w o r l d w i d e l e a d e r i n s e c u r i n g t h e i n t e r n e t vpn et solutions pour...
TRANSCRIPT
W O R L D W I D E L E A D E R I N S E C U R I N G T H E I N T E R N E T
VPN et Solutions pour l’entrepriseVPN et Solutions pour l’entreprise
David Lassalle
Khaled Bouadi
--22--©2001 Check Point Software Technologies Ltd. - Proprietary & Confidential
DéfinitionDéfinition
Qu’est ce qu’un VPN?Qu’est ce qu’un VPN?Network Network ::Un VPN permet d’interconnecter des sites distants => Réseau Un VPN permet d’interconnecter des sites distants => Réseau
Private :Private :Un VPN est réservé à un groupe d’usagers déterminés par authentification.Un VPN est réservé à un groupe d’usagers déterminés par authentification.
Les données sont échangés de manière masquée au yeux des autres par cryptage Les données sont échangés de manière masquée au yeux des autres par cryptage => Privé=> Privé
Virtual :Virtual :Un VPN repose essentiellement sur des lignes partagés et non dédiées .Un VPN repose essentiellement sur des lignes partagés et non dédiées .
Il n’est pas réellement déterminé.Il est construit par dessus un réseau public Il n’est pas réellement déterminé.Il est construit par dessus un réseau public essentiellement.essentiellement.
Il s’agit d’un réseau privé construit par dessus un réseau public (Internet).Il s’agit d’un réseau privé construit par dessus un réseau public (Internet).
--33--©2001 Check Point Software Technologies Ltd. - Proprietary & Confidential
Types de VPNsTypes de VPNsAccès distant d’un hôte au LAN distant via internet (Host to LAN)
Connexion entre plusieurs LANs distant via internet (LAN to LAN)
Connexion entre deux ordinateurs via internet (Host to Host)
--44--©2001 Check Point Software Technologies Ltd. - Proprietary & Confidential
Solutions traditionnelles et VPNSolutions traditionnelles et VPN
La solution VPN est une alternative aux solutions traditionnelles.
Solutions traditionnelles Solution VPN
--55--©2001 Check Point Software Technologies Ltd. - Proprietary & Confidential
Avantages et InconvenientsAvantages et Inconvenients
Solutions traditionnelles Solution VPN
Avantages- de + en + de qualité de service QOS- une GFA par contrat (sécurité par contrat)- des débits en général assez élevés voir très élevés- des délais d’acheminements garantis
Inconvénients- coût beaucoup plus élevée que la solution VPN- offre pas (ou peu) de protection du contenu
Avantages- une couverture géographique mondiale.- le coût de fonctionnement le plus bas du marché(tarifs calculés sur la plus courte distance au point d’accès opérateur).- offre des garanties de sécurité (utilisation de tunnels).
- solution pour la gestion des postes nomades (grds nbs de points d ’accès).
Inconvénients- la qualité de service (et les délais d’acheminement) n’est pas garantie - les performances ne sont pas toujours au rendez vous.
--66--©2001 Check Point Software Technologies Ltd. - Proprietary & Confidential
Enjeux des VPNsEnjeux des VPNs confidentialité de
l’information intégrité de l’information authentification des
postes protection du client VPN gestion de la qualité de
service et des délais gestion des pannes
CorporateSite
InternetInternet
Partner #1
Partner #2
--77--©2001 Check Point Software Technologies Ltd. - Proprietary & Confidential
Authentification,confidentialitéet intégritéAuthentification,confidentialitéet intégrité
Ces notions sont gérées dans la gestion des tunnels. Ces tunnels permettent d’assurer ces notions par application
(solution de niveau 7 : HTTPS) ou pour tous les types de flux (solutions de niveau 2/3 : PPTP,L2TP,IPSec) .
- niveau 2 type PPTP, L2T
- niveau 3 type IPSec
- niveau 7 type HTTPS
--88--©2001 Check Point Software Technologies Ltd. - Proprietary & Confidential
Tolérance aux pannesTolérance aux pannes
VPN doit pouvoir se prémunir de pannes éventuelles de manière à fournir un temps de disponibilité maximum.
- éviter les attaques virales par la mise en place de firewalls (sur LANs et clients VPNs)- possibilités d’utiliser des ISP multiples.
--99--©2001 Check Point Software Technologies Ltd. - Proprietary & Confidential
Protection du client VPNProtection du client VPN
Internet
Attacker
Cable or xDSL
Des clients VPN peuvent être “ hijacked ” et des pirates peuvent accéder en toute impunité au réseau privé.
