IPSec VPN. JTO Rennes 27 Mars. Bertrand Wallrich

Dimension: px
Commencer à balayer dès la page:

Download "IPSec VPN. JTO Rennes 27 Mars. Bertrand Wallrich"

Transcription

1 IPSec VPN JTO Rennes 27 Mars Bertrand Wallrich

2 Plan 1. Généralités 2. Rappels sur le chiffrement 3. VPN site à site : IPSec 4. Rappels sur PPP 5. VPN client : PPTP, L2F, L2TP

3 Plan 1. Généralités 2. Rappels sur le chiffrement 3. VPN site à site : IPSec 4. Rappels sur PPP 5. VPN client : PPTP, L2F, L2TP

4 Généralités Chapitre 1 : Généralités Les VPN peuvent être utilisés pour différents types d accès : Utilisateur distant Intranet Extranet Les utilisateurs distants sont des utilisateurs internes de confiance qui ont besoin de pouvoir accéder aux ressources depuis des endroits distants L accès Intranet est nécessaire à partir de tous les sites distants L accès Extranet limite les utilisateurs externes à l information qui les concerne.

5 Sites distants Chapitre 1 : Généralités Remote Office/Branch Office (ROBO)

6 Utilisateurs distants Chapitre 1 : Généralités Télétravailleur : Cable Modem ADSL Wavelan, partages de lignes ADSL Numéris Nomades ADSL dans les hôtels Modem GPRS Ethernet temporaire chez le client, fournisseur, site visité Expatriés En permanence dans un autre réseau.

7 Partenaires professionnels Chapitre 1 : Généralités Fournisseurs / clients : Accès extranet, limité Infogérance Accès limité. Accès administrateur. Centres d appels Accès sous ensemble de l intranet. ACCES AVEC LIMITATIONS Accès restreints suivant les tunnels. Protection individuelle des partenaires.

8 Menaces & objectifs Chapitre 1 : Généralités Menaces : 1. Interruption (DoS) Le VPN ne peut rien. 2. Interception (sniffing) 3. Usurpation d'identité (spoofing) 4. Modification ( 2 + 3, man in the middle) VPN Site à site Se protéger contre les "ISPs" traversés. Se protéger contre 3. (Authentification des machines/réseaux) VPN utilisateur Se protéger contre les "ISPs" traversés. Se protéger contre le site d'accueil. Accéder au réseau interne indépendemment de : Des adresses IPs Des applications

9 Les solutions de VPN Chapitre 1 : Généralités Services VPN Les fournisseurs de service Internet (ISP) Basé sur IPSec ISDNet -> VPN Premium MCI WorldCom -> UUSecure KPNQwest -> IP VPN FT -> Oléane Control Les compagnies de télécommunications, opérateurs, (ATM, MPLS, Frame relay, ) Les Sociétés de services Matériel dédié,

10 Les solutions de VPN Chapitre 1 : Généralités Offre matériel ou logiciels (1/2) Applications qui tournent sur un serveur MS RAS NT server, MS Routing & Remote Access W2K Server, poptop / l2tp / freeswan (linux). Matériel dédié Conçu spécifiquement pour le VPN Intel (shiva) Radguard Cisco (altiga) Redcreek Nortel (contivity) V-One (smartguard) Avaya (VPNet) GTA Lucent (Brick)

11 Les solutions de VPN Chapitre 1 : Généralités Offre matériel ou logiciels (2/2) Essentiellement site à site (IOS FW cisco) Firewall Utilisé par de nombreuses organisations pour protéger leur réseau interne M>Tunnel (Mwall Matra) VPN-1 (Checkpoint) Gauntlet VPN

12 Les technologies Chapitre 1 : Généralités Technologies mises en œuvre Tunneling / Routage / filtrage Technologies d authentification Authentification des machines Authentification des utilisateurs Confidentialité Chiffrement, échange de clefs,

13 Rappel, le tunneling Chapitre 1 : Généralités 2 R1 R2 A D Données R1 R2 Internet A B C D E F 1 Source A Dest D Paquet normal Données 3 Source A Dest D Données Paquet normal

14 Rappel, le tunneling Chapitre 1 : Généralités 2 G D Données A R2 R1 R2 G 1 A B C Source G Dest D Paquet normal Données Internet 3 D E F Source G Dest D Paquet normal Données En général, la machine G a plusieurs interfaces réseau, dont une virtuelle, correspondant au tunnel (ici dont l'adresse IP est «A»). C est le routage qui décide par quelle interface (ie tunnel ou pas) émettre le paquet.

15 Plan 1. Généralités 2. Rappels sur le chiffrement 3. VPN site à site : IPSec TP 1 : IPSec transport TP 2 : IPSec tunnel 4. Rappels sur PPP 5. VPN client : PPTP, L2F, L2TP TP 3 : L2TP TP 4 : L2TP + IPSec

16 Algorithmes symétriques Chapitre 2 : Cryptographie Algorithme DES Triple DES Triple DES IDEA RC4 Blowfish CAST-128 AES Longueur de la clef 56 bits 112 bits 168 bits 128 bits Variable bits bits 128, 192, 256 Commentaire FIPS PUB 46 DES triple passage à deux clefs DES triple passage à trois clefs Développée en Suisse Algorithme propriétaire de RSA Algorithme open source Algorithme open source Algorithme Rijndael DES = Data Encryption Standard FIPS = Federal Information Processing Standard IDEA = International Data Encryption Algorithm RSA = Rivest, Shamir, and Adelman AES = Advanced Encryption Standard

17 chiffrement asymétrique Chapitre 2 : Cryptographie Les algorithmes à clef publique sont utilisés pour La distribution des clés La confidentialité L authentification La non-répudiation RSA est un algorithme à clef publique célèbre qui porte le nom de ses trois inventeurs Ron Rivest, Adi Shamir, et Leonard Adelman Génération uni latérale du secret partagé. RSA peut être utilisé aussi pour la confidentialit é, l'authentification et la non répudiation Diffie-Hellman, le premier algorithme à clef publique inventé, peut être utilisé pour la distribution des clés Génération bi-latérale du secret partagé.

18 Man in the middle & DH Chapitre 2 : Cryptographie Marc croit échanger avec Sophie Sophie croit échanger avec Marc Tous deux échangent avec le pirate. Diffie Hellman permet l échange de secret partagé, mais n assure pas l authentification. Crypto système hybride. Diffie Hellman + RSA

19 signatures numériques Chapitre 2 : Cryptographie Fournir l intégrité des données Résumé de message Message Digest 5 (MD5) Secure Hash Algorithm (SHA-1) Signature digitale Combinaison Hashage + cryptographie à clef publique. Digital Signature Algorithm (DSA) RSA Digital Signature Standard (DSS), FIPS Spécifie des algorithmes de signature numérique approuvés DSA RSA ds algorithm Elliptic Curve Digital Signature Algorithm (ECDSA) Secure Hash Algorithm (SHA-1) pour le résumé du message

20 Chapitre 2 : Cryptographie Code d'authentification des messages Les signatures numériques assurent l'authentification et l'intégrité Ne nécessitent pas l'utilisation d'une clef secrète partagée Un Message Authentication Code (MAC) permet aussi l'authentification et l'intégrité C'est une fonction de hachage à sens unique qui utilise une clef secrète La clef est nécessaire pour vérifier la valeur de hachage Exemples de codes d'authentification de message : Keyed MD5 Hashed Message Authentication Code (HMAC)

21 Chapitre 2 : Cryptographie Types de clefs Clefs de chiffrement de clefs Servent exclusivement à chiffrer d'autres clefs. Durée de vie longue. Souvent cryptographie à clef publique. Clefs maîtresses servent à générer d'autres clefs par dérivation. Clefs de session ou de chiffrement de données Chiffre les données proprement dites.

22 Chapitre 2 : Cryptographie Propriétés des protocoles d'échange de clefs Perfect Forward Secrecy (PFS) Si la découverte du secret à long terme n entraîne pas la compromission des clefs de session. Back Traffic Protection Si la génération de chaque clef de session se fait de manière indépendante. authentification directe (Direct Authentication) Si les valeurs servant à générer le secret partagé sont authentifiées ou si chaque tiers a prouvé qu'il connaissait la clef de session. protection de l'identité (Identity Protection) Si un attaquant espionnant les échanges ne peut pas connaître les identités des tiers communicants.

