Académique Documents
Professionnel Documents
Culture Documents
Sécurité VPN
Objectifs
Rappels
Attaques en anonyme
Attaques en authentifié
Conclusion
Objectifs
Objectifs
Rappels
Attaques en anonyme
Attaques en authentifié
Conclusion
Rappels
• Attention
– SSL/TLS peut être utilisé par un serveur Web
• Des tests complémentaires doivent être réalisés
• Ipsec permet
– La confidentialité des données
– L’authentification et le contrôle d’intégrité
– La protection contre le rejeu
Objectifs
Rappels
Attaques en anonyme
Attaques en authentifié
Conclusion
Attaques en anonyme
• Le vecteur d’attaque principal sur un VPN est l’authentification
– Plus particulièrement sur la PSK (PreShared Key)
• Objectifs
– Forcer le serveur à utiliser le Mode agressif (Aggressive Mode)
• Ce mode permet d’accélérer la création du tunnel VPN
• Mais des informations peuvent être récupérées en clair
• Protection
– Configurer l’équipement VPN afin de ne pas autoriser le mode Agressif
Attaques en anonyme
• La configuration de certains équipements permet de déterminer
la présence de comptes valides
– En raison de messages d’erreur différents
• Exemple
– Compte valide : Identifiant valide mais mot de passe incorrect
Attaques en anonyme
• Exemple
– Compte invalide : identifiant inconnu
Attaques en anonyme
• L’une des vulnérabilités les plus courantes est la présence d’un
compte trivial
Objectifs
Rappels
Attaques en anonyme
Attaques en authentifié
Conclusion
Attaques en authentifié
• Lorsqu’un client est connecté au VPN, certains points de
configuration peuvent amener
– L’obtention de l’accès au SI interne par un attaquant
– Le rebond sur d’autres réseaux
Attaques en authentifié
• Exemple 1 : On me vole mon ordinateur portable alors que je suis
connecté par VPN au SI de l’entreprise
• Impact
– L’attaquant sera en mesure d’avoir un accès au SI interne de ma société
• Protection
– Mise en place d’une déconnexion automatique du VPN lorsque le client est
inactif durant une certaine période
Attaques en authentifié
• Exemple 2 : Un attaquant prend le contrôle de mon poste alors
que je suis connecté au VPN de l’entreprise
• Impact
– L’attaquant peut utiliser mon ordinateur comme passerelle vers le SI
interne de la société
• Protection
– Déconnexion des autres interfaces réseau lorsque je me connecte au VPN
de l’entreprise
Attaques en authentifié
• Exemple 3 : En tant que prestataire, je possède un accès au
serveur en DMZ d’un client via un VPN
• Impact
– Si la politique de filtrage est insuffisante, je peux rebondir sur le réseau
interne de l’entreprise et tenter d’attaquer les postes et serveurs de la
société
• Protection
– Vérification et mise en place d’une politique de filtrage stricte et
empêchant le rebond vers le réseau interne
Sommaire
Objectifs
Rappels
Attaques en anonyme
Attaques en authentifié
Conclusion
Conclusion
• Faible nombre de vulnérabilités connues sur les VPN
– Défauts de configuration (Mode agressif)