Projet Fin Formation VPN
-
Upload
abdou-toto -
Category
Documents
-
view
249 -
download
9
Transcript of Projet Fin Formation VPN
-
8/12/2019 Projet Fin Formation VPN
1/36
W O R L D W I D E L E A D E R I N S E C U R I N G T H E I N T E R N E T
VPN et Solutions pourlentreprise
David Lassalle
Khaled Bouadi
-
8/12/2019 Projet Fin Formation VPN
2/36
2001 Check Point Software Technologies Ltd. - Proprietary & Confidential -2-
Dfinition
Quest ce quun VPN?Network :Un VPN permet dinterconnecter des sites distants => Rseau
Private :
Un VPN est rserv un groupe dusagers dtermins par authentification.
Les donnes sont changs de manire masque au yeux des autres par
cryptage => Priv
Virtual :Un VPN repose essentiellement sur des lignes partags et non ddies .
Il nest pas rellement dtermin.Il est construit par dessus un rseau public
essentiellement.
Il sagit dun rseau priv construit par dessus un rseau public (Internet).
-
8/12/2019 Projet Fin Formation VPN
3/36
2001 Check Point Software Technologies Ltd. - Proprietary & Confidential -3-
Types de VPNsAccs distant dun hte au LAN distant via internet (Host to LAN)
Connexion entre plusieurs LANs distant via internet (LAN to LAN)
Connexion entre deux ordinateurs via internet (Host to Host)
-
8/12/2019 Projet Fin Formation VPN
4/36
2001 Check Point Software Technologies Ltd. - Proprietary & Confidential -4-
Solutions traditionnelles etVPN
La solution VPN est une alternative aux solutions traditionnelles.
Solutions traditionnelles Solution VPN
-
8/12/2019 Projet Fin Formation VPN
5/36
2001 Check Point Software Technologies Ltd. - Proprietary & Confidential -5-
Avantages et Inconvenients
Solutions traditionnelles Solution VPN
Avantages- de + en + de qualit de service QOS
- une GFA par contrat (scurit par contrat)
- des dbits en gnral assez levs voir
trs levs
- des dlais dacheminements garantis
Inconvnients- cot beaucoup plus leve que la solution
VPN
- offre pas (ou peu) de protection du
contenu
Avantages- une couverture gographique mondiale.
- le cot de fonctionnement le plus bas du
march(tarifs calculs sur la plus courte
distance au point daccs oprateur).
- offre des garanties de scurit (utilisation
de tunnels).
- solution pour la gestion des postes
nomades (grds nbs de points d accs).
Inconvnients- la qualit de service (et les dlais
dacheminement) nest pas garantie
- les performances ne sont pas toujours au
rendez vous.
-
8/12/2019 Projet Fin Formation VPN
6/36
2001 Check Point Software Technologies Ltd. - Proprietary & Confidential -6-
Enjeux des VPNs
confidentialit de
linformation intgrit de linformation
authentification des
postes
protection du client VPN
gestion de la qualit de
service et des dlais
gestion des pannes
CorporateSite
Internet
Partner #1
Partner #2
-
8/12/2019 Projet Fin Formation VPN
7/36
2001 Check Point Software Technologies Ltd. - Proprietary & Confidential -7-
Authentification,confidentialitet intgrit
Ces notions sont gres dans la gestion des tunnels.
Ces tunnels permettent dassurer ces notions par application
(solution de niveau 7 : HTTPS) ou pour tous les types de flux
(solutions de niveau 2/3 : PPTP,L2TP,IPSec) .
- niveau 2 type PPTP, L2T
- niveau 3 type IPSec
- niveau 7 type HTTPS
-
8/12/2019 Projet Fin Formation VPN
8/36
2001 Check Point Software Technologies Ltd. - Proprietary & Confidential -8-
Tolrance aux pannes
VPN doit pouvoir se prmunir de pannes ventuelles de manire fournirun temps de disponibilit maximum.
