Scribd Logo
Importer

Bienvenue sur Scribd !

  • 103 vues

    Tunnel 347

    Transféré par

    Oumayma Ayadi

    Droits d'auteur :

    © All Rights Reserved
    Téléchargez comme PDF, TXT ou lisez en ligne sur Scribd

    Tunnel 347

    Transféré par

    Oumayma Ayadi
    103 vues66 pages

    Copyright

    © © All Rights Reserved

    Formats disponibles

    PDF, TXT ou lisez en ligne sur Scribd

    Avez-vous trouvé ce document utile ?

    Ce contenu est-il inapproprié ?

    Droits d'auteur :

    © All Rights Reserved
    Téléchargez comme PDF, TXT ou lisez en ligne sur Scribd
    Télécharger au format pdf ou txt
    103 vues66 pages

    Tunnel 347

    Transféré par

    Oumayma Ayadi

    Droits d'auteur :

    © All Rights Reserved
    Téléchargez comme PDF, TXT ou lisez en ligne sur Scribd
    Télécharger au format pdf ou txt
    sur 66

    Sécurité avancée des réseaux

    VPN et Tunnels de niveau 3,4 et 7

    IUT d’Auxerre
    Département RT
    2ème année 2013-2014
    ZHANG Tuo
    [email protected]
    Outline
    Réseaux Privés Virtuels(VPN)
    Tunnels de niveau 3—Ipsec
    Tunnels de niveau 4—SSL/TLS
    Tunnels de niveau 7—SSH
    Réseaux Privés Virtuels
    Virtual Private Networks
    Introduction VPN(1/3)
    Introduction VPN(2/3)
    Introduction(3/3)
    Tunnels VPN

    • Tunnels VPN (Virtual Private Network)


    • Réseau privé virtuel
    • Consiste à faire transiter un protocole par l'intermédiaire d'un autre
    • Aussi appelé protocole de tunneling (tunnel)
    • Cela consiste à créer un chemin virtuel du client vers le serveur au
    travers un réseau public en chiffrant les données
    Fonctionnalité des VPN(1/3)
    Fonctionnalité des VPN(2/3)
    Fonctionnalité des VPN(3/3)
    Tunnels de niveau 3

    IPsec
    What Is IPSec?(1/2)
    Main Site

    Business Partner
    with a Cisco Router
    IPSec Perimeter
    Router

    Concentrator PIX
    POP Security
    Regional Office with a Appliance
    PIX Security Appliance
    Mobile Worker with a
    Cisco VPN Client
    SOHO with a Cisco on a Laptop Corporate
    ISDN/DSL Router

    • IPSec acts at the network layer protecting and authenticating IP packets:


    • Based on a framework of open standards and is algorithm independent
    • Provides data confidentiality, data integrity, and origin authentication
    • Spells out the rules for secure communications
    • Relies on existing algorithms to implement the encryption, authentication, and key exchange
    What Is IPSec?(2/2)
    • défini par l’IETF pour
    assurer des
    communications privées et
    protégés de bout en bout
    sur des réseaux IP(couche
    3), par l’utilisation des
    cryptographies.
    • compléter par une tribu de
    RFC
    • Obligatoire dans la pile IPv6,
    facultatif(en option) dans
    IPv4
    IPSec Security Functions

    Function Benefit

    Encryption prevents eavesdropping


    Confidentiality
    and reading of intercepted data.

    Receiver can verify data was


    Data integrity
    transmitted unchanged or altered.

    Receiver can guarantee and certify the


    Origin authentication
    data source.

    Each packet is verified as unique. Late


    Anti-replay protection
    and duplicate packets are dropped.
    Architecture de IPsec

    IPsec

    Protocole ESP Protocole AH

    Algorithme de Algorithme de
    chiffrement authentification

    DOI

    Protocole IKE
    AH(Authentication Header)
    • Assure l’intégrité et l’authenticité des paquets
    IP
     Intégrité: par fonction de hachage(ex:MD5)
     Authenticité: par ajouter une clé partagé en calculant le code de
    vérification

    • Anti Attaque par rejeu(replay attack)


