SlideShare a Scribd company logo

IPsec

Download as PPT, PDF
Ivandro Ismael
Ivandro Ismael

Basic info about IPSec in french

Technology
1 of 47
IPsec
Plan + Les différentes attaques + Sécurité Détection & Filtrage + Technologie de cryptage + Protocoles de sécurité + IPsec
Pourquoi se protéger ?  Protection des données  Usurpation ( Vol ) de l’identité
 Les différentes attaques
Les différentes attaques 1) IP Sniffing :Saisir des données lors de leur transmission sur un réseau Administration d’un réseau Espionnage d’un réseau Attaque passive Capture de paquets Réseaux partagés Attaque possible sur les réseaux switchés
Les différentes attaques 2) IP Spoofing : Vol adresse IP Attaque active Usurpation d’identité (Adresse IP) Attaque aveugle  Source routing  Reroutage
Les différentes attaques 3) TCP Flooding : Rendre indisponible le service en envoyant une succession de requêtes SYN vers la cible Attaque de déni de service Utilisation de la technique de spoofing
les systèmes de sécurité : détection et filtrage
Détection et filtrage Les firewalls  Filtre de paquets ( IP Source / Destination , Protocole, Ports )  Passerelle niveau circuit (PNC)  Passerelle niveau applicatif (PNA) Les systèmes de détection d’intrusion Les système de protection d’intrusions
FIREWALL Un firewall est un équipement ou un logiciel complexe, cependant les règles de base sont relativement simples et se résument en une phrase : Tout ce qui n'est pas autorisé est interdit Ou plus rarement, on peut utiliser la règle suivante au lieu de la précédente : Tout ce qui n'est pas interdit est autorisé Le firewall va donc avoir en charge d'appliquer l'une des deux règles, on va être amené à mettre en place des règles de filtrage pour autoriser, rejeter, faire suivre certaines requêtes ou paquets.
Passerelle Niveau Application Toute machine connectée à un réseau est susceptible d'être la victime d'actes de malveillance. Pour pouvoir éviter et contrôler le trafic sur le réseau, on peut mettre en place un firewall (aussi appelé serveur pare-feu). Pour une protection globale du réseau ou pour offrir des fonctionnalités on peut également mettre en place un serveur proxy (aussi appelé serveur mandataire)
Serveur Proxy Un serveur proxy placé entre un ordinateur et Internet : +Ordinateur est connecté au serveur proxy, + c’est le serveur proxy qui est connecté à Internet. + Les requêtes sont envoyées à ce serveur, + Le serveur va chercher les pages demandées sur Internet + Le serveur renvoie les pages demandées.  L’avantage principal de ce fonctionnement est que l’ordinateur n’est pas directement exposé sur Internet
Technologies de cryptage
SYSTÈME DE CLÉS Notions de cryptologie Donnée Cryptage avec la clé Donnée cryptée Décryptage avec la clé de décryptage Quand on a une donnée qu’on veut rendre illisible, on peut la crypter. + Pour ce faire, on utilise une clé. + Une clé est un grand entier. + Pour décrypter une donnée cryptée, on utilise une clé de décryptage
CLÉS SYMÉTRIQUES Notions de cryptologie Donnée Cryptage et décryptage avec la clé symétrique Donnée cryptée On parle de clés symétriques quand c’est la même clé qui sert au cryptage et au décryptage. On parle aussi de secret partagé car les deux personnes qui dialoguent , doivent avoir une copie de la clé. Cette clé doit rester secrète, d’où une problématique de transmission de la clé. Ce système est rapide d’utilisation.
CLÉS PUBLIQUES Notions de cryptologie Donnée Cryptage avec la clé publique Donnée cryptée avec la clé publiqueDécryptage avec la clé privée Donnée Cryptage avec la clé privée Donnée cryptée avec la clé privéeDécryptage avec la clé publique
CLÉS PUBLIQUES Notions de cryptologie On parle de clés publiques quand on n’a plus d’une seule clé, mais un couple de clés. Chaque interlocuteur a sa clé publique et sa clé privée correspondantes, qui sont uniques. La clé publique sert à décrypter les données cryptées précédemment par la clé privée correspondante. Et vice versa : la clé privée sert à décrypter les données précédemment cryptées par la clé publique correspondante. La clé publique est accessible à tout le monde. La clé privée ne doit être connue que par son propriétaire. Quand on veut envoyer une donnée cryptée à un élément, on l’encrypte avec la clé publique de ce dernier. Celui ci la décryptera avec sa clé privée. S’il veut répondre, il utilisera ma clé publique. Ce système est efficace, mais lent.
