Les technologies des Réseaux Privés Virtuels en pleine évolution

Par 13 mai 2002
Mots-clés : Smart city, Europe

Les technologies de RPV (réseaux privés virtuels) permettent depuis longtemps aux entreprises de bâtir un réseau privé, sans avoir à payer des infrastructures totalement dédiées ...

Les technologies de RPV (réseaux privés virtuels) permettent depuis longtemps aux entreprises de bâtir un réseau privé, sans avoir à payer des infrastructures totalement dédiées. Ces réseaux privés virtuels sont en pleine mutation technologique. Une nouvelle offre a mûri : les IP VPN. Le point sur les avantages et les faiblesses des différentes technologies. Intranet entre filiales dispersées et utilisateurs nomades, Extranet reliant fournisseurs et clients, plusieurs solutions techniques existent pour mettre en place un réseau privé sécurisé et performant entre les membres d'une même communauté. L'une d'entre elles consiste évidemment à louer ses propres liaisons fixes et assurer soi-même maintenance et exploitation. Mais cela revient souvent très cher... D'autant qu'une alternative existe. En autorisant l'isolement de flux à l'intérieur de câbles publics et le partage des capacités de transmission entre plusieurs utilisateurs, les technologies de réseaux privés virtuels (RPV ou Virtual Private Networks - VPN en anglais) offrent la connectivité attendue tout en divisant les coûts. Gérés et mis en œuvre par un tiers, ces réseaux ne font pour l'entreprise aucune différence avec une infrastructure totalement privée. Celle-ci, pourtant, n'existe plus.Mettre en place un VPN consiste en quelque sorte à creuser virtuellement des connexions privées à l'intérieur d'un câble mutualisé. Depuis longtemps proposé par les opérateurs, ce service restait jusqu'à présent cher et lourd à gérer. Il fallait l'améliorer. Comment ? En adaptant les VPN au protocole IP (on parle alors d'IP VPN).Cette technologie, à l'origine de l'Internet en raison de sa capacité à cimenter des réseaux hétérogènes, apporte désormais une exploitation facilitée, et la possibilité d'utiliser la Toile comme réseau public d'interconnexion… pour le coût d'une simple communication locale ! VPN sur Frame RelayPour mieux comprendre en quoi consiste la nouveauté, un état des lieux s'impose. Jusque là, les offres des opérateurs s'appuyaient surtout sur la technologie Relais de Trame (Frame Relay). Alors que dans le cas d'une liaison louée fixe, l'opérateur vend une capacité de transmission bloquée en permanence pour son client, le Relais de Trame lui permet de n'accorder qu'une liaison virtuelle, active uniquement lorsque l'entreprise l'utilise. "Les VPN de ce type sont un service que nous proposons depuis toujours, confirme David Brette, responsable marketing VPN - sécurité chez Cable&Wireless. Le principe consiste à créer entre deux points ce que nous appelons un circuit virtuel permanent (Permanent Virtual Circuits, PVC)." Ainsi, dès qu'un paquet est envoyé, il suivra toujours le même chemin, programmé à l'avance dans les équipements du réseau. Cette technique permet à la fois d'isoler les flux à l'intérieur des câbles et de créer des priorités dans l'acheminement de l'information (puisqu'il suffit pour cela de créer entre deux points plusieurs PVC aux capacités différentes). Mais cette solution présente plusieurs inconvénients. En premier lieu, la difficile mise en place d'un véritable maillage. Il faut en effet dans ce cas définir un nombre important de circuits virtuels point à point. Cette technologie est donc surtout adaptée à une topologie en étoile. De plus, configurer le VPN s'avère relativement lourd, ce qui empêche par exemple toute reconfiguration instantanée. Installer le VPN au niveau IP Avec les VPN sur IP, au contraire, le but est de s'affranchir d'une trop lourde configuration du VPN dans les équipements du réseau. Comment ? En gérant sa mise en place directement sur les paquets IP. Outre une grande simplicité de configuration, le gain est également économique puisqu'il devient alors possible d'utiliser l'Internet comme structure d'interconnexion : "Le Relais de Trame impose de payer pour toutes les connexions point à point. Les IP-VPN installés sur Internet, en revanche, ne demandent qu'un simple accès à la Toile depuis chaque site " explique David Brette. Un protocole sécurisé Principal problème à régler pour installer le VPN au niveau IP : le manque de sécurité. Impensable