Documentos de Académico
Documentos de Profesional
Documentos de Cultura
(VPN)
Michel Le Tohic –ENST Bretagne
Plan
Introduction
Classification
VPN IPSec entre un nomade et une
passerelle
Introduction
Crédits
Ce support doit beaucoup aux articles ou présentations
suivantes :
« VPNs Mean Business », D. Kosiur (Burton Group)
« Technologies VPN », M. Achemlal & M. Dudet (FTR&D)
« MPLS IPSec SSL comparison » (Cisco)
La revue MISC n° 10 entièrement consacrée aux VPN
« IPSec : la sécurité au niveau IP », J. Cartigny (Lille 1)
« Virtual Private Network Applications », A. Steffen (ZHW)
« Les VPN SSL : Principes et comparaison avec IPSec », Wilfrid Rabot
(FTR&D)
Le TP doit beaucoup…
À un groupe d’étudiants de DESSISA en projet avec moi et à Gilles
Guette qui a accepté de me succéder
Introduction
Généralités
Les réseaux publics (i.e. Internet) en tant
qu’alternative aux liaisons spécialisées
Solutions meilleure marché
Solutions non-sécurisées par nature
Usage de « tunnels »
Solutions permettant d’étendre le réseau interne
Solutions permettant d’encapsuler les données à
transporter
Solutions généralement associées à une
sécurisation des échanges (authentification,
chiffrement)
Introduction
Notion de chiffrement
Supposée connues
Opérations de chiffrement/déchiffrement beaucoup
plus lourdes en cas de chiffrement asymétrique
Nécessité d’une infrastructure de gestion des clés
en cas de chiffrement asymétrique (PKI)
Problème de diffusion sécurisée de la clé en cas de
chiffrement symétrique
Chiffrement symétrique (rappel)
Clé unique utilisée à la fois pour le chiffrement et le
déchiffrement
Introduction
Notion d’authentification
Authentification des données
On vient de le voir (chiffrement)
Authentification des connexions
Connexion entre sites distants ⇒ s’assurer que les
équipements d’interconnexion (routeurs, firewall, …
etc) sont bien ceux qu’ils prétendent être
Connexion entre nomade et site distant ⇒ s’assurer
que l’utilisateur est bien celui qu’il prétend être
Certificat X509
Clé publique + signature par une CA + infos diverses
Standard de fait
Applications possibles : IPSec, TLS, …
Introduction
Notion de tunnel
Connexion réseau bi-directionnelle sécurisée entre
2 systèmes | sites
Aspects sécurité déjà évoqués (chiffrement,
authentification, …etc.)
Aspect réseau ⇒ tunnel à quel niveau ?
Prise en charge des problèmes de routage
(transparent pour l’utilisateur final)
Cf. plus avant
Introduction
Concept de VPN
Fournir un accès à distance transparent aux
ressources du système d’information
Malgré la traversée d’un réseau public (Internet)
Avec les risques inhérents (intrusion)
Utilisation possibles
Télé-travail (Road Warrrior)
Connexion de sites distants (eg. succursale)
Externalisation (de l’exploitation du SI)
Offres commerciales (opérateurs télécoms)
Introduction
Présentation
Session SSL / TLS
Transport TCP UDP
Réseau IP / IPSec (ESP, AH)
Source CISCO
Classification
Source CISCO
Classification
… et nécessitant un « client IPSec »
Source CISCO
Classification
Source CISCO
Comparaison IPSec versus SSL
IPSec VPN SSL VPN
Application accessibility ALL IP applications (Web Primarily Web
applications, enterprise, applications
e-mail, VoIP and
multimedia
Software required IPSec client software Standard Web browser
Information exposure Only designated people / Access from everywhere
computers are allowed (e.g. internet kiosks).
access Information can be left
behind (intentionnaly or
unintentionnaly)
En résumé…
Pour les solutions de type VPN IPSec
Avantages :
Accès complet au réseau local
Interopérabilité
Inconvénients
Lourdeur et complexité de mise en oeuvre
Gestion du logiciel « client » (installation, mise à jour, paramétrage)
Pour les solutions de type VPN SSL
Avantages
« Pas » de logiciel client
Vision portail applicatif
Inconvénients
Limité aux applications Web (ou « Webifiées »)
Limitations en terme de fonctions évoluées
Synthèse des solutions VPN
VPNs
Session
CPE-based Network-based
-based (SSL)
Enterprise CPE- Provider Enterprise CPE- Provider RFC2547 Ethernet VPN's ATM/FR VPN's
based VPNs Provisioned based VPNs Provisioned (MPLS/BGP) (leveraging MPLS)
Généralités
Aspects théoriques supposés connus
… donc simple rappels
Protocole le plus célèbre pour la mise en place de VPN
Plus exactement : ensemble de protocoles
Extrêmement diffusé
Standard dans IPv6
Ensemble de protocoles couvrant deux aspects
Encapsulation des datagrammes IP dans d’autres
datagrammes IP
⇒ services de sécurité (intégrité, confidentialité, …etc.)
Négociation des clés et des associations de sécurité
⇒ utilisées lors de l ’encapsulation
IPSec
VPN Server B
Workstation A
Internet
Security Security
gateway 1 gateway 2
encrypted
A B data
IPSec
Server B
VPN
A B data
Workstation A
Internet
Security Security
source destinationgateway 1 gateway 2
A B data encrypted
1 2 A B data
IPSec
Mode tunnel
Mode transport
Mode nesting
Modes IPSec
IPSec
(Source www.frameip.com)
IKE
IPSec
Phase 2
Négociation des SA
Quick mode
pour AH et ESP
(Source FT R&D)
IKE
(Source FT R&D)
IPSec
En résumé…
« Protocole » sûr, flexible, standard, complexe
Natif sous Windows 2000 et ultérieurs
L2TP est également supporté
Natif sous Solaris 8 et ultérieurs
Non natif côté Unix libres mais diverses implémentations
(NB : intégration prévue dans les kernel futurs)
FreeS/WAN et ses descendants (Linux)
Kame (FreeBSD, NetBSD, MacOSX)
Pléthore d’ implémentations propriétaires
Souvent incluse dans du matériel (Cisco, 6Wind, …etc)
Obligatoire avec IPv6
Pose des problèmes avec NAT/PAT
Solution NAT-Traversal
IPSec
Configuration du réseau
Chaque tablée (de la salle i207) symbolise un
ensemble « nomade connecté à une passerelle »
Attention aux problèmes de rebouclage !!!
Connexion directe par câble croisé entre eth0 du
« nomade » et eth0 de la passerelle (symbolise
l’Internet)
Connexion eth1 du « nomade » débranchée
Connexion eth1 de la passerelle reliée à l’intranet
(réseau local)
Présentation du TP
Configuration du « nomade »
Adresse à fixer sur eth0
100.10.10.2
Configuration de la passerelle
Adresse à fixer sur eth0
100.10.10.1
Adresse déjà fixé sur eth1 (à vérifier)
172.16.10.x
Test de votre réseau
Penser au relayage des paquets !!!
Pour le reste : ping, route, … etc.
Schéma
172.16.10.1
Nomade Passerel
le
172.16.10.x
100.10.10.2 100.10.10.1
Présentation du TP