Infrastructure & Chantiers
Déployer un VPN: état de l'art
Cet article revient sur les bonnes pratiques de mise en oeuvre un réseau privé virtuel: ressources nécessaires, adaptation à l'existant, pièges courants... (Mercredi 10 juillet 2002)
     
Qu'est-ce qu'un réseau privé virtuel ? Traduit de l'anglais Virtual Private Network (VPN), ce terme désigne une solution destinée à établir un tunnel de communication chiffré entre un ou plusieurs sites distants. Tirant parti de systèmes de chiffrement comme MPLS ou IPSec, une telle connexion qui s'adosse à un réseau de communication existant (tel qu'Internet) a généralement pour but de sécuriser les flux de données transmis entre diverses implantations d'une même entreprise, ou encore entre un système d'entreprise et des salariés travaillant à distance.

Impliquant plusieurs équipes souvent éloignées les unes des autres, le déploiement d'un réseau privé virtuel demande d'appliquer une méthodologie particulière.

Prendre garde aux ressources nécessaires à la maintenance d'un VPN
La maintenance d'un réseau privé virtuel nécessite de nommer un administrateur qui sera notamment chargé de déployer et d'administrer la solution choisie. A ses côtés, il est bon de désigner également deux autres personnes : l'une pour coordonner les accès, l'autre pour gérer le support technique aux utilisateurs finaux.

Vérifier la compatibilité de la solution avec l'existant informatique de l'entreprise
Avant de déployer une solution de VPN, il est important de contrôler si le réseau TCP/IP de l'entreprise est correctement configuré en vue de supporter le nouveau système de filtrage. Autre élément à observer : l'existence d'un port pour permettre au serveur de proxy utilisé d'accueillir le trafic en provenance du VPN.

Administrer avec beaucoup de soin les informations d'accès...
Un VPN donne accès au réseau interne d'une entreprise depuis l'extérieur. Dans certains cas, l'administration des accès et le contrôle des actions effectuées par les utilisateurs deviennent des tâches particulièrement critiques. Le tableau ci-dessous tente de faire le point sur les bonnes pratiques à suivre dans ce domaine.

La gestion des informations d'accès
1
 Modifier régulièrement les mots de passe de connexion, tous les deux mois par exemple.
2
Inciter les utilisateurs à définir des mots de passe complexes, associant par exemple des lettres, des chiffres et des symboles.
3
Gérer le processus d'administration des mots de passe depuis une application centralisée.

Prendre soin des connexions ouvertes par des salariés depuis leur domicile
Un accès créé pour être ouvert depuis le domicile d'un salarié doit faire l'objet d'une attention toute particulière. La machine en question peut en effet souffrir de certains défauts de sécurité...

Ce manque trouve une première réponse dans l'élaboration d'une charte passant en revue l'ensemble des outils (antivirus, pare feu, etc.) qu'un utilisateur s'engage à installer avant de se connecter. Une démarche qui passe aussi, généralement, par la mise en place de sessions de formation et la fourniture, par exemple, de CD-ROMs contenant toutes les applications nécessaires.

Un cas particulier : les réseaux privés virtuels basés sur le protocole SSL
Certaines solutions de VPN reposent sur le protocole de chiffrement SSL (Secure Socket Layer). Principal avantage de cette méthode : à la différence des systèmes utilisés par les produits traditionnels, elle ne nécessite pas d'installer de logiciel sur le poste utilisateur. Le client accède par le biais d'un navigateur à des applications délivrées par un serveur Web. Un élément qui, au total, contribue à faciliter le travail des administrateurs.

Reste qu'à la différence d'autres outils, ce type de solution reste cantonné aux applications Web.

Assistance technique : deux règles à connaître

L'authentification de certains postes nécessitent une procédure particulière
Le paramétrage des accès depuis des postes (Windows NT/2000) placés à l'extérieur du domaine réseau relatif au VPN répond à une règle particulière. Au nom d'utilisateur lié à la connexion en question, il est nécessaire d'adjoindre le nom de domaine du réseau en question (sous la forme : nom de domaine/nom d'utilisateur).

La résolution d'adresse IP peut se révéler parfois difficile
On constate que certains systèmes d'exploitation (Windows 95, Windows 98 et Windows NT notamment) peinent à traduire sous forme d'adresses IP les noms de domaines (DNS) saisis pour accéder par le biais d'un VPN à des ressources serveur. Ce défaut proviendrait d'un manque de fiabilité de ces systèmes lorsqu'il s'agit de parcourir des serveurs de DNS. Pour régler cette difficulté, il suffirait de taper l'intégralité d'un nom de domaine (http://nomdedomaine/sousnomdedomaine) sans se contenter de sa terminaison logique.

[Antoine Crochet Damais, JDNet]
 
Accueil | Haut de page
 
 

  Nouvelles offres d'emploi   sur Emploi Center
Auralog - Tellmemore | Publicis Modem | L'Internaute / Journal du Net / Copainsdavant | Isobar | MEDIASTAY

Gratuit - L'actualité des technologies
e-business
Toutes nos newsletters
 
 
 
 
 
 
Logiciels libres
Retours d'expérience, panorama, analyses.
Sommaire
 
Failles de sécurité
Vulnérabilités des logiciels & évaluation des risques.
Sommaire
 
 

Les entreprises de l'Internet
Plus de 5000 sociétés référencées

Les prestataires
Plus de 2600 prestataires

Les fonds
Plus de 100 fiches descriptives

Le carnet des managers Internet
Plus de 1500 dirigeants

Guide des solutions
Plus de 310 briques logicielles