Académique Documents
Professionnel Documents
Culture Documents
Chapitre3 Pro Crypto PDF
Chapitre3 Pro Crypto PDF
Plan
1. Introduction
3. Le Tunneling
4. Le protocole IPSec
6. Conclusion et perspectives
1
VPN: Virtual Private Network (1/4)
Dispersion physique et géographique des sites des entreprises.
Objectifs:
VPN (2/4)
Travailleur mobile
(Données, GSM,GPRS, UMTS)
+ PC laptop Siège social
Serveur de
Partenaire A fichier comptable
Réseau partenaire A
Réseaux données
GSM,GPRS,UMTS
? ? Intranet de
Lan interne
? ? l’entreprise
? Serveur
bases de
données
?
?
agence distante
ou unité distante
? Extranet sécurisé Serveur Web
des Employés
Partenaire B Partenaire C
SOHO: Small Office Home
Office
(télé travailleur ou
petite agence distante)
2
VPN (3/4)
Les VPN : des réseaux privés construits sur des réseaux publics comme
l’Internet.
Network
Les VPN(s) : des réseaux qui permettent l’interconnexion des entités
distantes.
Private
Les VPN(s) ne permettent qu’un accès privé à l’information, aucune
connexion externe n’est autorisée.
Virtual
Les VPN(s) s’appuient sur des architectures de réseaux partagées et
sur une séparation logique des ressources sans s’appuyer sur des
connexions physiques dédiées.
Communications Sécurisées Yassine KHLIFI, 2012 5/36
VPN (4/4)
Authentification :
des utilisateurs : permettre l’accès uniquement aux personnes
autorisés.
de l’origine des données.
Cryptage des données (confidentialité et Intégrité de l’information).
Gestion d’adresses : affectation d’une adresse sur le réseau privé.
Gestion des clés et des certificats.
Prise en charge de plusieurs protocoles de communication.
Gestion de la qualité de service (QoS).
Disponibilité et gestion des pannes.
3
Tunneling (1/3)
Tunneling est une méthode d'utilisation d'une infrastructure de réseau
permettant de transférer des données d'un réseau via un autre.
Les données (ou charge utile) peuvent être des trames (ou des paquets)
d'un autre protocole
Tunneling (2/3)
Le chemin logique que les paquets encapsulés empruntent par
l'intermédiaire du réseau est qualifié de tunnel.
A la destination, le datagramme est décapsulée et transférée à
sa destination finale.
Le réseau de transit peut être n'importe quel réseau (ex:
Internet).
le tunneling englobe l’encapsulation, la transmission et la
décapsulation de datagrammes.
Le tunnel peut être crée de deux manières différentes:
Les tunnels volontaires : Tunnels directs entre les clients et le serveur.
Le tunnel d’office : Tunnel appliqué par une passerelle VPN.
4
Tunneling (3/3)
Pour qu'un tunnel puisse être établi, les deux extrémités du
tunnel doivent utiliser le même protocole de tunneling.
La technologie de tunneling peut être basée sur un protocole de
tunneling de couche 2 ou de couche 3.
Les protocoles de couche 2 (liaison de données): PPTP, L2TP
et L2F.
Encapsulent la charge utile dans une trame PPP (Point-to-Point
Protocol).
Les protocoles de couche 3 (couche réseau)
Encapsulent un paquets IP dans un paquet IP supplémentaire avant de
l’envoyer sur un réseau IP.
Exemple: IPSec (IP Security).
Des technologies basées sur des protocoles de couche 4 existent
(ex: SSL, SSH).
Communications Sécurisées Yassine KHLIFI, 2012 9/36
VPN - IPSec
5
IPSec : IP Security (1/3)
Le protocole IP fournit une interconnexion à travers des
réseaux différents.
Implémentation dans les terminaux utilisateurs et dans les routeurs
intermédiaires.
IP est un protocole peu fiable:
Les datagrammes IP peuvent être perdus.
Les paquets IP peuvent parvenir de façon désordonnées.
TCP s’occupe de ce problème.
Le contenu des paquets (Payload) n’est pas chiffré.
La confidentialité n’est pas fournie.
Les sniffers IP sont largement disponibles sur le net.
Les adresses IP peuvent êtres spoofées.
L’authentification basée sur les adresses IP peut être cassée.
IP n’est pas sécurisé.
Communications Sécurisées Yassine KHLIFI, 2012 11/36
6
IPSec : IP Security (3/3)
Avantages de IPSec
L’implémentation de IPSec sur les Firewalls/routeurs fournit une
sécurité appliquée à tout le trafic entrant et sortant.
La surcharge de traitement n’affecte pas les ressources du réseau interne.
Transparence aux utilisateurs: pas besoin d’instruire les utilisateurs, ni de
gérer des clés pour chacun d’entre eux.
IPSec est implémenté au dessous de la couche transport.
Transparence aux applications.
Pas besoin de mettre à jour les applications, même lorsque IPSec est
implémenté au niveau machines utilisateurs.
IPSec peut fournir la sécurité aux utilisateurs individuels.
N’est pas d’usage courant.
Utile aux utilisateurs désirant se connecter au réseau en dehors de leurs
bureau.
Communications Sécurisées Yassine KHLIFI, 2012 14/36
7
Protocoles IPSec
Authentication Header (AH)
Services IPSec
Contrôle d’accès
Intégrité
Authentification d’origine
Rejet des paquets rejoués
Confidentialité
8
Association de Sécurité (Security Association)
9
Association de Sécurité (Security Association)
La SPD est consultée pendant le traitement de tout datagramme
IP, entrant ou sortant, y compris les datagrammes non-IPsec.
Pour chaque datagramme, trois comportements sont
envisageables:
Rejeter.
Accepter sans traitement IPsec.
Appliquer IPsec: La SPD précisera quels traitements IPsec à appliquer.
Récapitulation
SPD: base de données définissant la politique de sécurité.
SA: une entrée dans la SPD.
SAD: liste des SA en cours d'utilisation.
Communications Sécurisées Yassine KHLIFI, 2012 19/36
10
AH (Authentication Header)
Fournit un support pour l’intégrité des données et l’authentification des paquets
HMAC-MD5-96 ou HMAC-SHA-1-96.
AH (Authentication Header)
11
Integrity check Value (ICV)
Représente un code MAC
Utilisation de l’algorithme HMAC.
Avec MD5 (HMAC-MD5-96) ou SHA-1 (HMAC-SHA-1-96).
Longueur par défaut des données d’authentification est égale à 96
le résultat de HMAC est tronqué.
12
AH Mode Transport
AH mode Tunnel
Nouvelle
entête IP
13
ESP (Encapsulating Security Payload)
Assure un service de confidentialité.
Confidentialité du contenu des messages via le cryptage.
Protection limitée contre l’analyse de trafic.
Padding (cacher la taille réelle des données et fournir une protection
limitée contre l’analyse de trafic).
Cryptage de la source et de la destination en mode tunnel.
14
ESP mode transport
15
ESP mode tunnel
Combinaison des SA
Une SA peut implémenter soit AH, soit ESP
Pour implémenter les deux, il faut combiner des SA
Formation d’un “Security Association Bundle”
16
Exemples
Deux approches :
17
Relation IKE/IPsec
Questions ?
18