Le protocoles de niveau 2 : L2TP et PPP :
L2TP est le successeur des protocoles L2F (CISCO) et PPPT (Microsoft) dont il reprend les idées principales. Il est normalisé dans le RFC 2661 depuis août 1999.
Ce protocole permet de transporter des paquets PPP en les encapsulant dans des paquets IP (il peut utilisé X.25, ATM, Frame Relay). Les trames PPP passent donc à travers un tunnel crée par L2TP. Pour transporter les trames, L2TP utilise le protocole sur le port 1701.
Deux termes reviendront régulièrement lorsque nous parlerons de L2TP : LAC et LNS.
- LAC (L2TP Access Concentrator) est le client L2TP.
- LNS (L2TP Network Server) est le serveur L2TP.
Le protocoles de niveau 3 : IPSec :
IPSec (IP security) est ensemble de protocoles destinés à sécuriser le trafic IP. IPSec est un standard défini par l’IETF. Initialement conçu pour le protocole IPv6, il a été adapté au protocole IPv4. IPSec est actuellement supporté par pratiquement tous les matériels réseau.
Passons rapidement en revue le déroulement d’une connexion IPSec :
Une connexion UDP est ouverte entre les deux parties sur le port 500, un échange de clés est réalisé en utilisant le protocole ISAKMP, lors de cet échange, le protocole IKE se charge de négocier la connexion et peut utiliser deux types d’authentification : les clés partagées ou les certificats x509.
Un canal de communication sécurisé est ouvert pour faire transiter les données. Deux protocoles sont possibles : le protocole ESP et le protocole AH. AH est à proscrire, car il ne fournit que l’intégrité des données. Le protocole ESP, quant à lui, assure également la confidentialité.
Enfin, IPSec propose de faire circuler les données en mode transparent ou en mode tunnel. Le premier ne sécurise que les données alors que le deuxième sécurise complètement le paquet en l’encapsulant dans un nouveau paquet IP. L’origine et la destination du paquet IP transporté sont donc protégées d’une éventuelle tentative d’analyse du trafic.
Remarque : pour la mise en place du VPN, mon serveur ce porte sur le protocole ESP et le mode tunnel.
Paquets utilisés dans ce projet :
Opennssl : gestion de PKI et de nos certificats x509.
Openswan : brique de base des connexions IPSec. Je vais utiliser la pile IPSec NetKEY qui est intégrée dans la branche officielle du noyau Linux, Openswan fournit une pile IPSec nommée « KLIP ».
L2tpd ou xL2tpd : gestion des connexions L2TP. Je donne une préférence à xL2tpd.
