Tunnels et VPN. 20/02/2008 Formation Permanente Paris6 86. Sécurisation des communications



Documents pareils
Tunnels et VPN. 22/01/2009 Formation Permanente Paris6 86

Sécurisation des communications

Tunnels. Plan. Pourquoi? Comment? Qu est-ce? Quelles solutions? Tunnels applicatifs ESIL INFO 2005/2006. Sophie Nicoud

Les Réseaux Privés Virtuels (VPN) Définition d'un VPN

VPN TLS avec OpenVPN. Matthieu Herrb. 14 Mars 2005

Sécurité GNU/Linux. Virtual Private Network

SSL ET IPSEC. Licence Pro ATC Amel Guetat

Réseaux Privés Virtuels

Le protocole SSH (Secure Shell)

1 PfSense 1. Qu est-ce que c est

VPN. Réseau privé virtuel Usages :

PACK SKeeper Multi = 1 SKeeper et des SKubes

Intérêt du NAT (Network Address Translation) Administration Réseau Niveau routage. Exemple d Intranet. Principe NAT

2. MAQUETTAGE DES SOLUTIONS CONSTRUCTIVES. 2.2 Architecture fonctionnelle d un système communicant.

Sécurité des réseaux IPSec

Devoir Surveillé de Sécurité des Réseaux

Sécurité des réseaux sans fil

Windows Server 2008 Sécurité ADMINISTRATION ET CONFIGURATION DE LA SECURITE OLIVIER D.

Configuration de l'accès distant

Utilisation des ressources informatiques de l N7 à distance

OpenSSH. Présentation pour le groupe SUR (Sécurité Unix et Réseaux) 08/03/2005. Saâd Kadhi

Virtual Private Network WAFA GHARBI (RT4) CYRINE MAATOUG (RT4) BOCHRA DARGHOUTH (RT4) SALAH KHEMIRI (RT4) MARWA CHAIEB (RT3) WIEM BADREDDINE (RT3)

Figure 1a. Réseau intranet avec pare feu et NAT.

Pare-feu VPN sans fil N Cisco RV120W

Table des matières 1 Accès distant sur Windows 2008 Server Introduction...2

Mise en route d'un Routeur/Pare-Feu

Configurer ma Livebox Pro pour utiliser un serveur VPN

2. DIFFÉRENTS TYPES DE RÉSEAUX

Les RPV (Réseaux Privés Virtuels) ou VPN (Virtual Private Networks)

TECHNICAL NOTE. Configuration d un tunnel VPN entre un firewall NETASQ et le client VPN. Authentification par clé pré-partagée. Version 7.

Routeur Chiffrant Navista Version Et le protocole de chiffrement du Réseau Privé Virtuel Navista Tunneling System - NTS Version 3.1.

Cisco Certified Network Associate

CONVENTION d adhésion au service. EDUROAM de Belnet

Université de Reims Champagne Ardenne. HTTPS, SSL, SSH, IPSEC et SOCKS. Présenté par : BOUAMAMA Mohamed Nadjib AZIZ Xerin

DISTANT ACESS. Emna TRABELSI (RT3) Chourouk CHAOUCH (RT3) Rabab AMMAR (RT3) Rania BEN MANSOUR (RT3) Mouafek BOUZIDI (RT3)

Sécurité des réseaux wi fi

TP LAN-WAN 2007/2008

INSTALLATION D'OPENVPN:

LAB : Schéma. Compagnie C / /24 NETASQ

TP réseaux Translation d adresse, firewalls, zonage

StoneGate Firewall/VPN

//////////////////////////////////////////////////////////////////// Administration systèmes et réseaux

Services Réseaux - Couche Application. TODARO Cédric

Transmission de données

RESEAUX TCP/IP: NOTIONS AVANCEES. Preparé par Alberto EscuderoPascual

Réseaux et protocoles Damien Nouvel

Pare-feu VPN sans fil N Cisco RV110W

L3 informatique Réseaux : Configuration d une interface réseau

Le rôle Serveur NPS et Protection d accès réseau

TR2 : Technologies de l'internet. Chapitre VI. NAT statique et dynamique Overloading (PAT) Overlapping, port Forwarding Serveur Proxy, DMZ

Routeur VPN Wireless-N Cisco RV215W

Positionnement produit

le nouveau EAGLEmGuard est arrivé. Dissuasion maximum pour tous les pirates informatiques:

Mettre en place un accès sécurisé à travers Internet

pfsense Manuel d Installation et d Utilisation du Logiciel

Programme formation pfsense Mars 2011 Cript Bretagne

Les applications Internet

Cisco RV220W Network Security Firewall

II/ Le modèle OSI II.1/ Présentation du modèle OSI(Open Systems Interconnection)

