ObjectifCyber

Chapitre 4 — VPN, IPsec, NAC & RADIUS/TACACS+

Ce module couvre les technologies d'accès distant sécurisé (VPN, IPsec, SSL-VPN) et les mécanismes de contrôle d'accès réseau (NAC, 802.1X, RADIUS, TACACS+).

Mémorisez ! VPN = tunnel chiffré sur internet simulant une connexion réseau privée. IPsec = couche 3, header IP authentifié. SSL/TLS VPN = couche 7, fonctionne via HTTPS (port 443). Full tunnel vs Split tunnel.
Type VPNProtocoleCoucheUsage
Site-to-SiteIPsec3Connexion permanente entre deux bureaux/datacenters
Remote AccessIPsec, SSL/TLS3 ou 7Employés en télétravail
SSL/TLS VPNHTTPS (443)7Accès web, fonctionne à travers la plupart des firewalls
Split TunnelAnySeul le trafic d'entreprise passe par le VPN — le reste va directement sur internet
Full TunnelAnyTout le trafic passe par le VPN — meilleure visibilité et contrôle pour l'entreprise

IPsec est une suite de protocoles pour sécuriser les communications IP. Il opère à la couche réseau (couche 3) et fonctionne en deux modes.

Modes IPsec

ModeCe qui est chiffréUsage
TransportPayload IP uniquement (données). L'en-tête IP original reste visible.Communication hôte à hôte sur le même réseau
TunnelPaquet IP entier (en-tête + payload). Encapsulé dans un nouveau paquet IP.VPN site-to-site, accès distant

Protocoles IPsec

Astuce Examen

AH vs ESP : AH = authentification uniquement, pas de chiffrement (les données restent lisibles). ESP = authentification + chiffrement. Pour une confidentialité dans un VPN IPsec, ESP est requis. AH seul ne suffit pas car il ne chiffre pas.

NAC contrôle quels appareils peuvent accéder au réseau en vérifiant leur posture de sécurité (conformité).

Scénario : Un employé connecte son PC personnel au réseau d'entreprise. Le NAC détecte : antivirus absent, OS non patché depuis 3 mois. Le PC est automatiquement placé dans le VLAN de remédiation. Il peut télécharger les mises à jour mais pas accéder aux ressources internes. Une fois conforme, il est admis sur le VLAN normal.

1. Quelle est la différence entre le mode Transport et le mode Tunnel d'IPsec ?

Mode Tunnel = paquet entier (en-tête + données) chiffré et encapsulé dans un nouveau paquet. Idéal pour les VPN site-to-site car les IPs internes sont cachées. Mode Transport = données chiffrées mais l'en-tête IP original reste visible — pour les communications hôte-à-hôte.

2. Un VPN "split tunnel" est configuré sur les PC des employés en télétravail. Quelle est la conséquence de sécurité de cette configuration ?

Split tunnel = risque : le PC peut être infecté via le trafic internet non inspecté, puis accéder au réseau d'entreprise via le VPN. Full tunnel force tout le trafic par l'entreprise (inspectable) mais augmente la latence et la charge.

3. Quelle est la différence principale entre AH et ESP dans IPsec ?

AH (Authentication Header) = intégrité + authentification uniquement, pas de confidentialité. ESP (Encapsulating Security Payload) = intégrité + authentification + chiffrement. Pour un VPN qui doit protéger la confidentialité des données, ESP est requis.

4. Qu'est-ce qu'une "Security Association (SA)" dans IPsec ?

Une SA est un accord unidirectionnel sur les paramètres de sécurité (algorithme, clé, durée de vie). Pour une communication bidirectionnelle, il faut deux SAs. IKE est le protocole qui négocie et établit ces SAs.

5. Un NAC vérifie la posture de sécurité d'un appareil avant de l'autoriser sur le réseau. Un appareil non conforme est :

Le VLAN de remédiation (quarantine VLAN) permet à l'appareil d'atteindre les serveurs de mise à jour (Windows Update, antivirus) pour se mettre en conformité, sans accéder aux ressources sensibles. Une fois conforme, il est déplacé vers le VLAN normal.

6. Quel protocole VPN fonctionne sur le port TCP 443 et traverse donc la plupart des firewalls sans problème ?

SSL/TLS VPN utilise HTTPS (port 443) qui est généralement autorisé par les firewalls. IPsec utilise les ports UDP 500/4500 et le protocole ESP (protocole IP 50) qui peuvent être bloqués dans des environnements restrictifs.

7. Quelle est la différence entre un VPN "site-to-site" et un VPN "d'accès distant" (remote access) ?

Site-to-site = tunnel toujours actif entre le siège et les agences — transparent pour les utilisateurs. Remote access = chaque employé en télétravail établit son propre tunnel VPN vers le réseau d'entreprise. Les deux utilisent IPsec ou SSL/TLS.

8. IKEv2 (Internet Key Exchange version 2) est préféré à IKEv1 dans les déploiements IPsec modernes pour quelle raison principale ?

IKEv2 ajoute le MOBIKE (Mobile IKE) — si un client change d'adresse IP (Wi-Fi → 4G), le tunnel VPN est maintenu sans reconnexion. IKEv2 est aussi plus efficace (moins d'échanges) et résistant aux attaques DoS (avec cookies).

9. Un NAC "agentless" vérifie la posture d'un appareil :

NAC agentless = aucun logiciel à installer sur les endpoints. Pratique pour les appareils BYOD et les invités. Inconvénient : accès réseau limité pour l'interrogation, moins précis qu'un agent. NAC agent-based = plus précis mais requiert déploiement et gestion des agents.

10. Quel est l'avantage principal du NAC "post-admission" par rapport au NAC "pre-admission" ?

Pre-admission = vérifie avant connexion (une seule vérification). Post-admission = surveillance continue. Si un appareil conforme à la connexion télécharge un malware en cours de session, le post-admission peut le détecter et l'isoler automatiquement.