Analyser le trafic VPN avec Wireshark : notre guide

Le VPN (Virtual Private Network) est une technologie qui permet de créer un réseau privé virtuel entre deux ou plusieurs ordinateurs connectés à Internet. Le VPN chiffre et encapsule les données échangées entre les ordinateurs, ce qui les rend indétectables et inaccessibles aux tiers.

Le VPN offre ainsi plusieurs avantages, tels que la protection de la vie privée, la sécurité des données, l’accès à des contenus géo-restreints ou la réduction des coûts de communication.

Mais comment savoir si le VPN fonctionne correctement et si le trafic est bien protégé ? Comment analyser le trafic VPN pour détecter d’éventuelles anomalies, erreurs ou attaques ? C’est là qu’interviennent les outils de capture de paquets, comme Wireshark, qui permettent d’intercepter et d’examiner les paquets de données qui circulent sur un réseau.

Ces outils sont très utiles pour les administrateurs réseau, les développeurs, les chercheurs ou les utilisateurs avancés qui veulent comprendre le fonctionnement du VPN et vérifier sa fiabilité.

Les principes de base du VPN

Le VPN repose sur deux éléments principaux : le tunnel et le chiffrement.

Le tunnel est la connexion virtuelle qui relie les ordinateurs du réseau privé virtuel. Il s’agit d’un canal logique qui passe à travers le réseau public (Internet) et qui isole le trafic VPN du reste du trafic. Le tunnel peut être établi entre deux points (point à point) ou entre un point et un réseau (point à multipoint). Le tunnel peut être permanent ou temporaire, selon les besoins.

Le chiffrement est le processus qui consiste à transformer les données en un format incompréhensible pour les tiers. Il s’agit d’une couche supplémentaire de sécurité qui protège le contenu des données échangées dans le tunnel. Le chiffrement utilise des algorithmes mathématiques et des clés secrètes pour coder et décoder les données.

Le chiffrement peut être symétrique (la même clé est utilisée pour coder et décoder) ou asymétrique (deux clés différentes sont utilisées : une publique et une privée).

Pour créer un VPN, il faut donc disposer d’un logiciel client et d’un logiciel serveur qui vont se charger de créer le tunnel et de chiffrer les données. Il faut également choisir un protocole VPN qui va définir les règles et les paramètres du tunnel et du chiffrement.

Les types de protocoles VPN

Il existe plusieurs types de protocoles VPN, qui se distinguent par leur niveau de sécurité, leur performance, leur compatibilité et leur facilité d’utilisation. Voici les principaux protocoles VPN existants :

• PPTP (Point-to-Point Tunneling Protocol) : c’est l’un des plus anciens et des plus simples protocoles VPN. Il crée un tunnel au niveau de la couche 2 du modèle OSI (couche liaison) et utilise le protocole GRE (Generic Routing Encapsulation) pour encapsuler les données. Il utilise le protocole TCP (Transmission Control Protocol) pour établir la connexion et le protocole MPPE (Microsoft Point-to-Point Encryption) pour chiffrer les données. Il est compatible avec la plupart des systèmes d’exploitation et des routeurs, mais il offre un faible niveau de sécurité et de performance.
• L2TP (Layer 2 Tunneling Protocol) : c’est une amélioration du protocole PPTP, qui crée également un tunnel au niveau de la couche 2 du modèle OSI. Il utilise le protocole UDP (User Datagram Protocol) pour établir la connexion et le protocole IPSec (Internet Protocol Security) pour chiffrer les données. Il offre un meilleur niveau de sécurité que le PPTP, mais il est plus lent et plus complexe à configurer. Il est compatible avec la plupart des systèmes d’exploitation et des routeurs.
• IPSec (Internet Protocol Security) : c’est un ensemble de protocoles qui assurent la sécurité des communications IP (Internet Protocol). Il peut fonctionner en mode transport ou en mode tunnel. En mode transport, il chiffre seulement le contenu des paquets IP, sans modifier leur en-tête. En mode tunnel, il chiffre et encapsule les paquets IP entiers dans un nouveau paquet IP, ce qui crée un tunnel au niveau de la couche 3 du modèle OSI (couche réseau). Il utilise les protocoles AH (Authentication Header) et ESP (Encapsulating Security Payload) pour assurer l’authentification, l’intégrité et la confidentialité des données. Il utilise également les protocoles IKE (Internet Key Exchange) et ISAKMP (Internet Security Association and Key Management Protocol) pour établir les clés de chiffrement. Il offre un haut niveau de sécurité et de performance, mais il est plus lourd et plus difficile à mettre en œuvre. Il est compatible avec la plupart des systèmes d’exploitation et des routeurs.
• SSL/TLS (Secure Sockets Layer/Transport Layer Security) : ce sont des protocoles qui assurent la sécurité des communications au niveau de la couche 4 du modèle OSI (couche transport). Ils sont principalement utilisés pour sécuriser les échanges sur le web, mais ils peuvent également servir à créer des VPN. Ils utilisent le protocole TCP pour établir la connexion et le protocole SSL/TLS pour négocier les paramètres de chiffrement et échanger les clés. Ils utilisent des algorithmes symétriques ou asymétriques pour chiffrer les données. Ils offrent un bon niveau de sécurité et de performance, mais ils nécessitent l’installation d’un certificat numérique sur le serveur VPN. Ils sont compatibles avec la plupart des navigateurs web et des applications.
• OpenVPN : c’est un protocole VPN open source qui utilise le protocole SSL/TLS pour créer un tunnel au niveau de la couche 4 du modèle OSI. Il utilise le protocole UDP ou TCP pour établir la connexion et le protocole SSL/TLS pour négocier les paramètres de chiffrement et échanger les clés. Il utilise des algorithmes symétriques ou asymétriques pour chiffrer les données. Il offre un excellent niveau de sécurité et de performance, mais il nécessite l’installation d’un logiciel client sur les ordinateurs du réseau privé virtuel. Il est compatible avec la plupart des systèmes d’exploitation et des routeurs.

