VPN
Transcription
VPN
Ch 7: Securing Site-to-Site Connectivity Connecting Networks Chapitre 7 1 Agenda Introduction aux VPNs 7.1.1.2 Benefits of VPNs 7.1.2.3 Activity - Compare Types of VPNs 7.2 Site-to-Site GRE Tunnels 7.2.2.3 Packet Tracer - Configuring GRE 7.2.2.4 Packet Tracer - Troubleshooting GRE 7.3 Introducing Ipsec 7.1.2.4 Packet Tracer - Configuring VPNs (Optional) 7.3.2.8 Packet Tracer - Configuring GRE over IPsec (Optional) 7.4 Remote Access TP GSB PtS StS Skill exam Ch7 Exam QCM 2 Objectifs du chapitre Describe benefits of VPN technology. Describe site-to-site and remote access VPNs. Describe the purpose and benefits of GRE tunnels. Configure a site-to-site GRE tunnel. Describe the characteristics of IPsec. Explain how IPsec is implemented using the IPsec protocol framework. Explain how the Anyconnect client and clientless SSL remote access VPN implementations support business requirements. Compare IPsec and SSL remote access VPNs. 3 Chapter 7: Introduction Security is a concern when using the public Internet to conduct business. Virtual Private Networks (VPNs) are used to ensure the security of data across the Internet. A VPN is used to create a private tunnel over a public network. Data can be secured by using encryption in this tunnel through the Internet and by using authentication to protect data from unauthorized access. This chapter explains the concepts and processes related to VPNs, as well as the benefits of VPN implementations, and the underlying protocols required to configure VPNs. 4 7.1 VPNs 7.1.1 Fundamentals of VPNs • 7.1.1.1 Introducing VPNs • 7.1.1.2 Benefits of VPNs • 7.1.1.3 Activity - Identify the Benefits of VPNs 7.1.2 Types of VPNs • 7.1.2.1 Site-to-Site VPNs • 7.1.2.2 Remote-access VPNs • 7.1.2.3 Activity - Compare Types of VPNs • 7.1.2.4 Packet Tracer - Configuring VPNs (Optional) 5 L’extension du LAN présente des risques L’extension du réseau local privé pour inclure les employés à distance présente un risque. Sécurité du réseau privé virtuel L’accès à distance par VPN aux ressources d’un site central est considéré comme « fiable», Emplacement du serveur VPN Les données chiffrées ne peuvent pas être filtrées avant déchiffrement 6 Introduction au RPV - VPN Les entreprises ont recours aux VPN-RPV pour fournir un accès réseau de bout en bout aux utilisateurs distants via un réseau étendu public. Plutôt que d’utiliser comme une ligne louée une connexion dédiée de couche 2, un VPN utilise des connexions virtuelles routées via Internet. Le trafic est souvent chiffré pour conserver son caractère privé. 7 Avantages des RPV- VPN Économie : Mutualiser un transport tiers (Internet) et économique. Suppression des LS. • Sécurité Grâce à la large bande, les RPV réduisent les coûts de connectivité en augmentant la bande passante de connexion distante. Le chiffrement et l’authentification protègent les données transportées (payload). Évolutivité : Les RPV utilisent l’infrastructure Internet, • facilitant l’ajout de nouveaux utilisateurs pour les entreprises. • Possibilité d’augmenter leurs capacités sans élargir sensiblement leur infrastructure. 8 7.1.1.3 Activity - Identify the Benefits of VPNs 9 Typologie des VPN VPN d’entreprise • VPN-RPV d’accès (poste clients distants à site) – • RPV de site à site. – • VPN Remote Access VPNs Site-to-Site VPNs RPV de poste à poste. Opérateur MPLS 10 VPN-RPV site à site Pour connecter des sites éloignés de la même façon qu’on utilise une ligne louée ou une connexion Frame Relay ou autre technologies WAN Les RPV de site à site sont des extensions pour l’Intranet des entreprises et les Extranet de leurs partenaires. 