SlideShare une entreprise Scribd logo

VPN: SSL vs IPSEC

Sylvain Maret
Sylvain Maret
Technologie
1  sur  16
Télécharger pour lire hors ligne
e-Xpert Solutions SA | 3, Chemin du Creux | CH 1233 Bernex-Genève | Tél +41 22 727 05 55 | Fax +41 22 727 05 50 Technologie VPN « IPSEC vs SSL » Séminaire du 21 avril 2004 Sylvain Maret 4 info@e-xpertsolutions.com | www.e-xpertsolutions.com
4 Agenda technologie VPN IPSEC vs SSL Survol de la technologie VPN SSL Son fonctionnement de base IPSEC en deux mots Comparaison avec IPSEC Les points forts IPSEC Les points faibles IPSEC Deux problématiques VPN Intrusion par le tunnel Mobilité (Kiosk) Conclusion 4 Solutions à la clef
4 SSL / TLS: un peu d’histoire SSL version 1 et 2 par Netscape en 1994 Secure Socket Layer Contre attaque par Microsoft en 1995 Private Communication Technology (PCT) SSL version 3 par Netscape en 1995 Repris par IETF en 1997: TLS Transport Layer Security version 1.0 ou SSL version 3.1 RFC 2246 Standard toujours actuel Ajout ciphers (AES) 4 Solutions à la clef
4 SSL / TLS: fonctionnement classique Généralement utilisé avec le protocole HTTP (HTTPS) Application Navigateurs (IE, Mozilla, etc.) Support d’autres applications SSL / TLS ldap, imap, smtp, etc. TCP Technologie basée sur PKI Certificat X509 serveur Certificat X509 client IP Validation par CRL ou OCSP Support du mode « tunnel » Physique 4 Solutions à la clef
4 Technologie SSL VPN: l’idée Utiliser le client VPN des navigateurs Pas besoin d’installer du logiciel Support des technologies d’authentifications Radius, SecurID, Ldap, Certificats numériques, NTLM, etc, Rendre accessible « toutes » les applications dans le navigateur Approche « Webifyer » « Tunneliser » les autres applications Approche « tunnel » SSL Même approche que IPSEC 4 Solutions à la clef
4 Webifyer: pas de clients « natif » Secured by Telnet, SSH, SSL / TLS Laptop TN32.., etc. Internet Share NT, NFS, Kiosk email, X11, Terminaison SSL Terminal Server Citrix, etc. Mobile Device Applications Web Reverse Proxy (OWA, Lotus) Partner Authentification 4 Solutions à la clef
4 Tunnel SSL: avec clients « natif » TCP Static SSL / TLS TCP 1352 Lotus Localhost Terminaison SSL 127.0.0.1:1352 Authentification TCP, UDP, ICMP SSL / TLS FTP TCP 20,21 PPP Interface virtuelle Terminaison SSL Routage 4 Solutions à la clef
4 Technologie IPSEC IP Security Modification trame IP Application Support TCP, UDP, ICMP Technologie normalisée par l’IETF en 1995 TCP RFC 2401, 2402, 2406 et 2409 Support PKI IP Certificat client IPSEC Certificat « gateway » Support authentification Physique « classique » Radius, SecurID, etc. 4 Solutions à la clef
4 SSL / IPSEC en terme de sécurité et confort Technologie IPSEC: les points forts ! Très haut niveau de sécurité Support de l’échange des clés symétriques en cours de session Support AES par la plupart des clients IPSEC Attaque de type MiM pas connue à ce jour Confort d’utilisation Transparent pour l’utilisateur Pas besoin d’utiliser son navigateur 4 Solutions à la clef
4 SSL / IPSEC en terme de déploiement et mobilité Technologie IPSEC: les points faibles ! Déploiement complexe Installation d’un client IPSEC Client très intrusif (Couche 3) Nécessite la maîtrise du poste client Installation des clients « natif » Configuration complexe (NAT, Routage) Problème de cohabitation logiciel Mobilité fortement réduite Notion de « kiosk » pas réalisable 4 Solutions à la clef
4 Intrusion: problématique du mode VPN « pure » Ouverture d’un moyen de communication (tunnel) ,entre le client et l’entreprise, très simple à exploiter ! Virus, Worm, Backdoor WIN32.Blaster.Worm (TCP 135 / DCOM RPC) Concerne IPSEC ou SSL (ppp over SSL) Recommandation minimum au niveau du poste client Mise en place d’un Anti-virus Mise en place d’un firewall personnel Mise en œuvre d’une solution IPS Networks Check Point InterSpect™ par exemple 4 Solutions à la clef
4 Mobilité: problématique du « Kiosk » Gestion des « traces » sur la borne Historique des URL Cache, fichiers temporaires Cookies Software Helper (Code Mobile) Authentification par certificat numérique Attention au support physique Carte à puce ou Token USB Solutions alternatives SecurID ou RSA Mobile 4 Solutions à la clef
4 Conclusion Deux technologies complémentaires Les VPN SSL ne vont pas remplacer IPSEC à court terme Marketing fabriquant! Quelle technologie choisir? Niveau de sécurité? Déploiement software? Maîtrise des postes clients? Déploiement applications clientes « natives »? Confort à l’utilisation? Mobilité? Etc. 4 Solutions à la clef
4 Questions? 4 Solutions à la clef
e-Xpert Solutions SA | 3, Chemin du Creux | CH 1233 Bernex-Genève | Tél +41 22 727 05 55 | Fax +41 22 727 05 50 e-Xpert Solutions SA Intégrateur en sécurité informatique Au bénéfice d'une longue expérience dans les secteurs financiers et industriels, e-Xpert Solutions SA propose à sa clientèle des solutions « clé en main » dans le domaine de la sécurité informatique des réseaux et des applications. Des solutions qui vont de la sécurité de périmètre – tel le firewall, VPN, IDS, FIA, le contrôle de contenu, l’anti-virus – aux solutions plus avant-gardistes comme la prévention des intrusions (approche comportementale), l'authentification forte, la biométrie, les architectures PKI ou encore la sécurisation des OS Unix, Microsoft et des postes clients (firewall personnel). 4 info@e-xpertsolutions.com | www.e-xpertsolutions.com
e-Xpert Solutions SA | 3, Chemin du Creux | CH 1233 Bernex-Genève | Tél +41 22 727 05 55 | Fax +41 22 727 05 50 Pour plus d’informations: e-Xpert Solutions SA Chemin du Creux 3 CH – 1233 Bernex / Genève Tel: +41 22 727 05 55 Fax: +41 22 727 05 50 info@e-xpertsolutions.com 4 info@e-xpertsolutions.com | www.e-xpertsolutions.com

