Objectifs : Savoir déployer des réseaux virtuels.

Public visé :

• Administrateur système et réseaux
• Expert sécurité

Durée : 3 jours (21h)

Prix : 1 360 €

Pré requis :

• Les basiques

Plan de Cours

Introduction au VPN

Qu’est-ce q’un VPN

• VPN LAN-to-LAN
• WAN VPN
• VPDN

Pourquoi un VPN ?

• Réduction des coûts télécom, coûts de support et de formation

Application des VPN

• Accès distants : postes nomades, télétravailleurs
• Intranet
• Intranet étendu
• Extranet

Les familles de VPN

• VPN IP
• Autres VPNs

L’Internet : principes de fonctionnement

• Protocoles (IP, TCP), adressage, nommage (DNS), routage, architecture (routeurs, GIX), topologie
• Qualité de service, performance, niveau de confiance

Approche alternative aux VPN IP

• Les VPN non IP
• ATM
• MPOA

VPN MPLS

• Principe de fonctionnement : tag, route descriptor
• QoS et Cos : Qualité de Service et Classe de Service
• Type of Service, Diffserve
• Route descriptor
• MPLS au sein d’un système autonome et entre systèmes autonomes
• Ingénierie
• Etanchéité des flux
• Déploiement d’un VPN avec MPLS
• Offre des opérateurs

Tunnels VPN et principe d’encapsulation

• Principe de tunnel : encapsulation IP, GRE
• PPTP
• L2TP
• L2F
• Tunnels LAN-to-LAN
• Tunnels sur IP
• Routage
• Exemples
• VPN Ipsec

Sécurisation du VPN : l’approche IPSec

• Présentation générale et risques
• Fonctions de sécurité : authentification, contrôle d’accès, confidentialité, intégrité des données, non-répudiation
• Introduction à la cryptographie
• Clé symétrique, clé publique/clé privée, fonction de hachage
• Algorithme de chiffrement
• Le modèle RSA, le modèle PGP, l’algorithme Diffie-Hellman
• Signature numérique
• Certificats digitaux
• Architecture de PKI
• Exemples

Authentification

• Authentifications dans les VPN : PPP, PAP, CHAP, Radius, Tacacs
• Serveurs d’authentification et mots de passe
• Serveurs d’authentification (Radius, Tacacs, Kerberos)
• Certificats numériques
• Exemples d’utilisation

Architecture IPsec

• Security Association
• SPI
• Security Policy Database
• ESP
• AH
• Mode tunnel
• Mode transport
• Fragmentation
• Compression

Internet Key Exchange

• Authentification IKEv2
• Pre-shared key, encrypted nonce, rsa-signature avec ou sans certificats
• Phase 1
• Main mode, Aggressive mode
• Phase 2
• Quick mode
• Mode config, Xauth

Plates fromes des VPN

• Routeurs
• Firewalls
• VPN Firewall
• Concentrateurs VPN
• VPN appliances
• Internet appliances
• Clients logiciels
• Clients matériels
• SSL appliances

Construction d’un VPN

• Les utilisateurs nomades
• Les sites distants
• Le site central : haute disponibilité

Choix de l’architecture

• Topologie en étoile
• Topologie maillée
• Hub and spoke

Utilisation des standards

• IPsec, SSL

Insertion du VPN dans une infrastructure existante

• Positionnement de l’équipement VPN
• Les différentes architectures

Adressage et interconnexion de réseau

• RFC 1918, collision d’espace d’adressage

NAT

• Ce qui ne va pas entre le NAT et IPSEC
• Solution NAT Traversal

Administration du VPN

• Les systèmes d’administration centralisée
• Ajout de sites, modification de la politique de sécurité
• L’audit

Questions / Réponses