pouvant être utilisés comme trame pour la mise en place de ses propres VPN dans un environnement Windows, Linux ou Macintosh. Ces exemples sont bâtis autour de différents matériels et logiciels, utilisés régulièrement par l'auteur, et permettent l'illustration concrète de la mise en place de VPN IPsec, SSL, PPTP, L2TP dans des configurations variées (site à site, poste à site, poste à poste). L'auteur propose régulièrement des tests pour valider les configurations mises en place. Il appartient à chacun de puiser dans ce livre les informations qui lui conviennent et d'adapter son installation et ses réglages selon ses propres contraintes (fortement liées à la sécurisation des accès au(x) réseau(x) de l'entreprise). Un chapitre entier fournit au lecteur des pistes pour comprendre et résoudre les problèmes qui, tôt ou tard, surviennent dans la mise en uvre et l'exploitation d'un VPN. Des éléments complémentaires seront en téléchargement sur le site www.editions-eni.fr.
Note de contenu :	Introduction 1. Objectifs du livre 15 2. Public visé 16 3. Connaissances préalables recommandées 17 4. Organisation de l'ouvrage 17 5. Réseaux, matériels et logiciels utilisés dans ce livre 19 6. Conventions d'écriture 20 7. Commentaires et suggestions 21 Chapitre 1 Généralités sur les VPN 1. Objectifs du chapitre 23 2. Définition d'un VPN 23 3. Typologie des VPN 26 3.1 VPN d'entreprise 26 3.1.1 VPN site à site 26 3.1.2 VPN poste à site 28 3.1.3 VPN poste à poste 29 3.1.4 Avantages et inconvénients du VPN entreprise 30 3.2 VPN Opérateur 31 3.2.1 Caractéristiques du VPN opérateur site à site 31 3.2.2 Avantages et inconvénients du VPN opérateur 32 3.2.3 En option : VPN Nomade à réseau 33 4. Principaux protocoles 33 4.1 Niveau 2 34 4.1.1 PPTP (Point to Point Tunneling Protocol) 34 4.1.2 L2F (Layer 2 Forwarding) 34 4.1.3 L2TP (Layer 2 Tunneling Protocol) 34 4.2 Niveau 2.5 : MPLS 34 4.3 Niveau 3 et + 35 4.3.1 IPSEC 35 4.3.2 SSL/TLS 35 4.3.3 SSH 35 5. Critères de choix 36 Chapitre 2 Fonctionnement du protocole IPsec 1. Généralités 39 2. Principes de la construction d'un lien IPsec 39 2.1 AH (Authentication Header) 41 2.1.1 Principe du hachage (hash en anglais) 41 2.1.2 Caractéristiques principales de MD5 (Message Digest 5) 42 2.1.3 Caractéristiques principales de SHA1 43 2.1.4 SHA2 et SHA3 43 2.1.5 Intégration de l'en-tête AH dans un paquet IP en mode tunnel 44 2.1.6 Contenu de l'en-tête AH 45 2.1.7 Avantages et Limites du protocole AH 46 2.2 ESP (Encapsulating Security Payload) 47 2.2.1 Intégration d'ESP dans un paquet IP en mode tunnel 47 2.2.2 Contenu du paquet ESP 49 2.2.3 Avantages et limitations du protocole ESP 50 2.3 Identification des paramètres de sécurité d'un tunnel 51 2.3.1 Contenu d'une SAD ou SADB (Security Association Database) 53 2.3.2 Création des SA 55 2.4 Le protocole IKE (Internet Key Exchange) 55 2.4.1 IKE v1 56 2.4.2 IKE v2 77 2.4.3 Autres messages IKE 79 2.5 La SPD (Security Policy Database) 79 2.6 La PAD (Peer Authorization Database) 80 2.7 Traitement des paquets par les extrémités des tunnels 80 2.7.1 Traitement effectué par l'expéditeur 81 2.7.2 Traitement effectué par le destinataire 82 3. Notions avancées 83 3.1 Mode transport 83 3.2 IKE Keep-Alive et DPD (Dead Peer Detection) 85 3.2.1 IKE Keep-alive 85 3.2.2 Dead Peer Detection (DPD) 87 3.3 NAT-Traversal ou NAT-T 88 4. Pour aller plus loin 90 4.1 Quelques documents 90 4.2 Quelques liens 90 Chapitre 3 Implémentation d'IPsec