vpn et solutions pour l’entreprise - univ-pau.fr · protection du client vpn ... –éviter les...
TRANSCRIPT
1
VPN et Solutions pour l’entreprise
Ces transparents sont basés sur une présentation compilés parDavid Lassalle et Khaled Bouadi, étudiants en DESS IIR de Lyonen 2001-2002
C. PhamUniversité de Pau et des Pays de l’AdourDépartement Informatiquehttp://www.univ-pau.fr/[email protected]
Cours de C. Pham, Université de Pau et des Pays de l’Adour
Définition
Qu’est ce qu’un VPN?
Network :Un VPN permet d’interconnecter des sites distants => RéseauPrivate :Un VPN est réservé à un groupe d’usagers déterminés par authentification.Les données sont échangés de manière masquée au yeux des autres par cryptage => PrivéVirtual :Un VPN repose essentiellement sur des lignes partagés et non dédiées .Il n’est pas réellement déterminé.Il est construit par dessus un réseau public essentiellement.
Il s’agit d’un réseau privé construit par dessus un réseaupublic (Internet).
Internet
TunnelGatewa
y Gateway
(NAS)
Internet Service ProviderPublic Switched
TelephoneNetwork (PSTN)
WorkerMachine
Home Network
Accès distant d’un hôte au LAN distant viainternet (Host to LAN)
Accès distant d’un hôte au LAN distant viainternet (Host to LAN) (2)
Remote worker connects to Home Network through ISP createdtunnel
Allows wholesale dial-up
Internet
TunnelGateway
(NAC)
Gateway
(NAS)
Internet Service ProviderPublic Switched
TelephoneNetwork (PSTN)
Home Network
Interconnexion de LANs
Les réseaux distants 1 et 2 forment un réseau logique La communication est sécurisés au niveau le plus bas
Internet
TunnelGateway
(NAC)
Gateway
(NAS)
Network 1
Network 2
Solutions traditionnelles et VPN
Solutions traditionnelles Solution VPN
La solution VPN est une alternative aux solutions traditionnelles
Cours de C. Pham, Université de Pau et des Pays de l’Adour
Solutions traditionnelles Solution VPN
Avantages et Inconvenients
Avantages– de + en + de qualité de service
QOS– une GFA par contrat (sécurité
par contrat)– des débits en général assez
élevés voir très élevés– des délais d’acheminements
garantis Inconvénients
– coût beaucoup plus élevée quela solution VPN
– offre pas (ou peu) deprotection du contenu
Avantages– une couverture géographique
mondiale.– le coût de fonctionnement le
plus bas du marché(tarifscalculés sur la plus courtedistance au point d’accèsopérateur).
– offre des garanties de sécurité(utilisation de tunnels).
– solution pour la gestion despostes nomades (grds nbs depoints d ’accès).
Inconvénients– la qualité de service (et les
délais d’acheminement) n’estpas garantie
– les performances ne sont pastoujours au rendez vous.
Cours de C. Pham, Université de Pau et des Pays de l’Adour
CorporateSite
InternetInternet
Partner #1Partner #2
Enjeux des VPNs
confidentialité de l’information intégrité de l’information authentification des postes protection du client VPN gestion de la qualité de service et des délais gestion des pannes
Cours de C. Pham, Université de Pau et des Pays de l’Adour
Authentification,confidentialitéet intégrité
Ces notions sont gérées dans la gestion des tunnels. Ces tunnels permettent d’assurer ces notions par application
(solution de niveau 7 : HTTPS) ou pour tous les types de flux(solutions de niveau 2/3 : PPTP,L2TP,IPSec) .
– niveau 2 type PPTP, L2T– niveau 3 type IPSec– niveau 7 type HTTPS
Cours de C. Pham, Université de Pau et des Pays de l’Adour
Tolérance aux pannes
VPN doit pouvoir se prémunir de pannes éventuelles demanière à fournir un temps de disponibilité maximum.
– éviter les attaques virales par la mise en place de firewalls (surLANs et clients VPNs)
– possibilités d’utiliser des ISP multiples.
Cours de C. Pham, Université de Pau et des Pays de l’Adour
Internet
Attacker
Cable or xDSL
Protection du client VPN
Des clients VPN peuvent être “ hijacked ” et des piratespeuvent accéder en toute impunité au réseau privé.