23 Certificats Chapitre 2 : Cryptographie Certification des clefs publiques Distribution des clefs Opposition DNSSEC / PGP Souvent utilisés dans les produits VPN du commerce. Manque de portabilité Stockage du certificat sur le poste nomade. SPKI : Simple Public Key Infrastructure

24 Normes Chapitre 2 : Cryptographie FIPS PKCS Federal Information Processing Standards Publications Normes mis en place par le NIST FIPS46 DES FIPS197 AES «Normes» de chez RSA. PKCS #1: RSA Cryptography Standard PKCS #3:Diffie-Hellman Key Agreement Standard PKCS #5:Password-Based Cryptography Standard PKCS #6:Extended-Certificate Syntax Standard PKCS #7: Cryptographic Message Syntax Standard PKCS #8:Private-Key Information Syntax Standard PKCS #9: Selected AttributeTypes PKCS #10: Certification Request Syntax Standard PKCS #11: Cryptographic Token Interface Standard PKCS #12:Personal Information Exchange Syntax Standard PKCS #13: Elliptic Curve Cryptography Standard PKCS #15: Cryptographic Token Information Format Standard

25 Normes Chapitre 2 : Cryptographie RFCs PKIX Working group à l IETF Développement d une PKI sur X509v3 et LDAPv2. Harmonisation des Certification Practices Statement (CPS) et des valeurs des Certificate Policy (CP) SPKI Simple Public Key Certificate (Working group) Généralisation des formats de certificats pour accéder à différents modèles de confiance RFC du WG PKIX : Internet X.509 Public Key Infrastructure Certificate and CRL Profile (RFC 2459) Internet X.509 Public Key Infrastructure CertificateManagement Protocols (RFC 2510) Internet X.509 Certificate Request Message Format (RFC 2511) Internet X.509 Public Key Infrastructure Certificate Policy and Certification Practices Framework (RFC 2527) Internet X.509 Public Key Infrastructure Representation of Key Exchange Algorithm (KEA) Keys in Internet X.509 Public Key Infrastructure Certificates (RFC 2528) Internet X.509 Public Key Infrastructure Operational Protocols - LDAPv2 (RFC 2559) Internet X.509 Public Key Infrastructure Operational Protocols: FTP and HTTP (RFC 2585) Internet X.509 Public Key Infrastructure LDAPv2 Schema (RFC 2587) X.509 Internet Public Key Infrastructure Online Certificate Status Protocol - OCSP (RFC 2560) CertificateManagement Messages over CMS (RFC 2797) Diffie-Hellman Proof-of-Possession Algorithms(RFC 2875) Internet X.509 Public Key Infrastructure Qualified Certificates Profile (RFC 3039) Internet X.509 Public Key Infrastructure Data Validation and Certification Server Protocols (RFC 3029) Internet X.509 Public Key Infrastructure Time Stamp Protocols (TSP) (RFC 3161) RFC du WG SPKI : SPKI Requirements(RFC 2692) SPKI Certificate Theory (RFC 2693)

26 Législation française Chapitre 2 : Cryptographie Utilisation Fourniture Importation Authentification, signature, intégrité Libre Déclaration simplifiée Libre Chiffrement clef<=40 bits Libre Déclaration Libre Chiffrement Libre Déclaration Libre 40 bits < clef <= 128 bits (1) Chiffrement Libre Autorisation Autorisation Clef > 128 bits + Tiers de confiance Chiffrement Autorisation Autorisation Autorisation Clef > 128 bits - Tiers de confiance (1) Soumis à déclaration si le fournisseur ou l importateur ne l a pas déclaré et si l usage n est pas à titre personnel. (en général, cas des softs GPL)

27 Plan 1. Généralités 2. Rappels sur le chiffrement 3. VPN site à site : IPSec 4. Rappels sur PPP 5. VPN client : PPTP, L2F, L2TP

28 IPSec Chapitre 3 : IPSec IP Security (IPSec) a été développé par l IETF pour fournir des services cryptographiques de sécurité de la couche Réseau (niveau 3) qui supporte de façon flexible des combinaisons de : Authentification Intégrit é Confidentialité Un système conforme à IPSec peut : Choisir des protocoles de sécurit é Déterminer les algorithmes à utiliser pour les services Utiliser les clés cryptographiques et les certificats Liste des RFC sur IPSec : (1/2) IP Authentication using Keyed MD5 (RFC 1828) The ESP DES-CBC Transform (RFC 1829) HMAC:Keyed-Hashing for Message Authentication(RFC 2104) HMAC-MD5 IP Authentication with Replay Prevention(RFC 2085) Security Architecture for the Internet Protocol (RFC 2401) The NULL Encryption Algorithm and Its Use With IPsec (RFC 2410) IP Security Document Roadmap (RFC 2411) IP Authentication Header(RFC 2402) The OAKLEY Key Determination Protocol (RFC 2412) The ESP CBC-Mode Cipher Algorithms (RFC 2451) The Use of HMAC-MD5-96 within ESP and AH (RFC 2403) The Use of HMAC-SHA-1-96 within ESP and AH (RFC 2404)

29 IPSec Chapitre 3 : IPSec Les associations de sécurité Une association de sécurité (Security Association, SA) est une connexion logique unilatérale entre un émetteur et un récepteur La communication bilatérale entre deux systèmes IPSec signifie qu une SA doit être définie dans chaque direction. SA # 1 Site : Sophia SA # 2 Site : Rennes Liste des RFC sur IPSec : (2/2) The ESP CBC-Mode Cipher Algorithms (RFC 2451) The Use of HMAC-MD5-96 within ESP and AH (RFC 2403) The Use of HMAC-SHA-1-96 within ESP and AH (RFC 2404) The ESP DES-CBC Cipher Algorithm With Explicit IV (RFC 2405) IP Encapsulating Security Payload (ESP) (RFC 2406) The Internet IP Security Domain of Interpretation for ISAKMP (RFC 2407) Internet Security Associationand Key Management Protocol (ISAKMP) (RFC 2408) The Internet Key Exchange (IKE) (RFC 2409) The Use of HMAC-RIPEMD within ESP and AH (RFC 2857)

30 IPSec Chapitre 3 : IPSec Les associations de sécurité Les SA sont identifiées uniquement par : <Index de paramètre de sécurité, Adresse de destination IP, Protocole de sécurité> Un Index de paramètre de sécurité (Security Parameter Index, SPI) est une valeur de 32 bits qui identifie la SA de chaque paquet Il se trouve dans l en-tête sécurité du protocole

31 IPSec Chapitre 3 : IPSec Les associations de sécurité La Security Association Database (SAD) définit les paramètres associés avec chaque SA Les paramètres incluent : (pas normalisés, diffèrent suivant l implémentation) Un compteur de numéro de Séquence (Sequence Number Counter) Un indicateur d overflow (Sequence Counter Overflow) Une fenêtre anti-rejeu (Anti-replay window) L information AH (AH information, nécessaire pour implémenter AH) L information ESP (ESP information, nécessaire pour implémenter ESP) La durée de vie de SA (SA Lifetime) Le mode de protocole IPSec (IPSec Protocol Mode) Le MTU sur le chemin (Path MTU)

32 IPSec Chapitre 3 : IPSec La politique de sécurité Le trafic IP est rattaché à une SA spécifique utilisant la Security Policy Database (SPD) Chaque entrée de SPD est définie par un ensemble de valeurs de champs des protocoles IP et des couches supérieures, appelées des sélecteurs Les sélecteurs qui déterminent une entrée SPD comprennent Adresse IP Source et Destination + netmask (1) UserID (2) Protocole de la couche Transport Ports Source et Destination IPv4 Type Of Service (TOS) (1) Le plus souvent utilisé (2) Jamais vu d'implémentation ;-(

33 Chapitre 3 : IPSec En-tête d authentification IP AH est utilisé pour assurer l intégrité et l authentification des paquets IP L intégrité des données assure que des modifications non détectées du contenu d un paquet en transit ne sont pas possibles L authentification permet à une extrémité d authentifier la machine Un service de protection contre le rejeu doit être mis en œuvre par un système compatible IPSec Son utilisation est optionnelle AH est un en-tête séparé qui suit l en-tête IP Il authentifie le plus de champs IP possibles (les champs non mutables ) Ne passe pas le NAT! AH est identifié par le numéro de protocole 51

34 Format d en-tête AH Chapitre 3 : IPSec En-tête IP En-tête AH Données utilisateur En-tête suivant Longueur de la charge Réservé Security Parameter Index (SPI) Numéro de séquence Données d authentification (Integrity Check Value) (taille variable) 32 bits

35 Format d en-tête AH Chapitre 3 : IPSec En-tête suivant identifie le type de charge après AH Longueur de la charge contient la longueur du champ Données d authentification Données d authentification est un champ de longueur variable qui contient la valeur de contrôle d intégrité (Integrity Check Value, ICV) pour le paquet Utilisé par le destinataire pour vérifier l intégrité du paquet entrant Généré à partir du contenu de l en-tête et des données du paquet Calculé avec l algorithme sélectionné au moment de l initialisation de la SA Les algorithmes par défaut nécessaires pour l interopérabilité sont HMAC with MD5 HMAC with SHA-1

36 Utilisation d AH Chapitre 3 : IPSec AH peut être utilisé de deux manières différentes Mode transport Mode tunnel Le mode transport est utilisé par les machines et produit moins d overhead Authentifié En-tête IP En-tête AH Transport mode Charge Le mode tunnel est utilisé entre des passerelles Authentifié Nouvel En-tête IP En-tête AH Ancien en-tête IP Charge Mode tunnel

37 Chapitre 3 : IPSec Encapsulating Security Payload (ESP) ESP est utilisé pour permettre Chiffrement Intégrité des données Authentification Le champ ''Données Utilisateur'', Payload Data, est composé d un nombre variable d octets de données décrits par le champ "En-tête suivant" Ce champ est chiffré avec l algorithme cryptographique sélectionné au cours de l établissement de la SA Auth ESP à partir de ESP v2 Possibilité de chiffrement ESPNULL uniquement authentification ESP est identifié par le numéro de protocole 50

