Vous êtes sur la page 1sur 78

Chapitre 4: Introduction aux réseaux privés virtuels

(VPNs)
1. Sécurité électronique
2. Cryptographie et signature électronique
3. Réseaux privés virtuels (VPN)
4. Configuration des VPN sur Cisco ASDM

Réseaux d’accès et réseaux haut débit Pr.Youssefi FST SETTAT 1


Partie 1: Cybersécurité

Réseaux d’accès et réseaux haut débit Pr.Youssefi FST SETTAT 2


Cybersécurité

 Introduction
 Les informations sont parmi les ressources les plus précieuses et les plus stratégiques de
n'importe quelle organisation.
 L’économie numérique est un élément fondamental pour le développement
économique et social d’un état.
 On est en présence d’un Etat lorsque sont réunis 3 éléments nécessaires et suffisants que
sont La population, le territoire et la souveraineté Mais aujourd'hui face au guerres
électroniques une 4 eme dimension s’impose: cyberspace.
 Le développement de la société de l’information et de l’économie numérique passe par
l’établissement de la confiance numérique et la sécurité des systèmes d’information.
 La plupart des pays ont crée des autorités nationales pour la sécurité et la défense des
systèmes d’information: NSA (USA), ANSSI (France), Ministère de la sécurité
électronique (Japan), DGSSI (MAROC),…

Réseaux d’accès et réseaux haut débit Pr.Youssefi FST SETTAT 3


Cybersécurité

 Définition
Sécurité des SI: Protéger les biens et les informations d’une entreprise ou d’un organisme.

Une protection contre les risques suivants:

1. Destruction/Altération de données;
2. Vol de données stratégiques;
3. Failles matérielles: Médias amoviles, matériels de stockage défectueux, matériel
personnel…;
4. Failles logicielles: Virus et logiciels malveillants, mise à jour systèmes …;
5. Humain: Négligence, malveillance et manque de formation et d’information.

Réseaux d’accès et réseaux haut débit Pr.Youssefi FST SETTAT 4


Cybersécurité
 Sécurité électronique
Pour assurer la confiance numérique, il y a lieu de garantir pour toute transaction
dématérialisée :

Critère Désignation
Disponibilité Garantie que ces éléments considérés sont accessibles au moment voulu par
les personnes autorisées.
Authentification Identification des utilisateurs pour gérer les accès.
Intégrité Garantie que les éléments considérés sont exacts et complets.
Confidentialité Garantie que seules les personnes autorisées ont accès aux éléments
considérés.
Traçabilité Garantie que les accès et tentatives d'accès aux éléments considérés sont
tracés et que ces traces sont conservées et exploitables.

Réseaux d’accès et réseaux haut débit Pr.Youssefi FST SETTAT 5


Cybersécurité

 Cyberespace

Réseaux d’accès et réseaux haut débit Pr.Youssefi FST SETTAT 6


Cybersécurité

 Problématique

Quatre Contraintes:

1. l’inexistence de frontières entre les internautes

2. l’abolition des distances

3. l’anonymat

4. la sécurité des systèmes d’information qui n’est pas prise au sérieux

Réseaux d’accès et réseaux haut débit Pr.Youssefi FST SETTAT 7


Cybersécurité
 Sophistication des attaques
Attaques
Worms et virus Spyware APTs et Cyberware Attaques avancées (Cloud)

Années 2000 2005 2010 Aujourd'hui

Réponse de l’entreprise
Antivirus Firewalls - IDS/IPS NAC et Sandboxing Techniques intelligentes
(host-based) (Réseau) (Global) proactives (cloud)
Années 2000 2005 2010 Aujourd'hui

Réseaux d’accès et réseaux haut débit Pr.Youssefi FST SETTAT 8


Cybersécurité

 Sophistication des attaques comparées à la connaissance technique nécessaire

Réseaux d’accès et réseaux haut débit Pr.Youssefi FST SETTAT 9


Cybersécurité

 Menaces

Réseaux d’accès et réseaux haut débit Pr.Youssefi FST SETTAT 10


Cybersécurité

 Cyberespace vecteur de sabotage

Réseaux d’accès et réseaux haut débit Pr.Youssefi FST SETTAT 12


Cybersécurité

 Cyberespace vecteur de déstabilisation

Mode d’action

Défigurer les sites Internet à des fins revendicatives.

