La présentation est en train de télécharger. S'il vous plaît, attendez

La présentation est en train de télécharger. S'il vous plaît, attendez

1 Sommaire La problématique VPN : laccès distant ! La solution : Une architecture VPN IP Les deux modèles de VPN Les modèles de VPNs adaptés aux problématiques.

Présentations similaires


Présentation au sujet: "1 Sommaire La problématique VPN : laccès distant ! La solution : Une architecture VPN IP Les deux modèles de VPN Les modèles de VPNs adaptés aux problématiques."— Transcription de la présentation:

1

2 1 Sommaire La problématique VPN : laccès distant ! La solution : Une architecture VPN IP Les deux modèles de VPN Les modèles de VPNs adaptés aux problématiques spécifiques: Laccès distant Lintranet Lextranet Lencapsulation principe L2TP: Implémentation protocolaire : principe Exemple: création dun tunnel IPsec Mode tunnel, Mode Transport VPN:Les perspectives

3 2 Intranet de lentreprise Serveur de fichier comptable Serveur Web des Employés La problématique: Gestion de laccès à distance Lan interne ? ? ? ? ? Travailleur mobile (Données, GSM,GPRS, UMTS) + PC laptop ? SOHO: Small Office Home Office (télé travailleur ou (télé travailleur ou petite agence distante ) ? Serveur bases de données agence distante ou unité distante Partenaire A Extranet sécurisé Partenaire B Partenaire C ? Réseaux données GSM,GPRS,UMTS Réseau partenaire A Siège social

4 3 La solution : Une architecture VPN IP ItinérantNomades Point d Accès ISP (POP) Hôtedestination Connexion au Point de présence Intranet Partenaire Intranet Site Central Internet

5 4 Passerelle Passerelle Passerelle PasserelleàPasserelle ClientàPasserelle Les Modèles de VPN Internet Internet

6 5 Connexion réseau à distance ItinérantNomades Point d Accès ISP (POP) ISP (POP) Hôtedestination Connexion au au Point de présence présence Intranet Site Central Internet Authentification et Chiffrement Réseau ISP Serveur dauthentification AAA Serveur NAS OU B- Le client établit un tunnel crypté à travers lISP vers le réseau de lentreprise. Avantage : cryptage de bout en bout de la communication. OU A A- Lutilisateur communique avec le NAS de lISP qui lui établit une liaison cryptée avec le réseau de lentreprise B

7 6 Connexion Intranet entre sites Point d Accès ISP (POP) (POP) Hôtedestination Intranet Site Distant Intranet Site Central Internet Authentification et Chiffrement

8 7 Connexion Extranet entre sites Point d Accès ISP (POP) (POP) Hôtedestination Intranet Site Partenaire Intranet Site Central Internet ChiffrementAuthentification

9 8 TCP / IP PPTP, L2F, L2TFIPSEC Protocole de transport PRINCIPE DU TUNNELING OU D ENCAPSULATION Protocole Transporté Protocoled Encapsulation TCP / IP, IPX,... PPTP (Point to Point Tunneling Protocol : Microsoft, 3Com, USR, Ascend L2F (Layer 2 Forwarding: CISCO, Shiva (INTEL) L2TP: (Tunnel de niveau 2) standard IPSEC: (Mode Transport ou Tunnel de niveau 3) standard

10 9 Protocol orienté connection Basé sur PPP, Point-to-Point Protocol Synthèse de PPTP(Microsoft) et L2F(Cisco) Ses principes sont décrit dans un DRAFT de IETF: draft-ietf-pppext-l2tp-14.txt L2TP (Layer 2 Tunneling Protocol) Layer 2 Transport Protocol Encapsulation L2TP dans IP IPHeaderUDPHeader PPP donnée L2TPHeaderPPPHeader Tous ces champs sont les données du paquet IP IPHeader IP Datagramme

11 10 Intranet NAS IPCP Adresses Internet Publiques Adresses Intranet Privées Données IP IP IP PPP L2TP IP L2TP Envoyer des données au-dessus dun L2TP LNS

