VPN

Par Hector Bustillo

Quelques termes

PPTP – Point to point tunneling protocol

L2TP – Layer 2 tunnelling protocol

IPSEC – Protocol IP sécurisé

GRE – Generic Routing Encapsulation

IKE – Internet Key Exchange

1
Pourquoi VPN?

Que justifie tout l’attrait pour les VPN ?

 But principal est la transparence des réseau
actuel.
 Ceci peux être une bonne chose lorsqu’on a le
contrôle mais le cas ou l’on utilise des
infrastructure publique c’est a ce niveau que ca
cloche pour beaucoup d’entreprise

Les critères de bases

Rappelez vous des critères suivants :

 attaques + possibilités + impact = risque

Si nous faisons donc affaire sur un réseau

public, quels sont les risques que la
compagnie est prête toléré ?

2
Composants de VPN

Établissement du tunnel

Authentification

Contrôle d’accès

Contrôle de sécurité

Établissement du tunnel

Encapsulation du paquet original dans un

paquet de telle façon que le paquet original
soit opaque au réseau où il transige

Sécure : tunnel qui laisse transiger un paquet

non sécure dans un paquet sécure cachant
ainsi les données originales

3
Tunnel Components

Tunneling has the following three primary

components:
 Protocol Passager, qui est le protocole que l’on est entrain
d’encapsuler (AppleTalk, Banyan VINES, Connectionless
Network Service [CLNS], DECnet, IP, or Internetwork
Packet eXchange [IPX]).
 Protocole Porteur, Tel le protocole GRE (the generic
routing encapsulation – RFC2784) ou le protocole IPSec
(RFC2401 mise à jour par RFC 3168).
 Protocole de Transport, tel IP, qui est le protocole qui
porte le protocole encapsulé.

Composition de paquet

Voici un exemple d’un

paquet normal ainsi
qu’un paquet utilisé lors
d’encapsulation dans
un tunnel

4
Authentification

Pour qu’une conversation soit considérée

privée, les parties en cause doivent se
reconnaître

VPN base son authentification à la bonne
volonté ( ???) de chacune des extrémités
pour s’authentifier l’une à l’autre

Une fois la confiance établie, on considère
que la conversation est privée.

Authentification (suite)

Les données privées peuvent alors être

échangées sur le tunnel

10

5
Contrôle d’Accès

Une fois l’authentification effectuée, le contrôle

d’accès détermine les flux de données

Ceux des listes de contrôle d’accès (ACL), passage
des chaines ou des adresses IP à travers les filtres

Serveurs de Politique (RADIUS)

Si l’on utilise des VPN, accès à distance, il est
préférable d’utiliser une stratégie centralisée de
l’administration de la politique.

11

Sécurité des données

Le trafic VPN traffic peut être intercepté

On encapsule le paquet original et on cache le tout
en utilisant des techniques d’encryption

Des clés complexes d’encryption doivent être
utilisées.

Le contrôle d’intégrité des données est très
important

OTAR: Over The Air Re-Keying, est très utile pour
l’échange de clés durant la session
d’authentification

12

6
IPSEC

Exemple de paquet
IPSEC selon le mode
utilisé.

13

IPSEC

IPSec est un cadre de travail sous forme de

standards proposé, RFC2401. Il est développé
par l’IETF (the Internet Engineering Task Force
(IETF). Il fourni la confidentialité des données,
l’intégrité des données et l’authentification entre
les parties participantes.

IPSec fournit ces services de sécurité au niveau
de la couche IP; il utilise IKE (RFC2409) pour
traiter les négociations de protocoles et
d’algorithmes à la base de la politique locale, et
pour générer les clés d’encryption et
d’authentification que IPSec utilisera.
14

7
IPSEC

Sous IPSEC, l’entête AH (Authentication

Header: RFC2405&2411) effectue la partie
authentification

ESP(RFC2406) produit la partie cryptée du
paquet.

L’Authentification peut avoir lieu sans qu’il y
ait encyption et vice versa. Mais elles
peuvent être utilisées ensemble.

15

IKE

IKE (RFC2409) est un protocole de sécurité hybride.

Il implémente les échanges de clés de Oakley
(RFC2412) et de SKEME, à l’intérieur du schéma du
protocole ISAKMP (RFC2408 - Internet Security
Association and Key Management Protocol).

IKE fournit l’authentification pour les paires d’IPSec,
il négocie les associations de sécurité d’IPSec, il
établit les clés d’IPSec

16

8
IKE

IPSec peut être configuré sans IKE, mais IKE

enrichit IPSec en lui fournissant plus de
fonctionnalité, de flexibilité, de facilité de
configuration du standard IPSec, qui
s’intègrent bien pour obtenir la résilience du
réseau lorsqu’elles sont configurées avec
GRE

17

Méthode d’authentification IKE

Une courte liste des sources

d’authentification pour IKE:
 Clés pré partagées
 Méthode de signature de l’algorithme RSA
 Méthode des nonces cryptées de RSA
 Méthode d’authentification de certificat digital

18

9
Les clés pré partagées

Les clés pré partagées doivent être

configurées correctement, aux deux
extrémités qui participent à l’établissement du
tunnel

19

Méthode de Signature de RSA

Des certificats sont utilisés par chaque partie dans

l’échange sécurisé des clés publiques. (les
signatures RSA requièrent que chaque partie ait la
clé publique de signature de l’autre partie)

Quand les deux parties ont des certificats valides,
elles s’échangeront les clés publiques
automatiquement, en tant qu’opération de
négociation IKE, dans laquelle les signatures RSA
sont utilisées.

