Vous êtes sur la page 1sur 76

Accès distant Sécurisés

par VPN et Gestion des


Clés Publiques par PKI

Présenté par : Feron Nicolas


: Ben Younes Chaouki k
Plan
Introduction aux réseaux VPN
Protocoles VPN
L2F
PPTP
L2TP
IPSec : Analyse d’echnagés des cles avec IPSec

Infrastructure de Gestion de clé

Services, Rôles et garanties

Exemple d'infrastructure de gestion de clés : New PKI

Conclusion

2
Introduction aux réseaux VPN
VPN: Virtual Private Network:

Permet à plusieurs réseaux virtuellement indépendant d’utiliser


la même infrastructure sans aucune connexion entre eux.

Intérêt:
 Proposer une connexion sécurisé a travers un réseau public ou
non sûr.

 Permet de relier deux Réseaux distant

 Télétravail

 Accès distant : connexion au LAN d’une entreprise


(Intranet, messagerie, Matérielle…)
 établir une Connexion Sécurisé, compresser les données

 Réduire le Cout et le temps de connexion d’accès à distance

 Meilleur ROI pour les entreprises 3


Introduction aux réseaux
VPN

4
Introductions aux VPN
Site to Site VPN :
Intranet Based:

 Connecter différents sites d’une même entreprise


Donc connecter plusieurs LANs

Extranet Based:

 Relation privilégiée entre deux entreprise (partner, supplier…)

 Customer to Business

 Partagée / LANs
5
Introductions aux VPN

6
Introduction aux réseaux
VPN
Différents VPN Services Models:

Overlay VPN : Point to Point Links

 Modèle à base de Tunnels


 Au Niveau 2 OSI : ATM, Frame Relay
 Au niveau 3 OSI : IPSec

Peer to Peer Model:

 Modèle Peer to Peer : échange des routes à travers


réseaux de l’operateur

7
Introductions aux réseaux
VPN

Modèles VPN 8
Introductions aux réseaux VPN

9
Plan

Introduction aux réseaux VPN

Protocoles VPN
L2F
PPTP
L2TP
IPSec : Analyse d’echnagés des cles avec IPSec

Gestion des clés Publiques PKI

Infrastructure de Gestion de clé

Services , Rôles et garanties

Conclusion

10
Protocoles VPN

Caractéristiques d’une VPN Sécurisé ?

Confidentialité des données

Intégrité des données

Authentification

Protocoles VPN supporte et satisfait ces contraintes ?

11
Protocoles VPN

L2F: Layer 2 Forwarding


 Solution CISCO : 1998

 L2F fournit un tunnel sécurisé entre utilisateurs nomade


passerelle VPN et le ISP

 Tunnel qui crée un point virtuel entre utilisateurs /


Entreprise

L2F : Tunnel au niveau 2 HDLC, SLIP frame

 L2F : Permet l’encapsulation des Packets de la PPP/SLIP


(connexion internet par modem) dans le Tunnel L2F
12
Protocoles VPN
L2F:
Authentification et Chiffrement basé sur PPP

 Le processus de connexions PPP comporte 3 phases:

– Etablissement de la connexion

Link Protocol Control (LCP): Configure et surveille la connexion


L’Authentification suit l’établissement de la connexion:

• Mot de Passe: PAP (Password Authentification Protocol)

: Login et Mot de Passe qui circule en clair : Protocole Vulnérable

• CHAP : Challenge Handshake Authentication Protocol


Authentification user auprès de NAS

13
Protocoles VPN
L2F:

 CHAP :l'ensemble des mots de passe sont stockés en clair sur le serveur
 MS-CHAP propose une fonction de hachage propriétaire permettant de
stocker un hash intermédiaire du mot de passe sur le serveur.

 le mot de passe de l’utilisateur hacher le mot de passe à l'aide de


l'algorithme propriétaire.
14
Protocoles VPN
L2F:
 Inconvénient : Protocole pas sûr, failles de sécurité liées à
des faiblesses de la fonction de hachage .

 Passage à CHAP V2: inclut le techniques de chiffrement


3DES

Algorithme de Chiffrement Symétrique :

3 énchainements successives de l’algorithme DES, sur le


même bloc des données de 64 bits avec 2 ou 3 clés DES
différentes

15
2. Configuration des Protocoles de la couche Réseaux:

Network Control Protocol (NCP): Configure les Protocoles


de la couche 3 transportés dans la connexion PPP

L2F/L2TP: UDP port 1701

3. Fin de la connexion

16
Protocoles VPN
L2F:

LCP: HDLC
IDSN….

