W O R L D W I D E L E A D E R I N S E C U R I N G T H E I N T E R N E T VPN et Solutions pour lentreprise David Lassalle Khaled Bouadi.

Slides:



Advertisements
Présentations similaires
Semaine 5 Couche Liaison de données Cours préparé par Marc Aubé
Advertisements

Sécurité informatique
Wilfried DUQUENNE, Sylvain CLERCQ & Mina BEN HADDOU
CONCEPTION D’UNE INFRASTRUCTURE DE SERVICE RESEAU WINDOWS 2003
Sécurisez votre information Quelle sécurité pour votre cabinet comptable?
Introduction aux réseaux informatiques
Protocole PPP* *Point-to-Point Protocol.
- Couche 7 - Couche application. Sommaire 1)Introduction 1)DNS 1)FTP et TFTP 1)HTTP 1)SNMP 1)SMTP 1)Telnet.
DUDIN Aymeric MARINO Andrès
La sécurité dans les réseaux WiFi techniques, déploiement et limites ?
Guillaume CACHO Pierre-Louis BROUCHUD
ISP/ASP ISP ASP Conclusion DESS Réseaux 2000/2001
Vue d'ensemble Implémentation de la sécurité IPSec
Module 9 : Configuration de l'accès réseau
Architecture de réseaux
Réseaux Privés Virtuels
LES RESEAUX.
Plan de formation Chapitre 1 : Présentation de SAP
Système de stockage réseaux NAS - SAN
Le Client Léger Adrien MACHADO Fabien LOCUSSOL IR ème année
Plateforme de gestion de données de capteurs
Etude des Technologies du Web services
SECURITE DU SYSTEME D’INFORMATION (SSI)
Module 10 : Prise en charge des utilisateurs distants
Architecture Réseau Modèle OSI et TCP.
Accès distant par connexion
Analyse des protocoles de la couche application
Le filtrage IP Ahmed Serhrouchni ENST’Paris CNRS.
Virtual Local Area Network
Introduction RADIUS (Remote Authentication Dial-In User Service)
Les relations clients - serveurs
Protocole 802.1x serveur radius
Virtual Private Network
@SSR – Installation des applications eduscol.education.fr/securite - février 2007 © Ministère de l'Éducation nationale, de l'Enseignement supérieur et.
Linux – les VPN.
SSO : Single Sign On.
802.1x Audric PODMILSAK 13 janvier 2009.
Le Modele OSI.
Aymeric BERNARD Stéphane BRINSTER Guillaume LECOMTE.
Tout savoir sur la synchronisation des mails, contacts et calendrier sur Windows Phone Lire cette présentation en mode plein écran.
VPN - SSL Alexandre Duboys Des Termes IUP MIC 3 Jean Fesquet
Adressage internet utilisé par le protocole IP (Internet Protocol)
Le workflow Encadré par: M . BAIDADA Réalisé par: ATRASSI Najoua
IPSec : IP Security Protocole fournissant un mécanisme de
La sécurité dans les réseaux mobiles Ad hoc
SECURITE DES RESEAUX WIFI
Cours 5 Le modèle de référence.
Sommaire Dans ce chapitre, nous aborderons :
Virtual Private Network (VPN)
IPv6 : L’Internet de demain
Sécurité des systèmes et des réseaux télécoms
VPN sous Linux Essaka Cynthia Serbin Laurent. Sommaire  Introduction  Vpnd  LRP  Freeswan.
Institut Supérieur d’Informatique
Les Réseaux Privés Virtuels (RPV ou VPN)
IPV6 MOBILE.
Yonel Grusson.
Business Everywhere – le forfait illimité VPN
IPSec Formation.
Yonel Grusson.
1 Séminaire Novembre 2001 – PLB – J.M. Vanel 3 - Internet & extranet n Internet - rappel n puis Intranet n Extranet : m définition m contraintes m sécurité.
UE3-1 RESEAU Introduction
Virtual Private Network
Vitual Private Network
V- Identification des ordinateurs sur le réseau
Présentation du Produit WAN-FAI L.KHIMA S.ZEKRI V.BACHMAN
Architecture Client/Serveur
SIRVIN Alexis RIVIERE Mathieu VERRIERE Arthur
Sécurité des Web Services
Chapitre 8 Protection du trafic réseau à l'aide de la sécurité IPSec et de certificats Module S43.
Chapitre10 Prise en charge des utilisateurs distants Module S41.
Transcription de la présentation:

W O R L D W I D E L E A D E R I N S E C U R I N G T H E I N T E R N E T VPN et Solutions pour lentreprise David Lassalle Khaled Bouadi

©2001 Check Point Software Technologies Ltd. - Proprietary & Confidential -2- Définition Quest ce quun VPN? Quest ce quun VPN? Network : Un VPN permet dinterconnecter des sites distants => Réseau Private : Un VPN est réservé à un groupe dusagers déterminés par authentification. Les données sont échangés de manière masquée au yeux des autres par cryptage => Privé Virtual : Un VPN repose essentiellement sur des lignes partagés et non dédiées. Il nest pas réellement déterminé.Il est construit par dessus un réseau public essentiellement. Il sagit dun réseau privé construit par dessus un réseau public (Internet).

©2001 Check Point Software Technologies Ltd. - Proprietary & Confidential -3- Types de VPNs Accès distant dun hôte au LAN distant via internet (Host to LAN) Connexion entre plusieurs LANs distant via internet (LAN to LAN) Connexion entre deux ordinateurs via internet (Host to Host)

©2001 Check Point Software Technologies Ltd. - Proprietary & Confidential -4- Solutions traditionnelles et VPN La solution VPN est une alternative aux solutions traditionnelles. Solutions traditionnellesSolution VPN

©2001 Check Point Software Technologies Ltd. - Proprietary & Confidential -5- Avantages et Inconvenients Solutions traditionnellesSolution VPN Avantages - de + en + de qualité de service QOS - une GFA par contrat (sécurité par contrat) - des débits en général assez élevés voir très élevés - des délais dacheminements garantis Inconvénients - coût beaucoup plus élevée que la solution VPN - offre pas (ou peu) de protection du contenu Avantages - une couverture géographique mondiale. - le coût de fonctionnement le plus bas du marché(tarifs calculés sur la plus courte distance au point daccès opérateur). - offre des garanties de sécurité (utilisation de tunnels). - solution pour la gestion des postes nomades (grds nbs de points d accès). Inconvénients - la qualité de service (et les délais dacheminement) nest pas garantie - les performances ne sont pas toujours au rendez vous.

©2001 Check Point Software Technologies Ltd. - Proprietary & Confidential -6- Enjeux des VPNs confidentialité de linformation intégrité de linformation authentification des postes protection du client VPN gestion de la qualité de service et des délais gestion des pannes Corporate Site Internet Partner #1 Partner #2

©2001 Check Point Software Technologies Ltd. - Proprietary & Confidential -7- Authentification,confidentialité et intégrité Ces notions sont gérées dans la gestion des tunnels. Ces tunnels permettent dassurer ces notions par application (solution de niveau 7 : HTTPS) ou pour tous les types de flux (solutions de niveau 2/3 : PPTP,L2TP,IPSec). - niveau 2 type PPTP, L2T - niveau 3 type IPSec - niveau 7 type HTTPS

©2001 Check Point Software Technologies Ltd. - Proprietary & Confidential -8- Tolérance aux pannes VPN doit pouvoir se prémunir de pannes éventuelles de manière à fournir un temps de disponibilité maximum. - éviter les attaques virales par la mise en place de firewalls (sur LANs et clients VPNs) - possibilités dutiliser des ISP multiples.