HASH, OU CHALLENGE Notions de cryptologie Donnée Fonction de hashage Séquence unique sur 128 bits appelée hash HACH est une fonction mathématique appelé fonction de hashage génère une série de 128 bits à partir d’une donnée. Cette série est unique. La fonction n’est pas réversible. Ainsi, si on applique une fonction de hashage sur une donnée, on obtiendra toujours la même série de bits, et aucune autre donnée ne produira cette série.
SSL (SECURE SOCKET LAYER) ET TLS (TRANSPORT LAYER SECURITY) SSL/TLS Utilisation : Codage du message Identification des acteurs Vérification de l'intégrité du message Sans aucune intervention de l’utilisateur Sécurité apportée: Authentification sécurisée Connexion sécurisée Mise en œuvre: Côté serveur : Activer le cryptage SSL pour les pages voulues. Côté client : Activer le SSL (par défaut).
VIRTUAL PRIVATE NETWORK VPN L’idée de base est la suivante : Un ou plusieurs réseaux locaux, et un ou plusieurs postes fixes reliés à un réseau public. Simuler un gros réseau local totalement isolé des autres personnes qui utilisent le réseau public.
Protocoles PPTP L2TP IPSec
PPTP POINT TO POINT TUNNELING PROTOCOL Description : Niveau 2 OSI Tunneling Cryptage Standard C’est un protocole de niveau 2 permettant de crypter et de transporter l’intégralité du flux de données d’une connexion. Ce protocole est en standard sur plusieurs systèmes, d’où son utilisation courante
L2TP LAYER 2 TUNNELING PROTOCOL Fait aussi du tunneling, mais sans le cryptage. Il utilise UDP, donc il est plus rapide, mais moins sûr, et il manque des services. On doit donc corriger ce manque ailleurs. On comble le manque en utilisant IPSec avec L2TP (on a donc 2 type principaux de VPN : VPN PPTP, et VPN L2TP IPSec) Description : Créé à partir de PPTP Plus léger que PPTP Utilise UDP plutôt que IP Pas de cryptage
IPsec Définition : « Protocole de sécurité au sein de la couche réseau. Ce protocole est développé pour fournir un service de sécurité à base de cryptographie, permettant de garantir l'authentification, l'intégrité, le contrôle d'accès et la confidentialité des données. » D'une manière plus commune : IPsec = formatage de trame permettant le chiffrement des données au niveau IP.
IPsec IPSec (Internet Protocol Security ) est un protocole de la couche 3 du modèle OSI, tout comme IP; il fut à l'origine développé dans le cadre de la version future de ce dernier protocole, à savoir IPv6. Or, si IPSec existe depuis quelques temps déjà, IPv6 n'est quant à lui pas encore déployé à grande échelle, ce qui aurait put empêcher l'utilisation d'IPSec. Mais il n'en est rien puisque ce dernier a été porté vers la version actuelle d'IP (IPv4) et est maintenant disponible pour tous les plus récents patches sécurité .
Les implémentations d'IPSec D'un point de vue pratique, IPSec est un protocole relativement difficile à implémenter d'une part à cause de sa complexité intrinsèque (multiples sous- protocoles...) et d'autre part à cause de ses interactions avec les processus réseau courants. S'il a été conçu avec des critères tels que l'interopérablité en tête, IPsec n'en reste pas moins un protocole de niveau 3 qui ne supporte aucune modification ni altération à ce niveau (ou supérieur) une fois ses paquets créés.
Les services proposés par IPSec Les services de sécurité proposés par IPSec permettent d'assurer les propriétés des tunnels des VPNs citées précédemment : 1-Authentification des extrémités 2-Confidentialité des données échangées 3-Authenticité des données 4-Intégrité des données échangées 5-Protection contre les écoutes et analyses de trafic 6-Protection contre le rejeu
Les services proposés par IPSec 1- Authentification des extrémités : Cette authentification mutuelle permet à chacun de s'assurer de l'identité de son interlocuteur. Rappelons tout de même qu'IPSec est un protocole de niveau 3 et qu'il ne fournit donc qu'une authentification de niveau égal, c'est-à-dire une authentification des machines mettant en œuvre le protocole plutôt que des personnes utilisant réellement la machine.
Les services proposés par IPSec 2-Confidentialité des données échangées : IPSec permet si on le désire de chiffrer le contenu de chaque paquet IP pour éviter que quiconque ne le lise.
Les services proposés par IPSec 3-Authenticité des données : IPSec permet de s'assurer, pour chaque paquet échangé, qu'il a bien été émis par la bonne machine et qu'il est bien à destination de la seconde machine.
Les services proposés par IPSec . 4-Intégrité des données échangées : IPSec permet de s'assurer qu'aucun paquet n'a subit de modification quelconque (attaque dite active) durant son trajet.
