IPSec VPN. JTO Rennes 27 Mars. Bertrand Wallrich

Transcription

1 IPSec VPN JTO Rennes 27 Mars Bertrand Wallrich

2 Plan 1. Généralités 2. Rappels sur le chiffrement 3. VPN site à site : IPSec 4. Rappels sur PPP 5. VPN client : PPTP, L2F, L2TP

3 Plan 1. Généralités 2. Rappels sur le chiffrement 3. VPN site à site : IPSec 4. Rappels sur PPP 5. VPN client : PPTP, L2F, L2TP

4 Généralités Chapitre 1 : Généralités Les VPN peuvent être utilisés pour différents types d accès : Utilisateur distant Intranet Extranet Les utilisateurs distants sont des utilisateurs internes de confiance qui ont besoin de pouvoir accéder aux ressources depuis des endroits distants L accès Intranet est nécessaire à partir de tous les sites distants L accès Extranet limite les utilisateurs externes à l information qui les concerne.

5 Sites distants Chapitre 1 : Généralités Remote Office/Branch Office (ROBO)

6 Utilisateurs distants Chapitre 1 : Généralités Télétravailleur : Cable Modem ADSL Wavelan, partages de lignes ADSL Numéris Nomades ADSL dans les hôtels Modem GPRS Ethernet temporaire chez le client, fournisseur, site visité Expatriés En permanence dans un autre réseau.

7 Partenaires professionnels Chapitre 1 : Généralités Fournisseurs / clients : Accès extranet, limité Infogérance Accès limité. Accès administrateur. Centres d appels Accès sous ensemble de l intranet. ACCES AVEC LIMITATIONS Accès restreints suivant les tunnels. Protection individuelle des partenaires.

8 Menaces & objectifs Chapitre 1 : Généralités Menaces : 1. Interruption (DoS) Le VPN ne peut rien. 2. Interception (sniffing) 3. Usurpation d'identité (spoofing) 4. Modification ( 2 + 3, man in the middle) VPN Site à site Se protéger contre les "ISPs" traversés. Se protéger contre 3. (Authentification des machines/réseaux) VPN utilisateur Se protéger contre les "ISPs" traversés. Se protéger contre le site d'accueil. Accéder au réseau interne indépendemment de : Des adresses IPs Des applications

9 Les solutions de VPN Chapitre 1 : Généralités Services VPN Les fournisseurs de service Internet (ISP) Basé sur IPSec ISDNet -> VPN Premium MCI WorldCom -> UUSecure KPNQwest -> IP VPN FT -> Oléane Control Les compagnies de télécommunications, opérateurs, (ATM, MPLS, Frame relay, ) Les Sociétés de services Matériel dédié,

10 Les solutions de VPN Chapitre 1 : Généralités Offre matériel ou logiciels (1/2) Applications qui tournent sur un serveur MS RAS NT server, MS Routing & Remote Access W2K Server, poptop / l2tp / freeswan (linux). Matériel dédié Conçu spécifiquement pour le VPN Intel (shiva) Radguard Cisco (altiga) Redcreek Nortel (contivity) V-One (smartguard) Avaya (VPNet) GTA Lucent (Brick)

11 Les solutions de VPN Chapitre 1 : Généralités Offre matériel ou logiciels (2/2) Essentiellement site à site (IOS FW cisco) Firewall Utilisé par de nombreuses organisations pour protéger leur réseau interne M>Tunnel (Mwall Matra) VPN-1 (Checkpoint) Gauntlet VPN

12 Les technologies Chapitre 1 : Généralités Technologies mises en œuvre Tunneling / Routage / filtrage Technologies d authentification Authentification des machines Authentification des utilisateurs Confidentialité Chiffrement, échange de clefs,

13 Rappel, le tunneling Chapitre 1 : Généralités 2 R1 R2 A D Données R1 R2 Internet A B C D E F 1 Source A Dest D Paquet normal Données 3 Source A Dest D Données Paquet normal

14 Rappel, le tunneling Chapitre 1 : Généralités 2 G D Données A R2 R1 R2 G 1 A B C Source G Dest D Paquet normal Données Internet 3 D E F Source G Dest D Paquet normal Données En général, la machine G a plusieurs interfaces réseau, dont une virtuelle, correspondant au tunnel (ici dont l'adresse IP est «A»). C est le routage qui décide par quelle interface (ie tunnel ou pas) émettre le paquet.

