VPN et Solutions pour l’entreprise David Lassalle Khaled Bouadi
Définition <ul><li>Qu’est ce qu’un VPN? </li></ul><ul><li>Network  : </li></ul><ul><li>Un VPN permet d’interconnecter des ...
Types de VPNs <ul><ul><ul><li>Accès distant d’un hôte au LAN distant via internet (Host to LAN) </li></ul></ul></ul><ul><u...
Solutions traditionnelles et VPN La solution VPN est une alternative aux solutions traditionnelles. Solutions traditionnel...
Avantages et Inconvenients Solutions traditionnelles Solution VPN Avantages - de + en + de qualité de service QOS - une GF...
Enjeux des VPNs <ul><ul><ul><li>confidentialité de l’information </li></ul></ul></ul><ul><ul><ul><li>intégrité de l’inform...
Authentification,confidentialité et intégrité <ul><li>Ces notions sont gérées dans la gestion des tunnels. </li></ul><ul><...
Tolérance aux pannes <ul><li>VPN doit pouvoir se prémunir de pannes éventuelles de manière à fournir un temps de disponibi...
Protection du client VPN Des clients VPN peuvent être “ hijacked ” et des pirates peuvent accéder en toute impunité au rés...
Implémentation des tunnels : <ul><li>processus en trois phase :  </li></ul><ul><li>- Encapsulation : la charge utile est m...
<ul><li>PPTP : Point to Point Tunneling Protocol </li></ul><ul><li>L2TP: Layer two Tunneling Protocol </li></ul><ul><li>Ip...
PPTP  description générale <ul><li>Protocole de niveau 2  </li></ul><ul><li>Encapsule des trames PPP dans des datagrammes ...
Scénario d’une connexion GRE:(Internet Generic   Routing Encapsulation) L'entête GRE est utilisée pour encapsuler le paque...
Client PPTP   <ul><li>Ordinateur supportant PPTP  Linux ou microsoft </li></ul><ul><li>Client distant : accès d’un ISP sup...
PAP  Password Authentication Protoco l <ul><li>Mécanisme d’authentification non crypté </li></ul><ul><li>NAS demande le no...
CHAP  (Challenge Handshake Authentication Protoco l)  :   <ul><li>Mécanisme d’authentification crypté </li></ul><ul><li>Al...
MS-CHAP  (Microsoft Challenge Handshake Authentication Protoco l): <ul><li>Mécanisme d’authentification crypté </li></ul><...
    Layer Two tunneling protocol <ul><li>Né de L2F et PPTP </li></ul><ul><li>Encapsule PPP dans IP,X25, ATM </li></ul><ul>...
IPsec  IPSecure <ul><li>IPsec protocole de niveau 3 </li></ul><ul><li>Création de VPN sûr basé forcément sur IP </li></ul>...
<ul><li>Authentification  :Absence d’usurpation d’identité; la personne avec qui on est censé dialoguer est bien la person...
Security Association <ul><li>Encapsulation et la désencapsulation des Paquets IPsec est dépendante du sens de transmission...
Security Association <ul><li>Une SA est identifiée par : </li></ul><ul><li>Un Security Parameter Index (SPI). </li></ul><u...
Mode Ipsec (transport) <ul><li>Transport : </li></ul><ul><li>acheminement direct des données protégées par IPsec (ex : hos...
Mode IPsec (tunnel) <ul><li>tunnel :  </li></ul><ul><li>trafic envoyé vers des passerelles Ipsec </li></ul><ul><li>( ex LA...
Solution offertes par Ipsec <ul><li>     Les protocoles utilisés par Ipsec  </li></ul><ul><li>Authentication header (AH) <...
Authentification header (AH) <ul><ul><li>Authentification et intégrité des données.  </li></ul></ul><ul><ul><li>Entête ajo...
ESP Encapsulating Security Payload <ul><li>La confidentialité des données; </li></ul><ul><li> L'authentification de l'ori...
Comparaison ESP entre AH <ul><li>Confidentialité assurée en ESP mais pas avec AH </li></ul><ul><li>Différence de portion d...
IKE Internet Key Exchange:   <ul><li>Un protocole puissant flexible de négociation  </li></ul><ul><li>méthodes d'authentif...
HTTPS <ul><li>- solution de niveau 7  </li></ul><ul><li>- sécurité gérée cette fois par service,en fonction de l’applicati...
Solutions pour l’entreprise choix de la solution VPN - identification des types de flux WAN - flux bas débits synchrones u...
Choix de la solution VPN <ul><li>En fonction des volumes et des types des échanges attendus, on peut décider de la solutio...
<ul><li>- Gérer la bande passante WAN :  VPNs avec LAN/WAN Shaping   </li></ul><ul><li>solution technique la plus rapide à...
<ul><li>- VPN “ plus ” </li></ul><ul><li>séparation des flux applicatifs entre différents réseaux </li></ul><ul><li>- 1 ré...
Quel VPN pour quel entreprise ? <ul><li>En fonction de la quantité et du type de flux inter sites, la solution varie : </l...
Exemples concrets <ul><li>VPN IP internet  </li></ul><ul><li>Utilisation de tunnels IPSEC entre firewalls / nomades avec …...
Prochain SlideShare
Chargement dans…5
×

