La présentation est en train de télécharger. S'il vous plaît, attendez

La présentation est en train de télécharger. S'il vous plaît, attendez

1 Réalisation d'un client serveur d'échange de paquets entre deux sous réseaux reliés par un VPN Projet technique MASTER TIIR Ben Haddou Mina Duquenne.

Présentations similaires


Présentation au sujet: "1 Réalisation d'un client serveur d'échange de paquets entre deux sous réseaux reliés par un VPN Projet technique MASTER TIIR Ben Haddou Mina Duquenne."— Transcription de la présentation:

1 1 Réalisation d'un client serveur d'échange de paquets entre deux sous réseaux reliés par un VPN Projet technique MASTER TIIR Ben Haddou Mina Duquenne Wilfried Clercq Sylvain Le 14 Décembre 2004

2 2 Plan 1. Problématique du sujet 1. Problématique du sujet 2. Présentation Générale des VPN 2. Présentation Générale des VPN 3. Présentation des principaux protocoles existants 3. Présentation des principaux protocoles existants PPTPPPTP L2FL2F L2TPL2TP OpenVPNOpenVPN IPSecIPSec 4. Problème de broadcast 4. Problème de broadcast 5. Proposition dune solution 5. Proposition dune solution 6. Conclusion 6. Conclusion

3 3 1. Problématique du sujet Notre but : Rendre disponible ces fonctions aux utilisateurs ! Les trames de broadcasts et de multicasts ne sont pas disponibles sur le VPN le plus performant du moment: IPSec.

4 4 2. Présentation Générale des VPN Ques quun VPN (Virtual Private Network)? Ques quun VPN (Virtual Private Network)? Cest la combinaison de deux techniques: Cest la combinaison de deux techniques: Le Tunneling : transporte un protocole (et ses données) dans un autre Le Tunneling : transporte un protocole (et ses données) dans un autre La Sécurité : Authentification, cryptage, certificats La Sécurité : Authentification, cryptage, certificats

5 5 2. Présentation Générale des VPN Les avantages: Les avantages: Réduction des coûts liés aux communications.Réduction des coûts liés aux communications. Sécurité : cryptage et connexion sécurisée, masquage des adresses IP privées.Sécurité : cryptage et connexion sécurisée, masquage des adresses IP privées. Prise en charge de la plupart des protocoles existants.Prise en charge de la plupart des protocoles existants.

6 6 3. Présentation des principaux protocoles existants PPTP PPTP Principe: créer des trames sous le protocole PPP et les encapsuler dans un datagramme IP.Principe: créer des trames sous le protocole PPP et les encapsuler dans un datagramme IP. GRE est un protocole de tunnel qui a été à l'origine développé par Cisco. Il permet le passage de trame multicast.

7 7 3. Presentation des principaux protocoles existants: PPTP Établissement d'une connexion PPP: Établissement d'une connexion PPP: Connexion initiale à un serveur PPP distant.Connexion initiale à un serveur PPP distant. Protocole LCP (Link Control Protocol) établit et configure les paramètres de liaison et de trame.Protocole LCP (Link Control Protocol) établit et configure les paramètres de liaison et de trame. Protocoles d'authentification (MS-CHAP, EAP) permettant de déterminer le niveau de validation de la sécurité qui peut être exécutée par le serveur distant.Protocoles d'authentification (MS-CHAP, EAP) permettant de déterminer le niveau de validation de la sécurité qui peut être exécutée par le serveur distant. Protocoles NCP (Network Control Protocol) établissent et configurent différents paramètres de protocole réseau pour les protocoles IP, IPX et NetBEUI et AppleTalk.Protocoles NCP (Network Control Protocol) établissent et configurent différents paramètres de protocole réseau pour les protocoles IP, IPX et NetBEUI et AppleTalk.

