Réseaux Privés Virtuels Virtual Private Networks

Documents pareils
Tunnels. Plan. Pourquoi? Comment? Qu est-ce? Quelles solutions? Tunnels applicatifs ESIL INFO 2005/2006. Sophie Nicoud

Sécurité des réseaux IPSec

Tunnels et VPN. 22/01/2009 Formation Permanente Paris6 86

Les RPV (Réseaux Privés Virtuels) ou VPN (Virtual Private Networks)

Les Réseaux Privés Virtuels (VPN) Définition d'un VPN

SSL ET IPSEC. Licence Pro ATC Amel Guetat

Windows Server 2008 Sécurité ADMINISTRATION ET CONFIGURATION DE LA SECURITE OLIVIER D.

Le protocole SSH (Secure Shell)

Sécurité GNU/Linux. Virtual Private Network

1 PfSense 1. Qu est-ce que c est

Devoir Surveillé de Sécurité des Réseaux

Firewall IDS Architecture. Assurer le contrôle des connexions au. Sécurité 1

Sécurité des réseaux sans fil

VPN TLS avec OpenVPN. Matthieu Herrb. 14 Mars 2005

Figure 1a. Réseau intranet avec pare feu et NAT.

Groupe Eyrolles, 2006, ISBN : X

Mise en route d'un Routeur/Pare-Feu

2. MAQUETTAGE DES SOLUTIONS CONSTRUCTIVES. 2.2 Architecture fonctionnelle d un système communicant.

La citadelle électronique séminaire du 14 mars 2002

Réseaux Privés Virtuels

Description des UE s du M2

Table des matières 1 Accès distant sur Windows 2008 Server Introduction...2

Réseaux Locaux. Objectif du module. Plan du Cours #3. Réseaux Informatiques. Acquérir un... Réseaux Informatiques. Savoir.

2. DIFFÉRENTS TYPES DE RÉSEAUX

SÉCURISATION DES CONNEXIONS À DISTANCE SUR LES RÉSEAUX DE CONTRÔLE

TECHNICAL NOTE. Configuration d un tunnel VPN entre un firewall NETASQ et le client VPN. Authentification par clé pré-partagée. Version 7.

SÉCURITÉ RÉSEAUX/INTERNET, SYNTHÈSE

Arkoon Security Appliances Fast 360

Virtual Private Network WAFA GHARBI (RT4) CYRINE MAATOUG (RT4) BOCHRA DARGHOUTH (RT4) SALAH KHEMIRI (RT4) MARWA CHAIEB (RT3) WIEM BADREDDINE (RT3)

Configurer ma Livebox Pro pour utiliser un serveur VPN

Intérêt du NAT (Network Address Translation) Administration Réseau Niveau routage. Exemple d Intranet. Principe NAT

//////////////////////////////////////////////////////////////////// Administration systèmes et réseaux

PACK SKeeper Multi = 1 SKeeper et des SKubes

«ASSISTANT SECURITE RESEAU ET HELP DESK»

Organisation du parcours M2 IR Les unités d enseignements (UE) affichées dans la partie tronc commun sont toutes obligatoires, ainsi que le stage et

Note technique. Recommandations de sécurité relatives à IPsec 1 pour la protection des flux réseau

Bibliographie. Gestion des risques

VoIP : Introduction à la sécurité. VoIP : Introduction à la sécurité

Mettre en place un accès sécurisé à travers Internet

Sécurité des Systèmes d Information Une politique simple pour parler à la Direction Générale De la théorie à la pratique

Réseaux. Moyens de sécurisation. Plan. Evolutions topologiques des réseaux locaux

Critères d évaluation pour les pare-feu nouvelle génération

Service de VPN de niveau 3 sur RENATER (L3VPN MPLS)

Services Réseaux - Couche Application. TODARO Cédric

Groupe Eyrolles, 2004, ISBN :

Utilisation des ressources informatiques de l N7 à distance

Domain Name System Extensions Sécurité

Ces deux machines virtuelles seront installées sous VMWARE WORKSTATION.

Préparation à la certification LPIC-1 "Junior Level Linux Certification"

Sécurité des réseaux wi fi

LINUX - Sécurité. Déroulé de l'action. - 3 jours - Contenu de formation

Sécurisation du réseau

Cisco Certified Network Associate

Routeur Chiffrant Navista Version Et le protocole de chiffrement du Réseau Privé Virtuel Navista Tunneling System - NTS Version 3.1.

