Quel Protocole choisir : PPTP ou OPENVPN ?
Le PPTP:
PPTP fut le premier protocole VPN implémenté dans les systèmes d’exploitation de Microsoft, il fit son apparition dans Windows 95 OSR2 et Windows NT Workstation. L’objectif était alors de sécuriser les communications établies par Internet entre les clients RoadWarrior et le réseau de leur entreprise (à l'aide du cryptage MPPE). Il est depuis disponible en natif dans pratiquement tous les systèmes Windows (Windows Mobile 2003 inclus). PPTP est accessible dans Windows 2000 et XP avec le service système " Routage et accès à distance ".
Windows n’est pas le seul système d’exploitation à avoir implémenté PPTP, en effet, Linux supporte lui aussi ce protocole (il supporte le MPPE depuis le noyau 2.6.13 du 28 octobre 2005, bien plus tard). Suse 10 fut la première distribution Linux à proposer un client PPTP.
De son côté, Apple a lui aussi intégré le support de PPTP dans son système Mac OS X, Cisco et Efficient Network vendent de leur côté des clients pour les versions antérieures de ce système.
La famille des systèmes BSD (NetBSD, FreeBSD, OpenBSD, etc...) supporte elle aussi le protocole PPTP à l’aide du port nommé mdp.
Fonctionnement général d'un VPN avec PPTP
Le protocole PPTP consiste en deux flux de communication entre le client et le serveur, s'appuyant directement sur le protocole IP :
- Le premier flux a pour rôle la gestion du lien entre les deux parties, il s’agit là d’une connexion sur le port 1723 du serveur en TCP.
- Le second flux concerne les données échangées entre les deux parties, bien entendu ce flux peut et doit être chiffré, ce dernier transite en utilisant le protocole General Routing Encapsulation.
PPTP ne concerne que le transport des données, un de ces deux protocoles intervient ensuite pour sécuriser l'authentification, il faut en effet être certain que c'est la bonne personne qui se connecte au serveur VPN !
- Password Authentification Protocol (PAP) : ce protocole décrit dans la RFC 1994 consiste à mettre en place une authentification entre le client et le serveur VPN. Les informations d'authentification (nom d'utilisateur et mot de passe) transitent en clair, ce qui n'est pas l'idéal si l'on veut sécuriser au maximum...
- Challenge Handshake Authentification Protocol (CHAP) : ce protocole consiste en un mécanisme d'authentification crypté, il est donc sécurisé. Un protocole basé sur ce dernier, développé par Microsoft, est aussi utilisé : MS-CHAP.
L'OPENVPN:
OpenVPN permet à des pairs de s'authentifier entre eux à l'aide d'une clé privée partagée à l'avance, de certificats ou de couples de noms d'utilisateur/mot de passe. Il utilise de manière intensive la bibliothèque d'authentification OpenSSL ainsi que le protocole SSLv3/TLSv1. Disponible sous Solaris, Linux, OpenBSD, FreeBSD, NetBSD, Mac OS X, Windows 2000, XP et Vista, il offre aussi de nombreuses fonctions de sécurité et de contrôle.
Cryptage:
OpenVPN utilise la bibliothèque OpenSSL pour fournir le cryptage à la fois des données et des canaux de contrôle. Il peut également utiliser la fonctionnalité d'authentification de paquets HMAC pour ajouter une couche supplémentaire de sécurité à la connexion (appelé un "HMAC firewall" par le créateur). Il peut aussi utiliser l'accélération matérielle pour de meilleures performances de chiffrement.
Authentification:
OpenVPN a plusieurs manières d'authentifier les pairs . OpenVPN offre une clé pré-partagée secrète, basée sur les certificats, et nom d'utilisateur / mot de passe d'authentification fondée. Cette Clé secrète pré-partagée est le plus facile, avec le certificat de base étant le plus robuste et riche en fonctionnalités. Le nom d'utilisateur / mot de passe est une nouvelle fonctionnalité (version 2.0) qui peut être utilisé avec ou sans un certificat client (le serveur encore besoin d'un certificat).
Réseau:
OpenVPN peut fonctionner sur UDP (de préférence, et par défaut) ou TCP.
COMPARATIF RAPIDE DES DEUX PROTOCOLES
PPTP (GRE) | OpenVPN | |
---|---|---|
Cryptage | Faible (MPPE 128 bits) | Fort (auth : RSA 2048 bits; données : AES 256 bits) |
Compression | Non | Oui (LZO) |
Nécessite l'installation d'un logiciel | Non | Oui |
Fonctionne sur Windows/Linux/MacOS | Oui | Oui |
Fonctionne sur une large gamme de périphériques | Oui | Non |
Capacité à fonctionner derrière un firewall | Moyenne (utilise le port 1723 TCP + le protocole 47) | Excellente (utilise le port 443 UDP ou TCP) |
En guise de conclusion:
OpenVPN est meilleur, mais plus difficile à configurer sous Windows.
PPTP aura comme avantage d'être opérationnel sur un plus large éventail de matériel.
N'utilisez jamais PPTP si vous pensez que quelqu'un espionne votre connexion: ses protections suffisent pour pour un usage courant mais sont devenues insuffisantes dans le cas de données confidentielles
Sources : Ici, là , et là.
Aucun commentaire:
Enregistrer un commentaire