w o r l d w i d e l e a d e r i n s e c u r i n g t h e i n t e r n e t vpn et solutions pour...

W O R L D W I D E L E A D E R I N S E C U R I N G T H E I N T E R N E T

VPN et Solutions pour l’entrepriseVPN et Solutions pour l’entreprise

David Lassalle

Khaled Bouadi

--22--©2001 Check Point Software Technologies Ltd. - Proprietary & Confidential

DéfinitionDéfinition

Qu’est ce qu’un VPN?Qu’est ce qu’un VPN?Network Network ::Un VPN permet d’interconnecter des sites distants => Réseau Un VPN permet d’interconnecter des sites distants => Réseau

Private :Private :Un VPN est réservé à un groupe d’usagers déterminés par authentification.Un VPN est réservé à un groupe d’usagers déterminés par authentification.

Les données sont échangés de manière masquée au yeux des autres par cryptage Les données sont échangés de manière masquée au yeux des autres par cryptage => Privé=> Privé

Virtual :Virtual :Un VPN repose essentiellement sur des lignes partagés et non dédiées .Un VPN repose essentiellement sur des lignes partagés et non dédiées .

Il n’est pas réellement déterminé.Il est construit par dessus un réseau public Il n’est pas réellement déterminé.Il est construit par dessus un réseau public essentiellement.essentiellement.

Il s’agit d’un réseau privé construit par dessus un réseau public (Internet).Il s’agit d’un réseau privé construit par dessus un réseau public (Internet).


Types de VPNsTypes de VPNsAccès distant d’un hôte au LAN distant via internet (Host to LAN)

Connexion entre plusieurs LANs distant via internet (LAN to LAN)

Connexion entre deux ordinateurs via internet (Host to Host)


Solutions traditionnelles et VPNSolutions traditionnelles et VPN

La solution VPN est une alternative aux solutions traditionnelles.

Solutions traditionnelles Solution VPN


Avantages et InconvenientsAvantages et Inconvenients

Solutions traditionnelles Solution VPN

Avantages- de + en + de qualité de service QOS- une GFA par contrat (sécurité par contrat)- des débits en général assez élevés voir très élevés- des délais d’acheminements garantis

Inconvénients- coût beaucoup plus élevée que la solution VPN- offre pas (ou peu) de protection du contenu

Avantages- une couverture géographique mondiale.- le coût de fonctionnement le plus bas du marché(tarifs calculés sur la plus courte distance au point d’accès opérateur).- offre des garanties de sécurité (utilisation de tunnels).

- solution pour la gestion des postes nomades (grds nbs de points d ’accès).

Inconvénients- la qualité de service (et les délais d’acheminement) n’est pas garantie - les performances ne sont pas toujours au rendez vous.


Enjeux des VPNsEnjeux des VPNs confidentialité de

l’information intégrité de l’information authentification des

postes protection du client VPN gestion de la qualité de

service et des délais gestion des pannes

CorporateSite

InternetInternet

Partner #1

Partner #2


Authentification,confidentialitéet intégritéAuthentification,confidentialitéet intégrité

Ces notions sont gérées dans la gestion des tunnels. Ces tunnels permettent d’assurer ces notions par application

(solution de niveau 7 : HTTPS) ou pour tous les types de flux (solutions de niveau 2/3 : PPTP,L2TP,IPSec) .

- niveau 2 type PPTP, L2T

- niveau 3 type IPSec

- niveau 7 type HTTPS


Tolérance aux pannesTolérance aux pannes

VPN doit pouvoir se prémunir de pannes éventuelles de manière à fournir un temps de disponibilité maximum.

- éviter les attaques virales par la mise en place de firewalls (sur LANs et clients VPNs)- possibilités d’utiliser des ISP multiples.


Protection du client VPNProtection du client VPN

Internet

Attacker

Cable or xDSL

Des clients VPN peuvent être “ hijacked ” et des pirates peuvent accéder en toute impunité au réseau privé.

Solution =>- installer sur les clients VPN des firewalls personnels gérés de manière centralisée .- l’organisation doit chercher à fournir une solution de gestion centralisée de la sécurité de tous les clients VPNs


Implémentation des tunnels :

processus en trois phase : - Encapsulation : la charge utile est mise dans un entête

supplémentaire - Transmission : acheminement des paquets par un réseau

intermedaire.- Désencapsulation : récupération de la charge utile.


PPTP : Point to Point Tunneling ProtocolPPTP : Point to Point Tunneling Protocol L2TP: Layer two Tunneling ProtocolL2TP: Layer two Tunneling Protocol Ipsec: Ip secureIpsec: Ip secure

Les protocoles de tunneling


PPTP description généralePPTP description générale

Protocole de niveau 2 Protocole de niveau 2 Encapsule des trames PPP dans des Encapsule des trames PPP dans des

datagrammes IP afin de les transférer datagrammes IP afin de les transférer sur un réseau IPsur un réseau IP

Transfert sécurisée : cryptage des Transfert sécurisée : cryptage des données PPP encapsulées mais aussi données PPP encapsulées mais aussi compressioncompression


Scénario d’une connexionScénario d’une connexion

GRE:(Internet GenericGRE:(Internet Generic Routing Encapsulation)Routing Encapsulation)

L'entête GRE est utilisée pourL'entête GRE est utilisée pour

encapsuler le paquet PPP dans le datagramme IP.encapsuler le paquet PPP dans le datagramme IP.


