Norme d'échange automatique de renseignement relatifs aux ...
Authentification et sécurisation des échanges VPNionica/CoursVPN1.pdf · •Protocole d'échange...
Transcript of Authentification et sécurisation des échanges VPNionica/CoursVPN1.pdf · •Protocole d'échange...
Authentification et sécurisation des échanges
VPNM2 ISRI
Année 2016/2017
OpenSSH
• Au niveau Transport– Tunneliser des ports dans
une session SSH
Application
Présentation
Session
Transport (TCP & UDP)
Réseau (IP)
Liaison
Physique
OPENSSH - La crypto
• Authentification
-par mot-de-passe
-par clé publique/privé
• Echange de clé (Diffie-Hellman,RSA)
• Confidentialité des données
• Contrôle d’intégrité -HMAC
OpenSSH$ ssh L 8080:appliance.int.corp.com:8000
VPN• « Virtual Private Network »• Network
– Réseaux permettant d’interconnecter des entités distantes
• Private– Tout élément externe au réseau d’interconnexion doit
être tenu à l’écart de tous les échanges effectués entre les différentes entités du réseau
• Virtual– Ils s’appuient sur des architectures de réseaux
partagées mais pas sur des connexions physiques dédiées (i.e. les informations transitent sur des réseaux « public » non sécurisés, typiquement Internet)
Solutions
• IPSec - ex. : StrongSwan
• SSL VPN - ex. : OpenVPN
VPNLes services de sécurité fournis
•Confidentialité des données•Authenticité sur des données
– IKE (Internet Key Exchange)
•Contrôle d’intégrité•Protection contre le rejeu
Forward secrecy (confidentialité persistante)
-Même en récupérant la clé secrète du serveur, on ne pourra pas déchiffrer une conversation
enregistrée dans le passé.
-Vivement RSA et Diffie-Hellman !
IPSec : qu’est-ce ?
• Développée par l’IETF (Internet Engineering Task
Force) en 1992– 1ère version en 1995 (1ère RFC)
– 2ème version en 1998 • IP Security Protocol
– ou protocole sécurisé pour IP• En option avec IPV4
– obligatoire avec IPV6.
IPSec
• Au niveau de IP– Protection unique pour
toutes les applications– Mis en œuvre sur tous les
équipements utilisant le réseau
– Protège de bout en bout– Protège en « lien par lien »
Application
Présentation
Session
Transport (TCP & UDP)
Réseau (IP)
Liaison
Physique
IPSecDeux modes
• Le mode Transport – protège certains champs du paquet
IP.
• Le mode Tunnel – protège tous les champs du paquet
IP d’origine et certains champs du nouveau paquet IP.
Composants d’IPsec
• Protocoles de sécurité– Authentication Header (AH)– Encapsulation Security Payload (ESP)
• Protocole d'échange de clefs– Internet Key Exchange (IKE)
• Bases de données internes– Security Policy Database (SPD)– Security Association Database (SAD)
IPSec : les protocoles
• AH (Authentification Header)– Authentification de l’expéditeur du paquet– Contrôle d’intégrité des données en mode non
connecté– Protection contre le rejeu
• ESP (Encapsuling Security payload)– Chiffrement des données– Contrôle d’intégrité– Authenticité des données (via IKE)– Protection contre le rejeu.
Scénario d’utilisation« Association de Sécurité »
• Qui ?– Toujours des entités travaillant 2 par 2,
• Quoi et comment ?– Liste des services de sécurité à appliquer– Les mécanismes de sécurité adéquats
IPSec : La SA« Security Association »
Security AssociationDescription d’un lien IPSec
– Hôte source, destination– Le type de protection AH ou ESP– L'algorithme d'authentification pour AH et
ESP– L'algorithme de chiffrement pour ESP– Les clés d'authentification et de chiffrement– La durée de vie des clés de chiffrement– Sa propre durée de vie– « Manual Keying » ou « pre-shared key » ou
« IKE »
IPSec : IKEInternet Key Exchange
• Protocol au niveau applicatif– Négociation de la SA entre les deux parties
• établissement une politique de sécurité partagée et des clés authentifiées communes pour les services qui en ont besoin
– Authentification du/des partenaires• Clés pré-établies• Utilisation d’un tiers de confiance (CA)
IPSec : les protocoles
• AH (Authentification Header)– Authentification de l’expéditeur du paquet– Contrôle d’intégrité des données en mode non
connecté– Protection contre le rejeu
• ESP (Encapsuling Security payload)– Chiffrement des données– Contrôle d’intégrité– Authenticité des données (via IKE)– Protection contre le rejeu.
IPSec : AH
• Le mode Normal
• Le mode Transport
• Le mode Tunnel
Entête IP Données
AH Données
Nouvel en-tête
Entête IP
AH Entête IP Données
AH : Les algorithmes
• Authentification :HMAC-SHA-256…
- Attention ! SHA 1 est morte https://shattered.io/
• Authentification Header (AH) :
SPI ( Index de paramètres de sécurité)
SN ( Nombre de séquence)
Données d'authentification
IPSec : ESP
• Sans Chiffrement
• Le mode Transport
• Le mode Tunnel
Entête IP Données
ESP Données
Nouvel entête
Entête IP
(Entête IP et Données) chiffrées
Padding+….
ESP Padding+….
Entête ESP
• Mettre un ID ou timestamp sur chaque paquet avant de le signer
• Acceptation des paquets par la méthode « sliding windows »
Protection contre le rejeu
ESP : Les algorithmes
• Confidentialité– Triple DES – RC5, CAST, IDEA, IDEA triple– Blowfish, RC4 – et NULL
• Authentification– Ceux de AH…– et NULL
IPSec : En conclusion
• AH, est conçu pour assurer l'intégrité et l'authentification des datagrammes IP sans chiffrement des données (sans confidentialité).
• ESP, son rôle premier est d'assurer la confidentialité, l’intégrité des données ainsi que l’authentification des pairs.
OpenVPN
• Au niveau de IP– Authentification et
chiffrement via SSL– Fonctionne en UDP ou TCP :passe aisement les firewalls
et les NAT– Simple à configurer, mais il
faut deployer sur les clients
Application
Présentation
Session
Transport (TCP & UDP)
Réseau (IP)
Liaison
Physique
Tunneling dans OpenVPN
• SSL intervient sur la couche app.
• Tunneling par mecanismes TUN/TAP– TUN niveau 3 IP – TAP niveau 2 Ethernet
– Encapsulation du packet IP (ethernet) a l'interieur d'un autre packet
IPSec vs. OpenVPNIPSEC SSL
OSI Couche reseau Entre Couche app. Et couche reseau
Logiciel Noyau Espace utilisateur
NAT Problematique Non
Portabilité Non Oui