Recommandé

présentation sur le vpn
présentation sur le vpn présentation sur le vpn
présentation sur le vpn
Manuel Cédric EBODE MBALLA
 
Rapport mise en place d'un sevrer VPN .
Rapport mise en place d'un sevrer VPN . Rapport mise en place d'un sevrer VPN .
Rapport mise en place d'un sevrer VPN .
Mouad Lousimi
 
Etude et mise en place d’un VPN
Etude et mise en place d’un VPNEtude et mise en place d’un VPN
Etude et mise en place d’un VPN
Charif Khrichfa
 
VPN - Virtual Private Network
VPN - Virtual Private NetworkVPN - Virtual Private Network
VPN - Virtual Private Network
julienlfr
 
projet sur le vpn presentation
projet sur le vpn presentationprojet sur le vpn presentation
projet sur le vpn presentation
Manuel Cédric EBODE MBALLA
 
Ccnp securite vpn
Ccnp securite vpnCcnp securite vpn
Ccnp securite vpn
sara ousaoud
 
Vpn
VpnVpn
Vpn
malekoff
 
Vpn
VpnVpn
Vpn
malekoff
 

Recommandé

présentation sur le vpn
présentation sur le vpn présentation sur le vpn
présentation sur le vpn
Manuel Cédric EBODE MBALLA
 
Rapport mise en place d'un sevrer VPN .
Rapport mise en place d'un sevrer VPN . Rapport mise en place d'un sevrer VPN .
Rapport mise en place d'un sevrer VPN .
Mouad Lousimi
 
Etude et mise en place d’un VPN
Etude et mise en place d’un VPNEtude et mise en place d’un VPN
Etude et mise en place d’un VPN
Charif Khrichfa
 
VPN - Virtual Private Network
VPN - Virtual Private NetworkVPN - Virtual Private Network
VPN - Virtual Private Network
julienlfr
 
projet sur le vpn presentation
projet sur le vpn presentationprojet sur le vpn presentation
projet sur le vpn presentation
Manuel Cédric EBODE MBALLA
 
Ccnp securite vpn
Ccnp securite vpnCcnp securite vpn
Ccnp securite vpn
sara ousaoud
 
Vpn
VpnVpn
Vpn
malekoff
 
Vpn
VpnVpn
Vpn
malekoff
 
Openvpn avec un client windows
Openvpn avec un client windows Openvpn avec un client windows
Openvpn avec un client windows
Yaya N'Tyeni Sanogo
 
Les Vpn
Les VpnLes Vpn
Les Vpn
medalaa
 
vpn
vpnvpn
vpn
fayzerish
 
Rapport sécurité
Rapport sécuritéRapport sécurité
Rapport sécurité
Mohammed Zaoui
 
