e-xpert Solutions SA 3, Chemin du Creux CH 1233 Bernex-Genève Tél +41 22 727 05 55 Fax +41 22 727 05 50 Technologie VPN «IPSEC vs SSL» Séminaire du 21 avril 2004 Sylvain Maret 4 info@e-xpertsolutions.com www.e-xpertsolutions.com
Agenda technologie VPN IPSEC vs SSL Survol de la technologie VPN SSL Son fonctionnement de base IPSEC en deux mots Comparaison avec IPSEC Les points forts IPSEC Les points faibles IPSEC Deux problématiques VPN Intrusion par le tunnel Mobilité (Kiosk) Conclusion
SSL / TLS: un peu d histoire SSL version 1 et 2 par Netscape en 1994 Secure Socket Layer Contre attaque par Microsoft en 1995 Private Communication Technology (PCT) SSL version 3 par Netscape en 1995 Repris par IETF en 1997: TLS Transport Layer Security version 1.0 ou SSL version 3.1 RFC 2246 Standard toujours actuel Ajout ciphers (AES)
SSL / TLS: fonctionnement classique Généralement utilisé avec le protocole HTTP (HTTPS) Navigateurs (IE, Mozilla, etc.) Support d autres applications ldap, imap, smtp, etc. Technologie basée sur PKI Certificat X509 serveur Certificat X509 client Validation par CRL ou OCSP Support du mode «tunnel» Application SSL / TLS TCP IP Physique
Technologie SSL VPN: l idée Utiliser le client VPN des navigateurs Pas besoin d installer du logiciel Support des technologies d authentifications Radius, SecurID, Ldap, Certificats numériques, NTLM, etc, Rendre accessible «toutes» les applications dans le navigateur Approche «Webifyer» «Tunneliser» les autres applications Approche «tunnel» SSL Même approche que IPSEC
Webifyer: pas de clients «natif» Laptop Secured by SSL / TLS Telnet, SSH, TN32.., etc. Kiosk Internet Terminaison SSL Share NT, NFS, email, X11, Terminal Server Citrix, etc. Mobile Device Partner Applications Web Reverse Proxy (OWA, Lotus) Authentification
Tunnel SSL: avec clients «natif» TCP Static SSL / TLS TCP 1352 Lotus Localhost Terminaison SSL 127.0.0.1:1352 Authentification TCP, UDP, ICMP Interface virtuelle PPP SSL / TLS Terminaison SSL FTP TCP 20,21 Routage
Technologie IPSEC IP Security Modification trame IP Support TCP, UDP, ICMP Technologie normalisée par l IETF en 1995 RFC 2401, 2402, 2406 et 2409 Support PKI Certificat client Certificat «gateway» Support authentification «classique» Radius, SecurID, etc. Application TCP IP IPSEC Physique
SSL / IPSEC en terme de sécurité et confort Technologie IPSEC: les points forts! Très haut niveau de sécurité Support de l échange des clés symétriques en cours de session Support AES par la plupart des clients IPSEC Attaque de type MiM pas connue à ce jour Confort d utilisation Transparent pour l utilisateur Pas besoin d utiliser son navigateur
SSL / IPSEC en terme de déploiement et mobilité Technologie IPSEC: les points faibles! Déploiement complexe Installation d un client IPSEC Client très intrusif (Couche 3) Nécessite la maîtrise du poste client Installation des clients «natif» Configuration complexe (NAT, Routage) Problème de cohabitation logiciel Mobilité fortement réduite Notion de «kiosk» pas réalisable
Intrusion: problématique du mode VPN «pure» Ouverture d un moyen de communication (tunnel),entre le client et l entreprise, très simple à exploiter! Virus, Worm, Backdoor WIN32.Blaster.Worm (TCP 135 / DCOM RPC) Concerne IPSEC ou SSL (ppp over SSL) Recommandation minimum au niveau du poste client Mise en place d un Anti-virus Mise en place d un firewall personnel Mise en œuvre d une solution IPS Networks Check Point InterSpect par exemple
Mobilité: problématique du «Kiosk» Gestion des «traces» sur la borne Historique des URL Cache, fichiers temporaires Cookies Software Helper (Code Mobile) Authentification par certificat numérique Attention au support physique Carte à puce ou Token USB Solutions alternatives SecurID ou RSA Mobile
Conclusion Deux technologies complémentaires Les VPN SSL ne vont pas remplacer IPSEC à court terme Marketing fabriquant! Quelle technologie choisir? Niveau de sécurité? Déploiement software? Maîtrise des postes clients? Déploiement applications clientes «natives»? Confort à l utilisation? Mobilité? Etc.
Questions?
e-xpert Solutions SA 3, Chemin du Creux CH 1233 Bernex-Genève Tél +41 22 727 05 55 Fax +41 22 727 05 50 e-xpert Solutions SA Intégrateur en sécurité informatique Au bénéfice d'une longue expérience dans les secteurs financiers et industriels, e-xpert Solutions SA propose à sa clientèle des solutions «clé en main» dans le domaine de la sécurité informatique des réseaux et des applications. Des solutions qui vont de la sécurité de périmètre tel le firewall, VPN, IDS, FIA, le contrôle de contenu, l anti-virus aux solutions plus avant-gardistes comme la prévention des intrusions (approche comportementale), l'authentification forte, la biométrie, les architectures PKI ou encore la sécurisation des OS Unix, Microsoft et des postes clients (firewall personnel). 4 info@e-xpertsolutions.com www.e-xpertsolutions.com
e-xpert Solutions SA 3, Chemin du Creux CH 1233 Bernex-Genève Tél +41 22 727 05 55 Fax +41 22 727 05 50 Pour plus d informations: e-xpert Solutions SA Chemin du Creux 3 CH 1233 Bernex / Genève Tel: +41 22 727 05 55 Fax: +41 22 727 05 50 info@e-xpertsolutions.com 4 info@e-xpertsolutions.com www.e-xpertsolutions.com