IPSEC ACCÈS DISTANT. Jean-Jacques Puig Institut National des Télécoms

Transcription

1 IPSEC & ACCÈS DISTANT Jean-Jacques Puig Institut National des Télécoms

2 IPSEC ET ACCÈS DISTANT 1 Les Mécanismes d'ipsec 2 Scénarios d'accès Distants 3 Intégration des Serveurs d'authentification

3 LES MÉCANISMES D 'IPSEC Les composants principaux d'ipsec... - Authentication Header (AH - RFC 2402) - Encapsulating Security Payload (ESP - RFC 2406) - Internet Key Exchange (IKE - RFC 2409) - Security Policy Database / Security Association Database (RFC 2401)

4 AUTHENTICATION HEADER (AH) AH MODE TRANSPORT Paquet IP Portée de l'intégrité dans AH en mode transport AH MODE TUNNEL Portée de l'intégrité dans AH en mode tunnel

5 ENCAPSULATING SECURITY PAYLOAD (ESP) Paquet IP ESP MODE TRANSPORT Portée de l'intégrité dans ESP en mode transport Portée de la confidentialité dans ESP en mode transport

6 ENCAPSULATING SECURITY PAYLOAD (ESP) Paquet IP ESP MODE TUNNEL Portée de l'intégrité dans ESP en mode tunnel Portée de la confidentialité dans ESP en mode tunnel

7 INTERNET KEY EXCHANGE (IKE) IKE permet d'établir des associations de sécurité pour AH et ESP Phase 1 : Construction d'une association de sécurité pour protéger le trafic IKE Phase 2 : Construction d'une association de sécurité pour le domaine d'interprétation (IPsec AH & ESP) Authentification : - Secret partagé - Cryptographie à clef publique

8 IPSEC - SPD / SAD Traitement des paquets entrants (d'après AHv2, ESPv2, 2401bis)

9 IPSEC - SPD / SAD Traitement des paquets sortants (d'après AHv2, ESPv2, 2401bis)

10 IPSEC ET ACCÈS DISTANT 1 Les Mécanismes d'ipsec 2 Scénarios d'accès Distants 3 Intégration des Serveurs d'authentification

11 SCÉNARIOS D 'ACCÈS DISTANTS Cinq scénarios d'accès distants avec IPsec (draft-ietf-ipsra-reqmts-05.txt) Besoins des Scénarios Accès via Dialup/DSL/CATV Accès Privilégié à un Partenaire Portable <=> Réseau Mère Station d'accueil <=> Réseau Mère Accès Public <=> Réseau Mère

12 BESOINS DES SCÉNARIOS Authentification de bout en bout : - par quels moyens? - qu'authentifie-t'on? Configuration de l'hôte Distant Configuration des Politiques de Sécurité Audit Traversée de NAPT, des pare-feu, etc.

13 ACCÈS VIA DIALUP/DSL/CATV Authentification périodique de l'utilisateur (OTP possible) Une seule connexion autorisée Gestion de l'adresse IP (VIP, autorisations) MAJ des politiques de sécurité (IRAS et IRAC)

14 ACCÈS PRIVILÉGIÉ À UN PARTENAIRE Accès réduit, authentification utilisateur/machine selon le cas Différentes combinaisons d'associations de sécurité possibles Scénario riche, mais statique

15 PORTABLE <=> RÉSEAU MÈRE Authentification périodique de l'utilisateur Accès problèmatique à Internet et au réseau local (politiques) Contraintes du pare-feu local

16 STATION D'ACCUEIL <=> RÉSEAU MÈRE Authentification périodique de l'utilisateur Restrictions fortes (politiques, services, NAPT/FW...)

17 RÉSEAU PUBLIC <=> RÉSEAU MÈRE Authentification problèmatique de la passerelle de sécurité (borne Internet) Accès limités (lecture seule, etc) Renouvellement fréquent de l'authentification One Time Passwords / Dispositifs (SmartCard, etc)

18 IPSEC ET ACCÈS DISTANT 1 Les Mécanismes d'ipsec 2 Scénarios d'accès Distants 3 Intégration des Serveurs d'authentification

19 INTÉGRATION DES SERVEURS D'AUTHENTIFICATION Il s'agit d'intégrer les solutions pré-existantes de l'entreprise en matière d'authentification... - Remote Authentication Dial In User Service (RADIUS) - NIS+, LDAP... SOLUTIONS : - A base d'accréditations pour IPsec (PIC) - A base d'encapsulation de PPP (L2TP / IPSec)

20 PRE-IKE CREDENTIAL PROVISIONING PROTOCOL (PIC)

21 L2TP / IPSEC

22 CONCLUSION Les solutions pour l'accès distant basées sur IPsec......rêvent de cryptographie à clef publique et de PKI (pour les authentifications machines : passerelle, etc)...s'accrochent désespérément aux systèmes d'authentifications antérieurs Par ailleurs, la lenteur du déploiement et la complexité de l'ensemble ouvrent une brèche par laquelle des solutions propriétaires pourraient se faufiler sur le marché.