8 8 3. Présentation des principaux protocoles existants: PPTP Détails de communication : Détails de communication : Avec connexion PPTP ifconfig –a lo0: flags=8049 mtu inet6 ::1 prefixlen 128 inet6 fe80::1%lo0 prefixlen 64 scopeid 0x1 inet netmask 0xff gif0: flags=8010 mtu 1280 stf0: flags=0<> mtu 1280 en0: flags=8822 mtu 1500 tunnel inet --> ether 00:30:65:e5:a5:d0 ppp0: flags=8051 mtu 1500 inet > netmask 0xff ppp1: flags=8051 mtu 1448 inet aaa --> pptp netmask 0xffff0000 flags=8049 mtu inet6 ::1 prefixlen 128 inet6 fe80::1%lo0 prefixlen 64 scopeid 0x1 inet netmask 0xff gif0: flags=8010 mtu 1280 stf0: flags=0<> mtu 1280 en0: flags=8822 mtu 1500 tunnel inet --> ether 00:30:65:e5:a5:d0 ppp0: flags=8051 mtu 1500 inet > netmask 0xff ppp1: flags=8051 mtu 1448 inet aaa --> pptp netmask 0xffff0000 Sans connexion PPTP ifconfig –a lo0: flags=8049 mtu inet6 ::1 prefixlen 128 inet6 fe80::1%lo0 prefixlen 64 scopeid 0x1 inet netmask 0xff gif0: flags=8010 mtu 1280 stf0: flags=0<> mtu 1280 en0: flags=8822 mtu 1500 tunnel inet --> ether 00:30:65:e5:a5:d0 ppp0: flags=8051 mtu 1500 inet > netmask 0xff000000

9 9 3. Présentation des principaux protocoles existants: PPTP Détails de communication : Détails de communication : traceroute src.lip6.fr traceroute to src.lip6.fr ( ), 30 hops max, 40 byte packets 1 pptp.lip6.fr ( pptp) ms ms ms 2 src.lip6.fr ( ) ms ms ms traceroute to src.lip6.fr ( ), 30 hops max, 40 byte packets 1 pptp.lip6.fr ( pptp) ms ms ms 2 src.lip6.fr ( ) ms ms ms traceroute to src.lip6.fr ( ), 30 hops max, 40 byte packets 1 afontenayssb abo.wanadoo.fr ( ) ms ms ms ( ) ms ms ms 3 p1-1.nraub303.aubervilliers.francetelecom.net ( ) ms ms ms 4 p9-0.ntaub301.aubervilliers.francetelecom.net ( ) ms ms ms … 13 jussieu.rap.prd.fr ( ) ms ms ms 14 r-scott.reseau.jussieu.fr ( ) ms ms ms 15 src.lip6.fr ( ) ms ms ms

10 10 3. Présentation des principaux protocoles existants: PPTP Avantages: Avantages: Implanter sur toutes les plates formes Microsoft d'où sa facilité de mise en place.Implanter sur toutes les plates formes Microsoft d'où sa facilité de mise en place. Inconvénients : Inconvénients : Probléme de sécurité dû à l'authentification par mot de passe (MS-CHAP).Probléme de sécurité dû à l'authentification par mot de passe (MS-CHAP).

11 11 3. Présentation des principaux protocoles existants: L2F Développé par Cisco, Northern Telecom et Shiva. Développé par Cisco, Northern Telecom et Shiva. Véhicule et transfére les données du serveur distant jusqu'au serveur L2F (inclus dans un routeur). Véhicule et transfére les données du serveur distant jusqu'au serveur L2F (inclus dans un routeur). Il sagit dune connexion PPP entre le client et l'ISP (Internet Service Provider), que l'ISP fait suivre au serveur d'accès distant via le tunnel L2F. Il sagit dune connexion PPP entre le client et l'ISP (Internet Service Provider), que l'ISP fait suivre au serveur d'accès distant via le tunnel L2F.

12 12 3. Présentation des principaux protocoles existants: L2TP Développé conjointement par les majors de ce secteur clé (Microsoft, CISCO Systems, etc..). Développé conjointement par les majors de ce secteur clé (Microsoft, CISCO Systems, etc..). Issu de la convergence des protocoles PPTP et L2F. Issu de la convergence des protocoles PPTP et L2F. Encapsule des paquets PPP au niveau des couches 2 (Frame Relay et ATM) et 3 (IP). Encapsule des paquets PPP au niveau des couches 2 (Frame Relay et ATM) et 3 (IP). L2TP repose sur deux concepts : L2TP repose sur deux concepts : Les concentrateurs d'accès L2TP (LAC : L2TP Access Concentrator).Les concentrateurs d'accès L2TP (LAC : L2TP Access Concentrator). Les serveurs réseau L2TP (LNS : L2TP Network Server).Les serveurs réseau L2TP (LNS : L2TP Network Server).

