FAITES UNE DEMANDE DE DEVIS GRATUITEMENT EN REMPLISSANT NOTRE FORMULAIRE EN LIGNE

OBJECTIF DU COURS

Cette formation a pour objectifs d’acquérir des compétences pour mettre en place une solution de Réseau Privé Virtuel. D’une part décrire l’essentiel du fonctionnement des principaux protocoles utilisés, d’autre part présenter des exemples pouvant être utilisés comme trame pour la mise en place de ses propres VPN dans un environnement Windows, Linux ou Macintosh.

PUBLIC CONCERNÉ

Cette formation sur les VPN (Virtual Private Network) s’adresse à un public d’informaticiens disposant de connaissances de base sur les réseaux et souhaitant acquérir des compétences pour mettre en place une solution de Réseau Privé Virtuel.

NIVEAU REQUIS

Avoir suivi le cours TCP/IP De l’essentiel à la maîtrise ou connaissances équivalentes

PROGRAMME

Chapitre 1

Généralités sur les VPN

1. Objectifs du chapitre

2. Définition d’un VPN

3. Typologie des VPN

3.1 VPN d’entreprise

3.1.1 VPN site à site

3.1.2 VPN poste à site

3.1.3 VPN poste à poste

3.1.4 Avantages et inconvénients du VPN entreprise

3.2 VPN Opérateur

3.2.1 Caractéristiques du VPN opérateur site à site

3.2.2 Avantages et inconvénients du VPN opérateur

3.2.3 En option : VPN Nomade à réseau

4. Principaux protocoles

4.1 Niveau 2

4.1.1 PPTP (Point to Point Tunneling Protocol)

4.1.2 L2F (Layer 2 Forwarding)

4.1.3 L2TP (Layer 2 Tunneling Protocol)

4.2 Niveau 2.5 : MPLS

4.3 Niveau 3 et +

4.3.1 IPSEC

4.3.2 SSL/TLS

4.3.3 SSH

5. Critères de choix

Chapitre 2

Fonctionnement du protocole IPsec

1. Généralités

2. Principes de la construction d’un lien IPsec

2.1 AH (Authentication Header)

2.1.1 Principe du hachage (hash en anglais)

2.1.2 Caractéristiques principales de MD5 (Message Digest 5)

2.1.3 Caractéristiques principales de SHA1

2.1.4 SHA2 et SHA3

2.1.5 Intégration de l’en-tête AH dans un paquet IP

en mode tunnel

2.1.6 Contenu de l’en-tête AH

2.1.7 Avantages et Limites du protocole AH

2.2 ESP (Encapsulating Security Payload)

2.2.1 Intégration d’ESP dans un paquet IP en mode tunnel

2.2.2 Contenu du paquet ESP

2.2.3 Avantages et limitations du protocole ESP

2.3 Identification des paramètres de sécurité d’un tunnel

2.3.1 Contenu d’une SAD ou SADB (Security Association

Database)

2.3.2 Création des SA

2.4 Le protocole IKE (Internet Key Exchange)

2.4.1 IKE v1

2.4.2 IKE v2

2.4.3 Autres messages IKE

2.5 La SPD (Security Policy Database)

2.6 La PAD (Peer Authorization Database)

2.7 Traitement des paquets par les extrémités des tunnels

2.7.1 Traitement effectué par l’expéditeur

2.7.2 Traitement effectué par le destinataire

3. Notions avancées

3.1 Mode transport

3.2 IKE Keep-Alive et DPD (Dead Peer Detection)

3.2.1 IKE KEEP-ALIVE

3.2.2 Dead Peer Detection (DPD)

3.3 NAT-Traversal ou NAT-T

4. Pour aller plus loin

4.1 Quelques documents

4.2 Quelques liens

Chapitre 3

Implémentation d’IPsec en site à site

1. Généralités

2. Intérêt – Contraintes – Limitations d’un VPN site à site

3. Mise en oeuvre entre deux sites avec adresses IP fixes –

Exemple Watchguard-Watchguard (GRENOBLE-AUXERRE)

