Acheter ou Renouveler
Acheter ou Renouveler
annuler
Activer les suggestions
La fonction de suggestion automatique permet d'affiner rapidement votre recherche en suggérant des correspondances possibles au fur et à mesure de la frappe.
Affichage des résultats de 
Rechercher plutôt 
Vouliez-vous dire : 
cancel
Créer un nouvel article
326
Visites
0
Compliment
0
Commentaires

Cisco GETVPN

M02@rt37
VIP
VIP

le ‎11-10-2024 04:23 AM

La technologie Cisco Group Encrypted Transport VPN (GETVPN) est une solution de sécurité réseau développée pour offrir un chiffrement efficace des données sur des réseaux privés ou des infrastructures MPLS (Multiprotocol Label Switching). Contrairement aux VPN traditionnels, GETVPN n’utilise pas de tunnels point à point pour sécuriser les communications, mais adopte une approche innovante en chiffrant les paquets tout en conservant les en-têtes IP d’origine. Cela permet de sécuriser le trafic réseau sans affecter les mécanismes de routage ni la performance globale du réseau.

 

1.Principe de fonctionnement

GETVPN repose sur un modèle de chiffrement IPsec sans tunnel 'Tunnel-less IPSEC". Traditionnellement, les VPN basés sur IPsec encapsulent les paquets dans d'autres paquets pour créer un tunnel sécurisé, ce qui peut entraîner une surcharge en termes de bande passante et de latence. Avec GETVPN, chaque paquet est chiffré, mais ses en-têtes IP sont conservés. Cela permet aux routeurs, commutateurs, et autres équipements réseau de traiter les paquets chiffrés comme s'ils étaient des paquets ordinaires, sans avoir à gérer l'encapsulation et la décapsulation du trafic.

La clé de voûte de GETVPN est l'utilisation d'une architecture de sécurité de groupe. Chaque routeur ou périphérique participant au VPN est appelé Group Member (GM), et ces membres partagent des politiques de sécurité et des clés de chiffrement gérées de manière centralisée par un Key Server (KS). Un Group Member (GM) est un routeur Cisco qui chiffre et déchiffre le trafic de données. Un GM s'enregistre auprès d'un serveur de clés pour obtenir les clés de chiffrement nécessaires au chiffrement et au déchiffrement des flux de trafic transitant par l'appareil. Le GM effectue également le routage entre les domaines sécurisés et non sécurisés. Enfin, le GM participe aux communications multicast établies dans le réseau.

Le Key Server est le cerveau de l'opération GETVPN. Il est responsable de l'authentification des GMs. Le KS gère les politiques de sécurité qui déterminent quel trafic doit être chiffré. Il distribue les clés de session pour le chiffrement du trafic et les politiques de sécurité via le protocole GDOI aux GMs. Il existe deux types de clés que le KS envoie aux GMs : la Key Encryption Key (KEK) et la Traffic Encryption Key (TEK). Le KS utilise la KEK pour sécuriser la communication entre le KS et les GMs. Les GMs utilisent la TEK pour le chiffrement de masse des données du trafic qui transite entre les GMs.

 

2.Caractéristiques et fonctionnement en groupe

L’une des principales caractéristiques de GETVPN est qu’il élimine la nécessité de tunnels point à point, ce qui simplifie grandement l'architecture réseau tout en améliorant les performances. Le fait que les paquets chiffrés conservent leurs en-têtes IP d'origine permet aux mécanismes de routage traditionnels, tels que les protocoles de routage dynamique et MPLS, de fonctionner de manière transparente. Par conséquent, GETVPN s'intègre bien aux infrastructures réseau existantes sans nécessiter de modifications significatives.

L’autre aspect clé de GETVPN est la gestion centralisée des clés. Le Key Server est chargé de générer et de distribuer dynamiquement les clés de chiffrement aux membres du groupe. Cela simplifie la gestion des communications sécurisées, car il n’est pas nécessaire de configurer des tunnels entre chaque paire de routeurs ou de périphériques. L’utilisation de cette approche de sécurité par groupe permet de gérer efficacement les grandes infrastructures multi-sites en évitant la complexité des VPN point à point.

GETVPN prend également en charge le trafic multicast de manière native. Les flux multicast, couramment utilisés dans des applications telles que la diffusion vidéo, la vidéoconférence ou la distribution de contenus multimédia, sont souvent mal pris en charge par les VPN traditionnels en raison de la nature point à point des tunnels. GETVPN résout ce problème en permettant aux paquets multicast d’être chiffrés et distribués à travers le réseau sans encapsulation supplémentaire, offrant ainsi une solution plus efficace pour les applications multicast sécurisées..

