Sommaire La problématique VPN : l’accès distant !

Sommaire La problématique VPN : l’accès distant !
La solution : Une architecture VPN IP Les deux modèles de VPN Les modèles de VPNs adaptés aux problématiques spécifiques: L’accès distant L’intranet L’extranet L’encapsulation principe L2TP: Implémentation protocolaire : principe Exemple: création d’un tunnel IPsec Mode tunnel, Mode Transport VPN:Les perspectives

La problématique: Gestion de l’accès à distance
Travailleur mobile (Données, GSM,GPRS, UMTS) + PC laptop Serveur de fichier comptable Partenaire A Siège social Réseau partenaire A Réseaux données GSM,GPRS,UMTS ? ? Intranet de l’entreprise ? Lan interne ? ? Serveur bases de données ? ? ? Extranet sécurisé INTRODUCTION Qu ’est-ce qu ’un VPN ? Comment en est-on est arrivé là ? A partir d ’une architecture traditionnelle vers un architecture VPN, ou encore une étape vers le monde du e-commerce. L ’entreprise d ’aujourd ’hui est confronté à une grande diversité de canaux de communication. Le leimotiv ces jours ci sont n ’importe où, n ’importe quand et n ’importe quoi. Le système d ’information de l’entreprise est de nouveau centralisé et les moyens d ’y accèder est complètement décentralisée et peut prendre diverses formes: mobiles , comme les portables PC, GSM, PDA, L ’ère de la communication, e-commerce est aussi à la coopération des SI entre fournisseurs et clients, rendu possible par l ’Internet. L’accès distant vers le réseau d’entreprise est traditionnellement fourni par des banques de modems, qui permettent au utilisateur en composant un numéro de téléphone à travers le PSTN (the Public Switched Telephone Network) ou via les accès ISDN primaire supportant les utulisateurs arrivants de l’ISDN. Quand l’accès distant (Remote Access) gère les utilisateurs arrivant du PSTN, il est appellè RAS, (Remote Access Server); Quand il gère les utilisateurs arrivant via l’ISDN, il est appellè RAC, (Remote Access Concentrator). Ce modèle est cher en termes d’équipement, de couts de support et de coûts de communications. agence distante ou unité distante Serveur Web des Employés Partenaire B Partenaire C SOHO: Small Office Home Office (télé travailleur ou petite agence distante)

La solution : Une architecture VPN IP
Intranet Partenaire Itinérant Nomades Hôte destination Point d ’Accès ISP (POP) Intranet Site Central Internet VPN IP utilise l ’infrastructure ouverte et distribuée de l ’Internet pour transmettre des données sécurisées entre les sites d ’une entreprise Quels sont les avantages ? Flexibilité de l ’architecture, création/suppression de réseau Possibilité d ’utiliser des nouvelles technologies comme le DSL, câble sans l ’équipement côté entreprise Virtuel implique que le réseau est logique et dynamique, création de liaison au besoin et suppression si connexions terminées Réseau Fédérateur, pour Internet, Intranet, Extranet, e-commerce, supportant RNIS, xDSL, cable modem, ... Le revenus mondial des services VPN IP: IDC prévoit une courbe exponentielle de croissance de 2 à 17 milliard de dollars d ’ici 2004 Économie sur les coûts de communication long distance ou ligne louée qui ne cessent de croître avec la profusion des moyens de communication Les économies se font aussi sur l ’équipement de batterie de modem pour les accès à distance, sur les serveurs d ’accès distants(RAS), sur les ressources humaines internes de support Quelques chiffres d ’économie 1997 VPN Research Report 20-47% d ’économie sur les coûts de l ’interconnexion par LL 60-80% d ’économie sur les coûts téléphoniques en accès réseau à distance 25 février 2000 Giga Information Group 20-70% d ’économie sur les coûts téléphonique nationales 60-90% d ’économie sur les coûts téléphoniques internationales Connexion au Point de présence

Les Modèles de VPN   Client à Passerelle Passerelle à Passerelle
Internet Client à Passerelle Passerelle  Passerelle à Passerelle Passerelle  Internet

Connexion réseau à distance
A- L’utilisateur communique avec le NAS de l’ISP qui lui établit une liaison cryptée avec le réseau de l’entreprise Serveur d’authentification AAA OU B- Le client établit un tunnel crypté à travers l’ISP vers le réseau de l’entreprise. Avantage : cryptage de bout en bout de la communication. Réseau ISP Itinérant Nomades Serveur NAS A Hôte destination Point d ’Accès ISP (POP) Intranet Site Central OU Internet Exemple d ’un hôte distant traversant les différents segments pour arriver sur le hôte destination. De même, la communication inter-entreprise peut créer un tunnel qui inclut deux intranets distincts (exemple, Entreprise 1 et réseau ISP) Connexion au Point de présence B Authentification et Chiffrement

Connexion Intranet entre sites
Intranet Site Distant Point d ’Accès ISP (POP) Hôte destination Intranet Site Central Internet Exemple d ’un hôte distant traversant les différents segments pour arriver sur le hôte destination. De même, la communication intra-entreprise peut créer un tunnel qui inclut deux intranets distincts (exemple, Entreprise A et site distant B) Authentification et Chiffrement

Connexion Extranet entre sites
Intranet Site Partenaire Point d ’Accès ISP (POP) Hôte destination Intranet Site Central Internet Exemple d ’un hôte distant traversant les différents segments pour arriver sur le hôte destination. De même, la communication inter-entreprise peut créer un tunnel qui inclut deux intranets distincts (exemple, Entreprise A et Entreprise B) Authentification Chiffrement