3.1 Matériels et réseaux utilisés

3.2 Choix des paramètres et des autorisations à mettre en place

3.3 Configuration côté Auxerre

3.4 Configuration côté Grenoble

3.5 Tests de validation

4. Variante avec une adresse IP fixe et une adresse IP dynamique

avec utilisation d’un service tel que DYNDNS

5. Variante avec une adresse IP fixe et une adresse IP dynamique

sans utilisation d’un service de noms tel que DYNDNS

6. Autres mises en oeuvre

Chapitre 4

Implémentation d’IPsec en poste à site

1. Généralités

2. Intérêt – Contraintes – Limitations d’un VPN poste à site

3. Mise en oeuvre entre un poste anonyme et un site à adresse

IP fixe avec secret partagé (Client TheGreenBow – Matériel

Zywall de Zyxel)

3.1 Matériels, logiciels et réseaux utilisés

3.2 Choix des paramètres et des autorisations à mettre en place

3.3 Configuration côté client

3.4 Configuration côté site de Paris

3.5 Tests de validation

3.6 Tests complémentaires

3.7 Amélioration de la sécurité de ce tunnel VPN

4. Mise en oeuvre entre un poste anonyme et un site à adresse IP

dynamique avec secret partagé (Client NCP – Site Auxerre

avec Watchguard)

4.1 Matériels, logiciels et réseaux utilisés

4.2 Choix des paramètres et des autorisations à mettre en place

4.3 Configuration côté site central

4.4 Configuration côté poste nomade

4.5 Tests de validation

5. Autres mises en oeuvre

6. Liens utiles

Chapitre 5

Implémentation d’IPsec en poste à poste

1. Généralités

2. Intérêt – Contraintes – Limitations d’un VPN poste à poste

3. Mise en oeuvre entre deux machines sous Windows

3.1 Matériels, logiciels et réseaux utilisés

3.2 Choix des paramètres à mettre en place

3.3 Écrans de configuration

4. Autres mises en oeuvre

Chapitre 6

Fonctionnement des protocoles SSL-TLS

1. Objectifs

2. Historique

3. Principes de fonctionnement de SSL

3.1 Buts recherchés

3.2 Les principaux protocoles mis en

3.3 Protocoles Handshake et Change Cipher Spec

3.3.1 Message ClientHello (1)

3.3.2 Message ServerHello (2)

3.3.3 Messages Certificate (3)

3.3.4 Message Server_Key_Exchange (3bis)

3.3.5 Message Certificate Request (4)

3.3.6 Message Server Hello Done (5)

3.3.7 Message Client certificate (6)

3.3.8 Message Client Key Exchange (7)

3.3.9 Message Certificate Verify (8)

3.3.10 Phase de calcul du secret partagé (pas d’échange

à ce moment-là)