 

3.Avantages de GETVPN

L'un des principaux avantages de GETVPN est son optimisation des performances réseau. Étant donné que les paquets ne sont pas encapsulés dans des tunnels, le réseau peut acheminer le trafic de manière plus directe et plus efficace. Cela se traduit par une réduction de la latence et une meilleure utilisation de la bande passante, en particulier sur les réseaux MPLS où le routage basé sur les étiquettes nécessite de connaître les adresses IP d'origine.

Un autre avantage majeur est la simplicité d’administration. La gestion des clés et des politiques de sécurité via un serveur centralisé réduit considérablement la complexité de la configuration et de la maintenance des VPN. Dans un réseau avec de nombreux sites distants, cette gestion centralisée permet de déployer et de modifier rapidement les politiques de sécurité sans avoir à intervenir sur chaque routeur ou périphérique individuellement.

De plus, GETVPN est conçu pour être compatible avec les technologies existantes. Les réseaux MPLS, les protocoles de routage dynamique (comme OSPF et BGP), ainsi que les mécanismes de qualité de service (QoS) fonctionnent de manière transparente avec GETVPN, car les en-têtes IP d'origine sont préservés dans les paquets chiffrés. Cela permet une interopérabilité totale sans compromettre la sécurité ni les performances du réseau.

Enfin, GETVPN est hautement scalable. Grâce à son modèle de sécurité par groupe, il est possible de protéger un grand nombre de sites avec une configuration centralisée unique. Cette capacité à étendre facilement le VPN tout en maintenant une gestion simple en fait une solution idéale pour les grandes entreprises ou les organisations avec des réseaux étendus.

 

4.Cas d’usage

Cisco GETVPN est particulièrement adapté aux entreprises multi-sites qui ont besoin de sécuriser les communications entre plusieurs bureaux répartis géographiquement. Il permet de chiffrer les données sensibles transitant sur des réseaux MPLS tout en conservant la flexibilité du routage IP.

Un autre cas d’usage fréquent concerne les applications multicast sécurisées. Dans des environnements comme les entreprises qui utilisent la vidéoconférence ou la diffusion de contenu multimédia, GETVPN offre une solution robuste pour sécuriser ces flux tout en garantissant une diffusion efficace du trafic multicast à travers le réseau.

Les organisations gouvernementales ou celles ayant des exigences de sécurité strictes peuvent également bénéficier de GETVPN. Dans ces environnements, la capacité à protéger les données sensibles sans compromettre la performance du réseau est cruciale, et la gestion centralisée des politiques de sécurité simplifie l'administration de réseaux complexes.

 

5.Limites de GETVPN

Malgré ses nombreux avantages, GETVPN présente quelques limites. L'infrastructure est dépendante du Key Server, qui est un point central dans l'architecture. Bien qu'il soit possible de redonder ce serveur pour améliorer la résilience, toute défaillance de celui-ci pourrait entraîner des perturbations dans la distribution des clés et, par conséquent, affecter la communication sécurisée au sein du réseau.

De plus, dans les environnements très dynamiques où les membres du groupe changent fréquemment ou où les clés doivent être renouvelées régulièrement, il peut y avoir une légère latence lors de la distribution des clés. Cette latence peut affecter la disponibilité immédiate des nouvelles clés de chiffrement.

--

Cisco GETVPN offre une solution VPN qui combine la sécurité de groupe, l'efficacité du chiffrement sans tunnel et la gestion centralisée des politiques de sécurité. Grâce à ses avantages en termes de performance, de simplicité et de scalabilité, GETVPN est une solution idéale pour les entreprises cherchant à sécuriser leurs réseaux étendus sans affecter la flexibilité de leur infrastructure. En prenant en charge les applications multicast et en intégrant de manière transparente les technologies de routage existantes, GETVPN garantit une sécurité robuste tout en permettant des performances réseau optimales.

 

sources:

https://www.cisco.com/c/en/us/td/docs/ios-xml/ios/sec_conn_getvpn/configuration/xe-3s/sec-get-vpn-xe-3s-book/sec-get-vpn.html

https://www.cisco.com/c/dam/en/us/td/docs/solutions/CVD/Aug2014/CVD-GETVPNDesignGuide-AUG14.pdf

https://brbccie.blogspot.com/2016/01/getvpn.html

 

Étiquettes :
0 Compliments
Mise en Route
Bienvenue dans la Communauté !

La communauté est un hub pour vous connecter avec vos pairs et les spécialistes Cisco, pour demander de l'aide, partager votre expertise, développer votre réseau et évoluer professionnellement.
Vous êtes un nouvel arrivant ? Cliquez ici pour en savoir plus.

Nous voulons que votre navigation soit la meilleure, donc vous trouverez des liens pour vous aider à être rapidement familiarisé avec la Communauté Cisco :

Liens rapides

Parcourez les liens directs de la Communauté et profitez de contenus personnalisés en français

Partager un document Rédiger un blog Vidéos R&S
Customers Also Viewed These Support Documents