Pages

vendredi 20 janvier 2012

Généralités sur la technologie VPN IPSEC

La technologie VPN IPSEC est aujourd'hui probablement le type de réseau le plus brisé. C'est pas gratuit si l'on sait que cette technologie comporte beaucoup d'avantages liés à la possibilité de connecter des sites distants, des utilisateurs mobiles, et des partenaires qu'ils soient prés ou éloignés en toute sécurité (oh! oh!).
Le fait que cette technologie soit largement utilisée implique forcement la nécessité de  comprendre les concepts fondamentaux, la technologie et les termes.
Qu'est-ce que IPSEC fait réellement?
IPSEC est un standard IETF (RFC 2401-2412) qui nous permet d'envoyer des données privées et confidentielles sur un réseau public comme internet d'une façon très sûre. Pour le faire IPSEC fournit les services suivants

  • la confidentialité avec le chiffrement de données
  • l'intégrité des données transmises grâce à des checksum
  • l'authentification du vis à vis (peer) en utilisant une clé partagée ou un certificat numérique   
Les clés de chiffrement et IKE
Pour fournir le chiffrement, IPSEC utilise une clé de chiffrement symétrique. Ceci suppose que les deux éléments impliqués dans une session IPSEC ont la même clé et que cette dernière est bien protégée voire souvent même changée pour assurer un bon niveau de sécurité. Pour faciliter cette gestion des clés de chiffrement , Cisco IOS utilise le protocole Internet Key Exchange (IKE). IKE est responsable de ce qui suit:

  • négocie une security association (SA)
  • génère automatiquement les clés de chiffrement
  • rafraîchit automatiquement les clés de chiffrement
Durant le processus IKE, un canal sécurisé est négocié. Pour cela , IKE peut opérer suivant trois modes. Le processus IKE se décompose en deux phases.
Phase 1: négocie une SA pour le canal sécurisé. Elle utilise soit le mode principal ou agressif
Phase 2: utilise la SA de phase 1 pour négocier les règles de chiffrement pour le traffic qu'il faut protéger, et deux autres SAs sont générées. Elle utilise le mode rapide

Le mode principal diffère du mode agressif du fait que le mode agressif compresse la négociation d'une SA en trois packets et est plus rapide que le mode principal. Le mode rapide est utilisé dans la phase 2.
Il existe une phase optionnelle souvent appelée Phase 1.5 pour gerer l'authentification

En résumé le processus est le suivant

  1. IKE phase 1 négocie transform sets, méthode de hachage, et d'autres paramètres
  2. IKE phase 1.5 effectue extended authentication (XAUTH) pour le peer
  3. IKE phase 2 est négocié par Internet Security Association and Key Management (ISAKMP) en utilisant la méthode rapide 
Encapsulating Security Payload and Authentication Header
ESP (Protocole 50) est le coeur de IPSEC. ESP est l'entête placée devant les données chiffrées. ESP fournit les données chiffrées d'un point à un autre, et il assure également l'authentification.

AH (protocole 51) fournit simplement une authentification des données mais n'offre aucun service de chiffrement

Fig 1:Voir le packet original, Chiffrement ESP, Chiffrement et Authentification ESP, et Authentification AH

Lorsqu'on utilise IPSEC, nous pouvons utiliser un des deux modes. C'est à dire le mode tunnel ou le mode transport . Le mode tunnel est le mode par défaut de Cisco. Le mode tunnel cache l'adresse IP original et place une nouvelle  IP d'enête en face de l'entête ESP pour les besoins du routage. Le mode transport est souvent utilisé avec les tunnels generic routing encapsulation (GRE) car le mode transport ne cache pas l'adresse IP original mais GRE le fait. Quand le mode tunnel est activé, les packets sont plus large de 20bytes par rapport au mode transport

Fig 2: Mode Tunnel vs Mode Transport



MD5 et SHA-1
IPSEC utilise Hashed Message Authentication Code (HMAC) pour fournir un message d'authentification et des checks d'intégrité.
HMAC utilise MD5, une fonction de hachage de 128bits, ou Secure Hash Algorithm 1 (SHA1), une fonction de hachage de 160bits. Seulement, les premiers 96 bits sont utilisés par IPSEC et est plus lent que MD5.

