IPSec peut fonctionner selon deux modes, transport ou tunel.



Documents pareils
Table des matières 1 Accès distant sur Windows 2008 Server Introduction...2

Les Réseaux Privés Virtuels (VPN) Définition d'un VPN

Configuration de l'accès distant

Tunnels. Plan. Pourquoi? Comment? Qu est-ce? Quelles solutions? Tunnels applicatifs ESIL INFO 2005/2006. Sophie Nicoud

SSL ET IPSEC. Licence Pro ATC Amel Guetat

Windows Server 2008 Sécurité ADMINISTRATION ET CONFIGURATION DE LA SECURITE OLIVIER D.

Tunnels et VPN. 22/01/2009 Formation Permanente Paris6 86

Sécurité des réseaux sans fil

Sécurité GNU/Linux. Virtual Private Network

Les Protocoles de sécurité dans les réseaux WiFi. Ihsane MOUTAIB & Lamia ELOFIR FM05

Transmission de données

Le protocole RADIUS Remote Authentication Dial-In User Service

Sécurité des réseaux wi fi

Configuration de Serveur 2003 en Routeur

Les RPV (Réseaux Privés Virtuels) ou VPN (Virtual Private Networks)

Mise en route d'un Routeur/Pare-Feu

Sécurité des réseaux IPSec

Eric DENIZOT José PEREIRA Anthony BERGER

Le protocole SSH (Secure Shell)

réseau Tableaux de bord de la sécurité 2 e édition Cédric Llorens Laurent Levier Denis Valois Avec la contribution de Olivier Salvatori

2. MAQUETTAGE DES SOLUTIONS CONSTRUCTIVES. 2.2 Architecture fonctionnelle d un système communicant.

1 PfSense 1. Qu est-ce que c est

Transmission ADSL. Dominique PRESENT Dépt S.R.C. - I.U.T. de Marne la Vallée

1. Présentation de WPA et 802.1X

Devoir Surveillé de Sécurité des Réseaux

Approfondissement Technique. Exia A5 VPN

Tutorial VPN. Principales abréviations

Sécurité des réseaux wifi. CREIX Kevin GIOVARESCO Julien

Virtual Private Network WAFA GHARBI (RT4) CYRINE MAATOUG (RT4) BOCHRA DARGHOUTH (RT4) SALAH KHEMIRI (RT4) MARWA CHAIEB (RT3) WIEM BADREDDINE (RT3)

Configurer ma Livebox Pro pour utiliser un serveur VPN

Le rôle Serveur NPS et Protection d accès réseau

Journées MATHRICE "Dijon-Besançon" DIJON mars Projet MySafeKey Authentification par clé USB

Module 7 : Configuration de l'accès distant

Mettre en place un accès sécurisé à travers Internet

TECHNICAL NOTE. Configuration d un tunnel VPN entre un firewall NETASQ et le client VPN. Authentification par clé pré-partagée. Version 7.

DFL-210, DFL-800, DFL-1600, DFL-2500 Comment configurer une connexion VPN IPSec site à site

Le protocole sécurisé SSL

Téléinformatique. Chapitre V : La couche liaison de données dans Internet. ESEN Université De La Manouba

IV. La sécurité du sans-fil

Richard MONTBEYRE Master 2 Professionnel Droit de l Internet Administration Entreprises. La banque en ligne et le protocole TLS : exemple

PACK SKeeper Multi = 1 SKeeper et des SKubes

WIFI sécurisé en entreprise (sur un Active Directory 2008)

Note technique. Recommandations de sécurité relatives à IPsec 1 pour la protection des flux réseau

Cours 14. Crypto. 2004, Marc-André Léger

Réseaux Privés Virtuels

Pare-feu VPN sans fil N Cisco RV120W

La sécurité des réseaux. 9e cours 2014 Louis Salvail

Université de Reims Champagne Ardenne. HTTPS, SSL, SSH, IPSEC et SOCKS. Présenté par : BOUAMAMA Mohamed Nadjib AZIZ Xerin

