Présentation des protocoles IKE et IPsec utilisés dans la mise en oeuvre de tunnels VPN Site-to-Site et Remote Access.
Fonctionnement du protocole IKEv1, différences avec IKEv2
Fonctionnement du protocole IPsec et de la mise en place d’un tunnel VPN
Extensions du protocole IKEv1 (KeepAlive, DPD, NAT-T. Mode Config, XAUTH)
Alphorm.com Formation Réseaux Cisco 2/2 : Maîtriser la sécuritéAlphorm
Cette formation à propos de la sécurité des équipements réseaux de Cisco vous permettra d'acquérir les compétences et connaissances nécessaires pour sécuriser les réseaux basés sur des routeurs et les switches Cisco. Il s'agit d'installer et configurer les fonctions Sécurité de Cisco IOS.
Cette formation Sécurité Cisco constitue un prérequis essentiel pour tout professionnel amené à étudier et travailler avec des solutions de sécurité Cisco.
A l'issue de la formation Sécurité Cisco, les participants seront capables de comprendre les enjeux de la sécurité des systèmes d'information, ainsi que ses acteurs et ses limites. De proposer des solutions pour pouvoir faire transiter des données sur un réseau d'entreprise de façon sécurisée. D’installer et paramétrer un pare-feu approprié au réseau d'une entreprise. D’installer et configurer un proxy. De mettre en place un filtrage et d’utiliser différents outils permettant de détecter une intrusion sur un réseau Cisco.
Cette formation Sécurité Cisco est 80% de pratique sur un lab avec des études de cas.
Lors de cette deuxième partie, nous allons pouvoir évoquer les sujets suivants :
AAA
Sécurité Spanning Tree
La sécurité des protocoles
La Sécurité ASA
Durcissement équipements Cisco
Le 802.1X est un standard englobant l'identification et l'authentification des utilisateurs d'un réseau afin d'en contrôler l'autorisation d'accès. De plus en plus déployé, car les réseaux récemment rehaussés le supportent, cet ensemble de technologies comporte néanmoins plusieurs limites méconnues. Cette présentation vise, tout d'abord, à expliquer sommairement le 802.1X et à partager les défis et problèmes d'un tel déploiement. Ensuite, nous couvrirons certaines solutions rencontrées pour palier aux problèmes et nous verrons comment les contourner (et comment prévenir le contournement). Nous terminerons avec un regard vers les standards et technologies à l'horizon qui vont transformer la situation actuelle.
Présentation des protocoles IKE et IPsec utilisés dans la mise en oeuvre de tunnels VPN Site-to-Site et Remote Access.
Fonctionnement du protocole IKEv1, différences avec IKEv2
Fonctionnement du protocole IPsec et de la mise en place d’un tunnel VPN
Extensions du protocole IKEv1 (KeepAlive, DPD, NAT-T. Mode Config, XAUTH)
Alphorm.com Formation Réseaux Cisco 2/2 : Maîtriser la sécuritéAlphorm
Cette formation à propos de la sécurité des équipements réseaux de Cisco vous permettra d'acquérir les compétences et connaissances nécessaires pour sécuriser les réseaux basés sur des routeurs et les switches Cisco. Il s'agit d'installer et configurer les fonctions Sécurité de Cisco IOS.
Cette formation Sécurité Cisco constitue un prérequis essentiel pour tout professionnel amené à étudier et travailler avec des solutions de sécurité Cisco.
A l'issue de la formation Sécurité Cisco, les participants seront capables de comprendre les enjeux de la sécurité des systèmes d'information, ainsi que ses acteurs et ses limites. De proposer des solutions pour pouvoir faire transiter des données sur un réseau d'entreprise de façon sécurisée. D’installer et paramétrer un pare-feu approprié au réseau d'une entreprise. D’installer et configurer un proxy. De mettre en place un filtrage et d’utiliser différents outils permettant de détecter une intrusion sur un réseau Cisco.