Projet Sécurité des SI

FTPS AVEC UNE APPLIANCE FAST360 EN COUPURE. Table des matières

Mon Sommaire. INEO.VPdfdf. Sécurisations des accès nomades

Approfondissement Technique. Exia A5 VPN

Cisco Certified Network Associate

TR2 : Technologies de l'internet. Chapitre VI. NAT statique et dynamique Overloading (PAT) Overlapping, port Forwarding Serveur Proxy, DMZ

TCP/IP, NAT/PAT et Firewall

Linux. Sécuriser un réseau. 3 e édition. l Admin. Cahiers. Bernard Boutherin Benoit Delaunay. Collection dirigée par Nat Makarévitch

CAS IT-Interceptor. Formation «Certificate of Advanced Studies»

Internets. Informatique de l Internet: le(s) Internet(s) Composantes de l internet R3LR RENATER

International Master of Science System and Networks Architect

Appliance FAST360 Technical Overview. Sécurité de la VoIP. Copyright 2008 ARKOON Network Security

Sécurité des réseaux Firewalls

RESEAUX TCP/IP: NOTIONS AVANCEES. Preparé par Alberto EscuderoPascual

ROUTEURS CISCO, PERFECTIONNEMENT

Sujet 2 : Interconnexion de réseaux IP (routeurs CISCO). Sujet 3 : Implémentation d un serveur VPN avec OpenVPN.

Rappels réseaux TCP/IP

Eric DENIZOT José PEREIRA Anthony BERGER

Parcours en deuxième année

Positionnement produit

Sécurité des réseaux sans fil

M1101a Cours 4. Réseaux IP, Travail à distance. Département Informatique IUT2, UPMF 2014/2015

DFL-210, DFL-800, DFL-1600, DFL-2500 Comment configurer une connexion VPN IPSec site à site

Rapport de stage Stage de fin d études IUT Réseaux et Télécommunications

Rôle des FAI et des Datacenters dans les dispositifs de cyber-sécurité Ou comment tenter de rendre l Internet plus sûr.

La sécurité informatique d'un centre d imagerie médicale Les conseils de la CNIL. Dr Hervé LECLET. Santopta

IPSEC : PRÉSENTATION TECHNIQUE

Sécurité des Postes Clients

Mise en place d une politique de sécurité

Cours de sécurité. Pare-feux ( Firewalls ) Gérard Florin -CNAM - - Laboratoire CEDRIC -

Pare-feu VPN sans fil N Cisco RV120W

Notions de sécurités en informatique

Étendez les capacités de vos points de vente & sécurisez vos transactions.

Administration Avancée de Réseaux d Entreprises (A2RE)

Introduction aux Technologies de l Internet

DNSSEC. Introduction. les extensions de sécurité du DNS. Les dossiers thématiques de l AFNIC. 1 - Organisation et fonctionnement du DNS

TP LAN-WAN 2007/2008

ECTS CM TD TP. 1er semestre (S3)

Evoluez au rythme de la technologie

[ Sécurisation des canaux de communication

pfsense Manuel d Installation et d Utilisation du Logiciel

Spécialiste Systèmes et Réseaux

Internet et Programmation!

Transcription:

Réseaux Privés Virtuels Virtual Private Networks 18 Mars 2015 Olivier Perret ENSTA Paristech Réseaux Privés VirtuelsVirtual Private Networks p. 1

lan Rappel du contexte et des besoins Les VPN dans l architecture du réseau Les besoins auxquels ils répondent Panorama des implémentations Introduction au TP Démo Réseaux Privés VirtuelsVirtual Private Networks p. 2

ourquoi des réseaux virtuels? Rappel sur les couches réseaux (cf. schéma d encapsulation au tableau)): Virtualisation issue du modèle en couches; Notion de domaine de collision; Interopérabilité, ouverture. Tout le trafic est ouvert, et cela peut déboucher sur des développements inattendus (DPI). Réseaux Privés VirtuelsVirtual Private Networks p. 3

volution naturelle des réseaux ocaux Rappel des défauts inhérents au design des réseaux TCP/IP: pas de chiffrement en standard; priorité à l interconnexion: best-effort, pas de priorisation des flux; interopérabilité contre confidentialité. Retour à la la réalité: Impossibilité de se contenter du partionnement physique. Réseaux Privés VirtuelsVirtual Private Networks p. 4

es catégories d attaques On peut classer les menaces en 5 catégories: Ecoute passive: Faux paquets de service: encapsulation, spoofing, spam Usurpation d identité: hi-jacking, MIM Déni de service par bug ou inondation: Syn-flooding, land, teardrop Extension à un réseau de machines: DDOS, Botnet Solution apportée par le VPN: restreindre la surface d exposition. Réseaux Privés VirtuelsVirtual Private Networks p. 5

