VPN IP security Protocol

Documents pareils
Tunnels et VPN. 22/01/2009 Formation Permanente Paris6 86

Sécurité des réseaux IPSec

Les Réseaux Privés Virtuels (VPN) Définition d'un VPN

Tunnels. Plan. Pourquoi? Comment? Qu est-ce? Quelles solutions? Tunnels applicatifs ESIL INFO 2005/2006. Sophie Nicoud

SSL ET IPSEC. Licence Pro ATC Amel Guetat

Sécurité GNU/Linux. Virtual Private Network

Réseaux IUP2 / 2005 IPv6

1 PfSense 1. Qu est-ce que c est

Note technique. Recommandations de sécurité relatives à IPsec 1 pour la protection des flux réseau

VPN TLS avec OpenVPN. Matthieu Herrb. 14 Mars 2005

Virtual Private Networks MPLS IPsec SSL/TLS

Introduction. Adresses

IPSEC : PRÉSENTATION TECHNIQUE

Mise en route d'un Routeur/Pare-Feu

Windows Server 2008 Sécurité ADMINISTRATION ET CONFIGURATION DE LA SECURITE OLIVIER D.

Le protocole SSH (Secure Shell)

TECHNICAL NOTE. Configuration d un tunnel VPN entre un firewall NETASQ et le client VPN. Authentification par clé pré-partagée. Version 7.

Figure 1a. Réseau intranet avec pare feu et NAT.

II/ Le modèle OSI II.1/ Présentation du modèle OSI(Open Systems Interconnection)

Eric DENIZOT José PEREIRA Anthony BERGER

Plan. Programmation Internet Cours 3. Organismes de standardisation

2. MAQUETTAGE DES SOLUTIONS CONSTRUCTIVES. 2.2 Architecture fonctionnelle d un système communicant.

Devoir Surveillé de Sécurité des Réseaux

Présentation du modèle OSI(Open Systems Interconnection)

Programme formation pfsense Mars 2011 Cript Bretagne

2. DIFFÉRENTS TYPES DE RÉSEAUX

Chapitre I. La couche réseau. 1. Couche réseau 1. Historique de l Internet

L3 informatique Réseaux : Configuration d une interface réseau

OneAccess 16xx EAD Ethernet Access Device / 1.0 / AH / Public

Configuration d'un Réseau Privé Virtuel (RPV ) communément appelé VPN

Intérêt du NAT (Network Address Translation) Administration Réseau Niveau routage. Exemple d Intranet. Principe NAT

TP réseaux Translation d adresse, firewalls, zonage

Réseaux. Moyens de sécurisation. Plan. Evolutions topologiques des réseaux locaux

Configuration de l'accès distant

Pare-feu VPN sans fil N Cisco RV120W

Kerberos en environnement ISP UNIX/Win2K/Cisco

Les réseaux /24 et x0.0/29 sont considérés comme publics

Protocoles utilisant des mécanismes d'authentification: TACACS+, RADIUS et Kerberos

Réseaux Privés Virtuels Virtual Private Networks

Rappels réseaux TCP/IP

Fiche descriptive de module

Passerelle de Sécurité Internet Guide d installation

Internet Protocol. «La couche IP du réseau Internet»

PACK SKeeper Multi = 1 SKeeper et des SKubes

Présentation et portée du cours : CCNA Exploration v4.0

Les Protocoles de sécurité dans les réseaux WiFi. Ihsane MOUTAIB & Lamia ELOFIR FM05

SECURIDAY 2013 Cyber War

Firewall IDS Architecture. Assurer le contrôle des connexions au. Sécurité 1

Description des UE s du M2

Les RPV (Réseaux Privés Virtuels) ou VPN (Virtual Private Networks)

HAUTE DISPONIBILITÉ DE MACHINE VIRTUELLE AVEC HYPER-V 2012 R2 PARTIE CONFIGURATION OPENVPN SUR PFSENSE

Sécurité des réseaux wi fi

Les réseaux de campus. F. Nolot

Algorithmique et langages du Web

Tutorial VPN. Principales abréviations

Sécurité des réseaux sans fil

Arkoon Security Appliances Fast 360

Introduction aux Technologies de l Internet

Organisation du parcours M2 IR Les unités d enseignements (UE) affichées dans la partie tronc commun sont toutes obligatoires, ainsi que le stage et