11 Avantages, Inconvénients du VPN site à site Avantages Transparence des postes réseaux • Meilleure performance • Un nombre réduit d’équipements à configurer Trafic plus simple à contrôler • Cryptage pris en charge par des équipements spécialisés Administration simplifiée • Possibilité d’atteindre des équipements ne pouvant pas accueillir de logiciel client VPN Les flux passent par les mêmes équipements Inconvénients Nécessite une infrastructure réseaux plus complexe et plus couteuse • Pas de chiffrement avant le pare-feu ou routeur VPN • Equipements spécialisés Risque de capture de données sensibles Ralentit les communications entre les 2 sites • Toutes les données seront dans le tunnel 12 VPN-RPV d’accès ou de Poste à site PtS Successeur des réseaux commutés couteux, les RPV d’accès distants ou de poste à site peuvent connecter des télétravailleurs ou utilisateurs nomades. Chaque hôte nomade dispose d’un logiciel client VPN 13 Avantages, Inconvénients du RPV poste à site Avantages Indépendant de la localisation de l’utilisateur • Un accès internet suffit Protection totale des communication du poste Inconvénients Logiciel client VPN nécessaire • Cryptage exécuter par le poste client VPN • Dégradation des performances Les communications VPN doivent traverser le parefeu du réseau du poste client VPN • Souvent dépendant du serveur VPN du site et peut poser problème lors de communications VPN vers plusieurs sites (plusieurs client ipsec mal supporté) Pas toujours compatible avec le filtrage En cas de vol du poste client ! • Nécessite des mécanismes d’authentification forte 14 7.1.2.3 Activity - Compare Types of VPNs 15 Remote Dial-up Vs VPN Dial-up Remote User Client Service VPN Network Server Server Service Services TCP/IP NetBEUI TCP/IP NetBEUI Protocols LAN Adapter Modem LAN Adapter Modem Adapters Point-to-Point Protocol 1 2 Line Protocols Remote User Network Server Client Service Server Service TCP/IP NetBEUI LAN VPN Modem Adapter Driver TCP/IP NetBEUI LAN VPN Modem Adapter Driver Tunnel 3 16 VPN Opérateur MPLS Exemple http://www.magic.fr/securite/vpn/mpls.php?g clid=CO-uh6S4gbcCFbMQtAod52sASw 17 VPN Opérateur MPLS Exemple http://www.magic.fr/securite/vpn/mpls.php?gclid=C O-uh6S4gbcCFbMQtAod52sASw 18 19 Caractéristiques des VPN Les RPV ont recours à des techniques de chiffrement avancées pour garantir le vecteur CIA Confidentialité des données: encapsulation et chiffrement • Intégrité des données: hachage • protéger les données contre l’écoute électronique (usurpation) et le rejeu. garantir qu’aucune altération n’a été apportée aux données. Authentification : signature empreinte - certificats • • garantir que seuls les expéditeurs et périphériques autorisés accèdent au réseau. L’identité est vérifiée à partir – • • • des mots de passe, des certificats numériques, des cartes à puce voire la biométrie. 20 Composants du réseau privé virtuel Les RPV s’appuient sur deux composants principaux : Transmission encapsulée dans un tuyau privé (le tunnel) pour créer le réseau virtuel ; Chiffrement pour la confidentialité et la sécurité. 21 Protocoles de « Transmission tunnel » 22 Processus d’encapsulation & tunnel La transmission « tunnel » encapsule un paquet au sein d’un autre qui sera envoyé sur le réseau . Trois classes de protocole utilisées par la transmission tunnel: Protocole de l’opérateur : • Protocole d’encapsulation : • Protocole sur lequel circulent les informations (Frame Relay, ATM, MPLS). Protocole qui conditionne les données originales (GRE, IPSec, L2F, PPTP, L2TP). Protocole passager ou encapsulé • Protocoles réseau à l’origine des données à transférer (IPv4, IPv6 …). 23 24 Protocoles de tunnel de RPV Les tunnels de RPV sont créés avec des protocoles d’encapsulation différents tels que: Couche 1 physique • Couche 2 liaison • Protocole L2F (Layer 2 Forwarding) • Protocole PPTP (Point-to-Point Tunneling Protocol) • Protocole L2TP (Layer 2 Tunneling Protocol) Couche 3 • Encapsulation générique de routage (GRE) • IP Sécurisé (IPSec) Couche >3 • Boîtier chiffrant TLS/SSL, SSH Tous les protocoles n’offrent pas le même niveau de sécurité. 