Mettre en œuvre la Sécurité Réseaux

Mettre en œuvre la Sécurité Réseaux Auteur Carls da Csta GUIDE DE FORMATION

La marque Tsft est une marque dépsée. La cllectin des guides de frmatin Tsft est éditée par la sciété Tsft. Tutes les marques citées dans cet uvrage snt des marques dépsées par leurs prpriétaires respectifs. Tus les effrts nt été faits par Tsft pur furnir dans cet uvrage une infrmatin claire et exacte à la date de parutin. Tsft n assume de respnsabilités, ni pur sn utilisatin, ni pur les cntrefaçns de brevets u atteintes de tierces persnnes qui purraient résulter de cette utilisatin. Guide de frmatin Tsft Mettre en œuvre la sécurité réseaux Référence : TS0087 Versin 1 avril 2008 Ce pictgramme mérite une explicatin. Sn bjet est d alerter le lecteur sur la menace que représente pur l avenir de l écrit, particulièrement dans le dmaine de l éditin technique et universitaire, le dévelppement massif du phtcpillage. Le Cde de la prpriété intellectuelle du 1er juillet 1992 interdit en effet expressément la phtcpie à usage cllectif sans autrisatin des ayants drit. Or, cette pratique s est généralisée dans les établissements d enseignement supérieur, prvquant une baisse brutale des achats de livres et de revues, au pint que la pssibilité même pur les auteurs de créer des œuvres nuvelles et de les faire éditer crrectement est aujurd hui menacée. En applicatin de la li du 11 mars 1957, il est interdit de reprduire intégralement u partiellement le présent uvrage sans autrisatin de l'éditeur u du Centre Français d Explitatin du Drit de Cpie, 20 rue des Grands-Augustins, 75006 Paris. TSOFT, avril 2008

Table des matières AVANT-PROPOS... MODULE 1 : ENVIRONNEMENT... 1-1 Prblématiques de la sécurité... 1-2 Dmaines de la sécurité... 1-4 Buts de la sécurité infrmatique... 1-6 Niveaux de sécurité... 1-7 Types d attaques... 1-10 Hackers vs Crackers... 1-11 RSSI... 1-12 Auditeur... 1-13 Furnisseurs matériels... 1-14 Furnisseurs lgiciels... 1-15 Sites de sécurité infrmatique... 1-16 Tendances des attaques... 1-17 Vulnérabilités... 1-18 Surces d attaques... 1-19 Quelques chiffres pur finir... 1-21 Quelques chiffres pur finir : ICAT... 1-22 MODULE 2 : ATTAQUES COURANTES... 2-1 Attaques de niveau 2 : Mac Flding... 2-2 Préventin du Mac Flding... 2-3 AAA... 2-4 VLAN Hpping : Spfing... 2-5 VLAN Hpping : Duble Tagging... 2-6 Préventin cntre le VLAN Hpping... 2-7 Private VLAN... 2-8 DHCP Spfing... 2-10 Préventin du DHCP Spfing : DHCP Snping... 2-11 Préventin du DHCP Spfing : IP Surce Guard... 2-12 ARP Spfing (1)... 2-13 Tsft Mettre en œuvre la sécurité réseaux T-1

Table des matières ARP Spfing (2)... 2-14 Préventin de l ARP Spfing... 2-15 Attaques Spanning Tree Prtcl... 2-16 Préventin des attaques STP (1)... 2-17 Préventin des attaques STP (2)... 2-18 Virus, Chevaux de Trie, vers... 2-19 Faune virale... 2-20 DENY OF SERVICE / DISTRIBUTED DOS... 2-22 TCP SYN FLOOD... 2-23 Parades à TCP SYN FLOOD (1)... 2-24 Parades à TCP SYN FLOOD (2)... 2-25 Attaques PING... 2-26 OOBNuke / WinNuke... 2-27 Smurf (1)... 2-28 Smurf (2)... 2-29 Smurf (3)... 2-30 Smurf (4)... 2-31 Smurf (5)... 2-32 Spfing... 2-33 Parades au Spfing... 2-34 Re-ruting... 2-35 Re-ruting... 2-36 Attaques DNS... 2-37 Exemple d attaque DNS... 2-38 Sessin Replay / Hijacking... 2-39 Sessin Replay... 2-40 Sessin Hijacking... 2-41 Parades à Sessin Replay... 2-42 Parades à Sessin Hijacking... 2-43 Attaques applicatives... 2-44 SPAM... 2-45 Parades au SPAM... 2-46 Relais SMTP... 2-50 Relais SMTP : trafic entrant... 2-51 Relais SMTP : trafic srtant (1)... 2-52 Relais SMTP : trafic srtant (2)... 2-53 Relais SMTP : FAI... 2-54 Attaques SQL... 2-55 SQL injectin... 2-56 Parades aux attaques SQL... 2-57 PHISHING... 2-58 T-2 Tsft Mettre en œuvre la sécurité réseaux