Logiciel de connexion sécurisée. M2Me_Secure. NOTICE D'UTILISATION Document référence :

Présenté par : Ould Mohamed Lamine Ousmane Diouf

EMV, S.E.T et 3D Secure

DISTANT ACESS. Emna TRABELSI (RT3) Chourouk CHAOUCH (RT3) Rabab AMMAR (RT3) Rania BEN MANSOUR (RT3) Mouafek BOUZIDI (RT3)

Certificats (électroniques) : Pourquoi? Comment? CA CNRS-Test et CNRS

[ Sécurisation des canaux de communication

TP LAN-WAN 2007/2008

La Technologie Carte à Puce EAP TLS v2.0

Exemple de configuration USG

Skype (v2.5) Protocol Data Structures (French) Author : Ouanilo MEDEGAN

Information. Communication for the open minded. Siemens Enterprise Communications

La citadelle électronique séminaire du 14 mars 2002

Sommaire Introduction Les bases de la cryptographie Introduction aux concepts d infrastructure à clés publiques Conclusions Références

LP ASUR - Sécurité. Introduction à la Sécurité des Systèmes d'information. Florent Autréau - florent@mataru.com 28 Avril 2013

Sécurisation du réseau

RESEAUX TCP/IP: NOTIONS AVANCEES. Preparé par Alberto EscuderoPascual

Mise en place d une politique de sécurité

Réseaux Privés Virtuels Virtual Private Networks

SÉCURISATION DES CONNEXIONS À DISTANCE SUR LES RÉSEAUX DE CONTRÔLE

Configuration d un Client VPN «TheGreenBow» 1) Création d un compte utilisateur dans la base LDAP Netasq

ProCurve Access Control Server 745wl

Chapitre 7. Sécurité des réseaux. Services, attaques et mécanismes cryptographiques. Hdhili M.H. Cours Administration et sécurité des réseaux

La sécurité dans un réseau Wi-Fi

La sécurité dans les grilles

Annexe C : Numéros de port couramment utilisés

WiFI Sécurité et nouvelles normes

Protocoles utilisant des mécanismes d'authentification: TACACS+, RADIUS et Kerberos

Firewall Net Integrator Vue d ensemble

7.1.2 Normes des réseaux locaux sans fil

Bac Pro SEN Epreuve E2 Session Baccalauréat Professionnel SYSTEMES ELECTRONIQUES NUMERIQUES. Champ professionnel : Télécommunications et réseaux

Passerelle de Sécurité Internet Guide d installation

OneAccess 16xx EAD Ethernet Access Device / 1.0 / AH / Public

Routeur Chiffrant Navista Version Et le protocole de chiffrement du Réseau Privé Virtuel Navista Tunneling System - NTS Version 3.1.

SÉCURITÉ RÉSEAUX/INTERNET, SYNTHÈSE

Un équipement (clé USB, disque dur, imprimante, etc.) est connecté au port USB.

I.1. Chiffrement I.1.1 Chiffrement symétrique I.1.2 Chiffrement asymétrique I.2 La signature numérique I.2.1 Les fonctions de hachage I.2.

Arkoon Security Appliances Fast 360

Action Spécifique Sécurité du CNRS 15 mai 2002

IPSec VPN. JTO Rennes 27 Mars. Bertrand Wallrich

CONVENTION d adhésion au service. EDUROAM de Belnet

Rapport de stage Stage de fin d études IUT Réseaux et Télécommunications


Mise en place d'un Réseau Privé Virtuel

Présentation. LogMeIn Rescue. Architecture de LogMeIn Rescue

Groupe Eyrolles, 2006, ISBN : X

Cisco Discovery - DRSEnt Module 7

Présentation sur les VPN

Protocole industriels de sécurité. S. Natkin Décembre 2000

Transcription:

Infrastructure PKI (public key infrastructure) Le cryptage symétrique Utilise la même clé pour crypter et décrypter un document Le cryptage asymétrique Utilise une paire de clé public et privée différente Méthode de cryptage dans le cadre de EFS(Encrypting File Systèm) Lorsqu un utilisateur crypte un fichier, le système génère la clé secrete de cryptage pour ce dernier. Cette clé secrète est appelée FEK(file Encryption Key). Le fichier est ensuite crypté avec cette clé via l algorithme DESX. Selon le système d exploitation que vous utilisez, il se peut que DESX ne soit pas utilisé par défaut mais que ce soit un autre algorithme. Système d exploitation Algorithme par défaut Puissance Windows 2003 AES 256 BITS WINDOWS XP SP1 ET > AES 256 BITS WINDOWS XP DESX 56 BITS WINDOWS 2000 SP2 ET > DESX 128BITS WINDOWS 2000 DES 56 BITS Algorithme de cryptage symétrique sont DES ; data encryption standard 3DES RC-4 Rivest Cipher 4 AES advanced Encryption standard Protocole de cryptage SSL, IPSEC HACHAGE : Méthode de division d'une liste de données en sous-listes, contenant les éléments de la première ayant des points communs. Principaux algorithme de hachage actuellement utilisé sont : MD5 message digest 5 128 bits SHA secure hash Algorithm 160 bit

Protocoles IPSec IPSec est en fait un ensemble de trois protocoles pricipaux, utilisant chacun des algorithmes de chiffrement pour protéger les différentes transactions mises en ouevre par le processus IPSec. MODE TRANSPORT ET MODE TUNEL IPSec peut fonctionner selon deux modes, transport ou tunel. Le mode Transport permet d appliquer une sécurité par IPSec de bout en bout, c'est-à-dire que la source du trafic et la destination sont les hôtes qui prennent en charge IPSec, et ainsi que cryptent et décryptent les données.le mode transport est donc utilisé dans les scénarios ou la communication sécurisée doit se faire de bout en bout. Le mode Tunnel permet quand à lui, d établir des connexions sécurisées entre deux réseaux, lorsque les passerelles ne prennent pas en charge une technologie de vpn telle que L2TP. En mode tunnel, les données ainsi que l en-tête IP envoyés par la machine source sont encapsulés dans un nouvel en-tête IP par la passerelle négociant IPSec, dont les adresses IP source et destination sont les points de départ et de terminaison du tunnel. AH AH(Authentification Header) est une protocole qui assure l authentification, le contrôle d intégrité et l anti-relecture des données encapsulées dans un paquet IP, ainsi que l en-tête IP elle-même, bloquant ainsi les attaques utilisant les en-tête IP, comme ip spoofing. AH utilise les algorithmes de hachages suivants : MD5 (Message Digest 5) Algo utilisant un hash sur 128 bits SHA1 Secure Hask Algorithm) Algo utilisant un hash sur 160 bits ESP Le protocole ESP (Encapsulation Security Payload) est un protocole qui assure la confidentialité des données, en chiffrant le contenu du paquet IP. ESP utilise les algorithmes de hachages suivants : MD5 (Message Digest 5) Algo utilisant un hash sur 128 bits SHA1 Secure Hask Algorithm) Algo utilisant un hash sur 160 bits

ESP utilise les algorithmes de chiffrement suivants : DES(Data Encryption Standard) Algorithme utilisant une clé symétrique de 56 bits. 3DES : Algorithme utilisant trois clés symétriques de 56 bits.avec 3DES, un bloc de données est chiffré successivement trois fois avec trois clés de 56 bits. IKE Lors d une communication sécurisée par IPSec, la source et la destination vont devoir se mettre d accord sur un certain nombre de paramètres, et ainsi générer les clés de cryptage qui vont permettre l échange de données de façon sécurisé. Pour mettre en œuvre cette association de sécurité, l IETF a établi un standard permettant cet échange appelé IKE(Internet Key Exchange). L IKE permet notamment de générer et de gérer les clés d authentification utilisées pour sécuriser les informations. Présentation de l accès distant L accès réseau à distance offre un mécanisme permettant à des utilisateurs physiquement situés hors du réseau d entreprise, de pouvoir se connecter au réseau d entreprise par l intermédiaire d une connexion d accès distant ou vpn et ainsi accéder aux ressources du réseau pour lesquelles ils disposent de permissions. Protocole de liaison d accès distant Les protocoles de liaison de données WAN qont SLIP, PPP, Microsoft RAS et ARAP. SLIP (Sérial Line Internet Protocol) Ce protocole est utilisé pour se connecter via un modem à un serveur SLIP. Il ne permet pas d effectuer de l authentification cryptée. PPP(Point to Point Protocol) est une amélioration de SLIP. Contraiement à SLIP qui ne prends pas en charge que de l IP, PPP permet d encapsuler en plus de TCP/IP d autres protocoles tels que IPX/SPX, NetBEUI.L énorme avantage de PPP est qu il n est pas propriétaire, et ainsi n importe quel client supportant PPP peut se connecter à un serveur d accès distant.