SÉCURITÉ RÉSEAUX/INTERNET, SYNTHÈSE

Rappel: Le routage dans Internet. Contraintes. Environnement et contraintes. La décision dans IP du routage: - Table de routage:

Services Réseaux - Couche Application. TODARO Cédric

Protocoles IP (2/2) M. Berthet. Les illustrations sont tirées de l ouvrage de Guy Pujolle, Cours réseaux et Télécom Contributions : S Lohier

CONVENTION d adhésion au service. EDUROAM de Belnet

LAB : Schéma. Compagnie C / /24 NETASQ

Transmission de données

IPFIX (Internet Protocol Information export)

Administration de Réseaux d Entreprises

ROUTEURS CISCO, PERFECTIONNEMENT

TR2 : Technologies de l'internet. Chapitre VI. NAT statique et dynamique Overloading (PAT) Overlapping, port Forwarding Serveur Proxy, DMZ

1. Présentation de WPA et 802.1X

Plan du Travail. 2014/2015 Cours TIC - 1ère année MI 30

Configurer ma Livebox Pro pour utiliser un serveur VPN

WIFI (WIreless FIdelity)

Réseaux Privés Virtuels

Pare-feu VPN sans fil N Cisco RV110W

RESEAUX TCP/IP: NOTIONS AVANCEES. Preparé par Alberto EscuderoPascual

IPv6. IPv6 et la sécurité: IPsec Objectif: Sécuriser... v.1a IPv6 Théorie et Pratique & Microsoft IPsec 1

Les réseaux des EPLEFPA. Guide «PfSense»

Firewall ou Routeur avec IP statique

TP réseau Les réseaux virtuels (VLAN) Le but de se TP est de segmenter le réseau d'une petite entreprise dont le câblage est figé à l'aide de VLAN.

Rapport de stage Stage de fin d études IUT Réseaux et Télécommunications

Travaux pratiques : dépannage de la configuration et du placement des listes de contrôle d'accès Topologie

Réseaux et protocoles Damien Nouvel

Présentation et portée du cours : CCNA Exploration v4.0

Service de VPN de niveau 3 sur RENATER (L3VPN MPLS)

Virtual Private Network WAFA GHARBI (RT4) CYRINE MAATOUG (RT4) BOCHRA DARGHOUTH (RT4) SALAH KHEMIRI (RT4) MARWA CHAIEB (RT3) WIEM BADREDDINE (RT3)

DFL-210, DFL-800, DFL-1600, DFL-2500 Comment configurer une connexion VPN IPSec site à site

Université de Reims Champagne Ardenne. HTTPS, SSL, SSH, IPSEC et SOCKS. Présenté par : BOUAMAMA Mohamed Nadjib AZIZ Xerin

Complémentarité de DNSsec et d IPsec

Exemple de configuration USG

LP ASUR - Sécurité. Introduction à la Sécurité des Systèmes d'information. Florent Autréau - florent@mataru.com 28 Avril 2013

Programmation Réseau. ! UFR Informatique ! Jean-Baptiste.Yunes@univ-paris-diderot.fr

IPSec VPN. JTO Rennes 27 Mars. Bertrand Wallrich

Le protocole RADIUS Remote Authentication Dial-In User Service

Transcription:

VPN IP security Protocol Architectures VPN Communication layers Security protocols Application layer Transport layer Network layer ssh, S/MIME, PGP SSL, TLS, WTLS IPsec Data Link layer PPTP, L2TP MPLS Physical layer Scrambling, Hopping, Quantum Communications Ahmed Mehaoua - 2 1

Sécurisation des communications IP Pour sécuriser les échanges ayant lieu sur un réseau TCP/IP, il existe plusieurs approches : - niveau applicatif (PGP) - niveau transport (protocoles TLS/SSL, SSH) - niveau physique (boîtiers chiffrant). IPsec vise à sécuriser les échanges au niveau de la couche réseau. IPsec veut dire IP Security Protocols : ensemble de mécanismes de sécurité commun à IPv4 et IPv6. I. Normalisation d'ipsec II. Modes d IPsecd III. Protocoles de sécurits curité AH IV. Protocole de sécurits curité ESP V. Fonctionnement SA, SAD, SPD VI. Gestion, distribution des clefs IKE / ISAKMP VII. Faiblesses d'ipsec VIII. Application et solutions IPsec : les VPN 2