38 Chapitre 3 : IPSec Encapsulating Security Payload (ESP) En-tête En-tête IP Données utilisateur En-queue ESP ESP Auth ESP Security Parameter Index (SPI) Numéro de séquence Authentifié Chiffré Données utilisateur (variable) Remplissage (0-255 octets) Longueur de remplissage En-tête suivant Données d authentification (variable) 32 bits

39 Chapitre 3 : IPSec Utilisation d ESP Comme avec AH, ESP peut être utilisé de deux manières différentes : Mode transport Mode tunnel Authentifié Chiffré En-tête IP En-tête ESP Charge Trailer ESP Auth ESP Mode Transport Authentifié Nouvel en-tête IP En-tête ESP Ancien en-tête IP Chiffré Mode Tunnel Charge Trailer ESP Auth ESP

40 Chapitre 3 : IPSec ESP et le NAT / PAT : problématique NAT change PAT change les numéros de port TCP et UDP, mais ESP est un protocole IP ESP Data Hash IP ESP Data Hash IP ESP Data Hash ? NAT / PAT Internet VPN gateway IP ESP Data Hash

41 Chapitre 3 : IPSec NAT-Traversal Utilisation d IPSEC(ESP) encapsulé dans UDP : Mode transport Mode tunnel Authentifié Chiffré En-tête IP UDP (500/500) Non- IKE En-tête ESP Charge Trailer ESP Auth ESP Mode Transport Authentifié Chiffré Nouvel en-tête IP UDP (500/500) Non- IKE En-tête ESP Ancien en-tête IP Mode Tunnel Charge Trailer ESP Auth ESP Drafts : "Negotiation of NAT-Traversal in the IKE", Tero Kivinen, 08-JAN-03. "UDP Encapsulation ofipsec Packets", Ari Huttunen, 14-JAN-03.

42 Chapitre 3 : IPSec Internet Key Exchange (IKE) protocole Internet Key Exchange (IKE) est un protocole de gestion de clef utilisé par IPSec. IKE est composé de : ISAKMP (Internet Security Association and Key Management Protocol) Oakley / SKEME (Secure Key Exchange Mechanism) IPSEC DOI (Domain Of Interpretation) rfc 2407 IKE assure une gestion sécurisée des clés et l échange des clés cryptographiques Authentification des homologues IPSec Négocie les clés IPSec Négocie les associations de sécurité (SA) IPSec

43 Chapitre 3 : IPSec Internet Key Exchange (IKE) ISAKMP ISAKMP est inutilisable seul : c'est un cadre générique qui permet l'utilisation de plusieurs protocoles d'échange de clef et qui peut être utilisé pour d'autres mécanismes de sécurité que ceux de Ipsec. ISAKMP a pour but la négociation, l'établissement, la modification et la suppression des associations de sécurité et de leurs attributs. Oakley (RFC 2412) / SKEME permettre le partage, de façon sûre entre les tiers, d'un ensemble d'informations relatives au chiffrement : IPSEC DOI Clef secrète, identités des tiers, algorithmes de chiffrement, d'authentification et fonction de hachage. Spécifie des paramètres des échanges ISAKMP ; indique que ce dernier travaille pour IPSEC. ISAKMP : UDP port 500

44 IPSec / IKE Chapitre 3 : IPSec Relation entre IPSec, SAD, SPD Administrateur alerte configure DOI Oakley SKEME Application Négocie, Modifie, supprime Pointe sur SPD Demande Création de SA ISAKMP IKE Socket Application protocol consulte Transport (TCP,UDP) SAD consulte IP/Ipsec (AH,ESP) link

45 Négociation ISAKMP Chapitre 3 : IPSec Isakmp phase 1 Négociation des paramètres de sécurité pour ISAKMP. SA Isakmp bi-directionnelle SA Isakmp Générique (pour tout échange de clefs), ou SA Isakmp IPSec (uniquement pour les échanges de clefs pour IPSec) Isakmp phase 2 SA à établir pour le compte d'un mécanisme de sécurité donné (par exemple AH ou ESP). échanges de cette phase sont sécurisés (confidentialité, authenticité...) grâce à la SA ISAKMP.

46 Négociation ISAKMP Chapitre 3 : IPSec Isakmp indépendant de la génération des clefs. Fonctionne par chaînage de blocs (en-tête Next payload). Nom Security Association Proposal Transform Key Exchange Identification Certificate Certificat Request Hash Signature Nonce Notification Delete Vendor ID Sigle SA P T KE ID CERT CR HASH SIG NONCE N D VID Commentaire Indique le DOI de la négociation (1) Mécanisme de sécurité (AH, ESP), suivi par un enchaînement de T Algorithme + attributs Données nécéssaires à la gestion des clefs (dépend du contexte) identification des tiers (2) Certificat, ou Information sur un certificat (3) Demande de certificats. Résultat d un "hashage" sur le message isakmp. Résultat d un algorithme de signature numérique. Aléats Message d'erreur ou d'information. Message d effacement d une SA. Champs propriétaires. (1) Par exemple : 0 pour le DOI SA ISAKMP générique. 1 pour le DOI SA ISAKMP IPsec. (2) Pour ISAKMP c est une adresse IP. (3) Un champ Certificate Encoding (c est le type) et un champ Certificate Data. Les types définis actuellement sont : PKCS #7 wrapped X.509 certificate PGP certificate DNS signed key X.509 certificate - signature X.509 certificate - key exchange Kerberos tokens Certificate revocation list (CRL) Authority revocation list (ARL) SPKI certificate X.509 certificate - attribute

47 Négociation ISAKMP Chapitre 3 : IPSec Les types d échange : Sigle HDR SA KE ID AUTH NONCE * Commentaire ISAKMP Header Security Association Payload Key ExchangePayload Payload Identity Authentication Payload (HASH ou SIG) Nonce Payload Signifie que le message est chiffré SA - DOI - Situation P1 - Mécanisme - SPI T1.1 - Transfo. - Attr. T1.2 - Transfo. - Attr. P2 - Mécanisme - SPI T2.1 - Transfo. - Attr. T2.2 - Transfo. - Attr. Les types d échange définissent des groupes de blocs, afin d avoir une meilleure intéropérabilité, et des fonctions précises (authentification mutuelle, PFS, ) [RFC2408]

48 Négociation ISAKMP Chapitre 3 : IPSec

49 Négociation ISAKMP Chapitre 3 : IPSec Isakmp phase 1 : Main mode (Identity Protection Exchange) Source HDR, SA 1 HDR, SA 2 HDR, KE, NONCE 3 HDR, KE, NONCE 4 HDR*, IDs, AUTH 5 HDR*, IDd, AUTH 6 Destination

50 Négociation ISAKMP Chapitre 3 : IPSec Isakmp phase 1 : Aggressive mode (Aggressive Exchange) Source HDR, SA, KE, NONCE, IDs 1 HDR, SA, KE, NONCE, IDd, AUTH 2 HDR*, AUTH 3 Destination

51 Négociation ISAKMP Chapitre 3 : IPSec Isakmp phase 2 : Quick mode Source Destination HDR*, HASH, SA, NONCE [, KE] [,IDs, IDd] 1 HDR*, HASH, SA, NONCE [, KE] [,IDs, IDd] 2 HDR*, HASH 3

52 IKE et le NAT-Traversal Chapitre 3 : IPSec Détection du support du NAT traversal Utilisation du vendor-string (VID) pour y mettre un hash de RFC XXXX ;-) Détection de la présence d un NAT NAT-D Payload : contient un hash de et du numéro de port. Utilisation d un marqueur Non-ESP pour démultiplexer ESP d ISAKMP Il est conseillé alors d utiliser un numéro de port <> de 500, car certain boitiers NAT/PAT ne font justement pas de PAT sur le port IKE, pour ne pas le perturber

53 Plan 1. Généralités 2. Rappels sur le chiffrement 3. VPN site à site : IPSec 4. Rappels sur PPP 5. VPN client : PPTP, L2F, L2TP

54 PPP Chapitre 4 : PPP Le processus de connexion PPP comporte trois phases principales : Établissement de la liaison Configuration du protocole de la couche réseau Fin de la liaison Link Control Protocol (LCP) (1) Configure, surveille et termine la liaison L'authentification est une phase optionnelle qui suit l'établissement de la liaison (Par exemple, PAP et CHAP [rfc1334]) Network Control Protocol (NCP) Configure les protocoles de la couche réseau transportés dans la connexion PPP Il existe un NCP séparé pour chaque protocole de la couche réseau que supporte PPP (2) (1) LCP : HDLC : RFC 1549 X25 : RFC 1598 ISDN : RFC 1618 SONET/SDH : RFC 1619 PPPoE : RFC 2516 PPP Multilink Protocol (MP) : rfc1717 (2) NCP : IPCP (IP) : RFC 1332 DNCP (Decnet) : RFC 1376 & RFC 1762 ATCP (Appletalk) : RFC 1378 IPXCP (IPX) : RFC 1552 BVCP (Bayan) : RFC 1763 XNSCP (Xerox) : RFC 1764 IPv6 : RFC2472

55 PPP Chapitre 4 : PPP NAS Utilisateur LCP ConfReq LCP ConfAck LCP ConfReq LCP ConfAck ISP Chap Challenge (name=isp) Chap Response Chap Auth OK Requête NCP Réponse NCP Données