Table des matières PHISHING (1)... 2-59 PHISHING (2)... 2-60 PHISHING (3)... 2-61 Parades au Phishing... 2-62 MODULE 3 : CRYPTOGRAPHIE... 3-1 Utilisatin du cryptage... 3-2 Classificatin des algrithmes... 3-4 Algrithmes secrets... 3-5 Algrithme secret réversible... 3-6 Algrithmes publics... 3-7 Réversible vs irréversible... 3-9 Algrithmes à clé symétrique... 3-10 Algrithmes symétriques curants... 3-11 Cryptage réversible à algrithme public symétrique... 3-13 Diffie-Hellman... 3-14 Fnctinnement de Diffie-Hellman... 3-15 Attaque «Man in the middle»... 3-16 Cryptage asymétrique... 3-17 Cryptage à clé publique... 3-18 Cryptage à clé privée... 3-19 Cnfidentialité unidirectinnelle... 3-20 Authentificatin unidirectinnelle... 3-21 Authentificatin et cnfidentialité... 3-22 Cryptage irréversible... 3-24 Cryptage irréversible en clair... 3-25 Cryptage irréversible à mt de passe secret... 3-26 Signature numérique... 3-27 Envelppe numérique... 3-28 Diffie-Hellman amélirée... 3-31 Certificats numériques... 3-32 Certificats X509v3... 3-33 Terminlgie... 3-34 Créatin des certificats... 3-36 Frmat X509v3... 3-37 Validité des certificats... 3-38 Vérificatin de l authenticité d un certificat... 3-40 PKI... 3-41 Intégratin LDAP-PKI... 3-42 Single Sign-On... 3-43 Tsft Mettre en œuvre la sécurité réseaux T-3

Table des matières MODULE 4 : TRADUCTION D ADRESSES... 4-1 Traductin d adresses... 4-2 Implémentatin de la traductin d adresses... 4-4 Présentatin du NAT... 4-6 Fnctinnement du NAT (1)... 4-8 Fnctinnement du NAT (2)... 4-10 PAT... 4-11 Fnctinnement du PAT (1)... 4-12 Fnctinnement du PAT (2)... 4-14 SAT... 4-15 Fnctinnement du SAT... 4-16 Exemple du «duble NAT»... 4-17 Redirectins... 4-19 Fnctinnent des redirectins... 4-20 MODULE 5 : PROTECTIONS... 5-1 Les firewalls... 5-2 Exemple... 5-5 Serveur FTP actif... 5-6 Serveur FTP actif et firewall stateless... 5-7 Serveur FTP passif... 5-8 Serveur FTP passif et firewall stateless... 5-9 Serveur FTP actif et firewall statefull... 5-10 Fnctinnalités des firewalls... 5-12 Firewall Internet à deux niveaux de sécurité... 5-14 Firewall Internet à quatre niveaux de sécurité... 5-15 Architecture à deux firewalls... 5-16 Firewall interne... 5-17 Architecture intégrée... 5-18 UTM... 5-19 Présentatin des prxies... 5-20 Architecture... 5-22 Avantages... 5-23 Incnvénients... 5-26 Fnctinnement... 5-27 Cmpsants cmplémentaires... 5-28 Antivirus... 5-30 Sécurité WiFi... 5-33 Prblématique... 5-34 Cntrôle d accès... 5-35 WEP... 5-37 T-4 Tsft Mettre en œuvre la sécurité réseaux

Table des matières Cryptage WEP... 5-38 Décryptage WEP... 5-39 Authentificatin WEP... 5-40 802.11i / WPA... 5-41 EAP... 5-43 802.1x... 5-44 802.1x... 5-45 RADIUS... 5-46 Exemples... 5-47 Hardening... 5-48 MODULE 6 : VPN... 6-1 Présentatin des VPNs... 6-2 Technlgies VPN... 6-4 GRE... 6-5 Tunnel GRE... 6-6 En-tête GRE... 6-8 IPSec... 6-10 Mde transprt... 6-12 Mde tunnel... 6-13 Mde tunnel : machine itinérante... 6-14 AH... 6-15 AH... 6-16 En-tête AH... 6-18 ESP... 6-20 ESP... 6-22 En-tête ESP... 6-23 Transfrmatin... 6-25 AH-ESP en mde tunnel... 6-27 SA... 6-28 SAD & SPD... 6-30 IKE - ISAKMP... 6-31 Établissement des tunnels... 6-32 VPDN... 6-33 Présentatin de PPTP... 6-34 Cnnexins PPTP... 6-36 Encapsulatins en PPTP... 6-39 Présentatin de L2TP... 6-40 Cnnexin L2TP... 6-42 Exemple... 6-44 Présentatin de SSL... 6-45 SSL cmplet sans DH... 6-47 Tsft Mettre en œuvre la sécurité réseaux T-5

