Post on 11-Sep-2020
VPN SSLVPN SSL
VPN SSL : PrVPN SSL : PrVPN SSL : PrVPN SSL : PrVPN SSL : PrVPN SSL : PrVPN SSL : PrVPN SSL : Préééééééésentationsentationsentationsentationsentationsentationsentationsentation
Master Informatique 1Master Informatique 1Master Informatique 1Master Informatique 1èèèère Annre Annre Annre AnnééééeeeeAnnAnnAnnAnnéééée 2006e 2006e 2006e 2006----2007200720072007
Participants:Participants:Participants:Participants:Tarek Ajroud
Jérémy Ameline
Charles BalleFabrice Douchant
VPN SSLVPN SSL
RemarquesRemarques
�� DurDurDurDurDurDurDurDurééééééééeeeeeeee : 20 minutes: 20 minutes
�� Intervention : 15 Intervention : 15 -- 20 minutes20 minutes
�� Questions Questions –– RRééponsesponses
�� TTééllééphones portables phones portables ééteints SVP.teints SVP.
VPN SSLVPN SSL
�� Introduction aux VPNIntroduction aux VPN
�� Rappels cryptographiquesRappels cryptographiques
�� PrPréésentation de SSLsentation de SSL
�� Les VPN SSLLes VPN SSL
Le PlanLe Plan
VPN SSL : Introduction aux VPNVPN SSL : Introduction aux VPN
Introduction au VPNIntroduction au VPN
�� Introduction aux VPNIntroduction aux VPN
�� Rappels cryptographiquesRappels cryptographiques
�� PrPréésentation de SSLsentation de SSL
�� Les VPN SSLLes VPN SSL
VPN SSL : Introduction aux VPNVPN SSL : Introduction aux VPN
�� RelierRelier des des entitentitééss..
�� SSéécuriser les communications.curiser les communications.
�� Le tout Le tout àà moindre moindre cocoûûtt..
PourquoiPourquoi les VPN ?les VPN ?
VPN SSL : Introduction aux VPNVPN SSL : Introduction aux VPN
�� Relier deux rRelier deux rééseaux par une seaux par une liaison liaison liaison liaison liaison liaison liaison liaison publique non publique non publique non publique non publique non publique non publique non publique non fiablefiablefiablefiablefiablefiablefiablefiable (Internet).(Internet).
�� Seuls les ordinateurs des rSeuls les ordinateurs des rééseaux locaux seaux locaux de part et d'autre du VPN peuvent de part et d'autre du VPN peuvent «« voirvoir »»les les donndonnééeses..
�� Utilise des protocoles de Utilise des protocoles de «« tunnelisationtunnelisationtunnelisationtunnelisationtunnelisationtunnelisationtunnelisationtunnelisation »»en encapsulant les donnen encapsulant les donnéées es àà transmettre transmettre de fade faççon chiffron chiffréée.e.
Principe gPrincipe géénnééralral
VPN SSL : Introduction aux VPNVPN SSL : Introduction aux VPN
�� Le Le VPN d'accVPN d'accVPN d'accVPN d'accVPN d'accVPN d'accVPN d'accVPN d'accèèèèèèèèssssssss : permet : permet àà un utilisateur un utilisateur isolisoléé de se connecter dans un rde se connecter dans un rééseau seau local interne (par exemple, de son local interne (par exemple, de son entreprise).entreprise).
�� L'L'intranetintranetintranetintranetintranetintranetintranetintranet ou ou extranetextranetextranetextranetextranetextranetextranetextranet : permet de relier : permet de relier deux rdeux rééseaux LAN entre eux. seaux LAN entre eux.
Les types de VPNLes types de VPN
VPN SSL : Introduction aux VPNVPN SSL : Introduction aux VPN
SchSchéémama VPNVPN
VPN SSL : Introduction aux VPNVPN SSL : Introduction aux VPN
�� Les VPN de Les VPN de niveau 2niveau 2niveau 2niveau 2niveau 2niveau 2niveau 2niveau 2 : PPTP, L2F, L2TP.: PPTP, L2F, L2TP.