- les attaquants affichent un message, souvent des plus


vulgaires, sur la page d’accueil.
- Bloquer les sites en les saturant de trafic (cyber-sit-in).

Réseaux d’accès et réseaux haut débit Pr.Youssefi FST SETTAT 13


Cybersécurité

 Cyberespace vecteur de déstabilisation

Mode d’action (suite)

Pénétrer les systèmes d’information


puis rendre publics les informations
volées.

Réseaux d’accès et réseaux haut débit Pr.Youssefi FST SETTAT 14


Cybersécurité
 Cyberespace vecteur de sabotage
Mode d’action

Attaque des
systèmes de
contrôle et de
supervision de
processus
industriels
(SCADA)

Réseaux d’accès et réseaux haut débit Pr.Youssefi FST SETTAT 15


Cybersécurité

 Cyberespace vecteur de sabotage

Exemple: Attaque Aramco (2012)


Aramco :
 leader mondial de l’industrie pétrolière
15 août 2012:
 Aramco reconnaît les cyber-attaques
 Aramco décide d'isoler les réseaux et débrancher l'Internet.
 30 000 ordinateurs compromis

Réseaux d’accès et réseaux haut débit Pr.Youssefi FST SETTAT 16


Cybersécurité

 Cyberespace vecteur de sabotage

Exemple: Virus DarkSeoul (2013)

 Mars 2013, le Virus ‘’DarkSeoul’’ a été capable de désactiver


deux antivirus très répandus en Corée du Sud, AhnLab et Hauri
AV.

 Une fois ces protections paralysées, le logiciel détruit la zone


amorce (ou master boot record) du disque dur.

Réseaux d’accès et réseaux haut débit Pr.Youssefi FST SETTAT 17


Cybersécurité

 Cybercriminalité est une activité extrêmement rentable

Exemple: Affaire Humpich ou affaire des yescards (1998)

 1998, un ingénieur français (Serge Humpich) fabrique une carte


bancaire « universelle », qui répond toujours: «Le code est bon»,
quels que soient les chiffres entrés par l'utilisateur.

 Humpich a cassé la sécurité des guichets bancaire basée à


l’époque sur une clé RSA 96 bit.
 Les banques française ont porté plainte.

Réseaux d’accès et réseaux haut débit Pr.Youssefi FST SETTAT 18


Cybersécurité

 Cybercriminalité est une activité extrêmement rentable


Exemple: Ransomware (2017)

 Le ransomware est un malware, qui a pour but final de soutirer de l'argent à


sa victime.
 L'infection passe par le téléchargement d'un logiciel malveillant.
 Lorsque le ransomware a pris place sur l'ordinateur (ou le smartphone) il
applique un chiffrement (cryptage) sur les fichiers et dossiers personnels de
l'ordinateur.
 Une fois son travail terminé il indique à l'utilisateur piégé un moyen de
débloquer l'ordinateur de récupérer ses fichiers, généralement en payant une
rançon contre la clé de cryptage qui permettra d'ôter le chiffrement.

Réseaux d’accès et réseaux haut débit Pr.Youssefi FST SETTAT 19


Cybersécurité

 Cyberespace
une source de menace difficile à maîtriser

 Des menaces qui peuvent provenir d'un spectre très élargi d'acteurs :
États, entreprises, groupes terroristes, individus, etc.
 Motifs: politique, économique ou social.
 Les attaques peuvent provenir à n'importe quelle moment (24hx7j).
 La cybercriminalité est une activité extrêmement rentable.
 La cybercriminalité est une activité à faible risque.
 Etc.

Réseaux d’accès et réseaux haut débit Pr.Youssefi FST SETTAT 20


Cybersécurité
 Des solutions techniques: État des lieux au Maroc

les seules solutions techniques sont insuffisantes

Réseaux d’accès et réseaux haut débit Pr.Youssefi FST SETTAT 21


Cybersécurité

 Des solutions techniques approximatives

Une protection en profondeur des actifs est nécessaire

Réseaux d’accès et réseaux haut débit Pr.Youssefi FST SETTAT 22


Cybersécurité
 Evaluation des solutions techniques (Quadrant Gartner 2018)
Antivirus Firewalls