es attaques: écoute passive J écoute le trafic au bon endroit: j espionne je récupère des données... pour une intrusion... ou toute autre attaque. Solution apportée par le VPN: le trafic est chiffré aux endroits exposés Réseaux Privés VirtuelsVirtual Private Networks p. 6

es attaques: Faux paquets de ervice Toujours placé au bon endroit, je balance de faux paquets: pour jouer... rejouer (une demande d autorisation)... perturber un voisin... ou plus (intrusion) si les routeurs l autorisent. Solution apportée par le VPN: les données de service aussi sont chiffrées... Réseaux Privés VirtuelsVirtual Private Networks p. 7

an in the middle et usurpation d identité de machine en général: pour détourner le trafic... pour faire des faux... pour provoquer une réaction contre l usurpé Solution apportée par le VPN: l usurpateur doit être sur réseau interne Réseaux Privés VirtuelsVirtual Private Networks p. 8

es attaques: Déni de service Je provoque des réactions de bloquage: en appuyant sur les failles du système (teardrop)... en inondant une machine de requêtes longues à traiter (syn-flooding)... en provoquant une réaction d autres sites(antispam). Solution apportée par les VPN: imposer le passage du trafic par un point central Réseaux Privés VirtuelsVirtual Private Networks p. 9

es attaques: DDOS Je suis aux commmandes d un Botnet. J attaque ma cible: par des requêtes directes (web)... par rebond anonymisé... en provoquant une réaction en chaine. Limites du VPN: le périmètre de l entreprise. Réseaux Privés VirtuelsVirtual Private Networks p. 10

appel sur les réseaux locaux: lans Première démarche de sécurité utilisant la virtualisation des réseaux. Indissociable d un protocole de diffusion: Inventé par Cisco (ISL) Normalisé: 802.1q Préalable logique à la démarche VPN. Souvent présenté comme une solution d optimisation ou de décongestion. Réseaux Privés VirtuelsVirtual Private Networks p. 11

appel: Réseaux privés Sur un réseau privé, il est tentant d utiliser des classes d adresses réservées à ces usages, pour plus de liberté dans le plan d adressage. RFC1918: 10.0.0.0/8, 172.16.0.0/12, 192.168.0.0/16 réservées à autre chose: 169.254.0.0/16, 0,127,224-255, 100.64.0.0/10 adresses malmenées: 1.2.3.4, 192.108.0.0, 192.0.2.0/24, 198.51.100.0/24, 203.0.113.0/24 Dans le cas du VPN, ce n est pas obligatoire. Réseaux Privés VirtuelsVirtual Private Networks p. 12

éseaux privés (subtilités) Il existe d autres contextes d adressage qui montrent les limites du système: le conflit d adresses IP privées; les adresses sont disponibles, mais l implémentation l ignore (128.0.0.0/7); le dual stack ipv6. Comme tous les outils de sécurité, le VPN tolère mal les négligences. Réseaux Privés VirtuelsVirtual Private Networks p. 13

PN: Définition Un VPN est une passerelle point à point qui permet d étendre un réseau local, (par ordre d investissement croissant): à un établissement relié par un réseau d opérateur télécom; (client) à des postes distants reliés à un réseau public; (serveur) à un autre réseau connecté via un réseau public. (interconnexion) Le VPN modifie donc le périmètre de sécurité. Réseaux Privés VirtuelsVirtual Private Networks p. 14

PN: Composants On désigne par VPN une infra-structure qui va comprendre: deux ou plusieurs points d accès; un ou plusieurs tunnels; un plan d adressage; une bonne gestion de clefs. C est ce que nous allons détailler. Référence Wikipedia Réseaux Privés VirtuelsVirtual Private Networks p. 15

PN: Le Tunnel Du fait du design des réseaux ouverts, il est possible de construire le tunnel à plusieurs niveaux. Liaison (couche naturelle des réseaux locaux. Exemple: MPLS.) Routage (Exemples: PPtP ou IPsec, littéralement extension sécurisée de IP) Applicative (plus accessible aux usagers. Exemples: SSL ou ssh) Réseaux Privés VirtuelsVirtual Private Networks p. 16

PN au niveau 2(liaison) C est la technologie commercialisée par les opérateurs de télécom. X25: niveaux 2 et 3; Frame Relay; ATM: petites cellules, réseaux d opérateurs; MPLS: Multiprotocol Label Switching. Objectif commun: reproduire à distance le fonctionnement du réseau local. Réseaux Privés VirtuelsVirtual Private Networks p. 17

