Avez-vous un compte?
L'objectif de ce document est de donner une vue d'ensemble des meilleures pratiques en matière de réseau privé virtuel (VPN) à toute personne nouvelle à Cisco Business.
Il y a si longtemps que le seul endroit où vous pouviez travailler était au bureau. Vous vous souvenez peut-être, de retour dans la journée, avoir dû vous rendre au bureau le week-end pour régler un problème de travail. Il n'y avait pas d'autre moyen d'obtenir des données des ressources de l'entreprise à moins que vous soyez physiquement dans votre bureau. Ces jours sont terminés. Aujourd'hui, vous pouvez être en déplacement ; de la maison, d'un autre bureau, d'un café ou même d'un autre pays. L'inconvénient est que les pirates cherchent toujours à saisir vos données sensibles. Utiliser l'Internet public n'est pas sûr. Que pouvez-vous faire pour bénéficier de la flexibilité et de la sécurité ? Configurez un VPN !
Une connexion VPN permet aux utilisateurs d'accéder, d'envoyer et de recevoir des données depuis et vers un réseau privé en passant par un réseau public ou partagé tel qu'Internet, tout en assurant une connexion sécurisée à une infrastructure réseau sous-jacente pour protéger le réseau privé et ses ressources.
Un tunnel VPN établit un réseau privé qui peut envoyer des données en toute sécurité à l'aide du chiffrement pour coder les données et de l'authentification pour garantir l'identité du client. Les bureaux d'entreprise utilisent souvent une connexion VPN car il est à la fois utile et nécessaire de permettre à leurs employés d'accéder à leur réseau privé même s'ils se trouvent en dehors du bureau.
Normalement, les VPN de site à site connectent des réseaux entiers entre eux. Ils étendent un réseau et permettent aux ressources informatiques d'un emplacement d'être disponibles à d'autres emplacements. Grâce à l'utilisation d'un routeur VPN, une entreprise peut connecter plusieurs sites fixes sur un réseau public tel qu'Internet.
Le client à site configuré pour un VPN permet à un hôte distant, ou client, d'agir comme s'ils se trouvaient sur le même réseau local. Une connexion VPN peut être configurée entre le routeur et un point d'extrémité une fois que le routeur a été configuré pour la connexion Internet. Le client VPN dépend des paramètres du routeur VPN, en plus des paramètres correspondants requis pour établir une connexion. En outre, certaines applications clientes VPN sont spécifiques à la plate-forme, elles dépendent également de la version du système d'exploitation (OS). Les paramètres doivent être identiques ou ils ne peuvent pas communiquer.
Un VPN peut être configuré avec l'une des options suivantes :
Si vous n'avez jamais configuré de VPN auparavant, vous recevrez beaucoup de nouvelles informations tout au long de cet article. Il ne s'agit pas d'un guide étape par étape, mais plutôt d'une vue d'ensemble à titre de référence. Par conséquent, il serait utile de lire cet article dans son intégralité avant de passer à l'étape suivante et d'essayer de configurer un VPN sur votre réseau. Des liens pour des étapes spécifiques sont fournis dans cet article.
Les produits tiers non Cisco, notamment TheGreenBow, OpenVPN, Shrew Soft et EZ VPN ne sont pas pris en charge par Cisco. Ils sont inclus strictement à des fins d'orientation. Si vous avez besoin d'assistance sur ces éléments au-delà de l'article, vous devez contacter le tiers pour obtenir de l'assistance.
Pour plus d'informations sur le fonctionnement des VPN, cliquez ici.
Les routeurs de la gamme Cisco Business RV34x prennent en charge un VPN SSL à l'aide d'AnyConnect. Les routeurs RV160 et RV260 peuvent utiliser OpenVPN, qui est un autre VPN SSL. Le serveur VPN SSL permet aux utilisateurs distants d'établir un tunnel VPN sécurisé à l'aide d'un navigateur Web. Cette fonctionnalité permet d'accéder facilement à un large éventail de ressources Web et d'applications Web en utilisant le protocole HTTP (Hypertext Transfer Protocol) natif sur la prise en charge du navigateur HTTPS (Hypertext Transfer Protocol Secure) SSL.
