Академический Документы
Профессиональный Документы
Культура Документы
Utilisation cible
Relier deux rseaux privs travers un rseau public . Permettre des accs distants aux utilisateurs nomades ESPRIT 2008 Ramzi Ouafi
Le VPN intranet
Comment ?
Le VPN fait appel deux moyens:
Lencapsulation La cryptage
Utilisation de la techniques de chiffrement symtrique et asymtrique Pour lauthentification des parties Pour la confidentialit et intgrit de donnes Travail au niveau des couches 2 et 3 pour simuler une connexion rseau et rendre le VPN transparent aux services qui lutilisent
,L2F
Une initiative fdre: le Consortium VPN gre linteroprabilit des solutions existantes
http://www.vpnc.org
Solutions logicelles
Microsoft, Linux FreeS/WAN, openvpn
Dvelopp par le groupe de travail lIETF (Internet Engineering Task Force), RFC 2401 : Security Architecture for the Internet Protocol. Les services IPSec sont fournis au niveau de la couche IP, offrant donc une protection pour IP et tous les protocoles de niveau suprieur. Au niveau couches protocolaires, IPSEC se place entre IP et TCP/UDP Avantages par rapport aux solutions existantes : interoprabilit, cryptage au niveau 3 (niv 2 : dpendance par rapport au rseau, niv 7: dpendance par rapport lapplication) Fait appel plusieurs notions la fois:
Echange des clefs Cryptage Authentification Type du tunnel. ESPRIT 2008 Ramzi Ouafi
10
11
12
13
IPSec/AH
lAuthentication Header (AH) Le principe de AH est dadjoindre au datagramme IP classique un champ supplmentaire permettant au rcepteur de vrifier lauthenticit des donnes incluses dans le datagramme (hash sign) LAH gre L'intgrit : on s'assure que les champs invariants pendant la transmission, dans Lentte IP qui prcde l'entte AH et les donnes L'authentification pour s'assurer que l'metteur est bien celui qu'il dit tre La protection contre le rejeu : un paquet intercept par un pirate ne peut pas tre renvoy Il ne gre pas la confidentialit : les donnes sont signes mais pas crypte.
14
16
IPSec/ESP
lEncapsulating Security Payload (ESP). Le principe de ESP est de gnrer, partir dun datagramme IP classique, un nouveau datagramme dans lequel les donnes et ventuellement len-tte originale sont chiffrs. code d authentification de message (hash sign) et chiffrement des donnes En mode transport, il assure Confidentialit : les donnes du datagramme IP encapsul sont cryptes Authentification : on s'assure que les paquets viennent bien de l'hte avec lequel on communique (qui doit connatre la cl associe la communication ESP pour s'authentifier) L'unicit optionnelle contre le rejeu des paquets L'intgrit des donnes transmises En mode tunnel, c'est l'ensemble du datagramme IP encapsul dans ESP qui est crypt et subit les vrifications de
17
IPSec/ESP
18
IPSec/ESP
19
IPsec Services
Algorithmes cryptographiques : AH et ESP sont utilisables avec de nombreux algorithmes cryptographiques : les RFCs n'imposent pas d'algorithme particulier. Chaque produit comportant IPsec sera donc livr avec un ensemble d'algorithmes, parmi lesquels l'utilisateur ou l'administrateur du rseau pourront choisir. Chiffrement : NULL, CAST-128 (clef de 40 128 bits), Blowfish (40-448 bits), RC5(40-2040 bits), DES (56 bits), DES triple (168 bits).... Authenticit : HMAC-MD5, HMAC-SHA-1
20
Security Association
Afin de grer ces paramtres, IPsec a recours la notion dassociation de scurit (Security Association, SA). Une association de scurit IPsec est une connexion simplexe qui fournit des services de scurit au trafic quelle transporte. La Security Assocation (SA) dfinit l'change des cls et des paramtres de scurit. Il existe une SA par sens de communication. Les paramtres de scurit sont les suivants : Protocole AH et/ou ESP Mode tunnel ou transport Les algo de scurit utiliser pour crypter, vrifier l'intgrit Les cls utilises De fait, chaque association est identifie de manire unique laide dun triplet compos de : Ladresse de destination des paquets. Lidentifiant dun protocole de scurit (AH ou ESP). Un index des paramtres de scurit (Security Parameter Index, SPI). Un SPI est un bloc de 32 bits inscrit en clair dans len-tte de chaque paquet chang ; il est choisi par le rcepteur. ESPRIT 2008 Ramzi Ouafi
21
SAD / SPD
La SAD : Security Association Database: Pour grer les associations de scurit actives, on utilise une base de donnes des associations de scurit (Security Association Database, SAD). Elle stocke les SA afin de savoir comment traiter les paquets arrivant ou partant Chaque SA est identifie par les 3 paramtres cits ci-dessus La SPD (Security Policy Database): Elle est la base de configuration de IPSec. Cest une liste ordonne d'entres contenant des critres de contrle d'accs similaire aux rgles dun pare-feu Il y a 2 SPDs par interfaces, une pour le trafic entrant, l'autre pour le trafic sortant Les traitements possible par une SPD sont : DROP (jette), BYPASS (laisse passer) IPSec PROCESS (traitement avec IPSec). Ce dernier cas prcise en outre les paramtres propres IPSec tel que l'algorithme, etc...
