Cours 10 - Le site de Marc
Transcription
Cours 10 - Le site de Marc
Cours 10 Mise en place des mesures de protection – Proxy et Firewall ©2004, Marc-André Léger Choix (rappel du cours 9) • • • • • • • • Ségrégation des réseaux Définition de rôles Firewalls IDS NVAS Honeypots HP Openview et outils de gestion Filtres et proxy ©2004, Marc-André Léger Firewall • Système d’exploitation et matériel conçus par le constructeur et spécifiquement pour du filtrage • Simple PC, matériel dédié, circuit intégré spécialisé (ASIC) • Ex de firewall non matériel ©2004, Marc-André Léger Source: http://igm.univ-mlv.fr/~duris/NTREZO/20032004/Cheynet-DaSilva-Sebban-Presentation-Firewalls.ppt Différences firewall logiciel/matériel • Peuvent offrir fonctions et services identiques • Différences: – SAV: 1 seul constructeur fournit la solution complète – Résistance: conçu pour être un produit de sécurité – Distribution de la fonction firewall dans les points stratégiques du réseau ©2004, Marc-André Léger Source: http://igm.univ-mlv.fr/~duris/NTREZO/20032004/Cheynet-DaSilva-Sebban-Presentation-Firewalls.ppt Catégories de firewalls matériels • Routeurs: – filtres entrants/sortants, règles sur adresses, ports, types ICMP, flags TCP – Stateless ou Stateful – Moins d’applications complexes/multimédia supportées que firewall spécialisés (NAT) – Routeurs conçus initialement pour commuter paquets -> attention – Filtres des tables de routage – Performances: • de qques kb/s -> plusieurs Mb/s • Perte de performances de 15 à 20% en Stateful • Performances dépendent du nombre de fonctions utilisées (IPSec, détection d’intrusion, codecs pour voix sur IP, QOS) – Routeur stateful idéaux pour relier bureaux via internet: site a protéger rarement important ©2004, Marc-André Léger Source: http://igm.univ-mlv.fr/~duris/NTREZO/20032004/Cheynet-DaSilva-Sebban-Presentation-Firewalls.ppt Catégories de firewalls matériels • Firewalls spécialisés – Conçus uniquement pour faire du filtrage – Très performant: • > 1Gbit/s • 500 000 connexions • Plusieurs dizaines de milliers de nouvelles connexions par seconde – Supportent rarement les interfaces WAN nécessité d’être associés à des routeurs pour la connectivité • Disponibles également pour le grand public – Pour accès toujours connectés (DSL, câble) – Ouverts en sortie – Certains permettent le filtrage dans les deux sens adaptés à l’hébergement de services – Performances: • 1à 2 Mb/s (vitesse d’accès) • Limitations au niveau du nombre de sessions supportées et nombre de nouvelles connexions par seconde. • Meilleur choix pour protéger l’accès principal à Internet ou serveurs publics ©2004, Marc-André Léger Source: http://igm.univ-mlv.fr/~duris/NTREZO/20032004/Cheynet-DaSilva-Sebban-Presentation-Firewalls.ppt Catégories de firewalls matériels • Modules firewall pour commutateurs – Sous forme de carte – Firewall stateful – Intégrés aux commutateurs pour fournir protection entre différents VLAN – Support de contextes virtuels services de filtrages a des réseaux distincts – Performances: • • • • • jusqu’à 5 Gb/s 1 000 000 de connexions 100 000 nouvelles connexions par seconde Jusqu’à 100 interfaces virtuelles Possibilité d’utiliser plusieurs cartes débit de 30 Gb/s – Utilisés pour cloisonner le réseau interne ©2004, Marc-André Léger Source: http://igm.univ-mlv.fr/~duris/NTREZO/20032004/Cheynet-DaSilva-Sebban-Presentation-Firewalls.ppt Firewalls logiciels professionnels ©2004, Marc-André Léger Source: http://igm.univ-mlv.fr/~duris/NTREZO/20032004/Cheynet-DaSilva-Sebban-Presentation-Firewalls.ppt Firewalls logiciels professionnels Plan • Deux firewalls stateful : – Firewall libre : Netfilter / iptables – Firewall commercial : CheckPoint Firewall-1 • Ce que les firewalls laissent passer ©2004, Marc-André Léger Source: http://igm.univ-mlv.fr/~duris/NTREZO/20032004/Cheynet-DaSilva-Sebban-Presentation-Firewalls.ppt Firewalls logiciels en passerelle libre : Netfilter • Intégré au noyau 2.4 de linux • Interface utilisateur séparée : iptables • Stateless : – iptables -A INPUT -s 200.200.200.1 -p tcp -destination-port telnet -j DROP • Stateful : – iptables -A INPUT -p tcp -m state --state ESTABLISHED -j ACCEPT – INVALID / ESTABLISHED / NEW / RELATED ©2004, Marc-André Léger Source: http://igm.univ-mlv.fr/~duris/NTREZO/20032004/Cheynet-DaSilva-Sebban-Presentation-Firewalls.ppt Firewall logiciels en passerelle libre : Netfilter • Spécificités – Ajout de plugins au système de suivi de connections FTP / H323 / IRC / … – Plugins divers : modification du comportement de la pile IP – Front ends de configuration graphiques • Avantage décisif sur les autres firewalls libres ©2004, Marc-André Léger Source: http://igm.univ-mlv.fr/~duris/NTREZO/20032004/Cheynet-DaSilva-Sebban-Presentation-Firewalls.ppt Firewall logiciels en passerelle commercial : CP Firewall-1 • Disponible sur plusieurs plateformes Windows Server – Linux Red Hat – HP-UX - Solaris • Prix – 50$ par utilisateur (100 machines) – Au nombre de plugins fournis – + Formations ©2004, Marc-André Léger Source: http://igm.univ-mlv.fr/~duris/NTREZO/20032004/Cheynet-DaSilva-Sebban-Presentation-Firewalls.ppt Firewall logiciels en passerelle commercial : CP Firewall-1 • Spécificités – Décomposable en plusieurs modules – serveurs • antivirus, serveur d’authentification, reporting – Authentification des utilisateurs • Avec LDAP, RADIUS, TACACS – Pour filtrer les URL, – Pour la limitation du temps, – Permissions au niveau de l’utilisateur plutôt qu’au niveau d’un adresse IP ©2004, Marc-André Léger Source: http://igm.univ-mlv.fr/~duris/NTREZO/20032004/Cheynet-DaSilva-Sebban-Presentation-Firewalls.ppt Firewall logiciels en passerelle ce qu’ils laissent passer • Les attaques d’application web – Vulnérables si elles ne filtrent pas assez les données entrées par l’utilisateur. – Insertion de code sur les Forums – Insertion de requêtes SQL dans un champ de formulaire ©2004, Marc-André Léger Source: http://igm.univ-mlv.fr/~duris/NTREZO/20032004/Cheynet-DaSilva-Sebban-Presentation-Firewalls.ppt Firewall logiciels en passerelle ce qu’ils laissent passer – Injection de requête SQL : SELECT * FROM table_Clients WHERE champ_Nom=Name l'utilisateur entre son nom : toto ; INSERT INTO table_Users VALUES('Mon_login', 'Mon_password') La requête finale est : SELECT * FROM table_Clients WHERE champ_Nom=toto ; INSERT INTO table_Users VALUES('Mon_login', 'Mon_password') ©2004, Marc-André Léger Source: http://igm.univ-mlv.fr/~duris/NTREZO/20032004/Cheynet-DaSilva-Sebban-Presentation-Firewalls.ppt Firewall logiciels en passerelle ce qu’ils laissent passer – Solution : « Reverse Proxy » – Rôle de l’administrateur réseau ? ©2004, Marc-André Léger Source: http://igm.univ-mlv.fr/~duris/NTREZO/20032004/Cheynet-DaSilva-Sebban-Presentation-Firewalls.ppt Firewalls personnels ©2004, Marc-André Léger Source: http://igm.univ-mlv.fr/~duris/NTREZO/20032004/Cheynet-DaSilva-Sebban-Presentation-Firewalls.ppt Firewalls personnels - Plan • • • • Cible et besoins Principe Limites Firewalls personnels sous Windows et Linux ©2004, Marc-André Léger Source: http://igm.univ-mlv.fr/~duris/NTREZO/20032004/Cheynet-DaSilva-Sebban-Presentation-Firewalls.ppt Cible et besoins • Logiciel de sécurité réseau simple et efficace pour connexions Internet personnelles: poste directement relié à Internet • Postes principalement « client » principale menace: réception de chevaux de Troie logiciels espions / backdoors empêcher connexion de programmes non autorisés ©2004, Marc-André Léger Source: http://igm.univ-mlv.fr/~duris/NTREZO/20032004/Cheynet-DaSilva-Sebban-Presentation-Firewalls.ppt Cible et besoins • Filtrage simple de paquets: la plage de ports 1024-65535 doit être autorisée pour que les applis puissent fonctionner dans les deux sens filtrage de paquets problématique ©2004, Marc-André Léger Source: http://igm.univ-mlv.fr/~duris/NTREZO/20032004/Cheynet-DaSilva-Sebban-Presentation-Firewalls.ppt Principe • Contrôle des applications pour accéder ou non au réseau liste applications autorisées à initier flux réseau ou a écouter • Pour chaque appli: – – – – ©2004, Marc-André Léger Localisation de l’exécutable Protocole de niveau 4 utilisé (TCP, UDP, ICMP) Jeux de ports utilisés Sens de flux associé Source: http://igm.univ-mlv.fr/~duris/NTREZO/20032004/Cheynet-DaSilva-Sebban-Presentation-Firewalls.ppt Principe • La configuration doit être aisée pour correspondre à la cible de marché configuration par apprentissage • Permet également de faire de la remontée d’alertes • Dans le modèle OSI: – Entre couches IP et liaison: règles indépendantes d’une application / flux déjà autorisés – Entre couches réseau et applicative: intercepter les demandes d’ouverture de socket ©2004, Marc-André Léger Source: http://igm.univ-mlv.fr/~duris/NTREZO/20032004/Cheynet-DaSilva-Sebban-Presentation-Firewalls.ppt Limites • Certaines prises de décision nécessitent connaissances • Certains produits ne gèrent que TCP, UDP et ICMP, décision silencieuse • Beaucoup d’appli accèdent au réseau par différents protocoles nombre d’entrées important, difficile à maintenir ©2004, Marc-André Léger Source: http://igm.univ-mlv.fr/~duris/NTREZO/20032004/Cheynet-DaSilva-Sebban-Presentation-Firewalls.ppt Limites • Lacunes courantes: – Impossibilité de spécifier des règles indépendamment d’une appli – Impossibilité de restreindre les jeux de ports utilisable par une appli autorisée – Impossibilité de spécifier des règles pour autres protocoles que TCP, UDP ou ICMP – Absence de filtrage à état ou absence des modules de prise en charges de protocoles applicatifs complexes (limite au niveau 4) ©2004, Marc-André Léger Source: http://igm.univ-mlv.fr/~duris/NTREZO/20032004/Cheynet-DaSilva-Sebban-Presentation-Firewalls.ppt Limites • Absence de sécurité de certains OS: pas de contrôle d’accès ou comptes utilisateurs non utilisés • Application pouvant se lancer en superutilisateur --> écraser exécutables concernés par configuration du firewall, tuer d’autres applis (anti-virus, firewall), annuler les protections • Possibilité de profiter de failles de sécurité dans autres applications autorisées (navigateur) • Ne travaille qu’à partir du niveau IP, tout ce qui se trouve en dessous (Ethernet) n’est pas vu du firewall ©2004, Marc-André Léger Source: http://igm.univ-mlv.fr/~duris/NTREZO/20032004/Cheynet-DaSilva-Sebban-Presentation-Firewalls.ppt Firewalls personnels sous Windows et Linux • Windows: Kerio, Zone Alarm, … • Linux: module « owner » de Netfilter + patch « owner-cmd » – Critères de filtrages relatifs aux processus: • UID , GID propriétaire • PID/SID du process • Nom du process iptables –A OUTPUT –m owner –cmd-owner ping –j ACCEPT • Attention, ne vérifie pas la localisation de l’exécutable, limiter les packets iptables –A OUTPUT –m owner –cmd-owner ping –p icmp –icmp-type echo-request –j ACCEPT ©2004, Marc-André Léger Source: http://igm.univ-mlv.fr/~duris/NTREZO/20032004/Cheynet-DaSilva-Sebban-Presentation-Firewalls.ppt Serveurs mandataires et relais inverses (Proxys et Reverse