VPN : `` Cesam ouvre toi ''

\includegraphics[width=120mm]{images/vpn.eps}

Voici le principe du VPN réduit à sa plus simple expression mais elle suffit à comprendre l'idée qui consiste à dire que comme dans le cadre de ce genre de solution si une isolation (chiffrement, contrôle de l'intégrité etc.?) est assurée entre par exemple un client VPN à Lyon et le serveur qui se trouve à Grenoble, quiconque réussit par un quelconque moyen à compromettre la sécurité du client s'ouvre les portes du réseau distant. Cette idée si elle parait triviale est lourde de conséquence car elle peut se traduire concrètement par l'accès à des partages NFS ou netBios, la modification d'entrées dans les annuaires Ldap, l'accès à la comptabilité de l'agence de Grenoble, etc.

En réalité cette situation fait immédiatement penser à une architecture pare-feu de type Bastion.

Il est important d'expliquer, et ceci rejoint l'idée que se fait W.R Bellovin(*) des laboratoires Bell, que le terme de firewall est en réalité dans la plupart des cerveaux des administrateurs réduit à sa plus simple expression concrète : le filtre de PDU(**) (Protocol Data Unit) suivant le niveau OSI où l'on se trouve.

(*) Steven M Bellovin est chercheur pour les laboratoires Bell AT&T et est un pionnier des scientifiques qui se sont penchés sur la question de la sécurité et du chiffrement, il est membre de la `` National Academy of Engineering ''.

(**) l'unité de donnée de chaque couche OSI comme les N-PDU (N comme Network)  peuvent être des "datagrammes" IP ou les T-PDU (T comme Transport) peuvent être des "segments" dans le cas de TCP , les LPDU (L comme Link) des `` trames '' dans le cas de la couche de liaison. On devrait en réalité parler d' `` architectures  pare feu '', les deux plus courantes sont les suivantes :

Une seule DMZ (partie du réseau dans restriction d'accès) :

\includegraphics[width=120mm]{images/dmz.eps}

Et l'architecture en bastion citée plus haut ou une seule et même machine dédiée constitue le firewall (filtre de paquets), ce peut être un routeur (Cisco propose des filtres dans ses routeurs) ou une machine avec un système réduit à sa plus simple expression.
Cette solution n'est pas moins sécurisée que l'autre plus complexe cela dépend entièrement du contexte.

Revenons à notre situation du client VPN dans son réseau privé, la première solution qui vient à l'esprit est de sécuriser le client en faisant des mises à jour régulières du noyau, du système (démons, softs) et de filtrer correctement via un `` pare feu '' comme iptables etc.

En réalité, la porte d'entrée du réseau distant a été déporté dans ce réseau local et nécessite une architecture un minimum sécurisée et en l'occurrence centraliser la sécurisation sur le client revient à en faire un bastion du point de vue du réseau distant.



Sous-sections
root 2004-05-04