Chapitre 4 — VPN, IPsec, NAC & RADIUS/TACACS+
Ce module couvre les technologies d'accès distant sécurisé (VPN, IPsec, SSL-VPN) et les mécanismes de contrôle d'accès réseau (NAC, 802.1X, RADIUS, TACACS+).
Mémorisez ! VPN = tunnel chiffré sur internet simulant une connexion réseau privée. IPsec = couche 3, header IP authentifié. SSL/TLS VPN = couche 7, fonctionne via HTTPS (port 443). Full tunnel vs Split tunnel.
| Type VPN | Protocole | Couche | Usage |
|---|---|---|---|
| Site-to-Site | IPsec | 3 | Connexion permanente entre deux bureaux/datacenters |
| Remote Access | IPsec, SSL/TLS | 3 ou 7 | Employés en télétravail |
| SSL/TLS VPN | HTTPS (443) | 7 | Accès web, fonctionne à travers la plupart des firewalls |
| Split Tunnel | Any | — | Seul le trafic d'entreprise passe par le VPN — le reste va directement sur internet |
| Full Tunnel | Any | — | Tout le trafic passe par le VPN — meilleure visibilité et contrôle pour l'entreprise |
IPsec est une suite de protocoles pour sécuriser les communications IP. Il opère à la couche réseau (couche 3) et fonctionne en deux modes.
Modes IPsec
| Mode | Ce qui est chiffré | Usage |
|---|---|---|
| Transport | Payload IP uniquement (données). L'en-tête IP original reste visible. | Communication hôte à hôte sur le même réseau |
| Tunnel | Paquet IP entier (en-tête + payload). Encapsulé dans un nouveau paquet IP. | VPN site-to-site, accès distant |
Protocoles IPsec
- AH (Authentication Header) : authentifie l'en-tête IP et le payload. Ne chiffre PAS — intégrité seulement.
- ESP (Encapsulating Security Payload) : chiffre ET authentifie le payload. C'est le plus utilisé en pratique.
- IKE (Internet Key Exchange) : protocole de négociation des clés de session. IKEv2 est la version recommandée.
- SA (Security Association) : accord entre deux parties sur les algorithmes et clés à utiliser.
Astuce Examen
AH vs ESP : AH = authentification uniquement, pas de chiffrement (les données restent lisibles). ESP = authentification + chiffrement. Pour une confidentialité dans un VPN IPsec, ESP est requis. AH seul ne suffit pas car il ne chiffre pas.
NAC contrôle quels appareils peuvent accéder au réseau en vérifiant leur posture de sécurité (conformité).
- Agent-based NAC : un agent est installé sur l'endpoint qui rapporte sa posture (antivirus à jour, OS patché, chiffrement activé).
- Agentless NAC : le NAC interroge l'appareil via le réseau (SNMP, WMI) sans agent installé.
- Pre-admission NAC : vérifie la conformité AVANT d'autoriser l'accès au réseau.
- Post-admission NAC : surveille la conformité en continu APRÈS connexion.
- Remediation VLAN : les appareils non conformes sont mis dans un VLAN de remédiation où ils peuvent uniquement accéder aux ressources de mise à niveau (Windows Update, antivirus update).
Scénario : Un employé connecte son PC personnel au réseau d'entreprise. Le NAC détecte : antivirus absent, OS non patché depuis 3 mois. Le PC est automatiquement placé dans le VLAN de remédiation. Il peut télécharger les mises à jour mais pas accéder aux ressources internes. Une fois conforme, il est admis sur le VLAN normal.