Solution =>- installer sur les clients VPN des firewalls personnels gérés de manière centralisée .- l’organisation doit chercher à fournir une solution de gestion centralisée de la sécurité de tous les clients VPNs
--1010--©2001 Check Point Software Technologies Ltd. - Proprietary & Confidential
Implémentation des tunnels :
processus en trois phase : - Encapsulation : la charge utile est mise dans un entête
supplémentaire - Transmission : acheminement des paquets par un réseau
intermedaire.- Désencapsulation : récupération de la charge utile.
--1111--©2001 Check Point Software Technologies Ltd. - Proprietary & Confidential
PPTP : Point to Point Tunneling ProtocolPPTP : Point to Point Tunneling Protocol L2TP: Layer two Tunneling ProtocolL2TP: Layer two Tunneling Protocol Ipsec: Ip secureIpsec: Ip secure
Les protocoles de tunneling
--1212--©2001 Check Point Software Technologies Ltd. - Proprietary & Confidential
PPTP description généralePPTP description générale
Protocole de niveau 2 Protocole de niveau 2 Encapsule des trames PPP dans des Encapsule des trames PPP dans des
datagrammes IP afin de les transférer datagrammes IP afin de les transférer sur un réseau IPsur un réseau IP
Transfert sécurisée : cryptage des Transfert sécurisée : cryptage des données PPP encapsulées mais aussi données PPP encapsulées mais aussi compressioncompression
--1313--©2001 Check Point Software Technologies Ltd. - Proprietary & Confidential
Scénario d’une connexionScénario d’une connexion
GRE:(Internet GenericGRE:(Internet Generic Routing Encapsulation)Routing Encapsulation)
L'entête GRE est utilisée pourL'entête GRE est utilisée pour
encapsuler le paquet PPP dans le datagramme IP.encapsuler le paquet PPP dans le datagramme IP.
--1414--©2001 Check Point Software Technologies Ltd. - Proprietary & Confidential
Client PPTP Client PPTP
Ordinateur supportant PPTP Linux ou microsoftOrdinateur supportant PPTP Linux ou microsoft
Client distant : accès d’un ISP supportant les Client distant : accès d’un ISP supportant les connexion PPP entrantes modem + dispositif connexion PPP entrantes modem + dispositif VPNVPN
Client local (LAN) : En utilisant une connexion Client local (LAN) : En utilisant une connexion TCP/IP physique qui lui permet de se TCP/IP physique qui lui permet de se connecter directement au serveur PPTP. connecter directement au serveur PPTP. Dispositif VPNDispositif VPN
--1515--©2001 Check Point Software Technologies Ltd. - Proprietary & Confidential
PAP Password Authentication ProtocolPAP Password Authentication Protocol
Mécanisme d’authentification non cryptéMécanisme d’authentification non crypté
NAS demande le nom et mot de passeNAS demande le nom et mot de passe PAP les envoi en clair ( non codé).PAP les envoi en clair ( non codé).
Pas de protection contre les usurpations Pas de protection contre les usurpations d’identité si le mot de passe est compromisd’identité si le mot de passe est compromis
--1616--©2001 Check Point Software Technologies Ltd. - Proprietary & Confidential
CHAP (Challenge Handshake Authentication Protocol) : CHAP (Challenge Handshake Authentication Protocol) :
Mécanisme d’authentification cryptéMécanisme d’authentification crypté Algorithme de hachage MD5 à sens uniqueAlgorithme de hachage MD5 à sens unique
Pas de mote de passe circulant en clairPas de mote de passe circulant en clair
--1717--©2001 Check Point Software Technologies Ltd. - Proprietary & Confidential
MS-CHAP (Microsoft Challenge Handshake Authentication Protocol):MS-CHAP (Microsoft Challenge Handshake Authentication Protocol):
Mécanisme d’authentification cryptéMécanisme d’authentification cryptéAlgorithme de hachage MD4Algorithme de hachage MD4Similaire a CHAP (code de hachage en Similaire a CHAP (code de hachage en
possession du serveur)possession du serveur)Encryptage MPPE nécessite Encryptage MPPE nécessite
l’authentification MS-CHAPl’authentification MS-CHAP
--1818--©2001 Check Point Software Technologies Ltd. - Proprietary & Confidential
Layer Two tunneling protocol Layer Two tunneling protocol
Né de L2F et PPTPNé de L2F et PPTPEncapsule PPP dans IP,X25, ATMEncapsule PPP dans IP,X25, ATMUtilisation possible sur Internet ou des Utilisation possible sur Internet ou des
WANWAN
--1919--©2001 Check Point Software Technologies Ltd. - Proprietary & Confidential
IPsec IPSecureIPsec IPSecure
IPsec protocole de niveau 3IPsec protocole de niveau 3
Création de VPN sûr basé forcément Création de VPN sûr basé forcément sur IPsur IP
Permet de sécurisé les applications Permet de sécurisé les applications mais également toute la couche IPmais également toute la couche IP
--2020--©2001 Check Point Software Technologies Ltd. - Proprietary & Confidential
Authentification Authentification :Absence d’usurpation :Absence d’usurpation d’identité; la personne avec qui on est censé d’identité; la personne avec qui on est censé dialoguer est bien la personne avec qui on dialoguer est bien la personne avec qui on dialoguedialogue
Confidentialité : Confidentialité : Personne n’écoute la Personne n’écoute la communication.communication.