12 11 Authentification / Integrité Chiffré Nouvel Entête IP Entête ESP Données Entête IP Original Mode Tunnel Authentification** / Intègrité Nouvel Entête IP Entête AH Données Entête IP Original Entête IP Original Entête AH Données Authentification*** / Intègrité Mode Transport ESP AH IPSec: Authentification et Chiffrement * AH incompatible avec NAT ** Sauf pour les champs variables du nouvel en-tête *** Sauf pour les champs variables de len-tête AH + ESP Authentification*** / Intègrité Chiffré Entête ESP Données Entête IP Original Entête AH Authentification** / Intègrité Nouvel Entête IP Entête ESP Données Entête IP Original Entête AH Chiffré la protection depend du mode et du protocôle Mode Tunnel Sécurise le trafic IP entre deux réseaux Mode Transport Sécurise le trafic IP entre deux nœuds Trailer ESP Données dauthent. Entête IP Original Entête ESP Données Authentification / Intègrité Chiffré Trailer ESP Données dauthent. Trailer ESP Données dauthent. Trailer ESP Données dauthent.

13 12 Travailleur mobile (Données, GSM,GPRS, UMTS) + PC laptop Backbone MPLS ou IPSec Serveur de fichier comptable Serveur Web des Employés Lan interne IPSec/ L2TP IPSec/L2TP Accès distant sécurisé Internet SOHO: Small Office Home Office (télé travailleur ou (télé travailleur ou petite agence distante ) Serveur bases de données agence distante ou unité distante Partenaire A Extranet sécurisé Partenaire B Partenaire C IPSec ou MPLS Réseaux données GSM,GPRS,UMTS Réseau partenaire A Siège social IPSec/L2TP IPSec/L2TP ou PPTP IPSec/L2TP Intranet de lentreprise VPN 34 VPN 97 IPSec/L2TP ou PPTP VPN: Perspectives Réseau sans fil interne (laptop, palmtop…) VPN 55

14 13 Backup Slides

15 14 La problématique: Gestion de laccès à distance Travailleur mobile (Données, GSM, GPRS, UMTS) + PC laptop Backbone MPLS ou IPSec Serveur de fichier comptable Serveur Web des Employés Lan interne IPSec IPSec Accès distant sécurisé Internet public SOHO: Small Office Home Office (télé travailleur ou (télé travailleur ou petite agence distante ) Serveur bases de données agence distante ou unité distante Partenaire A Extranet sécurisé Partenaire B Partenaire C IPSec ou MPLS Réseaux données GSM,GPRS,UMTS Réseau partenaire A Siège social IPSec/L2TP IPSec/L2TP ou PPTP IPSec/L2TP Intranet de lentreprise VPN 34 VPN 97 IPSec/L2TP ou PPTP

16 15 Connexion réseau à distance ItinérantNomades Point d Accès ISP (POP) ISP (POP) Hôtedestination Connexion au au Point de présence présence Intranet Site Central Internet public Réseau ISP Serveur dauthentification AAA Serveur NAS OU B- Le client établit un tunnel crypté à travers lISP vers le réseau de lentreprise. Avantage : cryptage de bout en bout de la communication. OU A A- Lutilisateur communique avec le NAS de lISP qui lui établit une liaison cryptée avec le réseau de lentreprise B

17 16 Connexion Intranet entre sites Point d Accès ISP (POP) (POP) Hôtedestination Intranet Site Distant Intranet Site Central Internet public

18 17 Connexion Extranet entre sites Point d Accès ISP (POP) (POP) Hôtedestination Intranet Site Partenaire Intranet Site Central Internet public

19 18 La solution : Une architecture VPN IP

20 19 Différences entre les protocoles de sécurité réseaux 1 Support non encore fournit ; toutefois il y a des actions en cours (WIP, Work In Progress) au sein du groupe de travail IPSec de L'IETF. 2 Lorsqu'il est utilisé dans une connexion client VPN, il authentifie l'utilisateur, pas la machine. Lorsqu'il est utilisé dans une connexion routeurs à routeurs, la machine se voit asssigné un ID utilisateur ce qui lui permet d'être authentifié.