13 13 3. Présentation des principaux protocoles existants: L2TP On distingue 2 composantes dans L2TP: On distingue 2 composantes dans L2TP: Les paquets d'informations encapsulés dans des paquets PPP pour les sessions utilisateurs qui servent pour le transport de L2TP.Les paquets d'informations encapsulés dans des paquets PPP pour les sessions utilisateurs qui servent pour le transport de L2TP. Le protocole de signalisation, qui utilise le contrôle de l'information L2TP est encapsulé dans des paquets UDP/IPLe protocole de signalisation, qui utilise le contrôle de l'information L2TP est encapsulé dans des paquets UDP/IP Format d une trame L2TP: Format d une trame L2TP:

14 14 3. Présentation des principaux protocoles existants: L2TP Avantages : Avantages : Mobilité (salarié peut se connecter à un VPN de son entreprise en conservant ses droits et ses restrictions).Mobilité (salarié peut se connecter à un VPN de son entreprise en conservant ses droits et ses restrictions). Inconvénients: Inconvénients: Empilement des couches protocolaires : IP/PPP/L2TP/UDP/IP/Couche2.Empilement des couches protocolaires : IP/PPP/L2TP/UDP/IP/Couche2. + TCP/HTTP si user surfe sur le web. => L'ensemble n'est pas très léger.

15 15 3. Présentation des principaux protocoles existants : OpenVPN Principe de base : Principe de base : utiliser une interface de capture standard du kernel Linux (tun ou tap).utiliser une interface de capture standard du kernel Linux (tun ou tap). expédier ces données chiffrées et authentifiées via SSL sur un port UDP en utilisant un mot de passe ou une clé publique.expédier ces données chiffrées et authentifiées via SSL sur un port UDP en utilisant un mot de passe ou une clé publique. Les paquets sont chiffrés et authentifiés (certificat sur chaque machine) en utilisant la librairie openssl. Les paquets sont chiffrés et authentifiés (certificat sur chaque machine) en utilisant la librairie openssl. OpenVPN vise à fournir, sous une forme compacte, les fonctionnalités essentielles d'IPSec. OpenVPN vise à fournir, sous une forme compacte, les fonctionnalités essentielles d'IPSec.

16 16 3. Présentation des principaux protocoles existants : OpenVPN Principe de fonctionnement d'OpenVPN: Principe de fonctionnement d'OpenVPN: Création d'une interface physique : Création d'une interface physique : Construction d' un tunnel => création d'une interface virtuelle ( ).Construction d' un tunnel => création d'une interface virtuelle ( ). Sur la passerelle, on trouve le même schéma, c'est à dire une interface physique et une ou plusieurs interfaces virtuelles.Sur la passerelle, on trouve le même schéma, c'est à dire une interface physique et une ou plusieurs interfaces virtuelles.

17 17 3. Présentation des principaux protocoles existants : OpenVPN Avantages : Avantages : Outil de création de VPN facile à utiliser, robuste, sécurisé, rapide et configurable sur tous les systémes d'exploitations.Outil de création de VPN facile à utiliser, robuste, sécurisé, rapide et configurable sur tous les systémes d'exploitations. Compatible avec le NAT et l'adressage dynamique.Compatible avec le NAT et l'adressage dynamique. Evolutif, vu quil repose sur 2 projets en constante évolution : la bibliothèque OPenSSL et le pilote TUN/TAP qui fait partie du kernel linux.Evolutif, vu quil repose sur 2 projets en constante évolution : la bibliothèque OPenSSL et le pilote TUN/TAP qui fait partie du kernel linux. Flexible :Flexible : Possibilité de créer autant de tunnels vers ou depuis la même machine. Possibilité de créer autant de tunnels vers ou depuis la même machine. Possibilité de limiter l'usage de la bande-passante et de choisir le niveau de sécurité et defficacité. Possibilité de limiter l'usage de la bande-passante et de choisir le niveau de sécurité et defficacité.