PRINCIPE DU TUNNELING OU D ’ENCAPSULATION
Protocole de transport Protocole d ’Encapsulation Protocole Transporté TCP / IP PPTP, L2F, L2TF IPSEC Les deux principaux soucis Sécurité et Performance Les technologies qui permettent la réalisation d ’un VPN Tunnelisation ou encapsulation Permet de créer un canal de communication privé dont sécurisé sur un réseau public Deux types de terminaison, soit un ordinateur individuel ou un LAN avec une passerelle de sécurité, qui peut être un routeur ou firewall LAN à LAN, ou client à LAN Quatre protocoles pour la création d ’un VPN:PPTP,L2F,L2TP,IPSec L2TF pour accès réseau à distance, IPSec pour LAN à LAN Normes de sécurité standardisées Les 4 fonctions de sécurité Authentification et Contrôle d ’Accès* PAP - Password Authentication Protocol CHAP- Challenge Handshake Authentification Protocol RADIUS - Remote Authentification Dial-In User Service Certificat Digital Hardware-based token Confidentialité et Intégrité Chiffrement, Signature numérique Voluntary Tunnel: As this tunnel is created from the end user, this user on the remote client computer must obtain an Internet IP address from the user’s Internet Service Provider (ISP), then the Home Gateway may assign another IP address which is a private one. PPP, Point to Point Protocol, is used between the remote user and the ISP. The tunneling protocols using this type of tunnel are: PPTP and IPSec. Mandatory tunnel: This tunnel is created by the ISP and is ended by the Home Gateway of the remote Intranet. No specific software is needed on the client computer. The client doesn’t have to encapsulate the IP packet, so no public IP address is required. PPP is used between the RAC/RAS of the ISP and the Home Gateway of the remote Intranet. The tunneling protocols using this type of tunnel are L2F, L2TP. When L2TP protocol is used the RAC/RAS of the ISP is called LAC, L2TP Access Concentrator and the Home Gateway ending the tunnel is called LNS, L2TP Network Server. TCP / IP, IPX, ... PPTP (Point to Point Tunneling Protocol : Microsoft, 3Com, USR, Ascend L2F (Layer 2 Forwarding: CISCO, Shiva (INTEL) L2TP: (Tunnel de niveau 2) standard IPSEC: (Mode Transport ou Tunnel de niveau 3) standard

L2TP (Layer 2 Tunneling Protocol)
Layer 2 Transport Protocol Protocol orienté connection Basé sur PPP, Point-to-Point Protocol Synthèse de PPTP(Microsoft) et L2F(Cisco) Ses principes sont décrit dans un DRAFT de IETF: draft-ietf-pppext-l2tp-14.txt Encapsulation L2TP dans IP IP Header UDP PPP donnée L2TP PPP Tous ces champs sont les données du paquet IP IP Datagramme Le protocole de tunneling L2TP, (Layer 2 Tunneling Protocol) est la synthèse de PPTP et L2F. Le protocole L2TP (The Layer 2 Tunneling Protocol) fourni une méthode standard pour un utilisateur distant qu’il soit de type utilisateur mobile accès par numérotation utilisant un client PPP pour appeller vers un POP (Point of Presence) de son fournisseur local de service pour accèder vers son propre réseau . Cette connexion est réalisé en encapsulant tous les datagrammes PPP dans un tunnel IP dont les points terminaux incluent le LAC (L2TP Access Concentrator),( un concentrateur d’accès distant RAC (Remote Accès Concentrator)), et le LNS (L2TP Network Server), (un routeur ou un switch d’accès extranet). Plutôt que de terminer la session PPP sur le RAC , il est étendu, via le tunnel IP, juqu’au LNS , lequel travaille comme un RAC virtuel. Le LAC se situe dans le réseau du forunisseur de service tandis que le LNS se situe dans le réseau d’entreprise (‘home’ network) et traditionnellement connecté au réseau du fournisseur de service via un lien WAN. Les tunnels IP peuvent traverser le réseau IP du fournisseur de service ou l’Internet en utilisant le protocole de réseau privé virtuel (VPN) L2TP. Comme les données de l’utilisateur appellant sont tunnelées au niveau 2 et au-dessus , le L2TP est indépendant des information du niveau 3. Ce qui implique que tout protocole qui est transporté au-dessus de PPP est supporté (la plupart des fournisseurs support seulement IP, mais ce n’est pas obligatoire). Les clients entreprise avec une adresse IP non enregistrés peuvent aussi utiliser L2TP pour accèder à leur propre réseau (‘home’ network) pour la même raison (sous certaines réserves).