25 Standards des Protocoles de tunnel VPN 26 7.2 Site-to-Site GRE Tunnels 7.2.1 Fundamentals of Generic Routing Encapsulation • 7.2.1.1 Introduction to GRE • 7.2.1.2 Characteristics of GRE • 7.2.1.3 Activity - Identify GRE Characteristics 7.2.2 Configuring GRE Tunnels • 7.2.2.1 GRE Tunnel Configuration • 7.2.2.2 GRE Tunnel Verification • 7.2.2.3 Packet Tracer - Configuring GRE • 7.2.2.4 Packet Tracer - Troubleshooting GRE • 7.2.2.5 Lab - Configuring a Point-to-Point GRE VPN Tunnel • 7.5.1.3 Summary 27 GRE (Generic Route Encapsulation) GRE (Encapsulation Générique de Routage) protocole de niveau 3 Souvent utilisé en association avec IPsec ou PPTP GRE développé par Cisco encapsule n'importe quel paquet de la couche réseau dans n'importe quel paquet de la couche réseau. • Le paquet d'origine est le « payload » du paquet final. Pas de mécanismes de sécurité renforcée prévus dans GRE 28 Encapsulation GRE GRE encapsule l'ensemble du paquet IP d'origine dans un paquet GRE « réencapsulé » dans un nouveau datagramme IP. L’en-tête de tunnel GRE contient deux champs de 2 octets: • drapeau GRE • Type de protocole 29 7.2.1.3 Activity - Identify GRE Characteristics 30 5 Etapes de création d’un tunnel GRE Etape 1. création d'une interface de tunnel. Étape 2. Affectation du tunnel une adresse IP. Étape 3. Identification de l'interface physique source de tunnel. Étape 4. L'identification de l’@ PI destination du tunnel. Étape 5. Configuration le protocole à encapsuler par GRE 31 32 Avantages / Inconvénients de tunnel GRE Avantages : GRE peut acheminer du trafic non IP sur un réseau IP. GRE prend en charge et le trafic de diffusion, contrairement à IPSec, qui ne prend en charge que le trafic unicast, Simple à mettre en œuvre Inconvénient GRE ne prévoit pas de cryptage. 33 7.2.2.3 Packet Tracer - Configuring GRE 7.2.2.4 Packet Tracer - Troubleshooting GRE 34 IPsec (Internet Protocol Security) 35 7.3 Introducing IPsec 7.3.1 Internet Protocol Security 7.3.1.1 IPsec 7.3.1.2 IPsec Security Services 7.3.2 IPsec Framework 7.3.2.1 Confidentiality with Encryption 7.3.2.2 Encryption Algorithms 7.3.2.3 Diffie-Hellman Key Exchange 7.3.2.4 Integrity with Hash Algorithms 7.3.2.5 IPsec Authentication 7.3.2.6 IPsec Protocol Framework 7.3.2.7 Activity - Identify IPsec Terminology and Concepts 7.3.2.8 Packet Tracer - Configuring GRE over IPsec (Optional) 36 Introduction IPsec la suite de protocoles Ipsec conçu au départ pour IPv6 fut adaptée pour IPv4. IPSec est un protocole de sécurité au sein de la couche réseau, développé pour fournir un service de sécurité à base de cryptographie, permettant de garantir : la confidentialité, l’intégrité et l’authenticité des données l’origine des homologues par l’authentification ainsi que la non répudiation et le non rejeu L'intérêt majeur d’un VPN sur Ipsec méthode standard et par conséquent interopérable. 37 7.3.1.2 IPsec Security Services 38 Les services proposés par IPSec Confidentialité des données échangées : Intégrité des données échangées : Chiffrer le contenu de chaque paquet IP. IPSec permet de s'assurer qu'aucun paquet n'a subit de modification quelconque (attaque dite active) durant son trajet. Authentification des extrémités : protocole de niveau 3 qui ne fournit donc qu'une authentification de niveau égal, c-a-d une authentification des machines IP mettant en oeuvre le protocole et non utiisateurs Authenticité des données : Protection contre le rejeu : permet de s'assurer, pour chaque paquet échangé a bien été émis par la bonne machine et qu'il est bien à destination de la seconde machine. IPSec permet de se prémunir contre les attaques consistant à capturer un ou plusieurs paquets dans le but de les envoyer à nouveau (sans pour autant les avoir déchiffrés) pour bénéficier des même avantages que l'envoyeur initial. Protection contre les écoutes et analyses de trafic : le mode tunneling IPSec permet de chiffrer les @ IP réelles source et destination, ainsi que tout l'en-tête IP 39 Confidentialité Assurée par le chiffrement symétrique ou asymétrique 40 Algorithmes de chiffrement symétriques DES (Data Encryption Standard) : Chiffrement à clé symétrique. développée par IBM. DES utilise une clé 56 bits, ce qui garantit un chiffrement haute performance. 