SSL. Secure Socket Layer. R. Kobylanski janvier version 1.1 FC INPG. Protocole SSL Application avec stunnel

Réseaux. Moyens de sécurisation. Plan. Evolutions topologiques des réseaux locaux

Introduction. Adresses

Réseaux Privés Virtuels Virtual Private Networks

Fiche descriptive de module

Eric DENIZOT José PEREIRA Anthony BERGER

Firewall IDS Architecture. Assurer le contrôle des connexions au. Sécurité 1

Rappels réseaux TCP/IP

Présentation du modèle OSI(Open Systems Interconnection)

OneAccess 16xx EAD Ethernet Access Device / 1.0 / AH / Public

M2-RADIS Rezo TP13 : VPN

Accès aux ressources informatiques de l ENSEEIHT à distance

Administration de Réseaux d Entreprises

Culture informatique. Cours n 9 : Les réseaux informatiques (suite)

M1101a Cours 4. Réseaux IP, Travail à distance. Département Informatique IUT2, UPMF 2014/2015

Cisco RV220W Network Security Firewall

SÉCURITÉ RÉSEAUX/INTERNET, SYNTHÈSE

Note technique. Recommandations de sécurité relatives à IPsec 1 pour la protection des flux réseau

Tutorial VPN. Principales abréviations

[ Sécurisation des canaux de communication

Mobilité et Sécurité sur le réseau Réaumur, mise en place de solutions DHCP et VPN

LINUX REDHAT, SERVICES RÉSEAUX/INTERNET

Annexe C : Numéros de port couramment utilisés

Action Spécifique Sécurité du CNRS 15 mai 2002

Présentation et portée du cours : CCNA Exploration v4.0

Programmation Réseau. ! UFR Informatique ! Jean-Baptiste.Yunes@univ-paris-diderot.fr

Cours de sécurité. Pare-feux ( Firewalls ) Gérard Florin -CNAM - - Laboratoire CEDRIC -

SECURIDAY 2013 Cyber War

La citadelle électronique séminaire du 14 mars 2002

Dr.Web Les Fonctionnalités

Protocole industriels de sécurité. S. Natkin Décembre 2000

IPSEC : PRÉSENTATION TECHNIQUE

Spécialiste Systèmes et Réseaux

Groupe Eyrolles, 2006, ISBN : X

I. Description de la solution cible

Transcription:

Tunnels et VPN 20/02/2008 Formation Permanente Paris6 86 Sécurisation des communications Remplacement ou sécurisation de tous les protocoles ne chiffrant pas l authentification + éventuellement chiffrement des données Permettre d éviter les écoutes réseau Permettre l accès à des services internes depuis l extérieur» Accès haut débits ( ADSL et le câble )» Accès Modem avec des fournisseurs externes 20/02/2008 Formation Permanente Paris6 87 Quelles sont les solutions? Modification d applications existantes => Problème de compatibilité client-serveur telnet windows 2000!!! Sendmail, pop et imap StartTLS (Option négociée) On veut garder les protocoles sans modifications => créer une connexion chiffrée entre clients et serveurs

Quelles sont les solutions? Le faire au niveau application (couche 7 ) Créer de nouvelles applications intégrant les fonctions cryptographiques SSH Le faire au niveau transport ( couche 4 ) Liaison logique entre des programmes qui chiffrent les communications. SSL (https, spop, simap ) Le faire au niveau réseau ( couche 3 ) Le chiffrement est effectué directement au dessus du support réseau => interface virtuelle 20/02/2008 Formation Permanente Paris6 89 VPN et tunnels VPN : Virtual private Network faire transiter un protocole par l intermédiaire d un autre Application dans IP ( port forwarding ) IP dans IP Ethernet, IPX, appletalk dans IP Généralisation du concept de tunnel C est la valise diplomatique de l informatique avec tous les dangers que cela comporte Extension du périmètre de sécurité à des machines externes 20/02/2008 Formation Permanente Paris6 90 SSH Tunnels SSH peux être utilisé en tunnel pour des applications ( Port forwarding )» X11 par défaut» Pop et SMTP exemple : eudora+ putty sous windows firefox + openssh sous unix utilisable en tunnel IP par l établissement d une connexion PPP à l intérieur de la connexion SSH