L2TP Envoyer des données au-dessus d’un L2TP Intranet NAS
LNS Intranet IP L2TP PPP IP IPCP Adresses Internet Publiques Une fois le tunnel établit, le LAC transmet vers le LNS l’appel utilisateur: il envoie le message Incoming-Call-Request (ICRQ), (contenant le DNIS et le CLID). Le LNS répond par un paquet Incoming-Call-Reply (ICRP) pour accepter l’appel. Le LAC transmet alors l’information nécéssaire pour authentifier l’utilisateur via le LNS: il indique l’identifiant de l’utilisateur, le type de méthode utilisée pour l’authentification, la réponse vers le client, et si c’était une authentification CHAP, le challenge envoyé par le LAKE vers le client. Puis la connexion PPP est établit entre l’utilisateur et le LNS. Les trames émissent dans le tunnel et recues par le LAC sont encapsulées dans L2TP, et sont transmissent dans le tunnel désiré. Quand l’utilisateur raccroche, le LAC envoie vers le LNS le message Call-Disconnect-Notify. Adresses Intranet Privées Données

Authentification** / Intègrité Authentification*** / Intègrité
IPSec: Authentification et Chiffrement Mode Tunnel Mode Transport AH Authentification** / Intègrité Nouvel Entête IP Entête AH Données Original Entête IP Original Entête AH Données Authentification*** / Intègrité Chiffré Chiffré ESP Nouvel Entête IP Entête ESP Entête IP Original Données Trailer ESP Données d’authent. Entête IP Original Entête ESP Données Trailer ESP Données d’authent. Authentification / Integrité Authentification / Intègrité Chiffré Chiffré AH + ESP Nouvel Entête IP Entête AH Entête ESP Entête IP Original Données Trailer ESP Données d’authent. Entête IP Original Entête AH Entête ESP Données Trailer ESP Données d’authent. Authentification** / Intègrité Les protocoles de sécurité peuvent être utilisés seul ou en combinaison avec un autre pour fournir le mode désiré de services de sécurité en IPv4 et IPv6. Chaque protocole supporte l’utilisation de deux modes: le mode tunnel et le mode transport. Le mode tunnel SA (security Association) est essentiellement une SA appliqué a un tunnel IP.Quand bien même que la terminaison de la SA soit un routeur sécurisé, la SA doit obligatoirement utiliser le mode tunnel. Et donc, une SA entre deux routeurs sécurisés utilise toujours le mode tunnel SA . A noter que dans le cas où le trafic est destiné à une passerelle sécurisé, (par exemple le contrôle SNMP), la passerelle de sécurité se comporte comme un système et le mode transport est disponible. Mais dans ce cas, la passerelle de sécurité ne se comporte pas comme une passerelle, étant donné qu’il n’y a pas de trafic en transit. Deux systèmes peuvent établir une SA en mode tunnel entre eux. La nécéssité qu’une SA (avec trafic en transit) impliquant une passerelle de sécurité soit une SA tunnel apparait dans le cas où plusieurs chemins ( par exemple, via différentes passerelles de sécurité) existent,derrière la passerelle de sécurité, vers la même destination (afin d’éviter les problèmes potentiels en lien avec la fragmentation et le reassemblage des paquets IPSec). Pour l’associtaion de sécurité (SA) en mode tunnel, il y a un entête IP de sortie (“outer”) qui spécifie la destination IPSec utilisée, et un entête IP d’entrée (“inner”) qui spécifie (en apparence) la destination ultime du paquet. L’entête de sécurité apparait après l’entête de sortie et avant l’entête d’entrée. Si AH est employé en mode tunnel, des portions de l’entête de sortie sont incluses dans la protection, ainsi qu’à tout paquet IP tunnelé (c’est ainsi que tout l’entête d’entrée Ip est protègé, ainsi que les protocoles des couches hautes). Si ESP est employé, la protection est apppliqué seulement au paquet tunnellé, pas à l’entête de sortie. En mode transport les protocoles fournissent essentiellement une protection des protocoles des couches supérieures. UN SA en mod etransport est une association de sécurité entre deux systèmes (hosts). En IPv4, l’entête du protocole de sécurité en transport mode apparait immédiatement après l’entête IP et les options et avant tout protocoles des couches hautes( par exemple TCP ou UDP). En IPv6, l’entête du protocole de sécurité apparait après l’entête IP de base et ses extensions, mais peut apparaitre avant ou après les options de destination, et avant les protocoles de couches hautes. Dans le cas de ESP, une SA en mode transport fournit les services de sécurité seulement pour ces couches hautes, pas pour l’entête IP ou pour les extensions d’entête prècedant l’entête ESP. Dans le cas de AH, la protection est aussi etendue a des portions de l’entête IP, à des portions des extensions d’entête, et des options (contenues dans l’entête IPv4, IPv6 Hop-by-Hop extension header, ou IPv6 Destination extension headers). Authentification*** / Intègrité la protection depend du mode et du protocôle * AH incompatible avec NAT ** Sauf pour les champs variables du nouvel en-tête *** Sauf pour les champs variables de l’en-tête Mode Tunnel Sécurise le trafic IP entre deux réseaux Mode Transport Sécurise le trafic IP entre deux nœuds

Intranet de l’entreprise
VPN: Perspectives Siège social Travailleur mobile (Données, GSM,GPRS, UMTS) + PC laptop Partenaire A Réseau sans fil interne (laptop, palmtop…) VPN 55 Serveur de fichier comptable Réseau partenaire A Réseaux données GSM,GPRS,UMTS Intranet de l’entreprise IPSec/L2TP Accès distant sécurisé IPSec/L2TP Lan interne Internet VPN 34 IPSec/L2TP IPSec/L2TP ou PPTP VPN 97 Serveur bases de données IPSec/L2TP ou PPTP Backbone MPLS ou IPSec Avantages : Modèle économique intéressant (réduction des coûts) Utilisation des protocoles existants et standard Inconvénients: Viabilité des performances Perspectives Les réseaux mobiles (GPRS,UMTS) Les réseaux privés sans fil qui permettent de se connecter aux lans(IEEE (a,e), IEEE (Bluetooth), HiperLAN (High Performance Local Area Network)). IPSec/L2TP ou PPTP IPSec ou MPLS agence distante ou unité distante Serveur Web des Employés Extranet sécurisé SOHO: Small Office Home Office (télé travailleur ou petite agence distante) Partenaire B Partenaire C