Il existe d’autres protocoles VPN moins courants, tels que SSTP (Secure Socket Tunneling Protocol), IKEv2 (Internet Key Exchange version 2), WireGuard ou SoftEther. Chaque protocole VPN a ses avantages et ses inconvénients, et il faut choisir celui qui correspond le mieux à ses besoins et à son environnement.

Les méthodes de capture du trafic VPN

Pour analyser le trafic VPN, il faut d’abord être capable de le capturer. Il existe deux méthodes principales pour capturer le trafic VPN : la capture sur l’interface physique ou la capture sur l’interface virtuelle.

La capture sur l’interface physique consiste à intercepter les paquets VPN sur l’interface réseau qui assure la connexion à Internet, par exemple une carte Ethernet ou une carte Wi-Fi. Cette méthode permet de capturer le trafic VPN tel qu’il circule sur le réseau public, c’est-à-dire encapsulé et chiffré.

Elle nécessite donc de disposer des clés de chiffrement pour pouvoir décoder les paquets VPN et accéder à leur contenu. Cette méthode est utile pour vérifier le fonctionnement du tunnel et du chiffrement du VPN, ainsi que pour détecter d’éventuelles fuites de données ou de trafic non chiffré.

La capture sur l’interface virtuelle consiste à intercepter les paquets VPN sur l’interface réseau qui assure la connexion au réseau privé virtuel, par exemple une carte TAP ou une carte TUN. Cette méthode permet de capturer le trafic VPN tel qu’il circule sur le réseau privé, c’est-à-dire déchiffré et décapsulé.

Elle ne nécessite donc pas de disposer des clés de chiffrement pour pouvoir analyser les paquets VPN et accéder à leur contenu. Cette méthode est utile pour vérifier le contenu des données échangées dans le VPN, ainsi que pour détecter d’éventuelles anomalies, erreurs ou attaques.

Pour choisir la méthode de capture la plus adaptée, il faut prendre en compte plusieurs facteurs, tels que le type de protocole VPN utilisé, le type d’interface réseau disponible, le niveau d’accès au serveur VPN et au client VPN, et le type d’analyse souhaitée.

Les techniques d’analyse des paquets VPN

Pour analyser les paquets VPN, il faut disposer d’un outil de capture de paquets, comme Wireshark ou d’autres outils similaires. Wireshark est un logiciel gratuit et open source qui permet d’intercepter et d’examiner les paquets de données qui circulent sur un réseau. Il offre une interface graphique qui affiche les paquets sous forme de liste ou de diagramme, ainsi qu’une multitude de filtres, de statistiques et de fonctionnalités avancées pour faciliter l’analyse.

Pour analyser les paquets VPN avec Wireshark ou d’autres outils de capture de paquets, il faut suivre les étapes suivantes :

1. Sélectionner l’interface réseau sur laquelle capturer le trafic VPN, selon la méthode choisie (interface physique ou interface virtuelle).
2. Lancer la capture des paquets en cliquant sur le bouton “Start” ou en utilisant le menu “Capture”.
3. Arrêter la capture des paquets en cliquant sur le bouton “Stop” ou en utilisant le menu “Capture”.
4. Afficher les paquets capturés dans l’interface graphique de l’outil de capture de paquets. Les paquets sont généralement affichés sous forme de trois panneaux : le panneau supérieur affiche la liste des paquets capturés, avec des informations générales comme le numéro du paquet, le temps écoulé, la source, la destination, le protocole et l’information. Le panneau central affiche les détails du paquet sélectionné dans le panneau supérieur, avec les différentes couches du modèle OSI et les champs correspondants. Le panneau inférieur affiche les données brutes du paquet sélectionné dans le panneau supérieur, sous forme hexadécimale et ASCII.
5. Appliquer des filtres pour affiner l’affichage des paquets capturés et ne garder que ceux qui sont pertinents pour l’analyse. Les filtres peuvent être appliqués sur n’importe quel champ du paquet, en utilisant une syntaxe spécifique. Par exemple, pour afficher seulement les paquets qui utilisent le protocole UDP, il faut saisir “udp” dans la barre de filtre. Pour afficher seulement les paquets qui ont comme source ou comme destination une adresse IP donnée, il faut saisir “ip.addr == x.x.x.x” dans la barre de filtre.
6. Analyser les paquets capturés en utilisant les différentes fonctionnalités de l’outil de capture de paquets. Par exemple, pour décoder les paquets VPN chiffrés capturés sur l’interface physique, il faut disposer des clés de chiffrement et les importer dans l’outil de capture de paquets. Pour cela, il faut utiliser le menu “Edit”, puis “Preferences”, puis “Protocols”, puis choisir le protocole VPN concerné (par exemple IPSec) et renseigner les clés dans l’onglet “Keys”. Une fois les clés importées, l’outil de capture de paquets peut décoder les paquets VPN et afficher leur contenu. Par exemple, pour analyser les paquets VPN déchiffrés capturés sur l’interface virtuelle, il faut examiner les différentes couches du modèle OSI et les champs correspondants. Par exemple, pour vérifier le contenu des données échangées dans le VPN, il faut regarder la couche 7 (couche application) et les protocoles associés (par exemple HTTP, FTP, SMTP, etc.). Pour détecter d’éventuelles anomalies, erreurs ou attaques, il faut regarder les champs qui indiquent le statut ou le code du paquet (par exemple le champ “Flags” pour le protocole TCP ou le champ “Code” pour le protocole ICMP).

