Tunnels et VPN. 22/01/2009 Formation Permanente Paris6 86

Documents pareils
Sécurisation des communications

Tunnels. Plan. Pourquoi? Comment? Qu est-ce? Quelles solutions? Tunnels applicatifs ESIL INFO 2005/2006. Sophie Nicoud

VPN TLS avec OpenVPN. Matthieu Herrb. 14 Mars 2005

Les Réseaux Privés Virtuels (VPN) Définition d'un VPN

SSL ET IPSEC. Licence Pro ATC Amel Guetat

Sécurité GNU/Linux. Virtual Private Network

1 PfSense 1. Qu est-ce que c est

VPN. Réseau privé virtuel Usages :

Le protocole SSH (Secure Shell)

Réseaux Privés Virtuels

2. MAQUETTAGE DES SOLUTIONS CONSTRUCTIVES. 2.2 Architecture fonctionnelle d un système communicant.

Intérêt du NAT (Network Address Translation) Administration Réseau Niveau routage. Exemple d Intranet. Principe NAT

Devoir Surveillé de Sécurité des Réseaux

Sécurité des réseaux sans fil

Configuration de l'accès distant

SSL. Secure Socket Layer. R. Kobylanski janvier version 1.1 FC INPG. Protocole SSL Application avec stunnel

PACK SKeeper Multi = 1 SKeeper et des SKubes

Sécurité des réseaux IPSec

Windows Server 2008 Sécurité ADMINISTRATION ET CONFIGURATION DE LA SECURITE OLIVIER D.

2. DIFFÉRENTS TYPES DE RÉSEAUX

Utilisation des ressources informatiques de l N7 à distance

Figure 1a. Réseau intranet avec pare feu et NAT.

Virtual Private Network WAFA GHARBI (RT4) CYRINE MAATOUG (RT4) BOCHRA DARGHOUTH (RT4) SALAH KHEMIRI (RT4) MARWA CHAIEB (RT3) WIEM BADREDDINE (RT3)

INSTALLATION D'OPENVPN:

OpenSSH. Présentation pour le groupe SUR (Sécurité Unix et Réseaux) 08/03/2005. Saâd Kadhi

Pare-feu VPN sans fil N Cisco RV120W

CONVENTION d adhésion au service. EDUROAM de Belnet

M2-RADIS Rezo TP13 : VPN

TECHNICAL NOTE. Configuration d un tunnel VPN entre un firewall NETASQ et le client VPN. Authentification par clé pré-partagée. Version 7.

L3 informatique Réseaux : Configuration d une interface réseau

Mise en route d'un Routeur/Pare-Feu

Présentation du modèle OSI(Open Systems Interconnection)

Services Réseaux - Couche Application. TODARO Cédric

TP LAN-WAN 2007/2008

TP réseaux Translation d adresse, firewalls, zonage

Table des matières 1 Accès distant sur Windows 2008 Server Introduction...2

Configurer ma Livebox Pro pour utiliser un serveur VPN

LAB : Schéma. Compagnie C / /24 NETASQ

Sécurité des réseaux wi fi

Introduction. Adresses

Réseaux. Moyens de sécurisation. Plan. Evolutions topologiques des réseaux locaux

Université de Reims Champagne Ardenne. HTTPS, SSL, SSH, IPSEC et SOCKS. Présenté par : BOUAMAMA Mohamed Nadjib AZIZ Xerin

Action Spécifique Sécurité du CNRS 15 mai 2002

DISTANT ACESS. Emna TRABELSI (RT3) Chourouk CHAOUCH (RT3) Rabab AMMAR (RT3) Rania BEN MANSOUR (RT3) Mouafek BOUZIDI (RT3)

II/ Le modèle OSI II.1/ Présentation du modèle OSI(Open Systems Interconnection)

Les RPV (Réseaux Privés Virtuels) ou VPN (Virtual Private Networks)

TR2 : Technologies de l'internet. Chapitre VI. NAT statique et dynamique Overloading (PAT) Overlapping, port Forwarding Serveur Proxy, DMZ

Accès aux ressources informatiques de l ENSEEIHT à distance

Réseaux et protocoles Damien Nouvel

Annexe C : Numéros de port couramment utilisés

Cisco Certified Network Associate

Transmission de données

Pare-feu VPN sans fil N Cisco RV110W

Routeur Chiffrant Navista Version Et le protocole de chiffrement du Réseau Privé Virtuel Navista Tunneling System - NTS Version 3.1.