Tunnels (STUNNEL) Stunnel Permet l utilisation d un certain nombre de protocol TCP standard au dessus d une couche SSL ( http, pop, imap, smtp ) Il ne gère pas telnet et ftp exemples :» imap démarré au niveau de l inetd Désormais beaucoup de services supportent les options SSL sans passer par stunnel (wu-imap,courier-imap,dovecot ) Possibilité d activer une connexion PPP à l intérieur exemple : (PEU EFFICACE) Sur le serveur utiliser (-L pour le Pseudo TTY) Sur le client pour activer le lien PPP sécurisé 20/02/2008 Formation Permanente Paris6 92 Numéro de Ports standards sous SSL 20/02/2008 Formation Permanente Paris6 93 VPN: Types de connexions Réseau à Réseau Société multisite => Routage du VPN sur chacun des sites Machine à Réseau Utilisateurs itinérants => Routage des clients VPN sur le site serveur Machine à Machine

Que doit assurer un VPN? Authentification ( de préférence forte ) Intégrité Confidentialité Protection contre le rejeu Eventuellement compression 20/02/2008 Formation Permanente Paris6 95 Vtun (1) Http://vtun.sourceforge.net/ supporté sous linux, solaris et *bsd simplicité de mise en œuvre et documentation très bien faite supporte le traffic shapping tunnels IP, Ethernet, PPP, PIPE compression LZO et ZLIB Encryption MD5 BLOWFISH Fonctionne en mode client serveur (serveur sur un port configurable UDP ou TCP) Défaut: mot de passe en clair dans le fichier de configuration 20/02/2008 Formation Permanente Paris6 96 Vtun (2) Fichier de config client Fichier de config serveur

PPTP Protocole Ouvert M$ PPTP ( Point to Point Tunneling Protocol ) RFC 1701, 1702 et 1171 Microsoft authentification MS/CHAP V2 Microsoft chiffrement MPPE (RC4 40 ou 128 bits) PPTP ne fait aucun chiffrement Utilise deux canaux de communication» Port 1723 TCP» protocol IP 47 (GRE) pour les données GRE: Generic Routing Encapsulation établissement d une connexion PPP à l intérieur du canal de donnée éventuellement compressé et crypté Abandonné par Microsoft dans Windows 2000 (L2TP) A n utiliser que si c est la seule solution 20/02/2008 Formation Permanente Paris6 98 IPSec IPSec : est un standard ( pas un logiciel ) Inclus dans IPV6 Il assure :» Authentification ( DSS ou RSA)» Intégrité ( MD5 SHA-1 RIPEMD )» Confidentialité (DES RC5 IDEA Blowfish ) Une Implémentation libre : FreeS/WAN (Linux) Port et protocol utilisé:» UDP port 500 IKE» ESP protocol 50 (Encapsulating Security Payload)» AH protocol 51 (Authentication Header)» IPSEC NAT Traversal UDP 3500 20/02/2008 Formation Permanente Paris6 99 OpenVPN encapsuler dans un tunnel n'importe quel sous-réseau IP ou adapateur ethernet virtuel, dans un unique port TCP ou UDP; créer une infrastructure de tunnels entre n'importe quel système d'exploitation supporté par OpenVPN. Sont concernés Linux, Solaris, OpenBSD, FreeBSD, NetBSD, Mac OS X, et Windows 2000/XP/VISTA utiliser toutes les fonctionnalités de chiffrement, d'authentification et de certification de la librairie OpenSSL afin de protéger le trafic de votre réseau privé lorsqu'il transite par Internet; utiliser n'importe quel algorithme de chiffrement, taille de clef, ou empreinte HMAC (pour l'authentification des datagrammes) supporté par la bibliothèque OpenSSL, choisir entre un chiffrement conventionnel basé sur une clef statique, ou un chiffrement par clef publique en se basant sur les certificats,

OpenVPN utiliser une compression des flux adaptée en temps-réel, la mise en forme de trafic pour gérer l'utilisation de la bande-passante du lien, encapsuler les réseaux dont les extrémités publiques sont dynamiques comme on peut le rencontrer avec DHCP ou avec des clients connectés par modem, encapsuler le trafic de réseaux grâce aux firewalls effectuant du suivi de sessions, sans nécessairement utiliser des règles de filtrage particulières, encapsuler le trafic de réseaux avec du NAT (translation d'adresse), et créer des ponts ethernets sécurisés utilisant les périphériques tap. 20/02/2008 Formation Permanente Paris6 101 VPN Conclusions Eviter les implémentations sur TCP Problème d efficacité (c est parfois la seule solution qui marche ) C est un outil efficace extrêmement puissant Mais aussi une arme redoutable Une anecdote Quelques questions : Pour quels services? Ou mettre le point d entrée dans l architecture réseau? Que faut il comme sécurité sur le poste client? A n utiliser que dans le cadre d une architecture déjà sécurisée 20/02/2008 Formation Permanente Paris6 102

2024 © DocPlayer.fr Politique de confidentialité | Conditions de service | Feed-back