Technologie VPN «IPSEC vs SSL» Séminaire du 21 avril 2004

Transcription

1 e-xpert Solutions SA 3, Chemin du Creux CH 1233 Bernex-Genève Tél Fax Technologie VPN «IPSEC vs SSL» Séminaire du 21 avril 2004 Sylvain Maret 4 info@e-xpertsolutions.com

2 Agenda technologie VPN IPSEC vs SSL Survol de la technologie VPN SSL Son fonctionnement de base IPSEC en deux mots Comparaison avec IPSEC Les points forts IPSEC Les points faibles IPSEC Deux problématiques VPN Intrusion par le tunnel Mobilité (Kiosk) Conclusion

3 SSL / TLS: un peu d histoire SSL version 1 et 2 par Netscape en 1994 Secure Socket Layer Contre attaque par Microsoft en 1995 Private Communication Technology (PCT) SSL version 3 par Netscape en 1995 Repris par IETF en 1997: TLS Transport Layer Security version 1.0 ou SSL version 3.1 RFC 2246 Standard toujours actuel Ajout ciphers (AES)

4 SSL / TLS: fonctionnement classique Généralement utilisé avec le protocole HTTP (HTTPS) Navigateurs (IE, Mozilla, etc.) Support d autres applications ldap, imap, smtp, etc. Technologie basée sur PKI Certificat X509 serveur Certificat X509 client Validation par CRL ou OCSP Support du mode «tunnel» Application SSL / TLS TCP IP Physique

5 Technologie SSL VPN: l idée Utiliser le client VPN des navigateurs Pas besoin d installer du logiciel Support des technologies d authentifications Radius, SecurID, Ldap, Certificats numériques, NTLM, etc, Rendre accessible «toutes» les applications dans le navigateur Approche «Webifyer» «Tunneliser» les autres applications Approche «tunnel» SSL Même approche que IPSEC

6 Webifyer: pas de clients «natif» Laptop Secured by SSL / TLS Telnet, SSH, TN32.., etc. Kiosk Internet Terminaison SSL Share NT, NFS, , X11, Terminal Server Citrix, etc. Mobile Device Partner Applications Web Reverse Proxy (OWA, Lotus) Authentification

7 Tunnel SSL: avec clients «natif» TCP Static SSL / TLS TCP 1352 Lotus Localhost Terminaison SSL :1352 Authentification TCP, UDP, ICMP Interface virtuelle PPP SSL / TLS Terminaison SSL FTP TCP 20,21 Routage

8 Technologie IPSEC IP Security Modification trame IP Support TCP, UDP, ICMP Technologie normalisée par l IETF en 1995 RFC 2401, 2402, 2406 et 2409 Support PKI Certificat client Certificat «gateway» Support authentification «classique» Radius, SecurID, etc. Application TCP IP IPSEC Physique

9 SSL / IPSEC en terme de sécurité et confort Technologie IPSEC: les points forts! Très haut niveau de sécurité Support de l échange des clés symétriques en cours de session Support AES par la plupart des clients IPSEC Attaque de type MiM pas connue à ce jour Confort d utilisation Transparent pour l utilisateur Pas besoin d utiliser son navigateur

10 SSL / IPSEC en terme de déploiement et mobilité Technologie IPSEC: les points faibles! Déploiement complexe Installation d un client IPSEC Client très intrusif (Couche 3) Nécessite la maîtrise du poste client Installation des clients «natif» Configuration complexe (NAT, Routage) Problème de cohabitation logiciel Mobilité fortement réduite Notion de «kiosk» pas réalisable

11 Intrusion: problématique du mode VPN «pure» Ouverture d un moyen de communication (tunnel),entre le client et l entreprise, très simple à exploiter! Virus, Worm, Backdoor WIN32.Blaster.Worm (TCP 135 / DCOM RPC) Concerne IPSEC ou SSL (ppp over SSL) Recommandation minimum au niveau du poste client Mise en place d un Anti-virus Mise en place d un firewall personnel Mise en œuvre d une solution IPS Networks Check Point InterSpect par exemple

12 Mobilité: problématique du «Kiosk» Gestion des «traces» sur la borne Historique des URL Cache, fichiers temporaires Cookies Software Helper (Code Mobile) Authentification par certificat numérique Attention au support physique Carte à puce ou Token USB Solutions alternatives SecurID ou RSA Mobile

13 Conclusion Deux technologies complémentaires Les VPN SSL ne vont pas remplacer IPSEC à court terme Marketing fabriquant! Quelle technologie choisir? Niveau de sécurité? Déploiement software? Maîtrise des postes clients? Déploiement applications clientes «natives»? Confort à l utilisation? Mobilité? Etc.

14 Questions?

15 e-xpert Solutions SA 3, Chemin du Creux CH 1233 Bernex-Genève Tél Fax e-xpert Solutions SA Intégrateur en sécurité informatique Au bénéfice d'une longue expérience dans les secteurs financiers et industriels, e-xpert Solutions SA propose à sa clientèle des solutions «clé en main» dans le domaine de la sécurité informatique des réseaux et des applications. Des solutions qui vont de la sécurité de périmètre tel le firewall, VPN, IDS, FIA, le contrôle de contenu, l anti-virus aux solutions plus avant-gardistes comme la prévention des intrusions (approche comportementale), l'authentification forte, la biométrie, les architectures PKI ou encore la sécurisation des OS Unix, Microsoft et des postes clients (firewall personnel). 4 info@e-xpertsolutions.com

16 e-xpert Solutions SA 3, Chemin du Creux CH 1233 Bernex-Genève Tél Fax Pour plus d informations: e-xpert Solutions SA Chemin du Creux 3 CH 1233 Bernex / Genève Tel: Fax: info@e-xpertsolutions.com 4 info@e-xpertsolutions.com