©2001 Check Point Software Technologies Ltd. - Proprietary & Confidential -9- Protection du client VPN Internet Attacker Cable or xDSL Des clients VPN peuvent être hijacked et des pirates peuvent accéder en toute impunité au réseau privé. Solution => - installer sur les clients VPN des firewalls personnels gérés de manière centralisée. - lorganisation doit chercher à fournir une solution de gestion centralisée de la sécurité de tous les clients VPNs

©2001 Check Point Software Technologies Ltd. - Proprietary & Confidential -10- Implémentation des tunnels : processus en trois phase : -Encapsulation : la charge utile est mise dans un entête supplémentaire -Transmission : acheminement des paquets par un réseau intermedaire. -Désencapsulation : récupération de la charge utile.

©2001 Check Point Software Technologies Ltd. - Proprietary & Confidential -11- PPTP : Point to Point Tunneling Protocol PPTP : Point to Point Tunneling Protocol L2TP: Layer two Tunneling Protocol L2TP: Layer two Tunneling Protocol Ipsec: Ip secure Ipsec: Ip secure Les protocoles de tunneling

©2001 Check Point Software Technologies Ltd. - Proprietary & Confidential -12- PPTP description générale Protocole de niveau 2 Protocole de niveau 2 Encapsule des trames PPP dans des datagrammes IP afin de les transférer sur un réseau IP Encapsule des trames PPP dans des datagrammes IP afin de les transférer sur un réseau IP Transfert sécurisée : cryptage des données PPP encapsulées mais aussi compression Transfert sécurisée : cryptage des données PPP encapsulées mais aussi compression

©2001 Check Point Software Technologies Ltd. - Proprietary & Confidential -13- Scénario dune connexion GRE:(Internet Generic Routing Encapsulation) L'entête GRE est utilisée pour encapsuler le paquet PPP dans le datagramme IP.

©2001 Check Point Software Technologies Ltd. - Proprietary & Confidential -14- Client PPTP Ordinateur supportant PPTP Linux ou microsoft Client distant : accès dun ISP supportant les connexion PPP entrantes modem + dispositif VPN Client distant : accès dun ISP supportant les connexion PPP entrantes modem + dispositif VPN Client local (LAN) : En utilisant une connexion TCP/IP physique qui lui permet de se connecter directement au serveur PPTP. Dispositif VPN Client local (LAN) : En utilisant une connexion TCP/IP physique qui lui permet de se connecter directement au serveur PPTP. Dispositif VPN

©2001 Check Point Software Technologies Ltd. - Proprietary & Confidential -15- PAP Password Authentication Protoco l Mécanisme dauthentification non crypté Mécanisme dauthentification non crypté NAS demande le nom et mot de passe NAS demande le nom et mot de passe PAP les envoi en clair ( non codé). PAP les envoi en clair ( non codé). Pas de protection contre les usurpations didentité si le mot de passe est compromis Pas de protection contre les usurpations didentité si le mot de passe est compromis

©2001 Check Point Software Technologies Ltd. - Proprietary & Confidential -16- CHAP (Challenge Handshake Authentication Protoco l) : Mécanisme dauthentification crypté Mécanisme dauthentification crypté Algorithme de hachage MD5 à sens unique Algorithme de hachage MD5 à sens unique Pas de mote de passe circulant en clair Pas de mote de passe circulant en clair

©2001 Check Point Software Technologies Ltd. - Proprietary & Confidential -17- MS-CHAP (Microsoft Challenge Handshake Authentication Protoco l): Mécanisme dauthentification crypté Mécanisme dauthentification crypté Algorithme de hachage MD4 Algorithme de hachage MD4 Similaire a CHAP (code de hachage en possession du serveur) Similaire a CHAP (code de hachage en possession du serveur) Encryptage MPPE nécessite lauthentification MS-CHAP Encryptage MPPE nécessite lauthentification MS-CHAP