41 Algorithmes de chiffrement symétriques …/… 3DES (Triple DES) : 3DES fonctionne de la même façon que DES, c'est-à-dire que les données sont réparties en blocs de 64 bits. 3DES traite ensuite chaque bloc trois fois, chaque fois avec une clé de 56 bits différente. 3DES fournit une puissance de chiffrement considérable par rapport à DES 56 bits. AES (Advanced Encryption Standard) : Chiffrement à clé symétrique. AES offre une meilleure sécurité par rapport à DES. le NIST (National Institute of Standards and Technology) a récemment adopté la norme AES pour remplacer le chiffrement DES existant dans les périphériques cryptographiques. AES offre trois longueurs de clé différentes : 128, 192 et 256 bits. 42 Algorithmes de chiffrement asymétriques …/… RSA (Rivest, Shamir et Adleman): RSA est chiffrement à clé asymétrique. Ce système utilise une longueur de clé de 512, 768, 1024 bits ou plus. IPSec n’utilise pas RSA pour le chiffrement des données. • Mais IKE utilise uniquement le chiffrement RSA au cours de la phase d’authentification des homologues. 43 Démonstration RSA Voir http://www.securecottage.com/demo/rsa2.html 44 L’accord de Diffie-Hellman (DH) Au lieu de configurer les clés manuellement « en statique ». Les clés peuvent également être définies par l’utilisation d’une méthode d’échange de clés. L’accord de clé Diffie-Hellman (DH) est l’une méthode publique d’échange de clés les plus courantes. • DH constitue un moyen pour deux homologues d’établir une clé secrète partagée, reconnue par eux seuls, lorsqu’ils communiquent sur un canal non sécurisé. Le groupe Diffie-Hellman précisent la longueur de chiffrement à utiliser. • • • DH GROUPE 1 : utilise la cryptographie 768 bits. DH GROUPE 2 : utilisation de la cryptographie 1 024 bits. (PIX Firewall et Cisco ASA uniquement DH GROUPE 5 : Spécifie l’utilisation de la cryptographie 1 536 bits. 45 Intégrité Un algorithme d’intégrité des données ajoute un condensat ou une signature (hachage) au message. Hachage = empreinte numérique de n bits calculer à partir d'un fichier numérique et d’une fonction cryptographique. le message reçu est considéré comme une copie exacte du message transmis. Si le hachage transmis = au hachage du message reçu 46 2 algorithmes HMAC les plus courant MD5 (Message Digest 5) : • • algorithme MD5 utilise une clé secrète partagée de 128 bits. Calcule à partir d'un fichier numérique, son empreinte numérique de 128 bits • Ce résultat dit hachage 128 bits est ajouté au message original • plus ancien et moins sûr SHA-1 (Secure Hash Algorithm 1) : • • algorithme SHA1 utilise une clé secrète de 160 bits. Le résultat est un hachage 160 bits ajouté au message original et transmis à l’extrémité distante. 47 Authentication Ipsec permet deux types d'authentifications, PSK (Pre-Shared Key ou secret partagé) pour la génération de clefs de sessions ou à l'aide de certificats/signatures (RSA). Remote office Corporate Office Internet HR servers Peer authentication 48 Authentication Local Peer Auth. Key Remote Router + ID Information Auth. Key + ID Information Hash Hash Internet Authenticating hash (Hash_I) Computed hash (Hash) = Received hash (Hash_I) 49 Signatures par certificat numérique In modern times, a signed document is notarized with a seal and a signature. 