Scribd
Importer
39 vues26 pages

Authentification et Sécurisation VPN et IPSec

Le document traite des méthodes d'authentification et de sécurisation des échanges via VPN, en mettant l'accent sur OpenSSH et IPSec. Il décrit les mécanismes de chiffrement, d'intégrité et d'authenticité des données, ainsi que les différences entre IPSec et OpenVPN. Les protocoles comme AH et ESP sont expliqués, ainsi que les concepts de tunneling et de sécurité des échanges sur des réseaux non sécurisés.

Transféré par

mboydaffe1
Copyright
© © All Rights Reserved
Nous prenons très au sérieux les droits relatifs au contenu. Si vous pensez qu’il s’agit de votre contenu, signalez une atteinte au droit d’auteur ici.
Formats disponibles
Téléchargez aux formats PDF, TXT ou lisez en ligne sur Scribd
39 vues26 pages

Authentification et Sécurisation VPN et IPSec

Le document traite des méthodes d'authentification et de sécurisation des échanges via VPN, en mettant l'accent sur OpenSSH et IPSec. Il décrit les mécanismes de chiffrement, d'intégrité et d'authenticité des données, ainsi que les différences entre IPSec et OpenVPN. Les protocoles comme AH et ESP sont expliqués, ainsi que les concepts de tunneling et de sécurité des échanges sur des réseaux non sécurisés.

Transféré par

mboydaffe1
Copyright
© © All Rights Reserved
Nous prenons très au sérieux les droits relatifs au contenu. Si vous pensez qu’il s’agit de votre contenu, signalez une atteinte au droit d’auteur ici.
Formats disponibles
Téléchargez aux formats PDF, TXT ou lisez en ligne sur Scribd

Authentification et sécurisation des

échanges
VPN
M2 ISRI
Année 2016/2017
Application
OpenSSH
Présentation

Session
• Au niveau Transport
– Tunneliser des ports dans Transport (TCP & UDP)
une session SSH
Réseau (IP)

Liaison

Physique
OPENSSH - La crypto

• Authentification
-par mot-de-passe
-par clé publique/privé
• Echange de clé (Diffie-Hellman,RSA)
• Confidentialité des données
• Contrôle d’intégrité -HMAC
OpenSSH
$ ssh ­L 8080:[Link]
joe@[Link]
VPN
• « Virtual Private Network »
• Network
– Réseaux permettant d’interconnecter des entités
distantes
• Private
– Tout élément externe au réseau d’interconnexion doit
être tenu à l’écart de tous les échanges effectués
entre les différentes entités du réseau
• Virtual
– Ils s’appuient sur des architectures de réseaux
partagées mais pas sur des connexions physiques
dédiées (i.e. les informations transitent sur des
réseaux « public » non sécurisés, typiquement
Internet)
Solutions

• IPSec
- ex. : StrongSwan
• SSL VPN
- ex. : OpenVPN
VPN
Les services de sécurité fournis
• Confidentialité des données
• Authenticité sur des données
– IKE (Internet Key Exchange)

• Contrôle d’intégrité
• Protection contre le rejeu
Forward secrecy (confidentialité
persistante)

-Même en récupérant la clé secrète du serveur, on


ne pourra pas déchiffrer une conversation
enregistrée dans le passé.

-Vivement RSA et Diffie-Hellman !


IPSec : qu’est-ce ?
• Développée par l’IETF (Internet Engineering Task

Force) en 1992

– 1ère version en 1995 (1ère RFC)


– 2ème version en 1998
• IP Security Protocol
– ou protocole sécurisé pour IP
• En option avec IPV4
– obligatoire avec IPV6.
Application
IPSec
Présentation
• Au niveau de IP
– Protection unique pour Session
toutes les applications
– Mis en œuvre sur tous les Transport (TCP & UDP)
équipements utilisant le
réseau
– Protège de bout en bout Réseau (IP)
– Protège en « lien par lien »
Liaison