�� Les VPN de Les VPN de niveau 3niveau 3niveau 3niveau 3niveau 3niveau 3niveau 3niveau 3 : : IPsecIPsec..
�� Les VPN Les VPN MPLSMPLSMPLSMPLSMPLSMPLSMPLSMPLS........
�� Les VPN de Les VPN de niveau 7niveau 7niveau 7niveau 7niveau 7niveau 7niveau 7niveau 7 : SSL.: SSL.
Les Les diffdifféérentesrentes catcatéégoriesgories
VPN SSL : Rappels cryptographiquesVPN SSL : Rappels cryptographiques
Rappels cryptographiquesRappels cryptographiques
�� Introduction aux VPNIntroduction aux VPN
�� Rappels cryptographiquesRappels cryptographiques
�� PrPréésentation de SSLsentation de SSL
�� Les VPN SSLLes VPN SSL
VPN SSL : Rappels cryptographiquesVPN SSL : Rappels cryptographiques
ClCléé symsyméétriquetrique
ClCléé symsyméétriquetrique
MessageMessage
MessageMessage
Message Message cryptcryptéé RRééseauxseaux
Cryptographie symCryptographie syméétriquetrique
VPN SSL : Rappels cryptographiquesVPN SSL : Rappels cryptographiques
Cryptographie symCryptographie syméétriquetrique
ClCléé publiquepublique dududestinatairedestinataire
ClCléé privprivééee dududdééstinatairestinataire
MessageMessage
MessageMessage
Message Message cryptcryptéé RRééseauxseaux
VPN SSL : Rappels cryptographiquesVPN SSL : Rappels cryptographiques
HachageHachage
= ?= ?= ?= ?= ?= ?= ?= ?
MessageMessage
HachHachéé HachHachéé
MessageMessage
VPN SSL : Rappels cryptographiquesVPN SSL : Rappels cryptographiques
MessageMessage
HachHachéé HachHachéé
MessageMessage
SignatureSignature
ClCléé privprivééeede de
ll’’expexpééditeurditeur
ClCléé publiquepubliquede de
ll’’expexpééditeurditeur
= ?= ?= ?= ?= ?= ?= ?= ?
VPN SSL : Rappels cryptographiquesVPN SSL : Rappels cryptographiques
CertificatCertificat
InformationsInformations ::
-- AutoritAutoritéé de certificationde certification
-- Nom du propriNom du propriéétairetaire
-- Date de validitDate de validitéé
-- ClCléé publiquepublique
-- AlgorithmeAlgorithme utilisutiliséé
-- UtilisationUtilisation
SignatureSignature
ClCléé privprivééeede lde l’’autoritautoritéé
HachHachéé
VPN SSL : PrVPN SSL : Préésentation de SSLsentation de SSL
PrPréésentation de SSLsentation de SSL
�� Introduction aux VPNIntroduction aux VPN
�� Rappels cryptographiquesRappels cryptographiques
�� PrPréésentation de SSLsentation de SSL
�� Les VPN SSLLes VPN SSL
VPN SSL : PrVPN SSL : Préésentation de SSLsentation de SSL
PrPréésentation SSLsentation SSL
But :But :But :But :But :But :But :But :
�� PermetPermet de sde séécuriser des transactions curiser des transactions effectueffectuéées sur un res sur un rééseau (Internet).seau (Internet).
Fonctionnement :Fonctionnement :Fonctionnement :Fonctionnement :Fonctionnement :Fonctionnement :Fonctionnement :Fonctionnement :
� ÉÉtablit un canal de communicationtablit un canal de communicationsssssssséééééééécuriscuriscuriscuriscuriscuriscuriscuriséééééééé (chiffr(chiffréé) entre deux machines ) entre deux machines (un client et un serveur) apr(un client et un serveur) aprèès une s une éétape tape d'd'authentificationauthentificationauthentificationauthentificationauthentificationauthentificationauthentificationauthentification.