15 Plan 1. Généralités 2. Rappels sur le chiffrement 3. VPN site à site : IPSec TP 1 : IPSec transport TP 2 : IPSec tunnel 4. Rappels sur PPP 5. VPN client : PPTP, L2F, L2TP TP 3 : L2TP TP 4 : L2TP + IPSec

16 Algorithmes symétriques Chapitre 2 : Cryptographie Algorithme DES Triple DES Triple DES IDEA RC4 Blowfish CAST-128 AES Longueur de la clef 56 bits 112 bits 168 bits 128 bits Variable bits bits 128, 192, 256 Commentaire FIPS PUB 46 DES triple passage à deux clefs DES triple passage à trois clefs Développée en Suisse Algorithme propriétaire de RSA Algorithme open source Algorithme open source Algorithme Rijndael DES = Data Encryption Standard FIPS = Federal Information Processing Standard IDEA = International Data Encryption Algorithm RSA = Rivest, Shamir, and Adelman AES = Advanced Encryption Standard

17 chiffrement asymétrique Chapitre 2 : Cryptographie Les algorithmes à clef publique sont utilisés pour La distribution des clés La confidentialité L authentification La non-répudiation RSA est un algorithme à clef publique célèbre qui porte le nom de ses trois inventeurs Ron Rivest, Adi Shamir, et Leonard Adelman Génération uni latérale du secret partagé. RSA peut être utilisé aussi pour la confidentialit é, l'authentification et la non répudiation Diffie-Hellman, le premier algorithme à clef publique inventé, peut être utilisé pour la distribution des clés Génération bi-latérale du secret partagé.

18 Man in the middle & DH Chapitre 2 : Cryptographie Marc croit échanger avec Sophie Sophie croit échanger avec Marc Tous deux échangent avec le pirate. Diffie Hellman permet l échange de secret partagé, mais n assure pas l authentification. Crypto système hybride. Diffie Hellman + RSA

19 signatures numériques Chapitre 2 : Cryptographie Fournir l intégrité des données Résumé de message Message Digest 5 (MD5) Secure Hash Algorithm (SHA-1) Signature digitale Combinaison Hashage + cryptographie à clef publique. Digital Signature Algorithm (DSA) RSA Digital Signature Standard (DSS), FIPS Spécifie des algorithmes de signature numérique approuvés DSA RSA ds algorithm Elliptic Curve Digital Signature Algorithm (ECDSA) Secure Hash Algorithm (SHA-1) pour le résumé du message

20 Chapitre 2 : Cryptographie Code d'authentification des messages Les signatures numériques assurent l'authentification et l'intégrité Ne nécessitent pas l'utilisation d'une clef secrète partagée Un Message Authentication Code (MAC) permet aussi l'authentification et l'intégrité C'est une fonction de hachage à sens unique qui utilise une clef secrète La clef est nécessaire pour vérifier la valeur de hachage Exemples de codes d'authentification de message : Keyed MD5 Hashed Message Authentication Code (HMAC)

21 Chapitre 2 : Cryptographie Types de clefs Clefs de chiffrement de clefs Servent exclusivement à chiffrer d'autres clefs. Durée de vie longue. Souvent cryptographie à clef publique. Clefs maîtresses servent à générer d'autres clefs par dérivation. Clefs de session ou de chiffrement de données Chiffre les données proprement dites.

22 Chapitre 2 : Cryptographie Propriétés des protocoles d'échange de clefs Perfect Forward Secrecy (PFS) Si la découverte du secret à long terme n entraîne pas la compromission des clefs de session. Back Traffic Protection Si la génération de chaque clef de session se fait de manière indépendante. authentification directe (Direct Authentication) Si les valeurs servant à générer le secret partagé sont authentifiées ou si chaque tiers a prouvé qu'il connaissait la clef de session. protection de l'identité (Identity Protection) Si un attaquant espionnant les échanges ne peut pas connaître les identités des tiers communicants.