Cette formation Sécurité Cisco est 80% de pratique sur un lab avec des études de cas.
Lors de cette deuxième partie, nous allons pouvoir évoquer les sujets suivants :
AAA
Sécurité Spanning Tree
La sécurité des protocoles
La Sécurité ASA
Durcissement équipements Cisco
Le 802.1X est un standard englobant l'identification et l'authentification des utilisateurs d'un réseau afin d'en contrôler l'autorisation d'accès. De plus en plus déployé, car les réseaux récemment rehaussés le supportent, cet ensemble de technologies comporte néanmoins plusieurs limites méconnues. Cette présentation vise, tout d'abord, à expliquer sommairement le 802.1X et à partager les défis et problèmes d'un tel déploiement. Ensuite, nous couvrirons certaines solutions rencontrées pour palier aux problèmes et nous verrons comment les contourner (et comment prévenir le contournement). Nous terminerons avec un regard vers les standards et technologies à l'horizon qui vont transformer la situation actuelle.
Diapositives du Webinar SSL :
INTRODUCTION
Qu’est-ce que le SSL / TLS ?
L’intérêt du SSL
Rapide historique
Déroulement d’une connexion TLS
PARTIE 1
Quel est le rôle d’un certificat SSL ?
Les niveaux de validation
Les options d’un certificat SSL : Wildcard et SAN
Le processus de commande
La chaîne de certification
Algorithmes SSL : chiffrement & authentification
Étude de cas : exemples typiques
PARTIE 2
Modes de déploiement
TLS et épuisement des adresses IPv4
HAProxy et le SNI
Impacts du TLS
SSL offloading
SEO
Sécurité du protocole SSL
Diapositives du Webinar SSL :
INTRODUCTION
Qu’est-ce que le SSL / TLS ?
L’intérêt du SSL
Rapide historique
Déroulement d’une connexion TLS
PARTIE 1
Quel est le rôle d’un certificat SSL ?
Les niveaux de validation
Les options d’un certificat SSL : Wildcard et SAN
Le processus de commande
La chaîne de certification
Algorithmes SSL : chiffrement & authentification
Étude de cas : exemples typiques
PARTIE 2
Modes de déploiement
TLS et épuisement des adresses IPv4
HAProxy et le SNI
Impacts du TLS
SSL offloading
SEO
Sécurité du protocole SSL
2. Le protocole 802.1X
Appelé aussi (Port-Based Access Control)
Protocole de control d’accès dans les LANs
Standard IEEE (juin 2001)
Objectif
Réaliser une authentification de l'accès au réseau
indépendamment du support de transmission utilisé.
Permet l’échange des clés
3. Le Modèle et les Concepts du
standard IEEE
Supplicant
Switch Radius
802,1x
8. Types EAP 802.1x
• EAP-TLS (Transport Layer Security)Authentification par
certificat du client et du serveur
• EAP-TTLS (Tunneled Transport Layer Security)
Authentification par certificat et mot de passe grace à la
génération d’un tunnel sécurisé
• EAP-MD5 Authentification avec mot de passe
• PEAP (Protected EAP) Authentification avec mot de passe
via une encapsulation sécurisée
• LEAP (protocole Cisco) Authentification avec mot de
passe via une encapsulation sécurisée
9. Faiblesse
• 802.1x
-Vieux matériels faibles
-Des contremesures existent maintenant
• Radius
-Secret partagé (taille courte = brute force)
-Secret fragile (interception AccessRequest/Response)
-Hash faible du UserPassword (MD5)
-Rejeu des réponses du serveur possible
10. Les évolutions de 802.1X
La révision du standard 802.1X se fait par l’addendum
802.1aa
Les principales modifications introduites concernent
• Le non rejeu des échanges,
• L'authentification mutuelle,
• La gestion des clés.