Microsoft RAS (Remote Access Service)ce protocole propriétaire est disponible pour permettre à des clients Windows pour Workgroup, Windows NT 3,1, MS-DOS et Lan Manager utilisant le Protocoles NetBEUI d accéder à un serveur. ARAP (Appeltalk Remote Access Protocol) Winndows 2003 joue le rôle de serveur d accès distant pour les clients Macintosh. Protocoles d authentification pour l accès distant Lors qu une connexion d accès à distance, il est nécessaire qu un mécanisme d authentification prenne place lors du processus d établissement de connexion, afin d empêcher toute personne non autorisée de pénétrer sur le réseau d entreprise. On peut découper en trois phases l établissement d une connexion WAN : Etablissement du lien physique. Cette première phase permet aux deux parties de négocier la connexion par envoi de paquet LCP(Link Control Protocol).Ces paquets contiennent des paramètres de négociation de la connexion au niveau physique. La seconde phase correspond à l authentification et intervient après l établissement de la ligne, et avant l établissement du niveau réseau. Une fois l authentification établie, il y a négociation du protocole réseau niveau 3 utilisé (ex :IP), par envoi de paquets NCP(Network Control Protocol). Plusieurs protocoles d authentification vous sont proposés : PAP (Password Authentification Protocol) : il s agit d une méthode relativement simple et peu sécurisée. Le mot de passe est envoyé par le client distant en clair. Il envoie son nom d utilisateur et son mot de passe au serveur d accès distant, qui vérifie si ces informations correspondent à celles qu il connaît dans sa base SAM ou Active Directory. SPAP (Shiva Password Authentification Protocol) : Il s agit d un protocole propriétaire du constructeur Shiva ; Il permet de connecter des clients Shiva à un serveur d accès distant Windows 2003, ou à un client Windows 2000 ou XP. Les mots de passes sont Ccryptés. CHAP (Challenge Handshake Authentification Protocol) : Il s agit d un protocole d authentification élaboré dans lequel les deux extrémités de la connexion partagent le même mot de passe qui n est jamais envoyé en clair sur le réseau. Le serveur d accès distant envoie au client un «challenge» après la première phase d établissement de connexion. Challenge correspond à un identifiant, un nombre aléatoire généré par le serveur ainsi que le nom d hôte utilisé pour l authentification. A la réception du Challenge, le client passe dans une fonction de hachage MD5 le mot de passe associé au nom d hôte Qu il connaît ainsi que le numéro d identifiant et le nombre aléatoire. Le résultat est la réponse au Challenge. Ce résultat, le nombre aléatoire, le nom d hôte et une version cryptée de l identifiant sont envoyés au serveur.