56 PPP & la sécurité Chapitre 4 : PPP CCP (Compression Control protocol) Possibilité de compresser l en-tête IP Jacobson, V., "Compressing TCP/IP Headers", RFC 1144, RFC 1962, 1977, 1993, 2509 ECP (Encryption Control protocol) RFC 1968 Paquets LCP, donc avant tout transfert de DATAs. négociation des algorithmes (champ type du paquet LCP) ~ un RFC par algorithme. pre-shared secret DESE (PPP DES Encryption Protocol) : RFC 1969, rfc DESE (PPP Triple-DES Encryption Protocol ) : RFC 2420

57 Authentification PPP Chapitre 4 : PPP PAP (PPP Authentification Protocol RFC1334) Le mot de passe circule en clair. Peut être stock é chiffré sur le NAS. CHAP (Challenge Handshake Authentication Protocol RFC1994) Challenge qui authentifie l utilisateur auprès du NAS (hash md5). Doit être stocké en clair sur le NAS. MS-CHAP[v2] (Microsoft PPP CHAP Extensions [version 2]) RFC 2433 er 2759 double chiffrement Intégration avec les domaines NT et 2k. Authentification du serveur (v2)

58 Challenge Chap Chapitre 4 : PPP Demande de connexion Challenge Challenge Hachage clef Secrète (*) Hachage clef secrète Valeur de hachage (valeur de hachage) réponse Compare Valeur de hachage Client (homologue) Serveur (authentificateur) (*) La clef secrète est bien souvent dérivée d'un mot de passe par un hashmd5 (windows2ooo + kerberos)

59 Ms Chap v1 Chapitre 4 : PPP Hash Windows NT Du mdp Demande de connexion Hash LANMAN Du mdp Challenge Challenge (8 octets) 3 chiffrement DES Réponse de 2X 24 octets 3 chiffrement DES Client (homologue) Serveur (authentificateur)

60 Ms Chap v2 Chapitre 4 : PPP 1. Le client demande une épreuve au serveur. 2. Le serveur envoie en réponse une épreuve de 16 octets aléatoires. 3. A- Le client génère un nombre aléatoire de 16 octets, appelé "l'épreuve égale d'authentification. B- Le client génére une épreuve de 8 octets en hachant l'épreuve de 16 octets reçue à l'étape (2), les 16 octets de l'épreuve égale d'authentification générés à l'étape (3a) et le nom de l'utilisateur du client. C- Le client crée une réponse de 24 octets, en utilisant la fonction de hachage Windows NT et les 8 octets de l'épreuve générés à l'étape (3b). Ce processus est identique à celui de MS-CHAPv1. D- Le client transmet au serveur les résultats des étapes (3a) et (3c). Quelques différences v1- v2 : MS-CHAP version 1 Négociation CHAP avec une valeur d'algorithme de 0x80. Le serveur envoie une valeur épreuve de 8 octets. Le client envoie 24 octets LANMAN et 24 octets NT en réponse aux 8 octets d'épreuve. Le serveur envoie une réponse indiquant le SUCCES ou l'echec. Le client décide de continuer en fonction de la réponse SUCCES ou ECHEC du serveur.

61 Ms Chap v2 Chapitre 4 : PPP 4. A- Le serveur utilise les hachages du mot de passe du client, conservé dans une base de données, afin de déchiffrer les réponses. Si les blocs déchiffrés correspondent à l'épreuve, le client est authentifié. B- Le serveur utilise les 16 octets de l'épreuve égale d'authentification du client, tout comme le mot de passe haché du client, afin de créer une "réponse d'authentification de 20 octets. 5. Le client calcule aussi une réponse d'authentification. Si celle-ci correspond à celle reçue en réponse, le serveur est authentifié. Quelques différences v1- v2 : MS-CHAP version 2 Négociation CHAP avec une valeur d'algorithme de 0x81. Le serveur envoie une valeur de 16 octets qui devra être utilisée par le client dans la création d'une valeur d'épreuve de 8 octets Le client envoie 16 octets d'épreuve égale qui ont été utilisés pour créer l'épreuve de 8 octets cachés, et la réponse NT en 24 octets. Le serveur envoie une réponse indiquant SUCCES ou ECHEC et transmet une réponse d'authentification de 16 octets. Le client décide de continuer en fonction de la réponse SUCCES ou ECHEC. En plus, le client vérifie la validité de la réponse d'authentification et se déconnecte si elle est incorrecte.

62 Authentification PPP Chapitre 4 : PPP EAP (PPP Extensible Authentication Protocol RFC 2284) Dissociation de l authentification de LCP (EAP après LCP) Négociation de la méthode d authentification Identity (juste un login) MD5-challenge (= CHAP) OTP (RFC 1938) Generic Token Card EAP-TLS (Transport Level Security) (RFC 2716) Utilisation de TLS pour de l authentification mutuel, pour la négociation des clefs pour ECP.

63 Plan 1. Généralités 2. Rappels sur le chiffrement 3. VPN site à site : IPSec 4. Rappels sur PPP 5. VPN client : PPTP, L2F, L2TP

64 VPN client généralité Chapitre 5 : PPTP / L2F / L2TP Fournir à la machine distante du réseau interne sur authentification utilisateur. Utilisation de PPP La machine a déjà une adresse IP (routée ou NATée) Le tunnel sera effectué par la machine elle-même. En accord avec un ISP, fournir au nomade distant du réseau interne de l entreprise sur authentification utilisateur. Négociacion PPP avec la passerelle VPN de l entreprise.

65 VPN client PPTP Chapitre 5 : PPTP / L2F / L2TP Point-to-Point Tunneling Protocol (PPTP) Développé en partenariat avec Ascend Communications, 3Com Corporation/U.S. Robotics, ECI Telematics, et Microsoft En tant qu extension de la norme PPP, PPTP est utilisé pour créer des VPN multi-protocoles. Les datagrammes des protocoles réseau sont encapsulés dans une enveloppe IP (utilisation de GRE et GREv2 pour l encapsulation) Une session de contrôle du tunnel (1723/TCP) Plusieurs "sessions" dans le même tunnel PPTP : RFC 2637 GRE (Generic Routing Encapsulation) : RFC 1701 et RFC 1702 GREv2 : Ajout d aquittements dans GRE.

66 VPN client GRE Chapitre 5 : PPTP / L2F / L2TP Les datagrammes des protocoles réseau sont encapsulés dans une enveloppe IP (utilisation de GRE et GREv2 pour l encapsulation) C R K S s Recur Flags Ver Protocol Type Checksum (optional) Offset (optional) Key (optional) Sequence Number (optional) Routing (optional) GRE : IP protocole 47. Protocol Type ~= Protocol type d ethernet (ftp://ftp.isi.edu/innotes/iana/assignments/ethernet- numbers.)

Les Réseaux Privés Virtuels (VPN) Définition d'un VPN

Les Réseaux Privés Virtuels (VPN) Définition d'un VPN Les Réseaux Privés Virtuels (VPN) 1 Définition d'un VPN Un VPN est un réseau privé qui utilise un réseau publique comme backbone Seuls les utilisateurs ou les groupes qui sont enregistrés dans ce vpn peuvent

Plus en détail

IPSec peut fonctionner selon deux modes, transport ou tunel.

IPSec peut fonctionner selon deux modes, transport ou tunel. Infrastructure PKI (public key infrastructure) Le cryptage symétrique Utilise la même clé pour crypter et décrypter un document Le cryptage asymétrique Utilise une paire de clé public et privée différente

Plus en détail

Tunnels et VPN. 20/02/2008 Formation Permanente Paris6 86. Sécurisation des communications

Tunnels et VPN. 20/02/2008 Formation Permanente Paris6 86. Sécurisation des communications Tunnels et VPN 20/02/2008 Formation Permanente Paris6 86 Sécurisation des communications Remplacement ou sécurisation de tous les protocoles ne chiffrant pas l authentification + éventuellement chiffrement

Plus en détail

Sécurité des réseaux IPSec

Sécurité des réseaux IPSec Sécurité des réseaux IPSec A. Guermouche A. Guermouche Cours 4 : IPSec 1 Plan 1. A. Guermouche Cours 4 : IPSec 2 Plan 1. A. Guermouche Cours 4 : IPSec 3 Pourquoi? Premier constat sur l aspect critique

Plus en détail

SSL ET IPSEC. Licence Pro ATC Amel Guetat

SSL ET IPSEC. Licence Pro ATC Amel Guetat SSL ET IPSEC Licence Pro ATC Amel Guetat LES APPLICATIONS DU CHIFFREMENT Le protocole SSL (Secure Socket Layer) La sécurité réseau avec IPSec (IP Security Protocol) SSL - SECURE SOCKET LAYER Historique

Plus en détail

RSX112 Sécurité et réseaux

RSX112 Sécurité et réseaux RSX112 Sécurité et réseaux Module 9 VPN, IPSec, MPLS, PKI 1 CNAM 2007-09/EBU Résumé séance précédente Firewalls IDS Protocoles de sécurité réseau Tunnels Authentification (PAP, CHAP, Tacacs, EAP) 2 CNAM

Plus en détail

Réseaux. Virtual Private Network

Réseaux. Virtual Private Network Réseaux Virtual Private Network Sommaire 1. Généralités 2. Les différents types de VPN 3. Les protocoles utilisés 4. Les implémentations 2 Sommaire Généralités 3 Généralités Un VPN ou RPV (réseau privé

Plus en détail

Introduction à la sécurité dans les réseaux d entreprise

Introduction à la sécurité dans les réseaux d entreprise 1 Introduction à la sécurité dans les réseaux d entreprise Risques & attaques Techniques de protection Sécurisation des échanges Comment sécuriser les échanges dans un réseau étendu? 2 DSLAM ATM ATM SA

Plus en détail

Chapitre 5 : IPSec. SÉcurité et Cryptographie 2013-2014. Sup Galilée INFO3

Chapitre 5 : IPSec. SÉcurité et Cryptographie 2013-2014. Sup Galilée INFO3 Chapitre 5 : IPSec SÉcurité et Cryptographie 2013-2014 Sup Galilée INFO3 1 / 11 Sécurité des réseaux? Confidentialité : Seuls l émetteur et le récepteur légitime doivent être en mesure de comprendre le

Plus en détail

Tunnels. Plan. Pourquoi? Comment? Qu est-ce? Quelles solutions? Tunnels applicatifs ESIL INFO 2005/2006. Sophie Nicoud Sophie.Nicoud@urec.cnrs.

