Téléverser un fichier

article ssl ipsec

1
de simplement relayer les re- quêtes HTTP vers l’application que l’on désire atteindre. Cette méthode est très efficace en ter- mes de performance et de por- tabilité (pas d’installation de code mobile). Webify . L’idée est de transfor- mer un certain nombre de protocoles connus (messagerie, transfert de fichiers, Netbios, etc.) en code HTML pour que le navigateur puisse l’interpré- ter. Cette méthode présente malheureusement des limita- tions en termes d’applications supportées. Helper Software. C’est l’idée la plus utilisée. Il s’agit d’un code mobile chargé la première fois sur le poste nomade. Ce code peut être du Java ou un ac- tiveX. Cette solution permet alors virtuellement de déporter tout type d’applications internes via des technologies similaires à Citrix ou Terminal Server de Microsoft. L’inconvénient est qu’elle demande un peu plus de puissance côté poste nomade et dans certains cas les droits ad- ministrateurs. Tunneling. La dernière solution est basée sur l’encapsulation de protocole dans SSL. Il existe là aussi plusieurs approches : • Le tunnel classique SSL : cette solution consiste à ouvrir une session SSL entre le client et son serveur (Appliance SSL). Une fois celle-ci ouverte, l’applica- tion cliente se connecte alors sur son adresse IP de type «local- host» (127.0.0.1) puis entre dans le tunnel pour en ressortir du côté de «l’appliance». Alors ce- lui-ci relaie cette connexion vers l’applicatif final. Cette méthode présente toutefois une limita- tion : elle ne peut qu’encapsuler des protocoles de type TCP. • PPP over SSL : cette solution est beaucoup plus intéressante que le tunnel classique. En utili- sant un lien de type PPP dans un tunnel SSL, il est alors possible de transporter tout type de protocoles (TCP, UDP et ICMP). Ce mode de fonction- nement est alors très proche d’une solution VPN utilisant la technologie IPSEC. Dans ce mode de travail, il est fortement recommandé d’utiliser un fire- wall personnel. IPSEC client: les points forts La technologie IPSEC est in- contestablement une très bonne solution en termes de sécurité. Elle offre au même titre que SSL la confidentialité, l’inté- grité et l’authentification en uti- lisant aussi les mécanismes de cryptographie moderne. Cependant, IPSEC est supé- rieure à SSL en termes de sé- curité. IPSEC est capable de changer régulièrement la clé de session symétrique lors de la même session alors que SSL garde la même. IPSEC sup- porte l’algorithme AES pour le chiffrement des données alors que la majorité des applica- tions SSL ne l’ont pas encore implémenté. De même qu’il est «facile» d’effectuer une at- taque de type «Men in the Middle» sur SSL, il est difficile de la réaliser avec IPSEC. IPSEC client : les principaux points faibles? Le principal point faible d’un client IPSEC est son déploie- ment sur les postes nomades. Pour chaque poste, il est néces- saire d’installer un logiciel VPN. Ce logiciel est très intru- sif sur la machine car il travaille à un niveau très bas dans la cou- che ISO (niveau 2 et 3) et ceci induit bien souvent des problè- mes techniques d’interopérabi- lité. Pour une grande entreprise, ce déploiement peut vite deve- nir un calvaire! Du fait de la né- cessité d’un client VPN, il n’est pas possible d’accéder aux res- sources de son entreprise depuis un Kiosk Internet. Un autre point faible est le ni- veau de complexité technique engendré par un déploiement de clients IPSEC. Cette complexité est due principalement à des problématiques de routages IP qui nécessitent bien souvent la mise en oeuvre d’une solution de translation d’adresses (NAT), la problématique de la translation d’adresses au niveau du provi- der internet qui nécessite aussi la mise en place d’un mécanisme appelé «NAT Traversal». Conclusion A la vue des principaux points faibles de la technologie IPSEC pour les accès distants, je pense que la technologie SSL est une bonne solution pour offrir aux utilisateurs un système simple pour accéder de manière sécuri- sée aux ressources internes clas- siques de l’entreprise. Cette so- lution est en effet en mesure d’offrir une grande facilité de déploiement au sein de l’entre- prise et surtout de faciliter la gestion des postes nomades. Toutefois, IPSEC n’est de loin pas à négliger, surtout dans des environnements de- mandant un haut niveau de sé- curité et pour des ressources internes particulières. Je pense notamment à des accès de