Réseaux d’accès et réseaux haut débit Pr.Youssefi FST SETTAT 23


Cybersécurité

Réseaux d’accès et réseaux haut débit Pr.Youssefi FST SETTAT 24


Quiz 1 Cybersécurité

1. Quel est le rôle d’un firewall? Pourquoi on installe le serveur web dans la zone DMZ?
2. Dans un réseau sécurisé par un firewall, le serveur de messagerie est installé dans la
zone interne. Pourquoi on utilise souvent un relais de messagerie (proxy) installé dans la
zone DMZ ?
3. Une entreprise dispose de plusieurs postes de travail, un serveur Web, un serveur de
messagerie et un serveur antivirus. On souhaite mettre en place un réseau connecté à
internet sécurisé avec un firewall. Proposer une architecture de réseau, en précisant
bien ce qui est en zone DMZ et ce qui est en zone interne et externe.
4. Pourquoi il est fortement recommandé de mettre à jour régulièrement votre Antivirus?
5. Quel est la caractéristique d’une attaque par déni de service (DoS)? Donner un
exemple?
6. Quel est la caractéristique d’une attaque type cheval de Troie?
7. Quel est le principe de l’attaque par force brute? Donner un exemple?
8. Un employé mécontent utilise l’outil Wireshark pour découvrir les noms utilisateurs et
les mots de passe Telnet. Quel type d'attaque réseau cela décrit-il?
9. Quel est le principe des 2 attaques: IP spoofing et ARP empoisonning?

Réseaux d’accès et réseaux haut débit Pr.Youssefi FST SETTAT 25


Partie 2: Cryptographie

Réseaux d’accès et réseaux haut débit Pr.Youssefi FST SETTAT 26


Technologie de cryptage

 Cryptographie

• Historique : militaire depuis toujours. (Jules César, Enigma,


Alan Turing….)
• Méthode secrète
• Mécanisme de clés :

– clé secrète ou cryptage symétrique

– clé publique / privée ou cryptage asymétrique

Réseaux d’accès et réseaux haut débit Pr.Youssefi FST SETTAT 27


Technologie de cryptage

 Cryptage symétrique

• Avantage : simplicité
• Problème : transmission de la clé

Réseaux d’accès et réseaux haut débit Pr.Youssefi FST SETTAT 28


Technologie de cryptage
 Cryptage symétrique : DES
Exemple 1 : Data Encryption Standard

 Développé par IBM et la NSA dans les années 1970


 Cryptage symétrique par blocs avec une clé de 56 bits
 16 itérations de schéma de Feistel:
Bloc de 64 bits

L=D
R=G + f(K,D)
 Le décodage se fait en utilisant la même clé K en déroulant l'algorithme dans le sens
inverse

Réseaux d’accès et réseaux haut débit Pr.Youssefi FST SETTAT 29


Technologie de cryptage

 Cryptage symétrique:DES

Exemple 1 : Data Encryption Standard (Standard 1976)

• Standard du gouvernement des E.U (77)

• Fiabilité : facile à casser (attaque par force brute)

• Triple DES (3-DES)

Réseaux d’accès et réseaux haut débit Pr.Youssefi FST SETTAT 30


Technologie de cryptage
 Cryptage symétrique: AES

Exemple 2 : Advanced Encryption Standard (Octobre 2000)

• Remplacement du DES (compétition lancée par le NIST)

• Clés de longueurs différentes : 128, 192 ou 256 bits

• Plus sur et plus rapide que le DES

Réseaux d’accès et réseaux haut débit Pr.Youssefi FST SETTAT 31


Technologie de cryptage

 Cryptage asymétrique:

l'expéditeur utilise la clef publique du destinataire pour coder son message. Le destinataire
utilise sa clef privée pour décoder le message de l'expéditeur, garantissant la confidentialité
du contenu.

Réseaux d’accès et réseaux haut débit Pr.Youssefi FST SETTAT 32


Technologie de cryptage
 Cryptage asymétrique: RSA
Exemple 3 : Rivest Shamir Adelman (1977)

 Performances : 100 fois plus lent que le DES


 Fiabilité : factorisation irréalisable (grands nombres)
 Usage : largement répandu

Réseaux d’accès et réseaux haut débit Pr.Youssefi FST SETTAT 33


Technologie de cryptage
 Cryptage asymétrique: RSA (Rivest Shamir Adelman)
1- Création des clés: user 1 crée 4 nombres:
- p et q deux grands nombres premiers (n=p.q)
- e un entier premier avec (p-1)(q-1)
- d un entier tel que ed=1 mod (p-1)(q-1)
2- Distribution des clés: Clé secrète = (p,q,d)
Clé publique = (n,e)
User1
3- Cryptage/décryptage de message:
C = Me mod n D=Cd mod n
Le message est représenté par des entiers M compris entre 0 et n-1.