50 51 IOS cryptosystem synthèse 52 Exercice D4 8.3.6 53 Exercice D4 8.3.6 54 7.3.2.7 Activity - Identify IPsec Terminology and Concepts 55 7.3.2.7 Activity - Identify IPsec Terminology and Concepts 56 7.3.2.7 Activity - Identify IPsec Terminology and Concepts 57 Les deux types de transformation IPsec Deux types de transformations de données sont prévus pour IPSec en En fonction du niveau de sécurité souhaitée: 58 Cadre d’implémentation d’IPsec IPsec fournit le cadre et l’administrateur choisit les algorithmes pour l’implémentation des services de sécurité dans ce cadre 59 Architecture IPsec 60 Deux modes de fonctionnement Ipsec Indépendamment des deux sous protocoles AH/ESP, deux modes principaux de mise en œuvre sont possibles : Le mode transport : • • • seules les données en provenance des couches supérieures à la couche IPSec vont être protégées ne modifie pas l'en-tête initial mais s'intercale entre le protocole réseau (IP) et le protocole de transport (TCP, UDP...). utilisé pour acheminer les données de type Host-to-Host – On peut choisir le protocole AH, ESP ou les deux. 61 Deux modes de fonctionnement Ipsec Le mode tunnel : IPsec crée un tunnel pour la communication entre deux machines pour bien sécuriser les données. Ce mode crée un nouveau paquet IP encapsulant le paquet IP qui doit être transporté. remplace les en-têtes IP originaux et encapsule la totalité du paquet IP. • Par exemple, l‘@ IPA externe pourra être celle de la passerelle de sécurité implémentant IPSec, et l'adresse IPB interne sera celle de la machine finale, sur le réseau derrière la passerelle. 62 Synthèse des 2 modes principaux 63 Le 3éme mode ipsec : le Nesting Mode hybride qui utilise les 2 AH et ESP. encapsuler de l'IPSec dans de l'IPSec. 64 Le protocole AH À utiliser si la confidentialité n’est pas requise ou autorisée. assure par un mécanisme de signature chiffrée l’authentification et l’intégrité des données IP. • Vérifie qu’aucun message transmis n’a été modifié lors du transit. • Vérifie également que les données proviennent bien de la source. 65 Authentication Header (AH) Si le protocole AH est utilisé seul, la protection est faible. • AH ne garantit pas la confidentialité (chiffrement) des données dans les paquets. AH mode transport AH mode Tunnel 66 Les différents mode d’utilisation d’Ipsec AH 67 Le protocole ESP Assure confidentialité et l’authentification Le chiffrement des paquets IP masque les données et l’identité de leur source et de leur destination. ESP authentifie le paquet IP interne et l’en-tête ESP. identifier la source des données et garantir leur intégrité. 68 Exemple de capture ESP 69 Encapsulating Security Payload (ESP) mode Transport mode Tunnel 70 71 7.3.2.8 Packet Tracer - Configuring GRE over IPsec (Optional) 72 7.4 Remote Access 7.4.1 Remote-access VPN Solutions 7.4.1.1 Types of Remote-access VPNs 7.4.1.2 Cisco SSL VPN 7.4.1.3 Cisco SSL VPN Solutions 7.4.1.4 Activity – Compare Cisco SSL VPN Solutions 7.4.2 IPsec Remote-access VPNs 7.4.2.1 IPsec Remote Access 7.4.2.2 Cisco Easy VPN Server and Remote 7.4.2.3 Cisco Easy VPN Client 7.4.2.4 Comparing IPsec and SSL 7.4.2.5 Activity - Identify Remote-Access Characteristics 73 7.4.1.1 Types of Remote-access VPNs Deux méthodes principales pour le déploiement d'accès à distance VPN : SSL ‘Secure Sockets Layer) IPsec (IP Security ) 74 7.4.1.3 Cisco SSL VPN Solutions Cisco AnyConnect Secure Mobility Client with SSL Cisco Secure Mobility Clientless SSL VPN 75 7.4.2.1 IPsec Remote Access De nombreuses applications nécessitent la sécurité d'une connexion VPN avec accès à distance IPsec pour l'authentification et le cryptage des données La fonctionnalité de la solution Cisco Easy VPN offre une grande flexibilité 76 7.4.2.3 Cisco Easy VPN Client IPsec Exemple de Cisco VPN Client 77 7.4.2.4 Comparing IPsec and SSL Selon ses besoins, une entreprise peut mettre en œuvre l’un ou les deux IPsec dépasse SSL sur plusieurs aspects importants : Nombre d'applications pris en charge – robustesse du cryptage et de l’authentification SSL apporte une facilité de déploiement et d’utilisation supérieure 78 7.4.2.5 Activity - Identify Remote-Access Characteristics 79 Illustrations, Exercices RPV/VPN 80 Tunnels classiques et partagés Les