Comparatif des connexions serveur VPN

Confidentialité et intégrité

Vous êtes nombreux à nous solliciter sur les différents moyens d’augmenter la sécurité de vos données. Un premier aspect dans cette démarche serait de renforcer la confidentialité et l’intégrité des échanges depuis vos infrastructures (serveurs, ordinateurs, mobiles, …) vers vos serveurs hébergés chez Openhost.

En effet, lors d’une communication entre votre poste et votre serveur Openhost, il est possible que vous transmettiez des données sensibles. Il est donc primordial d’assurer la confidentialité de ces données. De plus, il est aussi important que ces données ne puissent pas être modifiés par un tiers pendant la communication.

Afin de répondre à cette problématique, nous allons voir ensemble une solution possible : le Virtual Private Network ou VPN pour les intimes.

Objectifs du serveur VPN

Un VPN répond à plusieurs besoins, notamment :

  • Assurer l’intégrité et la confidentialité des échanges, afin qu’un tiers ne puisse pas ni intercepter ni modifier les données qui transitent sur Internet, grâce au chiffrement.
  • Permettre à vos utilisateurs nomades d’accéder depuis n’importe où aux services internes de l’entreprises (intranet, bureaux distants, …).
  • Relier des sites distants géographiquement pour qu’ils puissent communiquer de manière transparente.

Si vous êtes concerné par ces besoins, alors le VPN est une solution qui conviendra à vos attentes. Reste encore la problématique du choix du protocole VPN et du chiffrement que nous allons découvrir ensemble.

Problématique du chiffrement

La cryptologie est une science en constante évolution. La première étape vers une sécurité optimale est la veille technologique. Il est nécessaire de se tenir à jour sur les algorithmes de chiffrement, leurs faiblesses, ….

Aujourd’hui, le mot « chiffrement » est en général utilisé pour désigner d’une part le chiffrement en tant que tel, assurant la confidentialité des données, et l’intégrité des données, assurant que la donnée n’a pas été compromise par un tiers.

Pour pouvoir protéger vos données, vous aurez besoin d’une clé de chiffrement. Elle peut être symétrique (la même clé est utilisée pour chiffrer et déchiffrer) ou asymétrique (une clé différente est utilisée pour le chiffrement et le déchiffrement). Pour cette dernière on parle alors d’une paire clé publique/privée.

Une différence non négligeable entre le chiffrement symétrique et asymétrique est le temps et les ressources nécessaires. Le chiffrement symétrique est plus rapide et moins gourmand en ressources que le chiffrement asymétrique. C’est pour cette raison qu’en général les deux techniques sont associés. Dans le cas du HTTPS/SSL, une première connexion sécurisé est établie avec un chiffrement asymétrique (certificats HTTPS). Grâce à cette connexion, une clé sera négociée (ex : avec Diffie-Helman) pour du chiffrement symétrique, utilisé pour l’échange de données client-serveur.

Plusieurs préconisations pour la sécurité, le choix de l’algorithme et de la clé de chiffrement :

  • La longueur de la clé est déterminante dans la force du chiffrement. Plus cette clé est longue, plus il sera difficile pour un tiers de décrypter vos informations.
  • L’algorithme de chiffrement est aussi déterminant dans la robustesse du chiffrement. Par exemple, l’algorithme DES n’offre plus un niveau de sécurité suffisant (notamment dû à la clé de chiffrement trop courte).
  • Aujourd’hui, une clé de chiffrement est considérée comme sécurisé à partir de 256 bits pour une clé symétrique et 2048 bits pour une clé asymétrique (réf. ANSSI).
  • Si vous utilisez Diffie-Helman, la longueur du groupe recommandé est au minimum celui de votre clé asymétrique.
  • Tout comme un mot de passe, il est recommandé de changer les clés de chiffrement périodiquement.

