Geneva Application Security Forum: Vers une authentification plus forte dans ...
VPN: SSL vs IPSEC
1. e-Xpert Solutions SA | 3, Chemin du Creux | CH 1233 Bernex-Genève | Tél +41 22 727 05 55 | Fax +41 22 727 05 50
Technologie VPN
« IPSEC vs SSL »
Séminaire du 21 avril 2004
Sylvain Maret
4 info@e-xpertsolutions.com | www.e-xpertsolutions.com
2. 4 Agenda technologie VPN IPSEC vs SSL
Survol de la technologie VPN SSL
Son fonctionnement de base
IPSEC en deux mots
Comparaison avec IPSEC
Les points forts IPSEC
Les points faibles IPSEC
Deux problématiques VPN
Intrusion par le tunnel
Mobilité (Kiosk)
Conclusion
4 Solutions à la clef
3. 4 SSL / TLS: un peu d’histoire
SSL version 1 et 2 par Netscape en 1994
Secure Socket Layer
Contre attaque par Microsoft en 1995
Private Communication Technology (PCT)
SSL version 3 par Netscape en 1995
Repris par IETF en 1997: TLS
Transport Layer Security version 1.0 ou SSL version 3.1
RFC 2246
Standard toujours actuel
Ajout ciphers (AES)
4 Solutions à la clef
4. 4 SSL / TLS: fonctionnement classique
Généralement utilisé avec le
protocole HTTP (HTTPS) Application
Navigateurs (IE, Mozilla, etc.)
Support d’autres applications SSL / TLS
ldap, imap, smtp, etc.
TCP
Technologie basée sur PKI
Certificat X509 serveur
Certificat X509 client IP
Validation par CRL ou OCSP
Support du mode « tunnel » Physique
4 Solutions à la clef
5. 4 Technologie SSL VPN: l’idée
Utiliser le client VPN des navigateurs
Pas besoin d’installer du logiciel
Support des technologies d’authentifications
Radius, SecurID, Ldap, Certificats numériques, NTLM, etc,
Rendre accessible « toutes » les applications dans le
navigateur
Approche « Webifyer »
« Tunneliser » les autres applications
Approche « tunnel » SSL
Même approche que IPSEC
4 Solutions à la clef
6. 4 Webifyer: pas de clients « natif »
Secured by
Telnet, SSH,
SSL / TLS
Laptop TN32.., etc.
Internet Share NT, NFS,
Kiosk email, X11,
Terminaison SSL Terminal Server
Citrix, etc.
Mobile Device Applications Web
Reverse Proxy
(OWA, Lotus)
Partner
Authentification
4 Solutions à la clef
8. 4 Technologie IPSEC
IP Security
Modification trame IP Application
Support TCP, UDP, ICMP
Technologie normalisée par
l’IETF en 1995 TCP
RFC 2401, 2402, 2406 et 2409
Support PKI IP
Certificat client
IPSEC
Certificat « gateway »
Support authentification
Physique
« classique »
Radius, SecurID, etc.
4 Solutions à la clef
9. 4 SSL / IPSEC en terme de sécurité et confort
Technologie IPSEC: les points forts !
Très haut niveau de sécurité
Support de l’échange des clés symétriques en cours de session
Support AES par la plupart des clients IPSEC
Attaque de type MiM pas connue à ce jour
Confort d’utilisation
Transparent pour l’utilisateur
Pas besoin d’utiliser son navigateur
4 Solutions à la clef
10. 4 SSL / IPSEC en terme de déploiement et mobilité
Technologie IPSEC: les points faibles !
Déploiement complexe
Installation d’un client IPSEC
Client très intrusif (Couche 3)
Nécessite la maîtrise du poste client
Installation des clients « natif »
Configuration complexe (NAT, Routage)
Problème de cohabitation logiciel
Mobilité fortement réduite
Notion de « kiosk » pas réalisable
4 Solutions à la clef
11. 4 Intrusion: problématique du mode VPN « pure »
Ouverture d’un moyen de communication (tunnel) ,entre le client et
l’entreprise, très simple à exploiter !
Virus, Worm, Backdoor
WIN32.Blaster.Worm (TCP 135 / DCOM RPC)
Concerne IPSEC ou SSL (ppp over SSL)
Recommandation minimum au niveau du poste client
Mise en place d’un Anti-virus
Mise en place d’un firewall personnel
Mise en œuvre d’une solution IPS Networks
Check Point InterSpect™ par exemple
4 Solutions à la clef
12. 4 Mobilité: problématique du « Kiosk »
Gestion des « traces » sur la borne
Historique des URL
Cache, fichiers temporaires
Cookies
Software Helper (Code Mobile)
Authentification par certificat numérique
Attention au support physique
Carte à puce ou Token USB
Solutions alternatives
SecurID ou RSA Mobile
4 Solutions à la clef
13. 4 Conclusion
Deux technologies complémentaires
Les VPN SSL ne vont pas remplacer IPSEC à court terme
Marketing fabriquant!
Quelle technologie choisir?
Niveau de sécurité?
Déploiement software?
Maîtrise des postes clients?
Déploiement applications clientes « natives »?
Confort à l’utilisation?
Mobilité?
Etc.
4 Solutions à la clef
15. e-Xpert Solutions SA | 3, Chemin du Creux | CH 1233 Bernex-Genève | Tél +41 22 727 05 55 | Fax +41 22 727 05 50
e-Xpert Solutions SA
Intégrateur en sécurité informatique
Au bénéfice d'une longue expérience dans les secteurs financiers et
industriels, e-Xpert Solutions SA propose à sa clientèle des solutions
« clé en main » dans le domaine de la sécurité informatique des réseaux
et des applications. Des solutions qui vont de la sécurité de périmètre –
tel le firewall, VPN, IDS, FIA, le contrôle de contenu, l’anti-virus – aux
solutions plus avant-gardistes comme la prévention des intrusions
(approche comportementale), l'authentification forte, la biométrie, les
architectures PKI ou encore la sécurisation des OS Unix, Microsoft et des
postes clients (firewall personnel).
4 info@e-xpertsolutions.com | www.e-xpertsolutions.com
16. e-Xpert Solutions SA | 3, Chemin du Creux | CH 1233 Bernex-Genève | Tél +41 22 727 05 55 | Fax +41 22 727 05 50
Pour plus d’informations:
e-Xpert Solutions SA
Chemin du Creux 3
CH – 1233 Bernex / Genève
Tel: +41 22 727 05 55
Fax: +41 22 727 05 50
info@e-xpertsolutions.com
4 info@e-xpertsolutions.com | www.e-xpertsolutions.com