3.3.11 Message Client Change Cipher Specs (8)

3.3.12 Message Client Finished (8bis)

3.3.13 Message Server Change Cipher Specs (9)

3.3.14 Message Server Finished (9bis)

3.4 Protocole Application

3.5 Protocole Alert

3.6 Cas particulier de la reprise de session existante

4. Exemples de données échangées entre un client et un serveur

4.1 Établissement d’une session SSL entre un navigateur

et un serveur, le client étant anonyme

4.2 Exemple de réutilisation d’une session déjà négociée

5. Pour aller plus loin

5.1 Quelques documents

5.2 Quelques liens

Chapitre 7

Implémentation de VPN SSL/TLS

1. Généralités .

2. Connexion avec un client spécifique et authentification classique

par nom d’utilisateur et mot de passe

2.1 Exemple d’utilisation d’un pare-feu Watchguard de type

e-series ou XTM

2.1.1 Composants utilisés

2.1.2 Configuration du VPN

2.1.3 Tests de validation

2.1.4 Téléchargement du client depuis le pare-feu

2.1.5 Mise en place des certificats sur le pare-feu

2.1.6 Avantages et limites de cette solution

2.2 Exemple d’utilisation d’un pare-feu Cisco de type ASA5505

2.2.1 Composants utilisés

2.2.2 Configuration du VPN

2.2.3 Test de validation

3. Connexion sans client (portail SSL) et authentification

par nom d’utilisateur

3.1 Exemple d’utilisation d’un pare-feu Zywall de type USG

en mode portail

3.1.1 Composants

3.1.2 Configuration du VPN

3.1.3 Tests de validation .

3.1.4 Mise en place des certificats sur le pare-feu

3.1.5 Avantages et limites de cette solution

3.2 Exemple d’utilisation d’un boitier Watchguard dédié SSL

3.2.1 Composants utilisés .

3.2.2 Quelques écrans

3.3 Exemple d’utilisation d’un pare-feu Cisco ASA5505

3.3.1 Composants utilisés

3.3.2 Quelques écrans

3.4 Exemple d’utilisation d’un pare-feu Cisco SA520

3.4.1 Composants utilisés

3.4.2 Quelques écrans

4. Autres mises en oeuvre

Chapitre 8

Fonctionnement du protocole PPTP

1. Objectifs du chapitre

2. Principes

2.1 Composants d’un tunnel PPTP

2.2 Mécanismes de mise en oeuvre .

2.2.1 La connexion de contrôle

2.2.2 Le protocole GRE dans PPTP

2.2.3 La partie VPN

3. Forces et faiblesses de PPTP

4. Pour aller plus loin

4.1 Quelques documents .

4.2 Quelques liens

Chapitre 9

Implémentation de VPN PPTP

1. Généralités

2. VPN PPTP en poste à site

2.1 Exemple d’une connexion de nomades au site de Grenoble

(Watchguard X20e)

2.1.1 Configuration côté site central

2.1.2 Configuration du client

2.1.3 Tests

2.2 Exemples d’une connexion de nomades au site

de Valence (D-Link)

2.2.1 Configuration côté site central

2.2.2 Configuration du client

2.2.3 Tests .

3. PPTP en site à site

3.1 Matériels, logiciels et réseaux utilisés

3.2 Paramétrage du pare-feu de Grenoble (Watchguard X20e)

3.3 Paramétrage du pare-feu de Valence (D-Link)

3.4 Tests de validation

Chapitre 10

Fonctionnement du protocole L2TP

1. Objectifs du chapitre

2. Principes

2.1 Composants d’un tunnel L2TP

2.1.1 LAC (L2TP Access Concentrator)

2.1.2 LNS (L2TP Network Server)

2.2 Mécanismes du L2TP

2.2.1 Création du tunnel

2.3 Forces et faiblesses de L2TP

2.4 L2TP/IPsec (L2TP over IPSEC)

2.4.1 Structure de L2TP/IPsec

2.4.2 Exemples de trafic L2TP/IPsec

2.5 Évolution du L2TP : L2TPv3

3. Pour aller plus loin .

Chapitre 11

Implémenation de VPN L2TP/IPsec

1. Généralités .

2. VPN L2TP/IPsec en poste à site

2.1 Exemple d’une connexion de nomades au site de Paris

(Zywall USG100)

2.1.1 Configuration côté site central

2.1.2 Configuration du client

2.1.3 Tests

2.2 Exemples d’une connexion de nomades au site

de Valence (D-Link)

2.2.1 Configuration côté site central

2.2.2 Configuration du client

2.2.3 Tests

3. Autres implémentations

Chapitre 12

Configuration avancée des VPN

1. Objectifs du chapitre

2. Établissement de VPN unidirectionnels

2.1 Configuration

2.2 Tests

3. Translation d’adresses à l’intérieur des VPN

3.1 Cas du recouvrement d’adresses IP

3.1.1 Configuration côté Grenoble

3.1.2 Configuration côté Vienne

3.1.3 Tests de validation

3.2 Cas du masquage d’adresses entre un site et un autre

3.2.1 Les configurations

3.2.2 Les tests de validation

4. Accès VPN à des réseaux dotés de plusieurs routeurs

4.1 Cas de VPN site à site

4.1.1 Ajout des routes dans le tunnel

4.1.2 Ajout de règles pour autoriser les flux Auxerre _ Paris

sur chacun des pare-feu

4.1.3 Ajout de routes sur le pare-feu Internet de Grenoble

4.1.4 Ajout de routes sur le routeur du VPN opérateur

sur le site de Grenoble

4.1.5 Ajout de routes sur le routeur Opérateur

du site d’Auxerre

4.1.6 Autres routes

4.1.7 Tests finaux

4.2 Cas des nomades

5. Autres configurations avancées.

Chapitre 13

Diagnostic et résolution de problèmes

1. Objectifs du chapitre

2. Problèmes lors de la création de VPN IPsec

2.1 Comment savoir à quelle étape de la création du VPN

le problème réside ?