Réseaux d’accès et réseaux haut débit Pr.Youssefi FST SETTAT 34


Cyptographie

Exercice
c’est un exercice simple de création des clés RSA d’un utilisateur
1- L’utilisateur A choisit les nombres premiers p=5 et q=7.
Trouvez la clé publique et clé secrète de l’utilisateur A?
2- Déterminer l’espace des message en clair {0, 1, …, n-1}.
Chiffrer le message M=2 noté b? puis déchiffrer le message crypté?

Réseaux d’accès et réseaux haut débit Pr.Youssefi FST SETTAT 35


Cyptographie
 Exemple simple de création des clés RSA d’un utilisateur
 Création des clés RSA d’un utilisateur
Dans cet exemple, on a consideré deux petits nombre premiers (juste pour expliquer le
principe, en pratique on utilise les grands nombres premiers).
 L’utilisateur a choisit p=5 et q=7 (n=p.q=35)
 On cherche e=? (e doit être premier avec (p-1)(q-1)=24)  e=5
 On cherche d=? (e.d=1 mod (p-1)(q-1)) c.a.d 5d=1 mod(24)  d=5
Alors les clés de l’utilisateur user 1 sont:
Clé privé de user 1: (p=5,q=7, d=5)
Clé Publique de user 1: (n=35,e=5)
 Cryptage / décryptage des messages
Si user 2 veut transmettre un message (M=2 noté b) à user 1, user 2 crypte le message avec la clé
publique de user 1.
Message crypté: C= Me mod n =32 mod(35) Message décrypté: D=Cd mod n=2 mod (35)

Réseaux d’accès et réseaux haut débit Pr.Youssefi FST SETTAT 36


Technologie de cryptage
 Cryptage asymétrique: RSA (Rivest Shamir Adelman)

1- Création des clés: user 1 crée 4 nombres:


- p=17 et q=11 deux petits nombres premiers (juste pour test)
- e =? un entier premier avec (p-1)(q-1)
- d=? un entier tel que ed=1 mod (p-1)(q-1)
2- Distribution des clés: Clé secrète = (p=17, q=11, d=?)
User1
Clé publique = (n = p.q = 187, e=?)
3- Cryptage/décryptage de message:

C = Me mod n D=Cd mod n

Réseaux d’accès et réseaux haut débit Pr.Youssefi FST SETTAT 37


Technologie de cryptage
 Cryptage asymétrique: RSA (Rivest Shamir Adelman)

1- Création des clés: user 1 crée 4 nombres:


- p=17 et q=11 deux petits nombres premiers (juste pour test)
- e =7 un entier premier avec (p-1)(q-1)
- d=23 un entier tel que ed=1 mod (p-1)(q-1)
2- Distribution des clés: Clé secrète = (p=17, q=11, d=23)
User1
Clé publique = (n = p.q = 187, e=7)
3- Cryptage/décryptage de message:

C = Me mod n D=Cd mod n

Réseaux d’accès et réseaux haut débit Pr.Youssefi FST SETTAT 38


Technologie de cryptage

 Performance temporelle d’un algorithme de cryptage

 Le cryptage asymétrique est très lent:


Durée du traitement en seconde
cryptage algorithme chiffrement déchiffrement
Cryptage DES, clé à 64 bits 3241 koctets/s 3333 koctets/s
symetrique 3DES, clé à 112 bits 1596 koctets/s 1620 koctets/s
Cryptage RSA, clé à 1024 bits 4.23 koctets/s 2.87 koctets/s
asymetrique

 Solution: Le cryptage hybride

Réseaux d’accès et réseaux haut débit Pr.Youssefi FST SETTAT 39


Technologie de cryptage

 Echange des clefs secrètes

Deux méthodes les plus courantes:

1- Transport de clef:
Utilisation d'un algorithme à clef publique pour chiffrer une
clef de session générée aléatoirement