Les services proposés par IPSec 5-Protection contre les écoutes et analyses de trafic : IPSec permet de chiffrer les adresses IP réelles de la source et de la destination, ainsi que tout l'en-tête IP correspondant. C'est le mode de tunneling, qui empêche tout attaquant à l'écoute de déchiffrer des informations sur les identités réelles des extrémités du tunnel .
Les services proposés par IPSec 6-Protection contre le rejeu : IPSec permet de se protéger contre les attaques consistant à capturer un ou plusieurs paquets dans le but de les envoyer à nouveau (sans pour autant les avoir déchiffrés) pour bénéficier des mêmes avantages que l'envoyeur initial.
IPsec : Architecture de sécurité La suite IPsec est une norme ouverte . IPsec utilise les protocoles suivants pour exécuter diverses fonctions : + En-têtes d'authentification (AH) : prévoient l'intégrité des données sans connexion origine authentification des Datagrammes IP et offre une protection contre les attaques de relecture + Charge utile ESP (Encapsulating Security): garantit la confidentialité des données origine authentification
IPsec : Architecture de sécurité Le protocole AH (Authentification Header) fournit les services de sécurité suivants : + Intégrité des données + Authentification des données + Anti-rejeu (optionnel) L'en-tête AH est décrite dans l'image suivante :
IPsec : Architecture de sécurité Le protocole ESP (Encapsulating Security Payload) fournit les services de sécurité suivants : + Confidentialité + Protection contre de l'analyse de trafic + Intégrité (comme AH) + Authentification des données . On peut voir tout de suite qu’un ESP couvre les services offerts par AH , mais néanmoins il faut souligner le fait qu’un AH offre des services plus complets qu'ESP car il est le seul à protéger l'en-tête du paquet (en-tête original en mode Transport, en-tête IPSec en mode Tunnel).
Le protocole ESP
Description des modes d'IPsec Il existe trois modes d’IPsec: Le mode Transport Le mode Tunnel Le mode Nesting
Les différents mode d’utilisation d’IPsec
Description des modes d'IPsec Le mode Transport ne modifie pas l'en-tête initial; il s'intercale entre le protocole réseau (IP) et le protocole de transport (TCP, UDP...). Plusieurs variantes existent, conformément aux protocoles décrits plus haut :
Description des modes d'IPsec En mode transport, uniquement la charge utile du paquet IP est généralement chiffrée et/ou authentifiée. Le routage est intact, étant donné que l'en-tête IP n'est ni modifiée ni chiffrée ; Lorsque l' en-tête d'authentification est utilisée, les adresses IP ne peuvent pas toutefois être traduites Les couches transport et application sont toujours sécurisées par hachage .
Description des modes d'IPsec Le mode Tunnel remplace les en-têtes IP originaux et encapsule la totalité du paquet IP. Par exemple, l'adresse IPA externe pourra être celle de la passerelle de sécurité implémentant IPSec, et l'adresse IPB interne sera celle de la machine finale, sur le réseau derrière la passerelle.
Description des modes d'IPsec En mode tunnel, la totalité du paquet IP est chiffrée et/ou authentifiée. Elle est ensuite encapsulée dans un nouveau paquet IP avec un en-tête IP. Le mode tunnel est utilisé pour créer des réseaux privés virtuels pour les communications + Réseau à réseau (exemple : entre les routeurs pour relier des sites), + Hôte-à-réseau (exemple : accès des utilisateurs distants) et + Hôte-hôte (exemple : chat privé).
Description des modes d'IPsec Le mode de Nesting est hybride puisqu'il utilise les 2 modes cités précédemment. Il s'agit bien d'encapsuler de l'IPSec dans de l'IPSec :
Comparatif entre protocoles de sécuritéComparatif entre protocoles de sécurité Protocole Avantages Inconvénients PPTP Très répandu -Peu fiable -Performance faible L2TP Mobilité - L’overHead IPSec Confidentialité/I ntégrité des données -Pas d’authentification des utilisateurs -Pas de QoS -Lourdeur des opérations
Comparatif technologie cryptageComparatif technologie cryptage Solution Déploiement SSL - mail (plus rapide ; standard) - les mouvements financiers, les opérations ponctuelles, le e-commerce PPTP seulement quand IPSec n'est pas supporté IPSec avec L2TP pour accéder à un LAN à distance
IPsec : Conclusion IPsec est comme nous l'avons vu un assemblage de plusieurs protocoles et mécanismes ce qui le rend techniquement très complexe. IPsec est d'autre part en constante évolution car il est soutenu par une grande population technique et scientifique.. Il est bon de savoir le fait qu'IPsec ne permet pas d'authentifier les personnes donc ne pourra donc pas servir à sécuriser des transactions.

