Download - VPN: SSL vs IPSEC
e-Xpert Solutions SA | 3, Chemin du Creux | CH 1233 Bernex-Genève | Tél +41 22 727 05 55 | Fax +41 22 727 05 50
[email protected] | www.e-xpertsolutions.com4
Technologie VPN« IPSEC vs SSL »
Séminaire du 21 avril 2004
Sylvain Maret
4
4 Solutions à la clef
Agenda technologie VPN IPSEC vs SSL
Survol de la technologie VPN SSLSon fonctionnement de base
IPSEC en deux motsComparaison avec IPSEC
Les points forts IPSECLes points faibles IPSEC
Deux problématiques VPNIntrusion par le tunnelMobilité (Kiosk)
Conclusion
4
4 Solutions à la clef
SSL / TLS: un peu d’histoire
SSL version 1 et 2 par Netscape en 1994Secure Socket Layer
Contre attaque par Microsoft en 1995Private Communication Technology (PCT)
SSL version 3 par Netscape en 1995Repris par IETF en 1997: TLS
Transport Layer Security version 1.0 ou SSL version 3.1RFC 2246
Standard toujours actuelAjout ciphers (AES)
4
4 Solutions à la clef
SSL / TLS: fonctionnement classique
Généralement utilisé avec le protocole HTTP (HTTPS)
Navigateurs (IE, Mozilla, etc.)
Support d’autres applicationsldap, imap, smtp, etc.
Technologie basée sur PKICertificat X509 serveur
Certificat X509 client
Validation par CRL ou OCSP
Support du mode « tunnel »
IP
TCP
Application
SSL / TLS
Physique
4
4 Solutions à la clef
Technologie SSL VPN: l’idée
Utiliser le client VPN des navigateursPas besoin d’installer du logiciel
Support des technologies d’authentificationsRadius, SecurID, Ldap, Certificats numériques, NTLM, etc,
Rendre accessible « toutes » les applications dans le navigateur
Approche « Webifyer »
« Tunneliser » les autres applicationsApproche « tunnel » SSL
Même approche que IPSEC
4
4 Solutions à la clef
Webifyer: pas de clients « natif »
Internet
Laptop
Mobile Device
Partner
Kiosk
Secured bySSL / TLS
Applications Web
Reverse Proxy
(OWA, Lotus)
Terminaison SSL
Share NT, NFS,
email, X11,
Terminal Server
Citrix, etc.
Telnet, SSH,
TN32.., etc.
Authentification
4
4 Solutions à la clef
Tunnel SSL: avec clients « natif »
Terminaison SSL
Terminaison SSL
SSL / TLS
SSL / TLS
PPPInterface virtuelle
Routage
Localhost
127.0.0.1:1352
TCP 1352
Lotus
FTP
TCP 20,21
TCP Static
TCP, UDP, ICMP
Authentification
4
4 Solutions à la clef
Technologie IPSEC
IP SecurityModification trame IPSupport TCP, UDP, ICMP
Technologie normalisée par l’IETF en 1995
RFC 2401, 2402, 2406 et 2409
Support PKICertificat clientCertificat « gateway »
Support authentification « classique »
Radius, SecurID, etc.
IP
TCP
Application
IPSEC
Physique
4
4 Solutions à la clef
SSL / IPSEC en terme de sécurité et confort
Technologie IPSEC: les points forts !
Très haut niveau de sécuritéSupport de l’échange des clés symétriques en cours de session
Support AES par la plupart des clients IPSEC
Attaque de type MiM pas connue à ce jour
Confort d’utilisationTransparent pour l’utilisateur
Pas besoin d’utiliser son navigateur
4
4 Solutions à la clef
SSL / IPSEC en terme de déploiement et mobilité
Technologie IPSEC: les points faibles !
Déploiement complexeInstallation d’un client IPSECClient très intrusif (Couche 3)Nécessite la maîtrise du poste clientInstallation des clients « natif »Configuration complexe (NAT, Routage)Problème de cohabitation logiciel
Mobilité fortement réduiteNotion de « kiosk » pas réalisable
4
4 Solutions à la clef
Intrusion: problématique du mode VPN « pure »
Ouverture d’un moyen de communication (tunnel) ,entre le client et l’entreprise, très simple à exploiter !
Virus, Worm, BackdoorWIN32.Blaster.Worm (TCP 135 / DCOM RPC)
Concerne IPSEC ou SSL (ppp over SSL)
Recommandation minimum au niveau du poste clientMise en place d’un Anti-virusMise en place d’un firewall personnel
Mise en œuvre d’une solution IPS NetworksCheck Point InterSpect™ par exemple
4
4 Solutions à la clef
Mobilité: problématique du « Kiosk »
Gestion des « traces » sur la borneHistorique des URLCache, fichiers temporairesCookiesSoftware Helper (Code Mobile)
Authentification par certificat numériqueAttention au support physique
Carte à puce ou Token USB
Solutions alternativesSecurID ou RSA Mobile
4
4 Solutions à la clef
Conclusion
Deux technologies complémentairesLes VPN SSL ne vont pas remplacer IPSEC à court terme
Marketing fabriquant!
Quelle technologie choisir?Niveau de sécurité?Déploiement software?Maîtrise des postes clients?Déploiement applications clientes « natives »?Confort à l’utilisation?Mobilité?Etc.
4
4 Solutions à la clef
Questions?
e-Xpert Solutions SA | 3, Chemin du Creux | CH 1233 Bernex-Genève | Tél +41 22 727 05 55 | Fax +41 22 727 05 50
[email protected] | www.e-xpertsolutions.com4
e-Xpert Solutions SAIntégrateur en sécurité informatique
Au bénéfice d'une longue expérience dans les secteurs financiers et industriels, e-Xpert Solutions SA propose à sa clientèle des solutions
« clé en main » dans le domaine de la sécurité informatique des réseauxet des applications. Des solutions qui vont de la sécurité de périmètre –
tel le firewall, VPN, IDS, FIA, le contrôle de contenu, l’anti-virus – aux solutions plus avant-gardistes comme la prévention des intrusions
(approche comportementale), l'authentification forte, la biométrie, les architectures PKI ou encore la sécurisation des OS Unix, Microsoft et des
postes clients (firewall personnel).
e-Xpert Solutions SA | 3, Chemin du Creux | CH 1233 Bernex-Genève | Tél +41 22 727 05 55 | Fax +41 22 727 05 50
[email protected] | www.e-xpertsolutions.com4
Pour plus d’informations:
e-Xpert Solutions SAChemin du Creux 3
CH – 1233 Bernex / Genève
Tel: +41 22 727 05 55Fax: +41 22 727 05 50