Vous êtes sur la page 1sur 36

W O R L D W I D E L E A D E R I N S E C U R I N G T H E I N T E R N E T

VPN et Solutions pour


lentreprise



David Lassalle
Khaled Bouadi

2001 Check Point Software Technologies Ltd. - Proprietary & Confidential
-2-
Dfinition
Quest ce quun VPN?
Network :
Un VPN permet dinterconnecter des sites distants => Rseau
Private :
Un VPN est rserv un groupe dusagers dtermins par authentification.
Les donnes sont changs de manire masque au yeux des autres par
cryptage => Priv
Virtual :
Un VPN repose essentiellement sur des lignes partags et non ddies .
Il nest pas rellement dtermin.Il est construit par dessus un rseau public
essentiellement.

Il sagit dun rseau priv construit par dessus un rseau public (Internet).



2001 Check Point Software Technologies Ltd. - Proprietary & Confidential
-3-
Types de VPNs
Accs distant dun hte au LAN distant via internet (Host to LAN)

Connexion entre plusieurs LANs distant via internet (LAN to LAN)

Connexion entre deux ordinateurs via internet (Host to Host)

2001 Check Point Software Technologies Ltd. - Proprietary & Confidential
-4-
Solutions traditionnelles et
VPN
La solution VPN est une alternative aux solutions traditionnelles.
Solutions traditionnelles Solution VPN
2001 Check Point Software Technologies Ltd. - Proprietary & Confidential
-5-
Avantages et Inconvenients
Solutions traditionnelles Solution VPN
Avantages
- de + en + de qualit de service QOS
- une GFA par contrat (scurit par contrat)
- des dbits en gnral assez levs voir
trs levs
- des dlais dacheminements garantis
Inconvnients
- cot beaucoup plus leve que la solution
VPN
- offre pas (ou peu) de protection du
contenu



Avantages
- une couverture gographique mondiale.
- le cot de fonctionnement le plus bas du
march(tarifs calculs sur la plus courte
distance au point daccs oprateur).
- offre des garanties de scurit (utilisation
de tunnels).
- solution pour la gestion des postes
nomades (grds nbs de points d accs).
Inconvnients
- la qualit de service (et les dlais
dacheminement) nest pas garantie
- les performances ne sont pas toujours au
rendez vous.

2001 Check Point Software Technologies Ltd. - Proprietary & Confidential
-6-
Enjeux des VPNs
confidentialit de
linformation
intgrit de linformation
authentification des
postes
protection du client VPN
gestion de la qualit de
service et des dlais
gestion des pannes
Corporate
Site
Internet
Partner #1
Partner #2
2001 Check Point Software Technologies Ltd. - Proprietary & Confidential
-7-
Authentification,confidentialit
et intgrit

Ces notions sont gres dans la gestion des tunnels.
Ces tunnels permettent dassurer ces notions par application
(solution de niveau 7 : HTTPS) ou pour tous les types de flux
(solutions de niveau 2/3 : PPTP,L2TP,IPSec) .

- niveau 2 type PPTP, L2T
- niveau 3 type IPSec
- niveau 7 type HTTPS


2001 Check Point Software Technologies Ltd. - Proprietary & Confidential
-8-
Tolrance aux pannes

VPN doit pouvoir se prmunir de pannes ventuelles de manire fournir
un temps de disponibilit maximum.

- viter les attaques virales par la mise en place de firewalls (sur LANs et
clients VPNs)
- possibilits dutiliser des ISP multiples.






2001 Check Point Software Technologies Ltd. - Proprietary & Confidential
-9-
Protection du client VPN
Internet
Attacker
Cable or xDSL

Des clients VPN peuvent tre hijacked et des pirates peuvent accder en toute
impunit au rseau priv.

Solution =>
- installer sur les clients VPN des firewalls personnels grs de manire centralise .
- lorganisation doit chercher fournir une solution de gestion centralise de la scurit
de tous les clients VPNs









2001 Check Point Software Technologies Ltd. - Proprietary & Confidential
-10-
Implmentation des tunnels :

processus en trois phase :
- Encapsulation : la charge utile est mise dans un entte
supplmentaire
- Transmission : acheminement des paquets par un rseau
intermedaire.
- Dsencapsulation : rcupration de la charge utile.