ges- tions systèmes et réseaux (ad- ministrateurs). l Sylvain Maret, directeur veille technologique e-Xpert Solutions SA *Note : pour offrir des accès distants sécurisés, il est fortement recommandé de mettre en œuvre un mécanisme d’authentification forte, par exemple quelque chose que l’on possède et quelque chose que l’on connaît. D e plus en plus d’entrepri- ses offrent déjà, où veu- lent offrir, un système d’accès distants sécurisé à leurs ressources informatiques inter- nes. Ces accès vont du système de messagerie interne, à l’intra- net, aux serveurs de fichiers, aux applications métiers (ERP, CRM, SCM), etc. Ces nou- veaux services sont utilisés aussi bien par les collaborateurs inter- nes que les partenaires, les clients, etc. Quant aux méthodes d’accès, elles vont du portable d’entreprise, du PC personnel, du Kiosk Internet, aux PDA, etc. Cette diversité de moyens d’accès, de type de population et d’applications fait qu’aujour- d’hui il n’est pas simple de choisir la bonne technologie VPN d’accès distant sécurisé. Depuis quelques mois, on en- tend beaucoup parler de VPN SSL comme étant la solution de remplacement de la technologie IPSEC pour les accès distants. Mais avant de voir les avantages et les inconvénients, voyons le principe de base d’un VPN uti- lisant la technologie SSL. Le protocole SSL SSL est un protocole qui a été développé par Netscape en 1994 (Version 1.0). Le but de ce protocole était d’offrir des ser- vices de sécurité point à point pour leur navigateur. SSL est capable de garantir la confiden- tialité, l’authentification et le contrôle d’intégrité des don- nées en utilisant des mécanis- mes classiques de cryptogra- phie (encryptions symétrique, asymétrique et fonction de «ha- chage»). SSL est essentielle- ment basé sur la technologie PKI, notamment pour l’authen- tification du serveur par l’inter- médiaire d’un certificat numé- rique. Aujourd’hui, SSL est principalement utilisé par les navigateurs internet (http://...) mais il est possible de l’utiliser dans d’autres contextes comme, par exemple, pour sécuriser une communication de type «ldap» ou pour «tunneliser» d’autres protocoles. On parle alors de protocole «over SSL». Technologie VPN SSL Dans le cadre de la technologie VPN SSL, l’idée est d’utiliser ce protocole pour sécuriser les ac- cès distants vers l’entreprise. Dans ce sens, il s’agit souvent d’une solution de type «ap- pliance» que l’on connecte di- rectement sur une zone publique de son firewall d’entreprise (DMZ). Cette «appliance» sert alors de terminaison SSL au na- vigateur du poste nomade qui, au préalable, est authentifié. La plupart des solutions construc- teurs sont capables de supporter les mécanismes d’authentifica- tion forte* tels que RSA Secur- ID, certificats numériques (To- ken USB, smartcard, «soft certi- ficate»), et le protocole radius. Une fois authentifié, l’utilisa- teur peut accéder à ses applica- tions classiques dans son navi- gateur internet. Mais comment cela fonctionne-t-il? Suivant les constructeurs, il existe plusieurs approches : Re- verse Proxy, Transformation HTTP vers l’applicatif Webify, Helper Software, Tunneling: Reverse Proxy. Il s’agit de la méthode la plus simple mais elle fonctionne uniquement avec un applicatif final «web enabled». L’idée est 43 11/03 l l C O M M U N I C AT I O N 42 l 11/03 l C O M M U N I C AT I O N SOLUTIONS. S’il est incontesté que VPN IPSEC est un bon choix pour la sécurisation des connexions de type site à site, qu’en est-il des connexions de type clients vers le réseau de l’entreprise? Un article de e-Xpert Solutions. Quelle technologie pour les accès distants sécurisés? Sécurité Mobilité Les entreprises et leurs employés étant de plus en plus mobiles, la technologie doit suivre… e-Xpert Solutions SA Au bénéfice d’une longue expérience dans les secteurs financiers et industriels, e-Xpert Solutions propose à sa clientèle des solu- tions «clés en main» dans le domaine de la sécurité informatique des réseaux et des applications. Des solutions qui vont de la sé- curité d’architecture – tel le firewall, VPN (SSL, IPSEC), le contrôle de contenu, l’antivirus, filtrage d’URL, code mobile – aux solu- tions plus avant-gardistes comme la prévention des intrusions (approche comportementale), les firewalls applicatifs HTTP, l’au- thentification forte, la biométrie, les architectures PKI ou encore la sécurisation des OS Unix et Microsoft et des postes clients (fi- rewall personnel).

