Pour véhiculer tous les flux entre sites

IPSec convient aux liaisons entre sites d'une entreprise. Mais revenons sur l'aspect technique. Les réseaux privés virtuels (RPV ?" ou VPN, pour Virtual Private Network) utilisent la procédure du tunnel, ou tunneling. Celle-ci consiste à placer les trames d'un protocole dans celles d'un autre, afin de faciliter le transport du premier. Le protocole de transport appartient au même niveau ou à celui immédiatement inférieur que le protocole transporté, selon le modèle OSI. L'exemple type est celui de la transmission de données entre deux sites d'une entreprise au travers d'un réseau public. Dans le tunnel qui traverse ce dernier, sont placées les trames sortant du routeur de l'entreprise. Les routeurs ne voient pas les trames d'un réseau d'entreprise, mais celles du réseau public.Le tunneling s'apparente à une encapsulation. D'ailleurs, la différence entre les deux paraît ténue. Traditionnellement, on réserve le terme de tunnel aux couches basses du réseau et celui d'encapsulation, aux couches hautes (à partir de la couche 4). On parle également d'encapsulation lorsqu'on place un protocole de bas niveau du modèle OSI dans un autre de niveau supérieur. Par exemple, lorsqu'on transporte des trames Ethernet (de niveau 2) dans des paquets MPLS IP (de niveau 3) : c'est l'encapsulation Martini, du nom de son inventeur.

Associer tunnel et cryptage

Historiquement, de nombreux types de tunnels ont vu le jour... Le plus connu restant L2TP (Layer 2 Tunneling Protocol), né de la fusion des technologies PPTP (Point to Point Tunneling Protocol) de Microsoft et L2F (Layer 2 Forwarding) de Cisco. Tunnel de niveau 2, il n'est aujourd'hui plus guère utilisé, sinon par quelques fournisseurs d'accès pour des connexions par modem. A ce stade, on ne parle pas de chiffrement. En effet, dans un tunnel, les données circulent en clair. Or une entreprise qui utilise un réseau public pour relier ses sites recherche la confidentialité des informations échangées. D'où la nécessité de chiffrer les trames. Dans le cas d'un tunnel L2TP, un mécanisme de cryptage doit donc être ajouté.Profitant de la vague IP, le protocole IPSec, de niveau 3, s'est très tôt imposé comme la technologie type pour créer des réseaux privés virtuels à base de tunnels. Il combine les fonctions de tunnel et de cryptage, et met en ?"uvre les algorithmes de chiffrement DES, 3DES et AES. Au départ, IPSec était conçu pour fonctionner avec IPv6. Mais comme ce dernier tardait à s'imposer et que la demande de RPV cryptés se faisait pressante, IPSec a finalement été intégré à IPv4.Dans les grandes lignes, le logiciel IPSec est installé sur la passerelle équipant chaque site à connecter de l'entreprise. Des tunnels cryptés permanents sont créés entre le siège social et les sites distants (topologie en étoile) ou, plus rarement, entre tous les sites (topologie maillée). Le tunnel se comporte comme un prolongement du réseau local distant, et l'utilisateur accède à toutes les ressources internes. Pour le limiter, il faut configurer le pare-feu sur le site principal.Au départ, la passerelle IPSec logeait dans un boîtier spécifique. Mais les RPV se développant, passerelle IPSec et pare-feu ont été intégrés dans le même équipement, puisqu'ils participent tous deux à la sécurité des communications de l'entreprise. L'évolution va même plus loin, avec l'arrivée des boîtiers UTM (Unified Threat Management). Aux fonctions de passerelle RPV et de pare-feu, UTM ajoute celles d'antivirus, de filtrage d'URL, de détection et de prévention des intrusions. On les trouve surtout sur les sites secondaires et les agences. Les sites importants restent dotés de puissants équipements spécialisés.

Des contraintes pour les utilisateurs distants

L'intérêt majeur d'IPSec est de constituer un véhicule tout terrain : placé au niveau réseau (la couche 3 du modèle OSI), il transporte tous les trafics, y compris les flux web. Une solution idéale, donc, pour les RPV entre sites.Avec le développement de la mobilité, les entreprises ont entrevu la possibilité de gains de productivité en autorisant les collaborateurs en déplacement ou les télétravailleurs à se connecter à leurs applications (messagerie, logiciel métier). Un logiciel client IPSec a donc été installé sur leurs PC, ainsi que sur leurs PDA. Ils peuvent se connecter en toute sécurité au réseau de l'entreprise depuis un hôtel, un réseau radio public (hotspot), ou encore une salle de congrès. Ainsi, le RPV IPSec constitue la réponse optimale face aux problèmes de sécurité posés par les hotspots. Interceptées, les informations demeurent indéchiffrables.Séduisante, la solution présente toutefois des points faibles. Etabli au niveau 3, le tunnel IPSec traverse les pare-feu. C'est sans conséquence pour les configurations fixes, établies une fois pour toutes (liaison site à site ou avec le PC distant d'un collaborateur sédentaire). Mais ça ne l'est pas pour le nomade, qui peut, lui, rencontrer des problèmes de connexion en fonction du réseau où il se trouve. Autre inconvénient, IPSec nécessite un logiciel client, qu'il faut installer sur chaque PC et maintenir à jour. Opération souvent délicate quand le parc comporte plusieurs milliers de postes. Enfin, même si IPSec profite d'une normalisation, il est recommandé d'utiliser le client et la passerelle IPSec du même fournisseur pour éviter tout problème.