Table des matières SSL cmplet avec DH... 6-49 SSL asymétrique... 6-50 Cnnexin détaillée SSL / TLS... 6-51 MODULE 7 : MONITORING & PRÉVENTION... 7-1 IDS / IPS... 7-2 Les sndes d intrusin... 7-3 Cmpsants IDS... 7-4 Fnctinnement... 7-5 Exemple IDS... 7-8 IPS... 7-9 Quelques références... 7-10 Crrélatin... 7-11 T-6 Tsft Mettre en œuvre la sécurité réseaux

Avant-prps Sécurité Réseaux RRéseaux Aujurd hui, la sécurité est devenue une préccupatin majeure des entreprises et des guvernements. La sécurité des réseaux est un des facteurs essentiels de la sécurité de l infrmatin des entreprises. La cmplexité crissante des technlgies réseaux, la multiplicatin et la facilitatin des accès Internet, l augmentatin du niveau de cmpétence des pirates rendent ce dmaine particulièrement délicat et critique. Les réseaux cnstituent suvent un vecteur privilégié pur les pirates pur recueillir des infrmatins et lancer leurs attaques. Un réseau attaqué met en danger l ensemble de l entreprise qui en dépend. Le but de cet uvrage est de vus permettre de maitriser les aspects essentiels de la sécurité des réseaux et des technlgies actuelles qui y snt liées. Nus cmmencerns par étudier les bases de la sécurité réseau, les risques auxquels peuvent être expsées les entreprises, les acteurs et les tendances actuelles. Dans un secnd temps, nus abrderns les attaques curantes, les attaques de niveau 2 ainsi que les attaques applicatives. Il est imprtant de savir à quelles menaces vus puvez ptentiellement être expsés et cmment s en prémunir. Ensuite, nus verrns les différentes techniques de cryptages utilisées en sécurité infrmatique. Avir de slides pints de repères dans ce dmaine vus permettra de faire les bns chix cryptgraphiques. La traductin d adresses est aujurd hui devenue une technique indispensable à l accès à Internet. Nus en étudierns les différentes variantes : le NAT dynamique, le PAT, le NAT statique et, enfin, les redirectins. Cmment prtéger sn réseau? Quels snt les éléments permettant d amélirer le niveau de sécurité de l entreprise? Quels rôles et quelles fnctinnalités apprtent les firewalls, les prxies, les antivirus, les UTM? Cmment sécuriser les accès WiFi? Enfin, qu est-ce que le hardening? Les VPNs nt largement remplacé les accès distants standard, RTC, RNIS u satellite. Leur suplesse d utilisatin, leur faible cût et le niveau de sécurité qu ils garantissent Tsft Mettre en œuvre la sécurité réseaux

Avant-prps nt assuré leur succès. Qu est ce qu un VPN? Un VPDN? Quels snt les prtcles actuels? Nus étudierns GRE, IPSec, PPTP, L2TP et SSL. Enfin, nus terminerns en traitant des techniques de sécurité les plus perfectinnées, les plus en pinte. La détectin et la préventin d intrusin permettent de mnter d un cran la sécurité effective des échanges de dnnées de l entreprise. La crrélatin permet elle, d en atteindre le niveau le plus élevé en liant entre elles les infrmatins cllectées auprès des différents éléments de sécurité. Tsft Mettre en œuvre la sécurité réseaux

Bases de la sécurité Niveaux de sécurité Hackers Crackers Risques RSSI Auditeur 1 Mdule 1 : Envirnnement Objectifs Ce mdule intrduit les bases de la sécurité infrmatique. Cnnaissances Niveaux de sécurité Sécurité physique Sécurité réseau Sécurité applicative Les risques Les acteurs de la sécurité Les tendances actuelles Prgressin Les bases de la sécurité réseau Les risques Les acteurs Les tendances Tsft Mettre en œuvre la sécurité réseaux 1-1