18 18 3. Présentation des principaux protocoles existants : IPsec Permet de sécuriser l'échange de données au niveau de la couche réseau. Permet de sécuriser l'échange de données au niveau de la couche réseau. Basé sur 2 mécanismes de sécurité : Basé sur 2 mécanismes de sécurité : AH (Authentification Header) vise à assurer l'intégrité et l'authenticité des datagrammes IP.AH (Authentification Header) vise à assurer l'intégrité et l'authenticité des datagrammes IP.

19 19 3. Présentation des principaux protocoles existants : IPsec ESP (Encapsulating Security Payload) peut assurer au choix, un ou plusieurs des services suivants :ESP (Encapsulating Security Payload) peut assurer au choix, un ou plusieurs des services suivants : Confidentialité (confidentialité des données et protection partielle contre l'analyse du trafic si l'on utilise le mode tunnel). Confidentialité (confidentialité des données et protection partielle contre l'analyse du trafic si l'on utilise le mode tunnel). Intégrité des données en mode non connecté et authentification de l'origine des données, protection contre le rejeu. Intégrité des données en mode non connecté et authentification de l'origine des données, protection contre le rejeu.

20 20 3. Présentation des principaux protocoles existants : IPsec Les 2 modes de fonctionnement d Ipsec : Les 2 modes de fonctionnement d Ipsec : Le mode transport prend un flux de niveau transport et réalise les mécanismes de signature et de chiffrement puis transmet les données à la couche IP. Dans ce mode, l'insertion de la couche IPSec est transparente entre TCP et IP. TCP envoie ses données vers IPSec comme il les enverrait vers IPv4.Le mode transport prend un flux de niveau transport et réalise les mécanismes de signature et de chiffrement puis transmet les données à la couche IP. Dans ce mode, l'insertion de la couche IPSec est transparente entre TCP et IP. TCP envoie ses données vers IPSec comme il les enverrait vers IPv4. Dans le mode tunnel, les données envoyées par l'application traversent la pile de protocole jusqu'à la couche IP incluse, puis sont envoyées vers le module IPSec. L'encapsulation IPSec en mode tunnel permet le masquage d'adresses.Dans le mode tunnel, les données envoyées par l'application traversent la pile de protocole jusqu'à la couche IP incluse, puis sont envoyées vers le module IPSec. L'encapsulation IPSec en mode tunnel permet le masquage d'adresses.

21 21 3. Présentation des principaux protocoles existants : IPsec Schéma de ces 2 modes : Schéma de ces 2 modes :

22 22 3. Présentation des principaux protocoles existants : IPsec Différence entre ces 2 modes : Différence entre ces 2 modes : Dans le mode transport, l'en-tête extérieur est produite par la couche IP c'est-à-dire sans masquage d'adresse, alors que dans le mode tunnel l'encapsulation IPSec permet le masquage d'adresses. Dans le mode transport, l'en-tête extérieur est produite par la couche IP c'est-à-dire sans masquage d'adresse, alors que dans le mode tunnel l'encapsulation IPSec permet le masquage d'adresses. Le mode tunnel est utilisé entre deux passerelles de sécurité (routeur, firewall,...) alors que le mode transport se situe entre deux hôtes. Le mode tunnel est utilisé entre deux passerelles de sécurité (routeur, firewall,...) alors que le mode transport se situe entre deux hôtes.

23 23 3. Présentation des principaux protocoles existants : IPsec Algorithmes de cryptage (ou chiffrement): Algorithmes de cryptage (ou chiffrement): DES en mode CBC (avec test sur les valeurs de clés afin déliminer toute clé dite faible ou semi-faible).DES en mode CBC (avec test sur les valeurs de clés afin déliminer toute clé dite faible ou semi-faible). Algorithme le plus utilisé : 3DES.Algorithme le plus utilisé : 3DES. Algorithmes d'Authentification (ou de hachage): Algorithmes d'Authentification (ou de hachage): MD5 (HMAC-MD5 ou Keyed-MD5).MD5 (HMAC-MD5 ou Keyed-MD5). HMAC-SHA.HMAC-SHA. Algorithme le plus utilisé : Tiger.Algorithme le plus utilisé : Tiger.

