Vous êtes sur la page 1sur 63

Cours R&T

I.U.T. de Blagnac

Présentation du
Réseau Privé Virtuel
VPN

1
Sommaire
I) Présentation
II) Généralités
III) Cryptographie
IV) Cisco ASA : Projet Test-X
V) IPSEC
VI) Infrastructures à clés publiques
VII) Solution de nomadisme
VIII) Question/Réponses
2
I) Présentation

3
I) Présentation
L’intervenant
 Qui suis-je?

Yohann BAUZIL, 36 ans

2003-2005 : DUT Télécom & Réseau à l’IUT de Blagnac


2005-2008 : Etude d’Ingénieur à 3IL Rodez
2008-2017 : Ingénieur Réseau & Sécurité pour Airbus D&S
- Coordination technique des campagnes de tir satellite
2017-Now : RSSI, Officier de Sécurité et DPO
pour Airbus OneWeb Satellites.

Mail : yohannbauzil@hotmail.fr
4
I) Présentation
Préambule
- Systèmes d’information : architecture distribuée
- Briques logicielles et matérielles : très communicantes, SI distants sur Internet
- Cloud + Externalisation : Accélération de la tendance

- Briques critiques : flux de communication également


- Nombreuses informations sensibles (données d’authentification, informations
confidentielles, commandes de pilotage d’installations industrielles, etc.)
- Interception ou altération de ces informations : risques non négligeables
- Cyber-attaques : Nombreuses et sophistiquées
- Protection de ces flux sensibles : primordiale

- Problématique : pas bien appréhendée


- Nombreux flux sensibles : Pas protégés comme ils le devraient
- IPSec : La solution, éprouvée mais souvent mal maîtrisée/employée
5
I) Présentation
Glossaire / Source

Glossaire :
 IPSec : Internet Protocol Security
 AH : Authentication Header : protocole faisant partie de la suite IPsec
 ESP : Encapsulation Security Payload : protocole faisant partie de la suite IPsec
 IKE : Internet Key Exchange : protocole d’échange de clés
 TLS : Transport Layer Security : protocole de sécurisation en couche applicative.
 SSL : Secure Socket Layer : version obsolète de TLS.

Source :
 Présentation IUT (2011) : Réseau Privé Virtuel

 Note Technique ANSSI : Recommandations de sécurité relatives à IPSec pour la


protection des flux Réseau.
 Wikipédia

6
II) Généralités

7
II) Généralités
Principes

Le VPN, c’est :

 Quoi ?  Sécuriser les échanges

 Qui ?  Les entreprises, les administrations, les particuliers

 Où ?  Sur tous les réseaux non-maitrisés.

 Comment ?  En chiffrant les données.

 Pourquoi ?  Partager et accéder à des données sans risques.

8
II) Généralités
Principes

 Avantages
 Utilisation et partage des ressources sur un réseau privé
 Transparent pour toutes les couches hautes (Transport Application)
 Coût financier faible

 Inconvénients
 Lourd à mettre en place (Equipements, compétences)
 Administration quotidienne

9
II) Généralités
SSL / IPSEC

 TLS (SSL)
 Niveau Session du modèle OSI
 Utilise TCP (https, ldaps, ftps par exemple)
 Pas de TLS sur UDP

 IPSEC
 Niveau Réseau du modèle OSI
 Standard sur IPv6

10
II) Généralités
Site-to-site

 Liaison entre deux Firewalls (avec Module VPN)


 Indispensable : Si on s’appuie sur Internet
 Fortement conseillé : Si on utilise une interconnexion non-maitrisée

11
II) Généralités
Remote Acces

 Liaison entre un client logiciel et un boitier VPN


 Indispensable : Si on s’appuie sur Internet  Tous les postes nomades.
 IPSec peut s’ajouter à une sécurisation SSL.

12
II) Généralités
Utilisation personnelle
 Vous n’êtes qu’une IP publique sur Internet…

 Joueurs de poker, jeux en réseaux, support à distance.

 « Hamachi » de LogMeIn.

13
III) Cryptographie

14
III) Cryptographie
Définition

 Ensemble de techniques permettant de chiffrer et


de déchiffrer des informations.