Intégrité: Intégrité: Les données reçues n’ont pas été Les données reçues n’ont pas été modifiées pendant la transmission. modifiées pendant la transmission.
Les rôles d’ IPsec
--2121--©2001 Check Point Software Technologies Ltd. - Proprietary & Confidential
Security AssociationSecurity Association
Encapsulation et la désencapsulation des Encapsulation et la désencapsulation des Paquets IPsec est dépendante du sens de Paquets IPsec est dépendante du sens de transmission des paquets transmission des paquets
Association services de sécurité et clés avec Association services de sécurité et clés avec un trafic unidirectionnelun trafic unidirectionnel
Les données permettant de spécifier ce Les données permettant de spécifier ce sens sont mise dans une SAsens sont mise dans une SA
--2222--©2001 Check Point Software Technologies Ltd. - Proprietary & Confidential
Security AssociationSecurity Association
Une SA est identifiée par :Une SA est identifiée par :
Un Security Parameter Index (SPI).Un Security Parameter Index (SPI). Le protocole IPSec utilisé.Le protocole IPSec utilisé. L'adresse de destination.L'adresse de destination.
--2323--©2001 Check Point Software Technologies Ltd. - Proprietary & Confidential
Mode Ipsec (transport)Mode Ipsec (transport)
Transport :Transport :
acheminement direct des données acheminement direct des données protégées par IPsec (ex : host to host)protégées par IPsec (ex : host to host)
--2424--©2001 Check Point Software Technologies Ltd. - Proprietary & Confidential
Mode IPsec (tunnel)Mode IPsec (tunnel) tunnel : tunnel :
trafic envoyé vers des passerelles Ipsectrafic envoyé vers des passerelles Ipsec
( ex LAN to LAN)( ex LAN to LAN)
--2525--©2001 Check Point Software Technologies Ltd. - Proprietary & Confidential
Solution offertes par IpsecSolution offertes par Ipsec
Les protocoles utilisés par Ipsec Les protocoles utilisés par Ipsec
Authentication header (AH)Authentication header (AH) Encapsulating Security Payload (ESP)Encapsulating Security Payload (ESP) Internet Key Exchange (IKE)Internet Key Exchange (IKE)
--2626--©2001 Check Point Software Technologies Ltd. - Proprietary & Confidential
Authentification header (AH)Authentification header (AH)
Authentification et intégrité des données. Authentification et intégrité des données.
Entête ajoutée comportant une signature Entête ajoutée comportant une signature
Appliqué a tout type de VPN.Appliqué a tout type de VPN.
--2727--©2001 Check Point Software Technologies Ltd. - Proprietary & Confidential
ESP Encapsulating Security PayloadESP Encapsulating Security Payload
La confidentialité des données;La confidentialité des données; L'authentification de l'origine des données;L'authentification de l'origine des données; La protection d'anti-replay (retransmission )La protection d'anti-replay (retransmission ) L'intégrité des données (sans connexion, par paquet).L'intégrité des données (sans connexion, par paquet).
--2828--©2001 Check Point Software Technologies Ltd. - Proprietary & Confidential
Comparaison ESP entre AHComparaison ESP entre AH
Confidentialité assurée en ESP mais pas avec AHConfidentialité assurée en ESP mais pas avec AH
Différence de portion des données sécurisée dans Différence de portion des données sécurisée dans authentification ESP et AH authentification ESP et AH
AH protège les entête IP mais pas ESPAH protège les entête IP mais pas ESP L’anti-replay est optionnel avec AH et obligatoire avec L’anti-replay est optionnel avec AH et obligatoire avec
ESPESP
--2929--©2001 Check Point Software Technologies Ltd. - Proprietary & Confidential
IKE Internet Key Exchange: IKE Internet Key Exchange:
Un protocole puissant flexible de négociation Un protocole puissant flexible de négociation méthodes d'authentification, méthodes d'authentification, méthodes de chiffrement, méthodes de chiffrement, clés d'utilisation + temps d'utilisation clés d'utilisation + temps d'utilisation échange intelligent et sûr des clés.échange intelligent et sûr des clés.
