2011 Hakim Benameurlaine 1

Documents pareils
SSL ET IPSEC. Licence Pro ATC Amel Guetat

Sécurité des réseaux IPSec

[ Sécurisation des canaux de communication

Tunnels et VPN. 22/01/2009 Formation Permanente Paris6 86

Mise en route d'un Routeur/Pare-Feu

Les Réseaux Privés Virtuels (VPN) Définition d'un VPN

Windows Server 2008 Sécurité ADMINISTRATION ET CONFIGURATION DE LA SECURITE OLIVIER D.

Table des matières 1 Accès distant sur Windows 2008 Server Introduction...2

Richard MONTBEYRE Master 2 Professionnel Droit de l Internet Administration Entreprises. La banque en ligne et le protocole TLS : exemple

Le protocole SSH (Secure Shell)

Les Protocoles de sécurité dans les réseaux WiFi. Ihsane MOUTAIB & Lamia ELOFIR FM05

Tunnels. Plan. Pourquoi? Comment? Qu est-ce? Quelles solutions? Tunnels applicatifs ESIL INFO 2005/2006. Sophie Nicoud

Devoir Surveillé de Sécurité des Réseaux

DFL-210, DFL-800, DFL-1600, DFL-2500 Comment configurer une connexion VPN IPSec site à site

TECHNICAL NOTE. Configuration d un tunnel VPN entre un firewall NETASQ et le client VPN. Authentification par clé pré-partagée. Version 7.

Arkoon Security Appliances Fast 360

Sécurité des réseaux wifi. CREIX Kevin GIOVARESCO Julien

Le rôle Serveur NPS et Protection d accès réseau

IPSEC : PRÉSENTATION TECHNIQUE

1. Présentation de WPA et 802.1X

Cours 14. Crypto. 2004, Marc-André Léger

Configuration d un Client VPN «TheGreenBow» 1) Création d un compte utilisateur dans la base LDAP Netasq

Université de Reims Champagne Ardenne. HTTPS, SSL, SSH, IPSEC et SOCKS. Présenté par : BOUAMAMA Mohamed Nadjib AZIZ Xerin

Les fonctions de hachage, un domaine à la mode

Module 8 : Protection du trafic réseau à l'aide de la sécurité IPSec et de certificats

I.1. Chiffrement I.1.1 Chiffrement symétrique I.1.2 Chiffrement asymétrique I.2 La signature numérique I.2.1 Les fonctions de hachage I.2.

Authentification dans ISA Server Microsoft Internet Security and Acceleration Server 2006

Mettre en place un accès sécurisé à travers Internet

Journées MATHRICE "Dijon-Besançon" DIJON mars Projet MySafeKey Authentification par clé USB

SÉCURITÉ RÉSEAUX/INTERNET, SYNTHÈSE

SECURITE DES DONNEES 1/1. Copyright Nokia Corporation All rights reserved. Ver. 1.0

LAB : Schéma. Compagnie C / /24 NETASQ

Note technique. Recommandations de sécurité relatives à IPsec 1 pour la protection des flux réseau

FTPS AVEC UNE APPLIANCE FAST360 EN COUPURE. Table des matières

Sécurité GNU/Linux. Virtual Private Network

EMV, S.E.T et 3D Secure

IPv6. IPv6 et la sécurité: IPsec Objectif: Sécuriser... v.1a IPv6 Théorie et Pratique & Microsoft IPsec 1

2. MAQUETTAGE DES SOLUTIONS CONSTRUCTIVES. 2.2 Architecture fonctionnelle d un système communicant.

Transport Layer Security (TLS) Guide de mise en œuvre. Version: 1.0

Le protocole RADIUS Remote Authentication Dial-In User Service

Chapitre 7. Sécurité des réseaux. Services, attaques et mécanismes cryptographiques. Hdhili M.H. Cours Administration et sécurité des réseaux

Firewall ou Routeur avec IP statique

Sécurité des réseaux wi fi

Mise en place d'un Réseau Privé Virtuel

Windows Server 2012 R2 Administration

Configuration de l'accès distant

Table des matières Page 1

Sécurisation du réseau

Module 8 : Planification d'ipsec et résolution des problèmes

Protocoles utilisant des mécanismes d'authentification: TACACS+, RADIUS et Kerberos

Certificats (électroniques) : Pourquoi? Comment? CA CNRS-Test et CNRS

StoneGate Firewall/VPN

«ASSISTANT SECURITE RESEAU ET HELP DESK»

Eric DENIZOT José PEREIRA Anthony BERGER

Le protocole sécurisé SSL

Présenté par : Ould Mohamed Lamine Ousmane Diouf

Du 03 au 07 Février 2014 Tunis (Tunisie)