VPN SSL : PrVPN SSL : Préésentation de SSLsentation de SSL
Fonctionnement de SSLFonctionnement de SSL
ClientClient ServeurServeurCommencer la sessionCommencer la session
Certificat serveurCertificat serveur
ClCléé mamaîîtresse crypttresse cryptééee
Session Session éétablietablie Demande de certificatDemande de certificat
Certificat clientCertificat client
ÉÉchange de donnchange de donnéées cryptes cryptéées par cles par cléé de sessionde session
VPN SSL : PrVPN SSL : Préésentation de SSLsentation de SSL
IntIntéégrationgration
VPN SSL : PrVPN SSL : Préésentation de SSLsentation de SSL
Les atoutsLes atouts
PourquoiPourquoiPourquoiPourquoiPourquoiPourquoiPourquoiPourquoi utiliser SSL ?utiliser SSL ?utiliser SSL ?utiliser SSL ?utiliser SSL ?utiliser SSL ?utiliser SSL ?utiliser SSL ?
�� SystSystèèmeme cryptanalyscryptanalyscryptanalyscryptanalyscryptanalyscryptanalyscryptanalyscryptanalyséééééééé : on peut le : on peut le considconsidéérer comme srer comme sûûr.r.
�� RRéépandupandu : on peut facilement cr: on peut facilement crééer des er des programmes qui dialogueront avec programmes qui dialogueront avec d'autres programmes utilisant SSL.d'autres programmes utilisant SSL.
VPN SSL : PrVPN SSL : Préésentation de SSLsentation de SSL
�� SystSystèèmeme est fondest fondéé sur sur une seule paire de une seule paire de une seule paire de une seule paire de une seule paire de une seule paire de une seule paire de une seule paire de clclclclclclclclééééééééssssssss (signature/authentification ) :(signature/authentification ) :
�� ImpossibilitImpossibilitéé de sauvegarder en central les clde sauvegarder en central les cléés s de chiffrement sans compromettre la non de chiffrement sans compromettre la non rréépudiation.pudiation.
�� Pas de vPas de véérification systrification systéématique des matique des CRLCRLCRLCRLCRLCRLCRLCRL (Liste (Liste de Rde Réévocation des vocation des CertificatsCertificats).).
ProblProblProblProblProblProblProblProblèèèèèèèèmes intrinsmes intrinsmes intrinsmes intrinsmes intrinsmes intrinsmes intrinsmes intrinsèèèèèèèèques au protocoleques au protocoleques au protocoleques au protocoleques au protocoleques au protocoleques au protocoleques au protocole
Les Les problproblèèmesmes de SSL 1/2de SSL 1/2
VPN SSL : PrVPN SSL : Préésentation de SSLsentation de SSL
Attaques possibles contre SSLAttaques possibles contre SSLAttaques possibles contre SSLAttaques possibles contre SSLAttaques possibles contre SSLAttaques possibles contre SSLAttaques possibles contre SSLAttaques possibles contre SSL
Construire un Construire un site contrefaitsite contrefait ::
�� En achetant un certificat chez lEn achetant un certificat chez l’’une des une des AC (AutoritAC (Autoritéé de Certification) reconnues de Certification) reconnues par les navigateurs.par les navigateurs.
�� En trompant le serveur DNS (duplicata du En trompant le serveur DNS (duplicata du DNS). DNS).
Les Les problproblèèmesmes de SSL 2/2de SSL 2/2
VPN SSL : Les VPN SSLVPN SSL : Les VPN SSL
�� Introduction aux VPNIntroduction aux VPN
�� Rappels cryptographiquesRappels cryptographiques
�� PrPréésentation de SSLsentation de SSL
�� Les VPN SSLLes VPN SSL
Les VPN SSLLes VPN SSL
VPN SSL : Les VPN SSLVPN SSL : Les VPN SSL
Principes du VPN SSL 1/3Principes du VPN SSL 1/3
AccAccAccAccAccAccAccAccèèèèèèèès s s s s s s s àààààààà des ressources intranet des ressources intranet des ressources intranet des ressources intranet des ressources intranet des ressources intranet des ressources intranet des ressources intranet ““““““““WebisWebisWebisWebisWebisWebisWebisWebisééééééééeseseseseseseses””””””””
�� PasPasPasPasPasPasPasPas besoin debesoin de clients VPNclients VPNclients VPNclients VPNclients VPNclients VPNclients VPNclients VPN : utilisation des : utilisation des navigateurs.navigateurs.
