INTERNET ET LA SECURITE
Cdt
GINESTOU Didier
– Cours SSI de la DEASR
INTRODUCTION AUX VPN Introduction Concepts
de cryptographie
– Chiffrement symétrique et asymétrique – Les fonctions de hachage – Génération et gestion des clés
Les
réseaux privés virtuel (VPN)
– Le tunneling – Les protocoles de sécurité des différentes couches OSI
IP
sécurisé (Ipsec)
– Architecture d’Ipsec – Principe de fonctionnement
CHIFFREMENT symmetric Key Encryption (Secret Key)
A03DB98240 Tom’s machine
Hello
Encryption Secret
Betty’s machine
Decryption Secret
Hello
CHIFFREMENT Idéal
pour chiffrer des quantités importantes de données Mesures à respecter – changer fréquemment de clé secrète pour éviter qu’elle ne soit
découverte – Générer les clés secrètes de façon sécurisée – Distribuer les clés secrètes de façon sécurisée.
Le
cryptage symétrique est simple et rapide, mais il implique des problèmes importants de gestion des clés.
CHIFFREMENT Asymmetric Key Encryption (Public Key) Betty Betty’s private key
Public Key Ring
Linda
Dino
Tom
A03DB98240
Tom’s machine
Hello
kept in secure location
Encryption
Betty Tom picks Betty’s public key
Betty’s machine
Decryption
Hello
Betty
Betty picks her private key 5
CHIFFREMENT symmetrical Key Encryption (Secret Key)
Hello+H Tom’s machine
Hello
HACHAGE
Betty’s machine HACHAGE
Secret
Secret
=
=
H
H
Hello
6
CHIFFREMENT Génération
et gestion des clés
– Le maillon faible
Clés
secrètes
– Distribution manuelle – L’algorithme de Diffie-Hellman
Clés
publiques
– Distribution manuelle – Les certificats numériques
Echange de clef Diffie-Hellman (p,q)
(p,q) Alice
Bob
Xb
Yb
Yb
Ya
Clef secrète
Ya
Xa
INTRODUCTION AUX VPN Introduction Concepts
de cryptographie
– Chiffrement symétrique et asymétrique – Les fonctions de hachage – Génération et gestion des clés
Les
réseaux privés virtuel (VPN)
– Le tunneling – Les protocoles de sécurité des différentes couches OSI
IP
sécurisé (Ipsec)
– Architecture d’Ipsec – Principe de fonctionnement
Virtual Private Network ➨ Site à site VPN
➨ Client à site VPN
➨ Client à client VPN
Virtual Private Network ➨ La tunnelisation Réseau non fiable
Au niveau 3 : IP
YYY
IP
YYY : IPsec
Au niveau 2 : Ethernet, ATM, FR
XXX
PPP IP, IPX
XXX : L2F, PPTP, L2TP
Exemple couche liaison L2TP Tunnel L2TP Passerelle d’accès (LAC)
L2TP Network Server (LNS) Réseau
RTC RNIS
non fiable Client @IP2
ISP @IP1
Station @IP4
IP - Source @IP1-Dest @IP3Serveur @IP3 UDP L2TP
PPP IP
PPP IP
IP
Source @IP2-Destination@IP4
Source @IP2-Destination @IP4
Source @IP2-Destination @IP4
Données
Données
Données
Couche réseau IPsec
Créé
pour palier le manque de sécurité IP
Détaillé
par la suite
Couche transport
SSL pour sécuriser HTTP.
SSH pour Telnet, FTP, Xwindows.
SOCKS
Couche Application
S-HTTP
(RFC 2069)
Exemple de mise en œuvre des VPN VPN hébergé sur le pare-feu Internet
VPN en parallèle du pare-feu Routeur Pare-feu VPN + VPN
VPN devant le pare-feu
Internet
Internet
Routeur Routeur Routeur
VPN
Intranet Pare-feu Pare-feu Pare-feu
VPN derrière le pare-feu Internet
Intranet Routeur
Pare-feu
VPN
INTRODUCTION AUX VPN Introduction Concepts
de cryptographie
– Chiffrement symétrique et asymétrique – Les fonctions de hachage – Génération et gestion des clés
Les
réseaux privés virtuel (VPN)
– Le tunneling – Les protocoles de sécurité des différentes couches OSI
IP
sécurisé (Ipsec)
– Architecture d’Ipsec – Principe de fonctionnement
IPsec IPsec a été développé dans le cadre des travaux sur la sécurisation de IPv6. Les premières RFC remontent à 1995 (RFC 1825 à 1829). IPsec offre schématiquement deux niveaux de sécurité : l’intégrité, l’authentification et le non-rejeu avec le protocole AH (Authentication Header) ; la confidentialité en plus avec le protocole ESP (Encapsulating Security Payload).
Le niveau de sécurité est différent selon que l’on utilise le mode Transport ou le mode Tunnel.
IPsec Principe AH
ESP Chiffrement
Mode Tunnel
Nouvel En-tête En-tête IP En-tête IP AH d’origine
Données
Nouvel En-tête En-tête IP ESP
Authentification
En-tête IP Données d’origine
Authentification
Chiffrement
Mode Transport
En-tête IP En-tête d’origine AH
Données
Authentification
En-tête IP d’origine
En-tête ESP
Données
Authentification
L’ association de sécurité (SA) : présentation
Pour s’accorder sur les paramètres de sécurité à utiliser, IPsec utilise des associations de sécurité nommées SA (Security Association).
Une SA est composée principalement :
d’un identifiant SPI (Security Parameters Index) ; de mécanismes de sécurité : • • •
algorithme de chiffrement + clés ; fonction de hachage + clés ; mode du protocole IPsec ;
d’une durée de vie.
La SA : exemple de composition SPI
: 12345 Encryption algorithm : DES HMAC algorithm : MD5 Encryption key : 0x65f3dde… HMAC key : 0xa3b443d9… Expiry : 15:06:09 13Oct2001
La SA : principe de fonctionnement
Une SA est mono directionnelle.
Les SA sont générées à partir des politiques de sécurité définies dans la SPD (Security Policy Database).
Les SA sont stockées dans une base appelée SAD (Security Association Database).
IKE - Internet Key Exchange : présentation IKE est un protocole normalisé par l’IETF. Son fonctionnement est décrit par la RFC 2409. IKE est développé spécifiquement pour IPsec afin de gérer dynamiquement les SA. IKE reprend le fonctionnement ISAKMP (Internet Security Association Key Management) et OAKLEY (établissement de clés partagées).
Politique de sécurité
Base de données SPD
Politique de gestion du paquet
Services de sécurité Passe outre Rejeté
Si sécurité indique les SA correspondantes
Principe de fonctionnement