Sommaire
 IPsec

 Fonction du chiffrement opportuniste

 IKE ?

 DNSsec

 Inconvénients
IPsec
 Batterie de protocole permettant de sécuriser IP en
 utilisant l’authentification et le chiffrement des paquets IP....
Rappel IPsec
 Protocoles d’échanges de clé (ISAKMP) pour la
 création de SA (Security Association)
 Authentification des p...
Datagramme IPSec
Et le NAT ?
C’est cool mais …
 On sécurise les échanges de données entre X sites
 et/ou X clients
   Accord préalable (échange de clés...
The solution
 Le chiffrement opportuniste
   Authentification et Chiffrement sans accord préalable
   Chiffrement de toute...
« OpportunisticEncryption »

 RFC 4322 – Décembre 2005

 ANONSEC (« Anonymous Security »)

 Vise clairement les attaques p...
Ouai mais en fait …
 Pas d’accord préalable pour HTTPS !
   Ouai mais en fait si… intégré au navigateur
 Mais mon HTTPS il...
Fonctionnement - Archi
Fonctionnement
 L’application d’Alice résout le nom de Bob

 Initiation de la communication

 Interception par la passerel...
Fonctionnement
 La passerelle de Bob obtient via DNS la clé publique
 de la passerelle d’Alice

 Phase 2 IKE

 La passerel...
IKE ?! Truc de jedi !
IKE !
IKE
 « IPSec Key Exchange »

 Sécurisation par secret partagé
   Impossibilité d’interception (ESP)
   Impossibilité de mo...
DNSSEC ?
Importance cruciale du DNS…
  Passage à DNSSEC
Signature hiérarchique

Complexification du DNS

Augmentation du n...
Inconvénients
 Latence d’initialisation de connexion

 Efficacité d’utilisation de la bande passante

 DDoS à cause d’IKE ...
Chiffrement opportuniste
Prochain SlideShare
Chargement dans…5
×

Chiffrement opportuniste

1 173 vues

Publié le

Introduction au chiffrement opportuniste, technique permettant d'établir des sessions chiffrées et authentifiées sans accord préalable.

Publié dans : Technologie
0 commentaire
1 j’aime
Statistiques
Remarques
  • Soyez le premier à commenter

Aucun téléchargement
Vues
Nombre de vues
1 173
Sur SlideShare
0
Issues des intégrations
0
Intégrations
14
Actions
Partages
0
Téléchargements
29
Commentaires
0
J’aime
1
Intégrations 0
Aucune incorporation

Aucune remarque pour cette diapositive

Chiffrement opportuniste

  1. 1. Sommaire IPsec Fonction du chiffrement opportuniste IKE ? DNSsec Inconvénients
  2. 2. IPsec Batterie de protocole permettant de sécuriser IP en utilisant l’authentification et le chiffrement des paquets IP. AH, ESP, IKE, ISAKMP, OAKLEY RFC publiée en Novembre 1998 Inclus dans IPv6 Implémentation pour des VPN Couche 3.5
  3. 3. Rappel IPsec Protocoles d’échanges de clé (ISAKMP) pour la création de SA (Security Association) Authentification des paquets IP (Authentification Header) Chiffrement des paquets IP (Encapsulated Security Payload) Impossibilité de routage par NAT
  4. 4. Datagramme IPSec
  5. 5. Et le NAT ?
  6. 6. C’est cool mais … On sécurise les échanges de données entre X sites et/ou X clients Accord préalable (échange de clés) Et le reste des communications ? Top tendance : Hadopi, Great Firewall of China, Echellon, …
  7. 7. The solution Le chiffrement opportuniste Authentification et Chiffrement sans accord préalable Chiffrement de toutes les connexions Propagation non intrusive Facultatif
  8. 8. « OpportunisticEncryption » RFC 4322 – Décembre 2005 ANONSEC (« Anonymous Security ») Vise clairement les attaques par MiM, DPI (DeepPacket Inspection), écoutes, …
  9. 9. Ouai mais en fait … Pas d’accord préalable pour HTTPS ! Ouai mais en fait si… intégré au navigateur Mais mon HTTPS il est pas dans mon navigateur! Ouai mais exception de sécurité… Ouai mais CA préconfiguré…
  10. 10. Fonctionnement - Archi
  11. 11. Fonctionnement L’application d’Alice résout le nom de Bob Initiation de la communication Interception par la passerelle et obtention de la passerelle sécurisée via DNS. Obtention de la clé publique via DNS. Phase 1 d’IKE (compléter)
  12. 12. Fonctionnement La passerelle de Bob obtient via DNS la clé publique de la passerelle d’Alice Phase 2 IKE La passerelle de Bob authentifie la passerelle d’Alice via DNS. Etablissement de la connexion
  13. 13. IKE ?! Truc de jedi !
  14. 14. IKE !
  15. 15. IKE « IPSec Key Exchange » Sécurisation par secret partagé Impossibilité d’interception (ESP) Impossibilité de modification (AH) Echanges d’informations pour l’établissement d’une connexion sécurisée (Security Assocations)
  16. 16. DNSSEC ? Importance cruciale du DNS… Passage à DNSSEC Signature hiérarchique Complexification du DNS Augmentation du nombre de requêtes DNS et du volume des réponses
  17. 17. Inconvénients Latence d’initialisation de connexion Efficacité d’utilisation de la bande passante DDoS à cause d’IKE ? Cout de l’implémentation Cisco 5510 – 2000€ pour 250 sessions IPSec

×