Clés de chiffrement
IPSEC utilise un algorithme  de chiffrement symétrique. Ces algorithmes incluent les exemples suivants:

  • Data Encryptions Standard (DES)
  • Triple DES (3DES)
  • Advanced Encryption Standard (AES)


Diffie-Hellman
Le protocole DH est utilisé pour établir les clés secrètes partagées sur un canal non protégé.

Dans le prochain article nous allons configurer un tunnel VPN Site-to-Site.

Merci pour vos commentaires et suggestions!!




Publié par à 1 commentaire:

jeudi 19 janvier 2012

Cisco Secure Volunteer / CISCO VPN CONCENTRATROR 3005



IPSEC VPN
IP Security (IPSec)VPN provides the most robust remote access environment to remote users by 
extending almost any data,voice,or video application available in the office to remote working 
locations. IPSec VPN client software on the remote system enables a user experience and workflow 
consistent with the office environment by providing easy application access and system integrity 
enforcement. IPSec VPN provides the most comprehensive level of network access to remote users,thus 
extending the productivity ofthe office to virtually any location.This "any application access" has 
made iPSec VPN the defacto standard for extending connectivity to home offices,traveling employees, 
remote workers,and day extenders.

Remote Access VPNs
Corporations useVirtuel Private Networks (VPNs) to establish secure, end-to-end private network 
connections over a public networking infrastructure.VPNs have become the logical solution for 
remote access connectivity.Deploying a remote access VPN enables corporations to reduce 
communications expanses by using the local dialup infrastructures of Internet Service Providers. At 
the same time,VPNs allow mobile workers,telecommuters,partners,and day extenders to take advantage 
of broadband connectivity.To fully realize the benefits of high-performance remote  access VPNs, a 
corporation must deploy a robust, highly available VPN solution,supporting both IPSec end WebVPN 
(clientless) capabilities.

 Consider the following scenario.Remote users need to dial into the corporate office end
access e-mail, corporate presentations,order entry,and engineering. ln addition, Corporate 
Information Services wants remote users to access corporate resources fast, inexpensively, and as 
securely as possible.

lmplementing a remote-access virtual private network (VPN) with the Cisco VPN 3000
Series Concentrator and the CiscoVPN Software Client is the right choice. It enables remote users to 
access the corporate resources they require. Corporate Information Services meets their 
speed, expense, and security requirements.

The Client-tc-LAN VPN consista of four componente: IPSec client software, Point-to-Point
Protocol (PPP), IPSec standards, and the Concentrator.

     • IPSec client software- The IPSec client software is not native to the Microsoft
       Windows operating system and must be loaded on the PC. lt is used to encrypt, authenticate,and 
        encapsulate data. lt aIso terminates one end of the tunnel.

      • PPP-  For remote access applications, the PC relies on PPP to establish a physical connection to 
        the local ISP or the Internet.

     • IPSec standards- After the ISP authenticates the remote user,the user launches the IPSec client 
        IPSec establishes a secure tunnel or session through the Internet to the Concentrator.

     • Concentrator- The Concentrator terminates the opposite end of the tunnel.The
       Concentrator decrypts, authenticates, and de-encapsulates the data.

The Software Client works with the Concentrator to creete a secure connection, called a
tunnel, between your computer and the private network. lt uses Internet Key Exchange
(IKE) and IPSec tunneling  protocols to make and manage the secure connection.
Some of the operations that the Software Client performs, which are mostly invisible to you, inctude 
the following:

       • Negotiating tunnel paramaters: addresses, algorithms, lifetime,and so on
       • Establishing tunnels according to the parameters
       • Authenticating users by ensuring that users are who they say they are through usenames,group 
          names, passwords,and digital certificates
       • Establishing user access  rights: hours of access,connection time, allowed destinations,allowed 
          protocols,and so on
       • Managing security keys for encryption and decryption
       • Establishing the IPSec session

Authenticating,encrypting, and decrypting data through  the tunnel.

Thanks for reading and commentting!!!!





Publié par à Aucun commentaire:
Inscription à : Articles (Atom)