Tunnels et VPN 20/02/2008 Formation Permanente Paris6 86 Sécurisation des communications Remplacement ou sécurisation de tous les protocoles ne chiffrant pas l authentification + éventuellement chiffrement des données Permettre d éviter les écoutes réseau Permettre l accès à des services internes depuis l extérieur» Accès haut débits ( ADSL et le câble )» Accès Modem avec des fournisseurs externes 20/02/2008 Formation Permanente Paris6 87 Quelles sont les solutions? Modification d applications existantes => Problème de compatibilité client-serveur telnet windows 2000!!! Sendmail, pop et imap StartTLS (Option négociée) On veut garder les protocoles sans modifications => créer une connexion chiffrée entre clients et serveurs
Quelles sont les solutions? Le faire au niveau application (couche 7 ) Créer de nouvelles applications intégrant les fonctions cryptographiques SSH Le faire au niveau transport ( couche 4 ) Liaison logique entre des programmes qui chiffrent les communications. SSL (https, spop, simap ) Le faire au niveau réseau ( couche 3 ) Le chiffrement est effectué directement au dessus du support réseau => interface virtuelle 20/02/2008 Formation Permanente Paris6 89 VPN et tunnels VPN : Virtual private Network faire transiter un protocole par l intermédiaire d un autre Application dans IP ( port forwarding ) IP dans IP Ethernet, IPX, appletalk dans IP Généralisation du concept de tunnel C est la valise diplomatique de l informatique avec tous les dangers que cela comporte Extension du périmètre de sécurité à des machines externes 20/02/2008 Formation Permanente Paris6 90 SSH Tunnels SSH peux être utilisé en tunnel pour des applications ( Port forwarding )» X11 par défaut» Pop et SMTP exemple : eudora+ putty sous windows firefox + openssh sous unix utilisable en tunnel IP par l établissement d une connexion PPP à l intérieur de la connexion SSH
Tunnels (STUNNEL) Stunnel Permet l utilisation d un certain nombre de protocol TCP standard au dessus d une couche SSL ( http, pop, imap, smtp ) Il ne gère pas telnet et ftp exemples :» imap démarré au niveau de l inetd Désormais beaucoup de services supportent les options SSL sans passer par stunnel (wu-imap,courier-imap,dovecot ) Possibilité d activer une connexion PPP à l intérieur exemple : (PEU EFFICACE) Sur le serveur utiliser (-L pour le Pseudo TTY) Sur le client pour activer le lien PPP sécurisé 20/02/2008 Formation Permanente Paris6 92 Numéro de Ports standards sous SSL 20/02/2008 Formation Permanente Paris6 93 VPN: Types de connexions Réseau à Réseau Société multisite => Routage du VPN sur chacun des sites Machine à Réseau Utilisateurs itinérants => Routage des clients VPN sur le site serveur Machine à Machine
Que doit assurer un VPN? Authentification ( de préférence forte ) Intégrité Confidentialité Protection contre le rejeu Eventuellement compression 20/02/2008 Formation Permanente Paris6 95 Vtun (1) Http://vtun.sourceforge.net/ supporté sous linux, solaris et *bsd simplicité de mise en œuvre et documentation très bien faite supporte le traffic shapping tunnels IP, Ethernet, PPP, PIPE compression LZO et ZLIB Encryption MD5 BLOWFISH Fonctionne en mode client serveur (serveur sur un port configurable UDP ou TCP) Défaut: mot de passe en clair dans le fichier de configuration 20/02/2008 Formation Permanente Paris6 96 Vtun (2) Fichier de config client Fichier de config serveur
PPTP Protocole Ouvert M$ PPTP ( Point to Point Tunneling Protocol ) RFC 1701, 1702 et 1171 Microsoft authentification MS/CHAP V2 Microsoft chiffrement MPPE (RC4 40 ou 128 bits) PPTP ne fait aucun chiffrement Utilise deux canaux de communication» Port 1723 TCP» protocol IP 47 (GRE) pour les données GRE: Generic Routing Encapsulation établissement d une connexion PPP à l intérieur du canal de donnée éventuellement compressé et crypté Abandonné par Microsoft dans Windows 2000 (L2TP) A n utiliser que si c est la seule solution 20/02/2008 Formation Permanente Paris6 98 IPSec IPSec : est un standard ( pas un logiciel ) Inclus dans IPV6 Il assure :» Authentification ( DSS ou RSA)» Intégrité ( MD5 SHA-1 RIPEMD )» Confidentialité (DES RC5 IDEA Blowfish ) Une Implémentation libre : FreeS/WAN (Linux) Port et protocol utilisé:» UDP port 500 IKE» ESP protocol 50 (Encapsulating Security Payload)» AH protocol 51 (Authentication Header)» IPSEC NAT Traversal UDP 3500 20/02/2008 Formation Permanente Paris6 99 OpenVPN encapsuler dans un tunnel n'importe quel sous-réseau IP ou adapateur ethernet virtuel, dans un unique port TCP ou UDP; créer une infrastructure de tunnels entre n'importe quel système d'exploitation supporté par OpenVPN. Sont concernés Linux, Solaris, OpenBSD, FreeBSD, NetBSD, Mac OS X, et Windows 2000/XP/VISTA utiliser toutes les fonctionnalités de chiffrement, d'authentification et de certification de la librairie OpenSSL afin de protéger le trafic de votre réseau privé lorsqu'il transite par Internet; utiliser n'importe quel algorithme de chiffrement, taille de clef, ou empreinte HMAC (pour l'authentification des datagrammes) supporté par la bibliothèque OpenSSL, choisir entre un chiffrement conventionnel basé sur une clef statique, ou un chiffrement par clef publique en se basant sur les certificats,
OpenVPN utiliser une compression des flux adaptée en temps-réel, la mise en forme de trafic pour gérer l'utilisation de la bande-passante du lien, encapsuler les réseaux dont les extrémités publiques sont dynamiques comme on peut le rencontrer avec DHCP ou avec des clients connectés par modem, encapsuler le trafic de réseaux grâce aux firewalls effectuant du suivi de sessions, sans nécessairement utiliser des règles de filtrage particulières, encapsuler le trafic de réseaux avec du NAT (translation d'adresse), et créer des ponts ethernets sécurisés utilisant les périphériques tap. 20/02/2008 Formation Permanente Paris6 101 VPN Conclusions Eviter les implémentations sur TCP Problème d efficacité (c est parfois la seule solution qui marche ) C est un outil efficace extrêmement puissant Mais aussi une arme redoutable Une anecdote Quelques questions : Pour quels services? Ou mettre le point d entrée dans l architecture réseau? Que faut il comme sécurité sur le poste client? A n utiliser que dans le cadre d une architecture déjà sécurisée 20/02/2008 Formation Permanente Paris6 102