HAUTE DISPONIBILITÉ DE MACHINE VIRTUELLE AVEC HYPER-V 2012 R2 PARTIE CONFIGURATION OPENVPN SUR PFSENSE

FTPS AVEC UNE APPLIANCE FAST360 EN COUPURE. Table des matières

pfsense Manuel d Installation et d Utilisation du Logiciel

Routeur VPN Wireless-N Cisco RV215W

Les applications Internet

StoneGate Firewall/VPN

Rappels réseaux TCP/IP

Culture informatique. Cours n 9 : Les réseaux informatiques (suite)

RESEAUX TCP/IP: NOTIONS AVANCEES. Preparé par Alberto EscuderoPascual

OneAccess 16xx EAD Ethernet Access Device / 1.0 / AH / Public

Cisco RV220W Network Security Firewall

Note technique. Recommandations de sécurité relatives à IPsec 1 pour la protection des flux réseau

Positionnement produit

le nouveau EAGLEmGuard est arrivé. Dissuasion maximum pour tous les pirates informatiques:

Administration de Réseaux d Entreprises

Cours de sécurité. Pare-feux ( Firewalls ) Gérard Florin -CNAM - - Laboratoire CEDRIC -

Mobilité et Sécurité sur le réseau Réaumur, mise en place de solutions DHCP et VPN

Firewall IDS Architecture. Assurer le contrôle des connexions au. Sécurité 1

//////////////////////////////////////////////////////////////////// Administration systèmes et réseaux

Programme formation pfsense Mars 2011 Cript Bretagne

Mettre en place un accès sécurisé à travers Internet

Cisco RV220W Network Security Firewall

Fiche descriptive de module

Protocole industriels de sécurité. S. Natkin Décembre 2000

Présentation et portée du cours : CCNA Exploration v4.0

Préparation à la certification LPIC-1 "Junior Level Linux Certification"

Le rôle Serveur NPS et Protection d accès réseau

La citadelle électronique séminaire du 14 mars 2002

Le protocole RADIUS Remote Authentication Dial-In User Service

SÉCURITÉ RÉSEAUX/INTERNET, SYNTHÈSE

Programmation Réseau. ! UFR Informatique ! Jean-Baptiste.Yunes@univ-paris-diderot.fr

M1101a Cours 4. Réseaux IP, Travail à distance. Département Informatique IUT2, UPMF 2014/2015

Réseaux Privés Virtuels Virtual Private Networks

Eric DENIZOT José PEREIRA Anthony BERGER

Réseau - VirtualBox. Sommaire

Les clés d un réseau privé virtuel (VPN) fonctionnel

Linux. Sécuriser un réseau. 3 e édition. l Admin. Cahiers. Bernard Boutherin Benoit Delaunay. Collection dirigée par Nat Makarévitch

Tutorial VPN. Principales abréviations

1. Présentation de WPA et 802.1X

LINUX REDHAT, SERVICES RÉSEAUX/INTERNET

Transcription:

Tunnels et VPN 22/01/2009 Formation Permanente Paris6 86

Sécurisation des communications Remplacement ou sécurisation de tous les protocoles ne chiffrant pas l authentification + éventuellement chiffrement des données Permettre d éviter les écoutes réseau Permettre l accès à des services internes depuis l extérieur» Accès haut débits ( ADSL et le câble )» Accès Modem avec des fournisseurs externes 22/01/2009 Formation Permanente Paris6 87

Quelles sont les solutions? Modification d applications existantes => Problème de compatibilité client-serveur telnet windows 2000!!! Sendmail, pop et imap StartTLS (Option négociée) On veut garder les protocoles sans modifications => créer une connexion chiffrée entre clients et serveurs Dans ce cadre on parle de tunnels applicatifs, tunnels et VPN 22/01/2009 Formation Permanente Paris6 88