2.2 Problèmes survenant lors de la phase 1

2.2.1 Problème de clé partagée

2.2.2 Divergence sur le mode d’établissement : main

ou aggressive

2.2.3 Mauvaise identification d’une des deux extrémités

2.2.4 Problèmes liés au groupe Diffie-Hellman

2.2.5 Problèmes liés aux réglages de cryptage et

d’authentification

2.2.6 Conseils pratiques pour la résolution de problèmes

de phase 1

2.3 Problèmes survenant lors de la phase 2

2.3.1 Discordance dans les réseaux à router à l’intérieur

du tunnel

2.3.2 Discordance dans le mode (tunnel ou transport)

2.3.3 Discordance dans les réglages PFS

2.3.4 Discordance dans les protocoles (AH ou ESP)

2.3.5 Discordance dans les paramètres de cryptage

et d’authentification

2.3.6 Conclusions sur les problèmes de Phase 2

2.4 Problèmes survenant après les phases 1 et 2

dans un contexte simple (Paris-Grenoble)

2.4.1 Le trafic ne parvient pas au pare-feu de Paris

2.4.2 Le trafic ne quitte pas le site de Paris

2.4.3 Le trafic ne parvient pas au pare-feu de Grenoble

2.4.4 Le trafic ne parvient pas au matériel visé sur Grenoble

2.4.5 Le trafic n’est pas accepté par le matériel de Grenoble

2.4.6 La réponse ne parvient pas au pare-feu de Grenoble

2.4.7 La réponse ne quitte pas le site de Grenoble

2.4.8 La réponse ne parvient pas au pare-feu de Paris

2.4.9 La réponse ne parvient pas au poste demandeur

sur Paris

2.4.10 Considérations générales

2.5 Problèmes survenant après les phases 1 et 2 dans un

contexte complexe (Paris-Auxerre par exemple)

2.6 Problèmes survenant avec des VPN IPsec

pour postes Nomades

3. Problèmes survenant en cours de vie des VPN IPsec

3.1 VPN tombé et ne remontant plus

3.2 VPN tombant régulièrement

3.3 Surveillance des VPN

4. Problèmes liés aux VPN SSL

1. Objectifs du chapitre

2. Compléments sur Diffie-Hellman

3. PFS (Perfect Forward Secrecy)

4. Compléments sur les certificats

5. Compléments sur les protocoles de chiffrage DES, 3DES, AES

5.1 DES (Data Encryption Standard)

5.2 3DES ou Triple Data Encryption Algorithm (TDEA)

5.3 AES (Advanced Encryption Standard)

5.4 Blowfish

6. Principaux RFC

7. Quelques livres

8. Quelques liens pour finir

FAITES UNE DEMANDE DE DEVIS GRATUITEMENT EN REMPLISSANT NOTRE FORMULAIRE EN LIGNE

Nous avons des centres de formations à :

Bruxelles Avenue de l’indépendance Belge 58 1081 BruxellesTel : +32 2 412 04 10 (gestion projet – comptabilité) Tel: +32 2 412 04 11 (gestion projet – commercial) Tel: +32 2 412 04 12 (secrétariat) Fax : +32 2 412 04 19 Gsm : +32 485 212 722 Email : selossej@jlgestion.be Site: www.jlgestion.be	Lille 21 Avenue le Corbusier 59042 Lille CedexTel : +33 3 59 81 17 85 Fax : +33 3 59 81 17 81 Gsm : +32 477 789 445 Email : selossej@jlgestion.be Site: www.jlgestion.fr
AmsterdamJL GESTION SA Keizersgracht 62-64 1015 CS AmsterdamTel : +31 20 520 68 77 Fax : +31 20 520 75 10 GSM: +32 485 21 27 22 Email : lia@jlgestion.be Site: www.jlgestion.nl	AntwerpenNoorderlaan 147/8 2030 AntwerpenTel: +32 2 412 04 10 Fax: +32 2 412 04 19 Gsm: +32 485 21 27 22 Email : lia@jlgestion.be Site: www.jlgestion.be