vpn: ssl vs ipsec

16
e-Xpert Solutions SA | 3, Chemin du Creux | CH 1233 Bernex-Genève | Tél +41 22 727 05 55 | Fax +41 22 727 05 50 [email protected] | www.e-xpertsolutions.com 4 Technologie VPN « IPSEC vs SSL » Séminaire du 21 avril 2004 Sylvain Maret

Upload: sylvain-maret

Post on 24-May-2015

11.255 views

Category:

Technology


7 download

TRANSCRIPT

Page 1: VPN: SSL vs IPSEC

e-Xpert Solutions SA | 3, Chemin du Creux | CH 1233 Bernex-Genève | Tél +41 22 727 05 55 | Fax +41 22 727 05 50

[email protected] | www.e-xpertsolutions.com4

Technologie VPN« IPSEC vs SSL »

Séminaire du 21 avril 2004

Sylvain Maret

Page 2: VPN: SSL vs IPSEC

4

4 Solutions à la clef

Agenda technologie VPN IPSEC vs SSL

Survol de la technologie VPN SSLSon fonctionnement de base

IPSEC en deux motsComparaison avec IPSEC

Les points forts IPSECLes points faibles IPSEC

Deux problématiques VPNIntrusion par le tunnelMobilité (Kiosk)

Conclusion

Page 3: VPN: SSL vs IPSEC

4

4 Solutions à la clef

SSL / TLS: un peu d’histoire

SSL version 1 et 2 par Netscape en 1994Secure Socket Layer

Contre attaque par Microsoft en 1995Private Communication Technology (PCT)

SSL version 3 par Netscape en 1995Repris par IETF en 1997: TLS

Transport Layer Security version 1.0 ou SSL version 3.1RFC 2246

Standard toujours actuelAjout ciphers (AES)

Page 4: VPN: SSL vs IPSEC

4

4 Solutions à la clef

SSL / TLS: fonctionnement classique

Généralement utilisé avec le protocole HTTP (HTTPS)

Navigateurs (IE, Mozilla, etc.)

Support d’autres applicationsldap, imap, smtp, etc.

Technologie basée sur PKICertificat X509 serveur

Certificat X509 client

Validation par CRL ou OCSP

Support du mode « tunnel »

IP

TCP

Application

SSL / TLS

Physique

Page 5: VPN: SSL vs IPSEC

4

4 Solutions à la clef

Technologie SSL VPN: l’idée

Utiliser le client VPN des navigateursPas besoin d’installer du logiciel

Support des technologies d’authentificationsRadius, SecurID, Ldap, Certificats numériques, NTLM, etc,

Rendre accessible « toutes » les applications dans le navigateur

Approche « Webifyer »

« Tunneliser » les autres applicationsApproche « tunnel » SSL

Même approche que IPSEC

Page 6: VPN: SSL vs IPSEC

4

4 Solutions à la clef

Webifyer: pas de clients « natif »

Internet

Laptop

Mobile Device

Partner

Kiosk

Secured bySSL / TLS

Applications Web

Reverse Proxy

(OWA, Lotus)

Terminaison SSL

Share NT, NFS,

email, X11,

Terminal Server

Citrix, etc.

Telnet, SSH,

TN32.., etc.

Authentification

Page 7: VPN: SSL vs IPSEC

4

4 Solutions à la clef

Tunnel SSL: avec clients « natif »

Terminaison SSL

Terminaison SSL

SSL / TLS

SSL / TLS

PPPInterface virtuelle

Routage

Localhost

127.0.0.1:1352

TCP 1352

Lotus

FTP

TCP 20,21

TCP Static

TCP, UDP, ICMP

Authentification

Page 8: VPN: SSL vs IPSEC

4

4 Solutions à la clef

Technologie IPSEC

IP SecurityModification trame IPSupport TCP, UDP, ICMP

Technologie normalisée par l’IETF en 1995

RFC 2401, 2402, 2406 et 2409

Support PKICertificat clientCertificat « gateway »

Support authentification « classique »

Radius, SecurID, etc.