21 20 Intranet NAS/Home Gateway RAC/RAS/LAC PDN (e.g Internet) Voluntary Tunnel Mandatory Tunnel Voluntary Tunnel:This type of tunnel is created from the remote client up to the Home Gateway of the Intranet e.g PPTP, IPSec Mandatory Tunnel:This type of tunnel is created from the ISP up to the Home Gateway of the Intranet e.g L2F, L2TP Type of Tunneling Connections

22 21 Une liaision typique de bout en bout Internet public Intranet Site Centrale Intranet Partenaire ItinérantNomades Point d Accès ISP Hôtedestination Firewall / Routeur Connexion au Point de présence

23 22 Network Security Protocol Differences 1 Support is not yet provided; however, there is work in progress (WIP) by the IETF IPSec working group. 2 When used as a client VPN connection, it authenticates the user, not the computer. When used as a gateway-to-gateway connection, the computer is assigned a user ID and is authenticated. Mode Tunnel Sécurise le trafic IP entre deux réseaux Mode Transport Sécurise le trafic IP entre deux noeuds

24 23 La solution : Une architecture VPN IP INTRANET SITE CENTRAL ITINERANTS / NOMADES INTRANET PARTENAIRE INTRANET SITE DISTANT INTERNET Tunnel VPN

25 24 IP(Réseau) L2TP/PPPPPTP/PPP (Liaison de Donnée) La pile TCP / IP et les protocoles de sécurité VPN Applications TCP/UDP(Transport) S-MIMES-HTTPPGPSET IPSEC (ISAKMP) SSL SOCKS V5 IPSEC (AH,ESP) CHAP, MS-CHAP PAP, MPPE * AH incompatible avec NAT

26 25 2. Démarrage de la demande de contrôle de connection: Appel + Challenge CHAP (option) 3. Démarrage de la réponse au démarrage de contrôle de connection: Connection accepté + Réponse CHAP (option) + Demande dauthentification CHAP (option) 4. Démarrage du contrôle de connection connecté : Connection accepté + Réponse CHAP (option) LAC LNS Public Network Serveur dauthentification Tunnel L2TP 1. Authentification PPP Server dauthentification L2TP Création du Tunnel LAC = L2TP access concentrator LNS = L2TP network server

27 26 5.Demande dappel entrant 6. Réponse à lappel entrant: appel accepté 7. Appel entrant connecté LNS Réseau public Tunnel L2TP 8. Authentification (Radius par exemple) LAC Serveur dauthentification Serveur dauthentification L2TP PPP Connection vers un LNS LAC = L2TP access concentrator LNS = L2TP network server

28 27 Architecture Actuelle sur Frame Relay

29 28 IPSec Mode Tunnel Association de Sécurité Internet Securité Gateway Ordinateur Non encrypté Encrypté ESP Authentication New IP Header (any options) TC P DATA ESP Trailer Authentifié Orig IP Header (any options) AH Orig IP Header (any options) TC P DATA Authentifié New IP Header (any options) * AH incompatible avec NAT L2TP avec IPSec Mode Tunnel (sécurisation) IPHeaderUDPHeader PPP donnée L2TPHeaderPPPHeader Tous ces champs sont les données du paquet IP IPHeader IP Datagramme IPSecHeaderIPHeader

30 29 IPSec Mode Transport Association de Securité Internet Gateway Ordinateur Non encrypté Encrypté ESP Authentication Orig IP Header (any options) TC P DATA ESP Trailer Authentifié AH Orig IP Header (any options) TC P DATA Authentifié * AH incompatible avec NAT L2TP avec IPSec Mode Transport (sécurisation) UDPHeader PPP donnée L2TPHeaderPPPHeader Tous ces champs sont les données du paquet IP IPHeader IP Datagramme IPSecHeaderIPHeader

31 30 Intranet NAS/Home Gateway RAC/RAS/LAC PDN (e.g Internet) Voluntary Tunnel Mandatory Tunnel Voluntary Tunnel:This type of tunnel is created from the remote client up to the Home Gateway of the Intranet e.g PPTP, IPSec Mandatory Tunnel:This type of tunnel is created from the ISP up to the Home Gateway of the Intranet e.g L2F, L2TP Type of Tunneling Connections

32 31 Choix d implémentation IPSec Modes et Fonctions Mode Tunnel Sécurise le trafic IP entre deux réseaux Mode Transport Sécurise le trafic IP entre deux noeuds Machine authentificationInternet Key Exchange (IKE) ou clés pré- partagées Authentification et intégrité des Paquets Authentication Header (AH) En cryptage, Authentification et Intégrité Optionnelles Encapsulated Security Protocol (ESP) Règles Négociées * AH incompatible avec NAT

33 32 Bibliographie (pour aller plus loin) A Comprehensive Guide to Virtual Private Networks, Volume 1 IP VPN - (société CISCO) What is VPN? PPP/L2TP/Ipsec, VPNs réseaux GPRS/UMTS 2.5G- 3G - (société Nortel Networks) Radius (Société Funk) 6 solutions de réseau privé virtuel à l étude -