en effet d'engager des transmissions privées sur l'Internet ! Techniquement, c'est le protocole IPSec (Internet Protocol Security) qui a été développé pour répondre à ce besoin. Issu d'un travail mené au sein de l'Internet Engineering Task Force (IETF) à partir de 1992, IPSec était à l'origine un sous-ensemble de la future norme IP version 6. Mais cette dernière tardant à s'imposer face à l'actuelle version IPv4, IPSec a été implémenté plus tôt. Le but de ce standard est d'assurer la sécurité d'une communication IP en intégrant directement les mécanismes aux paquets IP qui traversent le réseau. C'est d'ailleurs là que se situe sa particularité. Contrairement à d'autres techniques qui restent spécifiques à certaines applications, comme S/MIME (Secure Mime) dans le domaine de la messagerie ou SSL (Secure Sockets Layer) dans celui du commerce électronique, IPSec convient à tous les flux. D'où son utilisation en matière de IP-VPN. Pour parvenir à ce résultat, IPSec utilise plusieurs procédés. Parmi d'autres : l'ajout de deux extensions au paquet IP, l'Authentication Header (AH) et l'Encapsulating Security Payload (ESP). La première, AH, a pour but de garantir l'identité de la source du paquet et l'intégrité du contenu (le fait qu'il n'ait pas été modifié en cours de route). La seconde, ESP, garantit la confidentialité de l'information véhiculée par les paquets IP en autorisant le cryptage des données que prendra en charge un algorithme spécialisé (comme 3DES - Data Encryption Standard). Que faire en cas d'embouteillages ? Mais bien que performante pour protéger l'échange d'informations privées sur un câble public, cette technique ne pallie cependant pas tous les défauts de la Toile : que faire, en effet, en cas d'embouteillages ? "Cette norme est la seule technologie à permettre librement la mise en place de VPN sur l'Internet public, confirme David Brette. Mais les réseaux privés que l'on installe avec IPSec n'offrent aucune qualité de service. Ils fonctionnent au contraire sur un mode best effort." Les entreprises ont donc le choix : n'utiliser leur VPN IPSec sur l'Internet public que pour des échanges non sensibles ; ou se tourner vers l'offre d'un opérateur particulier, qui, sur son Internet privé, pourra offrir la qualité souhaitée. Des flux prioritaires : le MPLS Puisqu'il maîtrise son réseau de bout en bout, ce dernier pourra en effet s'engager sur les temps de réponses ou sur les taux d'erreurs. Alors que certains s'appuient simplement sur une bande passante largement dimensionnée au cœur de leur structure dorsale pour garantir ce type de performance, d'autres ont recours en revanche au protocole MPLS (MultiProtocol Label Switching). Techniquement, ce standard est l'héritier des circuits virtuels de la technologie Relais de Trame. Mais alors que ces derniers demeuraient permanents, MPLS les rend dynamiques. Explication : lorsque les paquets arrivent à l'entrée du réseau, ils sont d'abord, en fonction notamment de leur adresse de destination ou leur degré de priorité, regroupés en classes de retransmission (Forwarding Equivalent Class - FEC). Tous les paquets d'une même classe reçoivent ensuite une étiquette, baptisée label, à laquelle correspond un chemin à travers les mailles du filet (le LSP - Label Switch Path). La spécificité du procédé réside dans le fait que ce chemin n'est pas statique. Les équipements du réseau communiquent entre eux pour calculer en temps réel le meilleur itinéraire possible pour chaque type de flux. Ce qui permet de créer des priorités et d'apporter de la qualité. IPSec et MPLS Complémentaire à l'IPSec, MPLS peut néanmoins être utilisé seul pour implémenter un IP-VPN. On parle alors de VPN MPLS. Ces deux technologies (IPSec et MPLS) représentent finalement deux approches différentes du problème : "le protocole MPLS crée des VPN en isolant les flux et en garantissant leur étanchéité, l'IPSec crée des tunnels de transmission en autorisant le cryptage des données" précise Pascal Delprat, consultant sécurité chez Cisco France Au final, le choix dépendra de l'utilisation que fera l'entreprise de son réseau virtuellement privé. Texte paru dans La Revue de l’Atelier n° 74 (décembre 2001) rédigée par Jean-Philippe Pichevin Pour aller plus loin : Une étude à paraître (juin 2002) sera consacrée aux services Internet dédiés aux entreprises Pour plus d’infos : etudes@atelier.fr

Mentions légales © L’Atelier BNP Paribas