Mdule 1 : Envirnnement Prblématiques de la sécurité Prblématiques de la sécurité Se prtéger de qui? (C) TSOFT TCP/IP de l essentiel à la maîtrise Chapitre 04 : OSPF - 5 Déterminer le degré d expsitin de l entreprise, de l rganisatin u de l administratin Quelles snt les mtivatins ptentielles des pirates? Prtéger qui? L infrastructure, les systèmes et les applicatins Les dnnées A quel prix? Déterminer le rati entre la prtectin des dnnées et le cût intrinsèque des dnnées Les types de cûts : Pnctuels : achat, mise à jur du matériel et des lgiciels Récurrents : persnnel, audit L utilisatin de ces diapsitives en frmatin implique la remise des supprts de frmatin TSOFT aux stagiaires Quelles snt les prblématiques de la sécurité infrmatique? Quelles snt les questins qu il se faut se pser? SE PROTEGER DE QUI? Dans un premier temps, il faut essayer de déterminer cntre qui n essaye de se prtéger. Tenter d évaluer le degré d expsitin de l entreprise. Plus une entreprise est expsée, plus grand est le risque qu elle sit piratée. Pur cela, il faut tenter de déterminer les mtivatins ptentielles des pirates. Les mtivatins ptentielles des pirates peuvent être classées en tris grandes catégries : La mtivatin pseud-intellectuelle. C est en réalité de l rgueil pur et simple. C est une des mtivatins les plus répandues, une des plus tenaces. Le pirate tente de se pruver qu il est plus frt que ceux qui nt écrit un lgiciel de sécurité, que les respnsables de la sécurité, que l architecte qui a défini la plitique de sécurité Cette catégrie de pirate n est pas la plus dangereuse en si, mais peut prvquer des dégâts cnsidérables. On y truve les faiseurs de virus, les chercheurs de failles, les apprentis pirates, les taggeurs de site, les vengeurs masqués La mtivatin vénale. Un mteur de mtivatin très puissant. L argent cnstitue le nyau principal des pirates dans le mnde. Ce ne snt pas frcément les plus expsés médiatiquement. Ce snt les vleurs de numérs de cartes bancaires, de cde d accès, de déturnements de tus brds, les spécialistes du phishing Aujurd hui, les plus dangereux snt structurés autur d rganisatins mafieuses très rganisées et très puissantes. La mtivatin idélgique. La catégrie la plus dangereuse. On y truve les pirates les plus extrêmes. Ce snt également les plus incntrôlables. Cela peut aller des anti-ogm jusqu aux fanatiques religieux u plitiques de tus brds. 1-2 Tsft Mettre en œuvre la sécurité réseaux

Mdule 2 : Envirnnement PROTEGER QUOI? Une entreprise se dit de prtéger ce qui est aujurd hui devenu un util de travail à part entière, sn système d infrmatin. Cela englbe : Les éléments d infrastructure : cmmutateurs, ruteurs, firewalls, prxies Si l accès aux serveurs est inpérant, l accès aux dnnées l est également. Les systèmes d explitatin. Un plantage u des failles dans la sécurité peuvent entrainer des dysfnctinnements dans les applicatins u rendre les dnnées vulnérables. Les applicatins elles-mêmes. Les applicatins snt les éléments les plus fragiles, car elles nt suvent été, et snt bien suvent encre, dévelppées sans suci de sécurisatin particulier. On a lngtemps cru que sécuriser l infrastructure et les systèmes était suffisant pur prtéger les applicatins. Il n en est rien, et les attaques actuelles les plus curantes le démntrent : phishing, SQL injectin, attaques DNS, spam SMTP, attaques http Les dnnées. C est le but final de la sécurité, faire en srte que seuls les utilisateurs habilités aient accès aux dnnées, qu elles ne sient pas détruites par malveillance, altérées vlntairement On recurt de plus en plus à la prtectin directe des dnnées : sauvegardes multiples et systématiques, cryptage, audit A QUEL PRIX? Enfin, autre pint imprtant, vir parfis capital, le cût de la sécurité. Le but est d essayer de déterminer le bn rati entre le cût engendré par la sécurité et la valeur intrinsèque des dnnées prtégées. Suvent un gain mineur en sécurité entraine des dépenses qui ne snt plus en adéquatin avec cette règle. Il existe deux types de cûts liés à la sécurité : Les cûts pnctuels : achat de matériel, de licences, mises à jur Les cûts récurrents : persnnel, audit, cnseil Tsft Mettre en œuvre la sécurité réseaux 1-3

