15 années de VPN – 2/la maturité

Le terme de VPN est vraiment apparu avec les premières solutions de sécurisation des échanges sous IP. Au début, il ne s’agissait que d’IPsec. Ce protocole permet l’encapsulation d’un réseau IP privé sur un réseau IP public comme Internet. Il apporte aussi la confidentialité et l’authentification des extrémités, typiquement des réseaux raccordés de façon privative.

On peut distinguer deux types de VPN mettant en œuvre de façon différente le même IPsec :

• les VPN d’infrastructure pour lesquels le réseau garantit la sécurisation des flux ; on se base alors sur du compulsary tunneling. C’est une approche d’opérateur.
• les VPN à la demande pour lesquels on initie une connexion sécurisée ; on se base ici sur du vonlontary tunneling. C’est utilisé classiquement pour les accès à la demande des utilisateurs nomades. Dès le début des VPN IP des solutions propriétaires comme PPTP de MicroSoft furent privilégiées à l’approche standardisée IPsec moins bien intégrée avec le système Windows.
  

A cette époque, on bricola aussi des solutions peu sécurisés mais répondants aux faibles exigences des premiers utilisateurs ; sur du GRE par exemple !

Devant la lourdeur d’IPsec, en particulier dans sa mise en œuvre dans un environnement opérateur, Cisco poussa avec succès l’approche MPLS fin 99-2000. C’est aujourd’hui LA solution d’IP VPN chez les opérateurs. Dans ce contexte, le routeur d’accès géré par l’opérateur garantit au client que son accès appartient à son environnement de routage privé. Peu de sécurité (pas de chiffrement par ex), mais suffisamment au regard des besoins et de la confiance en son opérateur favori, et pas moins qu’en Frame Relay ou ATM.

Evidemment on trouve maintenant des solutions permettant de mixer une infrastructure IP VPN sur MPLS (compulsary) avec l’accès des nomades en IPsec (volontary).

15 années de VPN – 1/la préhistoire

Les réseaux privés virtuels (RPV ou VPN en Anglais) existaient bien avant que le terme de VPN n’apparaisse.

En effet, dans les années 80 et début 90, on disposait de GFA (Groupe Fermé d’Abonnés) sur les réseaux publics X25. A l’époque, pas si lointaine, on transportait des protocoles propriétaires comme SNA d’IBM, Decnet de feu Digital Equipement, … et des protocoles métiers comme la messagerie X.500 pour l’EDI (Echange de Données Informatisé) ou CBcom en monétique. On notera que ce dernier est toujours d’actualité sur les reliques d’X25 (oui, on monte encore des PAD !) et devrait être détrôné par son pendant IP dans les 3 années à venir, 2007 étant l’année des pilotes.

Les tentatives d’IP sur X25 début 90 étaient laborieuses et personne n’avait d’intérêt à changer l’ordre établi (sauf quelques petits nouveaux acteurs comme Wellfleet, digéré depuis chez Nortel, et Cisco, positionné alors comme le leader en multi-protocoles, la vague Internet et le marketing étant passé par là pour en faire le leader du tout IP.

• Caractéristiques d’X25 : multi-protocoles, très fiable, très bas débit, très cher ; supportant des circuits virtuels permanants (CVP, émulant des lignes louées point à point) mais aussi des CV commuté (CVC) permettant un accès à la demande, en particulier pour les accès commutés ; porté par la France via le réseau public Transpac et présent aussi aux US, en particulier chez CompuServe depuis les années 1970 ! Et ce, par le rachat des sources de Decnet phase I.

Puis vint, via les Etats Unis, le service de Frame Relay. C’est un copié-collé simplifié d’X25 pour une solution technique plus pragmatique. Ainsi les offres sont montées en débit et les prix ont baissés. Peu de temps après, IP prend son envol et les réseaux FR, historiquement multi-protocoles, ont porté les premiers réseaux IP d’entreprise (privés donc).

On a aussi vu quelques solutions ATM tirant le FR dans les hauts débits. Mais la fenêtre de tir de l’ATM s’est vu se rétrécir par la déferlante Internet fin 90 et du MPLS début 2000.

• Caractéristiques du FR : multi-protocoles, fiable, bas débit, cher ; supportant rarement le mode commuté ; très utilisé à l’international et en national longue distance car bien moins cher que les liaisons louées dont le coût est proportionnel à la distance entre les deux sites à raccorder (en FR, le coût dépend beaucoup de la distance au point de raccordement le plus proche, PoP ou Point of Presence).

La seconde moitié des années 90 marque l’avènement d’Internet et donc du protocole IP, mais aussi du réseau low cost. La réalisation de réseau d’entreprise passe alors par la création d’un réseau IP privé sur une infrastructure IP public. D’où l’apparition de solutions de VPN (Virtual Private Network). La mise en œuvre technique s’est cantonnée au départ à l’usage d’IPsec pour « privatiser » les flux (en encapsulant, en chiffrant, en authentifiant les sites).
Les opérateurs FR ont alors renommés leurs solutions en les marquetant comme VPN. Il faut dire que le service rendu correspond effectivement à de l’IP privé sur un réseau public. Qu’importe la technologie sous-jacente … On retrouvera massivement ce type d’offre jusqu’au début 2000, avant d’être détrôné par les IP-VPN basés sur les infrastructures MPLS.

• Caractéristiques du VPN sur FR : dédié IP, fiable, bas débit, de moins en moins cher ; encore utilisé avec des prix agressifs, les infrastructures FR étant amorties.