Recommended

Etude et mise en place d’un VPN
Etude et mise en place d’un VPNEtude et mise en place d’un VPN
Etude et mise en place d’un VPNCharif Khrichfa
 
Protocole IKE/IPsec
Protocole IKE/IPsecProtocole IKE/IPsec
Protocole IKE/IPsecThomas Moegli
 
Cours cryptographie Master 1
Cours cryptographie Master 1Cours cryptographie Master 1
Cours cryptographie Master 1Papis NIANG
 
Protocoles SSL/TLS
Protocoles SSL/TLSProtocoles SSL/TLS
Protocoles SSL/TLSThomas Moegli
 
Vpn
VpnVpn
Vpnkwabo
 
Protection contre l'ARP poisoning et MITM
Protection contre l'ARP poisoning et MITMProtection contre l'ARP poisoning et MITM
Protection contre l'ARP poisoning et MITMESD Cybersecurity Academy
 
Vpn
VpnVpn
Vpnmalekoff
 
configuration vpn-ipsec-routeur
configuration vpn-ipsec-routeur configuration vpn-ipsec-routeur
configuration vpn-ipsec-routeurJULIOR MIKALA
 

Recommended

Etude et mise en place d’un VPN
Etude et mise en place d’un VPNEtude et mise en place d’un VPN
Etude et mise en place d’un VPNCharif Khrichfa
 
Protocole IKE/IPsec
Protocole IKE/IPsecProtocole IKE/IPsec
Protocole IKE/IPsecThomas Moegli
 
Cours cryptographie Master 1
Cours cryptographie Master 1Cours cryptographie Master 1
Cours cryptographie Master 1Papis NIANG
 
Protocoles SSL/TLS
Protocoles SSL/TLSProtocoles SSL/TLS
Protocoles SSL/TLSThomas Moegli
 
