Projet Fin Formation VPN

8/12/2019 Projet Fin Formation VPN

1/36

W O R L D W I D E L E A D E R I N S E C U R I N G T H E I N T E R N E T

VPN et Solutions pourlentreprise

David Lassalle

Khaled Bouadi


2/36

2001 Check Point Software Technologies Ltd. - Proprietary & Confidential -2-

Dfinition

Quest ce quun VPN?Network :Un VPN permet dinterconnecter des sites distants => Rseau

Private :

Un VPN est rserv un groupe dusagers dtermins par authentification.

Les donnes sont changs de manire masque au yeux des autres par

cryptage => Priv

Virtual :Un VPN repose essentiellement sur des lignes partags et non ddies .

Il nest pas rellement dtermin.Il est construit par dessus un rseau public

essentiellement.

Il sagit dun rseau priv construit par dessus un rseau public (Internet).


3/36


Types de VPNsAccs distant dun hte au LAN distant via internet (Host to LAN)

Connexion entre plusieurs LANs distant via internet (LAN to LAN)

Connexion entre deux ordinateurs via internet (Host to Host)


4/36


Solutions traditionnelles etVPN

La solution VPN est une alternative aux solutions traditionnelles.

Solutions traditionnelles Solution VPN


5/36


Avantages et Inconvenients

Solutions traditionnelles Solution VPN

Avantages- de + en + de qualit de service QOS

- une GFA par contrat (scurit par contrat)

- des dbits en gnral assez levs voir

trs levs

- des dlais dacheminements garantis

Inconvnients- cot beaucoup plus leve que la solution

VPN

- offre pas (ou peu) de protection du

contenu

Avantages- une couverture gographique mondiale.

- le cot de fonctionnement le plus bas du

march(tarifs calculs sur la plus courte

distance au point daccs oprateur).

- offre des garanties de scurit (utilisation

de tunnels).

- solution pour la gestion des postes

nomades (grds nbs de points d accs).

Inconvnients- la qualit de service (et les dlais

dacheminement) nest pas garantie

- les performances ne sont pas toujours au

rendez vous.


6/36


Enjeux des VPNs

confidentialit de

linformation intgrit de linformation

authentification des

postes

protection du client VPN

gestion de la qualit de

service et des dlais

gestion des pannes

CorporateSite

Internet

Partner #1

Partner #2


7/36


Authentification,confidentialitet intgrit

Ces notions sont gres dans la gestion des tunnels.

Ces tunnels permettent dassurer ces notions par application

(solution de niveau 7 : HTTPS) ou pour tous les types de flux

(solutions de niveau 2/3 : PPTP,L2TP,IPSec) .

- niveau 2 type PPTP, L2T

- niveau 3 type IPSec

- niveau 7 type HTTPS


8/36


Tolrance aux pannes

VPN doit pouvoir se prmunir de pannes ventuelles de manire fournirun temps de disponibilit maximum.

- viter les attaques virales par la mise en place de firewalls (sur LANs etclients VPNs)

- possibilits dutiliser des ISP multiples.


9/362001 Check Point Software Technologies Ltd. - Proprietary & Confidential -9-

Protection du client VPN

Internet

Attacker

Cable or xDSL

Des clients VPN peuvent tre hijacked et des pirates peuvent accder en touteimpunit au rseau priv.

Solution =>

- installer sur les clients VPN des firewalls personnels grs de manire centralise .

- lorganisation doit chercher fournir une solution de gestion centralise de la scurit

de tous les clients VPNs



Implmentation des tunnels :

processus en trois phase :

- Encapsulation : la charge utile est mise dans un entte

supplmentaire

- Transmission : acheminement des paquets par un rseau

intermedaire.- Dsencapsulation : rcupration de la charge utile.



PPTP : Point to Point Tunneling Protocol

L2TP: Layer two Tunneling Protocol

Ipsec: Ip secure

Les protocoles de tunneling



PPTP description gnrale

Protocole de niveau 2 Encapsule des trames PPP dans des

datagrammes IP afin de les transfrer

sur un rseau IP Transfert scurise : cryptage des

donnes PPP encapsules mais aussi

compression



Scnario dune connexion

GRE:(Internet GenericRouting Encapsulation)L'entte GRE est utilise pour

encapsuler le paquet PPP dans le datagramme IP.



Client PPTP

Ordinateur supportant PPTP Linux ou microsoft

Client distant : accs dun ISP supportant lesconnexion PPP entrantes modem + dispositif

VPN

Client local (LAN) : En utilisant une connexionTCP/IP physique qui lui permet de seconnecter directement au serveur PPTP.Dispositif VPN



PAP Password AuthenticationProtocol

Mcanisme dauthentification non crypt

NAS demande le nom et mot de passe

PAP les envoi en clair ( non cod).

Pas de protection contre les usurpationsdidentit si le mot de passe est compromis



CHAP (Challenge HandshakeAuthentication Protocol):

Mcanisme dauthentification crypt

Algorithme de hachage MD5 sens unique

Pas de mote de passe circulant en clair



MS-CHAP (Microsoft ChallengeHandshake Authentication Protocol):

Mcanisme dauthentification crypt

Algorithme de hachage MD4

Similaire a CHAP (code de hachage en

possession du serveur)

Encryptage MPPE ncessite

lauthentification MS-CHAP



Layer Two tunneling protocol

N de L2F et PPTP

Encapsule PPP dans IP,X25, ATM

Utilisation possible sur Internet ou desWAN



IPsec IPSecure

IPsec protocole de niveau 3

Cration de VPN sr bas forcment

sur IP

Permet de scuris les applications

mais galement toute la couche IP



Authentification :Absence dusurpationdidentit; la personne avec qui on est censdialoguer est bien la personne avec qui ondialogue

Confidentialit : Personne ncoute lacommunication.