IP

TCP

Application

IPSEC

Physique

Page 9: VPN: SSL vs IPSEC

4

4 Solutions à la clef

SSL / IPSEC en terme de sécurité et confort

Technologie IPSEC: les points forts !

Très haut niveau de sécuritéSupport de l’échange des clés symétriques en cours de session

Support AES par la plupart des clients IPSEC

Attaque de type MiM pas connue à ce jour

Confort d’utilisationTransparent pour l’utilisateur

Pas besoin d’utiliser son navigateur

Page 10: VPN: SSL vs IPSEC

4

4 Solutions à la clef

SSL / IPSEC en terme de déploiement et mobilité

Technologie IPSEC: les points faibles !

Déploiement complexeInstallation d’un client IPSECClient très intrusif (Couche 3)Nécessite la maîtrise du poste clientInstallation des clients « natif »Configuration complexe (NAT, Routage)Problème de cohabitation logiciel

Mobilité fortement réduiteNotion de « kiosk » pas réalisable

Page 11: VPN: SSL vs IPSEC

4

4 Solutions à la clef

Intrusion: problématique du mode VPN « pure »

Ouverture d’un moyen de communication (tunnel) ,entre le client et l’entreprise, très simple à exploiter !

Virus, Worm, BackdoorWIN32.Blaster.Worm (TCP 135 / DCOM RPC)

Concerne IPSEC ou SSL (ppp over SSL)

Recommandation minimum au niveau du poste clientMise en place d’un Anti-virusMise en place d’un firewall personnel

Mise en œuvre d’une solution IPS NetworksCheck Point InterSpect™ par exemple

Page 12: VPN: SSL vs IPSEC

4

4 Solutions à la clef

Mobilité: problématique du « Kiosk »

Gestion des « traces » sur la borneHistorique des URLCache, fichiers temporairesCookiesSoftware Helper (Code Mobile)

Authentification par certificat numériqueAttention au support physique

Carte à puce ou Token USB

Solutions alternativesSecurID ou RSA Mobile

Page 13: VPN: SSL vs IPSEC

4

4 Solutions à la clef

Conclusion

Deux technologies complémentairesLes VPN SSL ne vont pas remplacer IPSEC à court terme

Marketing fabriquant!

Quelle technologie choisir?Niveau de sécurité?Déploiement software?Maîtrise des postes clients?Déploiement applications clientes « natives »?Confort à l’utilisation?Mobilité?Etc.

Page 14: VPN: SSL vs IPSEC

4

4 Solutions à la clef

Questions?

Page 15: VPN: SSL vs IPSEC

e-Xpert Solutions SA | 3, Chemin du Creux | CH 1233 Bernex-Genève | Tél +41 22 727 05 55 | Fax +41 22 727 05 50

[email protected] | www.e-xpertsolutions.com4

e-Xpert Solutions SAIntégrateur en sécurité informatique

Au bénéfice d'une longue expérience dans les secteurs financiers et industriels, e-Xpert Solutions SA propose à sa clientèle des solutions

« clé en main » dans le domaine de la sécurité informatique des réseauxet des applications. Des solutions qui vont de la sécurité de périmètre –

tel le firewall, VPN, IDS, FIA, le contrôle de contenu, l’anti-virus – aux solutions plus avant-gardistes comme la prévention des intrusions

(approche comportementale), l'authentification forte, la biométrie, les architectures PKI ou encore la sécurisation des OS Unix, Microsoft et des

postes clients (firewall personnel).

Page 16: VPN: SSL vs IPSEC

e-Xpert Solutions SA | 3, Chemin du Creux | CH 1233 Bernex-Genève | Tél +41 22 727 05 55 | Fax +41 22 727 05 50

[email protected] | www.e-xpertsolutions.com4

Pour plus d’informations:

e-Xpert Solutions SAChemin du Creux 3

CH – 1233 Bernex / Genève

Tel: +41 22 727 05 55Fax: +41 22 727 05 50

[email protected]