Tunnels. Plan. Pourquoi? Comment? Qu est-ce? Quelles solutions? Tunnels applicatifs ESIL INFO 2005/2006. Sophie Nicoud Sophie.Nicoud@urec.cnrs. Tunnels ESIL INFO 2005/2006 Sophie Nicoud Sophie.Nicoud@urec.cnrs.fr Plan Pourquoi? Comment? Qu est-ce? Quelles solutions? Tunnels applicatifs 2 Tunnels, pourquoi? Relier deux réseaux locaux à travers

Plus en détail

La sécurité des Réseaux Partie 6.2 VPN

La sécurité des Réseaux Partie 6.2 VPN La sécurité des Réseaux Partie 6.2 VPN Fabrice Theoleyre Enseignement : INSA Lyon / CPE Recherche : Laboratoire CITI / INSA Lyon Références F. Ia et O. Menager, Optimiser et sécuriser son trafic IP, éditions

Plus en détail

Les VPN. Plan. Présentation des VPN VPN de niveau 3 (IPsec) VPN de niveau 2 PPTP GRE (PPP) Conclusion VLAN. Bernard Cousin. Virtual Private Network 2

Les VPN. Plan. Présentation des VPN VPN de niveau 3 (IPsec) VPN de niveau 2 PPTP GRE (PPP) Conclusion VLAN. Bernard Cousin. Virtual Private Network 2 Les VPN Bernard Cousin Plan Présentation des VPN VPN de niveau 3 (IPsec) VPN de niveau 2 PPTP GRE (PPP) Conclusion VLAN Virtual Private Network 2 1 Rôle des VPN Un "Virtual Private Network" : Réseau :

Plus en détail

Réseaux virtuels Applications possibles :

Réseaux virtuels Applications possibles : Réseaux virtuels La mise en place d'un réseau privé virtuel permet de connecter de façon sécurisée des ordinateurs distants au travers d'une liaison non fiable (Internet), comme s'ils étaient sur le même

Plus en détail

Les VPN Fonctionnement, mise en oeuvre et maintenance des Réseaux Privés Virtuels [2ième édition] - 2 tomes

Les VPN Fonctionnement, mise en oeuvre et maintenance des Réseaux Privés Virtuels [2ième édition] - 2 tomes Introduction 1. Objectifs du livre 17 2. Public visé 18 3. Connaissances préalables recommandées 18 4. Changements effectués dans cette deuxième édition 19 5. Organisation de l'ouvrage 19 6. Réseaux, matériels

Plus en détail

Le protocole IPSec. et Les Réseaux Virtuels Privés. Yves Legrandgérard email : ylg@pps.jussieu.fr

Le protocole IPSec. et Les Réseaux Virtuels Privés. Yves Legrandgérard email : ylg@pps.jussieu.fr Le protocole IPSec et Les Réseaux Virtuels Privés Yves Legrandgérard email : ylg@pps.jussieu.fr Principales caractéristiques du protocole IPSec application application TCP/UDP IPv4/v6 IPSec TCP/UDP IPv4/v6

Plus en détail

Réseaux Privés Virtuels

Réseaux Privés Virtuels Réseaux Privés Virtuels Introduction Théorie Standards VPN basés sur des standards VPN non standards VPN commerciaux Gestion d'un VPN VPN standards IPIP GRE IPSEC SSH/PPP PPTP MPLS IPIP Présentation Disponibilité

Plus en détail

IPv6. IPv6 et la sécurité: IPsec Objectif: Sécuriser... v.1a E. Berera 1

IPv6. IPv6 et la sécurité: IPsec Objectif: Sécuriser... v.1a E. Berera 1 IPv6 IPv6 et la sécurité: IPsec Objectif: Sécuriser... v.1a E. Berera 1 IPsec Toutes les implémentations conformes IPv6 doivent intégrer IPsec Services Confidentialité des données Confidentialité du flux

Plus en détail

Protocoles et services

Protocoles et services Protocoles et services Introduction Présentation Principaux protocoles PPTP GRE L2TP IPSec MPLS SSL Comparatif Démonstration Conclusion Besoins d une entreprise Avoir accès a un réseau local de n importe

Plus en détail

Tunnels et VPN. 22/01/2009 Formation Permanente Paris6 86

Tunnels et VPN. 22/01/2009 Formation Permanente Paris6 86 Tunnels et VPN 22/01/2009 Formation Permanente Paris6 86 Sécurisation des communications Remplacement ou sécurisation de tous les protocoles ne chiffrant pas l authentification + éventuellement chiffrement

Plus en détail

IPSec Internet Protocol Security

IPSec Internet Protocol Security IPSec Internet Protocol Security Rapport A4 Responsable : Richard Terrat SOMMAIRE 1. Introduction... 2 2. Services offerts par IPSec... 3 3. Les sous-protocoles... 4 3.1. Le sous-protocole AH... 4 3.2.

Plus en détail

Eric DENIZOT José PEREIRA Anthony BERGER

Eric DENIZOT José PEREIRA Anthony BERGER Eric DENIZOT José PEREIRA Anthony BERGER M1 aménagé Projet Biblio 1/33 Introduction :... 4 Présentation : rôle et fonctionnement des VPN :... 5 I. Clés, chiffrement, sécurité :... 7 1. Les éléments du

Plus en détail

Sécurité GNU/Linux. Virtual Private Network

Sécurité GNU/Linux. Virtual Private Network Sécurité GNU/Linux Virtual Private Network By ShareVB Sommaire I.Le concept de réseau privé virtuel...1 a)introduction...1 b)un peu plus sur le fonctionnement du VPN...2 c)les fonctionnalités du VPN en

Plus en détail

Réseaux VPN. L'authentification : il faut être certain que ce soit la bonne personne ou entité qui cherche à établir le VPN

Réseaux VPN. L'authentification : il faut être certain que ce soit la bonne personne ou entité qui cherche à établir le VPN Réseaux VPN Ce dossier a pour but d'expliquer de la façon la plus simple possible ce qu'est un VPN, tant sur le principe que sur les moyens techniques et les technologies nécessaires à sa mise en oeuvre.

Plus en détail

Relier deux sites distants par un tunnel sécurisé. Nous utiliserons les technologies de cryptage :

Relier deux sites distants par un tunnel sécurisé. Nous utiliserons les technologies de cryptage : TUNNEL IPSEC OBJECTIF Relier deux sites distants par un tunnel sécurisé. Nous utiliserons les technologies de cryptage : AH : Authentification Header, protocole sans chiffrement de données ESP : Encapsulation

Plus en détail

WIFI & Sécurité. Jean-Luc Damoiseaux IUT-Aix en Provence Dpt R&T

WIFI & Sécurité. Jean-Luc Damoiseaux IUT-Aix en Provence Dpt R&T WIFI & Sécurité Jean-Luc Damoiseaux IUT-Aix en Provence Dpt R&T Plan La sécurité dans le wifi Éléments de cryptographie Protocoles pour la sécurisation 2 Contraintes de sécurisation Authentification :

Plus en détail

VPN IP security Protocol

VPN IP security Protocol VPN IP security Protocol Plan I. Application IPsec : les VPN II. Normalisation d'ipsec III.. Modes opératoires d IPsecd IV.. Protocoles de sécurits curité AH et ESP V. Fonctionnement SA, SAD, SPD VI. Gestion,

Plus en détail

IPSEC : PRÉSENTATION TECHNIQUE

IPSEC : PRÉSENTATION TECHNIQUE IPSEC : PRÉSENTATION TECHNIQUE Ghislaine Labouret Hervé Schauer Consultants (HSC) 142, rue de Rivoli 75001 Paris FRANCE http://www.hsc.fr/ IPsec : présentation technique Par Ghislaine LABOURET (Ghislaine.Labouret@hsc.fr)

Plus en détail

Protocole Point-à-Point (PPP)

Protocole Point-à-Point (PPP) Protocole Point-à-Point (PPP) N. Lebedev CPE Lyon lebedev@cpe.fr 2005-2006 1 / 28 Plan I 1 Introduction 2 Session PPP 3 Authentification 4 PPPo(X) PPP over something 5 Configuration PPP 2005-2006 2 / 28