     Par numéro de séquence dans l’entête

    • RFC 4302
    ESP(Encapsulating Security Payload )
    • Permet l’anthentification et la protection des
    données
    – pour Paquet de donnée
    – pour Stream de donnée
    • Principalement utilisé pour le cryptage des
    informations
    • RFC 4303
    IKE(Internet Key Exchange)
    • Prend en charge la gestion des clé de
    cryptographie
    • Port UDP 500
    • RFC 4306
    DOI, SA
    • DOI(Domain of Interpretation )
    – utilisé pour relier les RFCs de IPsec .
    • Security Association(SA)
    – Communication sécurisée avec Ipsec
    – Identifiée par destination/ numéro de série/ prorocole(AH, ESP)
    – Structure de donnée comprenant tous les paramètres
     Clé, durée des clés, algorithmes, hotes…
     Unidirectionnel: un flux 2 SA
     IPSec SA
     ISAKMP SA(ou IKE SA)
     Uniquement pour le trafic de controle
     Plus grande durée de vie que les Ipsec SA
     Échange des clés
    — ISAKMP (Internet Security Association and Key Management Protocol)
    • Stockage des SA, construction des messages, phases obligatoires
    — IKE (Internet Key Exchange)
    • Comment l’échange de clés se fait réellement, utilisant le framework ISAKMP
    Security Association

    • Security Association occurs


    BANK
    in two databases:
    – Security Policy Database
    • Encryption Algorithm
    192.168.2.1
    • Authentication
    SPI-12
    ESP/3DES/SHA Algorithm
    tunnel • Mode
    28800
    • Key lifetime
    – SA Database
    Internet • Destination IP address
    • SPI
    • Protocol (ESP or AH)
    192.168.12.1
    SPI-39
    ESP/DES/MD5
    tunnel
    28800
    SA Lifetime
    There are two parameters:

    Data-Based
    Time-Based
    Mode d’opération IPsec
    • Transport Mode et Tunnel Mode
    • AH et ESP supporte touts les deux modes :
    – AH en mode Transport
    – AH en mode Tunnel
    – ESP en mode Transport
    – ESP en mode Tunnel
    Mode d’opération IPsec
    • Mode transport
    – Seules les données du paquet IP sont chiffrées
    – Entièrement routable car l’entête IP est en clair
    – Ne peut pas traverser un NAT, qui invaliderait la
    valeur de hash
    – Utilisé pour les communications d’hôtes à hôtes
    – Il est possible de traverser les NAT en utilisant une
    encapsulation UDP des paquets Ipsec ESP
    Mode Transport
    Protéger que les payloads

    IP header data

    Démarrer mode Transport de IPsec

    IP header AH data Appliqué AH

    IP header ESP data Appliqué ESP

    IP header AH ESP data Appliqué AH et ESP


    Modes d’opération IPsec
    • Mode tunnel
    • Doit être en capsulé dans un nouveau paquet
    IP pour permettre le routage
    • Utilisé pour tout type de communications
    sécurisées à travers Internet
    – Réseau à réseau(Tunnels sécurisés entre routeurs)
    – Hôte à réseau
    – Hôte à hôte
    Mode tunnel
    • Protéger l’entier paquet IP

    IP header data

    Externe IP header:
    Fourni par Interne IP header:
    équipement(serveur, routeur
    Créer par hôte
    etc..)

    IP header ESP Original paquet IP Appliqué ESP


    Comparaison les deux modes
    IPSec Operation
    Host A Host B
    Router A Router B

    • Step 1 Interesting Traffic: The VPN devices recognize the


    traffic to protect.
    • Step 2 IKE Phase 1: The VPN devices negotiate an IKE security
    policy and establish a secure channel.
    • Step 3 IKE Phase 2: The VPN devices negotiate the IPSec
    security policy used to protect IPSec data.
    • Step 4 Data transfer: The VPN devices apply security services
    to traffic and then transmit the traffic.
    • Step 5 Tunnel terminated: The tunnel is torn down.
    Step 1: Interesting Traffic
    Host A Host B
    Router A Router B

    Apply IPSec
    10.0.1.3 10.0.2.3
    Bypass IPSec

    Discard

    There are three choices for every inbound and


    outbound datagram:
    • Apply IPSec
    • Bypass IPSec
    • Discard the datagram
    Step 2: IKE Phase 1
    Host A Host B
    Router A Router B