Mdule 1 : Envirnnement Dmaines de la sécurité Dmaines de la sécurité On peut définir quatre grands dmaines de la sécurité infrmatique : La cnfidentialité La dispnibilité et la pérennité L intégrité La traçabilité (C) TSOFT TCP/IP de l essentiel à la maîtrise Chapitre 04 : OSPF - 6 L utilisatin de ces diapsitives en frmatin implique la remise des supprts de frmatin TSOFT aux stagiaires On peut définir quatre grands dmaines de la sécurité infrmatique : LA CONFIDENTIALITE Le but de la cnfidentialité est de permettre uniquement aux destinataires autrisés l accès en clair aux dnnées prtégées. C est un certainement le dmaine le plus cnnu de la sécurité infrmatique. Des algrithmes mathématiques spécifiques snt utilisés dans ce but. Le champ d applicatin de la cnfidentialité est vaste : VPN Sécurisatin des échanges de mails Prtectin des dnnées stckées Sécurisatin des dnnées itinérantes (sur des clés USB par exemple) Echange sécurisé entre applicatins DISPONIBILITE & PERENNITE La dispnibilité et la pérennité de l infrmatin cnsistent à en garantir l accès dans un temps et un délai dnnés. C est un aspect certainement mins cnnu que les autres, mais il est vital. Généralement, ces deux facteurs snt tributaires du niveau de sécurité affecté et appliqué à l infrmatin ainsi qu aux cntraintes induites. Un niveau de sécurité très élevé implique frcément un niveau de cntrôle et de prtectin également élevés, en ralentissant l accès initial. De la même façn, un niveau de cnfidentialité élevé par un usage d algrithmes et de clés de cryptages puissants induira tujurs un délai supplémentaire pur l accès aux dnnées prtégées. 1-4 Tsft Mettre en œuvre la sécurité réseaux

Mdule 2 : Envirnnement INTEGRITE L intégrité cnsiste à garantir que les dnnées reçues n nt pas été altérées, vlntairement u nn, durant leur acheminement. On utilise à cet effet des algrithmes mathématiques spécifiques, suvent un algrithme de hachage cnjugué à une clé de cryptage asymétrique privée. TRACABILITE La traçabilité permet de cnnaitre et d enregistrer les actins effectuées sur des dnnées. Ce snt suvent les utils de lg et d audit qui snt utilisés. Les systèmes d explitatin intègrent généralement ce genre de services. Les applicatins sensibles le prpsent également dans la plupart des cas. Enfin, il existe des utils permettant d analyser les dnnées cllectées et d en extraire des rapprts. Tsft Mettre en œuvre la sécurité réseaux 1-5

Mdule 1 : Envirnnement Buts de la sécurité infrmatique Buts de la sécurité infrmatique Prtectin du matériel Prtectin du réseau Prtectin des systèmes Prtectin des applicatins Prtectin des dnnées infrmatiques (C) TSOFT TCP/IP de l essentiel à la maîtrise Chapitre 04 : OSPF - 6 L utilisatin de ces diapsitives en frmatin implique la remise des supprts de frmatin TSOFT aux stagiaires BUTS DE LA SECURITE INFORMATIQUE Les buts de la sécurité infrmatique snt les suivants : La prtectin du matériel. Ce qui recupe la prtectin physique sus tutes ses frmes : accès, redndance d alimentatin, prtectin électrique La prtectin du réseau. Aussi bien physique que lgique : les firewalls, les prxies, les systèmes de détectin d intrusin et les utils de crrélatin nt en charge cette tâche essentielle de la sécurité. La prtectin des systèmes. Cela passe par les anti-virus, les firewalls persnnels, les sndes HIDS, les stratégies systèmes La prtectin des applicatins. La plus difficile, car il existe une duble prblématique : Les lgiciels prpriétaires snt très difficilement mdifiables. Le niveau de sécurisatin dépend bien suvent de l éditeur. Les lgiciels libres snt eux beaucup plus faciles à mdifier, mais ils divent rester cmpatibles, ce qui limite le champ d actin. Enfin, la prtectin des dnnées elles-mêmes. La marge de manœuvre est beaucup plus grande en lcal. La difficulté réside surtut dans leur transprt à travers le réseau, et plus particulièrement à travers Internet, ce qui sera du ressrt des techniques VPNs. 1-6 Tsft Mettre en œuvre la sécurité réseaux

