Réseaux Privés Virtuels Virtual Private Networks

Transcription

Réseaux Privés Virtuels
Virtual Private Networks
4 Avril 2016
Olivier Perret
ENSTA Paristech
Réseaux Privés VirtuelsVirtual Private Networks – p. 1
Plan
•
Rappel du contexte et des besoins
•
Les VPN dans l’architecture du réseau
•
Les besoins auxquels ils répondent
•
Panorama des implémentations
•
Introduction au TP
•
Démo
Pourquoi des réseaux virtuels ?
Rappel sur les couches réseaux (cf. schéma
d’encapsulation au tableau)):
•
Virtualisation issue du modèle en couches;
•
Notion de domaine de collision;
•
Interopérabilité, ouverture.
Tout le trafic est ouvert, et cela peut déboucher sur des
développements inattendus (DPI).
Evolution naturelle des réseaux
locaux
Rappel des défauts inhérents au design des réseaux
TCP/IP:
•
pas de chiffrement en standard;
•
priorité à l’interconnexion: best-effort, pas de
priorisation des flux;
•
interopérabilité contre confidentialité.
Retour à la la réalité: Impossibilité de se contenter du
partionnement physique.
Les catégories d’attaques
On peut classer les menaces en 5 catégories:
•
Ecoute passive:
•
Faux paquets de service: encapsulation,
spoofing, spam
•
Usurpation d’identité: hi-jacking, MIM
•
Déni de service par bug ou inondation:
Syn-flooding, land, teardrop
•
Extension à un réseau de machines: DDOS,
Botnet
Solution apportée par le VPN: restreindre la surface
d’exposition.
Les attaques: écoute passive
J’écoute le trafic au bon endroit:
•
j’espionne
•
je récupère des données...
•
pour une intrusion...
•
ou toute autre attaque.
Solution apportée par le VPN: le trafic est chiffré aux
endroits exposés
Les attaques: Faux paquets de
service
Toujours placé au bon endroit, je balance de faux paquets:
•
pour jouer...
•
rejouer (une demande d’autorisation)...
•
perturber un voisin...
•
ou plus (intrusion) si les routeurs l’autorisent.
Solution apportée par le VPN: les données de service
aussi sont chiffrées...
Man in the middle
et usurpation d’identité de machine en général:
•
pour détourner le trafic...
•
pour faire des faux...
•
pour provoquer une réaction contre l’usurpé
Solution apportée par le VPN: l’usurpateur doit être sur
réseau interne
Les attaques: Déni de service
Je provoque des réactions de bloquage:
•
en appuyant sur les failles du système
(teardrop)...
•
en inondant une machine de requêtes
longues à traiter (syn-flooding)...
•
en provoquant une réaction d’autres
sites(antispam).
Solution apportée par les VPN: imposer le passage du
trafic par un point central
Les attaques: DDOS
Je suis aux commmandes d’un Botnet. J’attaque ma cible:
•
par des requêtes directes (web)...
•
par rebond anonymisé...
•
en provoquant une réaction en chaine.
Limites du VPN: le périmètre de l’entreprise.
Rappel sur les réseaux locaux:
Vlans
Première démarche de sécurité utilisant la virtualisation
des réseaux. Indissociable d’un protocole de diffusion:
•
Inventé par Cisco (ISL)
•
Normalisé: 802.1q
•
Préalable logique à la démarche VPN.
Souvent présenté comme une solution d’optimisation ou
de décongestion.
Rappel: Réseaux privés
Sur un réseau privé, il est tentant d’utiliser des classes
d’adresses réservées à ces usages, pour plus de liberté
dans le plan d’adressage.
•
RFC1918: 10.0.0.0/8, 172.16.0.0/12,
192.168.0.0/16
•
réservées à autre chose: 169.254.0.0/16,
0,127,224-255, 100.64.0.0/10
•
adresses malmenées: 1.2.3.4, 192.108.0.0,
192.0.2.0/24, 198.51.100.0/24,
203.0.113.0/24
Dans le cas du VPN, ce n’est pas obligatoire.
Réseaux privés (subtilités)
Il existe d’autres contextes d’adressage qui montrent les
limites du système:
•
le conflit d’adresses IP privées;
•
les adresses sont disponibles, mais
l’implémentation l’ignore (128.0.0.0/7);
•
le dual stack ipv6.
Comme tous les outils de sécurité, le VPN tolère mal les
négligences.
VPN: Définition
Un VPN est une passerelle point à point qui permet
d’étendre un réseau local, (par ordre d’investissement
croissant):
•
à un établissement relié par un réseau
d’opérateur télécom; (client)
•
à des postes distants reliés à un réseau
public; (serveur)
•
à un autre réseau connecté via un réseau
public. (interconnexion)
Le VPN modifie donc le périmètre de sécurité.
VPN: Composants
On désigne par VPN une infra-structure qui va
comprendre:
•
deux ou plusieurs points d’accès;
•
un ou plusieurs tunnels;
•
un plan d’adressage;
•
