La présentation est en train de télécharger. S'il vous plaît, attendez

La présentation est en train de télécharger. S'il vous plaît, attendez

Sujet IP security Stéphane BERGEROTProbatoire 20061.

Publié parFleurette Charton Modifié depuis plus de 9 années

Présentations similaires

Présentation au sujet: "Sujet IP security Stéphane BERGEROTProbatoire 20061."— Transcription de la présentation:

1 Sujet IP security Stéphane BERGEROTProbatoire 20061

2 Introduction  Introduction  Le standard  Les architectures  Le bilan  Conclusion Stéphane BERGEROTProbatoire 20062

3 Introduction Stéphane BERGEROTProbatoire 20063 IPv4  Protocole de niveau 3 (réseau) du modèle OSI  Base des réseaux informatiques en 1990  Aucun service de sécurité Contexte  Utilisations commerciales des réseaux  Développement d’Internet (accès au grand public)  Augmentation des ressources interconnectées IP security  Standard de sécurisation d’IP  1 ère version écrit par l’IETF en 1995  Facultatif pour IPv4 mais obligatoire pour IPv6

4 Introduction Stéphane BERGEROTProbatoire 20064  Introduction  Le standard  Les architectures  Le bilan  Conclusion

5 Le standard Stéphane BERGEROTProbatoire 20065 Les services de sécurité Intégrité/Authentification (empreinte unique des données par des fonctions de hachage) IP flooding (inondation d’un ordinateur de paquets IP) Non rejeu (numéro de séquence incrémenté à chaque émission) Rejeu (capture et réémission de paquets IP) IP spoofing (usurpation de l’identité d’un équipement) Confidentialité (chifrement des données) IP sniffing (écoute du réseau) ServicesAttaques IP

6 Le standard Stéphane BERGEROTProbatoire 20066 L’impact de la législation authentification/intégrité, non-rejeu confidentialité, authentification/intégrité, non-rejeu Services IP spoofingIP spoofing IP sniffing Protection Authentication HeaderEncapsulating Security Payload Protocole LégislationSoupleStricte (limitation ou autorisation) AuthentificationConfidentialité

7 Le mode « Transport »  Schéma  Principe  Entre 2 équipements terminaux (bout en bout)  Protection de la charge utile et certains champs du paquet Le standard Stéphane BERGEROTProbatoire 20067 Station A Station B Passerelle 1Passerelle 2

8 Le mode « Tunnel »  Schéma  Principe  Entre 2 passerelles de sécurité (tunnel)  Protection de l’ensemble du paquet initial et certains champs du nouveau paquet Le standard Stéphane BERGEROTProbatoire 20068 Station A Station B Passerelle 1Passerelle 2

9 Les associations de sécurité  Les caractéristiques  Unidirectionnelle  Identifiée par un ID (SPI), @ destinataire, AH ou ESP  Contient Algorithmes, durée de vie, mode de protection  Les bases de données  Security Policy Database (politique de sécutité)  Security Association Database ( contenu des SA) Le standard Stéphane BERGEROTProbatoire 20069 IPsecany 122 IPsecany 211 ActionProtDst PortSrc PortDstSrcRule 2tunnelHMAC-SHA1AHany 122 1tunnelHMAC-SHA13DESESPany 211 RuleModeAuth AlgEnc Alg IPsec Prot ProtDst PortSrc PortDstSrcSPI

10 Le standard Stéphane BERGEROTProbatoire 200610 Les caractéristiques d’AH  RFC 2402  Algorithmes d’authentification  HMAC-MD5  HMAC-SHA1  Format de l’en-tête RéservéLg de l’en-têteEn-tête suivante Authentificateur (nombre variable de mots de 32 bits) Numéro de séquence Indice des paramètres de sécurité (SPI) 0 81632

11 Les modes de protections d’AH  Transport  Tunnel Le standard Stéphane BERGEROTProbatoire 200611 Données Protocole de niveau supérieur AHEn-tête IP d’origine Authentifié sauf les champs TTL, TOS, Flags, Fragment, ID et Header Cheksum Nouvel en-tête IPAHDonnées Paquet IP d’origine Authentifié sauf les champs TTL, TOS, Flags, Fragment, ID et Header Cheksum

