Comment fonctionne un VPN?

Questions-réponses clés

Pourquoi les entreprises utilisent-elles des VPN?

Les VPN constituent un moyen rentable de connecter les utilisateurs distants au réseau d’entreprise en toute sécurité tout en améliorant les vitesses de connectivité. Avec les VPN, les entreprises peuvent utiliser un accès Internet tiers à large bande passante au lieu de liaisons WAN dédiées (réseau étendu) ou de liaisons longue distance à distance.

Qu’est-ce que l’accès à distance sécurisé?

L’accès à distance sécurisé est une méthode pour connecter en toute sécurité des utilisateurs et des périphériques distants à un réseau d’entreprise. Il inclut la technologie VPN, qui authentifie les utilisateurs ou les périphériques, confirmant qu’ils répondent à certaines exigences, également appelées « positions », avant de pouvoir se connecter au réseau à distance.

Qu’est-ce qu’un « tunnel » VPN?

Un « tunnel » est la connexion chiffrée établie par un VPN afin que le trafic sur le réseau virtuel puisse être envoyé en toute sécurité sur Internet. Le trafic VPN provenant d’un appareil tel qu’un ordinateur ou un smartphone est chiffré lors de son passage dans le tunnel VPN.

Types de VPN cryptés

VPN d’accès à distance : ordinateur à réseau

Un VPN d’accès à distance étend presque toutes les applications de données, vocales ou vidéo à un périphérique distant, également appelé « point d’extrémité » ou hôte. La technologie VPN avancée permet d’effectuer des contrôles de sécurité sur les points d’extrémité pour s’assurer qu’ils respectent une certaine posture avant de pouvoir se connecter au réseau.

VPN SSL et IPsec

Le VPN de protocole SSL et la sécurité IP (IPsec) sont des tunnels et des technologies d’authentification. Les entreprises peuvent utiliser le VPN SSL, IPsec ou les deux pour déployer un VPN d’accès à distance, en fonction des exigences de déploiement. Le VPN SSL et IPsec protègent les données traversant le VPN contre tout accès non autorisé.

Pour plus de renseignements sur l’utilisation de ce type de technologie VPN, consultez les sections Avantages clés du VPN SSL et Risques généraux du VPN SSL sur cette page. Pour un aperçu de l’utilisation de ce type de technologie VPN, consultez la section Types de topologies VPN, également sur cette page.

VPN IPsec de site à site : réseau à réseau

Un VPN IPsec de site à site permet aux entreprises d’étendre leurs ressources réseau aux succursales, bureaux à domicile et sites de partenaires commerciaux. Les organisations utilisent des VPN de site à site lorsque la distance ne permet pas d’établir des connexions réseau directes entre ces sites. L’établissement et le maintien de connexions VPN de site à site nécessitent un équipement dédié.

Avantages clés de VPN SSL

Il est intégré aux navigateurs Web modernes

La fonction VPN SSL est déjà intégrée aux navigateurs Web modernes, permettant aux utilisateurs de n’importe quel emplacement Internet de lancer un navigateur Web pour établir des connexions VPN d’accès à distance. La technologie VPN SSL peut non seulement aider à augmenter la productivité de la main-d’œuvre, mais également à réduire les coûts du logiciel client VPN et du soutien.

La plupart des utilisateurs n’ont pas besoin d’installer de logiciel client

SSL VPN utilise le protocole SSL et son successeur, Transport Layer Security (TLS), pour fournir une connexion sécurisée entre les utilisateurs distants et les ressources réseau internes. Étant donné que la plupart des navigateurs Web disposent désormais de SSL/TLS, les utilisateurs n’ont généralement pas besoin d’installer de logiciel client pour utiliser VPN SSL. Voilà pourquoi le VPN SSL est également appelé « VPN sans client » ou « VPN Web ».

Il est flexible pour les utilisateurs finaux

Le VPN SSL est également facile à utiliser. Différents fournisseurs de VPN IPsec peuvent avoir des exigences d’implémentation et de configuration différentes. Cependant, le VPN SSL nécessite uniquement que les utilisateurs disposent d’un navigateur Web moderne. Les utilisateurs peuvent même choisir leurs navigateurs Web préférés sans être limités par le système d’exploitation.