    IKE Phase 1:
    10.0.1.3 Main Mode Exchange 10.0.2.3

    Negotiate the Negotiate the


    policy policy

    DH exchange DH exchange

    Verify the peer Verify the peer


    identity identity
    First and Second Exchange—IKE Policy Sets
    and Establishing a Shared Secret
    Host A Host B
    Router A Router B

    10.0.1.3 Negotiate IKE proposals 10.0.2.3

    ISAKMP Policy 10 ISAKMP Policy 15


    DES DES
    MD5 MD5
    pre-share IKE Policy Sets pre-share
    DH1 DH1
    lifetime lifetime

    ISAKMP Policy 20
    3DES
    SHA
    pre-share
    DH1
    lifetime

    – Negotiates matching IKE transform sets to protect IKE exchange.


    – A DH exchange is performed to establish a shared secret.
    Third Exchange—Authenticate Peer Identity

    Remote Office Corporate Office

    Internet

    HR Servers
    Peer
    Authentication

    • Peer authentication methods are follows:


    – Pre-shared keys
    – RSA signatures
    – RSA encrypted nonces
    Step 3: IKE Phase 2

    Host A Host B

    10.0.1.3 Router A Router B 10.0.2.3

    Negotiate IPSec
    security parameters
    IPSec Transform Sets
    Host A Host B
    Router A Router B

    10.0.1.3 Negotiate transform sets 10.0.2.3

    Transform Set 30 Transform Set 55


    ESP ESP
    3DES 3DES
    SHA IPSec Transform Sets SHA
    Tunnel Tunnel
    Lifetime Lifetime

    Transform Set 40
    ESP
    DES
    MD5 A transform set is a combination of
    Tunnel
    Lifetime
    algorithms and protocols that enact a
    security policy for traffic.
    Step 4: IPSec Session
    Host A Host B
    Router A Router B

    10.0.1.3 10.0.2.3

    IPSec Session

    – SAs are exchanged between peers.


    – The negotiated security services are applied to the
    traffic.
    Step 5: Tunnel Termination
    Host A Host B
    Router A Router B

    10.0.1.3 10.0.2.3

    IPSec Tunnel

    – Tunnel termination occurs as follows:


    • By an SA lifetime timeout
    • If the byte counter is
    exceeded
    – It removes IPSec SA
    Un complet fonctionne IPsecVPN

    192.168.2.34
    192.168.1.25
    Source Address Destination Address Secure Service Others entrepriseB
    entrepriseA
    192.168.1.25 192.158.2.34 Secure ……
    192.158.1.34 192.168.1.25 Contourné, jetés ……
    Règles de configuration des éléments de données SPD comme lesqulles de pare-feu

    SPI Destination Address Security Protocol


    décidé de fournir quelles services de
    sécurité pour les flux de données IP

    Trouver base de données SPD qui a

    256 192.168.1.25 AH Établir la

    demande d'établir des sécurité


    Trouver le paramètre

    SA
    correspondant SA

    257 192.168.1.25 ESP appropriée


    data

    appropriées associées
    258 192.168.2.34 AH write
    259 192.168.2.34 ESP SAD

    data
    SPI Security Protocol Algorithm Key Others
    IP h

    256 AH Chiffré MD5 010 ……

    IP h
    257 ESP DES CBC 4 101 ……

    traitement de 258 AH Chiffré SHA-1 001 ……


    sécurité 259 ESP 3DES CBC 110 ……
    correspondant par Des informations de paramètre SAD contenue dans chacun des SA, tels que des algorithmes, des
    clés, etc
    rapport le
    datagramme
    VPNgatewayA originale En établissant une association de sécurité à travers IKE, produire ou rafraîchir la clé

    ExterneIP h ESP h Interne IP ESP t


    AH h data VPNgateway
    h
    Internet B
    Ex: Déploiement
    IPsecVPN VPN client
    Dans l’entreprise
    siège VPN gateway
    social Mobile
    abonnée B
    VPN client VPN client