Client PPTP Client PPTP

Ordinateur supportant PPTP Linux ou microsoftOrdinateur supportant PPTP Linux ou microsoft

Client distant : accès d’un ISP supportant les Client distant : accès d’un ISP supportant les connexion PPP entrantes modem + dispositif connexion PPP entrantes modem + dispositif VPNVPN

Client local (LAN) : En utilisant une connexion Client local (LAN) : En utilisant une connexion TCP/IP physique qui lui permet de se TCP/IP physique qui lui permet de se connecter directement au serveur PPTP. connecter directement au serveur PPTP. Dispositif VPNDispositif VPN


PAP Password Authentication ProtocolPAP Password Authentication Protocol

Mécanisme d’authentification non cryptéMécanisme d’authentification non crypté

NAS demande le nom et mot de passeNAS demande le nom et mot de passe PAP les envoi en clair ( non codé).PAP les envoi en clair ( non codé).

Pas de protection contre les usurpations Pas de protection contre les usurpations d’identité si le mot de passe est compromisd’identité si le mot de passe est compromis


CHAP (Challenge Handshake Authentication Protocol) : CHAP (Challenge Handshake Authentication Protocol) :

Mécanisme d’authentification cryptéMécanisme d’authentification crypté Algorithme de hachage MD5 à sens uniqueAlgorithme de hachage MD5 à sens unique

Pas de mote de passe circulant en clairPas de mote de passe circulant en clair


MS-CHAP (Microsoft Challenge Handshake Authentication Protocol):MS-CHAP (Microsoft Challenge Handshake Authentication Protocol):

Mécanisme d’authentification cryptéMécanisme d’authentification cryptéAlgorithme de hachage MD4Algorithme de hachage MD4Similaire a CHAP (code de hachage en Similaire a CHAP (code de hachage en

possession du serveur)possession du serveur)Encryptage MPPE nécessite Encryptage MPPE nécessite

l’authentification MS-CHAPl’authentification MS-CHAP


Layer Two tunneling protocol Layer Two tunneling protocol

Né de L2F et PPTPNé de L2F et PPTPEncapsule PPP dans IP,X25, ATMEncapsule PPP dans IP,X25, ATMUtilisation possible sur Internet ou des Utilisation possible sur Internet ou des

WANWAN


IPsec IPSecureIPsec IPSecure

IPsec protocole de niveau 3IPsec protocole de niveau 3

Création de VPN sûr basé forcément Création de VPN sûr basé forcément sur IPsur IP

Permet de sécurisé les applications Permet de sécurisé les applications mais également toute la couche IPmais également toute la couche IP


Authentification Authentification :Absence d’usurpation :Absence d’usurpation d’identité; la personne avec qui on est censé d’identité; la personne avec qui on est censé dialoguer est bien la personne avec qui on dialoguer est bien la personne avec qui on dialoguedialogue

Confidentialité : Confidentialité : Personne n’écoute la Personne n’écoute la communication.communication.

Intégrité: Intégrité: Les données reçues n’ont pas été Les données reçues n’ont pas été modifiées pendant la transmission. modifiées pendant la transmission.

Les rôles d’ IPsec


Security AssociationSecurity Association

Encapsulation et la désencapsulation des Encapsulation et la désencapsulation des Paquets IPsec est dépendante du sens de Paquets IPsec est dépendante du sens de transmission des paquets transmission des paquets

Association services de sécurité et clés avec Association services de sécurité et clés avec un trafic unidirectionnelun trafic unidirectionnel

Les données permettant de spécifier ce Les données permettant de spécifier ce sens sont mise dans une SAsens sont mise dans une SA


Security AssociationSecurity Association

Une SA est identifiée par :Une SA est identifiée par :

Un Security Parameter Index (SPI).Un Security Parameter Index (SPI). Le protocole IPSec utilisé.Le protocole IPSec utilisé. L'adresse de destination.L'adresse de destination.


Mode Ipsec (transport)Mode Ipsec (transport)

Transport :Transport :

acheminement direct des données acheminement direct des données protégées par IPsec (ex : host to host)protégées par IPsec (ex : host to host)


Mode IPsec (tunnel)Mode IPsec (tunnel) tunnel : tunnel :

trafic envoyé vers des passerelles Ipsectrafic envoyé vers des passerelles Ipsec

( ex LAN to LAN)( ex LAN to LAN)


Solution offertes par IpsecSolution offertes par Ipsec

Les protocoles utilisés par Ipsec Les protocoles utilisés par Ipsec

Authentication header (AH)Authentication header (AH) Encapsulating Security Payload (ESP)Encapsulating Security Payload (ESP) Internet Key Exchange (IKE)Internet Key Exchange (IKE)


Authentification header (AH)Authentification header (AH)

Authentification et intégrité des données. Authentification et intégrité des données.