- viter les attaques virales par la mise en place de firewalls (sur LANs etclients VPNs)
- possibilits dutiliser des ISP multiples.
-
8/12/2019 Projet Fin Formation VPN
9/362001 Check Point Software Technologies Ltd. - Proprietary & Confidential -9-
Protection du client VPN
Internet
Attacker
Cable or xDSL
Des clients VPN peuvent tre hijacked et des pirates peuvent accder en touteimpunit au rseau priv.
Solution =>
- installer sur les clients VPN des firewalls personnels grs de manire centralise .
- lorganisation doit chercher fournir une solution de gestion centralise de la scurit
de tous les clients VPNs
-
8/12/2019 Projet Fin Formation VPN
10/362001 Check Point Software Technologies Ltd. - Proprietary & Confidential -10-
Implmentation des tunnels :
processus en trois phase :
- Encapsulation : la charge utile est mise dans un entte
supplmentaire
- Transmission : acheminement des paquets par un rseau
intermedaire.- Dsencapsulation : rcupration de la charge utile.
-
8/12/2019 Projet Fin Formation VPN
11/362001 Check Point Software Technologies Ltd. - Proprietary & Confidential -11-
PPTP : Point to Point Tunneling Protocol
L2TP: Layer two Tunneling Protocol
Ipsec: Ip secure
Les protocoles de tunneling
-
8/12/2019 Projet Fin Formation VPN
12/362001 Check Point Software Technologies Ltd. - Proprietary & Confidential -12-
PPTP description gnrale
Protocole de niveau 2 Encapsule des trames PPP dans des
datagrammes IP afin de les transfrer
sur un rseau IP Transfert scurise : cryptage des
donnes PPP encapsules mais aussi
compression
-
8/12/2019 Projet Fin Formation VPN
13/362001 Check Point Software Technologies Ltd. - Proprietary & Confidential -13-
Scnario dune connexion
GRE:(Internet GenericRouting Encapsulation)L'entte GRE est utilise pour
encapsuler le paquet PPP dans le datagramme IP.
-
8/12/2019 Projet Fin Formation VPN
14/362001 Check Point Software Technologies Ltd. - Proprietary & Confidential -14-
Client PPTP
Ordinateur supportant PPTP Linux ou microsoft
Client distant : accs dun ISP supportant lesconnexion PPP entrantes modem + dispositif
VPN
Client local (LAN) : En utilisant une connexionTCP/IP physique qui lui permet de seconnecter directement au serveur PPTP.Dispositif VPN
-
8/12/2019 Projet Fin Formation VPN
15/362001 Check Point Software Technologies Ltd. - Proprietary & Confidential -15-
PAP Password AuthenticationProtocol
Mcanisme dauthentification non crypt
NAS demande le nom et mot de passe
PAP les envoi en clair ( non cod).
Pas de protection contre les usurpationsdidentit si le mot de passe est compromis
-
8/12/2019 Projet Fin Formation VPN
16/362001 Check Point Software Technologies Ltd. - Proprietary & Confidential -16-
CHAP (Challenge HandshakeAuthentication Protocol):
Mcanisme dauthentification crypt
Algorithme de hachage MD5 sens unique
Pas de mote de passe circulant en clair
-
8/12/2019 Projet Fin Formation VPN
17/362001 Check Point Software Technologies Ltd. - Proprietary & Confidential -17-
MS-CHAP (Microsoft ChallengeHandshake Authentication Protocol):
Mcanisme dauthentification crypt
Algorithme de hachage MD4
Similaire a CHAP (code de hachage en
possession du serveur)
Encryptage MPPE ncessite
lauthentification MS-CHAP
-
8/12/2019 Projet Fin Formation VPN
18/362001 Check Point Software Technologies Ltd. - Proprietary & Confidential -18-
Layer Two tunneling protocol
N de L2F et PPTP
Encapsule PPP dans IP,X25, ATM
Utilisation possible sur Internet ou desWAN
-
8/12/2019 Projet Fin Formation VPN
19/362001 Check Point Software Technologies Ltd. - Proprietary & Confidential -19-
IPsec IPSecure
IPsec protocole de niveau 3
Cration de VPN sr bas forcment
sur IP
Permet de scuris les applications
mais galement toute la couche IP
-
8/12/2019 Projet Fin Formation VPN
20/362001 Check Point Software Technologies Ltd. - Proprietary & Confidential -20-
Authentification :Absence dusurpationdidentit; la personne avec qui on est censdialoguer est bien la personne avec qui ondialogue
Confidentialit : Personne ncoute lacommunication.
