IPSec peut fonctionner selon deux modes, transport ou tunel.

Transcription

1 Infrastructure PKI (public key infrastructure) Le cryptage symétrique Utilise la même clé pour crypter et décrypter un document Le cryptage asymétrique Utilise une paire de clé public et privée différente Méthode de cryptage dans le cadre de EFS(Encrypting File Systèm) Lorsqu un utilisateur crypte un fichier, le système génère la clé secrete de cryptage pour ce dernier. Cette clé secrète est appelée FEK(file Encryption Key). Le fichier est ensuite crypté avec cette clé via l algorithme DESX. Selon le système d exploitation que vous utilisez, il se peut que DESX ne soit pas utilisé par défaut mais que ce soit un autre algorithme. Système d exploitation Algorithme par défaut Puissance Windows 2003 AES 256 BITS WINDOWS XP SP1 ET > AES 256 BITS WINDOWS XP DESX 56 BITS WINDOWS 2000 SP2 ET > DESX 128BITS WINDOWS 2000 DES 56 BITS Algorithme de cryptage symétrique sont DES ; data encryption standard 3DES RC-4 Rivest Cipher 4 AES advanced Encryption standard Protocole de cryptage SSL, IPSEC HACHAGE : Méthode de division d'une liste de données en sous-listes, contenant les éléments de la première ayant des points communs. Principaux algorithme de hachage actuellement utilisé sont : MD5 message digest bits SHA secure hash Algorithm 160 bit

2 Protocoles IPSec IPSec est en fait un ensemble de trois protocoles pricipaux, utilisant chacun des algorithmes de chiffrement pour protéger les différentes transactions mises en ouevre par le processus IPSec. MODE TRANSPORT ET MODE TUNEL IPSec peut fonctionner selon deux modes, transport ou tunel. Le mode Transport permet d appliquer une sécurité par IPSec de bout en bout, c'est-à-dire que la source du trafic et la destination sont les hôtes qui prennent en charge IPSec, et ainsi que cryptent et décryptent les données.le mode transport est donc utilisé dans les scénarios ou la communication sécurisée doit se faire de bout en bout. Le mode Tunnel permet quand à lui, d établir des connexions sécurisées entre deux réseaux, lorsque les passerelles ne prennent pas en charge une technologie de vpn telle que L2TP. En mode tunnel, les données ainsi que l en-tête IP envoyés par la machine source sont encapsulés dans un nouvel en-tête IP par la passerelle négociant IPSec, dont les adresses IP source et destination sont les points de départ et de terminaison du tunnel. AH AH(Authentification Header) est une protocole qui assure l authentification, le contrôle d intégrité et l anti-relecture des données encapsulées dans un paquet IP, ainsi que l en-tête IP elle-même, bloquant ainsi les attaques utilisant les en-tête IP, comme ip spoofing. AH utilise les algorithmes de hachages suivants : MD5 (Message Digest 5) Algo utilisant un hash sur 128 bits SHA1 Secure Hask Algorithm) Algo utilisant un hash sur 160 bits ESP Le protocole ESP (Encapsulation Security Payload) est un protocole qui assure la confidentialité des données, en chiffrant le contenu du paquet IP. ESP utilise les algorithmes de hachages suivants : MD5 (Message Digest 5) Algo utilisant un hash sur 128 bits SHA1 Secure Hask Algorithm) Algo utilisant un hash sur 160 bits