Projet de Conception N 1 Automatisation d'un processus de paiement. Livrable: Spécification du système de compensation

Pare-feu VPN sans fil N Cisco RV120W

Manuel d'utilisation du client VPN Édition 1

Présentation. LogMeIn Rescue. Architecture de LogMeIn Rescue

WIFI sécurisé en entreprise (sur un Active Directory 2008)

PACK SKeeper Multi = 1 SKeeper et des SKubes

Étudiant : Nicolas Favre-Félix IFIPS Info 3. Les One Time Passwords, Mots de passe à usage unique

Payment Card Industry (PCI) Normes en matière de sécurité des données. Glossaire, abréviations et acronymes

IIS, c est quoi? Installation de IIS Gestion de base de IIS Méthodes d authentification. Edy Joachim,

CONVENTION d adhésion au service. EDUROAM de Belnet

Un équipement (clé USB, disque dur, imprimante, etc.) est connecté au port USB.

HAUTE DISPONIBILITÉ DE MACHINE VIRTUELLE AVEC HYPER-V 2012 R2 PARTIE CONFIGURATION OPENVPN SUR PFSENSE

La sécurité des réseaux. 9e cours 2014 Louis Salvail


Protection exhaustive de réseau corporate, optimisation de trafic Internet, administration flexible

TP réseaux Translation d adresse, firewalls, zonage

Bibliographie. Gestion des risques

SOLUTIONS DE SECURITE DU DOCUMENT DES SOLUTIONS EPROUVEES POUR UNE SECURITE SANS FAILLE DE VOTRE SYSTEME MULTIFONCTIONS SHARP DOCUMENT SOLUTIONS

Annexe 8. Documents et URL de référence

Les réseaux des EPLEFPA. Guide «PfSense»


«La Sécurité des Transactions et des Echanges Electroniques»

Résumé et recommandations

MONNIER Marie /2009 WPA

Complémentarité de DNSsec et d IPsec

Installation du client Cisco VPN 5 (Windows)

FORMATION SUR «CRYPTOGRAPHIE APPLIQUEE

DISTANT ACESS. Emna TRABELSI (RT3) Chourouk CHAOUCH (RT3) Rabab AMMAR (RT3) Rania BEN MANSOUR (RT3) Mouafek BOUZIDI (RT3)

Authentification de messages et mots de passe

Responsable du cours : Héla Hachicha. Année Universitaire :

FORMATIONS De ploiement des PKI dans les entreprises Technologie VPN IPSEC Se curiser un syste me Unix ou Linux

La sécurité dans les grilles

ISMS. (Information Security Management System) LOGO Institution. Politique de télétravail Versie /06/2008

Routeur Chiffrant Navista Version Et le protocole de chiffrement du Réseau Privé Virtuel Navista Tunneling System - NTS Version 3.1.

Installation du client Cisco VPN 5 (Windows)

Installation du client Cisco VPN 5 (Windows)

1 L Authentification de A à Z

Approfondissement Technique. Exia A5 VPN

SECURIDAY 2013 Cyber War

USERGATE PROXY & FIREWALL. Protection exhaustive de réseau corporate, optimisation de trafic Internet, administration flexible

Transcription:

Sommaire 1 IPSEC... 2 1.1 Introduction... 2 1.2 Modes de fonctionnement d IPSec... 5 1.3 Protocoles... 7 1.3.1 AH (Authentification Header)... 7 1.3.2 Protocole ESP (Encapsulating Security Payload)... 7 1.4 Exemple de configuration... 8 2011 Hakim Benameurlaine 1

1 IPSEC 1.1 Introduction Le protocole IP V4 est non sécurisé à l origine. Afin de remédier à ce problème de sécurité, l organisation IETF (Internet Engineering Task Force) a rédigé la RFC 2401, abordant le problème de la sécurité sur un réseau IP en 1998. Permet de sécuriser les données entre deux machines dans le même réseau ou dans deux réseaux différents. Confidentialité (chiffrement) Authenticité (authentification mutuelle) IPSec est un standard qui peut être utilisé par différentes plateformes. IPSEC représente un complément à IP V4 IPSEC est intégré avec IP V6 Le rôle ou les tâches assuré par IPSEC : La confidentialité L'intégrité L'authentification Anti-relecture La confidentialité, l'intégrité, l anti-relecture et l'authentification des données entre deux hôtes est gérée par un ensemble de normes et protocoles. Le protocole IPSec rassemble toutes ces normes ouvertes. 1) La confidentialité Seules les deux entités peuvent lire le contenu. Deux algorithmes DES et 3DES peuvent être utilisés pour assurer le cryptage. DES = (Data Encryption Standard) IBM est à l origine de cette méthode de cryptage en 1977. 3DES = (Triple Data Encryption Standard) plus fiable mais plus lent que DES, car il utilise 3 fois le cryptage DES simple et génère donc 3 clés. 2) L'intégrité Pas d altération des données : les données sont authentiques. Consiste à ajouter à chaque paquet IP le résultat d'un calcul de hachage. 2011 Hakim Benameurlaine 2

