e-Xpert Solutions SA | 3, Chemin du Creux | CH 1233 Bernex-Genève | Tél +41 22 727 05 55 | Fax +41 22 727 05 50

Technologie VPN
« IPSEC vs SSL »

Séminaire du 21 avril 2004

Sylvain Maret

4 info@e-xpertsolutions.com | www.e-xpertsolutions.com
4 Agenda technologie VPN IPSEC vs SSL

f Survol de la technologie VPN SSL

f Son fonctionnement de base
f IPSEC en deux mots
f Comparaison avec IPSEC
f Les points forts IPSEC
f Les points faibles IPSEC
f Deux problématiques VPN
f Intrusion par le tunnel
f Mobilité (Kiosk)
f Conclusion
4 Solutions à la clef
4 SSL / TLS: un peu d’histoire

f SSL version 1 et 2 par Netscape en 1994

f Secure Socket Layer
f Contre attaque par Microsoft en 1995
f Private Communication Technology (PCT)
f SSL version 3 par Netscape en 1995
f Repris par IETF en 1997: TLS
f Transport Layer Security version 1.0 ou SSL version 3.1
f RFC 2246
f Standard toujours actuel
f Ajout ciphers (AES)

4 Solutions à la clef
4 SSL / TLS: fonctionnement classique

f Généralement utilisé avec le

protocole HTTP (HTTPS) Application
f Navigateurs (IE, Mozilla, etc.)
f Support d’autres applications SSL / TLS
f ldap, imap, smtp, etc.
TCP
f Technologie basée sur PKI
f Certificat X509 serveur
f Certificat X509 client IP
f Validation par CRL ou OCSP
f Support du mode « tunnel » Physique

4 Solutions à la clef
4 Technologie SSL VPN: l’idée

f Utiliser le client VPN des navigateurs

f Pas besoin d’installer du logiciel
f Support des technologies d’authentifications
f Radius, SecurID, Ldap, Certificats numériques, NTLM, etc,
f Rendre accessible « toutes » les applications dans le
navigateur
f Approche « Webifyer »
f « Tunneliser » les autres applications
f Approche « tunnel » SSL
f Même approche que IPSEC
4 Solutions à la clef
 4 Webifyer: pas de clients « natif »

Secured by
Telnet, SSH,
SSL / TLS
Laptop TN32.., etc.

Internet Share NT, NFS,

Kiosk email, X11,
Terminaison SSL Terminal Server
Citrix, etc.

Mobile Device Applications Web

Reverse Proxy
(OWA, Lotus)
Partner

Authentification
4 Solutions à la clef
 4 Tunnel SSL: avec clients « natif »

TCP Static

SSL / TLS TCP 1352

Lotus
Localhost Terminaison SSL
127.0.0.1:1352

Authentification

TCP, UDP, ICMP

SSL / TLS FTP

TCP 20,21
PPP
Interface virtuelle Terminaison SSL
Routage
4 Solutions à la clef
4 Technologie IPSEC

f IP Security
f Modification trame IP Application
f Support TCP, UDP, ICMP
f Technologie normalisée par
l’IETF en 1995 TCP
f RFC 2401, 2402, 2406 et 2409
f Support PKI IP
f Certificat client
IPSEC
f Certificat « gateway »
f Support authentification
Physique
« classique »
f Radius, SecurID, etc.

4 Solutions à la clef
4 SSL / IPSEC en terme de sécurité et confort

f Technologie IPSEC: les points forts !

f Très haut niveau de sécurité

f Support de l’échange des clés symétriques en cours de session
f Support AES par la plupart des clients IPSEC
f Attaque de type MiM pas connue à ce jour

f Confort d’utilisation
f Transparent pour l’utilisateur
f Pas besoin d’utiliser son navigateur

4 Solutions à la clef
4 SSL / IPSEC en terme de déploiement et mobilité

f Technologie IPSEC: les points faibles !

f Déploiement complexe
f Installation d’un client IPSEC
f Client très intrusif (Couche 3)
f Nécessite la maîtrise du poste client
f Installation des clients « natif »
f Configuration complexe (NAT, Routage)
f Problème de cohabitation logiciel

f Mobilité fortement réduite

f Notion de « kiosk » pas réalisable
4 Solutions à la clef
4 Intrusion: problématique du mode VPN « pure »

f Ouverture d’un moyen de communication (tunnel) ,entre le client et

l’entreprise, très simple à exploiter !
f Virus, Worm, Backdoor
f WIN32.Blaster.Worm (TCP 135 / DCOM RPC)
f Concerne IPSEC ou SSL (ppp over SSL)

f Recommandation minimum au niveau du poste client

f Mise en place d’un Anti-virus
f Mise en place d’un firewall personnel

f Mise en œuvre d’une solution IPS Networks

f Check Point InterSpect™ par exemple

4 Solutions à la clef
4 Mobilité: problématique du « Kiosk »

f Gestion des « traces » sur la borne

f Historique des URL
f Cache, fichiers temporaires
f Cookies
f Software Helper (Code Mobile)

f Authentification par certificat numérique

f Attention au support physique
f Carte à puce ou Token USB
f Solutions alternatives
f SecurID ou RSA Mobile

4 Solutions à la clef
4 Conclusion

f Deux technologies complémentaires

f Les VPN SSL ne vont pas remplacer IPSEC à court terme
f Marketing fabriquant!

f Quelle technologie choisir?

f Niveau de sécurité?
f Déploiement software?
f Maîtrise des postes clients?
f Déploiement applications clientes « natives »?
f Confort à l’utilisation?
f Mobilité?
f Etc.

4 Solutions à la clef
4 Questions?

4 Solutions à la clef
 e-Xpert Solutions SA | 3, Chemin du Creux | CH 1233 Bernex-Genève | Tél +41 22 727 05 55 | Fax +41 22 727 05 50

e-Xpert Solutions SA
Intégrateur en sécurité informatique

Au bénéfice d'une longue expérience dans les secteurs financiers et

industriels, e-Xpert Solutions SA propose à sa clientèle des solutions
« clé en main » dans le domaine de la sécurité informatique des réseaux
et des applications. Des solutions qui vont de la sécurité de périmètre –
tel le firewall, VPN, IDS, FIA, le contrôle de contenu, l’anti-virus – aux
solutions plus avant-gardistes comme la prévention des intrusions
(approche comportementale), l'authentification forte, la biométrie, les
architectures PKI ou encore la sécurisation des OS Unix, Microsoft et des
postes clients (firewall personnel).

4 info@e-xpertsolutions.com | www.e-xpertsolutions.com
 e-Xpert Solutions SA | 3, Chemin du Creux | CH 1233 Bernex-Genève | Tél +41 22 727 05 55 | Fax +41 22 727 05 50

Pour plus d’informations:

e-Xpert Solutions SA
Chemin du Creux 3
CH – 1233 Bernex / Genève

Tel: +41 22 727 05 55

Fax: +41 22 727 05 50
info@e-xpertsolutions.com

4 info@e-xpertsolutions.com | www.e-xpertsolutions.com