Vpn
VpnVpn
Vpn
kwabo
 
mis en place dun vpn site à site
mis en place dun vpn site à site mis en place dun vpn site à site
mis en place dun vpn site à site
Manuel Cédric EBODE MBALLA
 
SSL - Secure Sockets Layer - Présentation
SSL - Secure Sockets Layer - PrésentationSSL - Secure Sockets Layer - Présentation
SSL - Secure Sockets Layer - Présentation
Ikram Benabdelouahab
 
Redondance de routeur (hsrp, vrrp, glbp)
Redondance de routeur (hsrp, vrrp, glbp)Redondance de routeur (hsrp, vrrp, glbp)
Redondance de routeur (hsrp, vrrp, glbp)
EL AMRI El Hassan
 
Pfsense
PfsensePfsense
Pfsense
Glen La Legende Vivante
 
sécurité informatique
sécurité informatiquesécurité informatique
sécurité informatique
Mohammed Zaoui
 
Etude et mise en place d’une solution open source de gestion de la sécurité d...
Etude et mise en place d’une solution open source de gestion de la sécurité d...Etude et mise en place d’une solution open source de gestion de la sécurité d...
Etude et mise en place d’une solution open source de gestion de la sécurité d...
Mohammed LAAZIZLI
 
Présentation etherchannel
Présentation etherchannelPrésentation etherchannel
Présentation etherchannel
Lechoco Kado
 
Sécurité Réseau à Base d'un Firewall Matériel (fortigate)
Sécurité Réseau à Base d'un Firewall Matériel (fortigate)Sécurité Réseau à Base d'un Firewall Matériel (fortigate)
Sécurité Réseau à Base d'un Firewall Matériel (fortigate)
Sakka Mustapha
 
Doc portail-captif-pfsense
Doc portail-captif-pfsenseDoc portail-captif-pfsense
Doc portail-captif-pfsense
servinfo
 
Installation et Configuration de Pfsense
Installation et Configuration de PfsenseInstallation et Configuration de Pfsense
Installation et Configuration de Pfsense
Ismail Rachdaoui
 
Présentation VOIP
Présentation VOIPPrésentation VOIP
Présentation VOIP
Cynapsys It Hotspot
 
Le protocole stp
Le protocole stpLe protocole stp
Le protocole stp
EL AMRI El Hassan
 
Tuto VP IPSEC Site-to-site
Tuto VP IPSEC Site-to-siteTuto VP IPSEC Site-to-site
Tuto VP IPSEC Site-to-site
Dimitri LEMBOKOLO
 
Mise en place d'un vpn site à site avec pfsense
Mise en place d'un vpn site à site avec pfsenseMise en place d'un vpn site à site avec pfsense
Mise en place d'un vpn site à site avec pfsense
Pape Moussa SONKO
 
radius
radiusradius
radius
mohamed hadrich
 
Présentation sécurité open_ssl
Présentation sécurité open_sslPrésentation sécurité open_ssl
Présentation sécurité open_ssl
dihiaselma
 
ssl-presentation-180811194533.pdf
ssl-presentation-180811194533.pdfssl-presentation-180811194533.pdf
ssl-presentation-180811194533.pdf
Iyadtech
 

Contenu connexe

Tendances

Etude et mise en place d’une solution open source de gestion de la sécurité d...
Etude et mise en place d’une solution open source de gestion de la sécurité d...Etude et mise en place d’une solution open source de gestion de la sécurité d...
Etude et mise en place d’une solution open source de gestion de la sécurité d...
Mohammed LAAZIZLI
 
Doc portail-captif-pfsense
Doc portail-captif-pfsenseDoc portail-captif-pfsense
Doc portail-captif-pfsense
servinfo
 

Tendances (20)

Openvpn avec un client windows
Openvpn avec un client windows Openvpn avec un client windows
Openvpn avec un client windows
 
Les Vpn
Les VpnLes Vpn
Les Vpn
 
vpn
vpnvpn
vpn
 
Rapport sécurité
Rapport sécuritéRapport sécurité
Rapport sécurité
 
Vpn
VpnVpn
Vpn
 
mis en place dun vpn site à site
mis en place dun vpn site à site mis en place dun vpn site à site
mis en place dun vpn site à site
 
SSL - Secure Sockets Layer - Présentation
SSL - Secure Sockets Layer - PrésentationSSL - Secure Sockets Layer - Présentation
SSL - Secure Sockets Layer - Présentation
 
Redondance de routeur (hsrp, vrrp, glbp)
Redondance de routeur (hsrp, vrrp, glbp)Redondance de routeur (hsrp, vrrp, glbp)
Redondance de routeur (hsrp, vrrp, glbp)
 
Pfsense
PfsensePfsense
Pfsense
 
sécurité informatique
sécurité informatiquesécurité informatique
sécurité informatique
 
Etude et mise en place d’une solution open source de gestion de la sécurité d...
Etude et mise en place d’une solution open source de gestion de la sécurité d...Etude et mise en place d’une solution open source de gestion de la sécurité d...
Etude et mise en place d’une solution open source de gestion de la sécurité d...
 