PN(2) Avantages On retrouve les avantages et les inconvénients courants des réseaux locaux bas niveau: bonne garantie d intéropérabilité des services; pas de chiffrement en standard, obligation d ajouter une couche IPsec; risque de négligences au niveau de la confidentialité. Le chiffrement en ligne est une fonction prévue depuis longtemps dans l évolution d IP et donc dans IPv6; Réseaux Privés VirtuelsVirtual Private Networks p. 18

PN sur la couche IP sécurisée IPsec) Principe: Utiliser la couche IP pour y ajouter les fonctions de sécurité et de chiffrement. Transparent pour le réseau local; Marche avec un hôte unique:vpn au poste. Implémenté depuis longtemps dans les routeurs (IPsec) et dans Microsoft Windows depuis Windows 2000 (PPTP); Du fait qu il travaille au niveau paquet, il a les deux options AH (Authentication Headers) et ESP (Encapsulating Security Payload); Réseaux Privés VirtuelsVirtual Private Networks p. 19

PN(3) Avantages C est la solution qui offre le meilleur rapport qualité/coût. idéale entre deux réseaux homogènes déjà connectés; profite de la supervision existante; standards reconnus: IPsec (chiffré) et GRE (non chiffré, donc pas vraiment Privé); inconvénient: peut être couteux pour des sites mal connectés ou dépourvus de supervision/compétences. Réseaux Privés VirtuelsVirtual Private Networks p. 20

PN sur les applications hiffrantes Toutes les couches de chiffrement applicatif permettent plus ou moins de monter un VPN sur les mêmes principes: Utilisation du port pour franchir le pare-feu; Utilisation du chiffrement pour garantir la confidentialité du canal; Si les deux le permettent, l interface virtuelle est montée. Du fait qu elle utilise un port réservé a priori à une application, l extension du réseau est plus ou moins sournoise. Réseaux Privés VirtuelsVirtual Private Networks p. 21

PN sur SSL/TLS SSL et TLS sont les couches normalisées par l IETF pour le chiffrement du mail et du web. Ils sont pratiquement autorisés partout. l interface négociée par le navigateur web, mais utilisable pour n importe quel autre protocole, moins sensible à la translation d adresse; contrôlé par un serveur centralisé; La plus répandue car accessible au grand public. C est le modèle qui connait le plus de développements Réseaux Privés VirtuelsVirtual Private Networks p. 22

PN sur SSH SSH est la version sécurisée de telnet, le protocole de connexion générique de TCP/IP protocole générique permettant de relayer absolument tout; souvent autorisé pour éviter des connexion en clair ou via des tierces parties, mais pas toujours; naturellement souple: nombreuses fonctions intégrées sans outil spécifique. Pas vraiment facile à contrôler car basé sur des secrets individuels. Réseaux Privés VirtuelsVirtual Private Networks p. 23

as particulier: VPN sur DNS Le DNS est le protocole le plus répandu de l Internet. L utiliser pour diffuser du contenu est très compliqué et le filtrer est encore plus rare. disponible partout; nécessite une complicité publique (serveur DNS enregistré); Très taggué hacker. On approche des limites éthiques du principe. Réseaux Privés VirtuelsVirtual Private Networks p. 24

PN extrême: Les botnets Définition: Un botnet est un réseau de machines dont les utilisateurs ont perdu tout ou partie de la maitrise suite à un piratage (virus, trojan, malware, intrusion,...) pas de protocole standard, mais une base commune: TCP/IP; peut rassembler plusieurs milliers de machines; par définition illégal. On ne peut les qualifier de service sans insulter la communauté. Réseaux Privés VirtuelsVirtual Private Networks p. 25

PN qui n en sont pas: Les éseaux P2P Les grands réseaux Peer to Peer ressemblent à des VPN: Skype, emule, Kaaza, Bitorrent, Gnutella, Freenet, Tor. montent leur propre couche réseau applicative; proposent des fonctions de chiffrement et d authentification puissantes; mais ne respectent pas les principes d ouverture de leur couche hôte. On les classe souvent dans les verrues, même si tous ne méritent pas d être dénigrés. Réseaux Privés VirtuelsVirtual Private Networks p. 26

volution de l architecture des unnels Plus ça va, plus on monte dans les couches: SSL est de plus en plus préféré à IPsec; La puissance des machines ne justifie plus l optimisation consistant à travailler au plus près du réseau; MPLS et ses concurrents (L2TPv3) sont basés nativement sur UDP. Rien n indique que la tendance pourrait s inverser. Étude illustrée. Débat sur la Neutralité du Net? Réseaux Privés VirtuelsVirtual Private Networks p. 27