Proxys) • La notion de proxy: – Un intermédiaire entre le réseau local et internet. – La plupart du temps, pour le protocole HTTP. • Principe: – C’est un serveur mandaté par une application pour effectuer une requête sur Internet à sa place. – Manip pour chercher le script proxy. ©2004, Marc-André Léger Source: http://www.loria.fr/~barreaud/enseignement/DeustOuebe/EquipProtection.ppt Les fonctionnalités • Conversion de protocole, si le LAN n’utilise pas TCP/IP • Fonction de cache accélère la navigation, réduit l’occupation de la bande passante, … • Le filtrage, par instauration de listes blanches/noires et suivis sur logs… • L’authentification, pour refuser la ressource web à certains utilisateurs (logs) ©2004, Marc-André Léger Source: http://www.loria.fr/~barreaud/enseignement/DeustOuebe/EquipProtection.ppt Le reverse-proxy (relais inverse) • Permet aux utilisateurs Internet d’accéder directement à certains serveurs internes. • Permet une protection du serveur Web. • La fonction cache soulage la charge du serveur («accélérateur») • Certains reverse-proxys permettent une répartition de charge sur différents serveurs. ©2004, Marc-André Léger Source: http://www.loria.fr/~barreaud/enseignement/DeustOuebe/EquipProtection.ppt Quelques noms: • Squid (windows, linux, gratuit) • Wingate (windows, payant) • Windows 2000 intègre un proxy (MSP, complété par Microsoft Proxy Client) ©2004, Marc-André Léger Source: http://www.loria.fr/~barreaud/enseignement/DeustOuebe/EquipProtection.ppt Modèles de contrôle d’accès • Un Modèle de contrôle d’accès inclut: – Des sujets – Des objets – Des actions – Un règlement de sécurité ©2004, Marc-André Léger Source: liuppa.univ-pau.fr/seminaires/ 07_04_04/gabillon7avril.ppt Modèles de contrôle d’accès • Les sujets: entités actives – Utilisateurs - Ordinateurs - Processus • Les objets: entités passives – Données – Programmes ©2004, Marc-André Léger Source: liuppa.univ-pau.fr/seminaires/ 07_04_04/gabillon7avril.ppt Modèles de contrôle d’accès • Les actions – Lecture - Ecriture - Exécution - Création - Suppression ©2004, Marc-André Léger Source: liuppa.univ-pau.fr/seminaires/ 07_04_04/gabillon7avril.ppt Modèles de contrôle d’accès • Le règlement de sécurité – Ensemble de Permissions • Ex: Le sujet s a la permission (droit, privilège) d’effectuer l’action a sur l’objet o • Un système est sûr si et seulement si le règlement ne peut être violé – Toute opération effectuée doit être permise ©2004, Marc-André Léger Source: liuppa.univ-pau.fr/seminaires/ 07_04_04/gabillon7avril.ppt Modèles de contrôle d’accès • Implantation – Le plus souvent au moyen d’un noyau de sécurité – Le noyau de sécurité contrôle les accès ©2004, Marc-André Léger Source: liuppa.univ-pau.fr/seminaires/ 07_04_04/gabillon7avril.ppt Modèles Discrétionnaires • Les plus anciens • Règlement défini de façon discrétionnaire pour chaque utilisateur • Le règlement de sécurité s’exprime sous la forme d’une matrice A. – A(s,o) correspond à l’ensemble des actions que s a la permission de réaliser sur l’objet o ©2004, Marc-André Léger Source: liuppa.univ-pau.fr/seminaires/ 07_04_04/gabillon7avril.ppt Modèles Discrétionnaires • Notion de droit propriétaire – Chaque objet a un propriétaire qui décide quels sont les autres sujets qui ont accès à cet objet. • Sujets peuvent être structurés en groupe – La structuration des sujets en groupes simplifie l’expression de la politique de sécurité. ©2004, Marc-André Léger Source: liuppa.univ-pau.fr/seminaires/ 07_04_04/gabillon7avril.ppt Modèles Discrétionnaires • Avantages – Modèles simples – Souvent implantés (UNIX, SQL92 …) • Inconvénients – Adaptés à des règlements de sécurité simples – Vulnérables aux chevaux de Troie – Problème de la fuite des droits ©2004, Marc-André Léger Source: liuppa.univ-pau.fr/seminaires/ 07_04_04/gabillon7avril.ppt Modèles Obligatoires • Appelés aussi modèles de sécurité multiniveaux (sécurité militaire) • Chaque sujet reçoit un niveau d’habilitation • Chaque objet reçoit un niveau de classification • Règlement de sécurité obligatoire – Si l’habilitation d’un sujet est supérieure ou égale à la classification de l’objet alors ce sujet a la permission de prendre connaissance de l’information véhiculée par l’objet. → Objectif de confidentialité ©2004, Marc-André Léger Source: liuppa.univ-pau.fr/seminaires/ 07_04_04/gabillon7avril.ppt Modèles Obligatoires • Bell & LaPadula ont montré que les 2 règles suivantes étaient nécessaires pour garantir le règlement de sécurité: – No Read Up: Si l’habilitation d’un sujet est supérieure ou égale à la classification de l’objet alors ce sujet a la permission de lire l’information contenue dans l’objet. – No Write Down: Si l’habilitation d’un sujet est inférieure ou égale à la classification de l’objet alors ce sujet a la permission de modifier l’information contenue dans l’objet. ©2004, Marc-André Léger Source: liuppa.univ-pau.fr/seminaires/ 07_04_04/gabillon7avril.ppt Modèles Obligatoires S Read P Write Process S S ©2004, Marc-André Léger Read P Source: liuppa.univ-pau.fr/seminaires/ 07_04_04/gabillon7avril.ppt Modèles Obligatoires • Les 2 règles du modèle de Bell & LaPadula sont mises en œuvre par des contrôles d’accès • Ces 2 règles ne sont pas suffisantes pour garantir le règlement de sécurité multi-niveaux – Un utilisateur peut accéder à de l’information sensible par le biais d’autres moyens que de simples opérations de lecture/écriture: canaux cachés – Ex: Canaux d’inférence ©2004, Marc-André Léger Source: liuppa.univ-pau.fr/seminaires/ 07_04_04/gabillon7avril.ppt Modèles Obligatoires • Avantages – Procurent un niveau de sécurité supérieur aux modèles discrétionnaires • Inconvénients – Assez rigides – Limités à des usages militaires ©2004, Marc-André Léger Source: liuppa.univ-pau.fr/seminaires/ 07_04_04/gabillon7avril.ppt Modèles à base de rôles • Un rôle est une collection de droits • Les droits sont assignés aux rôles • Les rôles sont assignés aux utilisateurs • Un utilisateur peut recevoir plusieurs rôles • L’utilisateur choisit dans ses rôles celui (ou ceux) qu’il veut jouer – Les privilèges de l’utilisateurs sont les privilèges du (des) rôle(s) qu’il a activé(s) ©2004, Marc-André Léger Source: liuppa.univ-pau.fr/seminaires/ 07_04_04/gabillon7avril.ppt Modèles à base de rôles • Les rôles sont organisés hiérarchiquement • Les rôles offrent une grande souplesse dans l’expression du règlement de sécurité • Bien adaptés aux applications commerciales – 1 fonction professionnelle => 1 rôle ©2004, Marc-André Léger Source: liuppa.univ-pau.fr/seminaires/ 07_04_04/gabillon7avril.ppt Modèles à base de rôles • Avantages – Plus puissants que les modèles discrétionnaires – Plus polyvalents que les modèles multi-niveaux – A la mode et de plus en plus implantés (SQL-ORACLE) • Inconvénients – Niveau de sécurité des modèles discrétionnaires – Nécessité de mettre en d’administration des rôles ©2004, Marc-André Léger place une procédure Source: liuppa.univ-pau.fr/seminaires/ 07_04_04/gabillon7avril.ppt VPN Les réseaux privés virtuels Définition : Réseau de communication privé qui peut se servir de l'infrastructure d'un réseau public pour transmettre des données qui sont protégées grâce à l'utilisation de techniques de chiffrement ou d'encapsulation. Sous-entrée(s) : synonyme(s) réseau virtuel n. m. abréviation(s) RPV n. m. Note(s) : Des tunnels virtuels s'établissent dans le réseau public entre les appelants et les appelés. Les communications privées sont sécurisées. ©2004, Marc-André Léger Source: http://www.olf.gouv.qc.ca/ressources/gdt.html Pourquoi avoir besoin de réseaux privés virtuels ? • L’utilisation du protocole Internet (Internet Protocol, IP) comme base des réseaux informatiques est devenue très importante. • Le but de ce protocole n’a jamais été d’assurer des communications sécurisées, d’où l’absence de fonctionnalités dans ce domaine. ©2004, Marc-André Léger Source: http://psimail.insa-rouen.fr/MnemosNet/MNSOrganisation.nsf/0/08513fdef57d1467c1256cec005043e1/$FILE/Les%20r%C3%A9seaux%20priv%C3%A9s%20virtuels.ppt Problématique courante • Nous ne souhaitons pas : – que l’univers puisse accéder par exemple à la comptabilité et aux documents de travail de la société. – la visite des pirates • Nous souhaitons cependant que les employés puissent accéder aux ressources de la société. • Les dispositifs anti-intrusions s’ils empêchent aux indésirables de « rentrer » doivent permettrent aux personnes autorisées d’accéder aux ressources du réseau local, mais comment faire ? ©2004, Marc-André Léger Source: http://psimail.insa-rouen.fr/MnemosNet/MNSOrganisation.nsf/0/08513fdef57d1467c1256cec005043e1/$FILE/Les%20r%C3%A9seaux%20priv%C3%A9s%20virtuels.ppt Solution • Le réseau privé virtuel est la solution apportée à cette problématique. Il permet : – – – – – d’authentifier l’utilisateur qui souhaite établir le tunnel de réaliser le routage des paquets une fois le tunnel établi de crypter les données qui circulent sur le réseau public d’authentifier l’émetteur de chaque paquet d’assurer que le message reçu est conforme à celui envoyé Des protocoles de VPN voient le jour… ©2004, Marc-André Léger Source: http://psimail.insa-rouen.fr/MnemosNet/MNSOrganisation.nsf/0/08513fdef57d1467c1256cec005043e1/$FILE/Les%20r%C3%A9seaux%20priv%C3%A9s%20virtuels.ppt L2F • 1996 le protocole L2F (Layer 2 Forwarding) est né sous l’impulsion conjointe de CISCO, Northern Telecom et Shiva. ©2004, Marc-André Léger Source: http://psimail.insa-rouen.fr/MnemosNet/MNSOrganisation.nsf/0/08513fdef57d1467c1256cec005043e1/$FILE/Les%20r%C3%A9seaux%20priv%C3%A9s%20virtuels.ppt PPTP • Microsoft réplique avec la création du PPTP (Point to Point Tunneling Protocol) en collaboration avec 3-COM, Ascend, US Robotics et ECI Telematics. ©2004, Marc-André Léger Source: http://psimail.insa-rouen.fr/MnemosNet/MNSOrganisation.nsf/0/08513fdef57d1467c1256cec005043e1/$FILE/Les%20r%C3%A9seaux%20priv%C3%A9s%20virtuels.ppt IPSec • En novembre 1998 l’IPSec en tant que standard normalisé fait son apparition sous l’égide de l’IETF (RFC 2401) alors qu’il est développé depuis 1992. ©2004, Marc-André Léger Source: http://psimail.insa-rouen.fr/MnemosNet/MNSOrganisation.nsf/0/08513fdef57d1467c1256cec005043e1/$FILE/Les%20r%C3%A9seaux%20priv%C3%A9s%20virtuels.ppt L2TP • Enfin en août 1999 le L2TP (Layer 2 Tunneling Protocol) est un protocole supposé regrouper en un seul le meilleur du PPTP et du L2F. ©2004, Marc-André Léger Source: http://psimail.insa-rouen.fr/MnemosNet/MNSOrganisation.nsf/0/08513fdef57d1467c1256cec005043e1/$FILE/Les%20r%C3%A9seaux%20priv%C3%A9s%20virtuels.ppt Quelques protocoles «exotiques»… • Certains protocoles rangés dans les technologies VPN ne sont pas listés ici. par exemple le SSL qui ne réponds que partiellement à la définition d’un réseau privé virtuel car la communication privée n’est maintenue que pendant le temps d’une session http. ©2004, Marc-André Léger Source: http://psimail.insa-rouen.fr/MnemosNet/MNSOrganisation.nsf/0/08513fdef57d1467c1256cec005043e1/$FILE/Les%20r%C3%A9seaux%20priv%C3%A9s%20virtuels.ppt