Entête ajoutée comportant une signature Entête ajoutée comportant une signature

Appliqué a tout type de VPN.Appliqué a tout type de VPN.


ESP Encapsulating Security PayloadESP Encapsulating Security Payload

La confidentialité des données;La confidentialité des données; L'authentification de l'origine des données;L'authentification de l'origine des données; La protection d'anti-replay (retransmission )La protection d'anti-replay (retransmission ) L'intégrité des données (sans connexion, par paquet).L'intégrité des données (sans connexion, par paquet).


Comparaison ESP entre AHComparaison ESP entre AH

Confidentialité assurée en ESP mais pas avec AHConfidentialité assurée en ESP mais pas avec AH

Différence de portion des données sécurisée dans Différence de portion des données sécurisée dans authentification ESP et AH authentification ESP et AH

AH protège les entête IP mais pas ESPAH protège les entête IP mais pas ESP L’anti-replay est optionnel avec AH et obligatoire avec L’anti-replay est optionnel avec AH et obligatoire avec

ESPESP


IKE Internet Key Exchange: IKE Internet Key Exchange:

Un protocole puissant flexible de négociation Un protocole puissant flexible de négociation méthodes d'authentification, méthodes d'authentification, méthodes de chiffrement, méthodes de chiffrement, clés d'utilisation + temps d'utilisation clés d'utilisation + temps d'utilisation échange intelligent et sûr des clés.échange intelligent et sûr des clés.


HTTPSHTTPS

- solution de niveau 7

- sécurité gérée cette fois par service,en fonction de l’application

-authentification par serveur Radius ou autre


Solutions pour l’entrepriseSolutions pour l’entreprisechoix de la solution VPN

- identification des types de flux WAN- flux bas débits synchrones utilisées pour les applications transactionnelles, SAPEmulation telnet ou 5250/3270 - flux large bande asynchrone pour les applications FTP, HTTP, messagerie

Flux synchrones- nécessitent une bande passante minimale garantie avec un délai d’acheminement le plus petit et le plus constant possible, c’est le cas des applications temps réels- ne peuvent être offert qu’avec des réseaux de niveau 2 comme ATM ou Frame Relay- Internet n ’est pas adapté pour le moment

Flux asynchrones- se produisent de manière imprévisible “ par rafales ” en occupant toute la bande passante disponible- aucune contrainte de délai d’acheminement n’est nécessaire- le volume d’informations véhiculées de cette manière est toujours en forte croissanceEx : transferts de fichiers, messagerie, navigation


Choix de la solution VPNChoix de la solution VPN

En fonction des volumes et des types des échanges attendus, on peut

décider de la solution à adopter parmi toutes celles proposées. 3 Alternatives

VPN INTERNET

- Faire cohabiter tous ces flux sur le même réseau : VPN INTERNET

solution mise en place sur des réseaux de niveau 2 ou de niveau 3

solution la plus immédiate et la plus rencontrée

utilisateurs jamais satisfaits : inadaptée aux flux synchrones

A écarter


- Gérer la bande passante WAN : VPNs avec LAN/WAN Shaping

solution technique la plus rapide à déployer après la précédente

solution technique la plus adaptée et la plus performante

flux synchrones et asynchrones cohabitent tjrs sur le même support

mais la solution permet de les gérer plus correctement

boitiers de LAN/WAN Shaping aux extrémités du réseau WAN opérateur




- VPN “ plus ”

séparation des flux applicatifs entre différents réseaux

- 1 réseau synchrone bas débit garanti ( debits < 64Kbits/s ) de niveau 2

ex : Frame Relay ou LS

- 1 réseau asynchrone hauts débits ( débits > 128Kbits/s ) de niveau 3

ex : Internet


Quel VPN pour quel entreprise ?Quel VPN pour quel entreprise ?

En fonction de la quantité et du type de flux inter sites, la solution varie :

Sites Importants France => Télécoms avec WAN Shaping

Sites importants Europe-Monde => VPN avec WAN Shaping

Sites moyens Europe-Monde => VPN avec WAN Shaping

Petits sites France-Europe-Monde => VPN

Nomades France => Accès distants RAS/VPN Nomade

Nomades Europe, Monde => VPN Nomade


Exemples concretsExemples concrets

VPN IP internet

Utilisation de tunnels IPSEC entre firewalls / nomades avec …

=> Checkpoint Firewall-1 / secureremote

=> CISCO PIX VPN / Secure client

WAN TELCO et IP

=> Frame Relay / ATM / MPLS avec…

=> UUNET : Uusecure VPN

=> France Telecom :Global Intranet=> Global One : Global IP VPN

=> Belgacom : VPN Office

=> Maiaah : intranet

=> Communauté automobile (GALIA) : ENX

w o r l d w i d e l e a d e r i n s e c u r i n g t h e i n t e r n e t vpn et solutions pour...

Documents