©2001 Check Point Software Technologies Ltd. - Proprietary & Confidential -18- Layer Two tunneling protocol Né de L2F et PPTP Né de L2F et PPTP Encapsule PPP dans IP,X25, ATM Encapsule PPP dans IP,X25, ATM Utilisation possible sur Internet ou des WAN Utilisation possible sur Internet ou des WAN

©2001 Check Point Software Technologies Ltd. - Proprietary & Confidential -19- IPsec IPSecure IPsec protocole de niveau 3 IPsec protocole de niveau 3 Création de VPN sûr basé forcément sur IP Création de VPN sûr basé forcément sur IP Permet de sécurisé les applications mais également toute la couche IP Permet de sécurisé les applications mais également toute la couche IP

©2001 Check Point Software Technologies Ltd. - Proprietary & Confidential -20- Authentification :Absence dusurpation didentité; la personne avec qui on est censé dialoguer est bien la personne avec qui on dialogue Confidentialité : Personne nécoute la communication. Intégrité: Les données reçues nont pas été modifiées pendant la transmission. Les rôles d IPsec

©2001 Check Point Software Technologies Ltd. - Proprietary & Confidential -21- Security Association Encapsulation et la désencapsulation des Paquets IPsec est dépendante du sens de transmission des paquets Encapsulation et la désencapsulation des Paquets IPsec est dépendante du sens de transmission des paquets Association services de sécurité et clés avec un trafic unidirectionnel Association services de sécurité et clés avec un trafic unidirectionnel Les données permettant de spécifier ce sens sont mise dans une SA

©2001 Check Point Software Technologies Ltd. - Proprietary & Confidential -22- Security Association Une SA est identifiée par : Un Security Parameter Index (SPI). Un Security Parameter Index (SPI). Le protocole IPSec utilisé. Le protocole IPSec utilisé. L'adresse de destination. L'adresse de destination.

©2001 Check Point Software Technologies Ltd. - Proprietary & Confidential -23- Mode Ipsec (transport) Transport : acheminement direct des données protégées par IPsec (ex : host to host)

©2001 Check Point Software Technologies Ltd. - Proprietary & Confidential -24- Mode IPsec (tunnel) tunnel : tunnel : trafic envoyé vers des passerelles Ipsec ( ex LAN to LAN)

©2001 Check Point Software Technologies Ltd. - Proprietary & Confidential -25- Solution offertes par Ipsec Les protocoles utilisés par Ipsec Les protocoles utilisés par Ipsec Authentication header (AH) Authentication header (AH) Encapsulating Security Payload (ESP) Encapsulating Security Payload (ESP) Internet Key Exchange (IKE) Internet Key Exchange (IKE)

©2001 Check Point Software Technologies Ltd. - Proprietary & Confidential -26- Authentification header (AH) Authentification et intégrité des données. Authentification et intégrité des données. Entête ajoutée comportant une signature Entête ajoutée comportant une signature Appliqué a tout type de VPN. Appliqué a tout type de VPN.

©2001 Check Point Software Technologies Ltd. - Proprietary & Confidential -27- ESP Encapsulating Security Payload La confidentialité des données; La confidentialité des données; L'authentification de l'origine des données; L'authentification de l'origine des données; La protection d'anti-replay (retransmission ) La protection d'anti-replay (retransmission ) L'intégrité des données (sans connexion, par paquet). L'intégrité des données (sans connexion, par paquet).

©2001 Check Point Software Technologies Ltd. - Proprietary & Confidential -28- Comparaison ESP entre AH Confidentialité assurée en ESP mais pas avec AH Confidentialité assurée en ESP mais pas avec AH Différence de portion des données sécurisée dans authentification ESP et AH Différence de portion des données sécurisée dans authentification ESP et AH AH protège les entête IP mais pas ESP AH protège les entête IP mais pas ESP Lanti-replay est optionnel avec AH et obligatoire avec ESP Lanti-replay est optionnel avec AH et obligatoire avec ESP

©2001 Check Point Software Technologies Ltd. - Proprietary & Confidential -29- IKE Internet Key Exchange: Un protocole puissant flexible de négociation méthodes d'authentification, méthodes d'authentification, méthodes de chiffrement, méthodes de chiffrement, clés d'utilisation + temps d'utilisation clés d'utilisation + temps d'utilisation échange intelligent et sûr des clés. échange intelligent et sûr des clés.