12 Le standard Stéphane BERGEROTProbatoire 200612 Les caractéristiques d’ESP  RFC 2406  Algorithmes d’authentification  HMAC-MD5, HMAC-SHA1  Algorithmes de confidentialité  DES, 3DES, AES  Format de l’en-tête et de la queue En-tête suivanteLg de l’en-tête Charge utile Bourrage Authentificateur (nombre variable de mots de 32 bits) Numéro de séquence Indice des paramètres de sécurité (SPI) 08 16 32 24

13 Le standard Stéphane BERGEROTProbatoire 200613 Les modes de protection d’ESP  Transport  Tunnel Queue ESP Données Protocole de niveau supérieur Authentificateur ESP En-tête ESP En-tête IP d’origine Authentifié En-tête ESP Nouvel En-tête IP Queue ESP Données Paquet IP d’origine Authentificateur ESP Chiffré Authentifié Chiffré

14 Le standard Stéphane BERGEROTProbatoire 200614 La gestion des associations et des clés  Gestion manuelle  Internet key Exchange version 1  Composants  Gestion des clés par « SKEME et Oakley »  Gestion des SA par ISAKMP  Mais pas de gestion des politiques de sécurité et problème de gestion des clés initiales Les infrastructures à clés publiques  Public Key Infrastructure  Basé sur les certificats X509v3  Principe la clé est transportée par le certificat  Host Identifier Protocol  Basé sur un identifiant de l’équipement (Host Identifier)  Principe la clé est un condensat du HI

15 Les architectures Stéphane BERGEROTProbatoire 200615  Introduction  Le standard  Les architectures  Le bilan  Conclusion

16 Interconnexion de réseaux privés  Schéma  Caractéristiques  Connexion de 2 réseaux distants de la même entreprise  Transparence pour les stations Les architectures Stéphane BERGEROTProbatoire 200616 Passerelle 1Passerelle 2 Lan ALan B Réseau public 10.1/16 10.2/16 192.168.1/24 Tunnel

17 Extranet  Schéma  Caractéristiques  Connexion d’1 équipement distant au réseau d’entreprise  Equipement à simultanément les rôles  de passerelle de sécurité  d’équipement terminal Les architectures Stéphane BERGEROTProbatoire 200617 Passerelle Station Lan d’entreprise Internet 10.1/16 Tunnel 10.1.5.1/16 84.1.1.1165.165.1.1

18 Protection d’un serveur sensible  Schéma  Caractéristiques  Connexion d’1 station à un serveur sensible dans le Lan  En général, on utilise ESP  Confidentialité des communications  Non lisibilité des applications utilisées Les architectures Stéphane BERGEROTProbatoire 200618 Station Lan d’entreprise 10.1/16 Serveur sensible IPsec

19 Le bilan Stéphane BERGEROTProbatoire 200619  Introduction  Le standard  Les architectures  Le bilan  Conclusion

20 Les implémentations Le bilan Stéphane BERGEROTProbatoire 200620 Shared key, Digital RSA, certificats Authentification HMAC-MD5, HMAC-SHA1 HMAC-MD5, HMAC-SHA1, HMAC-SHA2 HMAC-MD5, HMAC-SHA1 Alg. Auth. DES, 3DESDES, 3DES, AES, Blowfish, CAST, Rijndael DES, 3DES, AES DES, 3DESAlg. Enc. CLI-SSHSetkey NetShConfiguration 768, 1024, 1536 1024,15362048Diffie-Hellman OUIOui NAT-Traversal Kame BSD ImplémentationIOS 12.2FreesWan USAGI (IPv6) Win2003 Cisco IOSLinux 2.6Windows

21 Le bilan Stéphane BERGEROTProbatoire 200621 Les problèmes  Multicast  IKEv1 ne gère les associations qu’entre 2 équipements  Network Address Translation  Erreur avec AH (@ source) et ESP (CRC)  Fragmentation IP  Augmente les baisses de performances (latence)  Autorités de certifications  Pas d’autorité centrale  Firewall  Le chiffrement d’ESP empêche l’analyse  Nomadisme  Configuration ou installation nécessaire sur le client  Les performances  Avec TCP, division par 3 pour AH et par 6 pour ESP