anorama des implémentations: oitiers Exemples de produits utilisant différentes techniques: Classiques: Cisco, Juniper, Brocade,... A la mode: Fortinet; Français: Stormshield (Netasq + Arkoon). Tout serveur Unix ou Windows qui supporte IPSec dans son noyau peut faire l affaire. Réseaux Privés VirtuelsVirtual Private Networks p. 28

anorama des implémentations: erveurs Exemples de produits utilisant différentes techniques: Cisco: IPsec en natif dans IOS, avec ses propres services; Kame, IPsec intègré au noyau des Unix BSD. OpenVPN: libre, basé sur SSH et maintenant SSL; Tout serveur Unix ou Windows qui supporte IPSec dans son noyau. Réseaux Privés VirtuelsVirtual Private Networks p. 29

anorama des implémentations: lients Champ très vaste. les mêmes: Cisco VPN, Kame, OpenVPN; les pénibles: PPTP (de Windows, qui utilise MPPE); Démo: Forticlient, Shrew, Greenbow; n importe quel navigateur web supportant SSL. le poste client n est pas innocent: l utilisateur monte quand même une interface réseau chiffrante... Réseaux Privés VirtuelsVirtual Private Networks p. 30

anorama des implémentations: ervices en ligne Sujet polémique; contentons-nous de citer les avantages: raccorder différentes entités à un gros opérateur mondial fiable; déporter une connexion dans un pays étranger (neutralité); utiliser des services non fournis par le FAI (ipv6). Quelques noms célèbres à recoller dans les cases: Level3, OBS, OVH, FDN, Hurricane Electric,... Réseaux Privés VirtuelsVirtual Private Networks p. 31

nfra-structure de chiffrement Les algorithmes de chiffrement sont assez libres et négociés par les équipements entre eux, mas la gestion des clefs est incontournable: certificats: racine, serveur, clients; négociation des algorithmes; distribution des clefs. Le trafic ne doit divulguer aucune information sur les clefs privées et le secret partagé. Réseaux Privés VirtuelsVirtual Private Networks p. 32

istribution des clefs Quelques noms à connaitre pour IPsec: Diffie-Hellman et son utilisation pour générer des clefs secrètes; IKE (Internet Key Exchange); ISAKMP (Internet Security Association and Key Management Protocol); Tout est généré à partir d un simple secret partagé. Réseaux Privés VirtuelsVirtual Private Networks p. 33

estion de certificats Mécanisme connu et caractéristique des technologies du web (SSL/TLS) certificats auto-signé: gratuit mais mal reconnus; certificats Verisign(US), Keynectis(EU): payants; certificats StartSSL(pas cher) ou CaCert(gratuit): bon compromis. Les certificats serviront pour le serveur et chaque client aura sont sous-certificat à partir des quels seront générées les clefs secrètes... Réseaux Privés VirtuelsVirtual Private Networks p. 34

estion de certificats Les 3 niveaux de garantie: autosigné/gratuit: confiance dans l autorité certifié/payant (éventuellement wildcard): confiance dans le navigateur EV: Extended Validation: garanti vérifié par l autorité. Pas de différence au niveau chiffre, juste le coût de l assurance... Réseaux Privés VirtuelsVirtual Private Networks p. 35

onclusion Pratiquer les réseaux privés virtuels, c est mettre en oeuvre une varieté complète de techniques liées aux réseaux et à la sécurité et induit de nouvelles problèmatiques pour les différents acteurs: de fournisseur d accès public pour le serveur; d administrateur réseaux pour le client. C est ce que nous essayerons de mettre en oeuvre dans les 2 séances de TP. Réseaux Privés VirtuelsVirtual Private Networks p. 36

e que le VPN ne résoud pas La sécurité est l affaire de tous; Un outil de chiffrement ne vous protégera pas contre les comportements à risque; Le point faible des VPN se situe au niveau des postes client, d où l apparition des APT (Advanced Persistent Threats). Le déploiement d un VPN ne peut se faire sans une bonne sensibilisation. Réseaux Privés VirtuelsVirtual Private Networks p. 37

émo Selon ce qu il est possible de faire en salle, quelques exemples simples: Redirection de ports avec ssh; Connexion à un réseau sur SSL; Installation du client. La suite au prochain T.P. Réseaux Privés VirtuelsVirtual Private Networks p. 38

2026 © DocPlayer.fr Politique de confidentialité | Conditions de service | Feed-back