NCP: IPXCP
ATCP (Apple Talk)
DNCP (Dcnet)

Les Fonctions de L2F sont couvertes par L2TP, Protocole Standard


IETF pour les Tunnels 17
Protocoles VPN
PPTP: Point to Point Tunnel Protocol
 Développé par 3COM, Microsoft, Robotics, ECI Télématics

 Extension de la norme PPP, utilisé pour créer des VPN


Multi-Protocoles

 Protocole qui utilise une connexion PPP à travers un réseau IP


En créant une VPN : Tunnel au niveau 3 PPTP, Permet le cryptage et
la compression des données

 Les datagrammes des protocoles réseaux sont encapsulés dans


une enveloppe IP en utilisant Generic Routing Encapsulation (GRE)

Authentification se fait grâce au Protocole Ms-Chap de Microsoft

Chiffrement avec le Protocole MPPE (Microsoft PP Encryption)


18
Protocoles VPN
PPTP:

Encapsulation avec GRE

Modèle OSI 19
Protocoles VPN
PPTP:
Etapes d’établissement de la connexion :
1. Connexion avec ISP (établir une connexion PPP) : modem

2. Établissement d’une connexion PPP, Permet de circuler les données


sur internet.

3. Une deuxième connexion Dial up

4. Etablissement d’un Tunnel (encapsuler les Paquets PPP dans


datagramme IP) avec GRE + chiffrement MPPE

Le trafic conçu pour le réseaux privé distant passe par la connexion


virtuelle PPTP

RQ: contrôle session 1723/TCP


20
Protocoles VPN:
PPTP:

MPPE: Microsoft Point - to - Point Encryption:


Protocole de cryptage sur un lien PPP, basé sur RSA RC4
encryption algorithm.
MPPE support des clés des 40-bit, 56-bit and 128-bit, qui
changent fréquemment pour plus de securité.

MPPC: Microsoft Point - to - Point Compression:


Technique de compression opère au niveau 2
Améliorer le performance de transfert entre les 2 entités

21
PPTP:

Accès Dial-up RTC


 Accès a travers serveur NAS (Network Access Server), à partir d’une
RTC
Caractéristiques:

 Intérêt : risque des piratage réduit (PPP), simple de mettre en


place
22
PPTP:
 Inconvénient : Cout de la connexion, Bande Passante peu
élevée

 Type d’accès: Connexion Ponctuelle, limité dans le temps


(consultation de messagerie, transfert des données…)

Type d’utilisateur: nomade, mobile

Investissement Matériel: Serveur NAS, modem

23
Protocoles VPN :
L2TP: Layer 2 Tunneling Protocol

 Issu de la convergence des deux protocoles L2F et PPTP


 Cisco et Microsft

 Différence avec L2F:


• Contrôle de flux avec L2TP
• Authentification du tunnel optionnel / obligatoire L2F
•Chiffrement des données avec IPSec

Etablissement de la connexion :
1. Initialisation de la connexion à travers une connexion PPP vers
ISP (via RNIS, xDSL, modem…)
2. ISP authentifié utilisateur, établit un tunnel L2TP vers la
passerelle de l’entreprise
3. Authentification de l’utilisateur par le passerelle de l’entreprise
Connexion de bout en bout
24
Protocoles VPN :
L2TP:

NAS (Network Access Server)


(ISP)

LAC: L2TP Access Server


Caractéristiques:
 Intérêt : Coût de connexion réduit

 Inconvénient : risque de piratage élevé (authentification n’est pas


obligatoire)
25
Protocoles VPN :
L2TP:
 Type de Connexion : multiple connexions simultané

 Type d’utilisateur : télétravailleur, exploitant

Investissement Matérielle : Serveur VPN, carte accélératrice

26
27
Protocoles VPN :
IPSec:

 Cryptage des données : assurer échange sécurisé des données


au niveau 3

 Implémenté au niveau IP V6

Il supporte de façon flexible :

• Confidentialité (lutter contre l’analyse des trafic ) via chiffrement

Authentification des intervenants et des données échangées (signatures)

• Intégrité (hashage)

Contrôle d’acces
28
Protocoles VPN :
IPSec:

29
Protocoles VPN:
la famille des Protocoles IPSec basé sur deux protocoles:
Authentication Header (AH) : garantir l’intégrité et
l’authenticité des datagrammes IP

En Mode Tunnel : entre Passerelle

Encapsulating Security Payload (ESP) : Crypter les


données, integrité , Authentification

30
Protocoles VPN:
Analyse d'échanges des clés avec IPSec:
Fonctionnement : lors de l’établissement d’une connexion
IPSec
un canal d'échange de clés, sur une connexion UDP / 500, gérer par le
Protocole IKE (Internet Key Exchange)

Le protocole IKE est en charge de négocier la connexion. Ce protocole


permet deux types d'authentifications:

 Authentification par la génération de clefs de sessions :PSK


(Pre-Shared Key ou secret partagée)

 Authentification : Certificats / Signatures RSA

Transfet des données via des canaux de données de réseau privé via les
deux protocoles : AH et ESP
31
Analyse d’echanges des clés avec
IPSec
PSK: Configuration Host to VPN avec PSK
Échangés des clés secrets : algorithme Symétrique
Clés partagés par les 2 interlocuteurs

Connaissance Préalable d’un PSK


32
Inconvénients:
Authentification PSK
Sous openswan le sécret partagé est contenu dans le
fichier ipsec.secrets

Ce mode d’authentification n’est pas satisfaisant


 Le secret Partagé PSK doit être échangé d’une
manière discrète, simple

 Le Gateway doit partager un PSK (Pré Shared


Key) avec chaque Client
Complexité du Système: difficile à gérer pour un
grand nombre des clients

33
Analyse d'échanges des clés
avec IPSec
Authentification RSA

RSA
34
Implentations des VPN
Solutions Commerciale:

VPN sous des ISA Server : Solution Microsoft

Solutions Open Source : Licence GPL GNU

Opensawan (IPSec) fork de freeswan


SSLTunnel

Solutions Mac os-x-panther

35
Plan
Introduction aux réseaux VPN

Protocoles VPN
L2F
PPTP
L2TP
IPSec : Analyse d’echnagés des cles avec IPSec

Gestion des clés Publiques par


PKI
Exemple d'infrastructure de Gestion de clé

Conclusion

36
Gestion des clés Publiques
par PKI
 Utilisation de clés publiques
 Qu’est ce qu’une PKI ?
 Ensemble de composants physiques
 Services
 Garanties
 Roles
 Notion de tiers de confiance
 Organisation d'une PKI
 Signature et chiffrement
 Utilisation d'une PKI
37
Utilisation de clés publiques c

 L'utilisateur choisit la clé publique


 Illa publie à grande échelle en toute
confiance pour assurer que la clé
publique:
–est bien celle de son propriétaire
–son propriétaire est digne de confiance
–est toujours valide

38
Utilisation de clés
publiques (2)

 L'utilsateurcode ensuite son message avec la


clé publique
 Seul le destinataire possédant la clé privé
associé à la clé publique peut lire le message

39
Ensemble clé publique / clé privée
 Onassocie une clé privée à chaque clé
publique

 Ensemble associé à un certificat délivré par


un tiers de confiance: Le PKI
40
Qu’est ce qu’une PKI ?

• Public Key Infrastucture

• Ensemble de composants physiques

• Fournis des garanties, des services

41
Qu’est ce qu’une PKI ? (3)
Infrastructure à clé publique:

 utilise des mécanismes de signature

certifie des clés publiques qui permettent de


chiffrer

 signer des messages ainsi que des flux de


données, afin d'assurer la
confidentialité,l'authentification, l'intégrité
et la non-répudiation.
42
Ensemble de composants
physiques
Ordinateurs

équipements cryptographiques ou HSM, des


cartes à puces)

procédures humaines (vérifications, validation)

logiciels (système et application) en vue de


gérer le cycle de vie des certificats numériques
ou certificats électroniques
43
Services

 Utilisateurs:
• Enregistrement
• Identification
• Authentification
 Certificats:
• Génération
• Renouvellement
• Révocation
• Publication
• Archivage, séquestre et recouvrement
 Publication des listes de révocations

44
Services

45
Garanties
 Confidentialité
 Authentification
 Intégrité
 non-répudiation
Elles sont obtenues:
 par l'application de processus de vérification d'identité
rigoureux
 par la mise en œuvre de solutions cryptographiques
fiables (éventuellement évaluées), conditions
indispensables à la production et à la gestion des
certificats électroniques.
46
Confidentialité
Seul le destinataire (ou le possesseur)
légitime d'un bloc de données ou d'un
message pourra en avoir une vision
intelligible

47
L'authentification
Lors de l'envoi d'un bloc de données ou
d'un message ou lors de la connexion à
un système, on connaît sûrement
l'identité de l'émetteur ou l'identité de
l'utilisateur qui s'est connecté

48
Authentification

49
Intégrité
On a la garantie qu'un bloc de données ou
un message expédié n'a pas été altéré,
accidentellement ou intentionnellement

50
La non-répudiation
L'auteur d'un bloc de données ou d'un message ne
peut pas renier son œuvre.

51
La non-répudiation

52
Rôles de l'infrastructure de
gestion de clés
Enregistrer des demandes de clés en vérifiant
l'identité des demandeurs
Générer les paires de clés (clé privée / clé
publique)
Garantir la confidentialité des clés privées
correspondant aux clés publiques
Certifier l'association entre chaque
utilisateurs et sa clé publique
 révoquer des clés (en cas de perte,
d'expiration ou de compromission)
53
Organisation d'une PKI