Mdule 2 : Envirnnement Niveaux de sécurité Niveaux de sécurité (C) TSOFT TCP/IP de l essentiel à la maîtrise Chapitre 04 : OSPF - 7 L utilisatin de ces diapsitives en frmatin implique la remise des supprts de frmatin TSOFT aux stagiaires Il existe glbalement quatre niveaux de sécurité crrespndant chacun à des bjectifs de la sécurité infrmatique et un niveau cnnexe qui est la crrélatin. SECURITE PHYSIQUE La sécurité physique crrespnd à la cuche physique du mdèle OSI. La sécurité physique regrupe tus les myens prtégeant l accès aux ressurces infrmatiques sensibles : serveurs, firewalls, ruteurs, cmmutateurs Les myens utilisés : Vérificatin visuelle d identité Clés d accès Cartes d identificatin Bimétrie SECURITE RESEAU La sécurité réseau englbe les cuches liaisn de dnnées, réseau et transprt. Les buts de la sécurité réseau snt : Authentificatin : vérificatin de l identité des partenaires. Très suvent, n y asscie les fnctins d audit et les drits et autrisatins des utilisateurs authentifiés. Intégrité : empêcher tute mdificatin des dnnées durant leur acheminement. Cnfidentialité : les dnnées ne divent être accessibles en clair que par le(s) destinataire(s). Myens de prtectin utilisés : Firewalls Systèmes d authentificatin : RADIUS, Kerbers, TACACS+, PAP, CHAP, EAP Tsft Mettre en œuvre la sécurité réseaux 1-7

Mdule 1 : Envirnnement Technlgies de cryptage Détecteurs d intrusins (IDS et HIDS) VPN et VPDN SECURITE SYSTEME La sécurité système regrupe les cuches transprt à présentatin. Le but de la sécurité système est d empêcher l utilisatin nn cnfrme du système d explitatin. Les utilisatins nn cnfrmes snt : Utilisatin de drits système nn autrisés Usurpatin d identité Vilatin des règles de fnctinnement Récupératin de dnnées prtégées Utilisatin de services nn cnfrme Blcage u crruptin du système Les myens de prtectins utilisés : Cnfiguratin avancée du système et des services Stratégies des drits utilisateurs Stratégies d accès Stratégies d audit Anti-virus SECURITE APPLICATIVE La sécurité applicative s étend de la cuche sessin à la cuche applicatin. La sécurité applicative est chargée de prtéger le fnctinnement des applicatins. Les attaques visent à rendre une applicatin inpérante u à en perturber frtement le fnctinnement. Les attaques snt basées sur les éléments suivants : Faiblesse d écriture des applicatins Cmplexité crissante des fnctinnalités Mauvaise cnfiguratin Activatin de services u de fnctinnalités autmatiques Mauvais respect des règles de sécurité de la part des utilisateurs Myens de prtectins utilisés : Anti-virus Cnfiguratins strictes et systématiques Sensibilisatin des utilisateurs Technlgies de cryptage applicatives (PGP, SSL ) Firewalls applicatifs 1-8 Tsft Mettre en œuvre la sécurité réseaux

VPN VPDN GRE IPSec PPTP L2TP SSL/TLS 6 Mdule 6 : VPN Objectifs Ce mdule traite des technlgies VPN Cnnaissances Définitin des VPNs Définitin des VPDNs Les tunnels GRE IPSec Le prtcle de tunneling PPTP Le prtcle de tunneling L2TP Les prtcle sessin SSL/TLS Prgressin Présentatin des VPNs Technlgies VPN GRE IPSec PPTP L2TP SSL/TLS Tsft Mettre en œuvre la sécurité réseaux 6-1