--3030--©2001 Check Point Software Technologies Ltd. - Proprietary & Confidential
HTTPSHTTPS
- solution de niveau 7
- sécurité gérée cette fois par service,en fonction de l’application
-authentification par serveur Radius ou autre
--3131--©2001 Check Point Software Technologies Ltd. - Proprietary & Confidential
Solutions pour l’entrepriseSolutions pour l’entreprisechoix de la solution VPN
- identification des types de flux WAN- flux bas débits synchrones utilisées pour les applications transactionnelles, SAPEmulation telnet ou 5250/3270 - flux large bande asynchrone pour les applications FTP, HTTP, messagerie
Flux synchrones- nécessitent une bande passante minimale garantie avec un délai d’acheminement le plus petit et le plus constant possible, c’est le cas des applications temps réels- ne peuvent être offert qu’avec des réseaux de niveau 2 comme ATM ou Frame Relay- Internet n ’est pas adapté pour le moment
Flux asynchrones- se produisent de manière imprévisible “ par rafales ” en occupant toute la bande passante disponible- aucune contrainte de délai d’acheminement n’est nécessaire- le volume d’informations véhiculées de cette manière est toujours en forte croissanceEx : transferts de fichiers, messagerie, navigation
--3232--©2001 Check Point Software Technologies Ltd. - Proprietary & Confidential
Choix de la solution VPNChoix de la solution VPN
En fonction des volumes et des types des échanges attendus, on peut
décider de la solution à adopter parmi toutes celles proposées. 3 Alternatives
VPN INTERNET
- Faire cohabiter tous ces flux sur le même réseau : VPN INTERNET
solution mise en place sur des réseaux de niveau 2 ou de niveau 3
solution la plus immédiate et la plus rencontrée
utilisateurs jamais satisfaits : inadaptée aux flux synchrones
A écarter
--3333--©2001 Check Point Software Technologies Ltd. - Proprietary & Confidential
- Gérer la bande passante WAN : VPNs avec LAN/WAN Shaping
solution technique la plus rapide à déployer après la précédente
solution technique la plus adaptée et la plus performante
flux synchrones et asynchrones cohabitent tjrs sur le même support
mais la solution permet de les gérer plus correctement
boitiers de LAN/WAN Shaping aux extrémités du réseau WAN opérateur
Choix de la solution VPNChoix de la solution VPN
--3434--©2001 Check Point Software Technologies Ltd. - Proprietary & Confidential
Choix de la solution VPNChoix de la solution VPN
- VPN “ plus ”
séparation des flux applicatifs entre différents réseaux
- 1 réseau synchrone bas débit garanti ( debits < 64Kbits/s ) de niveau 2
ex : Frame Relay ou LS
- 1 réseau asynchrone hauts débits ( débits > 128Kbits/s ) de niveau 3
ex : Internet
--3535--©2001 Check Point Software Technologies Ltd. - Proprietary & Confidential
Quel VPN pour quel entreprise ?Quel VPN pour quel entreprise ?
En fonction de la quantité et du type de flux inter sites, la solution varie :
Sites Importants France => Télécoms avec WAN Shaping
Sites importants Europe-Monde => VPN avec WAN Shaping
Sites moyens Europe-Monde => VPN avec WAN Shaping
Petits sites France-Europe-Monde => VPN
Nomades France => Accès distants RAS/VPN Nomade
Nomades Europe, Monde => VPN Nomade
--3636--©2001 Check Point Software Technologies Ltd. - Proprietary & Confidential
Exemples concretsExemples concrets
VPN IP internet
Utilisation de tunnels IPSEC entre firewalls / nomades avec …
=> Checkpoint Firewall-1 / secureremote
=> CISCO PIX VPN / Secure client
WAN TELCO et IP
=> Frame Relay / ATM / MPLS avec…
=> UUNET : Uusecure VPN
=> France Telecom :Global Intranet=> Global One : Global IP VPN
=> Belgacom : VPN Office
=> Maiaah : intranet
=> Communauté automobile (GALIA) : ENX