Risques généraux du VPN SSL

Risques liés aux identifiants de l’utilisateur

La sécurité VPN est aussi solide que les méthodes utilisées pour authentifier les utilisateurs et les périphériques à l’extrémité distante de la connexion VPN. Les méthodes d’authentification simples sont sujettes à des attaques de « craquage » de mot de passe, à l’écoute clandestine ou même à des attaques d’ingénierie sociale. L’authentification à deux facteurs est une exigence minimale pour fournir un accès distant sécurisé à un réseau d’entreprise.

Propagation des menaces provenant d’ordinateurs distants

L’accès à distance est un vecteur de menace majeur pour la sécurité du réseau. Un ordinateur distant qui ne répond pas aux exigences de sécurité de l’entreprise peut potentiellement transmettre une infection, comme un ver ou un virus, de son environnement réseau local au réseau interne. Un logiciel antivirus à jour sur l’ordinateur distant est essentiel pour atténuer ce risque.

Tunnellisation fractionnée

La tunnellisation fractionnée se produit lorsqu’un périphérique situé à l’extrémité distante d’un tunnel VPN échange simultanément le trafic réseau avec les réseaux public et privé sans placer d’abord tout le trafic réseau à l’intérieur du tunnel VPN. Cela peut permettre aux attaquants du réseau partagé de compromettre l’ordinateur distant et d’accéder au réseau privé.

Types de topologies VPN

Les 3 topologies VPN principales

Une topologie VPN spécifie les homologues et les réseaux qui font partie du VPN et comment ils se connectent les uns aux autres. Voici un aperçu rapide des trois principaux types de topologies :

• Configuration en étoile (Hub-and-spoke)
  Dans cette topologie VPN, plusieurs périphériques distants (rayons) communiquent en toute sécurité avec un périphérique central (concentrateur). Un tunnel séparé et sécurisé s’étend entre le moyeu et chaque rayon.
• Point à point
  L’établissement de cette topologie nécessite de spécifier deux points d’extrémité en tant que périphériques homologues qui communiqueront directement entre eux. L’un ou l’autre périphérique peut établir la connexion.
• Maillage intégral
  Dans cette topologie, qui fonctionne bien dans les réseaux complexes, chaque périphérique du réseau peut communiquer avec tous les autres périphériques via un tunnel IPsec unique.

Topologies implicitement prises en charge

Les trois topologies VPN principales peuvent également être combinées pour créer des topologies plus complexes, notamment :

• Maillage partiel
  Il s’agit d’un réseau dans lequel certains périphériques sont organisés selon une topologie à maillage intégral, et d’autres périphériques forment soit une connexion en étoile ou une connexion point à point avec certains des périphériques entièrement maillés.
• Configuration en étoile à niveau
  Il s’agit d’un réseau de topologies à configuration en étoile dans lequel un périphérique peut se comporter comme un concentrateur dans une ou plusieurs topologies et à rayons dans d’autres topologies. Le trafic est autorisé des groupes de rayons vers leur hub le plus immédiat.
• Configuration en étoile jointe
  Il s’agit d’une combinaison de deux topologies (en étoile, point à point ou maillage complet) qui se connectent pour former un tunnel point à point.

Soyez attentif aux contraintes de stratégie IPsec

Une stratégie IPsec définit les caractéristiques du VPN de site à site, telles que les protocoles de sécurité et les algorithmes utilisés pour sécuriser le trafic dans un tunnel IPsec. Une fois qu’une organisation a créé une topologie VPN, elle peut configurer les stratégies IPsec qu’elle applique à cette topologie, en fonction de la technologie IPsec affectée.

Gardez à l’esprit que toutes les stratégies IPsec ne peuvent pas être appliquées à toutes les topologies VPN. Ce qui est appliqué dépend de la technologie IPsec affectée à la topologie VPN. De plus, la technologie IPsec attribuée à un VPN dépend du type de topologie.