Mdule 6 : VPN Présentatin des VPNs Présentatin des VPNs Les VPNS permettent un échange sécurisé des dnnées entre deux entités lgiques Avantages : Cûts Suplesse Cntrôle Incnvénients Débit pas tujurs garanti Cmplexité Overhead (C) TSOFT TCP/IP de l essentiel à la maîtrise Chapitre 04 : OSPF - 4 L utilisatin de ces diapsitives en frmatin implique la remise des supprts de frmatin TSOFT aux stagiaires Les VPNs, Virtual Private Netwrks, snt très utilisés dans les réseaux mdernes. Le principe d un lien VPN est la mise en place d une cnnexin lgique sécurisée entre deux entités. Généralement, entre un micr-rdinateur et un réseau u entre deux réseaux, à travers Internet. Pur cela, il est nécessaire d utiliser des prtcles spécifiques tels que IPSec, PPTP u encre L2TP. Suvent, les VPNs remplacent les LS/LL (Lignes Spécialisées/Lignes Luées). Intéressns nus aux avantages, autres que l évidence de la sécurité, et aux incnvénients apprtés par les VPNs. AVANTAGES DES VPNs Le cût cnstitue l avantage le plus évident et le plus parlant. Les VPNs remplacent suvent les LS/LL, dnt le cût est parfis prhibitif au regard des nécessités. Pur établir un lien VPN entre deux réseaux d une même entreprise, il suffit d avir un bn accès à Internet et le matériel adéquat. Plus la distance entre les entités est grande, plus significatif sera le gain pur l entreprise. La suplesse n est pas frcément la qualité première à laquelle n pense avec les VPNs. Purtant, il est aujurd hui très simple de mettre en place des liens VPNs, de les arrêter, de les faire évluer, de changer les prtcles utilisés Le cntrôle est un facteur beaucup mins technique, mais très imprtant du pint de vue de la sécurité. Quand une entreprise utilise une LS/LL, le niveau de sécurité repse sur la cnfiance dans l pérateur. Or, les pérateurs sus-traitent de plus en plus un certains nmbre de tâches, avec une dilutin des respnsabilités et un cntrôle pératinnel mindre. Les VPNs n nt pas ce prblème, le niveau de sécurité est intrinsèque à l entreprise, en dehrs des éventuelles faiblesses des fabricants u des éditeurs. INCONVIENTS DES VPNs Les VPNs ne garantissent aucun débit. Ce qui peut être prblématique pur certaines applicatins u certains prtcles. Il est tujurs pssible, pur pallier cette faiblesse, d utiliser : 6-2 Tsft Mettre en œuvre la sécurité réseaux

Mdule 6 : VPN Une LS/LL pur de curtes distances en WAN ; La labellisatin avec MPLS, qui permet de dispser des mêmes avantages qu un LS/LL, mais à un cût mindre et surtut une suplesse infiniment supérieure ; Une stratégie de QS, de qualité de service, pur des VPNs internes. Autre pint délicat, la cmplexité des prtcles VPNs. Même si les interfaces de cnfiguratin se snt nettement amélirées, la cnfiguratin avancée d un VPN est tujurs une pératin cmplexe et délicate. L verhead. Le fait de crypter des dnnées augmente leur taille. Cela peut aller jusqu à 20% supplémentaire pur les ptins les plus puissantes. Pur limiter ce facteur, n cmpresse les dnnées avant de les crypter. Ce qui entraine deux phénmènes : La MTU réelle des dnnées diminue ; Le cryptage et la cmpressin entrainent des délais de traitement supplémentaires. Tsft Mettre en œuvre la sécurité réseaux 6-3

Mdule 6 : VPN Technlgies VPN Technlgies VPN Virtual Private Netwrk : les prtcles de tunneling permettent de transprter d autres prtcles de même niveau u de niveaux supérieurs. Ces prtcles fnctinnent généralement au niveau 3 et/u 4 Fnctinnalités : Authentificatin Intégrité Cnfidentialité Exemples : GRE IPSec (IKE, ISAKMP, AH, ESP) CET : prpriétaire CISCO (C) TSOFT TCP/IP de l essentiel à la maîtrise Chapitre 04 : OSPF - 45 L utilisatin de ces diapsitives en frmatin implique la remise des supprts de frmatin TSOFT aux stagiaires TECHNOLOGIES VPN EXEMPLES Les prtcles VPNs permettent de transprter d autres prtcles de même niveau u de niveaux inférieurs en sécurisant leur transprt. La plupart des prtcles VPNs fnctinnent au niveau 4 et permettent de sécuriser des prtcles de niveau 3 u 4. Les fnctinnalités furnies par les prtcles VPNs snt les suivantes : Authentificatin : vérificatin de l identité des intervenants. Elle peut être unidirectinnelle u réciprque. Intégrité : n garantit que les dnnées n nt pas été altérées durant leur acheminement. Cnfidentialité : les dnnées ne sernt visibles en clair que par le u les destinataires. Quelques exemples de prtcles fréquents : GRE, qui n est pas à prprement parlé un VPN, mais que l n rencntre très suvent chez les pérateurs et les FAI/ISP. Libre et standardisé. IPSec, le plus puissant, le plus cmplexe, le plus mdulaire. Libre et standardisé, c est CISCO qui l a dévelppé à partir de CET. CET, Cisc Encrypted Technlgy, l ancêtre de IPSec. Prpriétaire CISCO. 6-4 Tsft Mettre en œuvre la sécurité réseaux