Backup Slides

La problématique: Gestion de l’accès à distance
Travailleur mobile (Données, GSM, GPRS, UMTS) + PC laptop Siège social Partenaire A Serveur de fichier comptable Réseau partenaire A Réseaux données GSM,GPRS,UMTS Intranet de l’entreprise IPSec IPSec/L2TP Accès distant sécurisé Lan interne Internet public VPN 34 IPSec IPSec/L2TP ou PPTP VPN 97 Serveur bases de données IPSec/L2TP ou PPTP Backbone MPLS ou IPSec IPSec/L2TP ou PPTP IPSec ou MPLS Remote access to corporate network is classically provided by banks of modems supporting users dialing in via the Public Switched Telephone Network or ISDN primary accesses supporting users coming from ISDN. When the Remote Access manages users coming from The PSTN, it is called RAS, Remote Access Server; when it manages users coming from ISDN, it is called a RAC, Remote Access Concentrator. This model is expansive in terms of equipment, support costs and the cost of the telecommunications service itself. agence distante ou unité distante Serveur Web des Employés Extranet sécurisé SOHO: Small Office Home Office (télé travailleur ou petite agence distante) Partenaire B Partenaire C

Connexion réseau à distance
A- L’utilisateur communique avec le NAS de l’ISP qui lui établit une liaison cryptée avec le réseau de l’entreprise Serveur d’authentification AAA OU B- Le client établit un tunnel crypté à travers l’ISP vers le réseau de l’entreprise. Avantage : cryptage de bout en bout de la communication. Réseau ISP Itinérant Nomades Serveur NAS A Hôte destination Point d ’Accès ISP (POP) Intranet Site Central OU Internet public Exemple d ’un hôte distant traversant les différents segments pour arriver sur le hôte destination. De même, la communication inter-entreprise peut créer un tunnel qui inclut deux intranets distincts (exemple, Entreprise A et Entreprise B) Connexion au Point de présence B

Connexion Intranet entre sites
Intranet Site Distant Point d ’Accès ISP (POP) Hôte destination Intranet Site Central Internet public Exemple d ’un hôte distant traversant les différents segments pour arriver sur le hôte destination. De même, la communication inter-entreprise peut créer un tunnel qui inclut deux intranets distincts (exemple, Entreprise A et Entreprise B)

Connexion Extranet entre sites
Intranet Site Partenaire Point d ’Accès ISP (POP) Hôte destination Intranet Site Central Internet public Exemple d ’un hôte distant traversant les différents segments pour arriver sur le hôte destination. De même, la communication inter-entreprise peut créer un tunnel qui inclut deux intranets distincts (exemple, Entreprise A et Entreprise B)

VPN IP utilise l ’infrastructure ouverte et distribuée de l ’Internet pour transmettre des données sécurisées entre les sites d ’une entreprise Quels sont les avantages ? Flexibilité de l ’architecture, création/suppression de réseau Possibilité d ’utiliser des nouvelles technologies comme le DSL, câble sans l ’équipement côté entreprise Virtuel implique que le réseau est logique et dynamiuqe, création de liaison au besoin et suppression si connexions terminées Réseau Fédérateur, pour Internet, Intranet, Extranet, e-commerce, supportant RNIS, xDSL, cable modem, ... Le revenus mondial des services VPN IP: IDC prévoit une courbe exponentielle de croissance de 2 à 17 milliard de dollars d ’ici 2004 Economie sur les couts de communication long distance ou ligne louée qui ne cessent de croitre avec la profusion des moyens de communication Les économies se font aussi sur l ’équipement de batterie de modem pour les accès à distance, sur les serveurs d ’accès distants(RAS), sur les ressources humaines internes de support Quelques chiffres d ’économie 1997 VPN Research Report 20-47% d ’économie sur les couts de l ’interconnexion par LL 60-80% d ’économie sur les coûts téléphoniques en accès réseau à distance 25 février 2000 Giga Information Group 20-70% d ’économie sur les couts téléphonique nationales 60-90% d ’économie sur les coûts téléphoniques internationales

Différences entre les protocoles de sécurité réseaux
1 Support non encore fournit ; toutefois il y a des actions en cours (WIP, Work In Progress) au sein du groupe de travail IPSec de L'IETF. 2 Lorsqu'il est utilisé dans une connexion client VPN, il authentifie l'utilisateur, pas la machine. Lorsqu'il est utilisé dans une connexion routeurs à routeurs, la machine se voit asssigné un ID utilisateur ce qui lui permet d'être authentifié.

