Вы находитесь на странице: 1из 17
VPN Par Hector Bustillo 1 Quelques termes PPTP – Point to point tunneling protocol L2TP
VPN
Par Hector Bustillo
1
Quelques termes
PPTP – Point to point tunneling protocol
L2TP – Layer 2 tunnelling protocol
IPSEC – Protocol IP sécurisé
GRE – Generic Routing Encapsulation
IKE – Internet Key Exchange
2

Pourquoi VPN?

Que justifie tout l’attrait pour les VPN ?

But principal est la transparence des réseau actuel. Ceci peux être une bonne chose lorsqu’on a le contrôle mais le cas ou l’on utilise des infrastructure publique c’est a ce niveau que ca cloche pour beaucoup d’entreprise

3

Les critères de bases

Rappelez vous des critères suivants :

attaques + possibilités + impact = risque

Si nous faisons donc affaire sur un réseau public, quels sont les risques que la compagnie est prête toléré ?

4

Composants de VPN

Établissement du tunnel Authentification Contrôle d’accès Contrôle de sécurité

5

Établissement du tunnel

Encapsulation du paquet original dans un paquet de telle façon que le paquet original soit opaque au réseau où il transige

Sécure : tunnel qui laisse transiger un paquet non sécure dans un paquet sécure cachant ainsi les données originales

6

Tunnel Components Tunneling has the following three primary components: Protocol Passager, qui est le protocole

Tunnel Components

Tunneling has the following three primary components:

Protocol Passager, qui est le protocole que l’on est entrain d’encapsuler (AppleTalk, Banyan VINES, Connectionless Network Service [CLNS], DECnet, IP, or Internetwork Packet eXchange [IPX]). Protocole Porteur, Tel le protocole GRE (the generic routing encapsulation – RFC2784) ou le protocole IPSec (RFC2401 mise à jour par RFC 3168). Protocole de Transport, tel IP, qui est le protocole qui porte le protocole encapsulé.

7

Composition de paquet Voici un exemple d’un paquet normal ainsi qu’un paquet utilisé lors d’encapsulation

Composition de paquet

Voici un exemple d’un paquet normal ainsi qu’un paquet utilisé lors d’encapsulation dans un tunnel

de paquet Voici un exemple d’un paquet normal ainsi qu’un paquet utilisé lors d’encapsulation dans un

8

Authentification

Pour qu’une conversation soit considérée privée, les parties en cause doivent se reconnaître VPN base son authentification à la bonne volonté ( ???) de chacune des extrémités pour s’authentifier l’une à l’autre Une fois la confiance établie, on considère que la conversation est privée.

9

Authentification (suite)

Les données privées peuvent alors être échangées sur le tunnel

10

Contrôle d’Accès

Une fois l’authentification effectuée, le contrôle d’accès détermine les flux de données Ceux des listes de contrôle d’accès (ACL), passage des chaines ou des adresses IP à travers les filtres Serveurs de Politique (RADIUS) Si l’on utilise des VPN, accès à distance, il est préférable d’utiliser une stratégie centralisée de l’administration de la politique.

11

Sécurité des données

Le trafic VPN traffic peut être intercepté On encapsule le paquet original et on cache le tout en utilisant des techniques d’encryption Des clés complexes d’encryption doivent être utilisées. Le contrôle d’intégrité des données est très important OTAR: Over The Air Re-Keying, est très utile pour l’échange de clés durant la session d’authentification

12

IPSEC

Exemple de paquet IPSEC selon le mode utilisé.

13
13

IPSEC

IPSec est un cadre de travail sous forme de standards proposé, RFC2401. Il est développé par l’IETF (the Internet Engineering Task Force (IETF). Il fourni la confidentialité des données, l’intégrité des données et l’authentification entre les parties participantes. IPSec fournit ces services de sécurité au niveau de la couche IP; il utilise IKE (RFC2409) pour traiter les négociations de protocoles et d’algorithmes à la base de la politique locale, et pour générer les clés d’encryption et d’authentification que IPSec utilisera.

14

IPSEC

Sous IPSEC, l’entête AH (Authentication Header: RFC2405&2411) effectue la partie authentification ESP(RFC2406) produit la partie cryptée du paquet. L’Authentification peut avoir lieu sans qu’il y ait encyption et vice versa. Mais elles peuvent être utilisées ensemble.