IPSec : le standard Norme prévue pour IPv6 Adaptée à IPv4, vu la lenteur de déploiement IPv6 et les besoins forts des entreprises Série de RFC : 2401, 2402, 2406, 2408 Très nombreuses pages!! Ahmed Mehaoua - 5 IPsec et l architecture l TCP/IP IPsec IPsec Physique Cuivre, Fibre Optique, Ondes Radio,... 3

I. Normalisation d'ipsec l IETF (Internet Engineering Task Force) débute d la normalisation de IPv6 en 1994. Introduction des services de sécurits curité: IPSec (Internet Protocol Security) ) 1995. IPsec natif sur IPv6 et optionnel sur IPv4. 1998 IPsec intègre son protocole d'échange de clés s (IKE - Internet Key Exchange). Publication des RFC du protocole IPsec en 1995 puis 1998. A la fin de l annl année e 1999 IPsec s impose sur le marché. Les services IPsec Services de sécurits curités s offerts par IPsec : - Authentification des extrémit mités - Confidentialité des données échangées - Authenticité des données - Intégrit grité des données échangées - Protection contre les écoutes et analyses de trafic - Protection contre le rejeu 2 modes d exploitationd d IPsec : - Transport : Protège juste les données transportées (LAN) - Tunnel : Protège en plus l'en-tête IP (VPN) IPsec permet : La mise en place de VPN Sécuriser les accès s distants (Utilisation nomade) Protection d un d serveur sensible 4

Composants d IPsecd Protocoles de sécurité : Authentication Header (AH) Encapsulation Security Payload (ESP) Protocole d'échange de clefs : Internet Key Exchange (IKE) Bases de données internes : Security Policy Database (SPD) Security Association Database (SAD) I. Normalisation d'ipsec par l IETFl RFC 2401 Security Architecture for the Internet Protocol RFC 2402 IP Authentication Header S. Kent, R. Atkinson Novembre 1998 STANDARD RFC 2406 IP Encapsulating Security Payload (ESP) Ahmed Mehaoua - 10 5

Quel protocole pour quel service de sécurité? Ahmed Mehaoua - 11 I. Normalisation d'ipsec Problèmes IP 1. saturation de l espace d adressage prévue pour 2010 a. Utiliser les adresses IP privées avec un protocole de translation d adresse (NAT: Network Address Translation) b. Augmenter la taille du champ adresse (IP version 6 avec champ adresse de 128 bits -> > incompatibilité) 2. Lacunes en sécurisation des communications a. Réseaux Privés IP virtuels ou Virtual Private Network IP (VPN) b. IP security (IPsec) 6

Adresses IP Privées Classe A : 10.0.0.0-10.255.255.255 Classe B : 172.16.0.0-172.31.255.255 Classe C : 192.168.0.0-192.168.255.255 «NAT» Network Address Translation : 7

IPv6 : Objectifs 1. Résoudre le problème de pénurie d'adresses d'ipv4 : 4.3 Milliards IPv4 disponibles 240 Millions réellement utilisables 172 millions de hosts IPv4 actifs (Janv. 2003) 73 % des adresses IPv4 sont octoyées aux organismes nord-américains Vietnam (100 Millions d hab. 4 classes C) Sénégal (10 millions d hab. - 16 adresses de classe C) Tunisie (8 milions d hab. 16 classes C pour l administration) 2. Résoudre les problèmes de dimensionnement des tables de routage : Mars 2002: 150 000 routes IP4 + 400 routes IP6 ds les routeurs backbones BGP Accroissement de 20% par an L horizon de l Internet est de 40 routeurs Route moyenne traverse 25 routeurs; 3. Inclure de nouvelles fonctionnalités : La sécurité, La mobilité, La configuration automatique des stations La qualité de service, etc Solutions IPsec avec IPv6 CISCO IOS 12.2 et supérieure JUNIPER JUNOS 5.1 et supérieure Windows NT et Windows 2000 avec l installation d un patch Research.microsoft.com/msripv6/ www.microsoft.com/windows2000/technologies/communications/ipv6/ Windows XP en natif Taper la commande «ipv6 install» puis vérifier avec «ipv6 if» Aplications IPv6 livrées : ping6, traceroute, ftp, telnet, IE, IPsec, MacOS 10.1 et MacOS X IBM AIX 4.3 et supérieure Solaris 8 et supérieure Compaq True64 UNIX et OpenVMS v5.1 et supérieure, HP-UX 11i et supérieure Linux 2.4 et supérieure (RedHat 7.1 Mandrake 8.0) FreeBSD 4.0 et supérieure 8