Malheureusement, la sécurité de l’information ne résume pas à choisir une longueur de clé et un algorithme de chiffrement. C’est un sujet complexe, différent pour chaque entreprise. Mais ne vous inquiétez pas, nous pouvons vous accompagner dans vos démarches de sécurité !

Protocole PPTP

« Le protocole PPTP est mort, acceptez-le et passez à autre chose. » Citation d’un citoyen concerné

Le protocole PPTP lui-même ne spécifie pas de mécanisme d’intégrité et de chiffrement des échanges. L’implémentation la plus répandue, celle Microsoft, propose différentes méthodes de chiffrement.

Cependant, la totalité des méthodes de chiffrement sont aujourd’hui fortement vulnérables à des attaques compromettant la confidentialité et l’intégrité des échanges.

Nous vous recommandons donc de ne pas utiliser le protocole PPTP pour votre VPN.

Protocole IPsec

Le protocole IPsec (IP Security) est un protocole permettant de sécuriser les communications IP. Contrairement à d’autre protocole de sécurité (ex : SSL), il agit au niveau de la couche 3 (réseaux) du modèle OSI, assurant la sécurité des couches supérieures. Il permet notamment de déployer un VPN site-à-site ou pour des clients nomades.

Un des avantages de l’IPsec est sa compatibilité. Une majorité d’équipement réseaux offre un support natif de l’IPsec. De plus, l’IPsec est nativement supporté sur la majorité des appareils mobile.
Sans trop rentrer dans la partie technique, IPsec utilise le protocole IKE pour établir un canal sécurisé entre les deux équipements. Le protocole utilise de l’UDP sur le port 500. Une fois cette connexion établie, l’IPsec utilisera, en fonction de la configuration soit le protocole AH soit ESP (respectivement protocole 51 et 50 au niveau de la couche 4 du modèle OSI).
Le protocole AH fournit seulement le contrôle d’intégrité des données échangées, assurant qu’elles ne puissent pas être modifiées par un tiers. Il n’offre cependant pas de mécanisme de chiffrement, vos données passent donc en clair sur Internet.
Si vous avez besoin de chiffrement, vous utiliserez alors le protocole ESP. En plus du contrôle d’intégrité, il fournit le chiffrement des données au travers de plusieurs algorithmes de chiffrements (AES, 3DES, …).

L’IPsec est compatible avec des configurations utilisant le NAT, où le serveur ou le client IPsec est situé derrière un pare-feu. Le protocole IPsec n’est pas capable de transférer un autre protocole que l’IP. Dans ce cas-là, il est associé avec L2TP.

L2TP/IPsec

Le protocole L2TP est un protocole de « tunneling » : imaginez un bateau transportant des containers, les containers sont vos données (informations échangés) le bateau est le tunnel. Il fournit simplement un moyen de transport sans altérer les données. Cependant, le L2TP ne fournit pas de mécanisme de chiffrement ni de contrôle d’intégrité de lui-même.

On va donc, dans un premier temps, utiliser l’IPsec pour établir une connexion sécurisée entre les deux équipements. Dans un second temps, on va utiliser L2TP pour transporter notre protocole non-IP (ex : IPX) sur cette connexion sécurisée. Les données L2TP étant encapsulées dans une connexion IPsec on bénéficie de la confidentialité et du contrôle d’intégrité avec la capacité de transférer des protocoles non-IP.

Le principal inconvénient de l’IPsec réside dans l’utilisation de port et de protocole « non-commun » (UDP/500, protocole AH/ESP). Par « non-commun » il faut comprendre pas dans une utilisation lambda d’internet (Web, Mail, …). Il n’est donc pas rare que les communications IPsec soient bloquées par les pare-feu (Hôtel, Hot spot Wifi, …).