Présentation etherchannel
Présentation etherchannelPrésentation etherchannel
Présentation etherchannel
 
Sécurité Réseau à Base d'un Firewall Matériel (fortigate)
Sécurité Réseau à Base d'un Firewall Matériel (fortigate)Sécurité Réseau à Base d'un Firewall Matériel (fortigate)
Sécurité Réseau à Base d'un Firewall Matériel (fortigate)
 
Doc portail-captif-pfsense
Doc portail-captif-pfsenseDoc portail-captif-pfsense
Doc portail-captif-pfsense
 
Installation et Configuration de Pfsense
Installation et Configuration de PfsenseInstallation et Configuration de Pfsense
Installation et Configuration de Pfsense
 
Présentation VOIP
Présentation VOIPPrésentation VOIP
Présentation VOIP
 
Le protocole stp
Le protocole stpLe protocole stp
Le protocole stp
 
Tuto VP IPSEC Site-to-site
Tuto VP IPSEC Site-to-siteTuto VP IPSEC Site-to-site
Tuto VP IPSEC Site-to-site
 
Mise en place d'un vpn site à site avec pfsense
Mise en place d'un vpn site à site avec pfsenseMise en place d'un vpn site à site avec pfsense
Mise en place d'un vpn site à site avec pfsense
 
radius
radiusradius
radius
 

Similaire à VPN: SSL vs IPSEC

ssl-presentation-180811194533.pdf
ssl-presentation-180811194533.pdfssl-presentation-180811194533.pdf
ssl-presentation-180811194533.pdf
Iyadtech
 
Quelle technologie pour les accès distants sécurisés ?
Quelle technologie pour les accès distants sécurisés ?Quelle technologie pour les accès distants sécurisés ?
Quelle technologie pour les accès distants sécurisés ?
Sylvain Maret
 
Sécurités & Annuaires
Sécurités & AnnuairesSécurités & Annuaires
Sécurités & Annuaires
Paulin CHOUDJA
 
Strong Authentication with PKI
Strong Authentication with PKIStrong Authentication with PKI
Strong Authentication with PKI
Sylvain Maret
 
Webcast : Exchange et la répartition de charge
Webcast : Exchange et la répartition de chargeWebcast : Exchange et la répartition de charge
Webcast : Exchange et la répartition de charge
iTProFR
 
Reseaux Avancés Tunnel_Niveaux347.pdf
Reseaux Avancés Tunnel_Niveaux347.pdfReseaux Avancés Tunnel_Niveaux347.pdf
Reseaux Avancés Tunnel_Niveaux347.pdf
SergeAKUE
 
Alphorm.com Formation Certification NSE4 : Fortinet Fortigate Security 6.x
Alphorm.com Formation Certification NSE4 : Fortinet Fortigate Security 6.xAlphorm.com Formation Certification NSE4 : Fortinet Fortigate Security 6.x
Alphorm.com Formation Certification NSE4 : Fortinet Fortigate Security 6.x
Alphorm
 

Similaire à VPN: SSL vs IPSEC (20)

Présentation sécurité open_ssl
Présentation sécurité open_sslPrésentation sécurité open_ssl
Présentation sécurité open_ssl
 
ssl-presentation-180811194533.pdf
ssl-presentation-180811194533.pdfssl-presentation-180811194533.pdf
ssl-presentation-180811194533.pdf
 
Quelle technologie pour les accès distants sécurisés ?
Quelle technologie pour les accès distants sécurisés ?Quelle technologie pour les accès distants sécurisés ?
Quelle technologie pour les accès distants sécurisés ?
 
Sécurité des applications Web
Sécurité des applications WebSécurité des applications Web
Sécurité des applications Web
 
Sécurités & Annuaires
Sécurités & AnnuairesSécurités & Annuaires
Sécurités & Annuaires
 
VPN (3).pptx
VPN (3).pptxVPN (3).pptx
VPN (3).pptx
 
Securisation de la VoIP sous Asterisk: solution avec Asterisk, OpenVPN et Ope...
Securisation de la VoIP sous Asterisk: solution avec Asterisk, OpenVPN et Ope...Securisation de la VoIP sous Asterisk: solution avec Asterisk, OpenVPN et Ope...
Securisation de la VoIP sous Asterisk: solution avec Asterisk, OpenVPN et Ope...
 