en site à site 1. Généralités 91 2. Intérêt - Contraintes - Limitations d'un VPN site à site 92 3. Mise en oeuvre entre deux sites avec adresses IP fixes - Exemple Watchguard-Watchguard (Grenoble-Auxerre) 93 3.1 Matériels et réseaux utilisés 93 3.2 Choix des paramètres et des autorisations à mettre en place 93 3.3 Configuration côté Auxerre 94 3.4 Configuration côté Grenoble 107 3.5 Tests de validation 116 4. Variante avec une adresse IP fixe et une adresse IP dynamique avec utilisation d'un service tel que Dyndns 119 5. Variante avec une adresse IP fixe et une adresse IP dynamique sans utilisation d'un service de noms tel que Dyndns 123 6. Autres mises en oeuvre 127 Chapitre 4 Implémentation d'IPsec en poste à site 1. Généralités 129 2. Intérêt - Contraintes - Limitations d'un VPN poste à site 131 3. Mise en oeuvre entre un poste anonyme et un site à adresse IP fixe avec secret partagé (Client TheGreenBow - Matériel Zywall de Zyxel) 132 3.1 Matériels, logiciels et réseaux utilisés 132 3.2 Choix des paramètres et des autorisations à mettre en place 132 3.3 Configuration côté client 133 3.4 Configuration côté site de Paris 137 3.5 Tests de validation 140 3.6 Tests complémentaires 143 3.7 Amélioration de la sécurité de ce tunnel VPN 143 4. Mise en oeuvre entre un poste anonyme et un site à adresse IP dynamique avec secret partagé (Client NCP - Site Auxerre avec Watchguard) 145 4.1 Matériels, logiciels et réseaux utilisés 145 4.2 Choix des paramètres et des autorisations à mettre en place 146 4.3 Configuration côté site central 147 4.4 Configuration côté poste nomade 162 4.5 Tests de validation 170 5. Autres mises en oeuvre 174 6. Liens utiles 174 Chapitre 5 Implémentation d'IPsec en poste à poste 1. Généralités 177 2. Intérêt - Contraintes - Limitations d'un VPN poste à poste 177 3. Mise en oeuvre entre deux machines sous Windows 179 3.1 Matériels, logiciels et réseaux utilisés 179 3.2 Choix des paramètres à mettre en place 179 3.3 Écrans de configuration 179 4. Autres mises en oeuvre 213 Chapitre 6 Fonctionnement des protocoles SSL-TLS 1. Objectifs 215 2. Historique 216 3. Principes de fonctionnement de SSL 217 3.1 Buts recherchés 217 3.2 Les principaux protocoles mis en oeuvre 218 3.3 Protocoles Handshake et Change Cipher Spec 219 3.3.1 Message ClientHello (1) 221 3.3.2 Message ServerHello (2) 223 3.3.3 Messages Certificate (3) 223 3.3.4 Message Server_Key_Exchange (3bis) 224 3.3.5 Message Certificate Request (4) 224 3.3.6 Message Server Hello Done (5) 225 3.3.7 Message Client certificate (6) 226 3.3.8 Message Client Key Exchange (7) 226 3.3.9 Message Certificate Verify (8) 228 3.3.10 Phase de calcul du secret partagé (pas d'échange à ce moment-là) 229 3.3.11 Message Client Change Cipher Specs (8) 229 3.3.12 Message Client Finished (8bis) 230 3.3.13 Message Server Change Cipher Specs (9) 230 3.3.14 Message Server Finished (9bis) 230 3.4 Protocole Application 231 3.5 Protocole Alert 231 3.6 Cas particulier de la reprise de session existante 232 4. Exemples de données échangées entre un client et un serveur 233 4.1 Établissement d'une session SSL entre un navigateur et un serveur, le client étant anonyme 234 4.2 Exemple de réutilisation d'une session déjà négociée 244 5. Pour aller plus loin 249 5.1 Quelques documents 249 5.2 Quelques liens 249 Chapitre 7 Implémentation de VPN SSL/TLS 1. Généralités 251 2. Connexion avec un client spécifique et authentification classique par nom