Type of Tunneling Connections
NAS/Home Gateway RAC/RAS/LAC PDN (e.g Internet) Intranet Voluntary Tunnel Mandatory Tunnel Voluntary Tunnel: As this tunnel is created from the end user, this user on the remote client computer must obtain an Internet IP address from the user’s Internet Service Provider (ISP), then the Home Gateway may assign another IP address which is a private one. PPP, Point to Point Protocol, is used between the remote user and the ISP. The tunneling protocols using this type of tunnel are: PPTP and IPSec. Mandatory tunnel: This tunnel is created by the ISP and is ended by the Home Gateway of the remote Intranet. No specific software is needed on the client computer. The client doesn’t have to encapsulate the IP packet, so no public IP address is required. PPP is used between the RAC/RAS of the ISP and the Home Gateway of the remote Intranet. The tunneling protocols using this type of tunnel are L2F, L2TP. When L2TP protocol is used the RAC/RAS of the ISP is called LAC, L2TP Access Concentrator and the Home Gateway ending the tunnel is called LNS, L2TP Network Server. Voluntary Tunnel: This type of tunnel is created from the remote client up to the Home Gateway of the Intranet e.g PPTP, IPSec Mandatory Tunnel: This type of tunnel is created from the ISP up to the Home Gateway of the Intranet e.g L2F, L2TP

Une liaision typique de bout en bout
Intranet Partenaire Itinérant Nomades Point d ’Accès ISP Hôte destination Firewall / Routeur Exemple d ’un hôte distant traversant les différents segments pour arriver sur le hôte destination. De même, la communication inter-entreprise peut créer un tunnel qui inclut deux intranets distincts (exemple, Entreprise A et Entreprise B) Connexion au Point de présence Internet public Intranet Site Centrale

Network Security Protocol Differences
Mode Tunnel Sécurise le trafic IP entre deux réseaux Mode Transport Sécurise le trafic IP entre deux noeuds 1 Support is not yet provided; however, there is work in progress (WIP) by the IETF IPSec working group. 2 When used as a client VPN connection, it authenticates the user, not the computer. When used as a gateway-to-gateway connection, the computer is assigned a user ID and is authenticated.

ITINERANTS / NOMADES INTRANET PARTENAIRE INTRANET SITE CENTRAL Tunnel VPN Tunnel VPN INTERNET VPN IP utilise l ’infrastructure ouverte et distribuée de l ’Internet pour transmettre des données sécurisées entre les sites d ’une entreprise Quels sont les avantages ? Flexibilité de l ’architecture, création/suppression de réseau Possibilité d ’utiliser des nouvelles technologies comme le DSL, câble sans l ’équipement côté entreprise Virtuel implique que le réseau est logique et dynamiuqe, création de liaison au besoin et suppression si connexions terminées Réseau Fédérateur, pour Internet, Intranet, Extranet, e-commerce, supportant RNIS, xDSL, cable modem, ... Le revenus mondial des services VPN IP: IDC prévoit une courbe exponentielle de croissance de 2 à 17 milliard de dollars d ’ici 2004 Economie sur les couts de communication long distance ou ligne louée qui ne cessent de croitre avec la profusion des moyens de communication Les économies se font aussi sur l ’équipement de batterie de modem pour les accès à distance, sur les serveurs d ’accès distants(RAS), sur les ressources humaines internes de support Quelques chiffres d ’économie 1997 VPN Research Report 20-47% d ’économie sur les couts de l ’interconnexion par LL 60-80% d ’économie sur les coûts téléphoniques en accès réseau à distance 25 février 2000 Giga Information Group 20-70% d ’économie sur les couts téléphonique nationales 60-90% d ’économie sur les coûts téléphoniques internationales Tunnel VPN INTRANET SITE DISTANT

La pile TCP / IP et les protocoles de sécurité VPN
* AH incompatible avec NAT S-MIME S-HTTP PGP SET IPSEC (ISAKMP) Applications TCP/UDP (Transport) SSL SOCKS V5 IP (Réseau) Une sécurité de bout en bout avec la pile TCP/IP IPSEC (AH,ESP) L2TP/PPP PPTP/PPP (Liaison de Donnée) CHAP, MS-CHAP PAP, MPPE

L2TP Création du Tunnel LAC = L2TP access concentrator
Serveur d’authentification LAC Tunnel L2TP Public Network LNS 2. Démarrage de la demande de contrôle de connection: Appel + Challenge CHAP (option) 1. Authentification PPP Once the established tunnel, the LAC transmits to the LNS the call user: it sends a message Incoming-Call-Request (ICRQ), containing the DNIS and the CLID. The LNS answers by with a packet Incoming-Call-Reply (ICRP) to accept the call. The LAC then transmits information necessary to the authentication of the user by the LNS: it indicates the identifier of the user, the type of method used for its authentication, the answer of the customer, and if it was about a authentication CHAP, the challenge sent by the LAKE to the customer. Then the PPP connection is established between the user and the LNS. The frames emitted on the tunnel and received by the LAC are encapsulated in L2TP, and are transmitted in the suitable tunnel. When the user hangs up again, the LAC sends to the LNS a Call-Disconnect-Notify message. 3. Démarrage de la réponse au démarrage de contrôle de connection: Connection accepté + Réponse CHAP (option) + Demande d’authentification CHAP (option) Server d’authentification LAC = L2TP access concentrator LNS = L2TP network server 4. Démarrage du contrôle de connection connecté : Connection accepté + Réponse CHAP (option)

L2TP PPP Connection vers un LNS LAC = L2TP access concentrator
Serveur d’authentification LAC Tunnel L2TP Réseau public LNS 5.Demande d’appel entrant 6. Réponse à l’appel entrant: appel accepté The protocol taking again the same principles as L2F (connection PPP from beginning to end between the customer and the Intranet), the same problems of scale are encountered, as for the number of tunnels finished by a LNS. The placement of mechanisms of security is theoretically possible in conjunction with IPSec. Bay was the first manufacturer required a solution of complete VPNs L2TP: Opening of tunnel L2TP by the concentrator Versalar Closing of tunnels L2TP by the Bay routers and the Contivity Extranet Switch. 7. Appel entrant connecté Serveur d’authentification 8. Authentification (Radius par exemple) LAC = L2TP access concentrator LNS = L2TP network server