Le VPN SSL permet aux utilisateurs d'accéder à distance à des réseaux restreints, en utilisant un chemin sécurisé et authentifié en chiffrant le trafic réseau.
Il existe deux options pour configurer l'accès dans SSL :
Ce document contient des liens vers des articles sur AnyConnect. Pour une présentation d’AnyConnect, cliquez ici.
Easy VPN (EZVPN), TheGreenBow et Shrew Soft sont des VPN IPSec (Internet Protocol Security). Les VPN IPSec fournissent des tunnels sécurisés entre deux homologues ou d'un client à un site. Les paquets considérés comme sensibles doivent être envoyés via ces tunnels sécurisés. Les paramètres tels que l'algorithme de hachage, l'algorithme de chiffrement, la durée de vie des clés et le mode doivent être utilisés pour protéger ces paquets sensibles doivent être définis en spécifiant les caractéristiques de ces tunnels. Ensuite, lorsque l'homologue IPsec voit un paquet aussi sensible, il configure le tunnel sécurisé approprié et envoie le paquet par ce tunnel à l'homologue distant.
Quand IPsec est mis en oeuvre dans un pare-feu ou un routeur, il fournit une sécurité forte qui peut être appliquée à tout le trafic traversant le périmètre. Le trafic au sein d'une entreprise ou d'un groupe de travail n'entraîne pas de surcharge liée au traitement de la sécurité.
Pour que les deux extrémités d'un tunnel VPN soient correctement chiffrées et établies, elles doivent toutes deux s'accorder sur les méthodes de chiffrement, de déchiffrement et d'authentification. Le profil IPsec est la configuration centrale dans IPsec qui définit les algorithmes tels que le chiffrement, l'authentification et le groupe Diffie-Hellman (DH) pour la négociation de phase I et II en mode auto et en mode de frappe manuelle.
Les composants importants d'IPsec incluent l'échange de clés Internet (IKE) phase 1 et phase 2.
L'objectif de base de la phase 1 d'IKE est d'authentifier les homologues IPSec et de configurer un canal sécurisé entre les homologues pour activer les échanges IKE. La phase IKE 1 remplit les fonctions suivantes :
L'objectif de la phase 2 d'IKE est de négocier les SA IPSec pour configurer le tunnel IPSec. IKE Phase 2 remplit les fonctions suivantes :
Si la politique IPSec spécifie Perfect Forward Secrecy (PFS), un nouvel échange DH est effectué avec chaque mode rapide, fournissant un matériau de frappe qui présente une plus grande entropie (durée de vie matérielle clé) et ainsi une plus grande résistance aux attaques cryptographiques. Chaque échange DH nécessite de grandes extensions, augmentant ainsi l'utilisation du CPU et exigeant un coût de performance.
PPTP est un protocole réseau utilisé pour créer des tunnels VPN entre des réseaux publics. Les serveurs PPTP sont également appelés serveurs VPDN (Virtual Private Dialup Network). Le protocole PPTP est parfois utilisé sur d'autres protocoles, car il est plus rapide et peut fonctionner sur des périphériques mobiles. Cependant, il est important de noter qu'il n'est pas aussi sécurisé que les autres types de VPN. Il existe plusieurs méthodes pour se connecter à des comptes de type PPTP. Cliquez sur les liens pour en savoir plus :
GRE (Generic Routing Encapsulation) est un protocole de tunnellisation qui fournit une approche générique simple pour le transport des paquets d’un protocole sur un autre protocole par le biais de l’encapsulation.