34 33 IPSec (IP Security)

35 34 IPSec Détails Protocôles de sécurité définissent: Intégrité des données Authentification de lorigine des données Protection contre les replays (sequencing) Confidentialité (encryptage) Protocoles de sécurité du trafic: AH (Authentication Header) ESP (Encapsulating Security Payload) Protocoles et procèdures de gestion de clés cryptographiques: Manuelle IKE - Internet Key Exchange (basée sur ISAKMP/Oakley) * AH incompatible avec NAT

36 35 Comment ces services sont-ils fournis? AH (Authentication Header) Fourni lintégrité des données, lauthentification de lorigine des données, et un service optionel danti- replay (sequencing) ESP (Encapsulating Security Payload) Fourni la confidentialité (encryptage). Il peut aussi fournir lintégrité des donnés, lauthentification de lorigine des données, et un service danti-replay (sequencing) * AH incompatible avec NAT

37 36 IPSec et les associations de type de sécurité Une relation entre deux ou plus des éléments qui décrit comment les éléments utiliseront les services de sécurité pour communiquer en mode sécurisé Uniquement identifier par un: SPI (Security Parameter Index) IP adresse de destination Security Protocol Identifier (AH or ESP) Securité Association Internet Securité Gateway Ordinateur

38 37 Principe SAD SPD Administrateur Applications (ftp, http,…) TCP/UDP IP / IPsec (AH, ESP) NAP IKE DOI ISAKMP Oakley SKEME * AH incompatible avec NAT

39 38 IPSec - 1 Key Management Internet Key Exchange (IKE = ISAKMP/Oakley) Allows users to agree on authentication methods, encryption methods, keys to use, and key duration. The Internet Security Association and Key Management Protocol (ISAKMP) serves as a framework for authentication and key exchange using the Oakley key exchange protocol Cryptographic Security Mechanisms for IP Authentication Header (AH) Provides integrity and authentication without confidentiality to IP datagrams. Available even in locations where the export, import or use of encryption to provide confidentiality is regulated Encapsulation Security Payload (ESP) Provides integrity, authentication, and confidentiality to IP datagrams. * AH incompatible avec NAT

40 39 Two IPSec Modes : Transport and Tunnel Mode New IP Header IPSec Header Data IP Header Data Tunnel Mode Original IP Header IPSec Header Transport Mode Original IP Header Data Optional Encryption Outer IP Header Inner IP Header

41 40 GPRS Tunneling : GTP and VPN tunnels

42 41 Connectivity oriented protocol Uses a mandatory tunnel Principles described in: GSM GTP GPRS Tunneling Protocol GGSN SGSN PDP Context Activation GTP Tunnel (PDP Context)

43 42 GTP and VPN SGSN PDP Context Activation Intranet Internet GTP Intranet VPN : IPSec/L2TP Gn interfac e Gi interfac e

44 43 Intranet NAS/Home Gateway RAC/RAS/LAC PDN (e.g Internet) Voluntary Tunnel Mandatory Tunnel Voluntary Tunnel:This type of tunnel is created from the remote client up to the Home Gateway of the Intranet e.g PPTP, IPSec Mandatory Tunnel:This type of tunnel is created from the ISP up to the Home Gateway of the Intranet e.g L2F, L2TP Type of Tunneling Connections

45 44 Network Address Translation (NAT) Concepts NAT is defined in RFC It provides the translation of an IP address used within one network to an IP address known within another network It is mainly used to reduce the number of public IP addresses needed by a Corporation Private addresses are used within the corporate network, public addresses are used only for communication to the Internet NAT is implemented on routers, firewalls or proxy servers via a NAT table in which IP adresses from different domains are mapped together The mapping can be: Static One to One Dynamic One to One Dynamic Many to One PAT (Port Address Translation) PAT maps IP addresses to a single IP address but different TCP port numbers One Public IP address can be used for up to 64 k private addresses (theorically), 1k-10k is a safe value PAT Internet : : 5002