23 Certificats Chapitre 2 : Cryptographie Certification des clefs publiques Distribution des clefs Opposition DNSSEC / PGP Souvent utilisés dans les produits VPN du commerce. Manque de portabilité Stockage du certificat sur le poste nomade. SPKI : Simple Public Key Infrastructure

24 Normes Chapitre 2 : Cryptographie FIPS PKCS Federal Information Processing Standards Publications Normes mis en place par le NIST FIPS46 DES FIPS197 AES «Normes» de chez RSA. PKCS #1: RSA Cryptography Standard PKCS #3:Diffie-Hellman Key Agreement Standard PKCS #5:Password-Based Cryptography Standard PKCS #6:Extended-Certificate Syntax Standard PKCS #7: Cryptographic Message Syntax Standard PKCS #8:Private-Key Information Syntax Standard PKCS #9: Selected AttributeTypes PKCS #10: Certification Request Syntax Standard PKCS #11: Cryptographic Token Interface Standard PKCS #12:Personal Information Exchange Syntax Standard PKCS #13: Elliptic Curve Cryptography Standard PKCS #15: Cryptographic Token Information Format Standard

25 Normes Chapitre 2 : Cryptographie RFCs PKIX Working group à l IETF Développement d une PKI sur X509v3 et LDAPv2. Harmonisation des Certification Practices Statement (CPS) et des valeurs des Certificate Policy (CP) SPKI Simple Public Key Certificate (Working group) Généralisation des formats de certificats pour accéder à différents modèles de confiance RFC du WG PKIX : Internet X.509 Public Key Infrastructure Certificate and CRL Profile (RFC 2459) Internet X.509 Public Key Infrastructure CertificateManagement Protocols (RFC 2510) Internet X.509 Certificate Request Message Format (RFC 2511) Internet X.509 Public Key Infrastructure Certificate Policy and Certification Practices Framework (RFC 2527) Internet X.509 Public Key Infrastructure Representation of Key Exchange Algorithm (KEA) Keys in Internet X.509 Public Key Infrastructure Certificates (RFC 2528) Internet X.509 Public Key Infrastructure Operational Protocols - LDAPv2 (RFC 2559) Internet X.509 Public Key Infrastructure Operational Protocols: FTP and HTTP (RFC 2585) Internet X.509 Public Key Infrastructure LDAPv2 Schema (RFC 2587) X.509 Internet Public Key Infrastructure Online Certificate Status Protocol - OCSP (RFC 2560) CertificateManagement Messages over CMS (RFC 2797) Diffie-Hellman Proof-of-Possession Algorithms(RFC 2875) Internet X.509 Public Key Infrastructure Qualified Certificates Profile (RFC 3039) Internet X.509 Public Key Infrastructure Data Validation and Certification Server Protocols (RFC 3029) Internet X.509 Public Key Infrastructure Time Stamp Protocols (TSP) (RFC 3161) RFC du WG SPKI : SPKI Requirements(RFC 2692) SPKI Certificate Theory (RFC 2693)

26 Législation française Chapitre 2 : Cryptographie Utilisation Fourniture Importation Authentification, signature, intégrité Libre Déclaration simplifiée Libre Chiffrement clef<=40 bits Libre Déclaration Libre Chiffrement Libre Déclaration Libre 40 bits < clef <= 128 bits (1) Chiffrement Libre Autorisation Autorisation Clef > 128 bits + Tiers de confiance Chiffrement Autorisation Autorisation Autorisation Clef > 128 bits - Tiers de confiance (1) Soumis à déclaration si le fournisseur ou l importateur ne l a pas déclaré et si l usage n est pas à titre personnel. (en général, cas des softs GPL)

27 Plan 1. Généralités 2. Rappels sur le chiffrement 3. VPN site à site : IPSec 4. Rappels sur PPP 5. VPN client : PPTP, L2F, L2TP

28 IPSec Chapitre 3 : IPSec IP Security (IPSec) a été développé par l IETF pour fournir des services cryptographiques de sécurité de la couche Réseau (niveau 3) qui supporte de façon flexible des combinaisons de : Authentification Intégrit é Confidentialité Un système conforme à IPSec peut : Choisir des protocoles de sécurit é Déterminer les algorithmes à utiliser pour les services Utiliser les clés cryptographiques et les certificats Liste des RFC sur IPSec : (1/2) IP Authentication using Keyed MD5 (RFC 1828) The ESP DES-CBC Transform (RFC 1829) HMAC:Keyed-Hashing for Message Authentication(RFC 2104) HMAC-MD5 IP Authentication with Replay Prevention(RFC 2085) Security Architecture for the Internet Protocol (RFC 2401) The NULL Encryption Algorithm and Its Use With IPsec (RFC 2410) IP Security Document Roadmap (RFC 2411) IP Authentication Header(RFC 2402) The OAKLEY Key Determination Protocol (RFC 2412) The ESP CBC-Mode Cipher Algorithms (RFC 2451) The Use of HMAC-MD5-96 within ESP and AH (RFC 2403) The Use of HMAC-SHA-1-96 within ESP and AH (RFC 2404)