2- Génération de clef:
Protocole Diffie-Hellman

Réseaux d’accès et réseaux haut débit Pr.Youssefi FST SETTAT 40


Technologie de cryptage
 Cryptage asymétrique: Echange de clés Diffie-Hellman
 Inventé en 1976 par Diffie et Hellman
 Génération d’un secret partagé à partir d'informations publiques

 Alice et Bob se mettent d'accord sur deux entiers publics :


un grand entier p tel que (p-1)/2 soit premier et sur un entier g .
 Alice choisit de manière aléatoire un grand nombre entier a, qu'elle garde secret, et
calcule sa valeur publique, A = ga mod (p).
 Bob fait de même et génère b et B = gb mod (p).
 Alice envoie A à Bob ; Bob envoie B à Alice.

 Le secret partagé = gab mod p

Réseaux d’accès et réseaux haut débit Pr.Youssefi FST SETTAT 41


Fonctions de hachage
 Fonctions de l’empreinte ou de « hach »
La garantie d'intégrité est apportée par une fonction d'empreinte (ou de " hash ").

- Le condensat (ou empreinte) d'un message est une version raccourcie et unique du
message d'origine, obtenue à la suite d'une transformation mathématique.

- Une fonction de hash doit posséder des propriétés clés:


• Elle ne doit pas être inversible. Il doit être impossible dans la pratique de
retrouver un message à partir de son condensat.
• Elle doit être résistante aux collisions. Pour deux messages différents, leurs
condensats doivent être différents.

- Les fonctions de hash les plus répandues : MD5 abandonnée au profit des SHA1,
SHA2 et SHA3 qui sont présentes dans tous les éditeurs de messageries ou serveurs et
navigateurs Internet.

Réseaux d’accès et réseaux haut débit Pr.Youssefi FST SETTAT 42


Fonctions de hachage
 Fonctions de l’empreinte ou de « hach »
Une preuve d’intégrité du message:
Lors d'un envoi
 L'émetteur transmet son document et
l'empreinte associée (en indiquant la
fonction de hash utilisée)
 Le destinataire recalcule localement le
hash du document reçu, et le compare au
hash reçu.
 Si les deux hash différent, c'est que le
document a été modifié.

Réseaux d’accès et réseaux haut débit Pr.Youssefi FST SETTAT 43


Signature électronique
 Signature électronique
Pour chaque envoi, le hash du document est calculé, chiffré avec la clé
privée de l'émetteur, et transmis avec le message.
Lors de la réception
 Le destinataire accède au document en clair, et recalcule l'empreinte
associée (avec la fonction de hash utilisée par l'émetteur)
 Le destinataire décode le hash codé reçu, à l'aide de la clé publique de
l'émetteur
 Si les deux hash sont identiques, c'est la garantie que le document est
intègre, et qu'il vient bien de l'émetteur déclaré

Réseaux d’accès et réseaux haut débit Pr.Youssefi FST SETTAT 44


Signature électronique
 Signature électronique
La signature électronique repose sur 2 éléments:
– Le certificat électronique
– Un module de signature

Réseaux d’accès et réseaux haut débit Pr.Youssefi FST SETTAT 45


Certificat électronique
 Certificat électronique
Afin de sécuriser les échanges dématérialisés il est nécessaire de disposer:
- D’une pièce d’identité électronique permettant d’associer une clé publique et privée
à une personne bien déterminée, appelée certificat électronique.
- Le certificat est donc un élément de l’infrastructure de confiance des échanges
électroniques lorsqu’il est délivré par des organismes « de confiance » (Prestataires
de Services de Certification Electronique).
- Le certificat est utilisé pour différents usages:

Réseaux d’accès et réseaux haut débit Pr.Youssefi FST SETTAT 46


Cryptographie
 Quiz 2
1. Expliquer le rôle de l’authentification forte? Donner quelques exemples pratiques?
2. Comparer la fiabilité fonctionnelle et les performances temporelles des 2 techniques de
cryptage suivante:
• Cryptage symétrique
• Cryptage asymétrique
3. Expliquer le principe de la signature numérique? Quel est le rôle de l’autorité de
certification?
4. Une entreprise souhaite développer une application de téléphonie sécurisée sur internet.
Proposer des algorithmes pour assurer la confidentialité et l’intégrité des données?
Proposer une technique d’authentification forte?
5. Ali souhaite transmettre a son interlocuteur (supposé) Ahmed une cinquantaine de
documents confidentiels. Ali ne connait pas Ahmed mais ce dernier lui affirme qu‘il
dispose d'une bi-c1e délivrée par un PSCE. Expliquez comment Ali va procéder pour
transmettre l'ensemble des documents a Ahmed par voie électronique, et comment
Ahmed peut s’assurer que les documents sont corrects et proviennent de Ali.