Upload: sylvain-maret

Post on 10-Jun-2015

222 views

Category:

Documents


2 download

Report

TRANSCRIPT

Page 1: Article Ssl Ipsec

de simplement relayer les re-quêtes HTTP vers l’applicationque l’on désire atteindre. Cetteméthode est très efficace en ter-mes de performance et de por-tabilité (pas d’installation decode mobile).We b i fy . L’idée est de transfor-mer un certain nombre deprotocoles connus (messagerie,transfert de fichiers, Netbios,etc.) en code HTML pour quele navigateur puisse l’interpré-t e r. Cette méthode présentemalheureusement des limita-tions en termes d’applicationss u p p o r t é e s .Helper Software. C’est l’idéela plus utilisée. Il s’agit d’uncode mobile chargé la premièrefois sur le poste nomade. Cecode peut être du Java ou un ac-tiveX. Cette solution permetalors virtuellement de déportertout type d’applications internesvia des technologies similaires àCitrix ou Terminal Server deMicrosoft. L’inconvénient estqu’elle demande un peu plus depuissance côté poste nomade etdans certains cas les droits ad-m i n i s t r a t e u r s .Tunneling. La dernière solutionest basée sur l’encapsulation deprotocole dans SSL. Il existe làaussi plusieurs approches :• Le tunnel classique SSL: cettesolution consiste à ouvrir unesession SSLentre le client et sonserveur (Appliance SSL). Unefois celle-ci ouverte, l’applica-tion cliente se connecte alors surson adresse IP de type «local-host» (127.0.0.1) puis entre dansle tunnel pour en ressortir ducôté de «l’appliance». Alors ce-lui-ci relaie cette connexion versl’applicatif final. Cette méthodeprésente toutefois une limita-t i o n : elle ne peut qu’encapsulerdes protocoles de type T C P.• PPP over SSL : cette solution

est beaucoup plus intéressanteque le tunnel classique. En utili-sant un lien de type PPP dans untunnel SSL, il est alors possiblede transporter tout type deprotocoles (TCP, UDP e tICMP). Ce mode de fonction-nement est alors très proched’une solution VPN utilisant latechnologie IPSEC. Dans cemode de travail, il est fortementrecommandé d’utiliser un fire-wall personnel.

IPSEC client :les points fort s

La technologie IPSEC est in-contestablement une très bonnesolution en termes de sécurité.Elle offre au même titre queS S L la confidentialité, l’inté-grité et l’authentification en uti-lisant aussi les mécanismes decryptographie moderne.

Cependant, IPSEC est supé-rieure à SSL en termes de sé-curité. IPSEC est capable dechanger régulièrement la clé desession symétrique lors de lamême session alors que SSLgarde la même. IPSEC sup-porte l’algorithme AES pour lec h i ffrement des données alorsque la majorité des applica-tions SSL ne l’ont pas encoreimplémenté. De même qu’il est«facile» d’effectuer une at-taque de type «Men in theMiddle» sur SSL, il est diff i c i l ede la réaliser avec IPSEC.

IPSEC client : lesp rincipaux points faibles?

Le principal point faible d’unclient IPSEC est son déploie-ment sur les postes nomades.Pour chaque poste, il est néces-saire d’installer un logicielVPN. Ce logiciel est très intru-sif sur la machine car il travailleà un niveau très bas dans la cou-che ISO (niveau 2 et 3) et ceci

induit bien souvent des problè-mes techniques d’interopérabi-lité. Pour une grande entreprise,ce déploiement peut vite deve-nir un calvaire! Du fait de la né-cessité d’un client VPN, il n’estpas possible d’accéder aux res-sources de son entreprise depuisun Kiosk Internet.

Un autre point faible est le ni-veau de complexité techniqueengendré par un déploiement declients IPSEC. Cette complexitéest due principalement à desproblématiques de routages IPqui nécessitent bien souvent lamise en œuvre d’une solution detranslation d’adresses (NAT), laproblématique de la translationd’adresses au niveau du provi-der internet qui nécessite aussi lamise en place d’un mécanismeappelé «NAT Tr a v e r s a l » .

C o n c l u s i o nA la vue des principaux pointsfaibles de la technologie IPSECpour les accès distants, je penseque la technologie SSL est unebonne solution pour offrir auxutilisateurs un système simple

pour accéder de manière sécuri-sée aux ressources internes clas-siques de l’entreprise. Cette so-lution est en effet en mesured ’ o ffrir une grande facilité dedéploiement au sein de l’entre-prise et surtout de faciliter lagestion des postes nomades.