3 ESP utilise les algorithmes de chiffrement suivants : DES(Data Encryption Standard) Algorithme utilisant une clé symétrique de 56 bits. 3DES : Algorithme utilisant trois clés symétriques de 56 bits.avec 3DES, un bloc de données est chiffré successivement trois fois avec trois clés de 56 bits. IKE Lors d une communication sécurisée par IPSec, la source et la destination vont devoir se mettre d accord sur un certain nombre de paramètres, et ainsi générer les clés de cryptage qui vont permettre l échange de données de façon sécurisé. Pour mettre en œuvre cette association de sécurité, l IETF a établi un standard permettant cet échange appelé IKE(Internet Key Exchange). L IKE permet notamment de générer et de gérer les clés d authentification utilisées pour sécuriser les informations. Présentation de l accès distant L accès réseau à distance offre un mécanisme permettant à des utilisateurs physiquement situés hors du réseau d entreprise, de pouvoir se connecter au réseau d entreprise par l intermédiaire d une connexion d accès distant ou vpn et ainsi accéder aux ressources du réseau pour lesquelles ils disposent de permissions. Protocole de liaison d accès distant Les protocoles de liaison de données WAN qont SLIP, PPP, Microsoft RAS et ARAP. SLIP (Sérial Line Internet Protocol) Ce protocole est utilisé pour se connecter via un modem à un serveur SLIP. Il ne permet pas d effectuer de l authentification cryptée. PPP(Point to Point Protocol) est une amélioration de SLIP. Contraiement à SLIP qui ne prends pas en charge que de l IP, PPP permet d encapsuler en plus de TCP/IP d autres protocoles tels que IPX/SPX, NetBEUI.L énorme avantage de PPP est qu il n est pas propriétaire, et ainsi n importe quel client supportant PPP peut se connecter à un serveur d accès distant.

4 Microsoft RAS (Remote Access Service)ce protocole propriétaire est disponible pour permettre à des clients Windows pour Workgroup, Windows NT 3,1, MS-DOS et Lan Manager utilisant le Protocoles NetBEUI d accéder à un serveur. ARAP (Appeltalk Remote Access Protocol) Winndows 2003 joue le rôle de serveur d accès distant pour les clients Macintosh. Protocoles d authentification pour l accès distant Lors qu une connexion d accès à distance, il est nécessaire qu un mécanisme d authentification prenne place lors du processus d établissement de connexion, afin d empêcher toute personne non autorisée de pénétrer sur le réseau d entreprise. On peut découper en trois phases l établissement d une connexion WAN : Etablissement du lien physique. Cette première phase permet aux deux parties de négocier la connexion par envoi de paquet LCP(Link Control Protocol).Ces paquets contiennent des paramètres de négociation de la connexion au niveau physique. La seconde phase correspond à l authentification et intervient après l établissement de la ligne, et avant l établissement du niveau réseau. Une fois l authentification établie, il y a négociation du protocole réseau niveau 3 utilisé (ex :IP), par envoi de paquets NCP(Network Control Protocol). Plusieurs protocoles d authentification vous sont proposés : PAP (Password Authentification Protocol) : il s agit d une méthode relativement simple et peu sécurisée. Le mot de passe est envoyé par le client distant en clair. Il envoie son nom d utilisateur et son mot de passe au serveur d accès distant, qui vérifie si ces informations correspondent à celles qu il connaît dans sa base SAM ou Active Directory. SPAP (Shiva Password Authentification Protocol) : Il s agit d un protocole propriétaire du constructeur Shiva ; Il permet de connecter des clients Shiva à un serveur d accès distant Windows 2003, ou à un client Windows 2000 ou XP. Les mots de passes sont Ccryptés. CHAP (Challenge Handshake Authentification Protocol) : Il s agit d un protocole d authentification élaboré dans lequel les deux extrémités de la connexion partagent le même mot de passe qui n est jamais envoyé en clair sur le réseau. Le serveur d accès distant envoie au client un «challenge» après la première phase d établissement de connexion. Challenge correspond à un identifiant, un nombre aléatoire généré par le serveur ainsi que le nom d hôte utilisé pour l authentification. A la réception du Challenge, le client passe dans une fonction de hachage MD5 le mot de passe associé au nom d hôte Qu il connaît ainsi que le numéro d identifiant et le nombre aléatoire. Le résultat est la réponse au Challenge. Ce résultat, le nombre aléatoire, le nom d hôte et une version cryptée de l identifiant sont envoyés au serveur.