OpenVPN

OpenVPN est un logiciel open-source permettant le déploiement de VPN site-à-site ou pour des clients nomades.
Dans le même principe que l’IPsec (connexion en 2 étapes), OpenVPN utilise le protocole SSL/TLS pour négocier les clés de chiffrement utilisé pour l’échange de données. La seconde étape utilise un protocole propre de communication pour assurer la confidentialité et l’intégrité des données.
OpenVPN est capable d’utiliser aussi bien un transport TCP qu’UDP et fonctionne sans-problème à travers du NAT. De plus, il est capable de transporter des protocoles non-IP (contrairement à l’IPsec sans L2TP).

Petit inconvénient, OpenVPN n’est pas disponible sur les équipements réseaux (routeurs, …) nativement. Sur les clients mobiles, il nécessitera généralement l’installation d’une application tierce.
L’avantage d’OpenVPN se situe dans sa flexibilité par rapport aux configurations des firewalls. Utilisant le protocole TCP/UDP il est possible de faire transiter le trafic OpenVPN à destination du port 443 (HTTPS), le rendant ainsi utilisable dans la majorité des cas (le port 443 est rarement bloqué par les pare-feu).

SSTP

Le SSTP (Secure Socket Tunneling Protocol) est un protocole VPN créé par Microsoft et disponible à partir de Windows Vista SP1. Il n’est pas possible de faire du VPN site-à-site avec SSTP, seulement des connexions clients nomades.
L’avantage de SSTP est son intégration dans l’univers Windows. Présent nativement sur les clients, le serveur s’intègre avec les comptes Active Directory : vos utilisateurs peuvent utiliser leurs mots de passes Windows ou des certificats générés automatiquement par votre contrôleur de domaine. De plus, sa configuration est relativement simple.

Le SSTP utilise le protocole SSL/TLS pour fournir la confidentialité et l’intégrité des données. Utilisant le port 443 par défaut, le SSTP est donc utilisable à travers les pare-feu.
Un inconvénient du SSTP : les clients Windows 7 requiert l’utilisation du protocole TLS 1.0. Ce dernier souffre aujourd’hui de vulnérabilités qui peuvent nuire à la confidentialité et l’intégrité des données. Windows 8 est supérieur sont compatibles avec TLS 1.1 et TLS 1.2.

Conclusion du comparatif VPN

Le choix du protocole pour votre liaison VPN va dépendre de plusieurs facteurs. Le premier étant le type de VPN que vous désirez mettre en place : une connexion site-à-site ou une connexion pour vos clients nomades.

Si vous êtes dans un environnement Windows et que vous souhaitez mettre en place un VPN pour vos utilisateurs nomades, la solution la plus simple reste le SSTP. Le protocole est directement intégré dans Windows Server, il s’intègre avec votre Active Directory et utilise le SSL pour les échanges.

Dans un environnement non-Microsoft, vous avez le choix entre OpenVPN et IPsec (avec ou non L2TP). Les deux choix sont valables, OpenVPN sera préféré car il possible de le faire passer sur le port 443 (HTTPS) réduisant les problèmes de Firewall.

Pour un VPN site-à-site, le SSTP n’est pas utilisable. Vous avez donc le choix entre l’IPsec et l’OpenVPN. Le choix va se faire en fonction des politiques de sécurité au niveau firewall et de la compatibilité de vos équipements. La majorité des routeurs réseaux ont le support d’IPsec intégré directement. Si vous souhaitez communiquer avec un protocole autre que l’IP vous allez devoir associer IPsec à L2TP contrairement à OpenVPN, qui en est capable nativement. IPsec ou OpenVPN, les points déterminants dans la sécurité restent les longueurs des clés utilisées ainsi que les algorithmes de chiffrement.

Il n’y a pas de réponse magique à la sécurité. Chaque entreprise est différente, et de ce fait leurs objectifs de sécurités sont uniques. Ce comparatif n’est pas exhaustif et certaines notions et fonctionnements de la sécurité ont été vulgarisés ou mis de côté volontairement. Le domaine de la sécurité est vaste et complexe, n’hésitez pas à nous contacter pour des informations plus techniques ou pour vous accompagner dans vos besoins de sécurité de l’information.

Autres actualités