29 IPSec Chapitre 3 : IPSec Les associations de sécurité Une association de sécurité (Security Association, SA) est une connexion logique unilatérale entre un émetteur et un récepteur La communication bilatérale entre deux systèmes IPSec signifie qu une SA doit être définie dans chaque direction. SA # 1 Site : Sophia SA # 2 Site : Rennes Liste des RFC sur IPSec : (2/2) The ESP CBC-Mode Cipher Algorithms (RFC 2451) The Use of HMAC-MD5-96 within ESP and AH (RFC 2403) The Use of HMAC-SHA-1-96 within ESP and AH (RFC 2404) The ESP DES-CBC Cipher Algorithm With Explicit IV (RFC 2405) IP Encapsulating Security Payload (ESP) (RFC 2406) The Internet IP Security Domain of Interpretation for ISAKMP (RFC 2407) Internet Security Associationand Key Management Protocol (ISAKMP) (RFC 2408) The Internet Key Exchange (IKE) (RFC 2409) The Use of HMAC-RIPEMD within ESP and AH (RFC 2857)

30 IPSec Chapitre 3 : IPSec Les associations de sécurité Les SA sont identifiées uniquement par : <Index de paramètre de sécurité, Adresse de destination IP, Protocole de sécurité> Un Index de paramètre de sécurité (Security Parameter Index, SPI) est une valeur de 32 bits qui identifie la SA de chaque paquet Il se trouve dans l en-tête sécurité du protocole

31 IPSec Chapitre 3 : IPSec Les associations de sécurité La Security Association Database (SAD) définit les paramètres associés avec chaque SA Les paramètres incluent : (pas normalisés, diffèrent suivant l implémentation) Un compteur de numéro de Séquence (Sequence Number Counter) Un indicateur d overflow (Sequence Counter Overflow) Une fenêtre anti-rejeu (Anti-replay window) L information AH (AH information, nécessaire pour implémenter AH) L information ESP (ESP information, nécessaire pour implémenter ESP) La durée de vie de SA (SA Lifetime) Le mode de protocole IPSec (IPSec Protocol Mode) Le MTU sur le chemin (Path MTU)

32 IPSec Chapitre 3 : IPSec La politique de sécurité Le trafic IP est rattaché à une SA spécifique utilisant la Security Policy Database (SPD) Chaque entrée de SPD est définie par un ensemble de valeurs de champs des protocoles IP et des couches supérieures, appelées des sélecteurs Les sélecteurs qui déterminent une entrée SPD comprennent Adresse IP Source et Destination + netmask (1) UserID (2) Protocole de la couche Transport Ports Source et Destination IPv4 Type Of Service (TOS) (1) Le plus souvent utilisé (2) Jamais vu d'implémentation ;-(

33 Chapitre 3 : IPSec En-tête d authentification IP AH est utilisé pour assurer l intégrité et l authentification des paquets IP L intégrité des données assure que des modifications non détectées du contenu d un paquet en transit ne sont pas possibles L authentification permet à une extrémité d authentifier la machine Un service de protection contre le rejeu doit être mis en œuvre par un système compatible IPSec Son utilisation est optionnelle AH est un en-tête séparé qui suit l en-tête IP Il authentifie le plus de champs IP possibles (les champs non mutables ) Ne passe pas le NAT! AH est identifié par le numéro de protocole 51

34 Format d en-tête AH Chapitre 3 : IPSec En-tête IP En-tête AH Données utilisateur En-tête suivant Longueur de la charge Réservé Security Parameter Index (SPI) Numéro de séquence Données d authentification (Integrity Check Value) (taille variable) 32 bits

35 Format d en-tête AH Chapitre 3 : IPSec En-tête suivant identifie le type de charge après AH Longueur de la charge contient la longueur du champ Données d authentification Données d authentification est un champ de longueur variable qui contient la valeur de contrôle d intégrité (Integrity Check Value, ICV) pour le paquet Utilisé par le destinataire pour vérifier l intégrité du paquet entrant Généré à partir du contenu de l en-tête et des données du paquet Calculé avec l algorithme sélectionné au moment de l initialisation de la SA Les algorithmes par défaut nécessaires pour l interopérabilité sont HMAC with MD5 HMAC with SHA-1

