Présentation de l’IOS Get VPN

Voici une petite présentation des fonctionnalités de l’IOS Get VPN.
Nous ne verrons pas de configuration, puisque vous avez un bon exemple ici:

http://www.ipflow.utc.fr/index.php/GET-VPN_Introduction

Donc le GET VPN C’est quoi ? GET = Group Encrypted Transport, donc pour faire simple on vas chiffrer au niveau de la couche 4 par groupes, c’est à dire qu’on vas utiliser un protocole (GDOI, qui se base sur ISAKMP) et un Key Server qui aura pour rôle d’envoyer les configuration aux équipements distants (group members). Les group members vont établir une SA vers le KS qui vas leur envoyer les paramètres de chiffrement de manière sécurisée. Ensuite, chaque group members, lorsqu’il voudra communiquer avec un autre, vas chiffrer uniquement à partir de la couche 4, c’est à dire que l’en tête IP n’est jamais modifiée. En gros, immaginons que l’on a un réseau non sécurisé avec du routage entre nos différents sites. J’ajoute les fonctionnalités GETVPN à mon réseau, et les échanges seront maintenant sécurisés sans l’utilisations de tunnels. Cela prend donc tout son intérêt dans le cadre du MPLS, le transport paquets du client étant gérés par le FAI.

Le principe est que le FAI doit acheminer des paquets de l’adressage privé du client entre les différents site, sans quoi le client devrait utiliser des tunnels. Le client est ensuite libre d’implémenter une solution GET VPN pour sécuriser son traffic transitant par son fournisseur d’accès.

Il faut bien comprendre que l’adressage privé/publique n’a rien à voir avec GETVPN, on pourrait très bien utilisé des connexions WAN dédiée, et implémenter GETVPN sur les routeurs des différents sites, mais il faudrait utiliser un protocole de tunneling pour que les paquets d’un réseau local soient transportable sur internet.

Le gros avantage de cette solution est de permettre du chiffrement any to any (tous les sites vers tous les sites), sans avoir d’interface tunnel, ce qui est couteux en terme de performance (encapsulation/décapsulation), et qui obligerait à avoir autant de tunnel vers les différents site (imaginons que l’on ait 10 sites, chaque site devrait avoir 10 tunnels…) , ou dans le cas d’une topologie hub and spoke, avoir un routeur qui fait tout le routage…

Recent Entries

Leave a Reply

Le temps imparti est dépassé. Merci de recharger le CAPTCHA.