Quelles sont les solutions? Le faire au niveau application (couche 7 ) Créer de nouvelles applications intégrant les fonctions cryptographiques SSH Le faire au niveau transport ( couche 4 ) Liaison logique entre des programmes qui chiffrent les communications. SSL (https, pops, imaps ) Le faire au niveau réseau ( couche 3 ) Le chiffrement est effectué directement au dessus du support réseau => interface virtuelle 22/01/2009 Formation Permanente Paris6 89

VPN et tunnels VPN : Virtual private Network faire transiter un protocole par l intermédiaire d un autre Application dans IP ( port forwarding ) IP dans IP Ethernet, IPX, appletalk dans IP Généralisation du concept de tunnel C est la valise diplomatique de l informatique avec tous les dangers que cela comporte Extension du périmètre de sécurité à des machines externes 22/01/2009 Formation Permanente Paris6 90

Tunnels SSH SSH peux être utilisé en tunnel pour des applications ( Port forwarding )» X11 par défaut» Pop et SMTP exemple : eudora+ putty sous windows firefox + openssh sous unix utilisable en tunnel IP par l établissement d une connexion PPP à l intérieur de la connexion SSH => Peu efficace 22/01/2009 Formation Permanente Paris6 91

Tunnels (STUNNEL) Stunnel Permet l utilisation d un certain nombre de protocol TCP standard au dessus d une couche SSL ( http, pop, imap, smtp ) Il ne gère pas telnet et ftp exemples :» imap démarré au niveau de l inetd imaps stream tcp nowait root \ /usr/local/sbin/stunnel stunnel -l /usr/sbin/imapd imapd Désormais beaucoup de services supportent les options SSL sans passer par stunnel (wu-imap,courier-imap,dovecot ) Possibilité d activer une connexion PPP à l intérieur exemple : (PEU EFFICACE) Sur le serveur utiliser (-L pour le Pseudo TTY) "stunnel -d 2020 -L /usr/sbin/pppd -- pppd local Sur le client pour activer le lien PPP sécurisé "stunnel -c -r server:2020 -L /usr/sbin/pppd -- pppd local" 22/01/2009 Formation Permanente Paris6 92

Numéro de Ports standards sous SSL https 443/tcp # http protocol over TLS/SSL smtps 465/tcp # smtp protocol over TLS/SSL (was ssmtp) nntps 563/tcp # nntp protocol over TLS/SSL (was snntp) sshell 614/tcp # SSL shell ldaps 636/tcp # ldap protocol over TLS/SSL (was sldap) ftps-data 989/tcp # ftp protocol, data, over TLS/SSL ftps 990/tcp # ftp protocol, control, over TLS/SSL telnets 992/tcp # telnet protocol over TLS/SSL imaps 993/tcp # imap4 protocol over TLS/SSL ircs 994/tcp # irc protocol over TLS/SSL pop3s 995/tcp # pop3 protocol over TLS/SSL (was spop3) 22/01/2009 Formation Permanente Paris6 93

VPN: Types de connexions Réseau à Réseau Société multisite => Routage du VPN sur chacun des sites Machine à Réseau Utilisateurs itinérants => Routage des clients VPN sur le site serveur Machine à Machine vpn direct entre deux machines 22/01/2009 Formation Permanente Paris6 94

Que doit assurer un VPN? Authentification ( de préférence forte ) Intégrité Confidentialité Protection contre le rejeu Eventuellement compression 22/01/2009 Formation Permanente Paris6 95

Vtun (1) Http://vtun.sourceforge.net/ supporté sous linux, solaris et *bsd simplicité de mise en œuvre et documentation très bien faite supporte le traffic shapping tunnels IP, Ethernet, PPP, PIPE compression LZO et ZLIB Encryption MD5 BLOWFISH Fonctionne en mode client serveur (serveur sur un port configurable UDP ou TCP) Défaut: mot de passe en clair dans le fichier de configuration 22/01/2009 Formation Permanente Paris6 96