 Basé sur l’arithmétique et les grands nombres

15
III) Cryptographie
Terminologie
 Chiffrement
 Utilisation d’une clé de chiffrement pour rendre inintelligibles
des informations

 Déchiffrement
 Utilisation de la clé de chiffrement pour inverser le mécanisme
de chiffrement

 Décryptage
 Tentative de déchiffrement illicite (sans clé)

 Cryptanalyse
 Méthodes de décryptage des informations (cassage)

 Cryptogramme 16
III) Cryptographie
Chiffrement symétrique

Le chiffrement symétrique

 Appelé aussi chiffrement à clé secrète

 Basé sur un secret partagé par les homologues

 Principe simple

17
III) Cryptographie
Chiffrement symétrique

 Avantages :
 Facile à calculer (chiffrer)
 Facile à inverser (déchiffrer)

 Contrainte :
 Echange des clés

18
III) Cryptographie
Chiffrement symétrique

Chiffrement/Déchiffrement des données :

19
III) Cryptographie
Chiffrement asymétrique

Le chiffrement asymétrique

 Chiffrement à clé publique

 Notion de bi clé (trousseau)


 Clé publique : connue de tous
 Clé privée : secrète ou personnelle

20
III) Cryptographie
Chiffrement asymétrique

 Avantage :
 Pas de transfert de clés privés.
 Gestion centralisée des clés publiques (annuaire)

 Inconvénient :
 Architecture globale plus complexe

21
III) Cryptographie
Chiffrement asymétrique

Chiffrement/Déchiffrement des données :

22
III) Cryptographie
Chiffrement asymétrique
La signature électronique :

23
III) Cryptographie
Echange de clés « Diffie-Hellman »

Cette méthode permet à deux entités de se mettre


d'accord sur un nombre. Ce nombre sera utilisé
comme clé pour chiffrer une conversation, sans
qu'une troisième entité puisse découvrir le nombre,
même en ayant écouté tous leurs échanges.

24
III) Cryptographie
Echange de clés « Diffie-Hellman »
Principe mathématique :
Il est facile de trouver deux grands nombres premiers p et q et de calculer
leur produit N = p * q.
En revanche, le problème consistant à retrouver p et q connaissant N est
difficile quand p et q sont grands. Ce problème est appelé factorisation.

25
III) Cryptographie
Echange de clés « Diffie-Hellman »
Voici un exemple de factorisation :

N=
3107418240490043721350750035888567930037346022842727545720161948823
2064405180815045563468296717232867824379162728380334154710731085019
19548529007337724822783525742386454014691736602477652346609
qui est décomposable en :
P=
1634733645809253848443133883865090859841783670033092312181110852389
333100104508151212118167511579
Q=
1900871281664822113126851573935413975471896789968515493666638539088
027103802104498957191261465571

Il a fallu faire travailler 80 processeurs Opteron de 2.2GHz pendant 5 mois. pour


trouver P et Q…
26
III) Cryptographie
Echange de clés « Diffie-Hellman »

27
III) Cryptographie
Echange de clés « Diffie-Hellman »

28
III) Cryptographie
Echange de clés « Diffie-Hellman »

29
III) Cryptographie
Echange de clés « Diffie-Hellman »

30
IV) Cisco ASA : Projet Test-X

31
IV) Cisco ASA
Projet Test-X

32
IV) Cisco ASA
Projet Test-X

33
IV) Cisco ASA
Projet Test-X

34
IV) Cisco ASA
Projet Test-X

35
IV) Cisco ASA
Faire un VPN

Tunnel Type :
Site-to-site
Remote Access

36
IV) Cisco ASA
Faire un VPN

Remote Peer & Authentication Method :

Méthode d’authentification :
 PSK
 Certificat

37
IV) Cisco ASA
Faire un VPN

IKE Policy :

Chiffrement :
 DES / 3DES /
 AES 128 /192
/256
Authentification :
- MD5
 SHA1
Diffie-Helman :
1
2
5

38
IV) Cisco ASA
Faire un VPN

IPSec Rule :

Chiffrement :
 DES / 3DES /
 AES 128 /192
/256
Authentification :
- MD5
 SHA1
Diffie-Helman :
1
2
5

39
IV) Cisco ASA
Faire un VPN

Cyphering Policy :

Network :
 Local
 Remote

40
IV) Cisco ASA
Faire un VPN

Résumé :

41
V) IPSec

42
V) IPSEC
Apports
 Authentification
 Avoir l’assurance qu’un homologue est bien celui qu’il prétend
être

 Confidentialité
 Avoir l’assurance que seuls les destinataires comprendront un
contenu

 Intégrité
 Avoir l’assurance que les données n’ont pas été altérées durant
leur transit

 Non-répudiation
 Avoir l’assurance que l’auteur d’une transaction ne puisse renier
ses échanges.
43
V) IPSEC
Deux protocoles : AH / ESP

 AH : « Authentication Header » (protocole IP n°51)


 Garantie des paquets non-altérés
 Garantie l’identité de l’expéditeur
 Données non chiffrées et transitent en clair

44
V) IPSEC
Deux protocoles : AH / ESP

 ESP : « Encapsulation Security Payload » (protocole IP n°50)