Pour faciliter l’analyse des paquets VPN, il est possible d’utiliser des fonctionnalités avancées de l’outil de capture de paquets, telles que :

• Les statistiques : elles permettent d’obtenir des informations globales sur le trafic VPN, comme le nombre de paquets capturés, le débit, la durée, la taille moyenne des paquets, la distribution des protocoles, etc. Elles sont accessibles depuis le menu “Statistics”.
• Les graphiques : ils permettent de visualiser le trafic VPN sous forme de courbes, de barres, de camemberts, etc. Ils sont accessibles depuis le menu “Statistics”, puis “IO Graphs” ou “Conversations”.
• Les flux : ils permettent de suivre le cheminement des paquets VPN entre la source et la destination, en affichant les différentes étapes du tunnel et du chiffrement. Ils sont accessibles depuis le menu “Analyze”, puis “Follow”, puis choisir le protocole concerné (par exemple UDP).
• Les alertes : elles permettent de détecter les paquets VPN qui présentent des anomalies, des erreurs ou des signes d’attaque. Elles sont affichées sous forme de couleur ou d’icône dans la liste des paquets capturés. Par exemple, un paquet VPN qui a une taille anormalement grande peut être une tentative de déni de service. Un paquet VPN qui a un champ “Time to live” (TTL) trop faible peut être une tentative de traceroute.

Pour analyser le trafic VPN avec Wireshark, il faut donc maîtriser les principes de base du VPN, les types de protocoles VPN existants, les méthodes de capture du trafic VPN et les techniques d’analyse des paquets VPN. Il faut également disposer des clés de chiffrement si l’on veut décoder les paquets VPN chiffrés.

Les conseils pour optimiser l’utilisation du VPN

Pour optimiser l’utilisation du VPN et éviter les problèmes de sécurité ou de performance, il est conseillé de suivre quelques recommandations :

• Choisir un protocole VPN adapté à ses besoins et à son environnement. Par exemple, si l’on cherche un haut niveau de sécurité et de performance, il vaut mieux opter pour un protocole comme IPSec ou OpenVPN. Si l’on cherche une compatibilité maximale et une facilité d’utilisation, il vaut mieux opter pour un protocole comme SSL/TLS ou PPTP.
• Choisir un fournisseur VPN fiable et réputé. Il existe de nombreux fournisseurs VPN sur le marché, mais tous ne se valent pas en termes de qualité de service, de respect de la vie privée ou de politique tarifaire. Il faut donc se renseigner sur les caractéristiques et les avis des différents fournisseurs VPN avant de faire son choix.
• Configurer correctement son client VPN et son serveur VPN. Il faut s’assurer que les paramètres du client VPN et du serveur VPN sont cohérents et conformes aux normes du protocole VPN choisi. Il faut également vérifier que les ports et les protocoles nécessaires au fonctionnement du VPN sont autorisés par le pare-feu ou le routeur.
• Vérifier régulièrement le fonctionnement du VPN et son niveau de sécurité. Il faut utiliser des outils comme Wireshark pour analyser le trafic VPN et détecter d’éventuelles anomalies, erreurs ou attaques. Il faut également utiliser des outils comme DNS Leak Test ou IP Leak Test pour vérifier que le VPN ne laisse pas fuiter des informations personnelles comme l’adresse IP ou le nom de domaine.

Conclusion

En conclusion, le VPN est une technologie utile et efficace pour protéger ses communications sur Internet. Mais il faut savoir comment l’utiliser correctement et comment l’analyser avec des outils comme Wireshark ou d’autres outils de capture de paquets.

Cela permet de vérifier le fonctionnement du VPN, le contenu des données échangées dans le VPN, ainsi que la détection d’éventuelles anomalies, erreurs ou attaques.