Architecture Actuelle sur Frame Relay
INTRODUCTION Qu ’est-ce qu ’un VPN ? Comment on est arrivé là ? A partir d ’une architecture traditionnelle vers un architecture VPN, ou encore une étape vers le monde du e-commerce. L ’entreprise d ’aujourd ’hui est confronté à une grande diversité de canaux de communication. Le leimotiv ces jours ci sont n ’importe où, n ’importe quand et n ’importe quoi. Le système d ’information de l’entreprise est de nouveau centralisé et les moyens d ’y accèder est complètement décentralisée et peut prendre diverses formes: mobiles , comme les portables PC, GSM, PDA, L ’ère de la communication, e-commerce est aussi à la coopération des SI entre fournisseurs et clients, rendu possible par l ’Internet.

Tous ces champs sont les données du paquet IP
IPSec Mode Tunnel Association de Sécurité Internet Securité Gateway Ordinateur Non encrypté Encrypté ESP Authentication New IP Header (any options) TCP DATA ESP Trailer Authentifié Orig IP Header AH L2TP avec IPSec Mode Tunnel (sécurisation) IP Header UDP PPP donnée L2TP PPP Tous ces champs sont les données du paquet IP IP Datagramme IPSec Security protocols may be applied alone or in combination with each other to provide a desired set of security services in IPv4 and IPv6. Each protocol supports two modes of use: tunnel mode and transport mode. A tunnel mode SA is essentially an SA applied to an IP tunnel. Whenever either end of a security association is a security gateway, the SA MUST be tunnel mode. Thus, an SA between two security gateways is always a tunnel mode SA. Note that for the case where traffic is destined for a security gateway, for example, SNMP commands, the security gateway is acting as a host and transport mode is allowed. But in that case, the security gateway is not acting as a gateway, that is, not transiting traffic. Two hosts MAY establish a tunnel mode SA between themselves. The requirement for any (transit traffic) SA involving a security gateway to be a tunnel SA arises due to the need to avoid potential problems with regard to fragmentation and reassembly of IPSec packets, and in circumstances where multiple paths (for example, via different security gateways) exist to the same destination behind the security gateways. For a tunnel mode SA, there is an "outer" IP header that specifies the IPsec processing destination, plus an "inner" IP header that specifies the (apparently) ultimate destination for the packet. The security protocol header appears after the outer IP header, and before the inner IP header. If AH is employed in tunnel mode, portions of the outer IP header are afforded protection (as above), as well as all of the tunneled IP packet (that is, all of the inner IP header is protected, as well as higher layer protocols). If ESP is employed, the protection is afforded only to the tunneled packet, not to the outer header. * AH incompatible avec NAT

Tous ces champs sont les données du paquet IP
IPSec Mode Transport Association de Securité Internet Gateway Ordinateur Authentifié Non encrypté Encrypté TCP Orig IP Header (any options) ESP DATA ESP Trailer ESP Authentication Authentifié TCP DATA Orig IP Header (any options) AH L2TP avec IPSec Mode Transport (sécurisation) UDP Header PPP donnée L2TP PPP Tous ces champs sont les données du paquet IP IP IP Datagramme IPSec In transport mode the protocols provide protection primarily for upper layer protocols. A transport mode SA is a security association between two hosts. In IPv4, a transport mode security protocol header appears immediately after the IP header and any options, and before any higher layer protocols (for example, TCP or UDP). In IPv6, the security protocol header appears after the base IP header and extensions, but may appear before or after destination options, and before higher layer protocols. In the case of ESP, a transport mode SA provides security services only for these higher layer protocols, not for the IP header or any extension headers preceding the ESP header. In the case of AH, the protection is also extended to selected portions of the IP header, selected portions of extension headers, and selected options (contained in the IPv4 header, IPv6 Hop-by-Hop extension header, or IPv6 Destination extension headers). * AH incompatible avec NAT

Choix d ’implémentation IPSec Modes et Fonctions
Mode Tunnel Sécurise le trafic IP entre deux réseaux Mode Transport Sécurise le trafic IP entre deux noeuds Règles Négociées Machine authentification Internet Key Exchange (IKE) ou clés pré-partagées Authentification et intégrité des Paquets Authentication Header (AH) En cryptage, Authentification et Intégrité Optionnelles Encapsulated Security Protocol (ESP) * AH incompatible avec NAT

Bibliographie (pour aller plus loin)
A Comprehensive Guide to Virtual Private Networks, Volume 1 IP VPN (société CISCO) What is VPN? PPP/L2TP/Ipsec, VPNs réseaux GPRS/UMTS 2.5G- 3G - (société Nortel Networks) Radius (Société Funk) 6 solutions de réseau privé virtuel à l ’étude

IPSec (IP Security)

IPSec Détails Protocôles de sécurité définissent:
Intégrité des données Authentification de l’origine des données Protection contre les “replays” (sequencing) Confidentialité (encryptage) Protocoles de sécurité du trafic: AH (Authentication Header) ESP (Encapsulating Security Payload) Protocoles et procèdures de gestion de clés cryptographiques: Manuelle IKE - Internet Key Exchange (basée sur “ISAKMP/Oakley”) The set of security services offered includes data integrity, data origin authentication, protection against replays (a form of partial sequence integrity), and confidentiality (encryption). These objectives are met through the use of two traffic security protocols, the Authentication Header (AH) and the Encapsulating Security Payload (ESP), and through the use of cryptographic key management procedures and protocols. * AH incompatible avec NAT