une bonne gestion de clefs.
C’est ce que nous allons détailler. Référence Wikipedia
VPN: Le Tunnel
Du fait du design des réseaux ouverts, il est possible de
construire le tunnel à plusieurs niveaux.
•
Liaison (couche naturelle des réseaux locaux.
Exemple: MPLS.)
•
Routage (Exemples: PPtP ou IPsec,
littéralement extension sécurisée de IP)
•
Applicative (plus accessible aux usagers.
Exemples: SSL ou ssh)
VPN au niveau 2(liaison)
C’est la technologie commercialisée par les opérateurs de
télécom.
•
X25: niveaux 2 et 3;
•
Frame Relay;
•
ATM: petites cellules, réseaux d’opérateurs;
•
MPLS: Multiprotocol Label Switching.
Objectif commun: reproduire à distance le fonctionnement
du réseau local.
VPN(2) Avantages
On retrouve les avantages et les inconvénients courants
des réseaux locaux
•
bas niveau: bonne garantie d’intéropérabilité
des services;
•
pas de chiffrement en standard, obligation
d’ajouter une couche IPsec;
•
risque de négligences au niveau de la
confidentialité.
Le chiffrement en ligne est une fonction prévue depuis
longtemps dans l’évolution d’IP et donc dans IPv6;
VPN sur la couche IP sécurisée
(IPsec)
Principe: Utiliser la couche IP pour y ajouter les fonctions
de sécurité et de chiffrement.
•
Transparent pour le réseau local;
•
Marche avec un hôte unique:VPN au poste.
•
Implémenté depuis longtemps dans les
routeurs (IPsec) et dans Microsoft Windows
depuis Windows 2000 (PPTP);
Du fait qu’il travaille au niveau paquet, il a les deux options
AH (Authentication Headers) et ESP (Encapsulating
Security Payload);
VPN(3) Avantages
C’est la solution qui offre le meilleur rapport qualité/coût.
•
idéale entre deux réseaux homogènes déjà
connectés;
•
profite de la supervision existante;
•
standards reconnus: IPsec (chiffré) et GRE
(non chiffré, donc pas vraiment Privé);
•
inconvénient: peut être couteux pour des
sites mal connectés ou dépourvus de
supervision/compétences.
VPN sur
chiffrantes
les
applications
Toutes les couches de chiffrement applicatif permettent
plus ou moins de monter un VPN sur les mêmes principes:
•
Utilisation du port pour franchir le pare-feu;
•
Utilisation du chiffrement pour garantir la
confidentialité du canal;
•
Si les deux le permettent, l’interface virtuelle
est montée.
Du fait qu’elle utilise un port réservé a priori à une
application, l’extension du réseau est plus ou moins
sournoise.
VPN sur SSL/TLS
SSL et TLS sont les couches normalisées par l’IETF pour
le chiffrement du mail et du web. Ils sont pratiquement
autorisés partout.
•
l’interface négociée par le navigateur web,
mais utilisable pour n’importe quel autre
protocole,
•
moins sensible à la translation d’adresse;
•
contrôlé par un serveur centralisé;
•
La plus répandue car accessible au grand
public.
C’est le modèle qui connait le plus de développements
VPN sur SSH
SSH est la version sécurisée de telnet, le protocole de
connexion générique de TCP/IP
•
protocole générique permettant de relayer
absolument tout;
•
souvent autorisé pour éviter des connexion
en clair ou via des tierces parties, mais pas
toujours;
•
naturellement souple: nombreuses fonctions
intégrées sans outil spécifique.
Pas vraiment facile à contrôler car basé sur des secrets
individuels.
Cas particulier: VPN sur DNS
Le DNS est le protocole le plus répandu de l’Internet.
L’utiliser pour diffuser du contenu est très compliqué et le
filtrer est encore plus rare.
•
disponible partout;
•
nécessite une complicité publique (serveur
DNS enregistré);
•
Très taggué hacker.
On approche des limites éthiques du principe.
VPN extrême: Les botnets
Définition: Un botnet est un réseau de machines dont les
utilisateurs ont perdu tout ou partie de la maitrise suite à
un piratage (virus, trojan, malware, intrusion,...)
•
pas de protocole standard, mais une base
commune: TCP/IP;
•
peut rassembler plusieurs milliers de
machines;
•
par définition illégal.
On ne peut les qualifier de service sans insulter la
communauté.
VPN qui n’en sont pas: Les
réseaux P2P
Les grands réseaux Peer to Peer ressemblent à des VPN:
Skype, eMule, Kaaza, Bitorrent, Gnutella, Freenet, Tor.
•
montent leur propre couche réseau
applicative;
•
proposent des fonctions de chiffrement et
d’authentification puissantes;
•
mais ne respectent pas les principes
d’ouverture de leur couche hôte.
On les classe souvent dans les verrues, même si tous ne
méritent pas d’être dénigrés.