2001 Check Point Software Technologies Ltd. - Proprietary & Confidential
-11-

PPTP : Point to Point Tunneling Protocol
L2TP: Layer two Tunneling Protocol
Ipsec: Ip secure

Les protocoles de tunneling

2001 Check Point Software Technologies Ltd. - Proprietary & Confidential
-12-
PPTP description gnrale

Protocole de niveau 2
Encapsule des trames PPP dans des
datagrammes IP afin de les transfrer
sur un rseau IP
Transfert scurise : cryptage des
donnes PPP encapsules mais aussi
compression
2001 Check Point Software Technologies Ltd. - Proprietary & Confidential
-13-
Scnario dune connexion
GRE:(Internet Generic Routing Encapsulation)
L'entte GRE est utilise pour
encapsuler le paquet PPP dans le datagramme IP.
2001 Check Point Software Technologies Ltd. - Proprietary & Confidential
-14-
Client PPTP

Ordinateur supportant PPTP Linux ou microsoft

Client distant : accs dun ISP supportant les
connexion PPP entrantes modem + dispositif
VPN

Client local (LAN) : En utilisant une connexion
TCP/IP physique qui lui permet de se
connecter directement au serveur PPTP.
Dispositif VPN

2001 Check Point Software Technologies Ltd. - Proprietary & Confidential
-15-
PAP Password Authentication
Protocol

Mcanisme dauthentification non crypt

NAS demande le nom et mot de passe

PAP les envoi en clair ( non cod).

Pas de protection contre les usurpations
didentit si le mot de passe est compromis
2001 Check Point Software Technologies Ltd. - Proprietary & Confidential
-16-
CHAP (Challenge Handshake
Authentication Protocol) :

Mcanisme dauthentification crypt
Algorithme de hachage MD5 sens unique

Pas de mote de passe circulant en clair
2001 Check Point Software Technologies Ltd. - Proprietary & Confidential
-17-
MS-CHAP (Microsoft Challenge
Handshake Authentication Protocol):

Mcanisme dauthentification crypt
Algorithme de hachage MD4
Similaire a CHAP (code de hachage en
possession du serveur)
Encryptage MPPE ncessite
lauthentification MS-CHAP
2001 Check Point Software Technologies Ltd. - Proprietary & Confidential
-18-


Layer Two tunneling protocol
N de L2F et PPTP
Encapsule PPP dans IP,X25, ATM
Utilisation possible sur Internet ou des
WAN
2001 Check Point Software Technologies Ltd. - Proprietary & Confidential
-19-
IPsec IPSecure

IPsec protocole de niveau 3

Cration de VPN sr bas forcment
sur IP
Permet de scuris les applications
mais galement toute la couche IP

2001 Check Point Software Technologies Ltd. - Proprietary & Confidential
-20-
Authentification :Absence dusurpation
didentit; la personne avec qui on est cens
dialoguer est bien la personne avec qui on
dialogue

Confidentialit : Personne ncoute la
communication.

Intgrit: Les donnes reues nont pas t
modifies pendant la transmission.

Les rles d IPsec
2001 Check Point Software Technologies Ltd. - Proprietary & Confidential
-21-
Security Association

Encapsulation et la dsencapsulation des
Paquets IPsec est dpendante du sens de
transmission des paquets

Association services de scurit et cls avec
un trafic unidirectionnel
Les donnes permettant de spcifier ce
sens sont mise dans une SA
2001 Check Point Software Technologies Ltd. - Proprietary & Confidential
-22-
Security Association

Une SA est identifie par :

Un Security Parameter Index (SPI).
Le protocole IPSec utilis.
L'adresse de destination.

2001 Check Point Software Technologies Ltd. - Proprietary & Confidential
-23-
Mode Ipsec (transport)

Transport :
acheminement direct des donnes
protges par IPsec (ex : host to host)
2001 Check Point Software Technologies Ltd. - Proprietary & Confidential
-24-
Mode IPsec (tunnel)
tunnel :
trafic envoy vers des passerelles Ipsec
( ex LAN to LAN)
2001 Check Point Software Technologies Ltd. - Proprietary & Confidential
-25-
Solution offertes par Ipsec

Les protocoles utiliss par Ipsec

Authentication header (AH)
Encapsulating Security Payload (ESP)
Internet Key Exchange (IKE)


2001 Check Point Software Technologies Ltd. - Proprietary & Confidential
-26-
Authentification header (AH)
Authentification et intgrit des donnes.

Entte ajoute comportant une signature

Appliqu a tout type de VPN.

2001 Check Point Software Technologies Ltd. - Proprietary & Confidential
-27-
ESP Encapsulating Security Payload

La confidentialit des donnes;
L'authentification de l'origine des donnes;
La protection d'anti-replay (retransmission )
L'intgrit des donnes (sans connexion, par paquet).