22
ISAKMP
Une SA peut tre configure manuellement dans le cas dune situation simple, mais la rgle gnrale est dutiliser un protocole spcifique qui permet la ngociation dynamique des SA et notamment lchange des clefs de session. Le protocole de ngociation des SA dvelopp pour IPsec sappelle protocole de gestion des clefs et des associations de scurit pour Internet (Internet Security Association and Key Management Protocol, ISAKMP).Il comporte trois aspects principaux : Il dfinit une faon de procder, en deux tapes appeles phase 1 et phase 2 : Dans la premire, un certain nombre de paramtres de scurit propres ISAKMP sont mis en place, afin d'tablir entre les deux tiers un canal protg ; Dans un second temps, Ce canal est utilis pour ngocier les associations de scurit pour les mcanismes de scurit que l'on souhaite utiliser (AH et ESP par exemple). Il dfinit des formats de messages, par l'intermdiaire de blocs ayant chacun un rle prcis et permettant de former des messages clairs. Il prsente un certain nombre d'changes types, composs de tels messages, qui permettant des ngociations prsentant des proprits diffrentes : protection ou non de l'identit,
23
24
25
26
O tourne IPsec
2 modes :
mode transport (de host host seulement) : seul le champ data est chiffr mode tunnel : tout le paquet IP dorigine est chiffr, ajout dune entte IP de tunnel
27
IPSEC : configuration
Ladministrateur du rseau dfinit, par le biais de politiques de scurit configures dans chaque lment IPSEC du VPN, comment le trafic va tre scuris (notion de SA selectors , SPD ). Politiques = ensemble de rgles qui : permettent, pour chaque paquet IP, de dcider s'il se verra apporter des services de scurit, sera autoris passer outre ou sera rejet. indiquent IKE quelles associations de scurit il doit ngocier, et, en particulier, quels tunnels scuriss il doit tablir. Configuration des quipements IPsec = configuration manuelle des politiques de scurit sur chaque quipement (sur CISCO, quivalent des access-lists) Des systmes de gestion centralise et dynamique de ces politiques (policy servers) sont en cours dlaboration.
28
29
Step 1 : Define a host name: hostname NewYork Step 2 : Configure an ISAKMP policy: isakmp enable outside isakmp policy 9 authentication pre-share isakmp policy 9 encrypt 3des Step 3 :Configure a pre-shared key and associate with the peer: crypto isakmp key cisco1234 address 209.165.200.229 Step 4 Configure the supported IPSec transforms: crypto ipsec transform-set strong esp-3des esp-sha-hmac
30
any other nat commands. Step 7 Enable NAT for all other traffic:
nat (inside) 1 0 0
Step 8 Assign a pool of global addresses for NAT and PAT: global (outside) 1 209.165.201.9-209.165.201.30 global (outside) 1 209.165.201.7
The pool of registered addresses are only used for connections to the public Internet.
Ces tapes ne sont pas obligatoire : elles permettent dfinir du NAT puisque on traverse un rseau publique.
ESPRIT 2008 Ramzi Ouafi
31
Step 10 Apply the crypto map to the outside interface: crypto map toSanJose interface outside Step 11 Specify that IPSec traffic be implicitly trusted (permitted): sysopt connection permit-ipsec
32
33
34
Il existe sur le march trois principaux protocoles : PPTP (Point to Point Tunnelling Protocol) de Microsoft L2F (Layer Two Forwarding) de Cisco L2TP (Layer Two Tunnelling Protocol) de lIETF.
35
Cest un protocole de niveau 2 qui encapsule des trames PPP dans des datagrammes IP afin de les transfrer sur un rseau IP. PPTP permet le cryptage des donnes PPP encapsules mais aussi leur compression.
36
37
L'en-tte de dlivrance IP fournit les informations ncessaires pour que le datagramme passe par l'Internet. Le GRE (Generic Routing Encapsulation) : est un protocole dvelopp par Cisco. (RFC 2784). L'en-tte GRE est utilis pour encapsuler la trame PPP dans le datagramme IP. Notez que le paquet PPP est juste un bloc incomprhensible car il est crypt. Mme si le datagramme IP tait intercept, il serait presque impossible de dcrypter les donnes ESPRIT 2008 Ramzi Ouafi
38
39