Mdule 6 : VPN GRE GRE Prtcle 47 «IP dans IP» RFC 2784 Permet d intercnnecter des réseaux entre eux de façn transparente Utilisé tel quel surtut par les pérateurs Utilisé dans PPTP pur les cnnexins clientes (C) TSOFT TCP/IP de l essentiel à la maîtrise Chapitre 04 : OSPF - 49 L utilisatin de ces diapsitives en frmatin implique la remise des supprts de frmatin TSOFT aux stagiaires GRE, Generic Ruting Encapsulatin, est un prtcle de niveau 4, ayant le numér de prtcle IP n 47 et défini dans la RFC 2784. Les caractéristiques de GRE snt les suivantes : Permet de transprter de façn transparente des datagrammes IP entre deux réseaux. D un pint de vue IP, les réseaux intermédiaires snt transparents. Il n ffre aucune sécurité de transprt. GRE est juste un prtcle de tunneling pur et dur. Utilisé surtut par les pérateurs pur précisément masquer leurs réseaux internes. GRE est également utilisé dans PPTP et pur transprter IPSec afin de lui permettre de traverser des éléments traducteurs. Tsft Mettre en œuvre la sécurité réseaux 6-5

Mdule 6 : VPN Tunnel GRE Tunnel GRE (C) TSOFT TCP/IP de l essentiel à la maîtrise Chapitre 04 : OSPF - 7 L utilisatin de ces diapsitives en frmatin implique la remise des supprts de frmatin TSOFT aux stagiaires EXEMPLE Prenns un exemple typique : Une machine A dans le réseau privé 10 veut envyer des datagrammes à une machine B présente dans le réseau privé 20. Nus suppserns que R1 et R2 dispsent d adresses publiques pur accéder à Internet. En fnctinnement nrmal : Le réseau 10 dit être cnnu du ruteur R2 et de tus les ruteurs intermédiaires. Or, cmme le réseau 10 est un réseau privé, c est impssible. Le réseau 20 dit être cnnu du ruteur R2 et de tus les ruteurs intermédiaires. Or, cmme le réseau 20 est un réseau privé, c est impssible. En utilisant GRE : Pur atteindre le réseau 20, R1 utilise le tunnel établi avec le ruteur R2. Le tunnel est vu par le ruteur cmme une interface lgique virtuelle. Pur atteindre le réseau 10, R2 utilise le tunnel établi avec le ruteur R2. FONCTIONNEMENT DU TUNNEL A émet un datagramme IP ayant pur adresse surce A et destinatin B. Le datagramme parvient à R1. R1 cherche dans sa table de rutage cmment atteindre le réseau 20, le réseau de B. La table de rutage pinte vers l interface lgique virtuelle du tunnel GRE entre R1 et R2. R1 encapsule le datagramme riginal dans un autre datagramme ayant pur adresse surce l adresse publique de R1 et destinatin l adresse publique de R2. Ce datagramme transprte du GRE, qui lui-même encapsule le datagramme entre A et B. R1 émet ce datagramme sur Internet, qui sera ruté en tenant cmpte uniquement du destinataire, à savir R2. 6-6 Tsft Mettre en œuvre la sécurité réseaux

Avis du lecteur Vs critiques et suggestins snt indispensables! TSOFT fait la mise à jur de ses uvrages dès que vus nus transmettez vs remarques. Nus cmptns sur vus pur nus faire part de tute crrectin à effectuer u de tute améliratin à apprter. Vus avez chisi les uvrages TSOFT pur vus frmer u frmer d autres persnnes. Vus êtes dnc les premiers cncernés pur qu à vtre prchaine cmmande, le guide de frmatin ait été rectifié si nécessaire u cmplété s il le faut. Titre de l uvrage :... Date d achat u d entrée en pssessin de l uvrage :... Erreurs relevées (ntez les pages cncernées) Sujets à ajuter (précisez éventuellement le chapitre) Critiques et suggestins M. Mme Mlle... Prénm... Sciété... Prfessin... Adresse...... Cde pstal... Ville... Pays... A télécpier u décuper/envyer à : TSOFT Service lecteurs 10 rue du Clisée 75008 Paris Fax : 01 53 76 03 64 - email : lecteur@tsft.fr Cnsultez tus ns uvrages sur le site Web : www.tsft.fr Tsft Mettre en œuvre la sécurité réseaux

Guide de frmatin Tsft Mettre en œuvre la sécurité réseaux Référence : TS0087 Versin 1 avril 2008 Tsft Mettre en œuvre la sécurité réseaux