Solutions– installer sur les clients VPN des firewalls personnels gérés de
manière centralisée .– l’organisation doit chercher à fournir une solution de gestion
centralisée de la sécurité de tous les clients VPNs
Cours de C. Pham, Université de Pau et des Pays de l’Adour
Implémentation des tunnels
processus en 3 phase :– Encapsulation : la charge utile est mise dans un entête
supplémentaire– Transmission : acheminement des paquets par un réseau
intermédiaire.– Désencapsulation : récupération de la charge utile.
Cours de C. Pham, Université de Pau et des Pays de l’Adour
Les protocoles de tunneling
PPTP : Point to Point Tunneling Protocol L2TP: Layer two Tunneling Protocol IPSec: IP Secure
Cours de C. Pham, Université de Pau et des Pays de l’Adour
PPTP description générale
Protocole de niveau 2 Encapsule des trames PPP dans des datagrammes IP afin de
les transférer sur un réseau IP Transfert sécurisée : cryptage des données PPP encapsulées
mais aussi compression
Cours de C. Pham, Université de Pau et des Pays de l’Adour
Scénario d’une connexion
GRE: Internet Generic Routing Encapsulation– L'entête GRE est utilisée pour encapsuler le paquet PPP dans le
datagramme IP.– Nécessite que les routeurs implémentent GRE
ISP Gateway
PPTP Client Computer
PPTP Server Computer
Example de tunneling PPTP
PPPEncapsulator
IP Packets
SMB PacketsPPTP
InterfaceSLIP
Interface
PPPDecapsulator
IP Packets
SMB Packets
PPTPInterface
SLIPInterface
IP Packets
IP GRE Packets
Exemple de tunneling PPTP (suite)
PPTPInterface
PPPEncapsulator
SLIPInterface
IPHeader
TCPHeader
PayloadData
PPPHeader
IP GREHeader
IPHeader
TCPHeader
PayloadData
PPPHeader
IPHeader
TCPHeader
PayloadData
IPHeader
TCPHeader
PayloadData
PPPHeader
IP GREHeader
SLIPHeader
TCP/IP Packet
Modem
Cours de C. Pham, Université de Pau et des Pays de l’Adour
Client PPTP
Ordinateur supportant PPTP Linux ou microsoft
Client distant : accès d’un ISP supportant les connexion PPPentrantes modem + dispositif VPN
Client local (LAN) : En utilisant une connexion TCP/IP physiquequi lui permet de se connecter directement au serveur PPTP.Dispositif VPN
Cours de C. Pham, Université de Pau et des Pays de l’Adour
PAP Password Authentication Protocol
Mécanisme d’authentification non crypté
NAS demande le nom et mot de passe
PAP les envoi en clair ( non codé).
Pas de protection contre les usurpations d’identité si le mot depasse est compromis
Cours de C. Pham, Université de Pau et des Pays de l’Adour
CHAP (Challenge Handshake AuthenticationProtocol) :
Mécanisme d’authentification crypté Algorithme de hachage MD5 à sens unique
Pas de mot de passe circulant en clairPas de mot de passe circulant en clair
Cours de C. Pham, Université de Pau et des Pays de l’Adour
MS-CHAP (Microsoft ChallengeHandshake Authentication Protocol): Mécanisme d’authentification crypté Algorithme de hachage MD4 Similaire a CHAP (code de hachage en possession du serveur) Encryptage MPPE nécessite l’authentification MS-CHAP
Cours de C. Pham, Université de Pau et des Pays de l’Adour
Layer 2 Tunneling Protocol (L2TP)
Né de L2F (Cisco) et PPTP Encapsule PPP dans IP,X25, ATM Utilisation possible sur Internet ou des WAN
L2TP Protocol
Composants d’un tunnel– Canal de contrôle– Sessions pour le transport de données
Des tunnels multiples peuvent exister entre les pairs LAC-LNSpour supporter différents niveau de QoS.