Les deux fonctions de hachage SHA-1 et MD5 peuvent être utilisées pour assurer l intégrité. Le calcul d'intégrité est réalisé par l'équipement source (en utilisant une fonction de hachage (SHA-1 ou MD5) qui est une sorte de transformation des données au niveau de la source) pour être systématiquement contrôlé par l'équipement destinataire (Le destinataire utilise la même fonction de hachage pour déterminer l empreinte). L empreinte est le résultat de hachage. 128 bits pour MD5 et 160 bits pour SHA-1. IPSec permet de s'assurer qu'aucun paquet n'a subit de modification quelconque (attaque dite active) durant son trajet. SHA-1 = est l'abréviation de Secure Hash Algorithm. MD5 = Message Digest five 3) L'authentification Approbation entre les entités en général des PC. Authentification IPSec Chaque règle de sécurité IPSEC définit une liste des méthodes d'authentification. Les deux homologues doivent avoir au moins une méthode d'authentification commune, sinon la communication échouera. En créant des méthodes d'authentification multiples, vous augmentez vos chances de trouver une méthode commune à deux ordinateurs. Les méthodes d authentification IPsec support trois méthodes d authentification : protocole de sécurité Kerberos est la méthode d'authentification utilisée par Active Directory. Cette méthode peut être utilisée pour n'importe quel client exécutant le protocole Kerberos membre d'un domaine approuvé. Un certificat peut être utilisé dans des situations impliquant des ordinateurs n'exécutant pas le protocole de sécurité Kerberos. Ceci requiert la configuration d'au moins une Autorité de certification de confiance. 2011 Hakim Benameurlaine 3

Il est possible d utiliser un certificat dans un environnement Active Directory lorsque qu un niveau de sécurité accru est nécessaire. Une clé pré-partagée peut être spécifiée. Cette méthode est utilisée généralement dans les environnements de test. Il s'agit d'une clé secrète partagée par deux machines. L'utilisation de cette clé est rapide et ne requiert pas que le client exécute le protocole Kerberos ou dispose d'un certificat. Les deux parties doivent configurer manuellement IPSec de manière à utiliser cette clé pré-partagée. Notez que cette clé est destinée exclusivement à la protection par authentification. 4) L'anti-relecture Si un paquet est intercepté par une personne mal intentionnée, alors il ne sera pas possible de le réutiliser pour établir une nouvelle conne xion ou session. IPSec permet de se prémunir contre les attaques consistant à capturer un ou plusieurs paquets dans le but de les envoyer à nouveau (sans pour autant les avoir déchiffrés) pour bénéficier des mêmes avantages que l'envoyeur initial. Conclusion Avec le protocole AH, vous êtes sûr de «parler» à la bonne «personne» et vous êtes sûr que les données reçues sont bien les données envoyées, et vice versa. Ce qui est déjà mieux que le protocole IP. Avec le protocole ESP, les données sont chiffrées, mais l'algorithme utilisé dépend de la configuration effectuée sur les équipements. Cela peut être le protocole DES ou 3DES par exemple. Parfois, vous n'êtes pas maître de la négociation de choix des algorithmes effectuée, un peu comme quand vous vous connectez à un site web utilisant du SSL (si l'on contrôle les deux éléments à l'extrémité des tunnels, on est maître des algorithmes). Mais quoi qu'il en soit, les données ne circulent pas en clair, ce qui exigera beaucoup plus de temps, de moyen et de technicité à un pirate pour «écouter» vos «conversations». 2011 Hakim Benameurlaine 4

1.2 Modes de fonctionnement d IPSec IPSec peut être utilisée en deux modes : Mode transport Mode tunnel Ces deux modes sont choisis en fonction des besoins dans l entreprise. Mode de transport Permet d appliquer une sécurité de bout en bout. C est à dire les deux extrémités prennent en charge IPSec et ce sont elles-mêmes qui font le cryptage et le décryptage des données. C est le mode par défaut. 2011 Hakim Benameurlaine 5