Physique
IPSec
Deux modes
• Le mode Transport
– protège certains champs du paquet
IP.
• Le mode Tunnel
– protège tous les champs du paquet
IP d’origine et certains champs du
nouveau paquet IP.
Composants d’IPsec
• Protocoles de sécurité
– Authentication Header (AH)
– Encapsulation Security Payload (ESP)
• Protocole d'échange de clefs
– Internet Key Exchange (IKE)
• Bases de données internes
– Security Policy Database (SPD)
– Security Association Database (SAD)
IPSec : les protocoles
• AH (Authentification Header)
– Authentification de l’expéditeur du paquet
– Contrôle d’intégrité des données en mode non
connecté
– Protection contre le rejeu

• ESP (Encapsuling Security payload)


– Chiffrement des données
– Contrôle d’intégrité
– Authenticité des données (via IKE)
– Protection contre le rejeu.
Scénario d’utilisation
« Association de Sécurité »

• Qui ?
– Toujours des entités travaillant 2 par 2,
• Quoi et comment ?
– Liste des services de sécurité à appliquer
– Les mécanismes de sécurité adéquats
IPSec : La SA
« Security Association »
Security Association
Description d’un lien IPSec
– Hôte source, destination
– Le type de protection AH ou ESP
– L'algorithme d'authentification pour AH et
ESP
– L'algorithme de chiffrement pour ESP
– Les clés d'authentification et de chiffrement
– La durée de vie des clés de chiffrement
– Sa propre durée de vie
– « Manual Keying » ou « pre-shared key » ou
« IKE »
IPSec : IKE
Internet Key Exchange
• Protocol au niveau applicatif
– Négociation de la SA entre les deux parties
• établissement une politique de sécurité partagée
et des clés authentifiées communes pour les
services qui en ont besoin
– Authentification du/des partenaires
• Clés pré-établies
• Utilisation d’un tiers de confiance (CA)
IPSec : les protocoles
• AH (Authentification Header)
– Authentification de l’expéditeur du paquet
– Contrôle d’intégrité des données en mode non
connecté
– Protection contre le rejeu

• ESP (Encapsuling Security payload)


– Chiffrement des données
– Contrôle d’intégrité
– Authenticité des données (via IKE)
– Protection contre le rejeu.
IPSec : AH
• Le mode Normal
Entête IP Données

• Le mode Transport
Entête IP AH Données

• Le mode Tunnel
Nouvel en-tête AH Entête IP Données
AH : Les algorithmes
• Authentification :HMAC-SHA-256…
- Attention ! SHA 1 est morte [Link]

• Authentification Header (AH) :

SPI ( Index de paramètres de sécurité)


SN (Nombre de séquence)
Données d'authentification
IPSec : ESP
• Sans Chiffrement
Entête IP Données

• Le mode Transport
Entête IP ESP Données Padding+….
Entête ESP
• Le mode Tunnel
Nouvel entête ESP (Entête IP et Données) chiffrées Padding+….
Protection contre le rejeu
• Mettre un ID ou timestamp sur chaque paquet avant de le signer

• Acceptation des paquets par la méthode « sliding windows »


ESP : Les algorithmes
• Confidentialité
– Triple DES
– RC5, CAST, IDEA, IDEA triple
– Blowfish, RC4
– et NULL
• Authentification
– Ceux de AH…
– et NULL
IPSec : En conclusion

• AH, est conçu pour assurer l'intégrité et


l'authentification des datagrammes IP
sans chiffrement des données (sans
confidentialité).

• ESP, son rôle premier est d'assurer la


confidentialité, l’intégrité des données
ainsi que l’authentification des pairs.
Application
OpenVPN
Présentation
• Au niveau de IP
– Authentification et Session
chiffrement via SSL
– Fonctionne en UDP ou TCP :
Transport (TCP & UDP)
passe aisement les firewalls
et les NAT
– Simple à configurer, mais il Réseau (IP)
faut deployer sur les clients
Liaison

Physique
Tunneling dans OpenVPN
• SSL intervient sur la
couche app.
• Tunneling par
mecanismes TUN/TAP
– TUN niveau 3 IP
– TAP niveau 2 Ethernet

– Encapsulation du packet IP
(ethernet) a l'interieur d'un
autre packet
IPSec vs. OpenVPN
IPSEC SSL
OSI Couche reseau Entre Couche app. Et
couche reseau
Logiciel Noyau Espace utilisateur
NAT Problematique Non
Portabilité Non Oui

Vous aimerez peut-être aussi