Vpn
VpnVpn
Vpnkwabo
 
Protection contre l'ARP poisoning et MITM
Protection contre l'ARP poisoning et MITMProtection contre l'ARP poisoning et MITM
Protection contre l'ARP poisoning et MITMESD Cybersecurity Academy
 
Vpn
VpnVpn
Vpnmalekoff
 
configuration vpn-ipsec-routeur
configuration vpn-ipsec-routeur configuration vpn-ipsec-routeur
configuration vpn-ipsec-routeurJULIOR MIKALA
 
présentation sur le vpn
présentation sur le vpn présentation sur le vpn
présentation sur le vpn Manuel Cédric EBODE MBALLA
 
Securite informatique
Securite informatiqueSecurite informatique
Securite informatiqueSouhaib El
 
Le protocole stp
Le protocole stpLe protocole stp
Le protocole stpEL AMRI El Hassan
 
Vpn
VpnVpn
Vpnmalekoff
 
sécurité informatique
sécurité informatiquesécurité informatique
sécurité informatiqueMohammed Zaoui
 
Rapport mise en place d'un sevrer VPN .
Rapport mise en place d'un sevrer VPN . Rapport mise en place d'un sevrer VPN .
Rapport mise en place d'un sevrer VPN .Mouad Lousimi
 
Les Vpn
Les VpnLes Vpn
Les Vpnmedalaa
 
IDS,SNORT ET SÉCURITÉ RESEAU
IDS,SNORT ET SÉCURITÉ RESEAUIDS,SNORT ET SÉCURITÉ RESEAU
IDS,SNORT ET SÉCURITÉ RESEAUCHAOUACHI marwen
 
Protection des Seveurs contre les attaques DOS et DDOS
Protection des Seveurs contre les attaques DOS et DDOSProtection des Seveurs contre les attaques DOS et DDOS
Protection des Seveurs contre les attaques DOS et DDOSMohamet Lamine DIOP
 
Routage dans les réseaux ad hoc
Routage dans les réseaux ad hocRoutage dans les réseaux ad hoc
Routage dans les réseaux ad hochamouze
 
VPN - Virtual Private Network
VPN - Virtual Private NetworkVPN - Virtual Private Network
VPN - Virtual Private Networkjulienlfr
 
Présentation Cryptographie
Présentation CryptographiePrésentation Cryptographie
Présentation CryptographieCynapsys It Hotspot
 
Arp Poisoning
Arp PoisoningArp Poisoning
Arp PoisoningHouda Elmoutaoukil
 
Introduction aux systèmes répartis
Introduction aux systèmes répartisIntroduction aux systèmes répartis
Introduction aux systèmes répartisHeithem Abbes
 
Installation et configuration d'un système de Détection d'intrusion (IDS)
Installation et configuration d'un système de Détection d'intrusion (IDS)Installation et configuration d'un système de Détection d'intrusion (IDS)
Installation et configuration d'un système de Détection d'intrusion (IDS)Charif Khrichfa
 
projet sur le vpn presentation
projet sur le vpn presentationprojet sur le vpn presentation
projet sur le vpn presentationManuel Cédric EBODE MBALLA
 
Sécurité informatique
Sécurité informatiqueSécurité informatique
Sécurité informatiqueoussama Hafid
 
Sécurité informatique - Etat des menaces
Sécurité informatique - Etat des menacesSécurité informatique - Etat des menaces
Sécurité informatique - Etat des menacesMaxime ALAY-EDDINE
 
Sécurité Réseau à Base d'un Firewall Matériel (fortigate)
Sécurité Réseau à Base d'un Firewall Matériel (fortigate)Sécurité Réseau à Base d'un Firewall Matériel (fortigate)
Sécurité Réseau à Base d'un Firewall Matériel (fortigate)Sakka Mustapha
 
Mise en place d’un système de détection
Mise en place d’un système de détectionMise en place d’un système de détection
Mise en place d’un système de détectionManassé Achim kpaya
 
Intro to Security in SDLC
Intro to Security in SDLCIntro to Security in SDLC
Intro to Security in SDLCTjylen Veselyj
 
