[ Accueil ] [ Avant propos ] [ Les clés du chiffrement ] [ Méthodes ] [ OpenVPN simple ] [ OpenSSL ] [ Tunnel sécurisé ] [ Applications ]
Dans la pile des protocoles réseau, il est courant d'utiliser le chiffrement :
dans le noyau du système, au niveau IP, avec IPsec. Ainsi, tout ce qui passera sur le réseau sera automatiquement chiffré suivant les règles établies sans que les applications n'aient à s'en soucier,
dans l'espace utilisateur, au niveau des applications elles-mêmes, qui choisiront ou non de chiffrer, avec par exemple, SSL (Secure Socket Layer). HTTPS en est une illustration, comme IMAPS, POPS ou encore SSH.
SSL, développé au départ par Netscape a été repris en OpenSource sous le nom de TLS : Transport Layer Security. Protocole de sécurisation de la couche transport, défini par la RFC 2246. La version 1.0 de TLS est en fait SSL v3 (définition donnée par "le jargon français")
Comme nous n'allons bien entendu pas nous contenter de théories, nous allons mettre en oeuvre SSL, qui est donc un procédé de chiffrement dans l'espace utilisateur, à travers un système de tunnels connu : OpenVPN.
Ailleurs dans ce site, il est étudié un autre tunnel : GRE, qui n'est pas sécurisé et qui travaille en mode noyau, mais un tunnel reste un tunnel. Nous retrouverons donc des concepts communs.
OpenVPN est un système puissant, qui offre beaucoup de possibilités, qui vont du simple tunnel, n'apportant rien de plus qu'un tunnel GRE, jusqu'à un tunnel très sécurisé. OpenVPN propose :
Toutes ces fonctionnalités peuvent être mises en oeuvre, si nécessaire, mais ce n'est pas une obligation, ce qui permet d'adapter le tunnel à ses besoins du moment, en conservant le maximum de bande passante.
Contrairement à d'autres concurrents, nous allons ici faire passer une connexion TCP dans un tunnel réalisé sur UDP. L'avantage est que le support du tunnel est plus souple qu'une connexion TCP, qui nécessite l'établissement complet d'une nouvelle connexion en cas de rupture, ce qui oblige par voie de conséquence à rétablir également la connexion TCP dans le tunnel.
OpenVpn fonctionne sur le modèle "client/serveur" :
OpenVpn, du fait qu'il utilise un seul port UDP, pourra facilement passer à travers un routeur/pare-feu, si ce routeur sait faire du "port forwarding". Ainsi il sera possible d'établir un tunnel entre deux machines situées toutes deux dans des réseaux distants, connectés à l'internet par des routeurs/pare-feux, sans rien avoir à installer sur ces routeurs, il suffira juste de "forwarder" le port UDP utilisé pour le tunnel.
Avec un peu d'astuce, il sera possible de relier par un tunnel OpenVpn :