Internet Et La Securite

INTERNET ET LA SECURITE

 Cdt

GINESTOU Didier

– Cours SSI de la DEASR

INTRODUCTION AUX VPN  Introduction  Concepts

de cryptographie

– Chiffrement symétrique et asymétrique – Les fonctions de hachage – Génération et gestion des clés

 Les

réseaux privés virtuel (VPN)

– Le tunneling – Les protocoles de sécurité des différentes couches OSI

 IP

sécurisé (Ipsec)

– Architecture d’Ipsec – Principe de fonctionnement

CHIFFREMENT symmetric Key Encryption (Secret Key)

A03DB98240 Tom’s machine

Hello

Encryption Secret

Betty’s machine

Decryption Secret

Hello

CHIFFREMENT  Idéal

pour chiffrer des quantités importantes de données  Mesures à respecter – changer fréquemment de clé secrète pour éviter qu’elle ne soit

découverte – Générer les clés secrètes de façon sécurisée – Distribuer les clés secrètes de façon sécurisée.

 Le

cryptage symétrique est simple et rapide, mais il implique des problèmes importants de gestion des clés.

CHIFFREMENT Asymmetric Key Encryption (Public Key) Betty Betty’s private key

Public Key Ring

Linda

Dino

Tom

A03DB98240

Tom’s machine

Hello

kept in secure location

Encryption

Betty Tom picks Betty’s public key

Betty’s machine

Decryption

Hello

Betty

Betty picks her private key 5

CHIFFREMENT symmetrical Key Encryption (Secret Key)

Hello+H Tom’s machine

Hello

HACHAGE

Betty’s machine HACHAGE

Secret

Secret

=

=

H

H

Hello

6

CHIFFREMENT  Génération

et gestion des clés

– Le maillon faible

 Clés

secrètes

– Distribution manuelle – L’algorithme de Diffie-Hellman

 Clés

publiques

– Distribution manuelle – Les certificats numériques

Echange de clef Diffie-Hellman (p,q)

(p,q) Alice

Bob

Xb

Yb

Yb

Ya

Clef secrète

Ya

Xa

INTRODUCTION AUX VPN  Introduction  Concepts

de cryptographie

– Chiffrement symétrique et asymétrique – Les fonctions de hachage – Génération et gestion des clés

 Les

réseaux privés virtuel (VPN)

– Le tunneling – Les protocoles de sécurité des différentes couches OSI

 IP

sécurisé (Ipsec)

– Architecture d’Ipsec – Principe de fonctionnement

Virtual Private Network ➨ Site à site VPN

➨ Client à site VPN

➨ Client à client VPN

Virtual Private Network ➨ La tunnelisation Réseau non fiable

 Au niveau 3 : IP

YYY

IP

YYY : IPsec

 Au niveau 2 : Ethernet, ATM, FR

XXX

PPP IP, IPX

XXX : L2F, PPTP, L2TP

Exemple couche liaison L2TP Tunnel L2TP Passerelle d’accès (LAC)

L2TP Network Server (LNS) Réseau

RTC RNIS

non fiable Client @IP2

ISP @IP1

Station @IP4

IP - Source @IP1-Dest @IP3Serveur @IP3 UDP L2TP

PPP IP

PPP IP

IP

Source @IP2-Destination@IP4

Source @IP2-Destination @IP4

Source @IP2-Destination @IP4

Données

Données

Données

Couche réseau IPsec

 Créé

pour palier le manque de sécurité IP

 Détaillé

par la suite

Couche transport



SSL pour sécuriser HTTP.



SSH pour Telnet, FTP, Xwindows.

 SOCKS

Couche Application

 S-HTTP

(RFC 2069)

Exemple de mise en œuvre des VPN  VPN hébergé sur le pare-feu Internet

 VPN en parallèle du pare-feu Routeur Pare-feu VPN + VPN

 VPN devant le pare-feu

Internet

Internet

Routeur Routeur Routeur

VPN

Intranet Pare-feu Pare-feu Pare-feu

 VPN derrière le pare-feu Internet

Intranet Routeur

Pare-feu

VPN

INTRODUCTION AUX VPN  Introduction  Concepts

de cryptographie

– Chiffrement symétrique et asymétrique – Les fonctions de hachage – Génération et gestion des clés

 Les

réseaux privés virtuel (VPN)

– Le tunneling – Les protocoles de sécurité des différentes couches OSI

 IP

sécurisé (Ipsec)

– Architecture d’Ipsec – Principe de fonctionnement

IPsec  IPsec a été développé dans le cadre des travaux sur la sécurisation de IPv6. Les premières RFC remontent à 1995 (RFC 1825 à 1829).  IPsec offre schématiquement deux niveaux de sécurité :  l’intégrité, l’authentification et le non-rejeu avec le protocole AH (Authentication Header) ;  la confidentialité en plus avec le protocole ESP (Encapsulating Security Payload).

 Le niveau de sécurité est différent selon que l’on utilise le mode Transport ou le mode Tunnel.

IPsec Principe AH

ESP Chiffrement

Mode Tunnel

Nouvel En-tête En-tête IP En-tête IP AH d’origine

Données

Nouvel En-tête En-tête IP ESP

Authentification

En-tête IP Données d’origine

Authentification

Chiffrement

Mode Transport

En-tête IP En-tête d’origine AH

Données

Authentification

En-tête IP d’origine

En-tête ESP

Données

Authentification

L’ association de sécurité (SA) : présentation 

Pour s’accorder sur les paramètres de sécurité à utiliser, IPsec utilise des associations de sécurité nommées SA (Security Association).



Une SA est composée principalement :  

d’un identifiant SPI (Security Parameters Index) ; de mécanismes de sécurité : • • •



algorithme de chiffrement + clés ; fonction de hachage + clés ; mode du protocole IPsec ;

d’une durée de vie.

La SA : exemple de composition  SPI

: 12345  Encryption algorithm : DES  HMAC algorithm : MD5  Encryption key : 0x65f3dde…  HMAC key : 0xa3b443d9…  Expiry : 15:06:09 13Oct2001

La SA : principe de fonctionnement 

Une SA est mono directionnelle.



Les SA sont générées à partir des politiques de sécurité définies dans la SPD (Security Policy Database).



Les SA sont stockées dans une base appelée SAD (Security Association Database).

IKE - Internet Key Exchange : présentation  IKE est un protocole normalisé par l’IETF. Son fonctionnement est décrit par la RFC 2409.  IKE est développé spécifiquement pour IPsec afin de gérer dynamiquement les SA.  IKE reprend le fonctionnement ISAKMP (Internet Security Association Key Management) et OAKLEY (établissement de clés partagées).

Politique de sécurité 

Base de données SPD



Politique de gestion du paquet   



Services de sécurité Passe outre Rejeté

Si sécurité indique les SA correspondantes

Principe de fonctionnement