Scribd Logo
Importer

Bienvenue sur Scribd !

  • 3 vues

    VPN

    Transféré par

    zahi.hodeib1

    Droits d'auteur :

    © All Rights Reserved
    Téléchargez comme PDF, TXT ou lisez en ligne sur Scribd

    VPN

    Transféré par

    zahi.hodeib1
    3 vues21 pages

    Copyright

    © © All Rights Reserved

    Formats disponibles

    PDF, TXT ou lisez en ligne sur Scribd

    Avez-vous trouvé ce document utile ?

    Ce contenu est-il inapproprié ?

    Droits d'auteur :

    © All Rights Reserved
    Téléchargez comme PDF, TXT ou lisez en ligne sur Scribd
    Télécharger au format pdf ou txt
    3 vues21 pages

    VPN

    Transféré par

    zahi.hodeib1

    Droits d'auteur :

    © All Rights Reserved
    Téléchargez comme PDF, TXT ou lisez en ligne sur Scribd
    Télécharger au format pdf ou txt
    sur 21

    Virtual Private Network

    (VPN)

    Les réseaux privés virtuels sécurisés

    SR2I205 – 27/11/2023 Rida Khatoun 1


    Plan

    • Définition d’un VPN


    • Types de VPN
    • Protocoles IPsec
    – Protocoles de sécurisation : AH, ESP
    – Protocoles d’échange de clés : IKE
    – Négociation des paramètres de sécurité dans IPsec

    • Exemples d’architectures VPN

    SR2I205 – 27/11/2023 Rida Khatoun 2


    Définition d’un VPN

    • VPN = Virtual Private Network


    • Technologie réseau permettant de construire
    un réseau privé à l’intérieur d’une
    infrastructure publique
    – Privé = les échanges transitant par ce réseau
    sont confidentiels pour les autres utilisateurs du
    réseau public
    – Virtuel = le réseau privé ainsi crée n’est pas
    matérialisé par des liens physiques

    SR2I205 – 27/11/2023 Rida Khatoun 3


    Définition d’un VPN

    • Pour que les données demeurent lisibles aux deux


    extrémités du tunnel, il faut utiliser le même protocole
    de tunneling dans tous les composants du VPN.
    • Il existe plusieurs protocoles avec différents niveaux
    de sécurité, dont
    – PPTP (Point-to-Point Tunneling Protocol)
    • Niveau 2, rapide et peu sécurisé
    – L2F (Layer Two Forwarding),
    – GRE (Generic Routing Encapsulation)
    – L2TP (Layer Two Tunneling Protocol)
    • Niveau2, bien sécurisé, très utilisé, soucis avec les firewalls
    – l'IPSec :
    • Niveau 3, protection élevé, très utilisé

    SR2I205 – 27/11/2023 Rida Khatoun 4


    Types de VPN

    • VPN site-to-site
    – Permet de relier deux réseaux

    Source: tiptopsecurity

    SR2I205 – 27/11/2023 Rida Khatoun 5


    Types de VPN

    • VPN d’accès
    – Permet à des utilisateurs nomades d’accéder à distance au réseau de leur
    entreprise

    Source: tiptopsecurity

    SR2I205 – 27/11/2023 Rida Khatoun 6


    Protocole IPsec
    • Principes d'IPsec
    – IPsec ensemble de protocoles définis par IETF
    – Premier RFC en 1995 sans gestion de clés
    – 2ème version en 1998 avec la gestion des clés (IKE)
    – Haut niveau de sécurité dans l'échange des paquets IP (niveau
    de la couche réseau)

    SR2I205 – 27/11/2023 Rida Khatoun 7


    Protocole IPsec

    • Le protocole IPSec est basé sur :


    – IP Authentification Header (AH n°51, RFC 2402)
    • Intégrité, authentification
    • Permet de s'assurer de l'identité des deux
    extrémités du tunnel et de l'intégrité des données
    • Utilise MD5, SHA-1, SHA-256, HMAC,
    • En-tête AH inséré à la suite de l'en-tête IP
    – Encapsulating Security Payload (ESP,n°50, RFC 2406)
    • Chiffrement des paquets
    • ESP assure en plus de l'authentification, le
    chiffrement des données (3DES, AES, etc)
    • Paquet IP originel est chiffré et réencapsulé dans un
    autre paquet IP

    SR2I205 – 27/11/2023 Rida Khatoun 8


    Protocole IPsec

    • AH et ESP dans les deux modes

    SR2I205 – 27/11/2023 Rida Khatoun 9


    Protocole IPsec
    • AH dans les deux modes

    SR2I205 – 27/11/2023 Rida Khatoun 10


    Protocole IPsec

    • ESP dans les deux modes

    SR2I205 – 27/11/2023 Rida Khatoun 11


    Protocole IPsec
    AH : Authentication Header
    32 bits

    Next Payload
    RESERVED
    Header Length

    Security Parameters Index (SPI)

    Sequence Number Field

    Integrity Check Value (ICV)


    SPI : Identification de l’association de sécurité SA à utiliser pour ce paquet
    Sequence Number : un numéro de séquence obligatoire en émission. Vérifié en réception si le mécanisme
    anti-rejeu est activé
    ICV Integrity Check Value : Contient le MAC (Message Authentication Code)

    SR2I205 – 27/11/2023 Rida Khatoun 12


    Protocole IPsec

    32 bits

    Security Parameters Index (SPI) ESP


    Sequence Number Field Header

    Payload Data

    ESP
    Padding Pad Length Next Header Trailer
    ESP
    ICV Authentication Data
    Auth.

