Sécurité dans L2TP
Protocole L2TP

Le protocole de tunneling (processus d’encapsulation permettant une connexion point-à-point) de niveau 2 (L2TP, Layer Two Tunnel Protocol) a été conçu pour encapsuler des paquets PPP (Point-to-Point Protocol) sur les couches 2 ou 3 (IP) du modèle OSI. Généralement, une connexion de niveau 2 est établie entre un utilisateur et un serveur d’accès au réseau (NAS, Network Access Server), connexion sur laquelle PPP permet le transport de nombreux protocoles (IP, IPX, AppleTalk, ...) et ceci sur une liaison point à point. Le NAS est donc le même point de terminaison pour la connexion de niveau 2 et la session PPP. L2TP permet de séparer ces deux fonctions en déplaçant le point de terminaison de la session PPP en un autre point du réseau qu’on appellera LNS ou L2TP Network Server. Le NAS jouera alors généralement le rôle de LAC ou L2TP Access Concentrator. Le LAC et le LNS sont les deux extrémités du tunnel L2TP que l’on crée afin de transporter les sessions PPP jusqu’à un endroit déterminé du réseau. Seuls le LAC et le LNS ont connaissance du tunnel L2TP, le transport des données se fait donc de la manière la plus transparente possible pour les utilisateurs ou les applications.

L2TP a été développé en se basant sur les protocoles déjà existants que sont PPTP (Point-to-Point Tunnel Protocol) et L2F (Layer Two Forwarding) pour n’en garder que les avantages. Ainsi, il devient possible d’interconnecter des réseaux de même type à travers un réseau ne supportant pas le protocole utilisé (par exemple, deux réseaux non-IP peuvent communiquer grâce à L2TP en passant par un réseau IP). Cela permet donc de réduire les coûts en évitant de devoir se connecter à un NAS lointain, mais plutôt en utilisant une infrastructure partagée telle que Frame Relay ou Internet. Par ailleurs, le point de terminaison des sessions PPP ne se situant plus nécessairement au niveau du NAS, cela permet à un ensemble multilien PPP (PPP Multilink Protocol) de se terminer au niveau du LNS et donc de récupérer tous ses canaux sur différents NASes.

L2TP répond également aux attentes en matière de VPNs et de sécurité ; en effet, utilisé sur IP, L2TP permet de faire du tunneling sur Internet et de créer des VPNs. Un utilisateur peut ainsi se connecter à son réseau d’entreprise via un tunnel L2TP (avec authentification) et ainsi récupérer son profil distant. De plus, il peut se voir attribuer une adresse IP du réseau de son entreprise. Ainsi, la gestion des adresses IP s’en trouve facilitée et cela évite d’encombrer inutilement les tables de routage du réseau, le LNS se chargeant d’agréger toutes ces adresses et d’annoncer les préfixes nécessaires.

En contrepartie, un des principaux inconvénients de L2TP est la taille de son encapsulation. En effet, le protocole L2TP rajoute un en-tête de 14 octets maximum, mais si on l’utilise pour faire du tunneling sur Internet, l’empilement protocolaire nécessaire à ce type de fonctionnement porte à 50 le nombre d’octets supplémentaires dus aux différentes encapsulations successives (IP/UDP/L2TP/PPP/IP).