12. Références
• 802.1X et la sécurisation de l’accès au réseau local ,Luc Saccavini Direction des Réseaux et
Systèmes d’Information, INRIA,Luc.Saccavini@inria.fr ,Date : 15 octobre 2003
• SANS Institute ,Information Security Reading Room ,Wired 802.1x Security Mohammed
Younus 2019
• https://sari.grenoble-inp.fr/lib/exe/fetch.php?media=manifestation:sari-802.1x.main.pdf
Notes de l'éditeur
Standard mis au point par l'IEEE en juin 2001, a comme objectif de réaliser une authentification de l'accès au réseau au moment de la connexion physique à ce dernier.
Cette authentification intervient avant tout mécanisme d'autoconfiguration (ex. DHCP, PXE...).
Dans la plupart des cas, le service autorisé en cas de succès est le service Ethernet.
L’objectif de ce standard est donc uniquement de valider un droit d’accès physique au réseau, indépendamment du support de transmission utilisé, et en s’appuyant sur des mécanismes d’authentification existants.
Dans le fonctionnement du protocole, les trois entités qui interagissent (Figure 1) sont le système à authentifier (supplicant), le système authentificateur (authenticator system) et un serveur d’authentification (authentication server). Le système authentificateur contrôle une ressource disponible via le point d’accès physique au réseau, nommé PAE (Port Access Entity). Le système à authentifier souhaite accéder à cette ressource, il doit donc pour cela s’authentifier.
Dans cette phase d’authentification 802.1X, le système authentificateur se comporte comme un mandataire (proxy) entre le système à authentifier et le serveur d’authentification ; si l’authentification réussit, le système authentificateur donne l’accès à la ressource qu’il contrôle. Le serveur d’authentification va gérer l’authentification proprement dite, en dialoguant avec le système à authentifier en fonction du protocole d’authentification utilisé.
C’est au niveau du PAE que porte l’essentiel des modifications introduites par le protocole 802.1X.
Dans la plupart des implémentations actuelles, le système authentificateur est un équipement réseau (par exemple un commutateur Ethernet, une borne d’accès sans fil, ou un commutateur/routeur IP), le service dont il
contrôle l’accès est le service Ethernet (ou le routage des datagrammes IP). Le système à authentifier est un poste de travail ou un serveur. Le serveur d’authentification est typiquement un serveur Radius, ou tout autre équipement capable de faire de l’authentification.
Le système authentificateur contrôle une ressource disponible via le point d’accès physique au réseau, nommé PAE (Port Access Entity). Le système à authentifier souhaite accéder à cette ressource, il doit donc pour cela s’authentifier.
La principale innovation amenée par le standard 802.1X consiste à scinder le port d’accès physique au réseau en deux ports logiques, qui sont connectés en parallèle sur le port physique. Le premier port logique est dit « contrôlé », et peut prendre deux états « ouvert » ou « fermé ». Le deuxième port logique est, lui, toujours accessible mais il ne gère que les trames spécifiques à 802.1X.
On notera que ce modèle ne fait pas intervenir la nature physique de la connexion. Elle peut être matérialisée par une prise RJ45 (cas d’un support de transmission cuivre), des connecteurs SC, MT-RJ (cas d’un support de transmission en fibre optique) ou par l’accrochage logique au réseau (cas d’un support de transmission hertzien en 802.11{a,b,g}).
La révision du standard 802.1X se fait par l'addendum 802.1aa,
dont le dernier draft (numéro 5) a été publié en février 2003.
Les principales modifications introduites concernent
le non rejeu des échanges,
l'authentification mutuelle, et
la gestion des clés.
L'authentification mutuelle est une amélioration importante, car elle permet de résoudre le cas où le client est lui-même un fournisseur de service réseau, et a besoin d'être sûr qu'il s'adresse bien à un port 802.1X de confiance.
Un exemple type concerne le cas du branchement d'un commutateur sur un autre commutateur. Cette authentification mutuelle est faite par l’enchaînement de deux phases d’authentification, où les rôles de chaque entité connectée sont échangés, chacune jouant successivement le rôle d'authentifiant puis d'authentifié.