GRE encapsule une charge utile, c'est-à-dire un paquet interne qui doit être transmis à un réseau de destination dans un paquet IP externe. Le tunnel GRE se comporte comme une liaison point à point virtuelle qui a deux points d'extrémité identifiés par l'adresse source et l'adresse de destination du tunnel.
Les points d'extrémité du tunnel envoient des charges utiles via des tunnels GRE en acheminant des paquets encapsulés via des réseaux IP d'intervention. D’autres routeurs IP sur le chemin n’analysent pas la charge utile (le paquet interne); ils analysent uniquement le paquet IP externe lorsqu'ils le transmettent vers le point de terminaison du tunnel GRE. Une fois le point d'extrémité du tunnel atteint, l'encapsulation GRE est supprimée et la charge utile est transférée vers la destination finale du paquet.
L’encapsulation des datagrammes dans un réseau est effectuée pour plusieurs raisons, par exemple lorsqu’un serveur source veut influencer la route qu’un paquet emprunte pour atteindre l’hôte de destination. Le serveur source est également appelé serveur d’encapsulation.
L’encapsulation IP-in-IP implique l’insertion d’un en-tête IP externe sur l’en-tête IP existant. L'adresse source et de destination dans l'en-tête IP externe pointe vers les points d'extrémité du tunnel IP-in-IP. La pile d’en-têtes IP est utilisée pour diriger le paquet sur un chemin prédéterminé vers la destination, à condition que l’administrateur réseau connaisse les adresses de bouclage des routeurs transportant le paquet.
Ce mécanisme de tunnellisation peut être utilisé pour déterminer la disponibilité et la latence de la plupart des architectures réseau. Il est à noter que l’intégralité du chemin entre la source et la destination n’a pas à être incluse dans les en-têtes, mais qu’un segment du réseau peut être choisi pour diriger les paquets.
L2TP ne fournit pas de mécanismes de cryptage pour le trafic qu'il tunnel. Au lieu de cela, il s'appuie sur d'autres protocoles de sécurité, tels qu'IPSec, pour chiffrer les données.
Un tunnel L2TP est établi entre le concentrateur d'accès L2TP (LAC) et le serveur de réseau L2TP (LNS). Un tunnel IPSec est également établi entre ces périphériques et tout le trafic de tunnel L2TP est chiffré à l'aide d'IPSec.
Quelques termes clés avec L2TP :
Pour plus d'informations sur L2TP, cliquez sur les liens suivants :
RV34X | RV32X | RV160X/RV260X | |
---|---|---|---|
IPSec (IKEv1) | |||
ShrewSoft | Oui | Oui | Oui |
Groenland | Oui | Oui | Oui |
Client Mac intégré | Oui | Oui | Non |
iPhone/iPad | Oui | Oui | Non |
Android | Oui | Oui | Oui |
L2TP/IPSec | Oui (PAP) | Non | Non |
PPTP | Oui (PAP) | Oui* | Oui (PAP) |
Other (autre) | |||
AnyConnect | Oui | Non | Non |
Openvpn | Non | Oui | Oui |
IKEv2 | |||
Fenêtres | Oui* | Non | Oui* |
Mac | Oui | Non | Oui |
iPhone | Oui | Non | Oui |
Android | Oui | Non | Oui |
Technologie VPN |
Périphériques pris en charge |
Clients pris en charge* |
Détails et caves |
---|---|---|---|
IPSec (IKEv1) |
RV34X, RV32X, RV160X/RV260X |
Natif : Mac, iPhone, iPad, Android Divers : EasyVPN (Cisco VPN Client), ShrewSoft, Greenbow |
Plus facile à installer, à dépanner et à prendre en charge. Il est disponible sur tous les routeurs, est simple à configurer (pour la plupart), a la meilleure journalisation à dépanner. Et inclut la plupart des périphériques. C'est pourquoi nous recommandons généralement ShrewSoft (gratuit et fonctionne) et Greenbow (pas gratuit, mais fonctionne). Pour Windows, nous avons des clients ShrewSoft et Greenbow comme options, puisque Windows n'a pas de client VPN natif IPSec pur. Pour ShrewSoft et Greenbow, c’est un peu plus impliqué, mais pas difficile. Une fois que vous avez configuré pour la première fois, les profils clients peuvent être exportés, puis importés sur d'autres clients. Pour les routeurs RV160X/RV260X, comme nous n'avons pas l'option Easy VPN, nous devons utiliser l'option Client tiers, qui ne fonctionne pas avec Mac, iPhone ou iPad. Nous pouvons cependant configurer les clients ShrewSoft, Greeenbow et Android pour qu'ils se connectent. Pour les clients Mac, iPhone et iPad, je recommande IKEv2 (voir ci-dessous). |