Plus en détail

VPN et Solutions pour l entreprise

VPN et Solutions pour l entreprise VPN et Solutions pour l entreprise C. Pham Université de Pau et des Pays de l Adour Département Informatique http://www.univ-pau.fr/~cpham Congduc.Pham@univ-pau.fr Ces transparents sont basés sur une présentation

Plus en détail

Jonathan DERQUE - Jean-Francois SMIGIELSKI. XVPND extended VPN Dæmon p.1/53

Jonathan DERQUE - Jean-Francois SMIGIELSKI. XVPND extended VPN Dæmon p.1/53 XVPND extended VPN Dæmon Jonathan DERQUE - Jean-Francois SMIGIELSKI XVPND extended VPN Dæmon p.1/53 Plan Introduction Présentation Implémentation Tests Perspectives d évolution Conclusion XVPND extended

Plus en détail

Le protocole SSH (Secure Shell)

Le protocole SSH (Secure Shell) Solution transparente pour la constitution de réseaux privés virtuels (RPV) INEO.VPN Le protocole SSH (Secure Shell) Tous droits réservés à INEOVATION. INEOVATION est une marque protégée PLAN Introduction

Plus en détail

Note technique. Recommandations de sécurité relatives à IPsec 1 pour la protection des flux réseau

Note technique. Recommandations de sécurité relatives à IPsec 1 pour la protection des flux réseau P R E M I E R M I N I S T R E Secrétariat général Paris, le 31 août 2012 de la défense et de la sécurité nationale N o DAT-NT-003/ANSSI/SDE/ Agence nationale de la sécurité Nombre de pages du document

Plus en détail

1 PfSense 1. Qu est-ce que c est

1 PfSense 1. Qu est-ce que c est 1 PfSense 1 Qu est-ce que c est une distribution basée sur FreeBSD ; un fournisseur de services : serveur de temps : NTPD ; relais DNS ; serveur DHCP ; portail captif de connexion ; un routeur entre un

Plus en détail

IPSEC ACCÈS DISTANT. Jean-Jacques Puig Institut National des Télécoms jean-jacques.puig@int-evry.fr

IPSEC ACCÈS DISTANT. Jean-Jacques Puig Institut National des Télécoms jean-jacques.puig@int-evry.fr IPSEC & ACCÈS DISTANT Jean-Jacques Puig Institut National des Télécoms jean-jacques.puig@int-evry.fr IPSEC ET ACCÈS DISTANT 1 Les Mécanismes d'ipsec 2 Scénarios d'accès Distants 3 Intégration des Serveurs

Plus en détail

La sécurité des Réseaux Par0e 6.2 VPN

La sécurité des Réseaux Par0e 6.2 VPN La sécurité des Réseaux Par0e 6.2 VPN Fabrice Theoleyre theoleyre@unistra.fr Références F. Ia et O. Menager, Op#miser et sécuriser son trafic IP, édi0ons Eyrolles S. Coulondre, cours de sécurité, INSA

Plus en détail

Windows Server 2008 Sécurité ADMINISTRATION ET CONFIGURATION DE LA SECURITE OLIVIER D.

Windows Server 2008 Sécurité ADMINISTRATION ET CONFIGURATION DE LA SECURITE OLIVIER D. 2013 Windows Server 2008 Sécurité ADMINISTRATION ET CONFIGURATION DE LA SECURITE OLIVIER D. Table des matières 1 Les architectures sécurisées... 3 2 La PKI : Autorité de certification... 6 3 Installation

Plus en détail

CONSEILS EN MATIÈRE DE SÉCURITÉ POUR LES PRODUITS COMMERCIAUX (CSPC) RÉSEAUX PRIVÉS VIRTUELS (RPV)

CONSEILS EN MATIÈRE DE SÉCURITÉ POUR LES PRODUITS COMMERCIAUX (CSPC) RÉSEAUX PRIVÉS VIRTUELS (RPV) CONSEILS EN MATIÈRE DE SÉCURITÉ POUR LES PRODUITS COMMERCIAUX (CSPC) RÉSEAUX PRIVÉS VIRTUELS (RPV) CSG-01\G Août Page intentionnellement laissée en blanc. Avant-propos Le document est NON CLASSIFIÉ et

Plus en détail

Crypto et sécurité de l information

Crypto et sécurité de l information 1 / 73 Crypto et sécurité de l information Chap 4: Gestion des clés symétriques ou asymétriques, Protocoles d authentification, Kerberos, Protocoles de sécurité Rhouma Rhouma https://sites.google.com/site/rhoouma

Plus en détail

TP VPN. But : Monter un tunnel VPN entre les deux sites. A et B. Routeur TP

TP VPN. But : Monter un tunnel VPN entre les deux sites. A et B. Routeur TP TP VPN But : Monter un tunnel VPN entre les deux sites. A et B 192.168.1. 0 E0 :192.168.1.1 Routeur TP E1 :192.168.2.1 192.168.2. 0 1A 2A 3A 4A 1B 2B 3B 4B Les tunnels VPN se feront entre le les PC de

Plus en détail

Sécurité des réseaux sans fil

Sécurité des réseaux sans fil Sécurité des réseaux sans fil Francois.Morris@lmcp.jussieu.fr 13/10/04 Sécurité des réseaux sans fil 1 La sécurité selon les acteurs Responsable réseau, fournisseur d accès Identification, authentification

Plus en détail

Table des matières AVANT-PROPOS... MODULE 1 : ENVIRONNEMENT... 1-1 MODULE 2 : ATTAQUES COURANTES... 2-1

Table des matières AVANT-PROPOS... MODULE 1 : ENVIRONNEMENT... 1-1 MODULE 2 : ATTAQUES COURANTES... 2-1 Table des matières AVANT-PROPOS... MODULE 1 : ENVIRONNEMENT... 1-1 Problématiques de la sécurité... 1-2 Domaines de la sécurité... 1-4 Buts de la sécurité informatique... 1-6 Niveaux de sécurité... 1-7

Plus en détail

Table des matières 1 Accès distant sur Windows 2008 Server...2 1.1 Introduction...2

Table des matières 1 Accès distant sur Windows 2008 Server...2 1.1 Introduction...2 Table des matières 1 Accès distant sur Windows 2008 Server...2 1.1 Introduction...2 1.2 Accès distant (dial-in)...2 1.3 VPN...3 1.4 Authentification...4 1.5 Configuration d un réseau privé virtuel (vpn)...6

Plus en détail

VPN Virtual PrivateNetworks

VPN Virtual PrivateNetworks VPN Virtual PrivateNetworks Préparé par: Ayoub SECK Ingénieur-Chercheur en Télécommunications Spécialiste en Réseaux IP et Télécoms mobiles Certifié: JNCIA, CCNA-SECURITY, CCNP,CCDP Suggestions: seckayoub@gmail.com

Plus en détail

PGP créé par Ph. Zimmermann Aujourd hui : PGP (Pretty Good Privacy) : commercial GPG (GnuPG) : version libre (licence GPL)

PGP créé par Ph. Zimmermann Aujourd hui : PGP (Pretty Good Privacy) : commercial GPG (GnuPG) : version libre (licence GPL) PGP créé par Ph. Zimmermann Aujourd hui : PGP (Pretty Good Privacy) : commercial GPG (GnuPG) : version libre (licence GPL) PGP/GPG Combine techniques symétriques et asymétriques Permet de chiffrer et signer

Plus en détail

Réseaux Privés Virtuels - Vpn

Réseaux Privés Virtuels - Vpn Réseaux Privés Virtuels - Vpn 1 - Introduction 2 - Principe de fonctionnement 2.1 - Principe général 2.2 - Fonctionnalités des Vpn 2.2.1 - Le Vpn d'accès 2.2.2 - L'intranet Vpn 2.2.3 - L'extranet Vpn 2.2.4

Plus en détail

Sécurité dans la couche Réseau. Daniel Wasserrab Andreas Wundsam

Sécurité dans la couche Réseau. Daniel Wasserrab <dwasserr@ens-lyon.fr> Andreas Wundsam <awundsam@ens-lyon.fr> Sécurité dans la couche Réseau Daniel Wasserrab Andreas Wundsam Articulation 1. Introduction a) Définition b) IPsec vs. protocoles de la couche application

Plus en détail

Réseaux Privés Virtuels

Réseaux Privés Virtuels Réseaux Privés Virtuels Introduction Théorie Standards VPN basés sur des standards VPN non standards Nouvelles technologies, WiFi, MPLS Gestion d'un VPN, Gestion d'une PKI Introduction Organisation du

Plus en détail

Guide de configuration IPsec

Guide de configuration IPsec Guide de configuration IPsec Version 0 CAN-FRE Définitions des remarques Ce guide de l utilisateur utilise l'icône suivante : Les remarques indiquent la marche à suivre dans une situation donnée ou donnent

Plus en détail

VPN TLS avec OpenVPN. Matthieu Herrb. 14 Mars 2005

VPN TLS avec OpenVPN. Matthieu Herrb. 14 Mars 2005 VPN TLS avec Matthieu Herrb 14 Mars 2005 Coordinateurs Sécurité CNRS - 14/3/2005 Pour en finir avec IPSec IPSec : sécurisation au niveau réseau. développé avec IPv6, protocoles spécifiques AH & ESP, modes

Plus en détail

Annexe 8. Documents et URL de référence

Annexe 8. Documents et URL de référence Documents et URL de référence Normes et standards Normes ANSI ANSI X9.30:1-1997, Public Key Cryptography for the Financial Services Industry: Part 1: The Digital Signature Algorithm (DSA) (revision of

Plus en détail

Les réseaux virtuels

Les réseaux virtuels Les réseaux virtuels Pourquoi? VLAN : Virtual LAN Avec ATM VPN: Virtual Private Network -PPTP -L2TP -IPSEC Virtual LAN On a un dilemme: o Protocoles orientés diffusion (CSMA/CD) o Très «plats», pas hiérarchisés,

Plus en détail

TECHNICAL NOTE. Configuration d un tunnel VPN entre un firewall NETASQ et le client VPN. Authentification par clé pré-partagée. Version 7.