�� Serveur Serveur Serveur Serveur Serveur Serveur Serveur Serveur ≈≈ ProxyProxyProxyProxyProxyProxyProxyProxy et modifie les redirections.et modifie les redirections.
�� Ressources intranet doivent être WebisRessources intranet doivent être Webiséées.es.
ProblProblèème :me : applications de type Applet Java, applications de type Applet Java, ActiveX, etc.ActiveX, etc.
�� Suffisant pour de Suffisant pour de nombreuxnombreux utilisateursutilisateurs..
VPN SSL : Les VPN SSLVPN SSL : Les VPN SSL
Principes du VPN SSL 2/3Principes du VPN SSL 2/3
Exemple WebVPNExemple WebVPN
VPN SSL : Les VPN SSLVPN SSL : Les VPN SSL
Principes du VPN SSL 3/3Principes du VPN SSL 3/3
AccAccAccAccAccAccAccAccèèèèèèèès au rs au rs au rs au rs au rs au rs au rs au rééééééééseau intranet via un tunnel SSLseau intranet via un tunnel SSLseau intranet via un tunnel SSLseau intranet via un tunnel SSLseau intranet via un tunnel SSLseau intranet via un tunnel SSLseau intranet via un tunnel SSLseau intranet via un tunnel SSL
�� Logiciel client VPNLogiciel client VPN : se connecte au SE via : se connecte au SE via uneuneinterface virtuelle.interface virtuelle.
�� Le client recoit une adresse IP du serveur : Le client recoit une adresse IP du serveur : ililfait partie du rfait partie du rééseau intranet.seau intranet.
�� Serveur = relaisServeur = relaisServeur = relaisServeur = relaisServeur = relaisServeur = relaisServeur = relaisServeur = relais : : simulesimule le client.le client.
VPN SSL : Les VPN SSLVPN SSL : Les VPN SSL
Les solutionsLes solutions
�� Essor des VPN SSL : nombreuses Essor des VPN SSL : nombreuses solutions proprisolutions propriéétaires et open source.taires et open source.
�� Notre choix : Notre choix : OpenVPNOpenVPNOpenVPNOpenVPNOpenVPNOpenVPNOpenVPNOpenVPN : : gratuitgratuit
VPN SSL : Les VPN SSLVPN SSL : Les VPN SSL
OpenVPNOpenVPNFonctionnalitFonctionnalitFonctionnalitFonctionnalitFonctionnalitFonctionnalitFonctionnalitFonctionnalitéééééééés :s :s :s :s :s :s :s :
�� PortabilitPortabilitéé..
�� 1 seul fichier de configuration.1 seul fichier de configuration.
�� Compression des Compression des donndonnééeses..
�� Authentification mutuelle via des Authentification mutuelle via des certificatscertificats..
�� 2 modes :2 modes :
�� RoutRoutRoutRoutRoutRoutRoutRoutéééééééé : IP client diff: IP client difféérente rente dudu rrééseauseauintranet.intranet.
�� BridgBridgBridgBridgBridgBridgBridgBridgéééééééé (tunnel) : IP client dans le (tunnel) : IP client dans le rrééseauseauintranet.intranet.
VPN SSLVPN SSL
�� VPN SSL est une nouvelle gamme de VPN VPN SSL est une nouvelle gamme de VPN (moins impl(moins impléémentmentéée que e que IPSecIPSec).).
�� Solutions Solutions complcomplèètestes avec de nombreuses avec de nombreuses fonctionnalitfonctionnalitééss..
�� Plus flexible et moins Plus flexible et moins complexecomplexe..
�� Repose sur un protocole Repose sur un protocole cryptographiquecryptographique en en perpperpéétuelletuelle éévolution : SSL/TLS.volution : SSL/TLS.
�� VPN SSL : solution du futur ?VPN SSL : solution du futur ?
ConclusionConclusion
VPN SSLVPN SSL
Merci de votre attentionMerci de votre attentionMerci de votre attentionMerci de votre attentionMerci de votre attentionMerci de votre attentionMerci de votre attentionMerci de votre attention