L'autorité de certification
L'autorité d'enregistrement
L'autorité de dépot (ou annuaire)
L'auhtaurité finale
L'autorité de séquestre (de clés)
L'opérateur de certifications
Le service de validation

54
Organisation d'une PKI

55
Notion de tiers de confiance

• Ou Autorité de Certification (CA )

• Chargé d'assurer la véracité des


informations contenues dans le certificat de
clé publique et de sa validité

• Signe le certificat de clé publique à l'aide de


sa propre clé en utilisant le principe de
signature numérique

56
Notion de tiers de confiance

57
Organisation d'une PKI (4)

58
Signature
1. Empreinte: création grace à la privée, cryptée
2. Empreinte et certificat joints au message
3. Destinataire vérifie la validité du certificat
4. Transformation de l'empreinte avec la clé
publique
5. Vérification de l'intégrité du message grâce à
l'empreinte.

Exemples d'algorithme de signature:


RSA,DSA

59
Signature (2)

60
Chiffrement
 Chiffrement à clé secrète (symétrique)

 Chiffrement à clé publique (asymétrique)

 Exemples d'algorithme de chiffrement:


Symétrique: DES, AES
Asymétrique: RSA

61
Chiffrement (2)

62
Certificat numérique

 Définition

 Structure

 Obtention

 Exemple d'un Certificat X509 généré par


OPENSSL

63
Certificat numérique
Définition
Carte d'identité numérique

Identifie une entité physique ou non-physique.

Lien entre l'entité physique et l'entité numérique

Son autorité :
• fait foi de tiers de confiance

• atteste du lien entre l'identité physique et l'entité


numérique. 64
Certificat numérique
Obtention
L'utilisateur fait une demande auprès de l'autorité
d'enregistrement.
Celle-ci:
génère un couple de clé (clé publique, clé privée)
envoie la clé privée au client
applique une procédure et des critères définis par
l'autorité de certification qui certifie la clé
publique
appose sa signature sur le certificat, parfois
fabriqué par un opérateur de certification.
65
Certificat numérique
Obtention (2)

66
Certificat X509 généré par
OPENSSL
L'utilisation du PKI
Exemple de l'authentification mutuelle :
 la partie cliente d'une application
présente un certificat à la partie serveur,
qui en vérifie la validité auprès de
l'annuaire des certificats révoqués

 le serveur peut lui-même envoyer un


certificat au client, ce qui permet une
authentification mutuelle, par exemple
un web sécurisé
68
Plan
Introduction aux réseaux VPN
Protocoles VPN
L2F
PPTP
L2TP
IPSec

Infrastructure de Gestion de clé

Exemple d'infrastructure
de Gestion de clé
Conclusion 69
Exemple
d'infrastructure à gestion de clé
 NewPKI

 Basée sur l'API de bas niveau OpenSSL

 Fournis une couche d'abstraction SQL

 Intégration facilité (C++)

70
Caractérisques de NewPKI
 Manipulation de plusieurs AC sur 1 seul serveur
 Publication de requêtes de certificats :
• Provenant de fichiers CSR
• Par spécification des champs de DN
 Certification
de requetes
 Révocations de certificats
 Génération de CRL
 Recherche de requetes ou de certificats
 Répondeur OCSP
 Recherche et publication LDAP 71
NewPKI

72
Utilisation de NewPKI
Plan
Introduction aux réseaux VPN
Protocoles VPN
L2F
PPTP
L2TP
IPSec

Infrastructure de Gestion de clé

Exemple d'infrastructure de Gestion de clé

Conclusion
74
Conclusion

 Les VPN et les PKI sont devenues, au jour


d'aujourd'hui, des outils indispensables pour la
sécurisation des communications

 PKI sert pour des applications tels que mail


chiffré, web sécurisé VPN (notamment IPSEC)

 Actuellement l'absence de standards pour


l'implantation des PKI et des VPN, engendre des
problèmes d'interopérabilité entre les offres du
marché.

75
Liens
•fr.wikipedia.org/wiki/PKI
•www.securiteinfo.com/cryptographie/pki.shtml
•www.hsc.fr/ressources/presentations/pki/
•Openswan.fr
•Sourceforge.net
•Mi.cnrs-orleans.fr
IPSec: l'ouvrage de référence pour le nouveau
standard de sécurité pour VPN
•PKI Open Source, deploiement et
administration, Christophe Cachat & David
Carella 76

Vous aimerez peut-être aussi