clients du réseau privé virtuel reçoivent une interface réseau logique avec une adresse IPv4 significative sur le réseau interne du site central 81 Exercice 82 Site central 83 Site central 84 85 86 Explo4- 637-Observer une simulation Observer une simulation d’une petite société dont la connectivité Internet a été configurée avec deux routeurs. L’un se trouve sur le site central et le second sur le site de l’agence. Ils souhaitent accéder aux ressources entre les deux sites mais pensent que le trafic Internet n’est pas sécurisé. Pour y remédier, l’implémentation d’un réseau privé virtuel de site à site à été recommandée entre les deux sites. Un réseau privé virtuel permettrait au site de l’agence de se connecter au site central de manière sécurisée, en créant un tunnel chargé de chiffrer et de déchiffrer les données. En vous reportant au diagramme de topologie, vous utiliserez l’utilitaire de configuration Web du routeur Linksys pour définir les paramètres et pour activer un réseau privé virtuel appelé Site à Site en utilisant l’authentification MD5, le chiffrement 3DES et la clé pré-partagée cisco123. 87 Configuration du Site central 88 Configuration du Site central 89 Configuration Agence 90 Configuration Agence 91 Résumé Un RPV est une extension du LAN « privé interne ». Vers des agences ou des télétravailleurs (intranet), des partenaires (extranet) Les RPV transmettent les informations en toute sécurité sur des réseaux partagés ou publics, comme Internet. Les 2 catégorie de RPV sont : RPV de site à site : • Réseaux privés virtuels d’accès distant : • Extension du réseau étendu classique via une passerelle (routeur, pare-feu …) qui encapsule les paquets Chaque hôte dispose du logiciel client VPN Les RPV s’appuient sur deux composants principaux : la transmission (encapsulation) tunnel, pour créer le réseau virtuel ; le chiffrement, pour la confidentialité et la sécurité. 92 Résumé RPV Les méthodes de transmission tunnel incluent : l’encapsulation générique de routage GRE, la sécurité IP (IPSec) ; les protocoles LF2 (Layer 2 Forwarding) , PPTP (Point-to-Point Tunneling Protocol) et L2TP (Layer 2 Tunneling Protocol). SSL/TLS Les 2 types d’algorithmes de chiffrement des RPV sont : Les algorithmres symétriques • DES (Data Encryption Standard) et 3DES; AES (Advanced Encryption Standard) et les algorithmres asymétriques : • RSA (Rivest, Shamir et Adleman). 93 Résumé Ipsec Présentation Réalisée dans le but de fonctionner avec le protocole IPv6, la suite de protocoles IPsec fut adaptée pour IPv4. Son objectif est d'authentifier et de chiffrer les données : le flux ne pourra être « compréhensible » que par le destinataire final (chiffrement) et la modification des données par des intermédiaires ne pourra être possible (intégrité). 94 Résumé Ipsec Fonctionnement Lors de l'établissement d'une connexion IPsec, plusieurs opérations sont effectuées : Échange des clés un canal d'échange de clés, sur une connexion UDP depuis et vers le port 500 (ISAKMP pour Internet Security Association and Key Management Protocol), défini dans la RFC 2408 Le protocole IKE (Internet Key Exchange) est chargé de négocier la connexion. • Avant qu'une transmission IPSec puisse être possible, IKE est utilisé pour authentifier les deux extrémités d'un tunnel sécurisé en échangeant des clés partagées. Ce protocole permet deux types d'authentifications, PSK (Pre-Shared Key ou secret partagé) pour la génération de clefs de sessions ou à l'aide de certificats/signatures RSA. Une signature est un certificat signé par une tierce-partie appelée Autorité de certification qui offre l'Authentification 95 Résumé IPsec IPSec utilise une association de sécurité SA (Security Association) pour dicter comment les parties vont faire usage de AH et de l'encapsulation de la charge utile d'un paquet. Une association de sécurité (SA) est l'établissement d'information de sécurité partagée entre