©2001 Check Point Software Technologies Ltd. - Proprietary & Confidential -30- HTTPS - solution de niveau 7 - sécurité gérée cette fois par service,en fonction de lapplication -authentification par serveur Radius ou autre

©2001 Check Point Software Technologies Ltd. - Proprietary & Confidential -31- Solutions pour lentreprise choix de la solution VPN - identification des types de flux WAN - flux bas débits synchrones utilisées pour les applications transactionnelles, SAP Emulation telnet ou 5250/ flux large bande asynchrone pour les applications FTP, HTTP, messagerie Flux synchrones - nécessitent une bande passante minimale garantie avec un délai dacheminement le plus petit et le plus constant possible, cest le cas des applications temps réels - ne peuvent être offert quavec des réseaux de niveau 2 comme ATM ou Frame Relay - Internet n est pas adapté pour le moment Flux asynchrones - se produisent de manière imprévisible par rafales en occupant toute la bande passante disponible - aucune contrainte de délai dacheminement nest nécessaire - le volume dinformations véhiculées de cette manière est toujours en forte croissance Ex : transferts de fichiers, messagerie, navigation

©2001 Check Point Software Technologies Ltd. - Proprietary & Confidential -32- Choix de la solution VPN En fonction des volumes et des types des échanges attendus, on peut décider de la solution à adopter parmi toutes celles proposées. 3 Alternatives VPN INTERNET - Faire cohabiter tous ces flux sur le même réseau : VPN INTERNET solution mise en place sur des réseaux de niveau 2 ou de niveau 3 solution la plus immédiate et la plus rencontrée utilisateurs jamais satisfaits : inadaptée aux flux synchrones A écarter

©2001 Check Point Software Technologies Ltd. - Proprietary & Confidential Gérer la bande passante WAN : VPNs avec LAN/WAN Shaping solution technique la plus rapide à déployer après la précédente solution technique la plus adaptée et la plus performante flux synchrones et asynchrones cohabitent tjrs sur le même support mais la solution permet de les gérer plus correctement boitiers de LAN/WAN Shaping aux extrémités du réseau WAN opérateur Choix de la solution VPN

©2001 Check Point Software Technologies Ltd. - Proprietary & Confidential -34- Choix de la solution VPN - VPN plus séparation des flux applicatifs entre différents réseaux - 1 réseau synchrone bas débit garanti ( debits < 64Kbits/s ) de niveau 2 ex : Frame Relay ou LS - 1 réseau asynchrone hauts débits ( débits > 128Kbits/s ) de niveau 3 ex : Internet

©2001 Check Point Software Technologies Ltd. - Proprietary & Confidential -35- Quel VPN pour quel entreprise ? En fonction de la quantité et du type de flux inter sites, la solution varie : Sites Importants France => Télécoms avec WAN Shaping Sites importants Europe-Monde => VPN avec WAN Shaping Sites moyens Europe-Monde => VPN avec WAN Shaping Petits sites France-Europe-Monde => VPN Nomades France => Accès distants RAS/VPN Nomade Nomades Europe, Monde => VPN Nomade

©2001 Check Point Software Technologies Ltd. - Proprietary & Confidential -36- Exemples concrets VPN IP internet Utilisation de tunnels IPSEC entre firewalls / nomades avec … => Checkpoint Firewall-1 / secureremote => CISCO PIX VPN / Secure client WAN TELCO et IP => Frame Relay / ATM / MPLS avec… => UUNET : Uusecure VPN => France Telecom :Global Intranet=> Global One : Global IP VPN => Belgacom : VPN Office => Maiaah : intranet => Communauté automobile (GALIA) : ENX