Vtun (2) Fichier de config client options { port 5000; # Connect persist yes; # Persist mode timeout 60; # General timeout } # TUN example. Host 'cobra'. cobra { pass XXXXXX; # Password device tun1; # Device tun1 up { # Connection is Up # Assign IP addresses. ifconfig "%% 10.3.0.2 pointopoint \ 10.3.0.1 mtu 1450"; }; } Fichier de config serveur options { port 5000; # Listen on this port. } # TUN example. Host 'cobra'. cobra { pass XXXXXX; # Password type tun; # IP tunnel proto udp; # UDP protocol comp lzo:9; # LZO compression level 9 encr yes; # Encryption up { # Connection is Up # 10.3.0.1 - local, 10.3.0.2 - remote ifconfig "%% 10.3.0.1 pointopoint \ 10.3.0.2 mtu 1450"; }; } 22/01/2009 Formation Permanente Paris6 97

PPTP Protocole Ouvert M$ PPTP ( Point to Point Tunneling Protocol ) RFC 1701, 1702 et 1171 Microsoft authentification MS/CHAP V2 Microsoft chiffrement MPPE (RC4 40 ou 128 bits) PPTP ne fait aucun chiffrement Utilise deux canaux de communication» Port 1723 TCP» protocol IP 47 (GRE) pour les données GRE: Generic Routing Encapsulation établissement d une connexion PPP à l intérieur du canal de donnée éventuellement compressé et crypté Abandonné par Microsoft dans Windows 2000 (L2TP) A n utiliser que si c est la seule solution 22/01/2009 Formation Permanente Paris6 98

IPSec IPSec : est un standard ( pas un logiciel ) Inclus dans IPV6 Il assure :» Authentification ( DSS ou RSA)» Intégrité ( MD5 SHA-1 RIPEMD )» Confidentialité (DES RC5 IDEA Blowfish ) Une Implémentation libre : FreeS/WAN (Linux) Port et protocol utilisé:» UDP port 500 IKE» ESP protocol 50 (Encapsulating Security Payload)» AH protocol 51 (Authentication Header)» IPSEC NAT Traversal UDP 3500 22/01/2009 Formation Permanente Paris6 99

OpenVPN encapsuler dans un tunnel n'importe quel sous-réseau IP ou adapateur ethernet virtuel, dans un unique port TCP ou UDP; créer une infrastructure de tunnels entre n'importe quel système d'exploitation supporté par OpenVPN. Sont concernés Linux, Solaris, OpenBSD, FreeBSD, NetBSD, Mac OS X, et Windows 2000/XP/VISTA utiliser toutes les fonctionnalités de chiffrement, d'authentification et de certification de la librairie OpenSSL afin de protéger le trafic de votre réseau privé lorsqu'il transite par Internet; utiliser n'importe quel algorithme de chiffrement, taille de clef, ou empreinte HMAC (pour l'authentification des datagrammes) supporté par la bibliothèque OpenSSL, choisir entre un chiffrement conventionnel basé sur une clef statique, ou un chiffrement par clef publique en se basant sur les certificats, utiliser les clefs statiques, pré-partagée, ou un échange de clef dynamiques basé sur TLS. 22/01/2009 Formation Permanente Paris6 100

OpenVPN utiliser une compression des flux adaptée en temps-réel, la mise en forme de trafic pour gérer l'utilisation de la bande-passante du lien, encapsuler les réseaux dont les extrémités publiques sont dynamiques comme on peut le rencontrer avec DHCP ou avec des clients connectés par modem, encapsuler le trafic de réseaux grâce aux firewalls effectuant du suivi de sessions, sans nécessairement utiliser des règles de filtrage particulières, encapsuler le trafic de réseaux avec du NAT (translation d'adresse), et créer des ponts ethernets sécurisés utilisant les périphériques tap. 22/01/2009 Formation Permanente Paris6 101

VPN Conclusions Eviter les implémentations sur TCP Problème d efficacité (c est parfois la seule solution qui marche ) C est un outil efficace extrêmement puissant Mais aussi une arme redoutable Une anecdote Quelques questions : Pour quels services? Ou mettre le point d entrée dans l architecture réseau? Que faut il comme sécurité sur le poste client? A n utiliser que dans le cadre d une architecture déjà sécurisée 22/01/2009 Formation Permanente Paris6 102

2026 © DocPlayer.fr Politique de confidentialité | Conditions de service | Feed-back