Академический Документы
Профессиональный Документы
Культура Документы
un Firewall capable de :
faire de la traduction dadresses : NAT, SNAT,
DNAT ;
faire du filtrage de paquets : packet filter :
? entre WAN et LAN ;
? entre deux rseaux relis par VPN ;
faire de la QoS : traffic shaper ;
faire du load balancing avec plusieurs connexions
Internet.
debit/mympls/orangebusiness/sdsl?displaytop=mympls
assurant une bonne latence, une meilleure disponibilit, mais coteux
un accs distant, remote access :
permettre la connexion dun utilisateur depuis nimporte o sur Internet ;
indispensable pour les roadwarriors , c--d. les employs dune socit qui doivent voyager souvent pour leur
travail ;
permet la connexion de tl-travailleurs , de sous-traitants qui doivent disposer dun accs temporaire au rseau
de lentreprise.
)*!*!?!.&
.
4
3
%
7
&
Pourquoi un *
&*3
%
*
7
VPN et Quel VPN
4
%
&
le passage travers un Firewall :
&
7
&
&
&&
7%
PPTP utilise
une connexion de contrle TCP sur le port 1723 et le protocole GRE non scuris qui est souvent bloqu par
/
%
&
7
&
les firewalls
;
&
&
7&
IPsec utilise
le protocole UDP sur le port 500 et des paquets IP bass sur le protocole ESP, Encapsulating Security Payloads.
*0 (
7.
%
Lutilisation
(
dESP entraine le chiffrement du contenu du paquet IP et donc, limpossibilit daccder au numro de port
source et destination, ce qui le rend difficile grer par un firewall pour effectuer du NAT.
.
*
*
&**
;
*7
#
Il est possible
dutiliser du NAT-T, NAT Traversal, qui encapsule les paquets ESP dans UDP sur le port 4500.
B
& 7
OpenVPN peut utiliser UDP et TCP, ce qui le rend le plus apte tre utilis au travers dun firewall.
Pour passer
au travers dun firewall, on peut utiliser les ports UDP 53 (DNS), TCP 80 (HTTP), TCP 443 (HTTPS).
43G
F.
*
scuris cryptographiquement :
PPTP utilisant des login/mdp il est moins scuris que les autres solutions : le mdp peut tre crack par une mthode
bruteforce ;
lutilisation%
de pre-shared
keys dans
peut le rendre
si cette
cl
nest
( (
&
pas suffisamment
! 7 Y)
IPsec
vulnrable
3 %Z
&
robuste pour
rsister une
attaque bruteforce.
(
OpenVPN utilisant des certificats ou simplement des bicls (cl publique/cl prive) partage, il faut sassurer de la scurit
de la cl prive ou partage.
)*!*!B!
6%0.
3.
$
3'0 .
&
.
1%
D&
3'%%E
6%0
%%%
1
)*!)!
.6%0.
.
La performance du routeur/firewall
C
+
C %4):::
C
&
=
>
&
=
>
&
=
>
>6
1
1
1
!6#
1
1
6
8,
.."6#@= 1
@ &
...
1
>,
! :
:##@=
A
-'9*
B
F
-'%!"7Y5
%-'
Z
(
A
, :<@= 1
$" D ## "86
F
*
7
&
E
&
A
"!,>
-'
*!)!
la quantit de mmoire
pour
suivre lesC$$
&
.%@
connexions, connexion tracking :
' F
*!-!)!)!%$ . +.
##7###
]$:
M
3.&
(
&
*
6##7###
],>>
-*&
;
A
.M
*&
&
&
;M
7###7###
]$:8
(;
A
3.7
&
%! 7YB
%
"7###7###
]!$##
;Z&
& ;.
(;
A
7
3.&
(
7
A
3.
(
*!,!(&'
$
% N
A
*
3
I
&##.&
*
&
<&
/
2I%
7
%
<&
*7G
*.14
'9
$,
Les performances du Firewall
et du VPN
'9!68
"6
",!
Lutilisation dun VPN entrane lutilisation de chiffrement qui peut tre coteux car il sapplique sur toutes les donnes
*!-!1%
&
.
H'(1I
changes :
IPsec utilise les algorithmes
de chiffrement suivant : DES, 3DES, Blowfish, CAST128, AES et AES 256 ;
%!67Y.%
;Z
&B
.