Définition VPN • Les réseaux privés virtuels permettent à l’utilisateur de créer un chemin virtuel sécurisé entre une source et une destination Source ©2004, Marc-André Léger Réseau privé virtuel Destination Source: http://psimail.insa-rouen.fr/MnemosNet/MNSOrganisation.nsf/0/08513fdef57d1467c1256cec005043e1/$FILE/Les%20r%C3%A9seaux%20priv%C3%A9s%20virtuels.ppt Plutôt vague… • Cette définition relativement vague démontre bien la difficulté d’appréhender une solution qui laisse de telles possibilités. • Généralement nous réduisons la notion de VPN à une liaison d’un point A vers un point B en traversant les réseaux (non sécurisés) de l’internet. ©2004, Marc-André Léger Source: http://psimail.insa-rouen.fr/MnemosNet/MNSOrganisation.nsf/0/08513fdef57d1467c1256cec005043e1/$FILE/Les%20r%C3%A9seaux%20priv%C3%A9s%20virtuels.ppt Stricto sensu • Cependant stricto sensu une connexion VPN n’a pas besoin d’être établie à travers un large réseau. Une simple liaison locale entre 2 hôtes sur un même réseau (local) peut recourir aux services d’un lien VPN. ©2004, Marc-André Léger Source: http://psimail.insa-rouen.fr/MnemosNet/MNSOrganisation.nsf/0/08513fdef57d1467c1256cec005043e1/$FILE/Les%20r%C3%A9seaux%20priv%C3%A9s%20virtuels.ppt Notion de tunnel • Lorsqu’un réseau privé virtuel est initialisé, on dit que l’on « monte un tunnel ». • Le site distant à la sortie du tunnel sera joignable tel n’importe quel hôte local alors qu’auparavant il ne l’était pas. ©2004, Marc-André Léger Source: http://psimail.insa-rouen.fr/MnemosNet/MNSOrganisation.nsf/0/08513fdef57d1467c1256cec005043e1/$FILE/Les%20r%C3%A9seaux%20priv%C3%A9s%20virtuels.ppt Vie et mort du tunnel • Le tunnel est établi selon des règles précises et sa vie est régie par des protocoles normalisés, normes publiées dans des RFC (Request For Comments) • Le tunnel n’est pas éternel il a une durée de vie limitée : – soit dans le temps, – soit dans le volume de données échangées. Le plus souvent les limites de temps et de volume de trafic sont concurremment établies. ©2004, Marc-André Léger Source: http://psimail.insa-rouen.fr/MnemosNet/MNSOrganisation.nsf/0/08513fdef57d1467c1256cec005043e1/$FILE/Les%20r%C3%A9seaux%20priv%C3%A9s%20virtuels.ppt Réseaux privés virtuels : Principe de base Un client établi un tunnel entre lui et un serveur distant à travers un réseau externe et échange du trafic avec ce site distant. La communication est sécurisée. Site principal Site distant Serveurs Serveurs PWR WIC0 ACT/CH0 WIC0 ACT/CH0 ETH ACT OK ACT/CH1 ACT/CH1 COL Routeur Réseau externe (public ou privé) Routeur client VPN Hôtes divers s/ réseau local Pare-feu avec serveur VPN Pare-feu ex : INTERNET Hôtes divers sur site distant Clients mobiles Ordinateurs portables avec client VPN ©2004, Marc-André Léger Hôtes divers s/ réseau local Hôtes divers s/ réseau local Avec cette architecture type les hôtes sur le site distant, ainsi que les clients mobiles peuvent accéder aux ressources disponibles sur le réseau local du site principal. Les données circulent sur le réseau externe de façon sécurisée (contrôle et cryptage). Source: http://psimail.insa-rouen.fr/MnemosNet/MNSOrganisation.nsf/0/08513fdef57d1467c1256cec005043e1/$FILE/Les%20r%C3%A9seaux%20priv%C3%A9s%20virtuels.ppt Réseaux privés virtuels : Plusieurs tunnels Un client du site distant établi un tunnel entre lui et le firewall du site principal. Il peut maintenant établir une connexion par un second tunnel vers le serveur sécurisé. Site principal Site distant Serveurs Serveurs PW R W IC 0 AC T/CH0 WIC0 ACT/CH 0 ETH ACT OK AC T/CH1 ACT/CH 1 COL Routeur Réseau externe (public ou privé) Routeur client VPN Hôtes divers s/ réseau local Pare-feu avec serveur VPN Pare-feu ex : INTERNET Hôtes divers sur site distant Hôtes divers s/ réseau local Hôtes divers s/ réseau local Vu du côté du client la communication qui utilise 2 tunnels : Hôte A Serveur B Pare-feu avec serveur VPN ©2004, Marc-André Léger Source: http://psimail.insa-rouen.fr/MnemosNet/MNSOrganisation.nsf/0/08513fdef57d1467c1256cec005043e1/$FILE/Les%20r%C3%A9seaux%20priv%C3%A9s%20virtuels.ppt Hôtes finaux • Les hôtes finaux sont des machines situées à l’extrémité d’une communication, de part et d’autre du tunnel. • Ce terme englobe en particulier les serveurs applicatifs ou de données et les postes utilisateurs (station de travail, ordinateur portable...). ©2004, Marc-André Léger Source: http://psimail.insa-rouen.fr/MnemosNet/MNSOrganisation.nsf/0/08513fdef57d1467c1256cec005043e1/$FILE/Les%20r%C3%A9seaux%20priv%C3%A9s%20virtuels.ppt Introduction à la notion d’encapsulation • Lorsque l’adresse de destination de la communication est une adresse située de l’autre côté du tunnel, le paquet n’est pas transmit selon les informations de la table de routage initiale mais « emballé » dans un autre container qui empruntera le tunnel. ©2004, Marc-André Léger Source: http://psimail.insa-rouen.fr/MnemosNet/MNSOrganisation.nsf/0/08513fdef57d1467c1256cec005043e1/$FILE/Les%20r%C3%A9seaux%20priv%C3%A9s%20virtuels.ppt Encapsulation des paquets • A l’image du ferroutage en Suisse où les camions sont embarqués sur des trains, le conducteur ne voit rien de la Suisse et des villes ou villages traversés, mais uniquement une gare d’embarquement et une gare de débarquement. • Le paquet initial ne croit avoir fait qu’un saut (hop) entre l’entrée et la sortie du tunnel, son compteur TTL* n’est décrémenté que d’une unité. ©2004, Marc-André Léger