22 Le bilan Stéphane BERGEROTProbatoire 200622 Les évolutions  Les bases SPD et SAD  Division de SPD en 3 : SPD-S, SPD-O et SPD-I  Liaison entre SPD et IKE : Peer Authorization Database  AH et ESP  Gestion des adresses « multicast »  Intégration du « NAT–Traversal »  Augmentation de la liste d’algorithmes (combinés)  Possibilité d’utiliser un numéro de séquences de 64 bits  Bourrage aléatoire contre les attaques statistiques  Catégorisation des flux ESP : Auth., Enc. et Auth./Enc.  IKEv2  Spécifique à IPsec d’où la suppression du DOI  Négociation IKE simplifiée (6 messages à 4)

23 Conclusion Stéphane BERGEROTProbatoire 200623  Introduction  Le standard  Les architectures  Le bilan  Conclusion

24 Conclusion Stéphane BERGEROTProbatoire 200624 Mais encore non mature  Des paramètres non considérés (NAT, Firewall, multicast)  Pas de gestion automatisée des politiques de sécurité Une norme qui correspond à des besoins  Protection contre la cybercriminalité  Architecture VPN et Nomade Donc IPsec protocole d’avenir  Extension des réseaux sécurisés (VPN, ressources)  Développement des offres des constructeurs Néanmoins des évolutions positives  NAT-Traversal et encapsulation UDP  Optimisation des protocoles (IKEv2, AH/ESP, SPD/SAD)

Télécharger ppt "Sujet IP security Stéphane BERGEROTProbatoire 20061."

Présentations similaires

Sécurité informatique

Sécurité informatique
Protection notice / Copyright notice Copyright © Siemens Enterprise Communications GmbH & Co KG 2007. Tous droits réservés. HiPath 3000/5000 V7.0 HiPath.

Protection notice / Copyright notice Copyright © Siemens Enterprise Communications GmbH & Co KG Tous droits réservés. HiPath 3000/5000 V7.0 HiPath.
L’Essentiel sur… La sécurité de la VoIP

L’Essentiel sur… La sécurité de la VoIP
Wilfried DUQUENNE, Sylvain CLERCQ & Mina BEN HADDOU

Wilfried DUQUENNE, Sylvain CLERCQ & Mina BEN HADDOU
Dr. M. Jarraya, Institut Supérieur d'Informatique

Dr. M. Jarraya, Institut Supérieur d'Informatique
Client Mac dans un réseau Wifi d’entreprise sécurisé

Client Mac dans un réseau Wifi d’entreprise sécurisé
Protocole PPP* *Point-to-Point Protocol.

Protocole PPP* *Point-to-Point Protocol.
– Karima YAHIAOUI & Benjamin HOELLINGER - Les protocoles de sécurité

– Karima YAHIAOUI & Benjamin HOELLINGER - Les protocoles de sécurité
DUDIN Aymeric MARINO Andrès

DUDIN Aymeric MARINO Andrès
W O R L D W I D E L E A D E R I N S E C U R I N G T H E I N T E R N E T VPN et Solutions pour lentreprise David Lassalle Khaled Bouadi.

W O R L D W I D E L E A D E R I N S E C U R I N G T H E I N T E R N E T VPN et Solutions pour lentreprise David Lassalle Khaled Bouadi.
La sécurité dans les réseaux WiFi techniques, déploiement et limites ?

La sécurité dans les réseaux WiFi techniques, déploiement et limites ?
Guillaume CACHO Pierre-Louis BROUCHUD

Guillaume CACHO Pierre-Louis BROUCHUD
Remote Authentication Dial In User Service

Remote Authentication Dial In User Service
Vue d'ensemble Présentation multimédia : Rôle du routage dans l'infrastructure réseau Activation et configuration du service Routage et accès distant Configuration.

Vue d'ensemble Présentation multimédia : Rôle du routage dans l'infrastructure réseau Activation et configuration du service Routage et accès distant Configuration.
Vue d'ensemble Implémentation de la sécurité IPSec

Vue d'ensemble Implémentation de la sécurité IPSec
D1 - 26/07/01 Present document contains informations proprietary to France Telecom. Accepting this document means for its recipient he or she recognizes.

D1 - 26/07/01 Present document contains informations proprietary to France Telecom. Accepting this document means for its recipient he or she recognizes.
Réseaux Privés Virtuels

Réseaux Privés Virtuels
Plateforme de gestion de données de capteurs

Plateforme de gestion de données de capteurs
Module 10 : Prise en charge des utilisateurs distants

Module 10 : Prise en charge des utilisateurs distants
Accès distant par connexion

Accès distant par connexion

Présentations similaires

Annonces Google