Réseaux d’accès et réseaux haut débit Pr.Youssefi FST SETTAT 47


Partie 3: Les VPNs

Réseaux d’accès et réseaux haut débit Pr.Youssefi FST SETTAT 48


Les VPNs
 Définition du VPN
VPN = une technique d’interconnexion de sites distants sur un réseau partagé.

– Virtuel : les sites de client apparaissent comme étant physiquement sur le même réseau
– Privé : chaque sous réseaux client a ses informations séparés

Réseaux d’accès et réseaux haut débit Pr.Youssefi FST SETTAT 49


Les VPNs
 Les VPNs:
 PPTP: Point to Point Tunneling Protocol (Microsoft)
- PPTP utilise le protocole PPP de la couche liaison
- PPTP chiffre et authentifie les données
 L2TP: Layer two Tunneling Protocol (Cisco)
- L2TP ne permet que l’authentification de données
 IP Sec: IP security (Standard)
- Le plus sûr: sécurise toute la couche application
 SSL/TSL

 VPN MPLS

Réseaux d’accès et réseaux haut débit Pr.Youssefi FST SETTAT 50


Les VPNs
 Architecture

Couche Protocole
Application SSH, S/MIME, PGP, SRTP
Transport SSL, TLS
Réseau IP Sec
MPLS
Liaison PPTP, L2TP
Physique Scrambling, communications quantiques,…

Réseaux d’accès et réseaux haut débit Pr.Youssefi FST SETTAT 51


Les VPNs
Les 2 grands cas d’utilisation de VPN sont les suivants :

 VPN Site to Site: Interconnexion de sites distants d’une même


entreprise partageant les mêmes ressources sans avoir recours à
des lignes spécialisées (LS).

 VPN Remote access: Raccordement de télétravailleurs ou


utilisateurs nomades. Ils peuvent accéder aux ressources de
l’entreprise à travers des connexions VPN.

Réseaux d’accès et réseaux haut débit Pr.Youssefi FST SETTAT 52


Les VPNs
 Exemple: VPN internet

Réseaux d’accès et réseaux haut débit Pr.Youssefi FST SETTAT 53


Les VPNs
 VPN internet
Pourquoi utiliser un VPN internet ?

 Économie par rapport à tout autre type de connexion. L’entreprise ne


paye que l’accès à l’Internet et non une liaison data opérateur dans le
cas d’une liaison RNIS ou un forfait dans le cas d’une Liaison MPLS
ou liaison spécialisée

 Sécurité lors des connexions d’utilisateurs distants au réseau interne de


l’entreprise…

 Flexibilité dans l’évolution géographique des infrastructures

 Grande augmentation des débits de connexion Internet et diminution


des coûts de connexion

 fortes baisses des prix des matériels et logiciels VPN.

Réseaux d’accès et réseaux haut débit Pr.Youssefi FST SETTAT 54


Les VPNs
 Exemple: VPN à travers internet

La solution VPN est une alternative aux solutions traditionnelles.

Solutions traditionnelles Solution VPN

Réseaux d’accès et réseaux haut débit Pr.Youssefi FST SETTAT 55


Les VPNs

 Exemple: VPN à travers internet


 Avantages et Inconvénients:

Solutions traditionnelles Solution VPN internet

Avantages Avantages
- qualité de service - le coût le plus bas du marché.
- Sécurité par contrat - offre des garanties de sécurité (utilisation de
- des délais d’acheminements garantis tunnels).
- solution pour la gestion des postes nomades.
Inconvénients
- coût beaucoup plus élevée que la Inconvénients
solution VPN - la qualité de service (et les délais
d’acheminement) n’est pas garantie

Réseaux d’accès et réseaux haut débit Pr.Youssefi FST SETTAT 56


VPN IP SEC

 Interconnexion de succursales (VPN Site to Site )

 Interconnexion des réseaux de l’entreprise.