Comment ces services sont-ils fournis?
AH (Authentication Header) Fourni l’intégrité des données, l’authentification de l’origine des données, et un service optionel d’”anti-replay” (sequencing) ESP (Encapsulating Security Payload) Fourni la confidentialité (encryptage). Il peut aussi fournir l’intégrité des donnés, l’authentification de l’origine des données, et un service d’”anti-replay” (sequencing) The services of security mentioned above are provided by means of two extensions of protocol IP called AH (Authentication Header) and ESP (Encapsulating Security Payload): AH is conceived to ensure the authenticity of datagrams IP without encryption of the data (i.e. without confidentiality). The principle of AH is to associate with traditional datagram IP an additional field making it possible the reception to check the authenticity of the data included in the datagram. A number of sequence makes it possible to detect the attempts of reuse. ESP has as a role first to ensure the confidentiality but can also ensure the authenticity of the data. The principle of ESP east of generating, starting from a traditional datagram IP, a new datagram in which the data and possibly the heading original, are quantified. Esp can also ensure the authenticity of the data by addition of a block of authentication and protection against the rejeu by the means of a number of sequence. * AH incompatible avec NAT

IPSec et les associations de type de sécurité
Une relation entre deux ou plus des éléments qui décrit comment les éléments utiliseront les services de sécurité pour communiquer en mode sécurisé Uniquement identifier par un: SPI (Security Parameter Index) IP adresse de destination Security Protocol Identifier (AH or ESP) Internet Securité Gateway Securité Gateway A Security Association (SA) is a relationship between two or more entities that describes how the entities will use security services to communicate securely. A security association is uniquely identified by a Security Parameter Index (SPI), an IP Destination Address, and a security protocol (AH or ESP) identifier. In principle, the Destination Address may be a unicast address, an IP broadcast address, or a multicast group address. However, IPSec SA management mechanisms currently are defined only for unicast SAs. Securité Association Ordinateur Ordinateur

Principe Administrateur Alarms Configure Negociation Modification
Applications (ftp, http,…) TCP/UDP IP / IPsec (AH, ESP) NAP IKE DOI ISAKMP Oakley SKEME Negociation Modification Delete Requests SPD Read Pointer Besides manual, there is the Internet Key Exchange protocol. ISAKMP provides a framework for authentication and key exchange but does not define them. ISAKMP is designed to be key exchange independent; that is, it is designed to support many different key exchanges. Oakley describes a series of key exchanges -- called ”modes"-- and details the services provided by each (for example, perfect forward secrecy for keys, identity protection, and authentication). SKEME describes a versatile key exchange technique which provides anonymity, repudiability, and quick key refreshment. IKE uses part of Oakley and part of SKEME in conjunction with ISAKMP to obtain authenticated keying material for use with ISAKMP, and for other security associations such as AH and ESP for the IETF IPSec DOI. SAD Read * AH incompatible avec NAT

IPSec - 1 Key Management Internet Key Exchange (IKE = ISAKMP/Oakley)
Allows users to agree on authentication methods, encryption methods, keys to use, and key duration. The Internet Security Association and Key Management Protocol (ISAKMP) serves as a framework for authentication and key exchange using the Oakley key exchange protocol Cryptographic Security Mechanisms for IP Authentication Header (AH) Provides integrity and authentication without confidentiality to IP datagrams. Available even in locations where the export, import or use of encryption to provide confidentiality is regulated Encapsulation Security Payload (ESP) Provides integrity, authentication, and confidentiality to IP datagrams. * AH incompatible avec NAT

Two IPSec Modes : Transport and Tunnel Mode
New IP Header IPSec Data IP Header Tunnel Mode Original IP Transport Mode Optional Encryption Outer IP Header Inner IP Header

GPRS Tunneling : GTP and VPN tunnels

PDP Context Activation
GTP GPRS Tunneling Protocol Connectivity oriented protocol Uses a mandatory tunnel Principles described in: GSM 09.60 SGSN GGSN GPRS Tunneling Protocol is the means by which tunnels are established, used, managed and released. GTP allows multi-protocol packets to be tunneled through the GPRS backbone between the GSNs. GTP utilizes User Datagram Protocol (UDP)/IP and creates a “tunnel” between the SGSN and the GGSN for each mobile subscriber (MS). GPRS Tunneling Protocol handles both signaling messages and user data traffic. In the signaling plane, the GTP signaling messages are used to create, modify, and delete tunnels. The Gn interface signaling plane also includes Path Management messages. Path Management ensures that GSNs are aware of the in-service status of other elements in the network. PDP Context Activation GTP Tunnel (PDP Context)

PDP Context Activation
GTP and VPN SGSN Internet VPN : IPSec/L2TP Intranet Intranet PDP Context Activation GTP Gn interface Gi interface

Network Address Translation (NAT) Concepts
NAT is defined in RFC It provides the translation of an IP address used within one network to an IP address known within another network It is mainly used to reduce the number of public IP addresses needed by a Corporation Private addresses are used within the corporate network, public addresses are used only for communication to the Internet NAT is implemented on routers, firewalls or proxy servers via a NAT table in which IP adresses from different domains are mapped together The mapping can be: Static One to One Dynamic One to One Dynamic Many to One  PAT (Port Address Translation) PAT maps IP addresses to a single IP address but different TCP port numbers One Public IP address can be used for up to 64 k private addresses (theorically), 1k-10k is a safe value PAT Internet  : 5001  : 5002