36 Utilisation d AH Chapitre 3 : IPSec AH peut être utilisé de deux manières différentes Mode transport Mode tunnel Le mode transport est utilisé par les machines et produit moins d overhead Authentifié En-tête IP En-tête AH Transport mode Charge Le mode tunnel est utilisé entre des passerelles Authentifié Nouvel En-tête IP En-tête AH Ancien en-tête IP Charge Mode tunnel

37 Chapitre 3 : IPSec Encapsulating Security Payload (ESP) ESP est utilisé pour permettre Chiffrement Intégrité des données Authentification Le champ ''Données Utilisateur'', Payload Data, est composé d un nombre variable d octets de données décrits par le champ "En-tête suivant" Ce champ est chiffré avec l algorithme cryptographique sélectionné au cours de l établissement de la SA Auth ESP à partir de ESP v2 Possibilité de chiffrement ESPNULL uniquement authentification ESP est identifié par le numéro de protocole 50

38 Chapitre 3 : IPSec Encapsulating Security Payload (ESP) En-tête En-tête IP Données utilisateur En-queue ESP ESP Auth ESP Security Parameter Index (SPI) Numéro de séquence Authentifié Chiffré Données utilisateur (variable) Remplissage (0-255 octets) Longueur de remplissage En-tête suivant Données d authentification (variable) 32 bits

39 Chapitre 3 : IPSec Utilisation d ESP Comme avec AH, ESP peut être utilisé de deux manières différentes : Mode transport Mode tunnel Authentifié Chiffré En-tête IP En-tête ESP Charge Trailer ESP Auth ESP Mode Transport Authentifié Nouvel en-tête IP En-tête ESP Ancien en-tête IP Chiffré Mode Tunnel Charge Trailer ESP Auth ESP

40 Chapitre 3 : IPSec ESP et le NAT / PAT : problématique NAT change PAT change les numéros de port TCP et UDP, mais ESP est un protocole IP ESP Data Hash IP ESP Data Hash IP ESP Data Hash ? NAT / PAT Internet VPN gateway IP ESP Data Hash

41 Chapitre 3 : IPSec NAT-Traversal Utilisation d IPSEC(ESP) encapsulé dans UDP : Mode transport Mode tunnel Authentifié Chiffré En-tête IP UDP (500/500) Non- IKE En-tête ESP Charge Trailer ESP Auth ESP Mode Transport Authentifié Chiffré Nouvel en-tête IP UDP (500/500) Non- IKE En-tête ESP Ancien en-tête IP Mode Tunnel Charge Trailer ESP Auth ESP Drafts : "Negotiation of NAT-Traversal in the IKE", Tero Kivinen, 08-JAN-03. "UDP Encapsulation ofipsec Packets", Ari Huttunen, 14-JAN-03.

42 Chapitre 3 : IPSec Internet Key Exchange (IKE) protocole Internet Key Exchange (IKE) est un protocole de gestion de clef utilisé par IPSec. IKE est composé de : ISAKMP (Internet Security Association and Key Management Protocol) Oakley / SKEME (Secure Key Exchange Mechanism) IPSEC DOI (Domain Of Interpretation) rfc 2407 IKE assure une gestion sécurisée des clés et l échange des clés cryptographiques Authentification des homologues IPSec Négocie les clés IPSec Négocie les associations de sécurité (SA) IPSec

43 Chapitre 3 : IPSec Internet Key Exchange (IKE) ISAKMP ISAKMP est inutilisable seul : c'est un cadre générique qui permet l'utilisation de plusieurs protocoles d'échange de clef et qui peut être utilisé pour d'autres mécanismes de sécurité que ceux de Ipsec. ISAKMP a pour but la négociation, l'établissement, la modification et la suppression des associations de sécurité et de leurs attributs. Oakley (RFC 2412) / SKEME permettre le partage, de façon sûre entre les tiers, d'un ensemble d'informations relatives au chiffrement : IPSEC DOI Clef secrète, identités des tiers, algorithmes de chiffrement, d'authentification et fonction de hachage. Spécifie des paramètres des échanges ISAKMP ; indique que ce dernier travaille pour IPSEC. ISAKMP : UDP port 500