d'utilisateur et mot de passe 252 2.1 Exemple d'utilisation d'un pare-feu Watchguard de type e-series ou XTM 252 2.1.1 Composants utilisés 252 2.1.2 Configuration du VPN 252 2.1.3 Tests de validation 258 2.1.4 Téléchargement du client depuis le pare-feu 261 2.1.5 Mise en place des certificats sur le pare-feu 263 2.1.6 Avantages et limites de cette solution 273 2.2 Exemple d'utilisation d'un pare-feu Cisco de type ASA5505 273 2.2.1 Composants utilisés 273 2.2.2 Configuration du VPN 275 2.2.3 Test de validation 287 3. Connexion sans client (portail SSL) et authentification par nom d'utilisateur 288 3.1 Exemple d'utilisation d'un pare-feu Zywall de type USG en mode portail 288 3.1.1 Composants utilisés 288 3.1.2 Configuration du VPN 289 3.1.3 Tests de validation 295 3.1.4 Mise en place des certificats sur le pare-feu 299 3.1.5 Avantages et limites de cette solution 303 3.2 Exemple d'utilisation d'un boitier Watchguard dédié SSL 303 3.2.1 Composants utilisés 303 3.2.2 Quelques écrans 304 3.3 Exemple d'utilisation d'un pare-feu Cisco ASA5505 308 3.3.1 Composants utilisés 309 3.3.2 Quelques écrans 309 3.4 Exemple d'utilisation d'un pare-feu Cisco SA520 315 3.4.1 Composants utilisés 315 3.4.2 Quelques écrans 316 4. Autres mises en oeuvre 318 Chapitre 8 Fonctionnement du protocole PPTP 1. Objectifs du chapitre 319 2. Principes 319 2.1 Composants d'un tunnel PPTP 320 2.2 Mécanismes de mise en oeuvre 320 2.2.1 La connexion de contrôle 320 2.2.2 Le protocole GRE dans PPTP 325 2.2.3 La partie VPN 328 3. Forces et faiblesses de PPTP 329 4. Pour aller plus loin 330 4.1 Quelques documents 330 4.2 Quelques liens 331 Chapitre 9 Implémentation de VPN PPTP 1. Généralités 333 2. VPN PPTP en poste à site 335 2.1 Exemple d'une connexion de nomades au site de Grenoble (Watchguard X20e) 335 2.1.1 Configuration côté site central 335 2.1.2 Configuration du client 341 2.1.3 Tests 351 2.2 Exemples d'une connexion de nomades au site de Valence (D-Link) 361 2.2.1 Configuration côté site central 361 2.2.2 Configuration du client 372 2.2.3 Tests 373 3. PPTP en site à site 375 3.1 Matériels, logiciels et réseaux utilisés 376 3.2 Paramétrage du pare-feu de Grenoble (Watchguard X20e) 376 3.3 Paramétrage du pare-feu de Valence (D-Link) 376 3.4 Tests de validation 378 Chapitre 10 Fonctionnement du protocole L2TP 1. Objectifs du chapitre 383 2. Principes 384 2.1 Composants d'un tunnel L2TP 384 2.1.1 LAC (L2TP Access Concentrator) 384 2.1.2 LNS (L2TP Network Server) 385 2.2 Mécanismes du L2TP 385 2.2.1 Création du tunnel 387 2.3 Forces et faiblesses de L2TP 388 2.4 L2TP/IPsec (L2TP over IPSEC) 388 2.4.1 Structure de L2TP/IPsec 388 2.4.2 Exemples de trafic L2TP/IPsec 389 2.5 Évolution du L2TP : L2TPv3 397 3. Pour aller plus loin 398 Chapitre 11 Implémenation de VPN L2TP/IPsec 1. Généralités 399 2. VPN L2TP/IPsec en poste à site 401 2.1 Exemple d'une connexion de nomades au site de Paris (Zywall USG100) 401 2.1.1 Configuration côté site central 401 2.1.2 Configuration du client 407 2.1.3 Tests 419 2.2 Exemples d'une connexion de nomades au site de Valence (D-Link) 422 2.2.1 Configuration côté site central 422 2.2.2 Configuration du client 432 2.2.3 Tests 434 3. Autres implémentations 436 Chapitre 12 Configuration avancée des VPN 1. Objectifs du chapitre 437 2. Établissement de VPN unidirectionnels 438 2.1 Configuration 439 2.2 Tests 441 3. Translation d'adresses à l'intérieur des VPN 441 3.1 Cas du recouvrement