 Protocole IP Sec.
 Sécurité:
- Authentification des machines et des users.
- Confidentialité (chiffrement) et intégrité des
données.

Réseaux d’accès et réseaux haut débit Pr.Youssefi FST SETTAT 57


VPN IP SEC
 Raccordement des utilisateurs nomades (Remote access)

 Accès au réseau de l’entreprise depuis


l'ordinateur portable d'un utilisateur (ou
smartphone) connecté à Internet partout dans
le monde, quel que soit le fournisseur d'accès.
 Accès SSL ou IP Sec.
 Sécurité:
- Authentification des machines et des users.
- Confidentialité (chiffrement) et intégrité des
données.

Réseaux d’accès et réseaux haut débit Pr.Youssefi FST SETTAT 58


VPN IP SEC

 Le protocole IP Sec

Définition :

Protocole de sécurité au sein de la couche réseau. Ce protocole est développé


pour fournir un service de sécurité à base de cryptographie, permettant de
garantir l'authentification, l'intégrité, le contrôle d'accès et la confidentialité
des données.

IP Sec sécurise toute la couche réseau.

Réseaux d’accès et réseaux haut débit Pr.Youssefi FST SETTAT 59


VPN IP SEC

 Le protocole IP Sec

 IP v4 n’offre aucune garantie de sécurité,

 IP Sec c’est un cadre de standards ouvert de niveau 3,

 Permet de sécurisé les applications mais également toute la couche IP,

Réseaux d’accès et réseaux haut débit Pr.Youssefi FST SETTAT 60


VPN IP SEC

 IP Sec offre

 la confidentialité (chiffrement).
 l'intégrité.
 l'authentification.

Réseaux d’accès et réseaux haut débit Pr.Youssefi FST SETTAT 61


VPN IP SEC
 Les modes de fonctionnement IP Sec
1- Mode transport
Ce sont uniquement les données transférées (la partie payload du paquet
IP) qui sont chiffrées et/ou authentifiées. Le reste du paquet IP est
inchangé et de ce fait le routage des paquets n'est pas modifié.

2- Mode tunnel
En mode tunnel, c'est la totalité du paquet IP qui est chiffré et/ou
authentifié. Le paquet est ensuite encapsulé dans un nouveau paquet IP
avec un nouvel en-tête IP.

Réseaux d’accès et réseaux haut débit Pr.Youssefi FST SETTAT 62


VPN IP SEC
 Le mode tunnel IP Sec
processus en trois phase :
- Encapsulation : la charge utile est mise dans un entête supplémentaire
- Transmission : acheminement des paquets par un réseau intermedaire.
- Désencapsulation : récupération de la charge utile.

Réseaux d’accès et réseaux haut débit Pr.Youssefi FST SETTAT 63


VPN IP SEC
 Paramétrage IPsec
Exemples de configuration du VPN IP Sec sur Cisco ASA 5500

Paramètre Moins Fiable Très fiable


Algorithme de DES AES-256
cryptage
Algorithme de MD5 SHA-3
hachage
Méthode Clé partagée Cryptage RSA
d'authentification Signature RSA
Echange de clés Diffie-Hellman Diffie-Hellman
Groupe 1 Groupe 5
Durée de vie SA 86400 seconds Moins de 86400
IKE secondes

Réseaux d’accès et réseaux haut débit Pr.Youssefi FST SETTAT 64


Les VPN SSL
 Protocole SSL (Secure Sockets Layer)

- SSL est un protocole de niveau 4


- Gestion de l’authentification client serveur.
- Gestion du cryptage des données.
- Sécurisation de différents protocoles:
HTTP, FTP, POP, IMAP, ….
- Implementation dans les navigateurs web:
Firefox, chrome, Internet explorer,…

Réseaux d’accès et réseaux haut débit Pr.Youssefi FST SETTAT 65


Les VPN SSL
 Protocole SSL/TLS
- Le brevet de SSL appartenait à Netscape.
- En 2001, il a été racheté par l’IETF (Internet Engineering Task
Force)
- Depuis il s’appelle TLS (Transport Layer Protocol).
- Basé sur cryptage asymétrique et les certificat numériques.