IPv4 vs IPv6 IPv4 Packet Header IPv6 Packet Header Service Traffic Ver IHL Total Length Type Ver Class (8) Flow Label (20) Next Hop Identification Flags Offset (13) Payload Length Header Limit 20 octets TTL Protocol Header Checksum Source Address Destination Address Options + Padding 32 bits Source Address (128) 40 octets Destination Address (128) IPv6 : adressage Passage de 4 à 16 octets pour l'adressage (RFC 3513): 2 128 3x10 38 équipements adressables 6x10 22 adresses au m 2 sur terre Plan d adressage agrégé : Adressage hiérarchique (RFC 2374) Diminution taille des tables de routage / temps de traitement des paquets En pratique : 10 33 adresses (dû à la hiérarchie) 3x10 18 adresses par mètre carré sur la terre 3 niveaux de hiérarchie : 1. Une topologie publique (48 bits) : TLA Top Level Aggregator 2. Une topologie de site (16 bits) : SLA Site Level Aggregator 3. Un identifiant d interface (64 bits) : IID Interface Identifier 3 types d adresse IPv6 : 1. globales (utilisation du plan agrégée), 2. site local ou link local, etc (adresses privées) 3. compatible IPv4 ou adresse "mappée«(tunneling) 9

Plan d adressage Agrégé Format Prefix (3 bits) Type de Plan d adressage 001 : plan agrégé 010 : plan de test Top Level Aggregator (13 bits) identifie les fournisseurs/opérateurs internat. Reserved (8 bits) pour utilisation future (entre TLA et NLA) Next Level Aggregator (24 bits) identifie les fournisseurs/opérateurs régionaux ainsi que l identifiant du site (décomposition et allocation sous la responsabilité du TLA) Site Level Aggregator (16 bits) identifie les sous-réseaux dans le site (sous la responsabilité de l administrateur du site) Allocation des Adresses Internet Corporation For Assigned Names and Numbers RIR Regional Internet Registries NIR National Internet Registries LIR Local Internet Registries End Users 10

Attribution des Adresses Pour obtenir un préfixe sub-tla de 32 bits en Europe (délais 48h): Être membre du RIPE-NCC (Réseaux IP Européen-Network Coordination Centre) Abonnementt annuel : 2750-3750-5250 Euros (dépend du nbre @ utilisés) Remplir le formulaire RIPE-195 sur www.ripe.net puis l envoyer à hostmaster@ripe.net France Telecom 2001:0688::/32 (depuis juin 2000) Renater 2001:0660::/32 Nerim 2001:07A8::/32 Tiscali 2001:BC8::/32 4 Conditions d attribution à vérifier (Phase de BootStrap): 1. Être un opérateur IPv4 avec au moins 3 peering actifs avec d autres AS 2. Avoir au moins 40 clients IPv4 ou une expérience sur le réseau test 6bone (ptla) 3. Envisager d offrir des services IPv6 dans les 12 prochains mois 4. Maintenir un service DNS forward (AAAA) et reverse (ip6.int) Allocation des Adresses 3 13 13 6 001 TLA stla Res 2001 0660 NLA SLA Interface ID stla-id RENATER 2001:0660::/32 POP ID Versailles 2001:0660:30 3000::/4000::/40 NLA-ID Univ.. de Versailles 2001:0660:300F 0F::/48 /32 /48 /64 /40 /128 SLA-ID Laboratoire CNRS PRISM 2001:0660:300F:0004 0004:/64 Host-ID lune.prism.uvsq.fr 2001:0660:300F:0004:0030:80FF:FE1A:079C 0030:80FF:FE1A:079C 11

II.. Modes d IPsecd mode transport - insertion transparente entre TCP et IP - pas de masquage d adressed - facilité de mise en œuvre sécurise de bout en bout les échanges entre deux utilisateurs. mode tunnel - insertion après s IP - encapsulation des datagrammes IP dans d'autres datagrammes IP - masquage d adressed sécurise lien par lien les segments de réseau. r utilisé quand au moins une des deux extrémit mités s d IPsecd se comporte comme une passerelle IPsec : Mode Transport 12