9 presentation ssi-kettani_septi
9 presentation ssi-kettani_septi9 presentation ssi-kettani_septi
9 presentation ssi-kettani_septi
 
Introduction à la sécurité informatique Volume2
Introduction à la sécurité informatique Volume2Introduction à la sécurité informatique Volume2
Introduction à la sécurité informatique Volume2
 
VPN site-to-site.pdf
VPN site-to-site.pdfVPN site-to-site.pdf
VPN site-to-site.pdf
 
Strong Authentication with PKI
Strong Authentication with PKIStrong Authentication with PKI
Strong Authentication with PKI
 
Webcast : Exchange et la répartition de charge
Webcast : Exchange et la répartition de chargeWebcast : Exchange et la répartition de charge
Webcast : Exchange et la répartition de charge
 
Reseaux Avancés Tunnel_Niveaux347.pdf
Reseaux Avancés Tunnel_Niveaux347.pdfReseaux Avancés Tunnel_Niveaux347.pdf
Reseaux Avancés Tunnel_Niveaux347.pdf
 
Rapport sécurité
Rapport sécuritéRapport sécurité
Rapport sécurité
 
Curriculum vitae
Curriculum vitaeCurriculum vitae
Curriculum vitae
 
Présentation Microsoft Advanced Threat Analytics | Deep-Dive - MSCloud Summi...
Présentation Microsoft Advanced Threat Analytics | Deep-Dive - MSCloud Summi...Présentation Microsoft Advanced Threat Analytics | Deep-Dive - MSCloud Summi...
Présentation Microsoft Advanced Threat Analytics | Deep-Dive - MSCloud Summi...
 
Etat des Lieux DANE (DNS Based Authentication of Named Entities)
Etat des Lieux DANE (DNS Based Authentication of Named Entities)Etat des Lieux DANE (DNS Based Authentication of Named Entities)
Etat des Lieux DANE (DNS Based Authentication of Named Entities)
 
Alphorm.com Formation Certification NSE4 : Fortinet Fortigate Security 6.x
Alphorm.com Formation Certification NSE4 : Fortinet Fortigate Security 6.xAlphorm.com Formation Certification NSE4 : Fortinet Fortigate Security 6.x
Alphorm.com Formation Certification NSE4 : Fortinet Fortigate Security 6.x
 
Vinothkumar palaniyappan cv
Vinothkumar palaniyappan cvVinothkumar palaniyappan cv
Vinothkumar palaniyappan cv
 
Cri iut 2005-wifi_free_radius
Cri iut 2005-wifi_free_radiusCri iut 2005-wifi_free_radius
Cri iut 2005-wifi_free_radius
 

Plus de Sylvain Maret

Air Navigation Service Providers - Unsecurity on Voice over IP Radion
Air Navigation Service Providers - Unsecurity on Voice over IP RadionAir Navigation Service Providers - Unsecurity on Voice over IP Radion
Air Navigation Service Providers - Unsecurity on Voice over IP Radion
Sylvain Maret
 
factsheet_4g_critical_comm_en_vl
factsheet_4g_critical_comm_en_vlfactsheet_4g_critical_comm_en_vl
factsheet_4g_critical_comm_en_vl
Sylvain Maret
 
Securite des Web Services (SOAP vs REST) / OWASP Geneva dec. 2012
Securite des Web Services (SOAP vs REST) / OWASP Geneva dec. 2012Securite des Web Services (SOAP vs REST) / OWASP Geneva dec. 2012
Securite des Web Services (SOAP vs REST) / OWASP Geneva dec. 2012
Sylvain Maret
 
Strong Authentication State of the Art 2012 / Sarajevo CSO
Strong Authentication State of the Art 2012 / Sarajevo CSOStrong Authentication State of the Art 2012 / Sarajevo CSO
Strong Authentication State of the Art 2012 / Sarajevo CSO
Sylvain Maret
 
Geneva Application Security Forum: Vers une authentification plus forte dans ...
Geneva Application Security Forum: Vers une authentification plus forte dans ...Geneva Application Security Forum: Vers une authentification plus forte dans ...
Geneva Application Security Forum: Vers une authentification plus forte dans ...
Sylvain Maret
 
Geneva Application Security Forum: Vers une authentification plus forte dans ...
Geneva Application Security Forum: Vers une authentification plus forte dans ...Geneva Application Security Forum: Vers une authentification plus forte dans ...
Geneva Application Security Forum: Vers une authentification plus forte dans ...
Sylvain Maret
 