Vpn

3 379 vues

Publié le

VPN cours

Publié dans : Formation, Technologie
0 commentaire
1 j’aime
Statistiques
Remarques
  • Soyez le premier à commenter

Aucun téléchargement
Vues
Nombre de vues
3 379
Sur SlideShare
0
Issues des intégrations
0
Intégrations
9
Actions
Partages
0
Téléchargements
362
Commentaires
0
J’aime
1
Intégrations 0
Aucune incorporation

Aucune remarque pour cette diapositive
  • A Virtual Private Network is a private connection over an open network. This could mean encrypting traffic as it passes over a frame relay circuit, but the term is most commonly used to describe a method of sending information privately between two points across the Internet or other IP-based network. It enables organizations to quickly set up confidential communications to branch sites, remote workers, or to business partners in a cost effective way. To accomplish this, a VPN needs to have a standard way of encrypting data and ensuring the the identities of all parties. There are four basic types of deployment that VPNs are use for: Remote Access, Site-to-Site, Extranet, and Client/Server. We’ll look at each in more detail.
  • Vpn

    1. 1. VPN et Solutions pour l’entreprise David Lassalle Khaled Bouadi
    2. 2. Définition <ul><li>Qu’est ce qu’un VPN? </li></ul><ul><li>Network : </li></ul><ul><li>Un VPN permet d’interconnecter des sites distants => Réseau </li></ul><ul><li>Private : </li></ul><ul><li>Un VPN est réservé à un groupe d’usagers déterminés par authentification. </li></ul><ul><li>Les données sont échangés de manière masquée au yeux des autres par cryptage => Privé </li></ul><ul><li>Virtual : </li></ul><ul><li>Un VPN repose essentiellement sur des lignes partagés et non dédiées . </li></ul><ul><li>Il n’est pas réellement déterminé.Il est construit par dessus un réseau public essentiellement. </li></ul><ul><li>Il s’agit d’un réseau privé construit par dessus un réseau public (Internet). </li></ul>
    3. 3. Types de VPNs <ul><ul><ul><li>Accès distant d’un hôte au LAN distant via internet (Host to LAN) </li></ul></ul></ul><ul><ul><ul><li>Connexion entre plusieurs LANs distant via internet (LAN to LAN) </li></ul></ul></ul><ul><ul><ul><li>Connexion entre deux ordinateurs via internet (Host to Host) </li></ul></ul></ul>
    4. 4. Solutions traditionnelles et VPN La solution VPN est une alternative aux solutions traditionnelles. Solutions traditionnelles Solution VPN
    5. 5. Avantages et Inconvenients Solutions traditionnelles Solution VPN Avantages - de + en + de qualité de service QOS - une GFA par contrat (sécurité par contrat) - des débits en général assez élevés voir très élevés - des délais d’acheminements garantis Inconvénients - coût beaucoup plus élevée que la solution VPN - offre pas (ou peu) de protection du contenu Avantages - une couverture géographique mondiale. - le coût de fonctionnement le plus bas du marché(tarifs calculés sur la plus courte distance au point d’accès opérateur). - offre des garanties de sécurité (utilisation de tunnels). - solution pour la gestion des postes nomades (grds nbs de points d ’accès). Inconvénients - la qualité de service (et les délais d’acheminement) n’est pas garantie - les performances ne sont pas toujours au rendez vous.
    6. 6. Enjeux des VPNs <ul><ul><ul><li>confidentialité de l’information </li></ul></ul></ul><ul><ul><ul><li>intégrité de l’information </li></ul></ul></ul><ul><ul><ul><li>authentification des postes </li></ul></ul></ul><ul><ul><ul><li>protection du client VPN </li></ul></ul></ul><ul><ul><ul><li>gestion de la qualité de service et des délais </li></ul></ul></ul><ul><ul><ul><li>gestion des pannes </li></ul></ul></ul>Corporate Site Internet Partner #1 Partner #2