TECHNICAL NOTE. Configuration d un tunnel VPN entre un firewall NETASQ et le client VPN. Authentification par clé pré-partagée. Version 7. TECHNICAL NOTE TECHNICAL NOTE Configuration d un tunnel VPN entre un firewall NETASQ et le client VPN. Authentification par clé pré-partagée Version 7.0 1 TECHNICAL NOTE : SOMMAIRE SOMMAIRE SOMMAIRE 2

Plus en détail

Services d infrastructure réseaux

Services d infrastructure réseaux Services d infrastructure réseaux Cours de Réseaux Tuyêt Trâm DANG NGOC Université de Cergy-Pontoise 2012-2013 Tuyêt Trâm DANG NGOC Services d infrastructure réseaux 1 / 30 Plan 1 Adressage

Plus en détail

Couche réseau : autour d IP. Claude Chaudet

Couche réseau : autour d IP. Claude Chaudet Couche réseau : autour d IP Claude Chaudet 2 ICMP : Signalisation dans IP Positionnement et rôle d'icmp IP est, en soi, un mécanisme simple dédié à l'acheminement de trames Il ne définit pas de messages

Plus en détail

2. MAQUETTAGE DES SOLUTIONS CONSTRUCTIVES. 2.2 Architecture fonctionnelle d un système communicant. http://robert.cireddu.free.

2. MAQUETTAGE DES SOLUTIONS CONSTRUCTIVES. 2.2 Architecture fonctionnelle d un système communicant. http://robert.cireddu.free. 2. MAQUETTAGE DES SOLUTIONS CONSTRUCTIVES 2.2 Architecture fonctionnelle d un système communicant Page:1/11 http://robert.cireddu.free.fr/sin LES DÉFENSES Objectifs du COURS : Ce cours traitera essentiellement

Plus en détail

BTS SIO2: module SISR5 TP VPN sous Windows server 2008 TP VPN

BTS SIO2: module SISR5 TP VPN sous Windows server 2008 TP VPN TP VPN Pré requis et Configuration initiale des machines Utilisation de quatre machines, un client (Windows 7 pour simuler le client VPN), un serveur (Windows Server 2008 => WS2008 pour le serveur VPN),

Plus en détail

Les techniques de tunnels VPN

Les techniques de tunnels VPN Les techniques de tunnels VPN Roland Dirlewanger CNRS - Délégation Aquitaine-Limousin Esplanade des Arts et Métiers 33402 TALENCE CEDEX Roland.Dirlewanger@dr15.cnrs.fr Sommaire Généralités Trois solutions

Plus en détail

Devoir Surveillé de Sécurité des Réseaux

Devoir Surveillé de Sécurité des Réseaux Année scolaire 2009-2010 IG2I L5GRM Devoir Surveillé de Sécurité des Réseaux Enseignant : Armand Toguyéni Durée : 2h Documents : Polycopiés de cours autorisés Note : Ce sujet comporte deux parties. La

Plus en détail

Chapitre 3 INTÉGRITÉ ET AUTHENTIFICATION

Chapitre 3 INTÉGRITÉ ET AUTHENTIFICATION Chapitre 3 INTÉGRITÉ ET AUTHENTIFICATION 32 Services souhaités par la cryptographie Confidentialité : Rendre le message secret entre deux tiers Authentification : Le message émane t-il de l expéditeur

Plus en détail

Réseaux Privés Virtuels - Vpn Par Xavier Lasserre, Thomas Klein et _SebF

Réseaux Privés Virtuels - Vpn Par Xavier Lasserre, Thomas Klein et _SebF Réseaux Privés Virtuels - Vpn Par Xavier Lasserre, Thomas Klein et _SebF 1 - Introduction 2 - Principe de fonctionnement 2.1 - Principe général 2.2 - Fonctionnalités des Vpn 2.2.1 - Le Vpn d'accès 2.2.2

Plus en détail

Cryptographie Échanges de données sécurisés

Cryptographie Échanges de données sécurisés Cryptographie Échanges de données sécurisés Différents niveaux d'intégration dans l'organisation du réseau TCP/IP Au niveau 3 (couche réseau chargée de l'envoi des datagrammes IP) : IPSec Au niveau 4 (couche

Plus en détail

Clé maitre = P RF(clé préliminaire, master secret, ClientHelloRandom.ServerHelloRandom)

Clé maitre = P RF(clé préliminaire, master secret, ClientHelloRandom.ServerHelloRandom) SSL et TLS 1) Introduction Le protocole SSL, Secure Socket Layer définit une connexion sécurisée au-dessus d une couche transport fiable, TCP, Transfer Control Protocol, par exemple. La version SSLv2 a

Plus en détail

Configuration de l'accès distant

Configuration de l'accès distant Configuration de l'accès distant L'accès distant permet aux utilisateurs de se connecter à votre réseau à partir d'un site distant. Les premières tâches à effectuer pour mettre en oeuvre un accès distant

Plus en détail

POURQUOI UNE POLITIQUE DE SECURITE?

POURQUOI UNE POLITIQUE DE SECURITE? POURQUOI UNE POLITIQUE DE SECURITE? La finalité d'un réseau est la communication de données, la sécurité n'est donc pas l'objectif premier Toutefois, le développement de l'internet, de ses usages, la multiplication

Plus en détail

Une brève introduction à L interconnexion de réseaux IP

Une brève introduction à L interconnexion de réseaux IP Une brève introduction à L interconnexion de réseaux IP Chaput Emmanuel 24-25 Chaput Emmanuel Une brève introduction àl interconnexion de réseaux IP 24-25 1 / 58 1 Les problèmes 2 Classification des problèmes

Plus en détail

Chiffrement à clef publique, authentification et distribution des clefs. Plan

Chiffrement à clef publique, authentification et distribution des clefs. Plan Chiffrement à clef publique, authentification et distribution des clefs Sécurité des réseaux informatiques 1 Plan Les principes de l'authentification de message Les fonctions de hachage sécurisées SHA-1

Plus en détail

Fiche technique. NCP Secure Enterprise Client Windows. Technologie d'accès à distance au réseau nouvelle génération

Fiche technique. NCP Secure Enterprise Client Windows. Technologie d'accès à distance au réseau nouvelle génération Suite Client VPN pour Windows universelle et à gestion centralisée Gestion centralisée (Secure Enterprise Management, SEM) Network Access Control /contrôle d'accès réseau (Stratégie postes terminaux) Compatible

Plus en détail

Projet «[VPN Redondant]»

Projet «[VPN Redondant]» Projet «[VPN Redondant]» 10 janvier 2006 Historique des révisions Date Version Description Auteur 11 octobre 2005 1.0 Création du document Guillaume Coqueblin 26 octobre 2005 1.1 Révision Guillaume Coqueblin

Plus en détail

THESE PROFESSIONNELLE Pour l obtention d un Diplôme de Mastère Professionnel en Sécurité des Systèmes d Information et des Réseaux (SSIR4)

THESE PROFESSIONNELLE Pour l obtention d un Diplôme de Mastère Professionnel en Sécurité des Systèmes d Information et des Réseaux (SSIR4) REPUBLIQUE TUNISIENNE MINISTERE DE L ENSEIGNEMENT SUPERIEUR Technologie de l Information et de Management de l Entreprise Université Privée Agrément n 1/2002 THESE PROFESSIONNELLE Pour l obtention d un

Plus en détail

Chapitre II. Introduction à la cryptographie

Chapitre II. Introduction à la cryptographie Chapitre II Introduction à la cryptographie PLAN 1. Terminologie 2. Chiffrement symétrique 3. Chiffrement asymétrique 4. Fonction de hachage 5. Signature numérique 6. Scellement 7. Echange de clés 8. Principe

Plus en détail

Approfondissement Technique. Exia A5 VPN

Approfondissement Technique. Exia A5 VPN Approfondissement Technique Exia A5 VPN Amandine Muller & Mathieu Schmitt 12 décembre 2011 Introduction Toute entreprise qui veut progresser et s implanter durablement sur le marché actuel nécessite une

Plus en détail

Protocoles utilisant des mécanismes d'authentification: TACACS+, RADIUS et Kerberos