Toutefois, IPSEC n’est deloin pas à négliger, surtoutdans des environnements de-mandant un haut niveau de sé-curité et pour des ressourcesinternes particulières. Je pensenotamment à des accès de ges-tions systèmes et réseaux (ad-m i n i s t r a t e u r s ) . l

Sy l vain Ma ret, dire c t e u rveille

t e c h n o l o g i q u ee - X p e rt Solutions SA

* N o t e : pour offrir des accès

distants sécurisés, il est

fortement recommandé de

mettre en œuvre un mécanisme

d’authentification forte, par

exemple quelque chose que

l’on possède et quelque chose

que l’on connaît.De plus en plus d’entrepri-ses offrent déjà, où veu-lent off r i r, un système

d’accès distants sécurisé à leursressources informatiques inter-nes. Ces accès vont du systèmede messagerie interne, à l’intra-net, aux serveurs de fichiers, auxapplications métiers (ERP,CRM, SCM), etc. Ces nou-veaux services sont utilisés aussi

bien par les collaborateurs inter-nes que les partenaires, lesclients, etc. Quant aux méthodesd’accès, elles vont du portabled’entreprise, du PC personnel,du Kiosk Internet, aux PDA, etc.

Cette diversité de moyensd’accès, de type de populationet d’applications fait qu’aujour-d’hui il n’est pas simple dechoisir la bonne technologieVPN d’accès distant sécurisé.

Depuis quelques mois, on en-tend beaucoup parler de V P NS S L comme étant la solution deremplacement de la technologieIPSEC pour les accès distants.Mais avant de voir les avantageset les inconvénients, voyons leprincipe de base d’un VPN uti-lisant la technologie SSL.

Le protocole SSLS S L est un protocole qui a étédéveloppé par Netscape en1994 (Version 1.0). Le but de ceprotocole était d’offrir des ser-vices de sécurité point à pointpour leur navigateur. SSL e s tcapable de garantir la confiden-tialité, l’authentification et lecontrôle d’intégrité des don-nées en utilisant des mécanis-mes classiques de cryptogra-phie (encryptions symétrique,asymétrique et fonction de «ha-chage»). SSL est essentielle-ment basé sur la technologiePKI, notamment pour l’authen-tification du serveur par l’inter-médiaire d’un certificat numé-rique. Aujourd’hui, SSL e s tprincipalement utilisé par lesnavigateurs internet (http://...)mais il est possible de l’utiliser

dans d’autres contextes comme,par exemple, pour sécuriser unecommunication de type «ldap»ou pour «tunneliser» d’autresprotocoles. On parle alors deprotocole «over SSL».

Technologie VPN SSLDans le cadre de la technologieVPN SSL, l’idée est d’utiliser ceprotocole pour sécuriser les ac-cès distants vers l’entreprise.Dans ce sens, il s’agit souventd’une solution de type «ap-pliance» que l’on connecte di-rectement sur une zone publiquede son firewall d’entreprise(DMZ). Cette «appliance» sertalors de terminaison SSL au na-vigateur du poste nomade qui,au préalable, est authentifié. Laplupart des solutions construc-teurs sont capables de supporterles mécanismes d’authentifica-tion forte* tels que RSA S e c u r-ID, certificats numériques (To-ken USB, smartcard, «soft certi-ficate»), et le protocole radius.

Une fois authentifié, l’utilisa-teur peut accéder à ses applica-tions classiques dans son navi-gateur internet.

Mais comment celaf o n c t i o n n e - t - i l ?

Suivant les constructeurs, ilexiste plusieurs approches : Re-verse Proxy, Tr a n s f o r m a t i o nH T T P vers l’applicatif We b i f y,Helper Software, Tu n n e l i n g :Re verse Proxy. Il s’agit de la méthode la plussimple mais elle fonctionneuniquement avec un applicatiffinal «web enabled». L’idée est

4 311/03 l

l C O M M U N I C AT I O N

4 2 l 1 1 / 0 3

l C O M M U N I C AT I O N

S O LUTIONS. S’il est incontesté que VPN IPSEC est un bon

choix pour la sécurisation des connexions de type site à site,

q u’en est-il des connexions de type clients vers le réseau de

l’ e n t reprise? Un article de e-Xpert So l u t i o n s .

