Réseaux Privés Virtuels Introduction Théorie Standards VPN basés sur des standards VPN non standards Nouvelles technologies, WiFi, MPLS Gestion d'un VPN, Gestion d'une PKI
Introduction Organisation du cours Historique Définition d'un VPN Topologies Composants Pourquoi utiliser un VPN Sécurité
Historique Années 80, Transpac, groupes fermés d'abonnés Transfix, Transcom Années 90, Internet, Cisco, GRE Mi 90, Windows PPTP Mi 90, IPSEC, FW1, PGPNet, SSH Fin 90, Opensource, Freeswan, CIPE, Tinc
Définitions d'un VPN Réseau: permet de relier des ordinateurs ou des sites, intégrité Privé: protégé de la lecture de tiers,confidentialité et identification, authentification Virtuel: les niveaux OSI 1 et 2 sont logiciels
Définition d'un VPN Exemple de VPN: vue réelle
Définition d'un VPN Exemple de VPN: vue virtuelle
Topologies Étoile Maillage Le cas du Wifi
Topologies Réseau Étoile (Les nomades)
Topologies Réseau Maillé (interconnection de sites)
Topologies Wifi Le WEP IPSEC Nouvelles normes Intégration à un réseau existant
Composants Support réseau sur lequel se base le VPN Niveau 2: MPLS IP: GRE et IPSEC TCP/TLS: Stunnel, SSH et SSL sur PPP UDP: CIPE, TINC, IPSEC mode Transverse
Composants Tunnel encrypté
Composants Sites Identifiés Mots de passe Pass-phrase = mot de passe long Certificats Clefs privées
Composants Sites Authentifiés Signatures En général on signe le HASH du message Certificats Description de l'entité (personne, serveur, applet) Contient la clef publique Certification par une autorité Clefs privée
Composants Intégrité: HMAC Keyed-Hash Message Authentication Code Authentification de message utilisant une empreinte du message et une clef secrète partagée coder cette empreinte. L'empreinte doit être à sens unique L'empreinte doit être unique MD2, MD5, SHA-1
Composants Clefs Clefs symétriques ou à secret partagé Plus rapides Exemples simples DES, Blowfish etc. Clefs Asymétriques ou publiques Plus sures Exemples simples RSA, DSA, Diffie-Hellman
Composants Système cryptographique de César Rotation des lettres Machine ENIGMA Systèmes cryptographie par bloc Avec ou sans IV (Vecteur Initialisation) Avec ou sans chaînage
Pourquoi utiliser un VPN Coût bas par rapport aux liaisons louées Transparence, gestion réseau centralisée Sécurité des communications Protection des nomades
Pourquoi ne pas utiliser un VPN Implémentation compliquée Débogage fastidieux Disponibilité Protection des nomades
Gestion d'un VPN Liée au Réseau DNS et Mail Routage, filtrage (Firewalls) Liée au Privé Gestion des clefs et de la CA interaction avec les FW Liée au Virtuel Interaction avec le réseau réel (interlocking TCP) Reprises sur erreur
Sécurité Protection de l'intégrité Protection par un firewall Détection d'intrusion IDS Détection d'intégrité Attention dans la gestion des clefs (facteur humain)
Sécurité Protection contre les pannes Duplication Plan de secours comprenant la gestion des clefs
PKI Problème de la gestion des clefs si il y a beaucoup de clefs Identification et authentification Je suis moi: identification Qui me le prouve? authentification PKI: Infrastructures à Clefs Publiques CA: Certification Authority
PKI Certificat: X509: Description, clefs, signature de l'autorité Création, usage, révocation: le cycle de vie d'un certificat Exemples de PKI Open Source OPENCA gestion de PKI avec OPENSSL
Groupes d'utilisateurs VPN Consortium http://www.vpnc.org/ PKIX Group PKI for X.509 certificates Open CA FreeSwan http://www.freeswan.org/
Bibliographie Firewalls Architecture réseau sous Linux K. Wehrle Vuibert Firewalls B. Chapman O'Reilly Firewalls & Internet Security W; Cheswick Addison-Wesley Détection des intrusions réseau S. Northcutt - CampusPress
Outils Firewalls Netfilter (Linux) Ipfilter (BSD), pf (OpenBSD) Snort (détection d'intrusion) Nessus (tests) Nmap (tests) Hping (tests) Aide, Tiger, Tripwire(IDS/Integrite), Logcheck
Bibliographie VPN Building Linux VPN O. Kolesnikov New Riders Architectures MPLS et VPN I. Pepelnjak Cisco press Les VPN R&E Corvalan, Y. Le Corvic Dunod IPSEC N. Doraswamy CampusPress PKI Open Source C. Cachat O'Reilly
Outils VPN Freeswan (Linux) Kame (BSD) OpenSSL (SSL, Certificats X509) Stunnel (SSL) Iptunnel (IPIP, GRE) CIPE, VTUN, TIC, PPTP OpenCa