 Garantie des paquets non-altérés
 Garantie l’identité de l’expéditeur
 Données chiffrées
 Abandon total d’AH au profit d’ESP

45
V) IPSEC
Deux modes : Transport / Tunnel
 Mode transport

ICV « Integrity Check Value » : valeur utilisée pour le contrôle d’intégrité

46
V) IPSEC
Deux modes : Transport / Tunnel
 Mode tunnel

ICV « Integrity Check Value » : valeur utilisée pour le contrôle d’intégrité

47
V) IPSEC
Le protocole IKE

 Négociation dynamique des algorithmes et clés de


chiffrement
 Deux phases :
 1) ISAKMP (Internet Security Association and Key
Management Protocol) : protection du trafic d’échange des clés.
Authentification des participants via un secret partagé (PSK) ou
via des certificats.
 2) IPSec : protection du trafic dit « utile ».

48
V) IPSEC
Security Policy (SP)

La Security Policy sert à définir :


– l’utilisation obligatoire ou facultative ou de la non-utilisation d’IPsec ;
– l’utilisation du mode tunnel ou transport
– l’utilisation d’AH ou d’ESP.

L’ensemble des SP est regroupé dans une SPD « Security Policy Database ».

À l’image des règles de flux d’un pare-feu, la SPD a pour but de spécifier les flux
que l’on veut autoriser et ceux que l’on veut interdire.

49
V) IPSEC
Security Association (SA)

La Security Association va indiquer :


– les hôtes source et destination ;
– le mode (transport/tunnel) et les protocoles (AH/ESP) employés ;
– les algorithmes cryptographiques employés ;
– les clés associées à ces algorithmes.
Chaque SA est associée à une période de validité et à un nombre entier via un SPI
« Security Parameter Index ».
Les en-têtes AH et ESP indiquent systématiquement le SPI.

La cryptographie de la SA (algorithmes, clés) sera négociée par le protocole IKE.


Les options possibles sont configurées par l’administrateur.

L’ensemble des SA est regroupé dans une SAD «Security Association Database ».

50
V) IPSEC
PFS : Perfect forward Secrecy

 Mise en place de fenêtres temporelles « étanches »


 Une attaque ne pourra pas s’étendre aux fenêtres déjà refermées.
 La fenêtre est « une session », délimitée par des échanges
de clés IKE.
 A chaque échange de clés, on acquiert la garantie que les échanges
antérieurs à cet échange sont définitivement protégés même en cas de
compromission ultérieure du secret.
 On définit une plage d’utilisation et en volume de données.
 Il s’agit d’une mesure de « mitigation » du risque.

51
V) IPSEC
Architecture

52
VI) Infrastructure à clés publiques

53
VI) Infrastructure à clés publiques
Principes

 PKI : Public Key Infrastructure

 Ensemble de moyens visant à gérer les clés publiques d’un système

 Complexe et vaste : garant de la sécurité

 Tiers de confiance

 Gère les clés publiques


 Création des certificats (signature)
 Révocation (crl)

54
VI) Infrastructure à clés publiques
Certificats X509

 Fichier qui associe une clé publique à une personne


ou un matériel

 Deux sections
 Informations
 Le nom de l'autorité de certification
 Le nom du propriétaire du certificat
 La date de validité du certificat
 L'algorithme de chiffrement utilisé
 La clé publique du propriétaire

 Signature de l’autorité de certification

55
VI) Infrastructure à clés publiques
Génération des certificats

56
VI) Infrastructure à clés publiques
CRL (Certification Revocation List)

 Clés corrompues (perdues, altérées, volées…)

 Publication des clés révoquées

 Sécurisation du système de révocation

57
VII) Solution de nomadisme

58
VII) Solution de nomadisme
Les briques du nomade

Cette solution s’articule autour de 3 briques fondamentales.

1) Le client E360 : 2) Le client Cisco : 3) Le client ActivClient :


La gestion des connexions La partie chiffrement La partie authentification

59
VII) Solution de nomadisme
L’authentification forte

 L’authentification forte est basée sur deux principes fondamentaux :

 1) Un objet : « Je possède quelque chose »

 Une clé Actividentity

 Un certificat

 2) Une information : « Je sais quelque chose  »

 Un code PIN

 Une passphrase

60
VII) Solution de nomadisme
La notion d’OTP

Les « One Time Password » sont générés de la façon suivante :

61
VII) Solution de nomadisme
La notion d’OTP

LAN

FW

6 Utilisateu
r
Validation de la 5
connection sur le
1 LAN
PC Nomade

Clé ActivIdentity Concentrator


VPN
3
2

Authentification VPN
4 AD Domain
Servers

ActivIndentity
AAA Server

Génération du
Déverrouillage de la clé One time Password
nomade 62
VIII) Questions/Réponses

63