Secure Software Development Lifecycle
Secure Software Development LifecycleSecure Software Development Lifecycle
Secure Software Development Lifecycle1&1
 

More Related Content

What's hot

Securite informatique
Securite informatiqueSecurite informatique
Securite informatiqueSouhaib El
 
sécurité informatique
sécurité informatiquesécurité informatique
sécurité informatiqueMohammed Zaoui
 
Rapport mise en place d'un sevrer VPN .
Rapport mise en place d'un sevrer VPN . Rapport mise en place d'un sevrer VPN .
Rapport mise en place d'un sevrer VPN .Mouad Lousimi
 
IDS,SNORT ET SÉCURITÉ RESEAU
IDS,SNORT ET SÉCURITÉ RESEAUIDS,SNORT ET SÉCURITÉ RESEAU
IDS,SNORT ET SÉCURITÉ RESEAUCHAOUACHI marwen
 
Protection des Seveurs contre les attaques DOS et DDOS
Protection des Seveurs contre les attaques DOS et DDOSProtection des Seveurs contre les attaques DOS et DDOS
Protection des Seveurs contre les attaques DOS et DDOSMohamet Lamine DIOP
 
Routage dans les réseaux ad hoc
Routage dans les réseaux ad hocRoutage dans les réseaux ad hoc
Routage dans les réseaux ad hochamouze
 
VPN - Virtual Private Network
VPN - Virtual Private NetworkVPN - Virtual Private Network
VPN - Virtual Private Networkjulienlfr
 
Introduction aux systèmes répartis
Introduction aux systèmes répartisIntroduction aux systèmes répartis
Introduction aux systèmes répartisHeithem Abbes
 
Installation et configuration d'un système de Détection d'intrusion (IDS)
Installation et configuration d'un système de Détection d'intrusion (IDS)Installation et configuration d'un système de Détection d'intrusion (IDS)
Installation et configuration d'un système de Détection d'intrusion (IDS)Charif Khrichfa
 
Sécurité informatique
Sécurité informatiqueSécurité informatique
Sécurité informatiqueoussama Hafid
 
Sécurité informatique - Etat des menaces
Sécurité informatique - Etat des menacesSécurité informatique - Etat des menaces
Sécurité informatique - Etat des menacesMaxime ALAY-EDDINE
 
Sécurité Réseau à Base d'un Firewall Matériel (fortigate)
Sécurité Réseau à Base d'un Firewall Matériel (fortigate)Sécurité Réseau à Base d'un Firewall Matériel (fortigate)
Sécurité Réseau à Base d'un Firewall Matériel (fortigate)Sakka Mustapha
 
Mise en place d’un système de détection
Mise en place d’un système de détectionMise en place d’un système de détection
Mise en place d’un système de détectionManassé Achim kpaya
 

What's hot (20)

présentation sur le vpn
présentation sur le vpn présentation sur le vpn
présentation sur le vpn
 
Securite informatique
Securite informatiqueSecurite informatique
Securite informatique
 
Le protocole stp
Le protocole stpLe protocole stp
Le protocole stp
 
Vpn
VpnVpn
Vpn
 
sécurité informatique
sécurité informatiquesécurité informatique
sécurité informatique
 
Rapport mise en place d'un sevrer VPN .
Rapport mise en place d'un sevrer VPN . Rapport mise en place d'un sevrer VPN .
Rapport mise en place d'un sevrer VPN .
 