;
&
7
B
(
;
il est possible dutiliser
des crypto-processeurs pour raliser le travail de chiffrement.
%@
.."6#
'5.CD6##@=E
"
&
=
>
!,
86
...:##
"!$
, :<@=
6"$
Il est possible de diminuer la latence en utilisant pour toutes les connexions entre site le mme FAI.
*(
& A
(
importance*!-!*!,!)!
de la latence sur les services utiliss :
? le partage de fichier
Microsoft, SMB : pour une latence < 10ms tout marche bien. partir dune latence de
7 &
*
(
* 7
30ms ses performances
et
50ms
devient
insupportablement
lent
;
A
seffondrent,
-'7il
!68
7
<
? lutilisation de Microsoft
Remote Desktop, RDP : une latence < 20ms
donne de bonnes performances.
La latence
de 50 et > 60ms donne par lutilsiation dun VPN rende le travail dun utilisateur distant difficile.
*!-!*!,!*!F
A
B@%% ( (
*7
*.14
A
.
7
(
*
O
(
&
*
La configuration dIPsec
Connexion de
&),!):!1%
M
&)
" 7Y
'N
Z)
" !7Y
N
Z
&
&),!))!'H$
!,"
La configuration dIPsec
La configuration dIPsec
La configuration dIPsec
10
La configuration dIPsec
Visualisation des SAD, Security Association
Chaque SA correspond un sens de communication (configuration unidirectionnel des paramtres de scurit).
Pour une connexion, il y a donc deux SA associes, qui sont conserves dans le SPD, Security Policy Database.
11
12
13
? la possibilit de faire des VPNs de niveau 2 & 3 : dans le cas du niveau 2, le VPN peut transporter des trames,
?
?
?
?
?
?
?
?
?
?
?
?
et les protocoles Microsofts (qui sont des protocoles locaux, c--d. non routables).
la possibilit de bnficier du firewall du serveur sur lequel on se connecte : un road warrior peut bnficier
des mmes protections que les matriels connects directement dans le rseau de lentreprise ;
les connexions OpenVN peuvent traverser la plupart des firewalls et passer par des proxys : si on peut passer
en https alors on pourra passer in tunnel OpenVPN ;
un fonctionnement en mode client ou serveur, UDP ou TCP ;
un seul port ouvrir sur le firewall pour le support dOpenVPN avec la possibilit pour un serveur de grer
plusieurs clients avec ce seul port ;
pas de problme avec le NAT ;
la mise en oeuvre dOpenVPN en tant quajout de nouvelles interfaces virtuelles TUN/TAP sur le serveur et le
client autorise toutes les utilisation possibles du firewall et du routage !
trs extensible avec la possibilit de scripter la mise en place du VPN et la configuration du client et du
serveur ;
le support transparent des clients utilisant des adresses IP dynamiques sans perte de connexion ;
installation simple sur les diffrentes plateformes ;
design modulaire : le dcoupage clair entre rseaux et scurit permet denvisager de nombreuses possibilits ;
support des matriels mobiles et embarqus : Windows Mobile, Maemo de Nokia, OpenWRT etc.
trs actif au niveau de la communaut.
14
15
16
un VPN la demande :
na pas besoin dtre configur de manire statique ;
peut tre mis en place et dfait suivant les besoins de lutilisateur : depuis nimporte o et nimporte quel moment,
le rve du road warrior du dimanche ;
cre des interfaces virtuelles TUN/TAP (ncessite une configuration avec des droits dadministration. . . ) ;
Pour la configuration
? Et du client SSH :
dans le fichier /etc/ssh/ssh_config :
[ ... ]
# Enable layer-3 tunneling. Change the value to ethernet for layer-2 tunneling
Tunnel point-to-point
17
Le dclenchement du VPN
? Pour pouvoir permettre le routage du trafic par lintermdiaire du VPN, il est ncessaire de dclencher le fonctionnement
en tant que routeur sur la machine :
$ sudo sysctl -w net.ipv4.ip_forward=1
Link encap:UNSPEC
HWaddr 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00
MTU:1500
Metric:1
? Il est ensuite possible dactiver linterface et de la configurer pour permettre le routage au travers du VPN, ainsi que le
filtrage grce au fait que le VPN ajoute une interface virtuelle.
Il est possible dauto-configurer le VPN mis en place laide dune ligne de commande indique dans le fichier
~/.ssh/authorized_keys.