Intgrit: Les donnes reues nont pas tmodifies pendant la transmission.
Les rles d IPsec
-
8/12/2019 Projet Fin Formation VPN
21/362001 Check Point Software Technologies Ltd. - Proprietary & Confidential -21-
Security Association
Encapsulation et la dsencapsulation desPaquets IPsec est dpendante du sens de
transmission des paquets
Association services de scurit et cls avec
un trafic unidirectionnel
Les donnes permettant de spcifier ce
sens sont mise dans une SA
-
8/12/2019 Projet Fin Formation VPN
22/362001 Check Point Software Technologies Ltd. - Proprietary & Confidential -22-
Security Association
Une SA est identifie par :
Un Security Parameter Index (SPI).
Le protocole IPSec utilis.
L'adresse de destination.
-
8/12/2019 Projet Fin Formation VPN
23/362001 Check Point Software Technologies Ltd. - Proprietary & Confidential -23-
Mode Ipsec (transport)
Transport :
acheminement direct des donnes
protges par IPsec (ex : host to host)
-
8/12/2019 Projet Fin Formation VPN
24/362001 Check Point Software Technologies Ltd. - Proprietary & Confidential -24-
Mode IPsec (tunnel)
tunnel :trafic envoy vers des passerelles Ipsec
( ex LAN to LAN)
-
8/12/2019 Projet Fin Formation VPN
25/362001 Check Point Software Technologies Ltd. - Proprietary & Confidential -25-
Solution offertes par Ipsec
Les protocoles utiliss par Ipsec
Authentication header (AH)
Encapsulating Security Payload (ESP)
Internet Key Exchange (IKE)
-
8/12/2019 Projet Fin Formation VPN
26/362001 Check Point Software Technologies Ltd. - Proprietary & Confidential -26-
Authen ti f icat ion header (AH)
Authentification et intgrit des donnes.
Entte ajoute comportant une signature
Appliqu a tout type de VPN.
-
8/12/2019 Projet Fin Formation VPN
27/36
2001 Check Point Software Technologies Ltd. - Proprietary & Confidential -27-
ESP Encapsulating Security Payload
La confidentialit des donnes;
L'authentification de l'origine des donnes;
La protection d'anti-replay (retransmission )
L'intgrit des donnes (sans connexion, par paquet).
-
8/12/2019 Projet Fin Formation VPN
28/36
2001 Check Point Software Technologies Ltd. - Proprietary & Confidential -28-
Comparaison ESP entre AH
Confidentialit assure en ESP mais pas avec AH
Diffrence de portion des donnes scurise dansauthentification ESP et AH
AH protge les entte IP mais pas ESP
Lanti-replay est optionnel avec AH et obligatoire avecESP
-
8/12/2019 Projet Fin Formation VPN
29/36
2001 Check Point Software Technologies Ltd. - Proprietary & Confidential -29-
IKE In ternet Key Exchange:
Un protocole puissant flexible de ngociation
mthodes d'authentification,
mthodes de chiffrement,
cls d'utilisation + temps d'utilisation
change intelligent et sr des cls.