5 Ce dernier présente le mot de passe qu il connaît, le nombre aléatoire, l identifiant et le nom d(hôte à la même fonction de hachage non réversible et compare le résultat avec la réponse par le client. MS-CHAP (Microsoft Challenge Handshake Authentification protocol) : Il s agit meme principe que CHAP mais utilize comme function de Hachage l algorithme MD4 au lieu de MD5. Si vous utilisez MS-CHAP, vous pouvez en plus utiliser le cryptage MPPE(Microsoft Point to Point Encryption) pour scuriser les données sur le lien PPP ou PPTP. La différence entre MS-CHAP et CHAP réside dans le fait qu en CHAP les mots de passe sont stockés en clair sur le client et le serveur, alors qu en MS-CHAP stocke les mots de passe sous forme crypté (Ceci grâce à MD4). EAP (Extensible Authentification Protocol) : Il ne s agit pas d un protocole mais plutôt d un groupement de protocoles permettant d apporter d autres méthodes pour l authentification. Il s agit notamment de l authentification par carte à puce qui utilise le protocole TLS(transport Layer Security, le protocole MD5-CHAP, le protocole PEAP(Protected EAP), et tout autre méthode en cours de développement. Les réseaux privés virtuels (VPN) Les réseaux privés virtuels, souvent appelés VPN pour Virtual Private Network, offrent à un client VPN une extension du réseau privé de l entreprise à travers un support public comme internet. Windows 2003, tous comme Windows 2000, prend en charge les protocoles de tunnel PPTP et L2TP PPTP : Ce protocole permet d interconnecter des réseaux par l intermédiaire d un réseau IP. L2TP : Ce protocole permet à contrario de PPTP d interconnecter des réseaux dès lors que le tunnel offre une connexion point à point orientée paquet. Il est ainsi possible de fonctionner sur un réseau IP en utilisant des relais de trame, X25, ATM et bien évidement des circuits virtuels permanents IP. PPTP et L2TP utilisent tous les deux le protocole PPP pour transiter les données. Il s agit donc d une enveloppe supplémentaire utilisée pour le transport via VPN. Cette enveloppe ajoute des en-têtes permettent le transport de l information. Les avantages de L2TP sont les suivantes : Permet la compression des en-têtes Permet une authentification en tunnel. Utiliser IPSEC pour le cryptage des données permettant ainsi un fort niveau de sécurité des données ainsi que la possibilité à des clients de différentes technologies prenant en charge L2TP et IPSEC de se connecter à un serveur VPN. La sécurité prise en charge par ces deux protocoles va différer :

6 PPTP utilise pour crypter les données le cryptage MPPE(Microsoft Point to Point Encryption). MPPE est un protocoles de cryptage symétrique utilisant un algorithme de cryptage propriétaire commercialisé par RSA data Sécurity. Ce protocole se nomme RSA (River-Shamir-Adlman) RC4(river Cipher 4). Il ne s agit pas d un algorithme breveté mais il est protégé en tant que secret de fabrication. Pour mettre en œuvre le cryptage MPPE, il faut que l authentification effectuée par PPP soit MS-CHAPv1, MS-CHAPv2 ou EAP-TLS. MPPE peut être utilisé avec un niveau de cryptage sur 40 Bits, 56 bits ou 128 bits. Le format d une trame PPTP comprend une trame PPP (entête niveau 2 du modèle OSI + données niveau 3 du modèle OSI) qui est encapsulée dans un datagramme (paquet IP) IP auquel un entête GRE à été ajouté. Gre signifie Generic Routing Encapsulation. L2TP utilise IPSEC pour crypter les données. Cela dit, IPSEC est totalement indépendant de L2TP et vice versa.il st tout à fait possible d utiliser L2TP sans IPSEC. Cependant, si vous utilisez L2TP sans IPSEC, vous ne vous retrouvez plus dans une situation de tunnel crypté car les données véhiculées ne sont plus cryptées. De plus L2TP par l intermédiaire de IPSEC permet d authentifier l utilisateur désirant établir une session VPN, d authentifier le compte d ordinateur par un certificat. De plus, par les échanges PPP, l authentification de l utilisateur circule cryptée, car IPSEC aura déjà crée une association de sécurité de phase 2 avant que l authentification de l utilisateur n intervienne. Ainsi l échange CHAP, PAP, MS-SHAP sera chiffré par IPSEC. L2TP est une combinaison de deux protocoles : PPTP et L2F (layer 2 forxarding) L2F est une technologie proposé par CISCO Système.