Plus de Sylvain Maret (20)

Air Navigation Service Providers - Unsecurity on Voice over IP Radion
Air Navigation Service Providers - Unsecurity on Voice over IP RadionAir Navigation Service Providers - Unsecurity on Voice over IP Radion
Air Navigation Service Providers - Unsecurity on Voice over IP Radion
 
factsheet_4g_critical_comm_en_vl
factsheet_4g_critical_comm_en_vlfactsheet_4g_critical_comm_en_vl
factsheet_4g_critical_comm_en_vl
 
INA Volume 1/3 Version 1.02 Released / Digital Identity and Authentication
INA Volume 1/3 Version 1.02 Released / Digital Identity and AuthenticationINA Volume 1/3 Version 1.02 Released / Digital Identity and Authentication
INA Volume 1/3 Version 1.02 Released / Digital Identity and Authentication
 
INA Volume 1/3 Version 1.0 Released / Digital Identity and Authentication
INA Volume 1/3 Version 1.0 Released / Digital Identity and AuthenticationINA Volume 1/3 Version 1.0 Released / Digital Identity and Authentication
INA Volume 1/3 Version 1.0 Released / Digital Identity and Authentication
 
INA Volume 1/3 Version 1.0 RC / Digital Identity and Authentication
INA Volume 1/3 Version 1.0 RC / Digital Identity and AuthenticationINA Volume 1/3 Version 1.0 RC / Digital Identity and Authentication
INA Volume 1/3 Version 1.0 RC / Digital Identity and Authentication
 
Securite des Web Services (SOAP vs REST) / OWASP Geneva dec. 2012
Securite des Web Services (SOAP vs REST) / OWASP Geneva dec. 2012Securite des Web Services (SOAP vs REST) / OWASP Geneva dec. 2012
Securite des Web Services (SOAP vs REST) / OWASP Geneva dec. 2012
 
Strong Authentication State of the Art 2012 / Sarajevo CSO
Strong Authentication State of the Art 2012 / Sarajevo CSOStrong Authentication State of the Art 2012 / Sarajevo CSO
Strong Authentication State of the Art 2012 / Sarajevo CSO
 
ASFWS 2012 / Initiation à la sécurité des Web Services par Sylvain Maret
ASFWS 2012 / Initiation à la sécurité des Web Services par Sylvain MaretASFWS 2012 / Initiation à la sécurité des Web Services par Sylvain Maret
ASFWS 2012 / Initiation à la sécurité des Web Services par Sylvain Maret
 
Threat Modeling / iPad
Threat Modeling / iPadThreat Modeling / iPad
Threat Modeling / iPad
 
Strong Authentication in Web Application #SCS III
Strong Authentication in Web Application #SCS IIIStrong Authentication in Web Application #SCS III
Strong Authentication in Web Application #SCS III
 
Strong Authentication in Web Applications: State of the Art 2011
Strong Authentication in Web Applications: State of the Art 2011Strong Authentication in Web Applications: State of the Art 2011
Strong Authentication in Web Applications: State of the Art 2011
 
Strong Authentication in Web Application / ConFoo.ca 2011
Strong Authentication in Web Application / ConFoo.ca 2011Strong Authentication in Web Application / ConFoo.ca 2011
Strong Authentication in Web Application / ConFoo.ca 2011
 
Authentication and strong authentication for Web Application
Authentication and strong authentication for Web ApplicationAuthentication and strong authentication for Web Application
Authentication and strong authentication for Web Application
 
Geneva Application Security Forum 2010
Geneva Application Security Forum 2010Geneva Application Security Forum 2010
Geneva Application Security Forum 2010
 
Final conclusions of Working Group 3 at Workshop Münchenwiler 20-21 of May 20...
Final conclusions of Working Group 3 at Workshop Münchenwiler 20-21 of May 20...Final conclusions of Working Group 3 at Workshop Münchenwiler 20-21 of May 20...
Final conclusions of Working Group 3 at Workshop Münchenwiler 20-21 of May 20...
 
Comment protéger de façon efficace son/ses identité(s) numérique(s) sur le We...
Comment protéger de façon efficace son/ses identité(s) numérique(s) sur le We...Comment protéger de façon efficace son/ses identité(s) numérique(s) sur le We...
Comment protéger de façon efficace son/ses identité(s) numérique(s) sur le We...
 
Digital identity trust & confidence
Digital identity trust & confidenceDigital identity trust & confidence
Digital identity trust & confidence
 
Implementation of a Biometric Solution Providing Strong Authentication To Gai...
Implementation of a Biometric Solution Providing Strong Authentication To Gai...Implementation of a Biometric Solution Providing Strong Authentication To Gai...
Implementation of a Biometric Solution Providing Strong Authentication To Gai...
 