Transport Mode Encapsulation Ahmed Mehaoua - 25 IPsec : Mode Tunnel 13

Tunnel Mode Encapsulation Ahmed Mehaoua - 27 III.. Protocole de sécurits curité AH AH = Authentication Header : 1er protocole et aussi le plus simple définit dans le RFC 2402 Garantit : - l'authentification. - l unicité (anti-rejeu rejeu) - l'intégrit grité! Pas de confidentialité! => les données sont seulement signées mais pas chiffrées support des algorithmes MD5 (128 bits) et SHA-1 14

IPSec protocols AH protocol AH - Authentication Header Defined in RFC 1826 Integrity: Yes,, including IP header Authentication: Yes Non-repudiation: Depends on cryptography algorithm. Encryption: No Replay Protection: Yes Transport Packet layout IP Header AH Header Tunnel Packet layout IP Header AH Header IP Header Payload (TCP, UDP, etc) Payload (TCP. UDP,etc) III.. Protocole de sécurits curité AH 15

IV.. Protocole de sécurits curité ESP ESP = Encapsulating Security Payload définit dans le RFC 2406 Seules les données sont protégées (pas de protection en-tête) Garantit: - l'authentification. - l unicité (anti-rejeu rejeu) - l'intégrit grité - la confidentialité IPSec protocols ESP protocol ESP Encapsulating Security Payload Defined in RFC 1827 Integrity: Yes Authentication: Depends on cryptography algorithm. Non-repudiation: No Encryption: Yes Replay Protection: Yes Transport Packet layout IP Header ESP Header Tunnel Packet layout IP Header ESP Header IP Header Payload (TCP, UDP, etc) Payload (TCP. UDP,etc) Unencrypted Encrypted 16

IV.. Protocole de sécurits curité ESP V. Fonctionnement SA, SAD, SPD SA : Security Association Les Associations de sécurité (SA) définissent les paramètres des divers mécanismes utilisés pour la sécurisation des flux sur le réseau privé virtuel A chaque SA correspond un bloc de données identifié par un index et contenant les informations correspondantes Plus précisément, chaque association est identifiée de manière unique u à l'aide d'un triplet composé de : - le SPI (Security( Parameter Index) ) : index de la SA défini par le récepteur - l'adresse de destination des paquets - l'identifiant du protocole de sécurité (AH ou ESP) 17

V. Fonctionnement SA, SAD, SPD SA : Security Association (suite) Les informations échangées sont : - index de la SA appelé SPI (pour Security Parameter Index) - un numéro de séquence, s indicateur utilisé pour le service d'anti-rejeu - une fenêtre d'anti-rejeu : compteur 32 bits - dépassement de séquence s - paramètres d'authentification (algorithmes et clés) - paramètres de chiffrement (idem) - temps de vie de la SA - mode du protocole IPsec (tunnel ou transport) Attention : un SA est Unidirectionnelle: : protéger les deux sens d'une communication classique requiert deux associations. SA : exemple Destination : 192.78.42.76 Protocole : ESP index : 10314 Mode : tunnel algorithme de chiffr : AES clé de chiffrement : 0xEB3167C... algorithme d'authent : SHA1 clé d'authentification : 0xC372F4... politique associée : #23 date d'expiration : 061120 15:30:00 Ahmed Mehaoua - 36 18

Combinaison des SA Ahmed Mehaoua - 37 V. Fonctionnement SA, SAD, SPD SAD : Security Association Database - base de données des SA pour la gestion des associations de sécurits curité actives - consultée e pour savoir quels mécanismesm il faut appliquer à chaque paquet reçu u ou à émettre. SPD : Security Policy Database - base de données des politiques de sécurits curité (SPD). - Pour savoir comment appliquer les mécanismes m sur les paquets 19

V. Fonctionnement SA, SAD, SPD V. Fonctionnement SA, SAD, SPD Exemple 1 : trafic sortant 1) IPsec reçoit des données à envoyer 2) Consultation de la base de données SPD (quel traitement pour ces données?) 3) Mécanismes M de sécurits curité pour ce trafic? 4) Oui récupération des caractéristiques ristiques requises pour la SA et consultation de la base SAD 5) SA existe? 6) Oui utilisée e pour traiter le trafic en question Non appel à IKE pour établir une nouvelle SA 20