24 24 3. Présentation des principaux protocoles existants : IPsec Schéma récapitulatif du fonctionnement d Ipsec : Schéma récapitulatif du fonctionnement d Ipsec :

25 25 3. Présentation des principaux protocoles existants : IPsec Avantages : Avantages : Sécurité optimale et plus robuste que celle de PPTP. Sécurité modulable. Transparence de la sécurité par rapport aux applications. Inconvénients : Inconvénients : Identifie les machines et non les utilisateurs. Alourdit les perfomances des réseaux du fait des opérations de cryptage/décryptage. Pose des difficultés au niveau de la mise en place au niveau des messages de broadcast et multicast. Possède de nombreux systèmes de sécurité ce qui le rend complexe. Ne possède pas doutil centralisé pour la définition des règles de sécurité.

26 26 4. Problème du broadcast 1. Pour PPTP: 1. Pour PPTP: Linterface ppp ne laisse passer que les paquets de types point-à-point et multicast.Linterface ppp ne laisse passer que les paquets de types point-à-point et multicast. Le brodcast nest pas pris en charge.Le brodcast nest pas pris en charge. En effet, les deux réseaux reliés par VPN sont deux sous réseaux distincts, différenciés par leur adresse IP et leur masque de sous réseau. En effet, les deux réseaux reliés par VPN sont deux sous réseaux distincts, différenciés par leur adresse IP et leur masque de sous réseau. Les paquets de broadcast étant uniquement destinés aux machines dun même sous réseau, ils ne peuvent pas être transmis par le protocole PPTP. Les paquets de broadcast étant uniquement destinés aux machines dun même sous réseau, ils ne peuvent pas être transmis par le protocole PPTP.

27 27 4. Problème du broadcast 2. Pour OpenVPN : 2. Pour OpenVPN : Par définition, les broadcasts ne passent pas la passerelle qui sert entre autres, de routeur.Par définition, les broadcasts ne passent pas la passerelle qui sert entre autres, de routeur. La solution : définir un pont virtuel sur la passerelle et y inclure l'ensemble de nos interfaces, puis, définir un domaine de broadcast commun.La solution : définir un pont virtuel sur la passerelle et y inclure l'ensemble de nos interfaces, puis, définir un domaine de broadcast commun.

28 28 4. Problème du broadcast 3. Pour IPsec : 3. Pour IPsec : Fonctionne sur IPv4 et IPv6 or le broadcast nexiste pas en IPv6 donc IPsec rejette les broadcasts.Fonctionne sur IPv4 et IPv6 or le broadcast nexiste pas en IPv6 donc IPsec rejette les broadcasts. IPSEC = protocole de sécurité dIP de couche 2 OR Les broadcasts, multicats et unicasts fonctionnent sur la couche 3 =>Pb denvoi et de réception de ces messages.IPSEC = protocole de sécurité dIP de couche 2 OR Les broadcasts, multicats et unicasts fonctionnent sur la couche 3 =>Pb denvoi et de réception de ces messages. NB : IPSEC rejette les paquets de broadcasts et de multicasts sauf dans le cas ou il est associé à L2TP.NB : IPSEC rejette les paquets de broadcasts et de multicasts sauf dans le cas ou il est associé à L2TP.

29 29 5. Proposition d'une solution

30 30 5. Conclusion IPsec semble être le moyen le plus sûr et le plus performant détablir un VPN. IPsec semble être le moyen le plus sûr et le plus performant détablir un VPN. Seul le protocole PPP laisse passer des trames de multicasts. Seul le protocole PPP laisse passer des trames de multicasts. Doù lidée dutiliser PPP avec une interface IPsec afin de résoudre la problématique. Doù lidée dutiliser PPP avec une interface IPsec afin de résoudre la problématique.


Télécharger ppt "1 Réalisation d'un client serveur d'échange de paquets entre deux sous réseaux reliés par un VPN Projet technique MASTER TIIR Ben Haddou Mina Duquenne."

Présentations similaires


Annonces Google