INTERNET ET LA SECURITE

 Cdt GINESTOU Didier

– Cours SSI de la DEASR

 INTRODUCTION AUX VPN

 Introduction
 Concepts de cryptographie
– Chiffrement symétrique et asymétrique
– Les fonctions de hachage
– Génération et gestion des clés
 Les réseaux privés virtuel (VPN)
– Le tunneling
– Les protocoles de sécurité des différentes couches OSI
 IP sécurisé (Ipsec)
– Architecture d’Ipsec
– Principe de fonctionnement
 CHIFFREMENT

symmetric Key Encryption (Secret Key)

A03DB98240
Tom’s machine Betty’s machine
Hello Encryption Decryption Hello
Secret Secret
 CHIFFREMENT

 Idéalpour chiffrer des quantités importantes de

données
 Mesures à respecter
– changer fréquemment de clé secrète pour éviter qu’elle ne soit
découverte
– Générer les clés secrètes de façon sécurisée
– Distribuer les clés secrètes de façon sécurisée.
 Le cryptage symétrique est simple et rapide, mais il
implique des problèmes importants de gestion des
clés.
 CHIFFREMENT
Asymmetric Key Encryption (Public Key)

Betty
Betty’s private key
Public Key
Linda
Ring kept in
secure location
Tom
Dino A03DB98240
Tom’s machine Betty’s machine
Hello Encryption Decryption Hello

Betty Betty

Tom picks Betty’s public key Betty picks her private key
5
 CHIFFREMENT
symmetrical Key Encryption (Secret Key)

Hello+H
Tom’s machine Betty’s machine
Hello HACHAGE HACHAGE Hello
Secret Secret

= =
H H

6
 CHIFFREMENT

 Génération et gestion des clés

– Le maillon faible
 Clés secrètes
– Distribution manuelle
– L’algorithme de Diffie-Hellman
 Clés publiques
– Distribution manuelle
– Les certificats numériques
Echange de clef Diffie-Hellman

(p,q) (p,q)
Bob Alice

Xb Yb Ya Yb Ya Xa

Clef secrète
 INTRODUCTION AUX VPN

 Introduction
 Concepts de cryptographie
– Chiffrement symétrique et asymétrique
– Les fonctions de hachage
– Génération et gestion des clés
 Les réseaux privés virtuel (VPN)
– Le tunneling
– Les protocoles de sécurité des différentes couches OSI
 IP sécurisé (Ipsec)
– Architecture d’Ipsec
– Principe de fonctionnement
Virtual Private Network
➨ Site à site
VPN

➨ Client à site
VPN

➨ Client à client
VPN
 Virtual Private Network
➨ La tunnelisation
Réseau

non fiable

 Au niveau 3 :
IP YYY IP YYY : IPsec

 Au niveau 2 :
Ethernet, XXX : L2F, PPTP, L2TP
XXX PPP IP, IPX
ATM, FR
 Exemple couche liaison L2TP
Tunnel L2TP
L2TP Network Server
Passerelle d’accès (LNS)
(LAC) Réseau
RTC
RNIS
non fiable
Client @IP2
ISP @IP1 IP - Source @IP1-Dest @IP3Serveur @IP3 Station @IP4

UDP
L2TP
PPP PPP
IP IP IP
Source @IP2-Destination@IP4 Source @IP2-Destination @IP4 Source @IP2-Destination @IP4
Données Données Données
 Couche réseau IPsec

 Créé pour palier le manque de sécurité IP

 Détaillé par la suite

 Couche transport

 SSL pour sécuriser HTTP.

 SSH pour Telnet, FTP, Xwindows.

 SOCKS
 Couche Application

 S-HTTP (RFC 2069)

Exemple de mise en œuvre des VPN
 VPN hébergé sur le pare-feu
Internet
 VPN en parallèle du pare-feu
Routeur Pare-feu
VPN
+ VPN

 VPN devant le pare-feu

Internet

Routeur
Internet Routeur
Intranet
Routeur VPN Pare-feu
Pare-feu
Pare-feu
 VPN derrière le pare-feu

Internet
Intranet
Routeur Pare-feu VPN
 INTRODUCTION AUX VPN

 Introduction
 Concepts de cryptographie
– Chiffrement symétrique et asymétrique
– Les fonctions de hachage
– Génération et gestion des clés
 Les réseaux privés virtuel (VPN)
– Le tunneling
– Les protocoles de sécurité des différentes couches OSI
 IP sécurisé (Ipsec)
– Architecture d’Ipsec
– Principe de fonctionnement
 IPsec
 IPsec a été développé dans le cadre des travaux
sur la sécurisation de IPv6. Les premières RFC
remontent à 1995 (RFC 1825 à 1829).
 IPsec offre schématiquement deux niveaux de
sécurité :
 l’intégrité, l’authentification et le non-rejeu avec le
protocole AH (Authentication Header) ;
 la confidentialité en plus avec le protocole ESP
(Encapsulating Security Payload).

 Le niveau de sécurité est différent selon que l’on

utilise le mode Transport ou le mode Tunnel.
 IPsec Principe
AH ESP

Chiffrement

Mode Nouvel En-tête En-tête IP Nouvel En-tête En-tête IP

Données Données
Tunnel En-tête IP AH d’origine En-tête IP ESP d’origine

Authentification Authentification

Chiffrement

Mode En-tête IP En-tête En-tête IP En-tête

Données Données
Transport d’origine AH d’origine ESP

Authentification Authentification
 L’ association de sécurité
(SA) : présentation
 Pour s’accorder sur les paramètres de sécurité
à utiliser, IPsec utilise des associations de
sécurité nommées SA (Security Association).

 Une SA est composée principalement :

 d’un identifiant SPI (Security Parameters Index) ;
 de mécanismes de sécurité :
• algorithme de chiffrement + clés ;
• fonction de hachage + clés ;
• mode du protocole IPsec ;

 d’une durée de vie.

 La SA : exemple de
composition

 SPI: 12345
 Encryption algorithm : DES
 HMAC algorithm : MD5
 Encryption key : 0x65f3dde…
 HMAC key : 0xa3b443d9…
 Expiry : 15:06:09 13Oct2001
 La SA : principe de
fonctionnement

 Une SA est mono directionnelle.

 Les SA sont générées à partir des politiques de

sécurité définies dans la SPD (Security Policy
Database).

 Les SA sont stockées dans une base appelée

SAD (Security Association Database).
 IKE - Internet Key Exchange :
présentation

 IKE est un protocole normalisé par l’IETF. Son

fonctionnement est décrit par la RFC 2409.

 IKE est développé spécifiquement pour IPsec afin

de gérer dynamiquement les SA.

 IKE reprend le fonctionnement ISAKMP (Internet

Security Association Key Management) et OAKLEY
(établissement de clés partagées).
 Politique de sécurité
 Base de données SPD

 Politique de gestion du paquet

 Services de sécurité
 Passe outre
 Rejeté

 Si sécurité indique les SA correspondantes

Principe de fonctionnement