V. Fonctionnement SA, SAD, SPD Exemple 2 : trafic entrant 1) Réception R paquet 2) Examen l'en-tête: services IPsec appliqués s? 3) Oui références rences de la SA? consultation de la SAD 4) Déchiffrement D 5) Consultation de la SPD : «SA du paquet correspond bien à celle requise par les politiques de sécurits curité?» VI.. Gestion, distribution des clefs IKE / ISAKMP Problèmatique : afin d échanger des données de façon sécurisée, il est nécessaire de se mettre d accord sur les paramètres à utiliser, et notamment d échanger les clefs de session Il faut 2 paires de clés (AH et ESP) : soit 2 par direction. 1er solution : configuration manuelle des équipements (unique méthode proposée dans la première version d IPSec ) 2eme solution : gestion dynamique des paramètres au moyen d un protocole sécurisé adapté système automatique pour la creation à la demande des clés pour les SA Plusieurs solutions : SKIP, Prothuris,, Oakley, SKEME and ISAKMP IKE IKE est un protocole orienté connexion utilisé par les équipements IPsec pour échanger et gérer les associations de sécurité à travers l Internet net : Echange de clefs à l aide de protocoles cryptographiques Fournit une authentification des entités Permet un établissement de SA à travers un réseau non sécurisé 21

VI.. Gestion, distribution des clefs IKE / ISAKMP IKE : Internet Key Exchange : Qu est ce que c est? IKE est un ensemble de protocoles et de m est un ensemble de protocoles et de mécanismes assurant une gestion sécuriss curisée e et dynamique des paramètres de sécurits curité utilisés s dans IPSec IKE = échange de clés s d'authentification + gestion des SA Basé sur des amélioration des protocoles ISAKMP/Oakley (dont la sécurité et la scalabilité étaient limitées) RFC 2409 Deux manières d'échanger des clefs : - clefs pré-partag partagées - certificats X.509 relations IPSec-IKE-SA SA->traitement à mettre en oeuvre sur un paquet IP quand il faut appliquer IPSec IKE->gestionnaire de SA IPSec->utilisateur de SA Ahmed Mehaoua - 44 22

VI.. Gestion, distribution des clefs IKE / ISAKMP IKE : Internet Key Exchange VI.. Gestion, distribution des clefs IKE / ISAKMP ISAKMP : Internet Security Association and Key Management Protocol associé à une partie des protocoles SKEME et Oakley négociation des paramètres (algorithmes de chiffrement ) mécanisme de négociation n découpd coupé en deux phases: - Phase 1: définition d des moyens pour protéger les échanges suivants. 2 modes possibles : - normal (6 messages et protection d identitd identité) - agressif (3 messages) - Phase 2: négociation n des paramètres des futures SA. 23

IKE (Internet Key Exchange) Phase I: Oakley Main Mode (DH key exchange & authentication) To negotiate bi-directional ISAKMP Security Association (SA) [ISAKMP: Internet Security Association & Key Management Protocol] An encryption algorithm A hash algorithm A Diffie-Hellman group identifier Authentication methods Pre-Shared Secret Digital Signature (Digital Certificate) Public Key Encryption (Encrypted Nonce) Phase I: Oakley Aggressive Mode No identity protection Phase II: Oakley Quick Mode To negotiate IPSec Security Association (SA) <Security Parameter Index, IP Destination Address, Security Protocol> To negotiate keys to protect data traffic Internet Security Association and Key Management Protocol (ISAKMP) Defines procedures and packet formats to establish, negotiate, modify and delete security associations Defines payloads for exchanging key generation and authentication data ISAKMP message consists of an ISAKMP header followed by one or more payloads 24

VII.. Faiblesses d'ipsec Limitations dues à la gestion manuelle des clefs - AH et ESP s'appuient sur des numéros de séquence s initialisés à 0 lors de la création d'une SA et incrément mentés s lors de l'envoi de chaque datagramme. - Numéros de séquence s sont stockés s dans un entier de 32 bits 4 milliards - Passé cette limite, nécessitn cessité de créer une nouvelle SA et donc une nouvelle clef. - Possibilité de désactivation d des numéros après s la limite. Broadcast et multicast Problème de performance et impossibilité de résolution r par l augmentation de la puissance. VII.. Faiblesses d'ipsec (suite) Firewalls Le filtrage de datagrammes IPsec est délicat d pour deux raisons : - les RFCs ne précisent pas si, sur un système remplissant simultanément ment les fonctions de passerelle de sécurits curité et de firewall, le décodage d de l'ipsec doit avoir lieu avant ou après s l'application des règles de firewalling ; -il n'est pas possible au code de firewalling de lire certaines données, par exemple des numéros de port, dans des données chiffrées, ou transmises dans un format qu'il ne connaît t pas. NATs Théoriquement, aucune translation d'adresse ne devrait affecter un datagramme IPsec,, car ce type d'opération modifie le contenu des datagrammes,, ce qui est incompatible avec les mécanismes m de protection de l'intégrit grité des données d'ipsec IPsec. - Partie 3 VPN IP sécurisé avec IPsec - 25