20

10
Autorité de Certification

Si l’on spécifie la méthode d’authentification par

certificats digitaux dans une politique, la AC, ou
l’autorité de certification, doit être proprement
configurée pour produire des certificats.

Les certificats digitaux simplifient l’auhentification.
Toutefois, celà requiert l’enrolement des parties
avec la CA, au lieu que chaque partie soit
configurée manuellement pour échanger les clés.

21

Encryption

Parmi les méthodes d’encryption les plus

populaires :
 DES (56 Bits)
 3DES (168 Bits)

22

11
RAS

Objectif d’affaire:
Coùts bas des télécommunications,
augmentation de la productivité des
employés

Objectif technique
Fournir un accès, semblable à un accès sur
LAN, sécurisé aux travailleurs à distance.

23

Considération des clients

Support de système d’exploitation

Distribution Client & politique et mises à jour

Interoperabilité Logiciels Client & Portail de
sécurité d’IPSec

Assurer les contrôles d’accès sur le données
sensibles

Protéger les logiciels du client, protéger la
politique & les tunnels contre la subversion

Permettre les apllications collaboratives (Net
Meetings)

Compatibilités Hardware et communications
24

12
 Critères d’évaluation

encryption Fichier/Disque requise ?

Exigences d’encryption nécessitent elles de la haute
performance sur PCs et laptops ?

IDS de bureau ou personnel et Firewall personnel ou
de bureau distribué (administration centralisée)

Capacité de bloquer la configuration client du VPN

Client VPN Authentifié, confidentiel et transparent et
mise à jour de la politique

Adhésion aux VPN standards actuels de l’industrie (qd
l’interopérabilité est requise)

Facilité d’utilisation par le client (souvent omis)
25

Considérations RAS

Le hardware: point d’aggrégation du tunnel

 Échelle Verticale – Plus grand/plus rapide RAS
 Balance de la charge du serveur VPN
 Haute Disponibilité
 Accélération de l’encryption

Le logiciel
 Automatisation de tachesTask automation
 Logging/auditing/reporting/alerts
 Exportation des logiciels Clients et de la politique (“push”)
 Support de l’authentification des produits légués (Legacy)
 Support de PKI & interoperabilité

26

13
Portail VPN

Option Échelle Verticale et balance de charge ?

Option Haute Disponibilité ?

Integration avec les systèmes d’authentification de
l’utilisateur ?

Hardware basé sur encryption/decryption ?

Quels types d’authentification sont supportés ?

Serveur VPN s’exécute sur un OS stable et assez
fiableserver ?

Integration de Firewall ?

Cotés Client & serveur ?
27

Portail VPN

Caractéristiques centralisées pour la gestion

des clients

Le Client supporte l’OS de bureau ?

Support des VPN standards de l’industrie
pour l’interopérabilité ?

28

14
 VPN Intranet

distribution Automatique de la politique & de la configuration

Configuration automatique de topologie en maille

support des hub & topologie vocale

Posibilités de surveillance des services et des réseaux

Adhésion aux standards de VPN si utilisé dans un réseau
hétérogène

support de la Classe de service : MPLS/DiffServ ?

Routage Dynamique et Possibilité d’installation du tunnel

Échelle et haute disponibilité

29

VPN Extranet

Flux d’information Sélectif entre les

partenaires d’affaires et les clients
 Contrôle d'accès fortement granulaire et forte
authentification
 Utilisateur (client) vers compagnie
 Application des critères d’évaluation des accès à
distance sécurisés
 Bureau du client est il hors contrôle ?
 Le débat “SSL vs. IPSec ” est il au menu ?

30

15
VPN Extranet

Ajouter au profil du VPN d’accès à distance:

 authentification mutuelle solide et équilibrée
 Disposition pour des ajouts/baisses/changements des
utilisateurs et des qualifications
 Granularité très fine pour les contrôles d’accès
 Logiciel de bureau intrusif au minimum
 Intrusion minimale lors de l’utilisation normale des
applications

31

VPN Extranet

Ajouter au profil du VPN de l’Intranet

 La supervision, les rapports et les applications au
niveau des services à travers l’organisation
 Administration à travers l’organisation

Ajouter aux deux

Administration de l’Authentification Multi-parties

32

16
VPN Extranet

Compagnie à compagnie (Point to Point)

 Les critères d'évaluation d'Intranet VPN qui
s’appliquent sur les portails de sécurité, sont ils
hors contrôle ?

33

17