Réseaux d’accès et réseaux haut débit Pr.Youssefi FST SETTAT 66


Les VPNs et QoS
VPN et Qualité de service (QOS)

Les VPN peuvent-ils procurer une qualité de service aux applications


de l’utilisateur ?
Prérequis:
 le réseau doit effectuer une différenciation du trafic.
 le réseau doit reconnaître les types de trafic et à les classer.
La QOS peut être garantit:
1-Le réseau de l’entreprise obéit à la gestion de qualité de service
DiffServ et classifie les flots grâce à des classificateurs.
2-Le réseau opérateur est de type MPLS, et divers LSP,
correspondant aux qualités de service, sont ouverts.

Réseaux d’accès et réseaux haut débit Pr.Youssefi FST SETTAT 67


Les VPNs et QoS
VPN et QOS

Protocole Avantages Inconvénients

- Pas d’authentification des utilisateurs


IP Sec
- Pas de gestion QoS
(VPN Entreprise) Confidentialité/Intégrité
- Lourdeur des opérations
-Dépend du réseau MPLS du l’opérateur
MPLS
Rapide télécom.
(VPN Opérateur)
- Pas de cryptage de données

Comparatif des protocole VPN IP Sec et MPLS

Réseaux d’accès et réseaux haut débit Pr.Youssefi FST SETTAT 68


Les VPNs et QoS
VPN et QOS: IP Sec sur MPLS
Les nouveaux usages et besoins
des entreprises :
- Augmentation du nombre de
sites.
- Echanges voix, vidéo et data
(gestion QoS).
- Nomadisme, mobilité des
employés.
- Sécurité des données.

La mise en place de réseaux


innovants type MPLS ou VPN IP
Sec.

Réseaux d’accès et réseaux haut débit Pr.Youssefi FST SETTAT 69


VPNs

 Quiz 3

1. Dans quelle couche du modèle OSI fonctionne le protocole SSL?


Protocole IP Sec? En déduire la différence entre les 2 protocoles de
point de vue réseau?
2. Une entreprise souhaite interconnecter 4 succursales dans 3 villes
différentes, ces succursales sont connectées à internet. Sachant que
l’entreprise exploite une application web pour la gestion de ses
services et que quelques employés de l’entreprise sont toujours en
situation de mobilité, proposer une technique d’interconnexion:
- Les protocoles
- L’architecture du réseau
- Le matériel nécessaire

Réseaux d’accès et réseaux haut débit Pr.Youssefi FST SETTAT 70


Partie 4: Configuration d’un VPN site to site
Cisco ASDM

Réseaux d’accès et réseaux haut débit Pr.Youssefi FST SETTAT 71


Network diagram

Réseaux d’accès et réseaux haut débit Pr.Youssefi FST SETTAT 72


Réseaux d’accès et réseaux haut débit Pr.Youssefi FST SETTAT 73
Run the IPsec VPN Wizard once the ASDM application connects to the ASA.

Réseaux d’accès et réseaux haut débit Pr.Youssefi FST SETTAT 74


Choose the Site−to−Site IPsec VPN tunnel type and click Next as shown here.

Réseaux d’accès et réseaux haut débit Pr.Youssefi FST SETTAT 75


Specify the outside
IP address of the
remote peer. Enter
the authentication
information to use,
which is the
pre−shared key in
this example. The
pre−shared key used
in this example is
cisco123. The Tunnel
Group Name will be
your outside IP
address by default if
you configure L2L
VPN. Click Next.

Réseaux d’accès et réseaux haut débit Pr.Youssefi FST SETTAT 76


Specify the attributes to
use for IKE, also known as
Phase 1. These attributes
must be the same on both
the ASA and the IOS
Router. Click Next.

Réseaux d’accès et réseaux haut débit Pr.Youssefi FST SETTAT 77


Specify the attributes to
use for IPsec, also known
as Phase 2. These
attributes must match on
both the ASA and the IOS
Router. Click Next.

Réseaux d’accès et réseaux haut débit Pr.Youssefi FST SETTAT 78


Specify the hosts whose
traffic should be allowed
to pass through the VPN
tunnel. In this step, you
have to provide the Local
and Remote Networks
for the VPN Tunnel.
Click the button next to
Local Networks as
shown here to choose the
local network address
from the drop down list.

Réseaux d’accès et réseaux haut débit Pr.Youssefi FST SETTAT 79