Geneva Application Security Forum: Vers une authentification plus forte dans ...
Geneva Application Security Forum: Vers une authentification plus forte dans ...Geneva Application Security Forum: Vers une authentification plus forte dans ...
Geneva Application Security Forum: Vers une authentification plus forte dans ...
 
Geneva Application Security Forum: Vers une authentification plus forte dans ...
Geneva Application Security Forum: Vers une authentification plus forte dans ...Geneva Application Security Forum: Vers une authentification plus forte dans ...
Geneva Application Security Forum: Vers une authentification plus forte dans ...
 

Dernier

Slides du webinaire de l'Infopole sur l'IA
Slides du webinaire de l'Infopole sur l'IASlides du webinaire de l'Infopole sur l'IA
Slides du webinaire de l'Infopole sur l'IA
Infopole1
 

Dernier (6)

Modèles de contrôle d accès_ RBAC (Role Based Access Control).pdf
Modèles de contrôle d accès_ RBAC (Role Based Access Control).pdfModèles de contrôle d accès_ RBAC (Role Based Access Control).pdf
Modèles de contrôle d accès_ RBAC (Role Based Access Control).pdf
 
cours Systèmes de Gestion des Identités.pdf
cours Systèmes de Gestion des Identités.pdfcours Systèmes de Gestion des Identités.pdf
cours Systèmes de Gestion des Identités.pdf
 
Augmentez vos conversions en ligne : les techniques et outils qui marchent vr...
Augmentez vos conversions en ligne : les techniques et outils qui marchent vr...Augmentez vos conversions en ligne : les techniques et outils qui marchent vr...
Augmentez vos conversions en ligne : les techniques et outils qui marchent vr...
 
Slides du webinaire de l'Infopole sur l'IA
Slides du webinaire de l'Infopole sur l'IASlides du webinaire de l'Infopole sur l'IA
Slides du webinaire de l'Infopole sur l'IA
 
Protéger l'intégrité de son environnement numérique
Protéger l'intégrité de son environnement numériqueProtéger l'intégrité de son environnement numérique
Protéger l'intégrité de son environnement numérique
 
Contrôle d’accès et Gestion des identités: Terminologies et Protocoles d’auth...
Contrôle d’accès et Gestion des identités: Terminologies et Protocoles d’auth...Contrôle d’accès et Gestion des identités: Terminologies et Protocoles d’auth...
Contrôle d’accès et Gestion des identités: Terminologies et Protocoles d’auth...
 