15

IKE

IKE (RFC2409) est un protocole de sécurité hybride. Il implémente les échanges de clés de Oakley (RFC2412) et de SKEME, à l’intérieur du schéma du protocole ISAKMP (RFC2408 - Internet Security Association and Key Management Protocol). IKE fournit l’authentification pour les paires d’IPSec, il négocie les associations de sécurité d’IPSec, il établit les clés d’IPSec

16

IKE

IPSec peut être configuré sans IKE, mais IKE enrichit IPSec en lui fournissant plus de fonctionnalité, de flexibilité, de facilité de configuration du standard IPSec, qui s’intègrent bien pour obtenir la résilience du réseau lorsqu’elles sont configurées avec GRE

17

Méthode d’authentification IKE

Une courte liste des sources d’authentification pour IKE:

Clés pré partagées Méthode de signature de l’algorithme RSA Méthode des nonces cryptées de RSA Méthode d’authentification de certificat digital

18

Les clés pré partagées

Les clés pré partagées doivent être configurées correctement, aux deux extrémités qui participent à l’établissement du tunnel

19

Méthode de Signature de RSA

Des certificats sont utilisés par chaque partie dans l’échange sécurisé des clés publiques. (les signatures RSA requièrent que chaque partie ait la clé publique de signature de l’autre partie) Quand les deux parties ont des certificats valides, elles s’échangeront les clés publiques automatiquement, en tant qu’opération de négociation IKE, dans laquelle les signatures RSA sont utilisées.

20

Autorité de Certification

Si l’on spécifie la méthode d’authentification par certificats digitaux dans une politique, la AC, ou l’autorité de certification, doit être proprement configurée pour produire des certificats. Les certificats digitaux simplifient l’auhentification. Toutefois, celà requiert l’enrolement des parties avec la CA, au lieu que chaque partie soit configurée manuellement pour échanger les clés.

21

Encryption Parmi les méthodes d’encryption les plus populaires : DES (56 Bits) 3DES (168 Bits)

Encryption

Parmi les méthodes d’encryption les plus populaires :

DES (56 Bits) 3DES (168 Bits)

22

 

RAS

Objectif d’affaire:

Coùts bas des télécommunications, augmentation de la productivité des employés Objectif technique Fournir un accès, semblable à un accès sur LAN, sécurisé aux travailleurs à distance.

 

23

Considération des clients

Support de système d’exploitation Distribution Client & politique et mises à jour Interoperabilité Logiciels Client & Portail de sécurité d’IPSec Assurer les contrôles d’accès sur le données sensibles Protéger les logiciels du client, protéger la politique & les tunnels contre la subversion Permettre les apllications collaboratives (Net Meetings) Compatibilités Hardware et communications

 

24

Critères d’évaluation

encryption Fichier/Disque requise ? Exigences d’encryption nécessitent elles de la haute performance sur PCs et laptops ? IDS de bureau ou personnel et Firewall personnel ou de bureau distribué (administration centralisée) Capacité de bloquer la configuration client du VPN Client VPN Authentifié, confidentiel et transparent et mise à jour de la politique Adhésion aux VPN standards actuels de l’industrie (qd l’interopérabilité est requise) Facilité d’utilisation par le client (souvent omis)

25

Considérations RAS

Le hardware: point d’aggrégation du tunnel

Échelle Verticale – Plus grand/plus rapide RAS Balance de la charge du serveur VPN Haute Disponibilité Accélération de l’encryption

Le logiciel

Automatisation de tachesTask automation Logging/auditing/reporting/alerts Exportation des logiciels Clients et de la politique (“push”) Support de l’authentification des produits légués (Legacy) Support de PKI & interoperabilité

26

Portail VPN

Option Échelle Verticale et balance de charge ? Option Haute Disponibilité ? Integration avec les systèmes d’authentification de l’utilisateur ? Hardware basé sur encryption/decryption ? Quels types d’authentification sont supportés ? Serveur VPN s’exécute sur un OS stable et assez fiableserver ? Integration de Firewall ? Cotés Client & serveur ?

27

Portail VPN

Caractéristiques centralisées pour la gestion des clients Le Client supporte l’OS de bureau ? Support des VPN standards de l’industrie pour l’interopérabilité ?

28

 

VPN Intranet

distribution Automatique de la politique & de la configuration Configuration automatique de topologie en maille support des hub & topologie vocale Posibilités de surveillance des services et des réseaux Adhésion aux standards de VPN si utilisé dans un réseau hétérogène support de la Classe de service : MPLS/DiffServ ? Routage Dynamique et Possibilité d’installation du tunnel

Échelle et haute disponibilité

 

29

 

VPN Extranet

 

Flux d’information Sélectif entre les partenaires d’affaires et les clients

Contrôle d'accès fortement granulaire et forte authentification Utilisateur (client) vers compagnie Application des critères d’évaluation des accès à distance sécurisés Bureau du client est il hors contrôle ? Le débat “SSL vs. IPSec ” est il au menu ?

 

30

VPN Extranet

Ajouter au profil du VPN d’accès à distance:

authentification mutuelle solide et équilibrée Disposition pour des ajouts/baisses/changements des utilisateurs et des qualifications Granularité très fine pour les contrôles d’accès Logiciel de bureau intrusif au minimum Intrusion minimale lors de l’utilisation normale des applications

 

31

VPN Extranet

Ajouter au profil du VPN de l’Intranet

La supervision, les rapports et les applications au niveau des services à travers l’organisation Administration à travers l’organisation

Ajouter aux deux

Administration de l’Authentification Multi-parties

 

32

VPN Extranet

Compagnie à compagnie (Point to Point)

Les critères d'évaluation d'Intranet VPN qui s’appliquent sur les portails de sécurité, sont ils hors contrôle ?

33