HTTPS
-
8/12/2019 Projet Fin Formation VPN
30/36
2001 Check Point Software Technologies Ltd. - Proprietary & Confidential -30-
HTTPS
- solution de niveau 7- scurit gre cette fois par service,en fonction de lapplication
-authentification par serveur Radius ou autre
-
8/12/2019 Projet Fin Formation VPN
31/36
2001 Check Point Software Technologies Ltd. - Proprietary & Confidential -31-
Solutions pour lentreprisechoix de la solution VPN
- identification des types de flux WAN- flux bas dbits synchrones utilises pour les applications transactionnelles, SAP
Emulation telnet ou 5250/3270
- flux large bande asynchrone pour les applications FTP, HTTP, messagerie
Flux synchrones
- ncessitent une bande passante minimale garantie avec un dlai dacheminement le
plus petit et le plus constant possible, cest le cas des applications temps rels
- ne peuvent tre offert quavec des rseaux de niveau 2 comme ATM ou Frame
Relay
- Internet n est pas adapt pour le moment
Flux asynchrones- se produisent de manire imprvisible par rafales en occupant toute la bande
passante disponible
- aucune contrainte de dlai dacheminement nest ncessaire
- le volume dinformations vhicules de cette manire est toujours en forte
croissance
Ex : transferts de fichiers, messagerie, navigation
Ch i d l l ti VPN
-
8/12/2019 Projet Fin Formation VPN
32/36
2001 Check Point Software Technologies Ltd. - Proprietary & Confidential -32-
Choix de la solution VPN
En fonction des volumes et des types des changes attendus, on peutdcider de la solution adopter parmi toutes celles proposes.3 Alternatives
VPN INTERNET
- Faire cohabiter tous ces flux sur le mme rseau : VPN INTERNET
solution mise en place sur des rseaux de niveau 2 ou de niveau 3
solution la plus immdiate et la plus rencontre
utilisateurs jamais satisfaits : inadapte aux flux synchrones
A carter
Ch i d l l ti VPN
-
8/12/2019 Projet Fin Formation VPN
33/36
2001 Check Point Software Technologies Ltd. - Proprietary & Confidential -33-
- Grer la bande passante WAN : VPNs avec LAN/WAN Shaping
solution technique la plus rapide dployer aprs la prcdente
solution technique la plus adapte et la plus performante
flux synchrones et asynchrones cohabitent tjrs sur le mme support
mais la solution permet de les grer plus correctement
boitiers de LAN/WAN Shaping aux extrmits du rseau WAN oprateur
Choix de la solution VPN
Ch i d l l ti VPN
-
8/12/2019 Projet Fin Formation VPN
34/36
2001 Check Point Software Technologies Ltd. - Proprietary & Confidential -34-
Choix de la solution VPN
- VPN plus
sparation des flux applicatifs entre diffrents rseaux
- 1 rseau synchrone bas dbit garanti ( debits < 64Kbits/s ) de niveau 2
ex : Frame Relay ou LS
- 1 rseau asynchrone hauts dbits ( dbits > 128Kbits/s ) de niveau 3
ex : Internet
Quel VPN pour quel
-
8/12/2019 Projet Fin Formation VPN
35/36
2001 Check Point Software Technologies Ltd. - Proprietary & Confidential -35-
Quel VPN pour quelentreprise ?
En fonction de la quantit et du type de flux inter sites, la solution varie :
Sites Importants France => Tlcoms avec WAN Shaping
Sites importants Europe-Monde => VPN avec WAN Shaping
Sites moyens Europe-Monde => VPN avec WAN Shaping
Petits sites France-Europe-Monde => VPNNomades France => Accs distants RAS/VPN Nomade
Nomades Europe, Monde => VPN Nomade
-
8/12/2019 Projet Fin Formation VPN
36/36
Exemples concrets
VPN IP internetUtilisation de tunnels IPSEC entre firewalls / nomades avec
=> Checkpoint Firewall-1 / secureremote
=> CISCO PIX VPN / Secure client
WAN TELCO et IP=> Frame Relay / ATM / MPLS avec
=> UUNET : Uusecure VPN
=> France Telecom :Global Intranet=> Global One : Global IP VPN
=> Belgacom : VPN Office
=> Maiaah : intranet=> Communaut automobile (GALIA) : ENX