VPN: SSL vs IPSEC

  • 1. e-Xpert Solutions SA | 3, Chemin du Creux | CH 1233 Bernex-Genève | Tél +41 22 727 05 55 | Fax +41 22 727 05 50 Technologie VPN « IPSEC vs SSL » Séminaire du 21 avril 2004 Sylvain Maret 4 info@e-xpertsolutions.com | www.e-xpertsolutions.com
  • 2. 4 Agenda technologie VPN IPSEC vs SSL Survol de la technologie VPN SSL Son fonctionnement de base IPSEC en deux mots Comparaison avec IPSEC Les points forts IPSEC Les points faibles IPSEC Deux problématiques VPN Intrusion par le tunnel Mobilité (Kiosk) Conclusion 4 Solutions à la clef
  • 3. 4 SSL / TLS: un peu d’histoire SSL version 1 et 2 par Netscape en 1994 Secure Socket Layer Contre attaque par Microsoft en 1995 Private Communication Technology (PCT) SSL version 3 par Netscape en 1995 Repris par IETF en 1997: TLS Transport Layer Security version 1.0 ou SSL version 3.1 RFC 2246 Standard toujours actuel Ajout ciphers (AES) 4 Solutions à la clef
  • 4. 4 SSL / TLS: fonctionnement classique Généralement utilisé avec le protocole HTTP (HTTPS) Application Navigateurs (IE, Mozilla, etc.) Support d’autres applications SSL / TLS ldap, imap, smtp, etc. TCP Technologie basée sur PKI Certificat X509 serveur Certificat X509 client IP Validation par CRL ou OCSP Support du mode « tunnel » Physique 4 Solutions à la clef
  • 5. 4 Technologie SSL VPN: l’idée Utiliser le client VPN des navigateurs Pas besoin d’installer du logiciel Support des technologies d’authentifications Radius, SecurID, Ldap, Certificats numériques, NTLM, etc, Rendre accessible « toutes » les applications dans le navigateur Approche « Webifyer » « Tunneliser » les autres applications Approche « tunnel » SSL Même approche que IPSEC 4 Solutions à la clef
  • 6. 4 Webifyer: pas de clients « natif » Secured by Telnet, SSH, SSL / TLS Laptop TN32.., etc. Internet Share NT, NFS, Kiosk email, X11, Terminaison SSL Terminal Server Citrix, etc. Mobile Device Applications Web Reverse Proxy (OWA, Lotus) Partner Authentification 4 Solutions à la clef
  • 7. 4 Tunnel SSL: avec clients « natif » TCP Static SSL / TLS TCP 1352 Lotus Localhost Terminaison SSL 127.0.0.1:1352 Authentification TCP, UDP, ICMP SSL / TLS FTP TCP 20,21 PPP Interface virtuelle Terminaison SSL Routage 4 Solutions à la clef
  • 8. 4 Technologie IPSEC IP Security Modification trame IP Application Support TCP, UDP, ICMP Technologie normalisée par l’IETF en 1995 TCP RFC 2401, 2402, 2406 et 2409 Support PKI IP Certificat client IPSEC Certificat « gateway » Support authentification Physique « classique » Radius, SecurID, etc. 4 Solutions à la clef
  • 9. 4 SSL / IPSEC en terme de sécurité et confort Technologie IPSEC: les points forts ! Très haut niveau de sécurité Support de l’échange des clés symétriques en cours de session Support AES par la plupart des clients IPSEC Attaque de type MiM pas connue à ce jour Confort d’utilisation Transparent pour l’utilisateur Pas besoin d’utiliser son navigateur 4 Solutions à la clef
  • 10. 4 SSL / IPSEC en terme de déploiement et mobilité Technologie IPSEC: les points faibles ! Déploiement complexe Installation d’un client IPSEC Client très intrusif (Couche 3) Nécessite la maîtrise du poste client Installation des clients « natif » Configuration complexe (NAT, Routage) Problème de cohabitation logiciel Mobilité fortement réduite Notion de « kiosk » pas réalisable 4 Solutions à la clef
  • 11. 4 Intrusion: problématique du mode VPN « pure » Ouverture d’un moyen de communication (tunnel) ,entre le client et l’entreprise, très simple à exploiter ! Virus, Worm, Backdoor WIN32.Blaster.Worm (TCP 135 / DCOM RPC) Concerne IPSEC ou SSL (ppp over SSL) Recommandation minimum au niveau du poste client Mise en place d’un Anti-virus Mise en place d’un firewall personnel Mise en œuvre d’une solution IPS Networks Check Point InterSpect™ par exemple 4 Solutions à la clef
  • 12. 4 Mobilité: problématique du « Kiosk » Gestion des « traces » sur la borne Historique des URL Cache, fichiers temporaires Cookies Software Helper (Code Mobile) Authentification par certificat numérique Attention au support physique Carte à puce ou Token USB Solutions alternatives SecurID ou RSA Mobile 4 Solutions à la clef
  • 13. 4 Conclusion Deux technologies complémentaires Les VPN SSL ne vont pas remplacer IPSEC à court terme Marketing fabriquant! Quelle technologie choisir? Niveau de sécurité? Déploiement software? Maîtrise des postes clients? Déploiement applications clientes « natives »? Confort à l’utilisation? Mobilité? Etc. 4 Solutions à la clef
  • 14. 4 Questions? 4 Solutions à la clef
  • 15. e-Xpert Solutions SA | 3, Chemin du Creux | CH 1233 Bernex-Genève | Tél +41 22 727 05 55 | Fax +41 22 727 05 50 e-Xpert Solutions SA Intégrateur en sécurité informatique Au bénéfice d'une longue expérience dans les secteurs financiers et industriels, e-Xpert Solutions SA propose à sa clientèle des solutions « clé en main » dans le domaine de la sécurité informatique des réseaux et des applications. Des solutions qui vont de la sécurité de périmètre – tel le firewall, VPN, IDS, FIA, le contrôle de contenu, l’anti-virus – aux solutions plus avant-gardistes comme la prévention des intrusions (approche comportementale), l'authentification forte, la biométrie, les architectures PKI ou encore la sécurisation des OS Unix, Microsoft et des postes clients (firewall personnel). 4 info@e-xpertsolutions.com | www.e-xpertsolutions.com
  • 16. e-Xpert Solutions SA | 3, Chemin du Creux | CH 1233 Bernex-Genève | Tél +41 22 727 05 55 | Fax +41 22 727 05 50 Pour plus d’informations: e-Xpert Solutions SA Chemin du Creux 3 CH – 1233 Bernex / Genève Tel: +41 22 727 05 55 Fax: +41 22 727 05 50 info@e-xpertsolutions.com 4 info@e-xpertsolutions.com | www.e-xpertsolutions.com