Ce dernier présente le mot de passe qu il connaît, le nombre aléatoire, l identifiant et le nom d(hôte à la même fonction de hachage non réversible et compare le résultat avec la réponse par le client. MS-CHAP (Microsoft Challenge Handshake Authentification protocol) : Il s agit meme principe que CHAP mais utilize comme function de Hachage l algorithme MD4 au lieu de MD5. Si vous utilisez MS-CHAP, vous pouvez en plus utiliser le cryptage MPPE(Microsoft Point to Point Encryption) pour scuriser les données sur le lien PPP ou PPTP. La différence entre MS-CHAP et CHAP réside dans le fait qu en CHAP les mots de passe sont stockés en clair sur le client et le serveur, alors qu en MS-CHAP stocke les mots de passe sous forme crypté (Ceci grâce à MD4). EAP (Extensible Authentification Protocol) : Il ne s agit pas d un protocole mais plutôt d un groupement de protocoles permettant d apporter d autres méthodes pour l authentification. Il s agit notamment de l authentification par carte à puce qui utilise le protocole TLS(transport Layer Security, le protocole MD5-CHAP, le protocole PEAP(Protected EAP), et tout autre méthode en cours de développement. Les réseaux privés virtuels (VPN) Les réseaux privés virtuels, souvent appelés VPN pour Virtual Private Network, offrent à un client VPN une extension du réseau privé de l entreprise à travers un support public comme internet. Windows 2003, tous comme Windows 2000, prend en charge les protocoles de tunnel PPTP et L2TP PPTP : Ce protocole permet d interconnecter des réseaux par l intermédiaire d un réseau IP. L2TP : Ce protocole permet à contrario de PPTP d interconnecter des réseaux dès lors que le tunnel offre une connexion point à point orientée paquet. Il est ainsi possible de fonctionner sur un réseau IP en utilisant des relais de trame, X25, ATM et bien évidement des circuits virtuels permanents IP. PPTP et L2TP utilisent tous les deux le protocole PPP pour transiter les données. Il s agit donc d une enveloppe supplémentaire utilisée pour le transport via VPN. Cette enveloppe ajoute des en-têtes permettent le transport de l information. Les avantages de L2TP sont les suivantes : Permet la compression des en-têtes Permet une authentification en tunnel. Utiliser IPSEC pour le cryptage des données permettant ainsi un fort niveau de sécurité des données ainsi que la possibilité à des clients de différentes technologies prenant en charge L2TP et IPSEC de se connecter à un serveur VPN. La sécurité prise en charge par ces deux protocoles va différer :

PPTP utilise pour crypter les données le cryptage MPPE(Microsoft Point to Point Encryption). MPPE est un protocoles de cryptage symétrique utilisant un algorithme de cryptage propriétaire commercialisé par RSA data Sécurity. Ce protocole se nomme RSA (River-Shamir-Adlman) RC4(river Cipher 4). Il ne s agit pas d un algorithme breveté mais il est protégé en tant que secret de fabrication. Pour mettre en œuvre le cryptage MPPE, il faut que l authentification effectuée par PPP soit MS-CHAPv1, MS-CHAPv2 ou EAP-TLS. MPPE peut être utilisé avec un niveau de cryptage sur 40 Bits, 56 bits ou 128 bits. Le format d une trame PPTP comprend une trame PPP (entête niveau 2 du modèle OSI + données niveau 3 du modèle OSI) qui est encapsulée dans un datagramme (paquet IP) IP auquel un entête GRE à été ajouté. Gre signifie Generic Routing Encapsulation. L2TP utilise IPSEC pour crypter les données. Cela dit, IPSEC est totalement indépendant de L2TP et vice versa.il st tout à fait possible d utiliser L2TP sans IPSEC. Cependant, si vous utilisez L2TP sans IPSEC, vous ne vous retrouvez plus dans une situation de tunnel crypté car les données véhiculées ne sont plus cryptées. De plus L2TP par l intermédiaire de IPSEC permet d authentifier l utilisateur désirant établir une session VPN, d authentifier le compte d ordinateur par un certificat. De plus, par les échanges PPP, l authentification de l utilisateur circule cryptée, car IPSEC aura déjà crée une association de sécurité de phase 2 avant que l authentification de l utilisateur n intervienne. Ainsi l échange CHAP, PAP, MS-SHAP sera chiffré par IPSEC. L2TP est une combinaison de deux protocoles : PPTP et L2F (layer 2 forxarding) L2F est une technologie proposé par CISCO Système.

2026 © DocPlayer.fr Politique de confidentialité | Conditions de service | Feed-back