AnyConnect |
RV34X |
Windows, Mac, iPhone, iPad, Android |
Certains clients demandent une solution Cisco complète, et c'est tout. Il est simple à configurer, a une journalisation, mais peut être difficile de comprendre les journaux. Nécessite l'obligation de licence du client pour les coûts d'exploitation. Il s'agit d'une solution Cisco complète et mise à jour. Le dépannage n'est pas aussi simple qu'IPSec, mais mieux que les autres options VPN. |
L2TP/IPSec |
RV34X |
Natif : Fenêtres |
C'est ce que je recommanderai aux clients qui doivent utiliser le client VPN intégré dans Windows. Voici deux mises en garde : |
IPSec (IKEv2) |
RV34X, RV160X/RV260X |
Natif : Windows, Mac, iPhone, iPad, Android |
Le client natif Windows pour IKEv2 nécessite une authentification de certificat, ce qui nécessite une infrastructure PKI puisque le routeur et tous les clients doivent avoir des certificats de la même autorité de certification (ou d'une autre autorité de certification de confiance). Pour ceux qui veulent utiliser IKEv2, nous l'avons configuré pour leurs appareils Mac, iPhone, iPad et Android et nous configurons généralement IKEv1 pour leurs machines Windows (ShrewSoft, Greenbow ou L2TP/IPSec). |
VPN ouvert |
RV32X, RV160X/RV260X |
Open VPN est le client |
Plus difficile à configurer, difficile à dépanner et à prendre en charge. Pris en charge sur les modèles RV160X/RV260X et RV320. La configuration est plus complexe qu'IPSec ou AnyConnect, surtout s'ils utilisent des certificats, ce que la plupart font. Le dépannage est plus difficile car nous ne disposons pas de journaux utiles sur le routeur et nous nous fions aux journaux du client. En outre, les mises à jour de version du client OpenVPN ont sans avertissement modifié les certificats acceptés. De plus, nous avons constaté que cela ne fonctionne pas sur les Chromebooks et avons dû passer à une solution IPSec. |
* Nous testons autant de combinaisons que possible, s'il y a une combinaison matériel/logiciel spécifique veuillez contacter ici. Sinon, consultez le guide de configuration associé par périphérique pour connaître la version la plus récente testée.
Avez-vous déjà visité un site Web et reçu un avertissement indiquant qu'il n'est pas sécurisé ? Il ne vous donne pas la certitude que vos informations privées sont sécurisées, et ce n'est pas le cas ! Si un site est sécurisé, une icône de verrouillage fermé apparaît avant le nom du site. C'est un symbole que le site a été vérifié sans danger. Vous voulez être sûr que l'icône de verrouillage est fermée. Il en va de même pour votre VPN.
Lorsque vous configurez un VPN, vous devez obtenir un certificat auprès d'une autorité de certification (AC). Les certificats sont achetés sur des sites tiers et utilisés pour l'authentification. C'est un moyen officiel de prouver que votre site est sécurisé. Essentiellement, l'AC est une source fiable qui vérifie que vous êtes une entreprise légitime et qu'elle peut être approuvée. Pour un VPN, vous n'avez besoin que d'un certificat de niveau inférieur à un coût minime. Vous êtes extrait par l'autorité de certification, et une fois qu'ils vérifient vos informations, ils vous délivrent le certificat. Ce certificat peut être téléchargé sous forme de fichier sur votre ordinateur. Vous pouvez ensuite accéder à votre routeur (ou à votre serveur VPN) et le télécharger ici.