ControlSession 1 (Call ID 1)Session 2 (Call ID 2)
LAC LNS
L2TP AccessConcentrator
L2TPNetworkServer
Cours de C. Pham, Université de Pau et des Pays de l’Adour
Control Channel
Functionality– Setup, teardown tunnel– Create, teardown payload “calls” within tunnel– Keepalive mechanism to detect tunnel outages
Characteristics– Retransmissions– Explicit ACKs– Sliding window congestion control– In order delivery
Cours de C. Pham, Université de Pau et des Pays de l’Adour
Sessions (Data Channels)
Payload delivery service– Encapsulated PPP packets sent in sessions– PPP over {IP, UDP, ATM, etc}
No fragmentation avoidance Optional window based congestion control Optional packet loss detection
Cours de C. Pham, Université de Pau et des Pays de l’Adour
Security
Basic L2TP does not define security PPP encryption can be used IP Security encryption can be used
– L2TP extension to define security where IP Security is not available
Cours de C. Pham, Université de Pau et des Pays de l’Adour
IPSec
IPsec protocole de niveau 3
Création de VPN sûr basé forcément sur IP Permet de sécurisé les applications mais également toute la
couche IP
Les rôles d’IPSec– Authentification :Absence d’usurpation d’identité; la personne avec
qui on est censé dialoguer est bien la personne avec qui ondialogue
– Confidentialité : Personne n’écoute la communication.– Intégrité: Les données reçues n’ont pas été modifiées pendant la
transmission.
Cours de C. Pham, Université de Pau et des Pays de l’Adour
HTTPS
solution de niveau 7 sécurité gérée cette fois par service, en fonction de l’application authentification par serveur Radius ou autre
Cours de C. Pham, Université de Pau et des Pays de l’Adour
Solutions pour l’entreprise
choix de la solution VPN– identification des types de flux WAN– flux bas débits synchrones utilisées pour les applications transactionnelles,
SAP– émulation telnet ou 5250/3270– flux large bande asynchrone pour les applications FTP, HTTP, messagerie
Flux synchrones– nécessitent une bande passante minimale garantie avec un délai
d’acheminement le plus petit et le plus constant possible, c’est le cas desapplications temps réels
– ne peuvent être offert qu’avec des réseaux de niveau 2 comme ATM ouFrame Relay
– Internet n ’est pas adapté pour le moment Flux asynchrones
– se produisent de manière imprévisible “ par rafales ” en occupant toute labande passante disponible
– aucune contrainte de délai d’acheminement n’est nécessaire– le volume d’informations véhiculées de cette manière est toujours en forte
croissance– Ex : transferts de fichiers, messagerie, navigation
Cours de C. Pham, Université de Pau et des Pays de l’Adour
Choix de la solution VPN
En fonction des volumes et des types des échanges attendus,on peut décider de la solution à adopter parmi toutes cellesproposées. 3 alternatives:
VPN INTERNET– Faire cohabiter tous ces flux sur le même réseau : VPN INTERNET– solution mise en place sur des réseaux de niveau 2 ou de niveau
3, la plus immédiate et la plus rencontrée– utilisateurs jamais satisfaits : inadaptée aux flux synchrones– A écarter
Gérer la bande passante WAN : VPNs avec LAN/WAN Shaping– solution technique la plus rapide à déployer après la précédente– solution technique la plus adaptée et la plus performante– flux synchrones et asynchrones cohabitent tjrs sur le même
support– mais la solution permet de les gérer plus correctement– boitiers de LAN/WAN Shaping aux extrémités du réseau WAN
opérateu
Cours de C. Pham, Université de Pau et des Pays de l’Adour
Choix de la solution VPN
VPN “ plus ”– séparation des flux applicatifs entre différents réseaux– Un réseau synchrone bas débit garanti ( debits < 64Kbits/s ) de
niveau 2. Ex. : Frame Relay ou LS– Un réseau asynchrone hauts débits ( débits > 128Kbits/s ) de
niveau 3. Ex.: Internet
Cours de C. Pham, Université de Pau et des Pays de l’Adour
Quel VPN pour quelle entreprise ?
En fonction de la quantité et du type de flux inter sites, lasolution varie :
– Sites Importants France => Télécoms avec WAN Shaping– Sites importants Europe-Monde => VPN avec WAN Shaping– Sites moyens Europe-Monde => VPN avec WAN Shaping– Petits sites France-Europe-Monde => VPN– Nomades France => Accès distants RAS/VPN Nomade– Nomades Europe, Monde => VPN Nomade
Cours de C. Pham, Université de Pau et des Pays de l’Adour
Exemples concrets
VPN IP internet– Utilisation de tunnels IPSEC entre firewalls / nomades avec …– Checkpoint Firewall-1 / secureremote– CISCO PIX VPN / Secure client
WAN TELCO et IP– Frame Relay / ATM / MPLS avec…– UUNET : Uusecure VPN– France Telecom :Global Intranet=> Global One : Global IP VPN– Belgacom : VPN Office– Maiaah : intranet– Communauté automobile (GALIA) : ENX