    7. 7. Authentification,confidentialité et intégrité <ul><li>Ces notions sont gérées dans la gestion des tunnels. </li></ul><ul><li>Ces tunnels permettent d’assurer ces notions par application (solution de niveau 7 : HTTPS) ou pour tous les types de flux (solutions de niveau 2/3 : PPTP,L2TP,IPSec) . </li></ul><ul><li>- niveau 2 type PPTP, L2T </li></ul><ul><li>- niveau 3 type IPSec </li></ul><ul><li>- niveau 7 type HTTPS </li></ul>
    8. 8. Tolérance aux pannes <ul><li>VPN doit pouvoir se prémunir de pannes éventuelles de manière à fournir un temps de disponibilité maximum. </li></ul><ul><li>- éviter les attaques virales par la mise en place de firewalls (sur LANs et clients VPNs) </li></ul><ul><li>- possibilités d’utiliser des ISP multiples. </li></ul>
    9. 9. Protection du client VPN Des clients VPN peuvent être “ hijacked ” et des pirates peuvent accéder en toute impunité au réseau privé. Solution => - installer sur les clients VPN des firewalls personnels gérés de manière centralisée . - l’organisation doit chercher à fournir une solution de gestion centralisée de la sécurité de tous les clients VPNs Internet Attacker Cable or xDSL
    10. 10. Implémentation des tunnels : <ul><li>processus en trois phase : </li></ul><ul><li>- Encapsulation : la charge utile est mise dans un entête supplémentaire </li></ul><ul><li>- Transmission : acheminement des paquets par un réseau intermedaire. </li></ul><ul><li>- Désencapsulation : récupération de la charge utile. </li></ul>
    11. 11. <ul><li>PPTP : Point to Point Tunneling Protocol </li></ul><ul><li>L2TP: Layer two Tunneling Protocol </li></ul><ul><li>Ipsec: Ip secure </li></ul>Les protocoles de tunneling 
    12. 12. PPTP  description générale <ul><li>Protocole de niveau 2 </li></ul><ul><li>Encapsule des trames PPP dans des datagrammes IP afin de les transférer sur un réseau IP </li></ul><ul><li>Transfert sécurisée : cryptage des données PPP encapsulées mais aussi compression </li></ul>
    13. 13. Scénario d’une connexion GRE:(Internet Generic Routing Encapsulation) L'entête GRE est utilisée pour encapsuler le paquet PPP dans le datagramme IP.
    14. 14. Client PPTP   <ul><li>Ordinateur supportant PPTP  Linux ou microsoft </li></ul><ul><li>Client distant : accès d’un ISP supportant les connexion PPP entrantes  modem + dispositif VPN </li></ul><ul><li>Client local (LAN) : En utilisant une connexion TCP/IP physique qui lui permet de se connecter directement au serveur PPTP. Dispositif VPN </li></ul>
    15. 15. PAP  Password Authentication Protoco l <ul><li>Mécanisme d’authentification non crypté </li></ul><ul><li>NAS demande le nom et mot de passe </li></ul><ul><li>  </li></ul><ul><li>PAP les envoi en clair ( non codé). </li></ul><ul><li> Pas de protection contre les usurpations d’identité si le mot de passe est compromis </li></ul>
    16. 16. CHAP (Challenge Handshake Authentication Protoco l)  : <ul><li>Mécanisme d’authentification crypté </li></ul><ul><li>Algorithme de hachage MD5 à sens unique </li></ul> Pas de mote de passe circulant en clair
    17. 17. MS-CHAP (Microsoft Challenge Handshake Authentication Protoco l): <ul><li>Mécanisme d’authentification crypté </li></ul><ul><li>Algorithme de hachage MD4 </li></ul><ul><li>Similaire a CHAP (code de hachage en possession du serveur) </li></ul><ul><li>Encryptage MPPE nécessite l’authentification MS-CHAP </li></ul>