44 IPSec / IKE Chapitre 3 : IPSec Relation entre IPSec, SAD, SPD Administrateur alerte configure DOI Oakley SKEME Application Négocie, Modifie, supprime Pointe sur SPD Demande Création de SA ISAKMP IKE Socket Application protocol consulte Transport (TCP,UDP) SAD consulte IP/Ipsec (AH,ESP) link

45 Négociation ISAKMP Chapitre 3 : IPSec Isakmp phase 1 Négociation des paramètres de sécurité pour ISAKMP. SA Isakmp bi-directionnelle SA Isakmp Générique (pour tout échange de clefs), ou SA Isakmp IPSec (uniquement pour les échanges de clefs pour IPSec) Isakmp phase 2 SA à établir pour le compte d'un mécanisme de sécurité donné (par exemple AH ou ESP). échanges de cette phase sont sécurisés (confidentialité, authenticité...) grâce à la SA ISAKMP.

46 Négociation ISAKMP Chapitre 3 : IPSec Isakmp indépendant de la génération des clefs. Fonctionne par chaînage de blocs (en-tête Next payload). Nom Security Association Proposal Transform Key Exchange Identification Certificate Certificat Request Hash Signature Nonce Notification Delete Vendor ID Sigle SA P T KE ID CERT CR HASH SIG NONCE N D VID Commentaire Indique le DOI de la négociation (1) Mécanisme de sécurité (AH, ESP), suivi par un enchaînement de T Algorithme + attributs Données nécéssaires à la gestion des clefs (dépend du contexte) identification des tiers (2) Certificat, ou Information sur un certificat (3) Demande de certificats. Résultat d un "hashage" sur le message isakmp. Résultat d un algorithme de signature numérique. Aléats Message d'erreur ou d'information. Message d effacement d une SA. Champs propriétaires. (1) Par exemple : 0 pour le DOI SA ISAKMP générique. 1 pour le DOI SA ISAKMP IPsec. (2) Pour ISAKMP c est une adresse IP. (3) Un champ Certificate Encoding (c est le type) et un champ Certificate Data. Les types définis actuellement sont : PKCS #7 wrapped X.509 certificate PGP certificate DNS signed key X.509 certificate - signature X.509 certificate - key exchange Kerberos tokens Certificate revocation list (CRL) Authority revocation list (ARL) SPKI certificate X.509 certificate - attribute

47 Négociation ISAKMP Chapitre 3 : IPSec Les types d échange : Sigle HDR SA KE ID AUTH NONCE * Commentaire ISAKMP Header Security Association Payload Key ExchangePayload Payload Identity Authentication Payload (HASH ou SIG) Nonce Payload Signifie que le message est chiffré SA - DOI - Situation P1 - Mécanisme - SPI T1.1 - Transfo. - Attr. T1.2 - Transfo. - Attr. P2 - Mécanisme - SPI T2.1 - Transfo. - Attr. T2.2 - Transfo. - Attr. Les types d échange définissent des groupes de blocs, afin d avoir une meilleure intéropérabilité, et des fonctions précises (authentification mutuelle, PFS, ) [RFC2408]

48 Négociation ISAKMP Chapitre 3 : IPSec

49 Négociation ISAKMP Chapitre 3 : IPSec Isakmp phase 1 : Main mode (Identity Protection Exchange) Source HDR, SA 1 HDR, SA 2 HDR, KE, NONCE 3 HDR, KE, NONCE 4 HDR*, IDs, AUTH 5 HDR*, IDd, AUTH 6 Destination

50 Négociation ISAKMP Chapitre 3 : IPSec Isakmp phase 1 : Aggressive mode (Aggressive Exchange) Source HDR, SA, KE, NONCE, IDs 1 HDR, SA, KE, NONCE, IDd, AUTH 2 HDR*, AUTH 3 Destination

51 Négociation ISAKMP Chapitre 3 : IPSec Isakmp phase 2 : Quick mode Source Destination HDR*, HASH, SA, NONCE [, KE] [,IDs, IDd] 1 HDR*, HASH, SA, NONCE [, KE] [,IDs, IDd] 2 HDR*, HASH 3