Mode de tunnel (très rarement utilisé) Le protocole IPSec crypte tout le trafic entre deux passerelles, sur une section située entre les extrémités du tunnel. Ce mode permet de crypter les données d'une section non sécurisée d'un réseau. Par exemple, si deux entreprises associées veulent crypter toutes les données FTP entre leurs bureaux. Dans ce cas, il est possible de configurer IPSec pour crypter les données uniquement entre les pare-feu de chaque bureau. Ce mode est rarement utilisé car il est préférable de configurer un VPN à la place. 2011 Hakim Benameurlaine 6

1.3 Protocoles 1.3.1 AH (Authentification Header) Ce protocole est utilisé pour authentifier les machines source et destination. Ce protocole gère l intégrité (Hachage) des données, mais ne crypte pas le contenu du paquet IP. Il utilise : MD5 (Message Digest 5) : Ron Rivest l un des concepteurs du cryptage RSA, est à l origine de MD5 qui fait référence à la RFC 1321. SHA-1 (Secure Hash Algorithme version 1) : La National Security Agency (NSA) et le National Institute of Standards and Technology (NIST) ont développé cette méthode de hachage basé sur MD4 (réputé plus sûr que MD5).Il fonctionne avec des blocs de 512 bits, Clé de 160 bits. 1.3.2 Protocole ESP (Encapsulating Security Payload) Ce protocole gère l intégrité et le cryptage des données (payload). ESP utilise les méthodes d intégrité MD5 et SHA-1. Les méthodes de cryptage ESP : DES (Data Encryption Standard) 3DES (Triple Data Encryption Standard) La différence entre les deux modes de fonctionnement est le cryptage. 2011 Hakim Benameurlaine 7

1.4 Exemple de configuration 1) Démarrez la console Local Security Policy. 2) Allez dans IP Security Policies on Local Computer. 2011 Hakim Benameurlaine 8

3) Sélectionnez Create IP Security Policy. 4) L écran de bienvenue de l assistant IP Security Policy Wizard est démarré. 2011 Hakim Benameurlaine 9

5) Spécifier le nom de la politique. 6) Activez la règle par défaut. 2011 Hakim Benameurlaine 10

7) Spécifier la méthode d authentification. 8) Fin du wizard. 2011 Hakim Benameurlaine 11

9) Cliquez sur Add pour ajouter une nouvelle règle. 2011 Hakim Benameurlaine 12

10) L écran de bienvenue de l assistant Security Rule Wizard est démarré 11) Spécifiez le mode (tunnel ou transport). 2011 Hakim Benameurlaine 13

12) Spécifiez le type de réseau (local, distant ou les deux). 13) Ajouter un filtre. 2011 Hakim Benameurlaine 14

14) L écran de bienvenue de l assistant IP Filter Wizard est démarré. 15) Spécifiez une description du filtre. 2011 Hakim Benameurlaine 15

16) Spécifiez la source du trafic. 17) Spécifiez la destination du trafic 18) Spécifiez le type du protocole. 2011 Hakim Benameurlaine 16

19) Spécifiez le port (source et destination). 20) Fin du Wizard. 2011 Hakim Benameurlaine 17

21) Fermez la fenêtre IP Filter List. 22) Activez le filtre. 2011 Hakim Benameurlaine 18

23) Ajoutez une action au filtre 24) L écran de bienvenue de l assistant IP Security Filter action Wizard est démarré. 2011 Hakim Benameurlaine 19

25) Spécifiez le nom de l action. 26) Spécifiez le comportement de l action. 27) Ajoutez une deuxième action pour bloquer le trafic. 28) Spécifiez le comportement de l action. 2011 Hakim Benameurlaine 20

29) Ajoutez une troisième action pour négocier. 30) Spécifiez le comportement de l action. 31) Spécifiez quoi faire lorsqu on communique avec une machine qui ne supporte pas IPsec. 2011 Hakim Benameurlaine 21

32) Spécifiez la méthode de sécurité pour le trafic IP. 33) Spécifiez Custom. 2011 Hakim Benameurlaine 22

34) Spécifiez les algorithmes pour l intégrité et le chiffrement. 35) Spécifiez l action du filtre. 2011 Hakim Benameurlaine 23

36) Spécifiez la méthode d authentification. 2011 Hakim Benameurlaine 24

37) Fin du Wizard. 2011 Hakim Benameurlaine 25

38) Fermez la fenêtre de propriétés. 39) Assignez la nouvelle politique pour l activer. 2011 Hakim Benameurlaine 26

40) Le flag change à Yes. 41) Vous pouvez aussi gérer les filtres et les actions. 2011 Hakim Benameurlaine 27

42) Écran de gestion des filtres. 2011 Hakim Benameurlaine 28

43) Écran de gestion des actions. 2011 Hakim Benameurlaine 29

2026 © DocPlayer.fr Politique de confidentialité | Conditions de service | Feed-back