VII.. Faiblesses d'ipsec (suite 2) Non support de protocoles réseaux r autres qu'ip IPsec est un protocole qui ne prévoit que le convoyage sécuriss curisé de datagrammes IP Ceci n'est pas suffisant, car d'autres standards comme IPX et NetBIOS sont utilisés s sur un grand nombre de réseaux. r Il existe cependant une solution à ce problème : encapsuler les données à protéger dans du PPP, lui-même transporté par IPsec.. Le rôle de PPP est en effet de permettre la transmission de différents protocoles au- dessus d'un lien existant. - Partie 3 VPN IP sécurisé avec IPsec - VIII. Application de IPsec : les VPN 26

Typologie des technologies VPN VPN de niveau 2 VPN- VPN- VPN- IP avec IPSEC IP avec MPLS SSL VIII. Application de IPsec : les VPN Access IPsec to Core VPN Access IPsec tunnel IPsec tunnel IP MPLS CPE MPLS PE MPLS PE CPE mapping mapping IPsec MPLS VPN IPsec IP IPsec over Core VPN IPsec tunnel MPLS CPE MPLS PE MPLS PE CPE IP IPsec MPLS VPN IPsec IP 27

Extranet VPN : IPsec to MPLS to VLAN Branch Office Access/ Peering PoPs MPLS Core Corporate Intranet Local or Direct- Dial ISP Leased Line/ Frame Relay/ATM/ DSL Dedicated IOS Access MPLS PE MPLS Cable/DSL/ ISDN ISP Remote Users/ Telecommuters Internet MPLS VPNs VLANs Bi-directional IPsec Session Cisco VPN client software is tunnel source for access VPNs and branchoffice; router originates site-to-site tunnel with VPN concentrator Cisco router terminates IPsec tunnels and maps sessions into MPLS VPNs IP IPsec Session MPLS VPNs VLANs IP Easy VPN Remote/Server HUB site with static known IP address, client have dynamic addresses Single User Home Office IOS Router With Unity Client ubr900 IOS Router With Unity Client Cisco Unity VPN Clients Cable DSL Internet PIX501 HQ Gateway options: Cisco VPN 30xx Cisco IOS 12.2(8)T PIX 6.0 800 Small Office IOS Router With Unity Client 1700 T1 Home Office VPN3002 IOS Router =IPsec tunnel Advantages: Unity is the common language within Cisco VPN environment Policy push applies to CPE routers as well. 28

Les offres commerciales de VPN pour l'entreprise Les grands acteurs en France et en Europe aujourd'hui: Level 3 France Telecom (Oleane( VPN) Easynet Qwest Global Crossing VPN IP- Offre en France - Il existent 10 offrent de réseaux privés virtuel IP en France (01réseaux/Sept. 2002) Cable & Wireless (IPsec, aucune classe, 50 PoP nat, 49 PoP int.) Cegetel/Infonet (MPLS, 3 classes: Std, Data, Tps réel, 160, 55 pays) Colt (IPsec, 4, 13, via offre IP Corporate) FT/Global One (MPLS, 3, 60, 140) KPNQwest (IPSec, 5 classes, 30, 300) Maiaah (MPLS, 5, 7, via réseaux tiers) QoS Networks (IPSec, 5 classes, 1, 9) LDcom/Siris (MPLS, 4 classes, 77, 0) Worldcom (MPLS) 29

Critère re des choix d'un fournisseur de VPN La bande passante proposée La qualité de service négocin gociée e (SLA) Gamme d'options d'accès s en boucles locales Assistance 30

2026 © DocPlayer.fr Politique de confidentialité | Conditions de service | Feed-back