L'autorité de certification utilise l'infrastructure à clé publique (PKI) lors de la délivrance de certificats numériques, qui utilise le chiffrement à clé publique ou privée pour assurer la sécurité. Les CA sont responsables de la gestion des demandes de certificat et de la délivrance des certificats numériques. Quelques CA tierces incluent IdenTrust, Comodo, GoDaddy, GlobalSign, GeoTrust et Verisign.
Il est important que toutes les passerelles d'un VPN utilisent le même algorithme, sinon elles ne pourront pas communiquer. Pour simplifier les choses, il est recommandé d'acheter tous les certificats auprès d'un même tiers de confiance. Cela facilite la gestion de plusieurs certificats, car ils doivent être renouvelés manuellement.
Remarque: Les clients n'ont généralement pas besoin d'un certificat pour utiliser un VPN ; il s'agit uniquement d'une vérification via le routeur. Une exception à cette règle est OpenVPN, qui nécessite un certificat client.
Certaines petites entreprises choisissent d'utiliser un mot de passe ou une clé pré-partagée à la place d'un certificat pour plus de simplicité. Cette solution est moins sécurisée mais peut être mise en place gratuitement.
Vous trouverez plus d'informations sur les certificats dans les liens ci-dessous :
Pour le routeur local et distant, il est important de s'assurer que la clé prépartagée (PSK)/mot de passe/certificat utilisé pour la connexion VPN et que les paramètres de sécurité correspondent tous. Si un ou plusieurs routeurs utilisent la traduction d'adresses de réseau (NAT), que la plupart des routeurs Cisco Business utilisent, vous devrez faire des exemptions de pare-feu pour la connexion VPN sur le routeur local et distant.
Consultez les articles de site à site pour plus d'informations :
Avant de pouvoir configurer un VPN côté client, un administrateur doit le configurer sur le routeur.
Cliquez pour afficher les articles suivants sur la configuration du routeur :
Dans une connexion VPN client à site, les clients d'Internet peuvent se connecter au serveur pour accéder au réseau d'entreprise ou au réseau local derrière le serveur, tout en conservant la sécurité du réseau et de ses ressources. Cette fonctionnalité est très utile car elle crée un nouveau tunnel VPN qui permettrait aux télétravailleurs et aux voyageurs d'affaires d'accéder à votre réseau en utilisant un logiciel client VPN sans compromettre la confidentialité et la sécurité. Les articles suivants sont spécifiques aux routeurs de la gamme RV34x :
Des groupes d'utilisateurs sont créés sur le routeur pour un ensemble d'utilisateurs partageant le même ensemble de services. Ces groupes d'utilisateurs incluent des options pour le groupe, telles qu'une liste d'autorisations sur la façon dont ils peuvent accéder au VPN. Selon le périphérique, PPTP, VPN IPSec site à site et VPN IPSec client à site peuvent être autorisés. Par exemple, le RV260 dispose d'options qui incluent OpenVPN mais L2TP n'est pas pris en charge. La gamme RV340 est équipée d'AnyConnect pour un VPN SSL, ainsi que de Captive Portal ou EZ VPN.