deux entités de réseau pour soutenir la communication protégée. Une SA peut être établie par une intervention manuelle ou par ISAKMP (Internet Security Association and Key Management Protocol). ISAKMP est défini dans la RFC 2408 comme un cadre pour établir, négocier, modifier et supprimer des SA entre deux parties. En centralisant la gestion des SA, ISAKMP réduit la quantité de fonctionnalité reproduite dans chaque protocole de sécurité. ISAKMP réduit également le nombre d'heures exigé par l'installation de communications, en négociant tous les services simultanément 96 Résumé IPsec Pour véhiculer le trafic des données deux protocoles sont possibles : AH (Authentication Header) port no 51 qui fournit l'intégrité et l'authentification. • AH authentifie les paquets en les signant, ce qui assure l'intégrité de l'information. – Une signature unique est créée pour chaque paquet envoyé ce qui garantit sa conformité. ESP (Encapsulating Security Payload) port no 50, fournit en plus de l'intégrité et de l'authentification la confidentialité par l'entremise de la cryptographie. 97 Synthèse des modes de mise en oeuvre 98 Résumé Ipsec - Modes de fonctionnement Indépendamment des deux protocoles possibles AH/ESP, deux modes sont possibles Dans le cadre du mode transport, • • Si l'on ne veut sécuriser que les données, on va choisir d'utiliser le mode transport. Il est généralement utilisé pour acheminer les données de type Hostto-Host. On peut choisir le protocole AH, ESP ou les deux. Dans le cadre du mode tunnel, • • • IPsec crée un tunnel pour la communication entre deux machines pour bien sécuriser les données. Le mode tunnel est très utilisé par le protocole IPsec dans le réseau de type LAN-to-LAN car il offre une protection contre l'analyse de trafic, les adresses de la source et l'adresse de destinataire sont toutes masquées. On doit choisir entre le protocole AH ou ESP. Ce mode crée un nouveau paquet IP encapsulant celui qui doit être transporté. 99 Résumé Ipsec - Algorithmes cryptographiques Algorithmes cryptographiques Pour que les réalisations d'IPsec interopèrent, ils doivent avoir un ou plusieurs d'algorithmes de sécurité en commun. Les algorithmes de sécurité utilisés pour une association de sécurité ‘SA) ESP ou AH sont déterminés par un mécanisme de négociation, tel que IKE (Internet Key Exchange) Les algorithmes de chiffrage et d'authentification pour IPsec encapsulant le protocole ESP et AH sont: HMAC-SHA1-96 (RFC 2404) AES-CBC (RFC 3602) TripleDES-CBC (RFC 2451) 100 Résumé IPsec IPSec est une infrastructure de normes ouvertes qui offre confidentialité, intégrité et authentification des données entre homologues participants. Les clés de chiffrement peuvent être configurées grâce à l’utilisation d’une méthode d’échange de clés. IPSec fournit ces services de sécurité à la couche 3. L’accord de clé Diffie-Hellman (DH) est une méthode publique d’échange de clés. Pour prévenir l’interception et la modification de données du réseau privé virtuel, un algorithme d’intégrité des données peut être utilisé pour ajouter un hachage au message. 101 La SPD (Security Policy Database) liste ordonnée d'entrées contenant des critères de contrôle d'accès, similaires à des règles de pare-feux. Il y a 2 SPDs par interfaces, une pour le trafic entrant, l'autre pour le trafic sortant. Chaque entrée de ces SPDs précise un traitement à appliquer au paquet pour lequel la règle s'applique (quand le critère de sélection ou sélecteur est vrai); ces traitements sont DROP (jette), BYPASS (laisse passer) ou IPSec PROCESS (traitement avec IPSec). Tout comme les règles d'un pare-feu ou encore les SAs vues précédemment, les sélecteurs sont les suivants : Adresses IP de source et de destination, masques, intervalles... Ports de source et de destination Protocole supérieur Utilisateur ou identifiant de système (ou certificats X.509 réutilisés par les SAs...) 102 103