2001 Check Point Software Technologies Ltd. - Proprietary & Confidential
-28-
Comparaison ESP entre AH

Confidentialit assure en ESP mais pas avec AH

Diffrence de portion des donnes scurise dans
authentification ESP et AH
AH protge les entte IP mais pas ESP

Lanti-replay est optionnel avec AH et obligatoire avec
ESP
2001 Check Point Software Technologies Ltd. - Proprietary & Confidential
-29-
IKE Internet Key Exchange:

Un protocole puissant flexible de ngociation
mthodes d'authentification,
mthodes de chiffrement,
cls d'utilisation + temps d'utilisation
change intelligent et sr des cls.
2001 Check Point Software Technologies Ltd. - Proprietary & Confidential
-30-
HTTPS
- solution de niveau 7
- scurit gre cette fois par service,en fonction de lapplication
-authentification par serveur Radius ou autre

2001 Check Point Software Technologies Ltd. - Proprietary & Confidential
-31-
Solutions pour lentreprise
choix de la solution VPN
- identification des types de flux WAN
- flux bas dbits synchrones utilises pour les applications transactionnelles, SAP
Emulation telnet ou 5250/3270
- flux large bande asynchrone pour les applications FTP, HTTP, messagerie

Flux synchrones
- ncessitent une bande passante minimale garantie avec un dlai dacheminement le
plus petit et le plus constant possible, cest le cas des applications temps rels
- ne peuvent tre offert quavec des rseaux de niveau 2 comme ATM ou Frame
Relay
- Internet n est pas adapt pour le moment

Flux asynchrones
- se produisent de manire imprvisible par rafales en occupant toute la bande
passante disponible
- aucune contrainte de dlai dacheminement nest ncessaire
- le volume dinformations vhicules de cette manire est toujours en forte
croissance
Ex : transferts de fichiers, messagerie, navigation





2001 Check Point Software Technologies Ltd. - Proprietary & Confidential
-32-
Choix de la solution VPN
En fonction des volumes et des types des changes attendus, on peut
dcider de la solution adopter parmi toutes celles proposes.
3 Alternatives

VPN INTERNET
- Faire cohabiter tous ces flux sur le mme rseau : VPN INTERNET
solution mise en place sur des rseaux de niveau 2 ou de niveau 3
solution la plus immdiate et la plus rencontre
utilisateurs jamais satisfaits : inadapte aux flux synchrones
A carter



2001 Check Point Software Technologies Ltd. - Proprietary & Confidential
-33-

- Grer la bande passante WAN : VPNs avec LAN/WAN Shaping
solution technique la plus rapide dployer aprs la prcdente
solution technique la plus adapte et la plus performante
flux synchrones et asynchrones cohabitent tjrs sur le mme support
mais la solution permet de les grer plus correctement
boitiers de LAN/WAN Shaping aux extrmits du rseau WAN oprateur

Choix de la solution VPN
2001 Check Point Software Technologies Ltd. - Proprietary & Confidential
-34-
Choix de la solution VPN

- VPN plus
sparation des flux applicatifs entre diffrents rseaux
- 1 rseau synchrone bas dbit garanti ( debits < 64Kbits/s ) de niveau 2
ex : Frame Relay ou LS
- 1 rseau asynchrone hauts dbits ( dbits > 128Kbits/s ) de niveau 3
ex : Internet
2001 Check Point Software Technologies Ltd. - Proprietary & Confidential
-35-



Quel VPN pour quel
entreprise ?

En fonction de la quantit et du type de flux inter sites, la solution varie :

Sites Importants France => Tlcoms avec WAN Shaping
Sites importants Europe-Monde => VPN avec WAN Shaping
Sites moyens Europe-Monde => VPN avec WAN Shaping
Petits sites France-Europe-Monde => VPN
Nomades France => Accs distants RAS/VPN Nomade
Nomades Europe, Monde => VPN Nomade

2001 Check Point Software Technologies Ltd. - Proprietary & Confidential
-36-
Exemples concrets

VPN IP internet
Utilisation de tunnels IPSEC entre firewalls / nomades avec
=> Checkpoint Firewall-1 / secureremote
=> CISCO PIX VPN / Secure client

WAN TELCO et IP
=> Frame Relay / ATM / MPLS avec
=> UUNET : Uusecure VPN
=> France Telecom :Global Intranet=> Global One : Global IP VPN
=> Belgacom : VPN Office
=> Maiaah : intranet
=> Communaut automobile (GALIA) : ENX

Vous aimerez peut-être aussi