Service de t el etravail (S4/C6) T el etravail Le t el etravail fait r ef erence ` a une activit e professionnelle men ee a ` distance en se connectant au lieu de travail

au moyen des t el ecommunications. Le concepteur de larchitecture r eseau de lentreprise doit consid erer les besoins pratiques des t el etravailleurs concernant : la facilit e dutilisation la vitesse de connexion la abilit e du service Les trois technologies de connexion ` a distance sont : Frame Relay, ATM, lignes lou ees (VPN de couche 2) un r eseau priv e virtuel (VPN) IPsec une connexion de site ` a site, associ ee ` a un acc` es ` a large bande, pour etablir un VPN sur le r eseau Internet public. Le terme large bande signie une connexion ` a haut d ebit capable de transmettre des donn ees, des communications vocale et video. Ceci est garanti par lADSL, la bre optique, le c able coaxial, le wireless et le satellite. La vitesse de transmission est sup erieure ` a 200 Kbits/s. Pour garantir une connexion ecace au r eseau de son entreprise, un t el etravailleur a besoin des composants suivants : composants du bureau ` a domicile composants du si` ege Composants du bureau ` a domicile : ordinateur, acc` es ` a large bande, un routeur VPN ou un logiciel client VPN install e sur lordinateur. Composants du si` ege : routeurs compatibles VPN (authentication). Connexion des t el etravailleurs au r eseau etendu Les fournisseurs Internet proposent plusieurs options de connexions pour les particuliers et les petites entreprises : acc` es par ligne t el ephonique ligne DSL modem c able satellite

R eseaux priv es virtuels Un VPN cr ee un r eseau priv e sur une infrastructure de r eseau public tout en garantissant condentialit e et s ecurit e. Les VPN s ecurisent les donn ees en les encapsulant (transmission tunnel) et en les chirant. Internet est une infrastructure publique : toute entreprise qui lutilise est sujette ` a des risques de s ecurit e importants. Elle a donc recours ` a un VPN pour connecter les succursales, les t el etravailleurs, les travailleurs mobiles ` a la maison m` ere.

Transmission tunnel du VPN La transmission tunnel encapsule tout un paquet dans un autre et envoie le nouveau paquet compos e sur le r eseau. Quand le paquet compos e arrive sur linterface du tunnel de destination, le paquet interne est extrait. Le protocole GRE est un exemple dencapsulation. Types de r eseau priv e virtuel On distingue deux types de r eseau priv e virtuel : site ` a site dacc` es distant Le VPN site ` a site connecte deux sites eloign es en passant par Internet. Les h otes du r eseau priv e envoient et re coivent le trac TCP/IP via une passerelle, un routeur par exemple. La passerelle est charg ee de chirer tout le trac sortant, destin e` a un site cible. La passerelle du site cible d echire le trac re cu et le transfert ` a lh ote cible sur son propre r eseau priv e. Dans un VPN dacc` es distant, le t el etravailleur ou lh ote distant dispose dun logiciel client associ e. Le logiciel encapsule et chire le trac destin e ` a la passerelle du r eseau cible.

Caract eristiques dun VPN s ecuris e Les caract eristiques dun VPN s ecuris e sont les suivantes : condentialit e des donn ees int egrit e des donn es authentication La condentialit e des donn ees electronique. permet de prot eger contre l ecoute

Algorithmes de chirement La condentialit e des donn ees est assur ee par un algorithme de chirement. Les algorithmes de chirement sont class es en 2 cat egories : algorithmes sym etriques algorithmes asym etriques Algorithme sym etrique : les chirement et d echirement se servent de la m eme cl e. Il est g en eralement utilis e pour chirer un message. Les deux ordinateurs doivent connaitre le m eme cl e dite secr` ete ou partag ee pour coder et d ecoder les informations. Exemples : DES, 3DES, AES. Algorithme asym etrique : les chirement et d echirement se servent de deux cl es di erentes. Il est g en eralement utilis e pour la certication num erique et la gestion des cl es. Une type de de chirement asym etrique est le chirement ` a cl e publique qui associe une cl e priv ee ` a une cl e publique. Le destinataire distribue une cl e publique ` a ses exp editeurs. Lexp editeur utilise sa cl e priv ee, puis la cl e publique du destinataire pour chirer son message. Le destinataire utilise alors sa cl e priv ee puis la cl e publique de lexp editeur pour d echirer le message. Exemple : RSA.

Lint egrit e des donn es permet de garantir quaucune modication na et e apport ee aux donn ees. Lauthentication permet de garantir que seuls les exp editeurs et p eriph eriques autoris es acc` edent au r eseau.

Hachage ou message digest Le hachage ou message digest est un nombre g en er e ` a partir dune chaine de texte. Il est hautement improbable quune autre texte g en` ere le m eme hachage. Lexp editeur dorigine g en` ere un hachage du message et lenvoie avec le message. Le destinataire re coit le message et le hachage, il produit un autre hachage ` a partir du message re cu, et compare les deux hachages. Si les deux sont identiques, le destinataire peut etre certain que lint egrit e du message na pas et e aect ee. Un VPN utilise un code dauthentication des messages avec hachage et cl e, appel e HMAC. Lexp editeur de message utilise la fonction HMAC pour produire le code dauthentication du message cr e e en condensant la cl e secr` ete et le texte du message. Le destinataire calcule le code dauthentication du message re cu ` a laide de la m eme cl e et de la fonction HMAC utilis ee par lexp editeur. Il existe deux algorithmes HMAC : Message Digest 5 (MD5) Secure Hash Algorithm (SHA-1)

Protocoles de s ecurit e IPsec IPsec est un ensemble de protocoles permettant de s ecuriser les communications IP en garantissant le chirement, lint egrit e et lauthentication. Les protocoles IPsec principaux sont : Authentication Header (AH) Encapsulating Security Payload (ESP) Le protocole AH assure lauthentication et lint egrit e des donn ees pour des paquets transmis entre deux syst` emes. Il nassure pas la condentialit e (le chirement) des donn ees. Le protocole ESP assure lauthentication et lint egrit e des donn ees pour des paquets transmis entre deux syst` emes. Il assure aussi leur condentialit e par le chirement des paquets IP qui masque les donn ees et lidentit e de leur source et de leur destination. IPsec utilise des algorithmes existants pour impl ementer le chirement, lint egrit e, lauthentication et les echanges de cl es : DES 3DES AES MD5 SHA-1 DH

Authentication des homologues Il est n ecessaire dauthentier les homologues (par exemple : le p eriph erique ` a lautre extr emit e du VPN). Il existe deux m ethodes dauthentication : Cl e pr e-partag ee (PSK) Signature RSA La cl e pr e-partag ee est distribu ee aux homologues par linterm ediaire dun canal s ecuris e. La signature RSA utilise l echange de certicats num eriques. Le p eriph erique local calcule un hachage et le chire avec sa cl e priv ee ce qui sappelle une signature num erique. Elle est jointe au message et transf er e. Le p eriph erique distant d echire le hachage avec la cl e publique du p eriph erique local et recalcule le hachage.

Le protocole DH ou Die-Hellman permet au deux parties d etablir une cl e secr` ete partag ee pour le chirement et le hachage sur un canal de communication non s ecuris e. IPsec fournit le cadre et ladministrateur choisit les algorithmes ` a impl ementer. Il est n ecessaire de remplir 4 zones : Choix Choix Choix Choix du protocole IPsec : AH, ESP ou AH avec ESP de lalgorithme de chirement : DES, 3DES ou AES de lauthentication : MD5 ou SHA de lalgorithme Die-Hellman : DH1 ou DH2