52 IKE et le NAT-Traversal Chapitre 3 : IPSec Détection du support du NAT traversal Utilisation du vendor-string (VID) pour y mettre un hash de RFC XXXX ;-) Détection de la présence d un NAT NAT-D Payload : contient un hash de et du numéro de port. Utilisation d un marqueur Non-ESP pour démultiplexer ESP d ISAKMP Il est conseillé alors d utiliser un numéro de port <> de 500, car certain boitiers NAT/PAT ne font justement pas de PAT sur le port IKE, pour ne pas le perturber

53 Plan 1. Généralités 2. Rappels sur le chiffrement 3. VPN site à site : IPSec 4. Rappels sur PPP 5. VPN client : PPTP, L2F, L2TP

54 PPP Chapitre 4 : PPP Le processus de connexion PPP comporte trois phases principales : Établissement de la liaison Configuration du protocole de la couche réseau Fin de la liaison Link Control Protocol (LCP) (1) Configure, surveille et termine la liaison L'authentification est une phase optionnelle qui suit l'établissement de la liaison (Par exemple, PAP et CHAP [rfc1334]) Network Control Protocol (NCP) Configure les protocoles de la couche réseau transportés dans la connexion PPP Il existe un NCP séparé pour chaque protocole de la couche réseau que supporte PPP (2) (1) LCP : HDLC : RFC 1549 X25 : RFC 1598 ISDN : RFC 1618 SONET/SDH : RFC 1619 PPPoE : RFC 2516 PPP Multilink Protocol (MP) : rfc1717 (2) NCP : IPCP (IP) : RFC 1332 DNCP (Decnet) : RFC 1376 & RFC 1762 ATCP (Appletalk) : RFC 1378 IPXCP (IPX) : RFC 1552 BVCP (Bayan) : RFC 1763 XNSCP (Xerox) : RFC 1764 IPv6 : RFC2472

55 PPP Chapitre 4 : PPP NAS Utilisateur LCP ConfReq LCP ConfAck LCP ConfReq LCP ConfAck ISP Chap Challenge (name=isp) Chap Response (name=dupont@loria.fr) Chap Auth OK Requête NCP Réponse NCP Données

56 PPP & la sécurité Chapitre 4 : PPP CCP (Compression Control protocol) Possibilité de compresser l en-tête IP Jacobson, V., "Compressing TCP/IP Headers", RFC 1144, RFC 1962, 1977, 1993, 2509 ECP (Encryption Control protocol) RFC 1968 Paquets LCP, donc avant tout transfert de DATAs. négociation des algorithmes (champ type du paquet LCP) ~ un RFC par algorithme. pre-shared secret DESE (PPP DES Encryption Protocol) : RFC 1969, rfc DESE (PPP Triple-DES Encryption Protocol ) : RFC 2420

57 Authentification PPP Chapitre 4 : PPP PAP (PPP Authentification Protocol RFC1334) Le mot de passe circule en clair. Peut être stock é chiffré sur le NAS. CHAP (Challenge Handshake Authentication Protocol RFC1994) Challenge qui authentifie l utilisateur auprès du NAS (hash md5). Doit être stocké en clair sur le NAS. MS-CHAP[v2] (Microsoft PPP CHAP Extensions [version 2]) RFC 2433 er 2759 double chiffrement Intégration avec les domaines NT et 2k. Authentification du serveur (v2)

58 Challenge Chap Chapitre 4 : PPP Demande de connexion Challenge Challenge Hachage clef Secrète (*) Hachage clef secrète Valeur de hachage (valeur de hachage) réponse Compare Valeur de hachage Client (homologue) Serveur (authentificateur) (*) La clef secrète est bien souvent dérivée d'un mot de passe par un hashmd5 (windows2ooo + kerberos)

59 Ms Chap v1 Chapitre 4 : PPP Hash Windows NT Du mdp Demande de connexion Hash LANMAN Du mdp Challenge Challenge (8 octets) 3 chiffrement DES Réponse de 2X 24 octets 3 chiffrement DES Client (homologue) Serveur (authentificateur)