d'adresses IP 441 3.1.1 Configuration côté Grenoble 443 3.1.2 Configuration côté Vienne 449 3.1.3 Tests de validation 451 3.2 Cas du masquage d'adresses entre un site et un autre 455 3.2.1 Les configurations 456 3.2.2 Les tests de validation 460 4. Accès VPN à des réseaux dotés de plusieurs routeurs 463 4.1 Cas de VPN site à site 465 4.1.1 Ajout des routes dans le tunnel 466 4.1.2 Ajout de règles pour autoriser les flux Auxerre (...) Paris sur chacun des pare-feu 469 4.1.3 Ajout de routes sur le pare-feu Internet de Grenoble 471 4.1.4 Ajout de routes sur le routeur du VPN opérateur sur le site de Grenoble 473 4.1.5 Ajout de routes sur le routeur Opérateur du site d'Auxerre 473 4.1.6 Autres routes 474 4.1.7 Tests finaux 474 4.2 Cas des nomades 476 5. Autres configurations avancées 478 Chapitre 13 Diagnostic et résolution de problèmes 1. Objectifs du chapitre 479 2. Problèmes lors de la création de VPN IPsec 480 2.1 Comment savoir à quelle étape de la création du VPN le problème réside ? 481 2.2 Problèmes survenant lors de la phase 1 490 2.2.1 Problème de clé partagée 490 2.2.2 Divergence sur le mode d'établissement : main ou aggressive 493 2.2.3 Mauvaise identification d'une des deux extrémités 494 2.2.4 Problèmes liés au groupe Diffie-Hellman 495 2.2.5 Problèmes liés aux réglages de cryptage et d'authentification 496 2.2.6 Conseils pratiques pour la résolution de problèmes de phase 1 497 2.3 Problèmes survenant lors de la phase 2 498 2.3.1 Discordance dans les réseaux à router à l'intérieur du tunnel 498 2.3.2 Discordance dans le mode (tunnel ou transport) 501 2.3.3 Discordance dans les réglages PFS 503 2.3.4 Discordance dans les protocoles (AH ou ESP) 504 2.3.5 Discordance dans les paramètres de cryptage et d'authentification 505 2.3.6 Conclusions sur les problèmes de Phase 2 505 2.4 Problèmes survenant après les phases 1 et 2 dans un contexte simple (Paris-Grenoble) 506 2.4.1 Le trafic ne parvient pas au pare-feu de Paris 509 2.4.2 Le trafic ne quitte pas le site de Paris 511 2.4.3 Le trafic ne parvient pas au pare-feu de Grenoble 511 2.4.4 Le trafic ne parvient pas au matériel visé sur Grenoble 514 2.4.5 Le trafic n'est pas accepté par le matériel de Grenoble 516 2.4.6 La réponse ne parvient pas au pare-feu de Grenoble 517 2.4.7 La réponse ne quitte pas le site de Grenoble 517 2.4.8 La réponse ne parvient pas au pare-feu de Paris 518 2.4.9 La réponse ne parvient pas au poste demandeur sur Paris 519 2.4.10 Considérations générales 519 2.5 Problèmes survenant après les phases 1 et 2 dans un contexte complexe (Paris-Auxerre par exemple) 520 2.6 Problèmes survenant avec des VPN IPsec pour postes Nomades 521 3. Problèmes survenant en cours de vie des VPN IPsec 523 3.1 VPN tombé et ne remontant plus 523 3.2 VPN tombant régulièrement 524 3.3 Surveillance des VPN 525 4. Problèmes liés aux VPN SSL 526 1. Objectifs du chapitre 527 2. Compléments sur Diffie-Hellman 527 3. PFS (Perfect Forward Secrecy) 532 4. Compléments sur les certificats 533 5. Compléments sur les protocoles de chiffrage DES, 3DES, AES 539 5.1 DES (Data Encryption Standard) 540 5.2 3DES ou Triple Data Encryption Algorithm (TDEA) 540 5.3 AES (Advanced Encryption Standard) 541 5.4 Blowfish 541 6. Principaux RFC 541 7. Quelques livres 542 8. Quelques liens pour finir 543 Index
En ligne :	https://www.amazon.fr/VPN-Fonctionnement-maintenance-R%C3%A9seaux-Virtuels/dp/27 [...]
Permalink :	./index.php?lvl=notice_display&id=14625