    18. 18.   Layer Two tunneling protocol <ul><li>Né de L2F et PPTP </li></ul><ul><li>Encapsule PPP dans IP,X25, ATM </li></ul><ul><li>Utilisation possible sur Internet ou des WAN </li></ul>
    19. 19. IPsec IPSecure <ul><li>IPsec protocole de niveau 3 </li></ul><ul><li>Création de VPN sûr basé forcément sur IP </li></ul><ul><li>Permet de sécurisé les applications mais également toute la couche IP </li></ul>
    20. 20. <ul><li>Authentification  :Absence d’usurpation d’identité; la personne avec qui on est censé dialoguer est bien la personne avec qui on dialogue </li></ul><ul><li>Confidentialité : Personne n’écoute la communication. </li></ul><ul><li>Intégrité: Les données reçues n’ont pas été modifiées pendant la transmission. </li></ul>Les rôles d’ IPsec
    21. 21. Security Association <ul><li>Encapsulation et la désencapsulation des Paquets IPsec est dépendante du sens de transmission des paquets </li></ul><ul><li> Association services de sécurité et clés avec un trafic unidirectionnel </li></ul><ul><li>Les données permettant de spécifier ce sens sont mise dans une SA </li></ul>
    22. 22. Security Association <ul><li>Une SA est identifiée par : </li></ul><ul><li>Un Security Parameter Index (SPI). </li></ul><ul><li>Le protocole IPSec utilisé. </li></ul><ul><li>L'adresse de destination. </li></ul>
    23. 23. Mode Ipsec (transport) <ul><li>Transport : </li></ul><ul><li>acheminement direct des données protégées par IPsec (ex : host to host) </li></ul>
    24. 24. Mode IPsec (tunnel) <ul><li>tunnel : </li></ul><ul><li>trafic envoyé vers des passerelles Ipsec </li></ul><ul><li>( ex LAN to LAN) </li></ul>
    25. 25. Solution offertes par Ipsec <ul><li>     Les protocoles utilisés par Ipsec </li></ul><ul><li>Authentication header (AH) </li></ul><ul><li>   Encapsulating Security Payload (ESP) </li></ul><ul><li>  Internet Key Exchange (IKE) </li></ul>
    26. 26. Authentification header (AH) <ul><ul><li>Authentification et intégrité des données. </li></ul></ul><ul><ul><li>Entête ajoutée comportant une signature </li></ul></ul><ul><ul><li>Appliqué a tout type de VPN. </li></ul></ul>
    27. 27. ESP Encapsulating Security Payload <ul><li>La confidentialité des données; </li></ul><ul><li> L'authentification de l'origine des données; </li></ul><ul><li> La protection d'anti-replay (retransmission ) </li></ul><ul><li> L'intégrité des données (sans connexion, par paquet). </li></ul>
    28. 28. Comparaison ESP entre AH <ul><li>Confidentialité assurée en ESP mais pas avec AH </li></ul><ul><li>Différence de portion des données sécurisée dans authentification ESP et AH </li></ul><ul><li> AH protège les entête IP mais pas ESP </li></ul><ul><li>L’anti-replay est optionnel avec AH et obligatoire avec ESP </li></ul>
    29. 29. IKE Internet Key Exchange: <ul><li>Un protocole puissant flexible de négociation </li></ul><ul><li>méthodes d'authentification, </li></ul><ul><li>méthodes de chiffrement, </li></ul><ul><li>clés d'utilisation + temps d'utilisation </li></ul><ul><li>échange intelligent et sûr des clés. </li></ul>
    30. 30. HTTPS <ul><li>- solution de niveau 7 </li></ul><ul><li>- sécurité gérée cette fois par service,en fonction de l’application </li></ul><ul><li>-authentification par serveur Radius ou autre </li></ul>