46 45 Network Address Translation Limitations IPSec and NAT interoperability IPSec tunnels with AH fail when going through NAT because NAT changes the IP header the IPsec checksum is no more valid IPSec tunnels with ESP encryption work with NAT (integrity only calculated on the payload) IPSec and PAT interoperability All type of IPSec tunnel would fail through PAT because the ISAKMP protocol used by IPSec to exchange keys uses specifiv TCP port numbers L2TP and NAT/PAT interoperability L2TP works with static NAT only (the LNS has to know the translated LAC IP address) NAT interoperability with common IP protocols All major IP protocols can work with NAT, thanks to NAT Application Gateways PAT interoperability with common IP protocols SMTP, DNS and RealMedia do not work with PAT

47 46 Network Address Translation Limitations - Summary

48 47 Basic Internet Service : Transparent mode GGSN SGSN DHCP (Preside) Router Firewall SGSN DNS (Preside) Router SGSN GPRS PLMN ISPnetwork Internet AddressPools LS GGSN WAP Server PAT Private Address Space One Class A Public Address Space Max. four Class C Mobile data + PC

49 48 Remote Intranet Access Service using an IPSec Client GGSN SGSN DHCP (Preside) SGSN DNS (Preside) Router SGSN GPRS PLMN Internet AddressPools IPSec Tunnel Terminator DNS DHCP RADIUS Mobiles data + PC (Ipsec Client) IPsec Tunnel This is a Transparent mode from the GPRS network point of view PAT can not be implemented, It is not compatible with an IPSec tunnel

50 49 AAA on the Intranet : Virtual Dial Non Transparent mode GGSN SGSN DNS (Preside) Router SGSN GPRS PLMN Internet AddressPools L2TP Network Server DNS DHCP RADIUS Mobiles data + PC L2TP/IPsec Tunnel The GGSN forwards all Authentication, Authorization and Accounting relative queries to the L2TP Network Server. Allocated IP addresses are from the Intranet address space PAT is not required

51 50 Dedicated Access : Non Transparent Untunneled mode GGSN SGSN DHCP (Preside) SGSN DNS (Preside ) Router SGSN GPRS PLMN Mobiles data + PC Radius (Preside) Secured Connection Router DNS Services Intranet GGSN ISP Services Radius Secured connection Internet Note: IP address allocation via RADIUS is actually part of the authentication procedure PAT can be implemented at the ISP - Internet border

52 51 The E-Plus Case Transparent mode or Non Transparent Untunneled mode connection to the E-Plus ISP infrastructure Authentication done at the ISP network side (RADIUS or other), no GI tunneling PAT set up at the ISP network side, into the border routers connected to the Internet For one million « always on » users, a maximum of four public Class C are required (depending on the PAT capacity of the border router) GGSN Router Firewall ISPnetwork Internet AddressPools Leased Line Router Firewall NAT/PAT Private Addressing Space Public Addressing Space

53 52 Access Services... Local SQL NT LDAP TACACS+ Enterprise or Service Provider Remote Users RAS Server VPN Router Firewall Preside Radius

54 53 Managed Services Preside Radius Link to ISP (T1) Preside Radius NetWare Bindery Local NetWare NDS NT Domain NT Host ACE/ Server CPE router, firewall, and/or VPN Private Network / Internet Enterprise LAN - Enterprise or Service Provider RAS Firewall Service Provider Remote Users RAS A RAS B RAS C

55 54 And … Wholesale Data Services Preside Radius Outsourced Modem Pools (UUNET) Remote Users RAS A RAS B RAS C ISP B PROXY Native SQL LDAP TACACS+ NT Domain Virtual ISPs ISP A ISP C Private Network/ Internet

56 55 IPSEC - Authentification et Chiffrement Nouvelle Ent IP ESP Ent IP Originale Ent TCP Données Ent IP AH Ent TCP Données Ent IP AH Ent TCP Données Authentification Ent IP ESP Ent TCP Données Ent IP ESP Ent TCP Données Chiffrement Authentification AH ESP Nouvelle Ent IP AH Ent IP Originale Ent TCP Données Authentification Chiffrement Authentification Mode Transport Mode Tunnel Ent IP AH ESP Ent TCP Données Ent IP AH ESP Ent TCP Données Chiffrement Authentification AH+ESP Nouvelle Ent IP AH ESP Ent IP Originale Ent TCP Données Chiffrement Authentification * AH incompatible avec NAT


Télécharger ppt "1 Sommaire La problématique VPN : laccès distant ! La solution : Une architecture VPN IP Les deux modèles de VPN Les modèles de VPNs adaptés aux problématiques."

Présentations similaires


Annonces Google