Network Address Translation Limitations
IPSec and NAT interoperability IPSec tunnels with AH fail when going through NAT because NAT changes the IP header  the IPsec checksum is no more valid IPSec tunnels with ESP encryption work with NAT (integrity only calculated on the payload) IPSec and PAT interoperability All type of IPSec tunnel would fail through PAT because the ISAKMP protocol used by IPSec to exchange keys uses specifiv TCP port numbers L2TP and NAT/PAT interoperability L2TP works with static NAT only (the LNS has to know the translated LAC IP address) NAT interoperability with common IP protocols All major IP protocols can work with NAT, thanks to NAT Application Gateways PAT interoperability with common IP protocols SMTP, DNS and RealMedia do not work with PAT

Network Address Translation Limitations - Summary

Basic Internet Service : Transparent mode
SGSN PAT DHCP (Preside) SGSN Mobile data + PC GPRS PLMN Router Firewall Router GGSN ISP network Address Pools LS Internet GGSN SGSN WAP Server DNS (Preside) Private Address Space One Class A Public Address Space Max. four Class C The GPRS operator can be an ISP or has subscribed a contract to an ISP. If the GPRS operator is not an ISP, the Nortel solution allows him to seize benefits of this new market, capturing his users. By parameterization of the mobile user config (sim), the operator can force them to pass on his portal.

Remote Intranet Access Service using an IPSec Client
DNS DHCP (Preside) SGSN SGSN GPRS PLMN DHCP IPSec Tunnel Terminator Router GGSN Mobiles data + PC (Ipsec Client) Internet Address Pools RADIUS SGSN DNS (Preside) IPsec Tunnel This is a Transparent mode from the GPRS network point of view We assume that the user has already a basic Transparent access subscribed. After the Activate PDP context, the user launches an Ipsec client or whatever, that allows him to have access to his intranet. PAT can not be implemented, It is not compatible with an IPSec tunnel

AAA on the Intranet : Virtual Dial Non Transparent mode
DNS SGSN SGSN Mobiles data + PC GPRS PLMN DHCP L2TP Network Server Router GGSN Internet Address Pools RADIUS SGSN L2TP/IPsec Tunnel DNS (Preside) The GGSN forwards all Authentication, Authorization and Accounting relative queries to the L2TP Network Server. Allocated IP addresses are from the Intranet address space  PAT is not required In this case, the user has subscribed an non tranparent service. Nevertheless, authentication and Ip address allocation are handled by the LNS.

Dedicated Access : Non Transparent Untunneled mode
DHCP (Preside) SGSN SGSN Radius (Preside) DNS Mobiles data + PC Router GGSN Secured Connection Router Services Intranet GGSN GPRS PLMN Radius SGSN ISP Internet Secured connection DNS (Preside ) Services In this last configuration, the authentication and Ip address allocation are done by the GGSN. That ’s enough to offer a Intranet access, or an internet access through a partner ISP on a Leased Line. PAT can be implemented at the ISP - Internet border Note: IP address allocation via RADIUS is actually part of the authentication procedure

Private Addressing Space Public Addressing Space
The E-Plus Case Transparent mode or Non Transparent Untunneled mode connection to the E-Plus ISP infrastructure Authentication done at the ISP network side (RADIUS or other), no GI tunneling PAT set up at the ISP network side, into the border routers connected to the Internet For one million « always on » users, a maximum of four public Class C are required (depending on the PAT capacity of the border router) GGSN Router Firewall ISP network Internet Address Pools Leased Line NAT/PAT Private Addressing Space Public Addressing Space

Enterprise or Service Provider
Access Services... Remote Users Enterprise or Service Provider Preside Radius Local SQL NT LDAP TACACS+ RAS Server VPN Router Firewall

Managed Services Remote Users Service Provider Enterprise LAN -
Enterprise or Service Provider Preside Radius NetWare Bindery Local NetWare NDS NT Domain NT Host ACE/ Server RAS RAS “A” Firewall Private Network / Internet Preside Radius RAS “B” Link to ISP (T1) CPE router, firewall, and/or VPN RAS “C”

And … Wholesale Data Services
Remote Users Outsourced Modem Pools (UUNET) Virtual ISPs Preside Radius ISP “A” Private Network/ Internet Native SQL LDAP TACACS+ NT Domain RAS “A” Private Network/ Internet ISP “B” RAS “B” Private Network/ Internet PROXY ISP “C” RAS “C”

IPSEC - Authentification et Chiffrement
Nouvelle Ent IP ESP Ent IP Originale Ent TCP Données Ent IP AH Ent TCP Données Authentification Ent IP ESP Ent TCP Données Chiffrement AH ESP Ent IP AH Ent IP Originale Ent TCP Données Mode Transport Mode Tunnel Ent IP AH ESP Ent TCP Données + Ent IP AH ESP Ent IP Originale Ent TCP Données * AH incompatible avec NAT

Sommaire La problématique VPN : l’accès distant !

Présentations similaires

Présentation au sujet: "Sommaire La problématique VPN : l’accès distant !"— Transcription de la présentation:

Présentations similaires

Notre projet

Feed-back

Entrer

S'autoriser via un réseau social:

Sommaire La problématique VPN : l’accès distant !

Présentations similaires

Présentation au sujet: "Sommaire La problématique VPN : l’accès distant !"— Transcription de la présentation:

Présentations similaires

Notre projet

Feed-back