Source: http://psimail.insa-rouen.fr/MnemosNet/MNSOrganisation.nsf/0/08513fdef57d1467c1256cec005043e1/$FILE/Les%20r%C3%A9seaux%20priv%C3%A9s%20virtuels.ppt Schéma de l’encapsulation • Le paquet de départ est encapsulé dans un autre paquet (plus long). Paquet de départ IP Paquet encapsulé dans un autre IP ©2004, Marc-André Léger DONNEES IP DONNEES Source: http://psimail.insa-rouen.fr/MnemosNet/MNSOrganisation.nsf/0/08513fdef57d1467c1256cec005043e1/$FILE/Les%20r%C3%A9seaux%20priv%C3%A9s%20virtuels.ppt Authentification des utilisateurs distants • Les réseaux privés virtuels doivent pour autoriser l’établissement du lien VPN authentifier les utilisateurs qui souhaitent se connecter. • Il existe deux grandes familles de méthodologie d’authentification : • Les annuaires • les certificats. ©2004, Marc-André Léger Source: http://psimail.insa-rouen.fr/MnemosNet/MNSOrganisation.nsf/0/08513fdef57d1467c1256cec005043e1/$FILE/Les%20r%C3%A9seaux%20priv%C3%A9s%20virtuels.ppt Les annuaires • Les annuaires sont des listes d’utilisateurs et de mots de passe. • A chaque utilisateur ou groupe d’utilisateurs est associé des droits d’accès (privilèges). ©2004, Marc-André Léger Source: http://psimail.insa-rouen.fr/MnemosNet/MNSOrganisation.nsf/0/08513fdef57d1467c1256cec005043e1/$FILE/Les%20r%C3%A9seaux%20priv%C3%A9s%20virtuels.ppt Talon d’Achile • La faiblesse est que d’une façon ou d’une autre, en clair ou crypté plus ou moins bien, circule sur le réseau (non sûr à priori) le couple identifiant et mot de passe. • Des outils spécialisés (sniffer) permettent de rechercher ces informations et de tenter de les décrypter. ©2004, Marc-André Léger Source: http://psimail.insa-rouen.fr/MnemosNet/MNSOrganisation.nsf/0/08513fdef57d1467c1256cec005043e1/$FILE/Les%20r%C3%A9seaux%20priv%C3%A9s%20virtuels.ppt Les certificats • Les certificats sont des fichiers binaires contenant une clef identifiant de façon unique l’utilisateur (X509 par exemple). • Les clefs sont signées numériquement par une autorité de certification. • Tous les clients et serveurs d’authentification connaissent de façon sûre et irréfutable les clefs publiques des autorités et des clients (annuaires possibles) • La sécurité se base sur un algorithme mathématique qui permet de d’authentifier de façon « quasi » certaine les utilisateurs. ©2004, Marc-André Léger Source: http://psimail.insa-rouen.fr/MnemosNet/MNSOrganisation.nsf/0/08513fdef57d1467c1256cec005043e1/$FILE/Les%20r%C3%A9seaux%20priv%C3%A9s%20virtuels.ppt Confidentialité par cryptage • Le cryptage est l’application d’algorithmes mathématiques visant à rendre inintelligible les informations cryptées pour quiconque n’ayant pas à en prendre connaissance. • Le cryptage est très ancien, César lui-même cryptait ses communications (ROT 13) ©2004, Marc-André Léger Source: http://psimail.insa-rouen.fr/MnemosNet/MNSOrganisation.nsf/0/08513fdef57d1467c1256cec005043e1/$FILE/Les%20r%C3%A9seaux%20priv%C3%A9s%20virtuels.ppt Confidentialité par cryptage • Le cryptage a connu une seconde naissance lors de la seconde guerre mondiale avec la machine Allemande (Enigma). • Un bon algorithme de cryptage doit pouvoir résister suffisamment longtemps à la cryptanalyse et ne laisser que la méthode dite « brute force » pour être décrypté sans la clef. ©2004, Marc-André Léger Source: http://psimail.insa-rouen.fr/MnemosNet/MNSOrganisation.nsf/0/08513fdef57d1467c1256cec005043e1/$FILE/Les%20r%C3%A9seaux%20priv%C3%A9s%20virtuels.ppt Les équipements VPN Il existe 2 grande famille d’équipements permettant d’établir des VPN : • Boîtiers dédiés • Logiciels ©2004, Marc-André Léger Source: http://psimail.insa-rouen.fr/MnemosNet/MNSOrganisation.nsf/0/08513fdef57d1467c1256cec005043e1/$FILE/Les%20r%C3%A9seaux%20priv%C3%A9s%20virtuels.ppt Les produits pour monter des VPN • Certaines solutions logicielles de sécurité sont fournies avec le système d’exploitation (pptp, ssh), d’autres sont des produits commerciaux à installer sur un environnement donné. • Les boîtes noires dédiées, dites « appliances », sont plus efficaces grâce à la spécialisation extrême de l’environnement interne du boîtier (routeurs firewall par exemple). ©2004, Marc-André Léger Source: http://psimail.insa-rouen.fr/MnemosNet/MNSOrganisation.nsf/0/08513fdef57d1467c1256cec005043e1/$FILE/Les%20r%C3%A9seaux%20priv%C3%A9s%20virtuels.ppt Les principaux acteurs du marché • Les principaux fabricants et éditeurs sont : Alcatel Check Point Cisco Comet Labs Enterasys Lucent Netasq ©2004, Marc-André Léger Netgear Netscreen Nortel Networks Sonicwall Symantec (ex Axent) Watchguard Source: http://psimail.insa-rouen.fr/MnemosNet/MNSOrganisation.nsf/0/08513fdef57d1467c1256cec005043e1/$FILE/Les%20r%C3%A9seaux%20priv%C3%A9s%20virtuels.ppt • Présentation des protocoles (à faire par Dominique) ©2004, Marc-André Léger Source: http://psimail.insa-rouen.fr/MnemosNet/MNSOrganisation.nsf/0/08513fdef57d1467c1256cec005043e1/$FILE/Les%20r%C3%A9seaux%20priv%C3%A9s%20virtuels.ppt IPSec : où intervient-il ? • IPsec s’insère, dans la pile de protocoles TCP/IP, au niveau d’IP. Cela signifie qu’il agit sur chaque paquet IP reçu ou émis et peut soit le laisser passer sans traitement particulier, soit le rejeter, soit lui appliquer un mécanisme de sécurisation. IPSec sécurise les données au niveau des paquets eux-mêmes. ©2004, Marc-André Léger Source: http://psimail.insa-rouen.fr/MnemosNet/MNSOrganisation.nsf/0/08513fdef57d1467c1256cec005043e1/$FILE/Les%20r%C3%A9seaux%20priv%C3%A9s%20virtuels.ppt IP v4 - IP v6 • Toutes les implémentations d’une pile de protocoles TCP/IP conformes à la version six d’IP doivent intégrer IPsec. • En revanche, IPsec est optionnel pour la version actuelle d’IP, IPv4 ©2004, Marc-André Léger Source: http://psimail.insa-rouen.fr/MnemosNet/MNSOrganisation.nsf/0/08513fdef57d1467c1256cec005043e1/$FILE/Les%20r%C3%A9seaux%20priv%C3%A9s%20virtuels.ppt Insertion dans la couche réseau • IPsec au niveau IP présente l’avantage – de le rendre exploitable par les niveaux supérieurs – d’offrir un moyen de protection unique pour toutes les applications. ©2004, Marc-André Léger Source: http://psimail.insa-rouen.fr/MnemosNet/MNSOrganisation.nsf/0/08513fdef57d1467c1256cec005043e1/$FILE/Les%20r%C3%A9seaux%20priv%C3%A9s%20virtuels.ppt Services fournis • IPsec vise à – prévenir les diverses attaques rendues possibles par le protocole IP – empêcher un adversaire d’espionner les données circulant sur le réseau – de se faire passer pour autrui afin d’accéder à des ressources ou données protégées. Là sont les deux principales fonctionnalités de l’IPSec : l’authentification et le cryptage. ©2004, Marc-André Léger Source: http://psimail.insa-rouen.fr/MnemosNet/MNSOrganisation.nsf/0/08513fdef57d1467c1256cec005043e1/$FILE/Les%20r%C3%A9seaux%20priv%C3%A9s%20virtuels.ppt services de sécurité fournis • Sont fournis, suivant les options sélectionnées : - Confidentialité - Authentification - Protection contre le rejeu ©2004, Marc-André Léger Source: http://psimail.insa-rouen.fr/MnemosNet/MNSOrganisation.nsf/0/08513fdef57d1467c1256cec005043e1/$FILE/Les%20r%C3%A9seaux%20priv%C3%A9s%20virtuels.ppt services de sécurité fournis : confidentialité Les données transportées sont cryptées. Il est possible de chiffrer les en-têtes des paquets IP et ainsi masquer les adresses source et destination réelles. On parle alors de protection contre l’analyse du trafic. ©2004, Marc-André Léger Source: http://psimail.insa-rouen.fr/MnemosNet/MNSOrganisation.nsf/0/08513fdef57d1467c1256cec005043e1/$FILE/Les%20r%C3%A9seaux%20priv%C3%A9s%20virtuels.ppt services de sécurité fournis : authentification Est composée de deux services, fournis conjointement par un même mécanisme : – L’authentification de l’origine des données garantit que les données reçues proviennent de l’expéditeur déclaré. – L’intégrité garantit qu’elles n’ont pas été modifiées durant leur transfert. ©2004, Marc-André Léger Source: http://psimail.insa-rouen.fr/MnemosNet/MNSOrganisation.nsf/0/08513fdef57d1467c1256cec005043e1/$FILE/Les%20r%C3%A9seaux%20priv%C3%A9s%20virtuels.ppt services de sécurité fournis : Protection contre le rejeu • La protection contre le rejeu permet de détecter une tentative d’attaque consistant à envoyer de nouveau un paquet valide intercepté précédemment sur le réseau grâce à un mécanisme cryptographique. ©2004, Marc-André Léger Source: http://psimail.insa-rouen.fr/MnemosNet/MNSOrganisation.nsf/0/08513fdef57d1467c1256cec005043e1/$FILE/Les%20r%C3%A9seaux%20priv%C3%A9s%20virtuels.ppt AH et ESP • Les services de sécurité mentionnés cidessus sont fournis au moyen de deux extensions du protocole IP appelées – AH (Authentication Header – RFC 2402) – ESP (Encapsulating Security Payload – RFC 2406) ©2004, Marc-André Léger Source: http://psimail.insa-rouen.fr/MnemosNet/MNSOrganisation.nsf/0/08513fdef57d1467c1256cec005043e1/$FILE/Les%20r%C3%A9seaux%20priv%C3%A9s%20virtuels.ppt Authentification Header • AH est conçu pour assurer l’authenticité des datagrammes IP sans chiffrement des données (i.e. sans confidentialité). • Le principe d’AH est d’adjoindre au datagramme IP classique un champ supplémentaire permettant à la réception de vérifier l’authenticité des données incluses dans le datagramme. Un numéro de séquence permet de détecter les tentatives de rejeu. ©2004, Marc-André Léger Source: http://psimail.insa-rouen.fr/MnemosNet/MNSOrganisation.nsf/0/08513fdef57d1467c1256cec005043e1/$FILE/Les%20r%C3%A9seaux%20priv%C3%A9s%20virtuels.ppt Authentification Header IP V4 IP IP V4 + IPSec ou IP V6 ©2004, Marc-André Léger IP DONNEES AH DONNEES Source: http://psimail.insa-rouen.fr/MnemosNet/MNSOrganisation.nsf/0/08513fdef57d1467c1256cec005043e1/$FILE/Les%20r%C3%A9seaux%20priv%C3%A9s%20virtuels.ppt Encapsulating Security Payload • ESP a pour rôle premier d’assurer la confidentialité mais peut aussi assurer l’authenticité des données. • Le principe d’ESP est de générer, à partir d’un datagramme IP classique, un nouveau datagramme dans lequel les données et éventuellement l’en-tête original, sont chiffrés. • ESP peut également assurer l’authenticité des données par ajout d’un bloc d’authentification et la protection contre le rejeu par le biais d’un numéro de séquence. ©2004, Marc-André Léger Source: http://psimail.insa-rouen.fr/MnemosNet/MNSOrganisation.nsf/0/08513fdef57d1467c1256cec005043e1/$FILE/Les%20r%C3%A9seaux%20priv%C3%A9s%20virtuels.ppt Encapsulating Security Payload Authentification seule : IP V4 IP IP V4 + IPSec ou IP V6 ©2004, Marc-André Léger IP DONNEES ESP DONNEES Auth Source: http://psimail.insa-rouen.fr/MnemosNet/MNSOrganisation.nsf/0/08513fdef57d1467c1256cec005043e1/$FILE/Les%20r%C3%A9seaux%20priv%C3%A9s%20virtuels.ppt AH et ESP • Ces deux extensions peuvent être utilisées séparément ou combinées pour obtenir les services de sécurité requis. • AH et ESP sont basés sur l’utilisation d’algorithmes cryptographiques et ne sont pas restreints à un algorithme particulier. Ils sont utilisables avec de nombreux algorithmes. ©2004, Marc-André Léger Source: http://psimail.insa-rouen.fr/MnemosNet/MNSOrganisation.nsf/0/08513fdef57d1467c1256cec005043e1/$FILE/Les%20r%C3%A9seaux%20priv%C3%A9s%20virtuels.ppt Quelques algorithmes • • • • • • NULL (pas de chiffrement), CAST-128 (clef de 40 à 128 bits), Blowfish (40-448 bits), RC5 (40-2040 bits), DES (56 bits) 3DES ou triple DES (clef de 168 bits mais de force équivalente à 112bits) • AES ©2004, Marc-André Léger Source: http://psimail.insa-rouen.fr/MnemosNet/MNSOrganisation.nsf/0/08513fdef57d1467c1256cec005043e1/$FILE/Les%20r%C3%A9seaux%20priv%C3%A9s%20virtuels.ppt Service minimum • Pour garantir l’interopérabilité entre les équipements, la norme IPsec sont obligatoires dans toute implémentation conforme d’IPsec : – DES-CBC et 3DES-CBC pour le chiffrement. – HMAC-MD5 et HMAC-SHA-1 pour l’authentification ©2004, Marc-André Léger Source: http://psimail.insa-rouen.fr/MnemosNet/MNSOrganisation.nsf/0/08513fdef57d1467c1256cec005043e1/$FILE/Les%20r%C3%A9seaux%20priv%C3%A9s%20virtuels.ppt Mode transport et mode tunnel • Le mode transport protège uniquement le contenu du paquet IP sans toucher à l’en-tête • Dans ce mode les hôtes de la communication sont au départ déjà accessibles. • L’intérêt de ce mode est uniquement la protection des flux. ©2004, Marc-André Léger Source: http://psimail.insa-rouen.fr/MnemosNet/MNSOrganisation.nsf/0/08513fdef57d1467c1256cec005043e1/$FILE/Les%20r%C3%A9seaux%20priv%C3%A9s%20virtuels.ppt Mode transport et mode tunnel • Le mode tunnel permet la création de tunnels par “encapsulation” de chaque paquet IP dans un nouveau paquet. • La protection porte sur tous les champs des paquets IP y compris sur les champs des entêtes (adresses source et destination par exemple). • Ce mode est généralement utilisé par les équipements réseau (routeurs, gardesbarrières...). ©2004, Marc-André Léger Source: http://psimail.insa-rouen.fr/MnemosNet/MNSOrganisation.nsf/0/08513fdef57d1467c1256cec005043e1/$FILE/Les%20r%C3%A9seaux%20priv%C3%A9s%20virtuels.ppt Mode transport et mode tunnel ©2004, Marc-André Léger Source: http://psimail.insa-rouen.fr/MnemosNet/MNSOrganisation.nsf/0/08513fdef57d1467c1256cec005043e1/$FILE/Les%20r%C3%A9seaux%20priv%C3%A9s%20virtuels.ppt se mettre d’accord sur les paramètres à utiliser… • Afin d’échanger des données de façon sécurisée, il est nécessaire, dans un premier temps, de se mettre d’accord sur les paramètres à utiliser, et notamment d’échanger des clefs de façon sûre. ©2004, Marc-André Léger Source: http://psimail.insa-rouen.fr/MnemosNet/MNSOrganisation.nsf/0/08513fdef57d1467c1256cec005043e1/$FILE/Les%20r%C3%A9seaux%20priv%C3%A9s%20virtuels.ppt La bonne vieille méthode : manuellement • la gestion manuelle, consiste à laisser l’administrateur configurer manuellement chaque équipement utilisant IPsec avec les paramètres appropriés. • Inadapté aux gros réseaux • requiert une définition statique des paramètres • non renouvellement des clefs. • La première version d’IPsec, parue en 1995, se basait sur cette méthode manuelle pour la configuration des équipements. ©2004, Marc-André Léger Source: http://psimail.insa-rouen.fr/MnemosNet/MNSOrganisation.nsf/0/08513fdef57d1467c1256cec005043e1/$FILE/Les%20r%C3%A9seaux%20priv%C3%A9s%20virtuels.ppt La méthode automatique • La seconde approche est la gestion automatique au moyen d’un protocole approprié. Les développements dans ce domaine ont abouti à un protocole de gestion des paramètres relatifs à IPsec connu sous le nom de IKE (Internet Key Exchange – RFC 2409). • IKE se charge de la gestion de tous les paramètres relatifs à la sécurisation des échanges : - négociation des clefs et paramètres - mise à jour des clefs et paramètres - suppression des anciennes clefs ©2004, Marc-André Léger Source: http://psimail.insa-rouen.fr/MnemosNet/MNSOrganisation.nsf/0/08513fdef57d1467c1256cec005043e1/$FILE/Les%20r%C3%A9seaux%20priv%C3%A9s%20virtuels.ppt Secret partagé ou clefs publiques • IKE inclut, au début de la négociation, une authentification mutuelle des tiers communicants qui peut se baser : • sur un secret partagé préalable (shared secret) • sur des clefs publiques. ©2004, Marc-André Léger Source: http://psimail.insa-rouen.fr/MnemosNet/MNSOrganisation.nsf/0/08513fdef57d1467c1256cec005043e1/$FILE/Les%20r%C3%A9seaux%20priv%C3%A9s%20virtuels.ppt Clefs publiques • L’échange des clefs publiques utilisées par IKE peut se faire – soit manuellement, – soit par un échange de certificats en ligne, – soit par le biais d’une infrastructure à clefs publiques (Public Key Infrastructure, PKI) extérieure. Il ne faut pas confondre le protocole d’échange de clefs qu’est IKE avec le protocole d’échange de paramètres de sécurité qu’est ISAKMP. (RFC 2407 et 2408) ©2004, Marc-André Léger Source: http://psimail.insa-rouen.fr/MnemosNet/MNSOrganisation.nsf/0/08513fdef57d1467c1256cec005043e1/$FILE/Les%20r%C3%A9seaux%20priv%C3%A9s%20virtuels.ppt Internet Security Association and Key Management Protocol • ISAKMP a pour rôle la négociation, l’établissement, la modification et la suppression des associations de sécurité et de leurs attributs. • ISAKMP est un cadre générique indépendant des mécanismes en faveur desquels la négociation a lieu. • ISAKMP peut être implémenté directement au dessus d’IP ou au dessus de tout protocole de la couche transport. Le port UDP 500 lui est attribué par l’IANA. ©2004, Marc-André Léger Source: http://psimail.insa-rouen.fr/MnemosNet/MNSOrganisation.nsf/0/08513fdef57d1467c1256cec005043e1/$FILE/Les%20r%C3%A9seaux%20priv%C3%A9s%20virtuels.ppt