Intgrit: Les donnes reues nont pas tmodifies pendant la transmission.

Les rles d IPsec



Security Association

Encapsulation et la dsencapsulation desPaquets IPsec est dpendante du sens de

transmission des paquets

Association services de scurit et cls avec

un trafic unidirectionnel

Les donnes permettant de spcifier ce

sens sont mise dans une SA



Security Association

Une SA est identifie par :

Un Security Parameter Index (SPI).

Le protocole IPSec utilis.

L'adresse de destination.



Mode Ipsec (transport)

Transport :

acheminement direct des donnes

protges par IPsec (ex : host to host)



Mode IPsec (tunnel)

tunnel :trafic envoy vers des passerelles Ipsec

( ex LAN to LAN)



Solution offertes par Ipsec

Les protocoles utiliss par Ipsec

Authentication header (AH)

Encapsulating Security Payload (ESP)

Internet Key Exchange (IKE)



Authen ti f icat ion header (AH)

Authentification et intgrit des donnes.

Entte ajoute comportant une signature

Appliqu a tout type de VPN.


27/36


ESP Encapsulating Security Payload

La confidentialit des donnes;

L'authentification de l'origine des donnes;

La protection d'anti-replay (retransmission )

L'intgrit des donnes (sans connexion, par paquet).


28/36


Comparaison ESP entre AH

Confidentialit assure en ESP mais pas avec AH

Diffrence de portion des donnes scurise dansauthentification ESP et AH

AH protge les entte IP mais pas ESP

Lanti-replay est optionnel avec AH et obligatoire avecESP


29/36


IKE In ternet Key Exchange:

Un protocole puissant flexible de ngociation

mthodes d'authentification,

mthodes de chiffrement,

cls d'utilisation + temps d'utilisation

change intelligent et sr des cls.

HTTPS


30/36


HTTPS

- solution de niveau 7- scurit gre cette fois par service,en fonction de lapplication

-authentification par serveur Radius ou autre


31/36


Solutions pour lentreprisechoix de la solution VPN

- identification des types de flux WAN- flux bas dbits synchrones utilises pour les applications transactionnelles, SAP

Emulation telnet ou 5250/3270

- flux large bande asynchrone pour les applications FTP, HTTP, messagerie

Flux synchrones

- ncessitent une bande passante minimale garantie avec un dlai dacheminement le

plus petit et le plus constant possible, cest le cas des applications temps rels

- ne peuvent tre offert quavec des rseaux de niveau 2 comme ATM ou Frame

Relay

- Internet n est pas adapt pour le moment

Flux asynchrones- se produisent de manire imprvisible par rafales en occupant toute la bande

passante disponible

- aucune contrainte de dlai dacheminement nest ncessaire

- le volume dinformations vhicules de cette manire est toujours en forte

croissance

Ex : transferts de fichiers, messagerie, navigation

Ch i d l l ti VPN


32/36


Choix de la solution VPN

En fonction des volumes et des types des changes attendus, on peutdcider de la solution adopter parmi toutes celles proposes.3 Alternatives

VPN INTERNET

- Faire cohabiter tous ces flux sur le mme rseau : VPN INTERNET

solution mise en place sur des rseaux de niveau 2 ou de niveau 3

solution la plus immdiate et la plus rencontre

utilisateurs jamais satisfaits : inadapte aux flux synchrones

A carter

Ch i d l l ti VPN


33/36


- Grer la bande passante WAN : VPNs avec LAN/WAN Shaping

solution technique la plus rapide dployer aprs la prcdente

solution technique la plus adapte et la plus performante

flux synchrones et asynchrones cohabitent tjrs sur le mme support

mais la solution permet de les grer plus correctement

boitiers de LAN/WAN Shaping aux extrmits du rseau WAN oprateur


Ch i d l l ti VPN


34/36



- VPN plus

sparation des flux applicatifs entre diffrents rseaux

- 1 rseau synchrone bas dbit garanti ( debits < 64Kbits/s ) de niveau 2

ex : Frame Relay ou LS

- 1 rseau asynchrone hauts dbits ( dbits > 128Kbits/s ) de niveau 3

ex : Internet

Quel VPN pour quel


35/36


Quel VPN pour quelentreprise ?

En fonction de la quantit et du type de flux inter sites, la solution varie :

Sites Importants France => Tlcoms avec WAN Shaping

Sites importants Europe-Monde => VPN avec WAN Shaping

Sites moyens Europe-Monde => VPN avec WAN Shaping

Petits sites France-Europe-Monde => VPNNomades France => Accs distants RAS/VPN Nomade

Nomades Europe, Monde => VPN Nomade


36/36

Exemples concrets

VPN IP internetUtilisation de tunnels IPSEC entre firewalls / nomades avec

=> Checkpoint Firewall-1 / secureremote

=> CISCO PIX VPN / Secure client

WAN TELCO et IP=> Frame Relay / ATM / MPLS avec

=> UUNET : Uusecure VPN

=> France Telecom :Global Intranet=> Global One : Global IP VPN

=> Belgacom : VPN Office

=> Maiaah : intranet=> Communaut automobile (GALIA) : ENX

Documents

Projet Fin Formation VPN