    31. 31. Solutions pour l’entreprise choix de la solution VPN - identification des types de flux WAN - flux bas débits synchrones utilisées pour les applications transactionnelles, SAP Emulation telnet ou 5250/3270 - flux large bande asynchrone pour les applications FTP, HTTP, messagerie Flux synchrones - nécessitent une bande passante minimale garantie avec un délai d’acheminement le plus petit et le plus constant possible, c’est le cas des applications temps réels - ne peuvent être offert qu’avec des réseaux de niveau 2 comme ATM ou Frame Relay - Internet n ’est pas adapté pour le moment Flux asynchrones - se produisent de manière imprévisible “ par rafales ” en occupant toute la bande passante disponible - aucune contrainte de délai d’acheminement n’est nécessaire - le volume d’informations véhiculées de cette manière est toujours en forte croissance Ex : transferts de fichiers, messagerie, navigation
    32. 32. Choix de la solution VPN <ul><li>En fonction des volumes et des types des échanges attendus, on peut décider de la solution à adopter parmi toutes celles proposées. </li></ul><ul><li>3 Alternatives </li></ul><ul><li>VPN INTERNET </li></ul><ul><li>- Faire cohabiter tous ces flux sur le même réseau : VPN INTERNET </li></ul><ul><li>solution mise en place sur des réseaux de niveau 2 ou de niveau 3  </li></ul><ul><li>solution la plus immédiate et la plus rencontrée </li></ul><ul><li>utilisateurs jamais satisfaits : inadaptée aux flux synchrones  </li></ul><ul><li>A écarter </li></ul>
    33. 33. <ul><li>- Gérer la bande passante WAN : VPNs avec LAN/WAN Shaping </li></ul><ul><li>solution technique la plus rapide à déployer après la précédente </li></ul><ul><li>solution technique la plus adaptée et la plus performante </li></ul><ul><li>flux synchrones et asynchrones cohabitent tjrs sur le même support </li></ul><ul><li>mais la solution permet de les gérer plus correctement </li></ul><ul><li>boitiers de LAN/WAN Shaping aux extrémités du réseau WAN opérateur </li></ul>Choix de la solution VPN
    34. 34. <ul><li>- VPN “ plus ” </li></ul><ul><li>séparation des flux applicatifs entre différents réseaux </li></ul><ul><li>- 1 réseau synchrone bas débit garanti ( debits < 64Kbits/s ) de niveau 2 </li></ul><ul><li>ex : Frame Relay ou LS </li></ul><ul><li>- 1 réseau asynchrone hauts débits ( débits > 128Kbits/s ) de niveau 3 </li></ul><ul><li>ex : Internet </li></ul>Choix de la solution VPN
    35. 35. Quel VPN pour quel entreprise ? <ul><li>En fonction de la quantité et du type de flux inter sites, la solution varie : </li></ul><ul><li>Sites Importants France => Télécoms avec WAN Shaping </li></ul><ul><li>Sites importants Europe-Monde => VPN avec WAN Shaping </li></ul><ul><li>Sites moyens Europe-Monde => VPN avec WAN Shaping </li></ul><ul><li>Petits sites France-Europe-Monde => VPN </li></ul><ul><li>Nomades France => Accès distants RAS/VPN Nomade </li></ul><ul><li>Nomades Europe, Monde => VPN Nomade </li></ul>
    36. 36. Exemples concrets <ul><li>VPN IP internet </li></ul><ul><li>Utilisation de tunnels IPSEC entre firewalls / nomades avec … </li></ul><ul><li>=> Checkpoint Firewall-1 / secureremote </li></ul><ul><li>=> CISCO PIX VPN / Secure client </li></ul><ul><li>WAN TELCO et IP </li></ul><ul><li>=> Frame Relay / ATM / MPLS avec… </li></ul><ul><li>=> UUNET : Uusecure VPN </li></ul><ul><li>=> France Telecom :Global Intranet=> Global One : Global IP VPN </li></ul><ul><li>=> Belgacom : VPN Office </li></ul><ul><li>=> Maiaah : intranet </li></ul><ul><li>=> Communauté automobile (GALIA) : ENX </li></ul>

    ×