e-Xpert Solutions SA | 3, Chemin du Creux | CH 1233 Bernex-Genève | Tél +41 22 727 05 55 | Fax +41 22 727 05 50

Technologie VPN « IPSEC vs SSL » Séminaire du 21 avril 2004

Sylvain Maret

4 info@e-xpertsolutions.com | www.e-xpertsolutions.com

4

Agenda technologie VPN IPSEC vs SSL

Survol de la technologie VPN SSL
Son fonctionnement de base

IPSEC en deux mots Comparaison avec IPSEC
Les points forts IPSEC Les points faibles IPSEC

Deux problématiques VPN
Intrusion par le tunnel Mobilité (Kiosk)

Conclusion
4
Solutions à la clef

4

SSL / TLS: un peu d’histoire

SSL version 1 et 2 par Netscape en 1994
Secure Socket Layer

Contre attaque par Microsoft en 1995
Private Communication Technology (PCT)

SSL version 3 par Netscape en 1995 Repris par IETF en 1997: TLS
Transport Layer Security version 1.0 ou SSL version 3.1 RFC 2246

Standard toujours actuel
Ajout ciphers (AES)
4
Solutions à la clef

4

SSL / TLS: fonctionnement classique

Généralement utilisé avec le protocole HTTP (HTTPS)
Navigateurs (IE, Mozilla, etc.)

Application SSL / TLS TCP

Support d’autres applications
ldap, imap, smtp, etc.

Technologie basée sur PKI
Certificat X509 serveur Certificat X509 client Validation par CRL ou OCSP

IP

Support du mode « tunnel »

Physique

4

Solutions à la clef

4

Technologie SSL VPN: l’idée

Utiliser le client VPN des navigateurs
Pas besoin d’installer du logiciel

Support des technologies d’authentifications
Radius, SecurID, Ldap, Certificats numériques, NTLM, etc,

Rendre accessible « toutes » les applications dans le navigateur
Approche « Webifyer »

« Tunneliser » les autres applications
Approche « tunnel » SSL Même approche que IPSEC
4
Solutions à la clef

4

Webifyer: pas de clients « natif »

Laptop

Secured by SSL / TLS

Telnet, SSH, TN32.., etc.

Kiosk

Internet

Terminaison SSL

Share NT, NFS, email, X11, Terminal Server Citrix, etc. Applications Web Reverse Proxy (OWA, Lotus)

Mobile Device

Partner

Authentification
4
Solutions à la clef

4

Tunnel SSL: avec clients « natif »

TCP Static SSL / TLS Localhost 127.0.0.1:1352 Terminaison SSL TCP 1352 Lotus

Authentification

TCP, UDP, ICMP SSL / TLS Interface virtuelle Routage
4

PPP

FTP TCP 20,21 Terminaison SSL
Solutions à la clef

4

Technologie IPSEC

IP Security
Modification trame IP Support TCP, UDP, ICMP
Application

Technologie normalisée par l’IETF en 1995
RFC 2401, 2402, 2406 et 2409

TCP IP IPSEC Physique

Support PKI
Certificat client Certificat « gateway »

Support authentification « classique »
Radius, SecurID, etc.
4

Solutions à la clef

4

SSL / IPSEC en terme de sécurité et confort

Technologie IPSEC: les points forts !
Très haut niveau de sécurité
Support de l’échange des clés symétriques en cours de session Support AES par la plupart des clients IPSEC Attaque de type MiM pas connue à ce jour

Confort d’utilisation
Transparent pour l’utilisateur Pas besoin d’utiliser son navigateur
4
Solutions à la clef

4

SSL / IPSEC en terme de déploiement et mobilité

Technologie IPSEC: les points faibles !
Déploiement complexe
Installation d’un client IPSEC Client très intrusif (Couche 3) Nécessite la maîtrise du poste client Installation des clients « natif » Configuration complexe (NAT, Routage) Problème de cohabitation logiciel

Mobilité fortement réduite
Notion de « kiosk » pas réalisable
4
Solutions à la clef

4

Intrusion: problématique du mode VPN « pure »

Ouverture d’un moyen de communication (tunnel) ,entre le client et l’entreprise, très simple à exploiter !
Virus, Worm, Backdoor
WIN32.Blaster.Worm (TCP 135 / DCOM RPC)

Concerne IPSEC ou SSL (ppp over SSL)

Recommandation minimum au niveau du poste client
Mise en place d’un Anti-virus Mise en place d’un firewall personnel

Mise en œuvre d’une solution IPS Networks
Check Point InterSpect™ par exemple
4
Solutions à la clef

4

Mobilité: problématique du « Kiosk »

Gestion des « traces » sur la borne
Historique des URL Cache, fichiers temporaires Cookies Software Helper (Code Mobile)

Authentification par certificat numérique
Attention au support physique
Carte à puce ou Token USB

Solutions alternatives
SecurID ou RSA Mobile
4
Solutions à la clef

4

Conclusion

Deux technologies complémentaires
Les VPN SSL ne vont pas remplacer IPSEC à court terme
Marketing fabriquant!

Quelle technologie choisir?
Niveau de sécurité? Déploiement software? Maîtrise des postes clients? Déploiement applications clientes « natives »? Confort à l’utilisation? Mobilité? Etc.
4
Solutions à la clef

4

Questions?

4

Solutions à la clef

e-Xpert Solutions SA | 3, Chemin du Creux | CH 1233 Bernex-Genève | Tél +41 22 727 05 55 | Fax +41 22 727 05 50

e-Xpert Solutions SA
Intégrateur en sécurité informatique
Au bénéfice d'une longue expérience dans les secteurs financiers et industriels, e-Xpert Solutions SA propose à sa clientèle des solutions « clé en main » dans le domaine de la sécurité informatique des réseaux et des applications. Des solutions qui vont de la sécurité de périmètre – tel le firewall, VPN, IDS, FIA, le contrôle de contenu, l’anti-virus – aux solutions plus avant-gardistes comme la prévention des intrusions (approche comportementale), l'authentification forte, la biométrie, les architectures PKI ou encore la sécurisation des OS Unix, Microsoft et des postes clients (firewall personnel).
4 info@e-xpertsolutions.com | www.e-xpertsolutions.com

e-Xpert Solutions SA | 3, Chemin du Creux | CH 1233 Bernex-Genève | Tél +41 22 727 05 55 | Fax +41 22 727 05 50

Pour plus d’informations:

e-Xpert Solutions SA Chemin du Creux 3 CH – 1233 Bernex / Genève Tel: +41 22 727 05 55 Fax: +41 22 727 05 50 info@e-xpertsolutions.com
4 info@e-xpertsolutions.com | www.e-xpertsolutions.com

Sign up to vote on this title
UsefulNot useful