    SR2I205 – 27/11/2023 Rida Khatoun 13


    Architecture générale VPN

    • IPSec = IP security Protocol


    – Standard développé à l’IETF
    – Partie commune entre IPv4 et IPv6 (obligatoire en IPv6)
    • Services de sécurité
    – Confidentialité, Intégrité, Authentification, non rejeu, contre
    analyse du trafic
    • Protocoles
    – IKE (OAKLEY et ISAKMP)
    – AH (identifiant du protocole 51)
    – ESP (identifiant du protocole 50)
    • Définitions de politiques de sécurité
    • Etablissement d’association
    • Méthodes d’authentification: PSK, Kerberos, Cerificat

    SR2I205 – 27/11/2023 Rida Khatoun 14


    Architecture générale VPN

    Administration de la
    sécurité

    Alertes Définition

    Mise à jour
    SAD SPD

    Base de donnée des Base de donnée des


    associations de sécurité Oakley politiques de sécurité
    DOI
    Négocie, Modifie, SKEME
    Supprime les SA Application
    ISAKMP
    Consulte création des SAs Consulte
    Demande la
    IKE

    Transport (TCP, UDP)

    IP
    IPSec (AH, ESP)

    Liaison

    SR2I205 – 27/11/2023 Rida Khatoun 15


    Protocole d’échange de clés : IKE
    • Protocole IKE (Internet Key Exchange, RFC 2409)
    – IKE (RFC 2407, 2408, 2409, 2412)
    – Au niveau applicatif
    – Indépendant de IP
    – Utilise UDP sur le port 500
    – Protocole pour la négociation des paramètres des
    protocoles de sécurité
    – Protocole d’authentification des différentes entités
    – Protocole de génération et d’échange de clés secrètes
    – Autres services
    • Gestion dynamique des associations de sécurité
    – Création
    – Modification
    – Destruction (vs manuelle)
    • Secret parfait des clés (PFS Perfect Forward Secrecy) : des clés
    utilisées antérieurement ou postérieurement par le protocole ne
    peuvent être dérivées de la clé en cours d’utilisation

    SR2I205 – 27/11/2023 Rida Khatoun 16


    Protocole d’échange de clés : IKE

    • Appliqué à IPSec, IKE a pour objectif d'établir


    – Un premier tunnel (le tunnel IKE, tunnel de service
    ou tunnel administratif) entre les deux entités
    • Ceci représente la phase 1 du protocole IKE
    • Ce tunnel ne sert pas à la transmission des données
    utilisateur
    • Son rôle : gérer les autres tunnels, leur création, le
    rafraîchissement des clés et autres services
    – Un tunnel secondaire (le tunnel de données ou
    IPsec tunnel)
    • Ceci représente la phase 2 du protocole IKE
    • On peut établir autant de tunnels secondaires que
    nécessaire pour la transmission des données

    SR2I205 – 27/11/2023 Rida Khatoun 17


    Protocole d’échange de clés : IKE

    • Modes de IKE
    – Dans la phase1
    • Le mode principal (Main mode)
    • Le mode agressif (Aggressive Mode)
    – Dans la phase 2
    • Le mode rapide (Quick Mode)

    PFS : Perfect Forward Secrecy

    SR2I205 – 27/11/2023 Rida Khatoun 18


    Protocole d’échange de clés : IKE

    • IKE en main mode (6 messages)

    SR2I205 – 27/11/2023 Rida Khatoun 19


    Protocole d’échange de clés : IKE

    • IKE en mode (3 messages)


    – Pas de protection des identités

    SR2I205 – 27/11/2023 Rida Khatoun 20


    Exemple d’architecture VPN site-to-site
    • Etapes de construction d’un tunnel
    – Phase1
    – Phase2

    • Local interface 10, IP gateway 10.0.0.101


    • Local interface 11, IP gateway 10.0.0.102
    • Ajouter une route statique pour traverser par le tunnel :
    – Destination: 192.168.2.0/255.255.255.0, device « nom
    tunnel crée»
    • Configurer les deux phases
    • Ajouter les règles du Firewall

    SR2I205 – 27/11/2023 Rida Khatoun 21

    Vous aimerez peut-être aussi