Journal du Net > Solutions > Systèmes-Réseaux >  10 conseils pour déployer un VPN
Dossier
 
29/03/2011

10 conseils pour déployer un VPN

Sécurité, fiabilité, qualité de service ou redondance : autant de points clés à ne pas négliger lors de la constitution d'un lien réseau distant sécurisé.
  Envoyer Imprimer  

 
En savoir plus
 
 
 

Le VPN - ou réseau privé virtuel - consiste à mettre en place une liaison permanente, distante et sécurisée entre deux sites d'une entreprise ou entre une flotte d'utilisateurs itinérants et un serveur d'entreprise. Sur ces réseaux longues distances, les VPN se posent en alternative des lignes spécialisées, utilisant le canal Internet moins cher que l'installation de câbles, pour transmettre les données confidentielles.

Seulement, pour sécuriser cette transmission, les communications s'effectuent par le biais d'un protocole d'encapsulation de l'information, comme par exemple IPSec. Une étape obligatoire qui occasionne un léger ralentissement des débits pour une meilleure sécurité.

De plus en plus, les VPN deviennent des supports pour des applications critiques, comme l'accès à un ERP à distance ou l'utilisation de la voix sur IP. Disponibles à des coûts relativement bas, les VPN contribuent au développement de la mobilité en entreprise et à la notion d'entreprise étendue.

Comment s'assurer de l'efficacité du lien en fonction de ses besoins ? Quelles sont les économies potentielles à réaliser ? Sur quels critères évaluer les différents produits ? Quelles fonctions de sécurité mettre en place ? Voici 10 points essentiels à vérifier avant de se lancer sur ce type de projet.

1- Analyser ses besoins et anticiper l'évolution du lien VPN
Première étape de la mise en place d'un VPN, l'étude des besoins doit permettre de mettre en avant le nombre d'utilisateurs potentiels du lien VPN, les applications concernées et le débit maximum consommé. Il est généralement plus prudent de prévoir un matériel évolutif au cas où l'utilisation réelle du lien donnerait lieu à de nouveaux besoins et à une surconsommation de bande passante.

«Comme le trafic est difficile à évaluer, il est parfois nécessaire de procéder à du monitoring de flux et de sur-provisionner au début. Au bout de la première phase de choix, il est pertinent de prévoir une analyse de la montée en charge. Dans le cas d'applications spécifiques, notamment webifiées, l'entreprise aura peut être intérêt à louer son équipement», déclare Sébastien Roux, consultant sécurité chez Lexsi.

2- Faire un état des lieux de l'existant
Soit parce que l'entreprise possède un pare-feu ou un routeur dotés de fonctions VPN, soit parce que son fournisseur d'accès Internet peut lui offrir un lien VPN sans équipement supplémentaire : le client peut parfois minimiser son investissement de départ. «Certains routeurs évolués font du VPN mais nous conseillons généralement de racheter un équipement pour combiner pare-feu et routeur. Dans 95% des cas, l'entreprise n'utilisera pas ses routeurs Internet», explique Sébastien Roux.

«En fonction des besoins de l'entreprise, une solution tout en un peut se révéler plus intéressante en terme de coût, mais pour une question de sécurité, nous préconisons plutôt des équipements séparés. Tout dépend évidemment de la société à laquelle on s'adresse. Pour une PME qui fait transiter des informations peu critiques, ils préféreront une solution tout en un», ajoute le consultant sécurité de Lexsi.

3- Adapter sa technologie de cryptage en fonction de ses besoins
Pour des utilisateurs fervents de mobilité, un VPN SSL offrira des fonctions intéressantes, comme le fait de pouvoir accéder à ses applications à partir d'un simple navigateur, sans installation d'un client. Il existe trois autres formes de VPN, le PPTP ou L2TP, l'IPSec et le VPN opérateur. Dans ce dernier cas, c'est l'opérateur télécom qui se charge du choix de la technologie, elle est donc transparente pour l'utilisateur.

«D'une certaine manière, le VPN SSL repose sur une application centrale plus lourde que du VPN IPSec puisqu'elle gère des choses qui ne sont pas prévues par le protocole SSL. Ces VPN répondent à des besoins bien spécifiques de mobilité. Au contraire, le VPN IPSec adresse les entreprises qui ont besoin d'un accès permanent et complet à leur réseau, soit en temps, soit en services. Pour des besoins moins permanents ou pour les entreprises qui préfèrent simplifier l'installation du VPN, le PPTP offre une alternative car il est directement gérer par Windows», affirme Jean-Marc Boursot, responsable technique de la société de conseil en sécurité informatique Ankeo.

4- Ne pas sous-estimer le coût de la solution
Outre le prix du matériel, et du service fournit par l'opérateur, il faut intégrer le prix de la liaison Internet, la qualité de service garanti, la garantie de temps de rétablissement, les équipements de sécurité à rajouter, le coût de conception du lien VPN (mobilisation de l'effectif en interne et chez le prestataire), le logiciel client et des options. Le prix d'une liaison VPN sera par la suite affecté par la formation, l'administration et la maintenance de la solution.