60 Ms Chap v2 Chapitre 4 : PPP 1. Le client demande une épreuve au serveur. 2. Le serveur envoie en réponse une épreuve de 16 octets aléatoires. 3. A- Le client génère un nombre aléatoire de 16 octets, appelé "l'épreuve égale d'authentification. B- Le client génére une épreuve de 8 octets en hachant l'épreuve de 16 octets reçue à l'étape (2), les 16 octets de l'épreuve égale d'authentification générés à l'étape (3a) et le nom de l'utilisateur du client. C- Le client crée une réponse de 24 octets, en utilisant la fonction de hachage Windows NT et les 8 octets de l'épreuve générés à l'étape (3b). Ce processus est identique à celui de MS-CHAPv1. D- Le client transmet au serveur les résultats des étapes (3a) et (3c). Quelques différences v1- v2 : MS-CHAP version 1 Négociation CHAP avec une valeur d'algorithme de 0x80. Le serveur envoie une valeur épreuve de 8 octets. Le client envoie 24 octets LANMAN et 24 octets NT en réponse aux 8 octets d'épreuve. Le serveur envoie une réponse indiquant le SUCCES ou l'echec. Le client décide de continuer en fonction de la réponse SUCCES ou ECHEC du serveur.

61 Ms Chap v2 Chapitre 4 : PPP 4. A- Le serveur utilise les hachages du mot de passe du client, conservé dans une base de données, afin de déchiffrer les réponses. Si les blocs déchiffrés correspondent à l'épreuve, le client est authentifié. B- Le serveur utilise les 16 octets de l'épreuve égale d'authentification du client, tout comme le mot de passe haché du client, afin de créer une "réponse d'authentification de 20 octets. 5. Le client calcule aussi une réponse d'authentification. Si celle-ci correspond à celle reçue en réponse, le serveur est authentifié. Quelques différences v1- v2 : MS-CHAP version 2 Négociation CHAP avec une valeur d'algorithme de 0x81. Le serveur envoie une valeur de 16 octets qui devra être utilisée par le client dans la création d'une valeur d'épreuve de 8 octets Le client envoie 16 octets d'épreuve égale qui ont été utilisés pour créer l'épreuve de 8 octets cachés, et la réponse NT en 24 octets. Le serveur envoie une réponse indiquant SUCCES ou ECHEC et transmet une réponse d'authentification de 16 octets. Le client décide de continuer en fonction de la réponse SUCCES ou ECHEC. En plus, le client vérifie la validité de la réponse d'authentification et se déconnecte si elle est incorrecte.

62 Authentification PPP Chapitre 4 : PPP EAP (PPP Extensible Authentication Protocol RFC 2284) Dissociation de l authentification de LCP (EAP après LCP) Négociation de la méthode d authentification Identity (juste un login) MD5-challenge (= CHAP) OTP (RFC 1938) Generic Token Card EAP-TLS (Transport Level Security) (RFC 2716) Utilisation de TLS pour de l authentification mutuel, pour la négociation des clefs pour ECP.

63 Plan 1. Généralités 2. Rappels sur le chiffrement 3. VPN site à site : IPSec 4. Rappels sur PPP 5. VPN client : PPTP, L2F, L2TP

64 VPN client généralité Chapitre 5 : PPTP / L2F / L2TP Fournir à la machine distante du réseau interne sur authentification utilisateur. Utilisation de PPP La machine a déjà une adresse IP (routée ou NATée) Le tunnel sera effectué par la machine elle-même. En accord avec un ISP, fournir au nomade distant du réseau interne de l entreprise sur authentification utilisateur. Négociacion PPP avec la passerelle VPN de l entreprise.

65 VPN client PPTP Chapitre 5 : PPTP / L2F / L2TP Point-to-Point Tunneling Protocol (PPTP) Développé en partenariat avec Ascend Communications, 3Com Corporation/U.S. Robotics, ECI Telematics, et Microsoft En tant qu extension de la norme PPP, PPTP est utilisé pour créer des VPN multi-protocoles. Les datagrammes des protocoles réseau sont encapsulés dans une enveloppe IP (utilisation de GRE et GREv2 pour l encapsulation) Une session de contrôle du tunnel (1723/TCP) Plusieurs "sessions" dans le même tunnel PPTP : RFC 2637 GRE (Generic Routing Encapsulation) : RFC 1701 et RFC 1702 GREv2 : Ajout d aquittements dans GRE.

66 VPN client GRE Chapitre 5 : PPTP / L2F / L2TP Les datagrammes des protocoles réseau sont encapsulés dans une enveloppe IP (utilisation de GRE et GREv2 pour l encapsulation) C R K S s Recur Flags Ver Protocol Type Checksum (optional) Offset (optional) Key (optional) Sequence Number (optional) Routing (optional) GRE : IP protocole 47. Protocol Type ~= Protocol type d ethernet (ftp://ftp.isi.edu/innotes/iana/assignments/ethernet- numbers.)