Réseaux Privés Virtuels

Transcription

1 Réseaux Privés Virtuels Introduction Théorie Standards VPN basés sur des standards VPN non standards Nouvelles technologies, WiFi, MPLS Gestion d'un VPN, Gestion d'une PKI

2 Introduction Organisation du cours Historique Définition d'un VPN Topologies Composants Pourquoi utiliser un VPN Sécurité

3 Historique Années 80, Transpac, groupes fermés d'abonnés Transfix, Transcom Années 90, Internet, Cisco, GRE Mi 90, Windows PPTP Mi 90, IPSEC, FW1, PGPNet, SSH Fin 90, Opensource, Freeswan, CIPE, Tinc

4 Définitions d'un VPN Réseau: permet de relier des ordinateurs ou des sites, intégrité Privé: protégé de la lecture de tiers,confidentialité et identification, authentification Virtuel: les niveaux OSI 1 et 2 sont logiciels

5 Définition d'un VPN Exemple de VPN: vue réelle

6 Définition d'un VPN Exemple de VPN: vue virtuelle

7 Topologies Étoile Maillage Le cas du Wifi

8 Topologies Réseau Étoile (Les nomades)

9 Topologies Réseau Maillé (interconnection de sites)

10 Topologies Wifi Le WEP IPSEC Nouvelles normes Intégration à un réseau existant

11 Composants Support réseau sur lequel se base le VPN Niveau 2: MPLS IP: GRE et IPSEC TCP/TLS: Stunnel, SSH et SSL sur PPP UDP: CIPE, TINC, IPSEC mode Transverse

12 Composants Tunnel encrypté

13 Composants Sites Identifiés Mots de passe Pass-phrase = mot de passe long Certificats Clefs privées

14 Composants Sites Authentifiés Signatures En général on signe le HASH du message Certificats Description de l'entité (personne, serveur, applet) Contient la clef publique Certification par une autorité Clefs privée

15 Composants Intégrité: HMAC Keyed-Hash Message Authentication Code Authentification de message utilisant une empreinte du message et une clef secrète partagée coder cette empreinte. L'empreinte doit être à sens unique L'empreinte doit être unique MD2, MD5, SHA-1

16 Composants Clefs Clefs symétriques ou à secret partagé Plus rapides Exemples simples DES, Blowfish etc. Clefs Asymétriques ou publiques Plus sures Exemples simples RSA, DSA, Diffie-Hellman

17 Composants Système cryptographique de César Rotation des lettres Machine ENIGMA Systèmes cryptographie par bloc Avec ou sans IV (Vecteur Initialisation) Avec ou sans chaînage

18 Pourquoi utiliser un VPN Coût bas par rapport aux liaisons louées Transparence, gestion réseau centralisée Sécurité des communications Protection des nomades

19 Pourquoi ne pas utiliser un VPN Implémentation compliquée Débogage fastidieux Disponibilité Protection des nomades

20 Gestion d'un VPN Liée au Réseau DNS et Mail Routage, filtrage (Firewalls) Liée au Privé Gestion des clefs et de la CA interaction avec les FW Liée au Virtuel Interaction avec le réseau réel (interlocking TCP) Reprises sur erreur

21 Sécurité Protection de l'intégrité Protection par un firewall Détection d'intrusion IDS Détection d'intégrité Attention dans la gestion des clefs (facteur humain)

22 Sécurité Protection contre les pannes Duplication Plan de secours comprenant la gestion des clefs

23 PKI Problème de la gestion des clefs si il y a beaucoup de clefs Identification et authentification Je suis moi: identification Qui me le prouve? authentification PKI: Infrastructures à Clefs Publiques CA: Certification Authority

24 PKI Certificat: X509: Description, clefs, signature de l'autorité Création, usage, révocation: le cycle de vie d'un certificat Exemples de PKI Open Source OPENCA gestion de PKI avec OPENSSL

25 Groupes d'utilisateurs VPN Consortium PKIX Group PKI for X.509 certificates Open CA FreeSwan

26 Bibliographie Firewalls Architecture réseau sous Linux K. Wehrle Vuibert Firewalls B. Chapman O'Reilly Firewalls & Internet Security W; Cheswick Addison-Wesley Détection des intrusions réseau S. Northcutt - CampusPress

27 Outils Firewalls Netfilter (Linux) Ipfilter (BSD), pf (OpenBSD) Snort (détection d'intrusion) Nessus (tests) Nmap (tests) Hping (tests) Aide, Tiger, Tripwire(IDS/Integrite), Logcheck

28 Bibliographie VPN Building Linux VPN O. Kolesnikov New Riders Architectures MPLS et VPN I. Pepelnjak Cisco press Les VPN R&E Corvalan, Y. Le Corvic Dunod IPSEC N. Doraswamy CampusPress PKI Open Source C. Cachat O'Reilly

29 Outils VPN Freeswan (Linux) Kame (BSD) OpenSSL (SSL, Certificats X509) Stunnel (SSL) Iptunnel (IPIP, GRE) CIPE, VTUN, TIC, PPTP OpenCa