5- Choisir entre une architecture centralisée ou éclatée
Selon le trafic engendré, le client aura parfois intérêt à s'orienter vers une architecture centralisée, où les différents points VPN se relient à un site central, pour lequel il faudra augmenter le débit de la ligne. Cependant, cette architecture permet de simplifier l'administration et la configuration de la solution. Dans le cas d'un site éclaté, des ajustements peuvent être faits en terme de débits mais le nombre d'équipements et la complexité de l'administration augmente au fur et à mesure que les liens VPN se multiplient.

6- S'assurer du bon dialogue entre les deux équipements constituant le VPN
Pour cela, la première étape consiste à s'assurer que les deux équipements en bout de ligne disposent des mêmes algorithmes de chiffrement. «La bonne démarche consiste à prendre les deux équipements, à les configurer à l'identique : soit en clé partagée, soit en clé unique. Il faut alors vérifier que les deux équipements disposent de la même clé pour dialoguer puis on installe un PC relié au premier réseau et un deuxième PC relié au second réseau. Il suffit alors de vérifier que la communication s'effectue sans problème», souligne Sébastien Roux.

7- Ne pas négliger la bande passante disponible
Les boîtiers d'entrées de gamme peuvent rapidement saturer dès lors que l'entreprise multiplie les tunnels VPN. En montant en gamme, les boîtiers intègrent des fonctions de compression et d'accélération de flux qui règlent ces problèmes. La limitation porte alors principalement sur la bande passante disponible. «Pour un lien VPN, il faut être particulièrement attentif à cette notion de bande passante car le débit montant d'un lien représente le débit descendant de l'autre. Il convient donc de ne pas sous-estimer l'un par rapport à l'autre», note Jean-Marc Boursot.

Autre mise en garde, il est conseiller de confier la gestion de cette bande passante à un seul opérateur, car il peut arriver d'avoir une liaison chez un opérateur, une autre chez un autre. Lors d'un dysfonctionnement, les deux prestataires risquent de se renvoyer la balle et il devient très difficile de déterminer les responsabilités dès lors que le flux peut avoir été perdu entre les deux réseaux.

8- S'assurer de la fiabilité et de la qualité de service du lien VPN
Parce qu'il sert pour des applications de plus en plus critiques, le lien VPN doit faire l'objet de toutes les attentions, en particulier : prévoir une liaison Internet de secours, au cas où le réseau du fournisseur principal tomberait, disposer de boîtiers VPN équipés d'une liaison Numéris de secours. Enfin, une entreprise devra vérifier que son prestataire de services peut accompagner sa présence à l'international et rétablir des liens partout où elle est présente.

Pour prévenir une chute d'un lien VPN, il est essentiel de bien définir la qualité de service du lien, c'est à dire d'organiser les priorités des différents flux, notamment pour les applications nécessitant une forte interaction avec l'utilisateur. Des applications logicielles comme celles de Citrix peuvent alors aider à garantir cette qualité de service.

9- Contrôler la sécurité des accès mobiles par le biais du VPN
Parce qu'il peut être volé, et être accessible par tous ou presque, le portable est un élément particulièrement dangereux car il peut engendrer une intrusion sur le réseau de l'entreprise par le biais du VPN. Se pose alors la question de l'authentification. Avec une clé unique, de type calculatrice ou un serveur Radius, la connexion gagne d'une part en sécurité. Mais cette mesure ne suffit généralement pas pour des documents très confidentiels.

«Il faut éviter de conserver des données critiques à l'extérieur de l'entreprise en cryptant non seulement les communications mais en verrouillant la sauvegarde à distance. Il faut aussi limiter la personne en terme d'applications disponibles et gérer ces connexions par l'intermédiaire d'une zone tampon ou DMZ. Cette zone isole le réseau contre d'éventuelles attaques ou codes malveillants», analyse Jean-Marc Boursot. Enfin, les spécialistes sécurité et réseau recommandent de ne pas laisser à l'utilisateur la possibilité d'ouvrir une connexion VPN avec une connexion Internet classique, pour ne pas multiplier les portes ouvertes sur le réseau de l'entreprise.

 
En savoir plus
 
 
 

10- Ajuster et optimiser l'efficacité et la sécurité de son VPN
Une fois en place, le lien VPN doit être entretenu, soit par le prestataire, soit par les équipes informatiques internes. Pour éviter le gaspillage, un monitoring des flux et une gestion des priorités doit s'adapter aux différents usages et aux remontées des utilisateurs. Outre la gestion de la bande passante et des équipements, l'administrateur devra mettre en place des journaux de sécurité et surveiller par le biais d'alertes lorsqu'une connexion suspecte s'établit sur un lien VPN. Des audits peuvent mettre en exergue ce type de problème.


JDN Solutions Envoyer Imprimer Haut de page

Sondage

Votre entreprise évolue-t-elle vers une informatique bimodale ?

Tous les sondages