Quelle technologie pour les accès distants sécuri s é s ?S é c u r i t é

Mobilité Les entreprises etleurs employés étant de plusen plus mobiles, latechnologie doit suivre…

e - X p e rt Solutions SAAu bénéfice d’une longue expérience dans les secteurs financierset industriels, e-Xpert Solutions propose à sa clientèle des solu-tions «clés en main» dans le domaine de la sécurité informatiquedes réseaux et des applications. Des solutions qui vont de la sé-curité d’ a rc h i t e c t u re – tel le firewall, VPN (SSL, IPSEC), le contrôlede contenu, l’antivirus, filtrage d’URL, code mobile – aux solu-tions plus ava n t - g a rdistes comme la prévention des intrusions( a p p roche comportementale), les firewalls applicatifs HTT P, l’ a u-thentification forte, la biométrie, les arc h i t e c t u res PKI ou encorela sécurisation des OS Unix et Mi c rosoft et des postes clients (fi-rewall personnel).

Rapport LPM- SSL TLS : discriminations

Techno Doc sur le SSL

Certificat SSL (Secure Socket Layer)

Tunnels VPN SSL - Stormshield

Mise en place d'un serveur SSL

Protocole IPSEC - WordPress.com · Protocole IPsec S. Lazaar [email protected] Introduction: IP Sec, développé par l'IETF (Internet Engineering Task Force), a pour but de: ‘Sécuise

SSL/TSL Protocols

Decouvrez le SSL

Fiche produit certificats ssl

soutenance PFE IPSEC

Bcs Sb SSL Visibility en v2d

Installation et configuration d un serveur VPN SSL (v4.4)ftp.cclair.fr/Procédures/Installation-d-un-serveur-OpenVPN-SSL... · 1 Installation et configuration d’un serveur VPN SSL

Les debugs de Phase 1 DMVPN dépannent le guide€¦ · Protocole ISAKMP (Internet Security Association and Key Management Protocol) Échange de clés Internet (IKE) IPSec (IPSec)

Politique de Certi cation Certigna SSL PRIS

Configuration d'un tunnel IPSec entre un concentrateur ... · Configuration d'un tunnel IPSec entre un concentrateur Cisco VPN 3000 et un pare-feu Checkpoint NG Contenu Introduction

Group-IKEv2formulticastIPsecintheinternetof things ...secure group communication based on multicast IPsec. Group-IKEv2 is an adaptation of the IKEv2 protocol for the IPsec suite, and

Génération de certificats SSL

INF4420: Éléments de Sécurité Informatique sécuritaires de réseaux • SSH • SSL et TLS (HTTPS) • S/MIME • IPSEC/IPv6 INF4420 Sécurité Informatique INF4420 Sécurité

VPN IPSec sous Gnu/Linuxofppt.info/wp-content/uploads/2014/08/VPN-IPSec-sous-Gnu...VPN IPSec sous Gnu/Linux Document Millésime Page VPN IPSEC sous Gnu/Linux août 14 5 - 28 1.4. Informations

Interopérabilité avec les protocoles IPSec

Gamme USG et inspection SSL

IPSec, SSL, Kerberosbabacar.ndaw.free.fr/Docs Divers/Cours de Crypto_ ULG... · 2006-12-05 · Ce protocole fournit la confidentialité du contenu du message et une protection contre

2006 Stage Leonard Dhcpbyport Openvpn Ipsec

SSL/TLS : état des lieux et recommandations · 2020. 6. 23. · SSL/TLS : état des lieux et recommandations OlivierLevillain ANSSI olivier.levillain(@)ssi.gouv.fr Résumé SSL/TLS

Cible de sécurité d'un système d'administration de VPN IPsec · Client VPN Logiciel qui équipe un poste de travail pour lui apporter les fonctions d’un équipement VPN IPSEC

Rapport PFE Interception SSL Analyse Localisation Smatphones

Authentification TLS/SSL sous OpenVPN

Guide VPN Ipsec Mpls

SSL/TLS : Faille Heartbleed

Webinar SSL Français

Comment bien choisir ses certificats ssl

SSL 2+...ntrodution SSL 2+ User Guide 1 Introduction to SSL 2+ SSL 2+ USB オーディオインターフェイスをお買い上げいただきありがとうございます。 レコーディング、ライティング、プロダクションの

TP Config IPsec Windows

SSL 2+eu1.download.solidstatelogic.com/2 Plus /SSL 2 Plus... · SSL 2™ et SSL 2+™ est une marque commerciale de Solid State Logic. ... doit permettre à celles-ci d'être capturées

tp VPN+IPSEC