VPN et VPN SSL

SSL en exposant leurs avantages et inconvénients. L’utilisation des VPN pour l’accès à distance se résumait à établir une connexion sur Internet avec le LAN de la société, à l’aide d’un protocole de tunnelisation tel que PPTP ou L2TP.

Une fois connectés, les utilisateurs distants étaient membres virtuels du LAN interne et pouvaient accéder aux ressources accessibles par IP sur ce LAN, comme s’ils se trouvaient dans le bureau (bien sûr, l’accès était beaucoup plus lent en raison de la latence inhérente à la connexion à distance). Les vrais VPN PPTP ou de type IPsec ont la réputation (imméritée) d’être difficiles à administrer et à supporter (le principal grief étant qu’il faut installer le logiciel client propriétaire sur les PC de tous les utilisateurs distants).

Je ne comprends pas pourquoi des sociétés ont plébiscité des solutions VPN tierce partie plutôt que Windows PPTP et L2TP natif. Il est facile d’installer un serveur RRAS et Windows dispose d’un client VPN intégré depuis Windows NT. De plus, PPTP est particulièrement facile à utiliser. Si vous voulez l’authentification à deux facteurs en utilisant des certificats clients, vous devrez utiliser L2TP et déployer des certificats clients (mais cela vaut pour n’importe quelle authentification à deux facteurs). A l’aide du CMAK (Connection Manager Administration Kit), vous pouvez créer un wizard qui établit automatiquement la connexion VPN dans le dossier Network Connection de l’utilisateur.

Vous pouvez distribuer le wizard de trois manières : pièce jointe de courriel, CD-ROM ou téléchargement sur le Web. Pour ma part, le plus gros problème des VPN est dû aux pare-feu situés entre le serveur VPN et l’utilisateur distant. La plupart des pare-feu doivent être configurés explicitement de manière à autoriser le passage PPTP ou IPsec (L2TP agit à l’intérieur d’IPsec) pour les connexions VPN sortantes, et tous les administrateurs n’y sont pas disposés. Ces problèmes de connectivité occasionnels sont l’une des raisons de préférer les VPN SSL.

Tous les VPN SSL ne sont pas de vrais VPN : beaucoup sont simplement un reverse proxy HTTP Secure (HTTPS). Avec un serveur reverse proxy, vous pouvez prendre des applications à base de navigateur, initialement prévues pour l’accès par des utilisateurs LAN internes, et les mettre à disposition d’utilisateurs distants sans changer le serveur d’applications interne. Le serveur proxy s’affiche comme un serveur Web sûr sur Internet. Une fois que les utilisateurs se sont connectés et authentifiés à l’aide de leurs navigateurs Web normaux, le serveur proxy sert d’intermédiaire entre l’utilisateur et le serveur intranet.

ISA Server fait cela depuis de nombreuses années, mais le terme « VPN SSL » s’est imposé dès lors que de nouvelles entreprises ont pratiqué le jeu du reverse proxy. Le reverse proxy présente un avantage primordial : on peut facilement mettre les applications Web internes à la disposition des utilisateurs distants sans aucune préparation ou installation côté client et sans modifier l’application Web interne. Et vous ne rencontrez pas non plus les problèmes de connectivité mentionnés précédemment, causés par des pare-feu bloquant les protocoles de tunnelisation sortants.

Utilisez un reverse proxy quand il faut fournir l’accès distant à une application Web interne. Utilisez les VPN SSL quand il faut un accès réseau distant au réseau interne au niveau transport (TCP/UDP). Les vrais VPN SSL assurent la tunnelisation du trafic IP entre le LAN interne et l’utilisateur distant. Open VPN est un vrai VPN SSL, open-source. D’autres vrais VPN SSL sont proposés par des fournisseurs (ISV) tels que Aventail et Citrix.

Les VPN SSL promettent beaucoup en termes de facilité d’utilisation et d’administration, et de faible coût de possession, mais les options VPN natives Windows fonctionnent bien si vous utilisez les possibilités de management de CMAK, Group Policy, et Certificate Services. Si vous devez prendre en charge des utilisateurs distants non-Windows, les VPN SSL s’imposent encore plus impérieusement.