    VRC
    SCM
    Internet VPN
    gateway
    VPN
    gateway
    VPN client

    bureau branche VPN client


    Mobile
    abonné A
    La Disponibilité de IPsec
    —En théorie, IPsec peut être implémenté dans n'importe quel appareil
    utilisant la pile TPC/IP
    —Obligatoire dans IPv6 – Optionnel dans IPv4
    —Unix / Linux
    Implémentations natives (OpenBSD, Solaris, AIX)
    KAME, FreeS/WAN (Linux)
    —Windows
    Implémentation native avec L2TP(Windows 2000, XP, 2003)
    VPN+, PGPnet,...
    —Firewall
    —Routeurs
    Cisco
    3Com
    —Concentrateur VPN
    Bilan:IPSec Building Blocks

    Component Role
    Authenication Header (AH) • IP header that provides a cryptographic
    checksum on the packet
    • Used to achieve data authentication and
    integrity
    • Separate from the ESP header
    Encapculating Security • Header applied after the packet has been
    Payload (ESP) encrypted
    • Provides data confidentiality in transit
    • Provides for data authentication and
    integrity
    Security Association (SA) • Specifies cryptographic parameters needed
    before any two devices can communicate
    using IPSec
    Bilan:IPSec Implementation
    Framework
    IPSec
    Framework
    Choices:

    ESP
    IPSec Protocol ESP AH
    +AH

    Encryption 3
    DES AES
    DES

    Authentication MD5 SHA

    Diffie-Hellman DH1 DH2 DH5


    Bilan:IPSec Services
    Tunnel de niveau 4

    protocole SSL/TLS
    SSL / TLS : historique
    —07/1994 : Conception initiale du protocole (V1.0)
    développé par Netscape
    —12/1994 : SSL V2.0 Sortie des premiers produits
    —04/1995 : SSL Ref 2.0 - L'implémentation de référence
    —1995 : Arrivée d'une quantité importante
    d’implémentations au niveau international
    —07/1995 : SSL à l’IETF
    —11/1995 : SSL V3.0
    —03/1996 : le développement est repris par l'IETF au sein du
    groupe TLS (Transport Layer Security)
    —03/1997 : IETF TLS V1.0
    —08/2004 : TLS V1.1
    caractéristiques
    • SSL / TLS :
    —Permettent le chiffrement des communications et
    l’authentification des clients et des serveurs
    —Indépendants du protocole avec lequel ils sont utilisés
    —Authentification des extrémités
    —Confidentialité
    —Intégrité des échanges
    —Utilisation de certificats X509 et de clés de session
    —Flot de données découpé en paquets signés et chiffrés
    What layer?
    L'authentification avec SSL
    SSL Architecture
    SSL Architecture
    SSL Handshake
    SSL Handshake
    SSL Handshake
    TLS : Transport Layer Security
    —TLS reprend tous les concepts généraux de SSL car TLS 1.0
    puis TLS 1.1 sont basés sur SSL 3.0, donc compatibles

    —TLS est plus clair

    —TLS est plus générique que SSL (encapsulation)

    —La conception du protocole est indépendante de son


    utilisation

    —TLS n'impose pas de méthodes de chiffrements spécifiques


    Utilisation SSL/TLS
    Bilan : SSL( Record Protocol)

    • confidentialité
    – using symmetric encryption with a shared secret
    key defined by Handshake Protocol
    – IDEA, RC2-40, DES-40, DES, 3DES, RC4-40, RC4-128
    – message is compressed before encryption
    • message intégrité
    – using a MAC with shared secret key
    – similar to HMAC but with different padding
    HTTPS
    HTTPS (HTTP over SSL)
    combination of HTTP & SSL/TLS to secure
    communications between browser & server
    • documented in RFC2818
    • no fundamental change using either SSL or TLS
    use https:// URL rather than http://
    and port 443 rather than 80
    encrypts
    URL, document contents, form data, cookies,
    HTTP headers
    Niveau 7

    SSH
    SSH
    SSH Protocol Stack
    SSH User Authentication Protocol SSH Connection Protocol Exchange

     authenticates client to server


     three message types:
     SSH_MSG_USERAUTH_REQUES
    T
     SSH_MSG_USERAUTH_FAILURE
     SSH_MSG_USERAUTH_SUCCES
    S
     authentication methods used
     public-key, password, host-
    based
    Applications SSH
    summary
    Fin(1/2)
    Fin(1/2)

    Vous aimerez peut-être aussi