Evolution de l’architecture des
tunnels
Plus ça va, plus on monte dans les couches:
•
SSL est de plus en plus préféré à IPsec;
•
La puissance des machines ne justifie plus
l’optimisation consistant à travailler au plus
près du réseau;
•
MPLS et ses concurrents (L2TPv3) sont
basés nativement sur UDP.
Rien n’indique que la tendance pourrait s’inverser.
Étude illustrée. Débat sur la Neutralité du Net ?
Panorama des implémentations:
boitiers
Exemples de produits utilisant différentes techniques:
•
Classiques: Cisco, Juniper, Brocade,...
•
A la mode: Fortinet;
•
Français: Stormshield (Netasq + Arkoon).
Tout serveur Unix ou Windows qui supporte IPSec dans
son noyau peut faire l’affaire.
serveurs
Exemples de produits utilisant différentes techniques:
•
Cisco: IPsec en natif dans IOS, avec ses
propres services;
•
Kame, IPsec intègré au noyau des Unix BSD.
•
OpenVPN: libre, basé sur SSH et maintenant
SSL;
Tout serveur Unix ou Windows qui supporte IPSec dans
son noyau.
clients
Champ très vaste.
•
les mêmes: Cisco VPN, Kame, OpenVPN;
•
les pénibles: PPTP (de Windows, qui utilise
MPPE);
•
Démo: Forticlient, Shrew, Greenbow;
•
n’importe quel navigateur web supportant
SSL.
le poste client n’est pas innocent: l’utilisateur monte quand
même une interface réseau chiffrante...
services en ligne
Sujet polémique ; contentons-nous de citer les avantages:
•
raccorder différentes entités à un gros
opérateur mondial fiable;
•
déporter une connexion dans un pays
étranger (neutralité);
•
utiliser des services non fournis par le FAI
(ipv6).
Quelques noms célèbres à recoller dans les cases: Level3,
OBS, OVH, FDN, Hurricane Electric,...
Infra-structure de chiffrement
Les algorithmes de chiffrement sont assez libres et
négociés par les équipements entre eux, mais la gestion
des clefs est incontournable:
•
certificats: racine, serveur, clients;
•
négociation des algorithmes;
•
distribution des clefs.
Le trafic ne doit divulguer aucune information sur les clefs
privées et le secret partagé.
Distribution des clefs
Quelques noms à connaitre pour IPsec:
•
Diffie-Hellman et son utilisation pour générer
des clefs secrètes;
•
IKE (Internet Key Exchange);
•
ISAKMP (Internet Security Association and
Key Management Protocol);
Tout est généré à partir d’un simple secret partagé.
Gestion de certificats
Mécanisme connu et caractéristique des technologies du
web (SSL/TLS)
•
certificats auto-signé: gratuit mais mal
reconnus;
•
certificats Verisign(US), Keynectis(EU):
payants;
•
certificats StartSSL(pas cher) ou
CaCert(gratuit): bon compromis.
Les certificats serviront pour le serveur et chaque client
aura sont sous-certificat à partir des quels seront générées
les clefs secrètes...
Gestion de certificats
Les 3 niveaux de garantie:
•
autosigné/gratuit: confiance dans l’autorité
•
certifié/payant (éventuellement wildcard):
confiance dans le navigateur
•
EV: Extended Validation: garanti vérifié par
l’autorité.
Pas de différence au niveau chiffre, juste le coût de
l’assurance...
Conclusion
Pratiquer les réseaux privés virtuels, c’est mettre en
oeuvre une varieté complète de techniques liées aux
réseaux et à la sécurité et induit de nouvelles
problèmatiques pour les différents acteurs:
•
de fournisseur d’accès public pour le serveur;
•
d’administrateur réseaux pour le client.
C’est ce que nous essayerons de mettre en oeuvre dans
les 2 séances de TP.
Ce que le VPN ne résoud pas
•
La sécurité est l’affaire de tous;
•
Un outil de chiffrement ne vous protégera pas
contre les comportements à risque;
•
Le point faible des VPN se situe au niveau
des postes client, d’où l’apparition des APT
(Advanced Persistent Threats).
Le déploiement d’un VPN ne peut se faire sans une bonne
sensibilisation.
Démo
Selon ce qu’il est possible de faire en salle, quelques
exemples simples:
•
Redirection de ports avec ssh;
•
Connexion à un réseau sur SSL;
•
Installation du client.
La suite au prochain T.P.

Réseaux Privés Virtuels Virtual Private Networks

Transcription

Documents pareils

PRIVATE OUTLET S`HABILLE DE9 MC

Données - nespos

Série VM - Palo Alto Networks

RFSOs: 1000173831 and 1000173779 Question

Série PA-3000 - Palo Alto Networks

ScreenOS bootcamp Firewall Contenu pédagogique

Routeur VPN avec switch 4 ports 10/100Mbps Firewall D

Informations produit Business IP VPN

EXTRANET (VIRTUAL PRIVATE NETWORK) : LAN TO LAN