Empfohlen
Weitere ähnliche Inhalte
Was ist angesagt?
Was ist angesagt? (20)
Ähnlich wie VPN: SSL vs IPSEC
Ähnlich wie VPN: SSL vs IPSEC (20)
Mehr von Sylvain Maret
Mehr von Sylvain Maret (20)
VPN: SSL vs IPSEC
- 1. e-Xpert Solutions SA | 3, Chemin du Creux | CH 1233 Bernex-Genève | Tél +41 22 727 05 55 | Fax +41 22 727 05 50 Technologie VPN « IPSEC vs SSL » Séminaire du 21 avril 2004 Sylvain Maret 4 info@e-xpertsolutions.com | www.e-xpertsolutions.com
- 2. 4 Agenda technologie VPN IPSEC vs SSL Survol de la technologie VPN SSL Son fonctionnement de base IPSEC en deux mots Comparaison avec IPSEC Les points forts IPSEC Les points faibles IPSEC Deux problématiques VPN Intrusion par le tunnel Mobilité (Kiosk) Conclusion 4 Solutions à la clef
- 3. 4 SSL / TLS: un peu d’histoire SSL version 1 et 2 par Netscape en 1994 Secure Socket Layer Contre attaque par Microsoft en 1995 Private Communication Technology (PCT) SSL version 3 par Netscape en 1995 Repris par IETF en 1997: TLS Transport Layer Security version 1.0 ou SSL version 3.1 RFC 2246 Standard toujours actuel Ajout ciphers (AES) 4 Solutions à la clef
- 4. 4 SSL / TLS: fonctionnement classique Généralement utilisé avec le protocole HTTP (HTTPS) Application Navigateurs (IE, Mozilla, etc.) Support d’autres applications SSL / TLS ldap, imap, smtp, etc. TCP Technologie basée sur PKI Certificat X509 serveur Certificat X509 client IP Validation par CRL ou OCSP Support du mode « tunnel » Physique 4 Solutions à la clef
- 5. 4 Technologie SSL VPN: l’idée Utiliser le client VPN des navigateurs Pas besoin d’installer du logiciel Support des technologies d’authentifications Radius, SecurID, Ldap, Certificats numériques, NTLM, etc, Rendre accessible « toutes » les applications dans le navigateur Approche « Webifyer » « Tunneliser » les autres applications Approche « tunnel » SSL Même approche que IPSEC 4 Solutions à la clef
- 6. 4 Webifyer: pas de clients « natif » Secured by Telnet, SSH, SSL / TLS Laptop TN32.., etc. Internet Share NT, NFS, Kiosk email, X11, Terminaison SSL Terminal Server Citrix, etc. Mobile Device Applications Web Reverse Proxy (OWA, Lotus) Partner Authentification 4 Solutions à la clef
- 7. 4 Tunnel SSL: avec clients « natif » TCP Static SSL / TLS TCP 1352 Lotus Localhost Terminaison SSL 127.0.0.1:1352 Authentification TCP, UDP, ICMP SSL / TLS FTP TCP 20,21 PPP Interface virtuelle Terminaison SSL Routage 4 Solutions à la clef
- 8. 4 Technologie IPSEC IP Security Modification trame IP Application Support TCP, UDP, ICMP Technologie normalisée par l’IETF en 1995 TCP RFC 2401, 2402, 2406 et 2409 Support PKI IP Certificat client IPSEC Certificat « gateway » Support authentification Physique « classique » Radius, SecurID, etc. 4 Solutions à la clef
- 9. 4 SSL / IPSEC en terme de sécurité et confort Technologie IPSEC: les points forts ! Très haut niveau de sécurité Support de l’échange des clés symétriques en cours de session Support AES par la plupart des clients IPSEC Attaque de type MiM pas connue à ce jour Confort d’utilisation Transparent pour l’utilisateur Pas besoin d’utiliser son navigateur 4 Solutions à la clef
- 10. 4 SSL / IPSEC en terme de déploiement et mobilité Technologie IPSEC: les points faibles ! Déploiement complexe Installation d’un client IPSEC Client très intrusif (Couche 3) Nécessite la maîtrise du poste client Installation des clients « natif » Configuration complexe (NAT, Routage) Problème de cohabitation logiciel Mobilité fortement réduite Notion de « kiosk » pas réalisable 4 Solutions à la clef
- 11. 4 Intrusion: problématique du mode VPN « pure » Ouverture d’un moyen de communication (tunnel) ,entre le client et l’entreprise, très simple à exploiter ! Virus, Worm, Backdoor WIN32.Blaster.Worm (TCP 135 / DCOM RPC) Concerne IPSEC ou SSL (ppp over SSL) Recommandation minimum au niveau du poste client Mise en place d’un Anti-virus Mise en place d’un firewall personnel Mise en œuvre d’une solution IPS Networks Check Point InterSpect™ par exemple 4 Solutions à la clef
- 12. 4 Mobilité: problématique du « Kiosk » Gestion des « traces » sur la borne Historique des URL Cache, fichiers temporaires Cookies Software Helper (Code Mobile) Authentification par certificat numérique Attention au support physique Carte à puce ou Token USB Solutions alternatives SecurID ou RSA Mobile 4 Solutions à la clef
- 13. 4 Conclusion Deux technologies complémentaires Les VPN SSL ne vont pas remplacer IPSEC à court terme Marketing fabriquant! Quelle technologie choisir? Niveau de sécurité? Déploiement software? Maîtrise des postes clients? Déploiement applications clientes « natives »? Confort à l’utilisation? Mobilité? Etc. 4 Solutions à la clef
- 14. 4 Questions? 4 Solutions à la clef
- 15. e-Xpert Solutions SA | 3, Chemin du Creux | CH 1233 Bernex-Genève | Tél +41 22 727 05 55 | Fax +41 22 727 05 50 e-Xpert Solutions SA Intégrateur en sécurité informatique Au bénéfice d'une longue expérience dans les secteurs financiers et industriels, e-Xpert Solutions SA propose à sa clientèle des solutions « clé en main » dans le domaine de la sécurité informatique des réseaux et des applications. Des solutions qui vont de la sécurité de périmètre – tel le firewall, VPN, IDS, FIA, le contrôle de contenu, l’anti-virus – aux solutions plus avant-gardistes comme la prévention des intrusions (approche comportementale), l'authentification forte, la biométrie, les architectures PKI ou encore la sécurisation des OS Unix, Microsoft et des postes clients (firewall personnel). 4 info@e-xpertsolutions.com | www.e-xpertsolutions.com
- 16. e-Xpert Solutions SA | 3, Chemin du Creux | CH 1233 Bernex-Genève | Tél +41 22 727 05 55 | Fax +41 22 727 05 50 Pour plus d’informations: e-Xpert Solutions SA Chemin du Creux 3 CH – 1233 Bernex / Genève Tel: +41 22 727 05 55 Fax: +41 22 727 05 50 info@e-xpertsolutions.com 4 info@e-xpertsolutions.com | www.e-xpertsolutions.com