Ces paramètres permettent aux administrateurs de contrôler et de filtrer pour que seuls les utilisateurs autorisés puissent accéder au réseau. Shrew Soft et TheGreenBow sont deux des clients VPN les plus courants disponibles en téléchargement. Ils doivent être configurés en fonction des paramètres VPN du routeur pour pouvoir établir un tunnel VPN. L'article suivant traite spécifiquement de la création d'un groupe d'utilisateurs :
Lorsque vous configurez des groupes d'utilisateurs pour un VPN, veillez à laisser le compte d'administrateur par défaut dans le groupe d'administrateurs et à créer un nouveau compte d'utilisateur et un nouveau groupe d'utilisateurs pour le VPN. Si vous déplacez votre compte d'administrateur vers un autre groupe, vous vous empêcherez de vous connecter au routeur. Par conséquent, vous devez réinitialiser et configurer le routeur en usine, en laissant le compte d'administrateur par défaut dans le groupe d'administrateurs seul.
Les comptes d'utilisateurs sont créés sur le routeur afin de permettre l'authentification des utilisateurs locaux à l'aide de la base de données locale pour divers services tels que PPTP, VPN Client, connexion à l'interface utilisateur graphique Web (GUI) et Secure Sockets Layer Virtual Private Network (SSLVPN). Cela permet aux administrateurs de contrôler et de filtrer les utilisateurs autorisés uniquement pour accéder au réseau. L'article suivant traite spécifiquement de la création d'un compte d'utilisateur :
Dans une connexion VPN client à site, les clients d'Internet peuvent se connecter au serveur pour accéder au réseau d'entreprise ou au réseau local derrière le serveur, tout en conservant la sécurité du réseau et de ses ressources. Cette fonctionnalité est très utile car elle crée un nouveau tunnel VPN qui permet aux télétravailleurs et aux voyageurs d'affaires d'accéder à votre réseau en utilisant un logiciel client VPN sans compromettre la confidentialité et la sécurité. Le VPN est configuré pour chiffrer et déchiffrer les données lors de leur envoi et de leur réception.
L'application AnyConnect fonctionne avec un VPN SSL et est utilisée avec les routeurs RV34x en particulier. Il n'est pas disponible avec d'autres routeurs de la gamme RV. À partir de la version 1.0.3.15, une licence de routeur n'est plus nécessaire, mais des licences doivent être achetées pour le côté client du VPN. Pour plus d'informations sur Cisco AnyConnect Secure Mobility Client, cliquez ici. Pour obtenir des instructions sur l'installation, sélectionnez l'un des articles suivants :
Certaines applications tierces peuvent être utilisées pour le VPN client à site avec tous les routeurs de la gamme RV. Comme indiqué précédemment, Cisco ne prend pas en charge ces applications ; ces renseignements sont fournis à des fins d'orientation.
Le client VPN GreenBow est une application cliente VPN tierce qui permet à un périphérique hôte de configurer une connexion sécurisée pour un tunnel IPsec client à site ou SSL. Il s'agit d'une application payante qui inclut l'assistance.
OpenVPN est une application libre et open source qui peut être configurée et utilisée pour un VPN SSL. Il utilise une connexion client-serveur pour fournir des communications sécurisées entre un serveur et un site client distant sur Internet.
Shrew Soft est une application libre et open source qui peut être configurée et utilisée pour un VPN IPsec également. Il utilise une connexion client-serveur pour fournir des communications sécurisées entre un serveur et un site client distant sur Internet.
Easy VPN était couramment utilisé sur les routeurs RV32x. Voici quelques informations à consulter :
Les derniers routeurs Cisco Business sont fournis avec un assistant de configuration VPN qui vous guide tout au long des étapes de configuration. L'Assistant de configuration VPN vous permet de configurer des connexions VPN de base LAN à LAN et d'accès à distance et d'attribuer des clés prépartagées ou des certificats numériques pour l'authentification. Pour plus d'informations, consultez ces articles :
Cet article vous a permis de mieux comprendre les réseaux privés virtuels et de vous fournir des conseils pour vous aider à progresser. Maintenant, vous devriez être prêt à configurer le vôtre ! Prenez le temps d'afficher les liens et de déterminer la meilleure façon de configurer un VPN sur votre routeur Cisco Business.