Protocoles utilisant des mécanismes d'authentification: TACACS+, RADIUS et Kerberos Sécurisation des systèmes Protocoles utilisant des mécanismes d'authentification: TACACS+, RADIUS et Kerberos Tarik BOUDJEMAA Sadek YAHIAOUI 2007 2008 Master 2 Professionnel STIC Informatique Sécurisation

Plus en détail

Les Protocoles de sécurité dans les réseaux WiFi. Ihsane MOUTAIB & Lamia ELOFIR FM05

Les Protocoles de sécurité dans les réseaux WiFi. Ihsane MOUTAIB & Lamia ELOFIR FM05 Les Protocoles de sécurité dans les réseaux WiFi Ihsane MOUTAIB & Lamia ELOFIR FM05 PLAN Introduction Notions de sécurité Types d attaques Les solutions standards Les solutions temporaires La solution

Plus en détail

La citadelle électronique séminaire du 14 mars 2002

La citadelle électronique séminaire du 14 mars 2002 e-xpert Solutions SA 29, route de Pré-Marais CH 1233 Bernex-Genève Tél +41 22 727 05 55 Fax +41 22 727 05 50 La citadelle électronique séminaire du 14 mars 2002 4 info@e-xpertsolutions.com www.e-xpertsolutions.com

Plus en détail

Professeur tuteur du projet : J.SAQUET M2 ESecure Année 2012-2013 LABBÉ Tristan

Professeur tuteur du projet : J.SAQUET M2 ESecure Année 2012-2013 LABBÉ Tristan Établissement simple D IPsec Professeur tuteur du projet : J.SAQUET M2 ESecure Année 2012-2013 LABBÉ Tristan Remerciements : Je tiens à remercier Monsieur Jean SAQUET, professeur à l université de Caen

Plus en détail

IPSec a été développé par l'ietf dans le but. IPSec : Techniques

IPSec a été développé par l'ietf dans le but. IPSec : Techniques IPSec : Techniques Fiche technique Bénoni MARTIN Degré de difficulté L un des protocoles les plus complexes, complexité notamment dûe au fait que IPSec se base sur d autres protocoles (AH, ESP, ISAKMP,

Plus en détail

Certificats électroniques

Certificats électroniques Certificats électroniques Matthieu Herrb Jean-Luc Archimaud, Nicole Dausque & Marie-Claude Quidoz Février 2002 CNRS-LAAS Plan Services de sécurité Principes de cryptographie et signature électronique Autorités

Plus en détail

Architectures PKI. Sébastien VARRETTE

Architectures PKI. Sébastien VARRETTE Université du Luxembourg - Laboratoire LACS, LUXEMBOURG CNRS/INPG/INRIA/UJF - Laboratoire LIG-IMAG Sebastien.Varrette@imag.fr http://www-id.imag.fr/~svarrett/ Cours Cryptographie & Securité Réseau Master

Plus en détail

Administration réseau Introduction

Administration réseau Introduction Administration réseau Introduction A. Guermouche A. Guermouche Cours 1 : Introduction 1 Plan 1. Introduction Organisation Contenu 2. Quelques Rappels : Internet et le modèle TCP/ Visage de l Internet Le

Plus en détail

Sécurité avancée des réseaux VPN et Tunnels de niveau 3,4 et 7. IUT d Auxerre Département RT 2 ème année 2013-2014 ZHANG Tuo tuo.zhang@u-bourgogne.

Sécurité avancée des réseaux VPN et Tunnels de niveau 3,4 et 7. IUT d Auxerre Département RT 2 ème année 2013-2014 ZHANG Tuo tuo.zhang@u-bourgogne. Sécurité avancée des réseaux VPN et Tunnels de niveau 3,4 et 7 IUT d Auxerre Département RT 2 ème année 2013-2014 ZHANG Tuo tuo.zhang@u-bourgogne.fr Outline Réseaux Privés Virtuels(VPN) Tunnels de niveau

Plus en détail

Exemple de configuration USG & ZyWALL

Exemple de configuration USG & ZyWALL ZyXEL OTP (One Time Password) avec IPSec-VPN et USG ou ZyWALL Ce document vous démontre la marche à suivre afin d'implémenter le serveur Authentication Radius ZyXEL OTP avec un logiciel VPN IPSEec et un

Plus en détail

Le protocole RADIUS Remote Authentication Dial-In User Service

Le protocole RADIUS Remote Authentication Dial-In User Service Remote Authentication Dial-In User Service CNAM SMB 214-215 Claude Duvallet Université du Havre UFR des Sciences et Techniques Courriel : Claude.Duvallet@gmail.com Claude Duvallet 1/26 Objectifs du cours

Plus en détail

Université de Technologie de Compiègne Automne 2003, 7 janvier 2004. VPN et Multicast. SR04, Réseaux. Yoann Hinard Benjamin Lorentz

Université de Technologie de Compiègne Automne 2003, 7 janvier 2004. VPN et Multicast. SR04, Réseaux. Yoann Hinard Benjamin Lorentz Université de Technologie de Compiègne Automne 2003, 7 janvier 2004 VPN et Multicast SR04, Réseaux Yoann Hinard Benjamin Lorentz VPN et Multicast Benjamin Lorentz Yoann Hinard Automne 2003 Table des matières

Plus en détail

Routeur Chiffrant Navista Version 2.8.0. Et le protocole de chiffrement du Réseau Privé Virtuel Navista Tunneling System - NTS Version 3.1.

Routeur Chiffrant Navista Version 2.8.0. Et le protocole de chiffrement du Réseau Privé Virtuel Navista Tunneling System - NTS Version 3.1. Routeur Chiffrant Navista Version 2.8.0 Et le protocole de chiffrement du Réseau Privé Virtuel Navista Tunneling System - NTS Version 3.1.0 Cibles de sécurité C.S.P.N Référence : NTS-310-CSPN-CIBLES-1.05

Plus en détail

Les protocoles de gestion des clés dans IPsec. ISAKMP en détails

Les protocoles de gestion des clés dans IPsec. ISAKMP en détails Solution transparente pour la constitution de réseaux privés virtuels (RPV) INEO.VPN Les protocoles de gestion des clés dans IPsec. ISAKMP en détails Tous droits réservés à INEOVATION. INEOVATION est une

Plus en détail

Mise en route d'un Routeur/Pare-Feu

Mise en route d'un Routeur/Pare-Feu Mise en route d'un Routeur/Pare-Feu Auteur : Mohamed DAOUES Classification : T.P Numéro de Version : 1.0 Date de la création : 30.05.2011 2 Suivi des Versions Version : Date : Nature des modifications

Plus en détail

1. Présentation de WPA et 802.1X

1. Présentation de WPA et 802.1X Lors de la mise en place d un réseau Wi-Fi (Wireless Fidelity), la sécurité est un élément essentiel qu il ne faut pas négliger. Effectivement, avec l émergence de l espionnage informatique et l apparition

Plus en détail

Cours 14. Crypto. 2004, Marc-André Léger

Cours 14. Crypto. 2004, Marc-André Léger Cours 14 Crypto Cryptographie Définition Science du chiffrement Meilleur moyen de protéger une information = la rendre illisible ou incompréhensible Bases Une clé = chaîne de nombres binaires (0 et 1)

Plus en détail

Epreuve E6 Parcours de professionnalisation. BTS SIO option SISR

Epreuve E6 Parcours de professionnalisation. BTS SIO option SISR Epreuve E6 Parcours de professionnalisation BTS SIO option SISR Apprenti : Période : Deuxième année d alternance du 01/09/2012 au 31/08/2014 Portefeuille de compétences Situation : Besoin : Mise en place

Plus en détail

VPN L2TP/IPsec en utilisant un certificat X.509 v3

VPN L2TP/IPsec en utilisant un certificat X.509 v3 VPN L2TP/IPsec en utilisant un certificat X.509 v3 Installer une autorité de certification d entreprise : Dans notre cas de figure nous sommes dans un domaine qui s appelle «konoha.com». Une autorité de

Plus en détail

Master Informatique 1ère Année 2007. Participants: Tarek Ajroud Jérémy Ameline Charles Balle Fabrice Douchant VPN SSL

Master Informatique 1ère Année 2007. Participants: Tarek Ajroud Jérémy Ameline Charles Balle Fabrice Douchant VPN SSL VPN SSL : Présentation Master Informatique 1ère Année Année 2006-2007 2007 Participants: Tarek Ajroud Jérémy Ameline Charles Balle Fabrice Douchant VPN SSL Durée : 20 minutes Remarques Intervention : 15-20

Plus en détail

Sommaire Introduction Les bases de la cryptographie Introduction aux concepts d infrastructure à clés publiques Conclusions Références

Sommaire Introduction Les bases de la cryptographie Introduction aux concepts d infrastructure à clés publiques Conclusions Références Sommaire Introduction Les bases de la cryptographie Introduction aux concepts d infrastructure à clés publiques Conclusions Références 2 http://securit.free.fr Introduction aux concepts de PKI Page 1/20

Plus en détail

Pare-feu VPN sans fil N Cisco RV120W

Pare-feu VPN sans fil N Cisco RV120W Pare-feu VPN sans fil N Cisco RV120W Élevez la connectivité de base à un rang supérieur Le pare-feu VPN sans fil N Cisco RV120W combine une connectivité hautement sécurisée (à Internet et depuis d'autres

Plus en détail