Les Vpn
Les VpnLes Vpn
Les Vpn
 
IDS,SNORT ET SÉCURITÉ RESEAU
IDS,SNORT ET SÉCURITÉ RESEAUIDS,SNORT ET SÉCURITÉ RESEAU
IDS,SNORT ET SÉCURITÉ RESEAU
 
Protection des Seveurs contre les attaques DOS et DDOS
Protection des Seveurs contre les attaques DOS et DDOSProtection des Seveurs contre les attaques DOS et DDOS
Protection des Seveurs contre les attaques DOS et DDOS
 
Routage dans les réseaux ad hoc
Routage dans les réseaux ad hocRoutage dans les réseaux ad hoc
Routage dans les réseaux ad hoc
 
VPN - Virtual Private Network
VPN - Virtual Private NetworkVPN - Virtual Private Network
VPN - Virtual Private Network
 
Présentation Cryptographie
Présentation CryptographiePrésentation Cryptographie
Présentation Cryptographie
 
Arp Poisoning
Arp PoisoningArp Poisoning
Arp Poisoning
 
Introduction aux systèmes répartis
Introduction aux systèmes répartisIntroduction aux systèmes répartis
Introduction aux systèmes répartis
 
Installation et configuration d'un système de Détection d'intrusion (IDS)
Installation et configuration d'un système de Détection d'intrusion (IDS)Installation et configuration d'un système de Détection d'intrusion (IDS)
Installation et configuration d'un système de Détection d'intrusion (IDS)
 
projet sur le vpn presentation
projet sur le vpn presentationprojet sur le vpn presentation
projet sur le vpn presentation
 
Sécurité informatique
Sécurité informatiqueSécurité informatique
Sécurité informatique
 
Sécurité informatique - Etat des menaces
Sécurité informatique - Etat des menacesSécurité informatique - Etat des menaces
Sécurité informatique - Etat des menaces
 
Sécurité Réseau à Base d'un Firewall Matériel (fortigate)
Sécurité Réseau à Base d'un Firewall Matériel (fortigate)Sécurité Réseau à Base d'un Firewall Matériel (fortigate)
Sécurité Réseau à Base d'un Firewall Matériel (fortigate)
 
Mise en place d’un système de détection
Mise en place d’un système de détectionMise en place d’un système de détection
Mise en place d’un système de détection
 

Viewers also liked

Intro to Security in SDLC
Intro to Security in SDLCIntro to Security in SDLC
Intro to Security in SDLCTjylen Veselyj
 
Secure Software Development Lifecycle
Secure Software Development LifecycleSecure Software Development Lifecycle
Secure Software Development Lifecycle1&1
 
Secure Software Development Life Cycle
Secure Software Development Life CycleSecure Software Development Life Cycle
Secure Software Development Life CycleMaurice Dawson
 

Viewers also liked (8)

Intro to Security in SDLC
Intro to Security in SDLCIntro to Security in SDLC
Intro to Security in SDLC
 
Secure Software Development Lifecycle
Secure Software Development LifecycleSecure Software Development Lifecycle
Secure Software Development Lifecycle
 
Information Security and the SDLC
Information Security and the SDLCInformation Security and the SDLC
Information Security and the SDLC
 
IPSec and VPN
IPSec and VPNIPSec and VPN
IPSec and VPN
 
Ipsec
IpsecIpsec
Ipsec
 
Ipsec
IpsecIpsec
Ipsec
 
Secure Software Development Life Cycle
Secure Software Development Life CycleSecure Software Development Life Cycle
Secure Software Development Life Cycle
 
IP Security
IP SecurityIP Security
IP Security
 

Similar to IPsec

VPN site-to-site.pdf
VPN site-to-site.pdfVPN site-to-site.pdf
VPN site-to-site.pdfgorguindiaye
 
Virtual Private Network
Virtual Private NetworkVirtual Private Network
Virtual Private Networkmalekoff
 
Chapitre_5_Printable Chapitre_5_Printable
Chapitre_5_Printable Chapitre_5_PrintableChapitre_5_Printable Chapitre_5_Printable
Chapitre_5_Printable Chapitre_5_Printablemia884611
 
Reseaux Avancés Tunnel_Niveaux347.pdf
Reseaux Avancés Tunnel_Niveaux347.pdfReseaux Avancés Tunnel_Niveaux347.pdf
Reseaux Avancés Tunnel_Niveaux347.pdfSergeAKUE
 
Configuration d'un VP IPSEC CISCO
Configuration d'un VP IPSEC CISCOConfiguration d'un VP IPSEC CISCO
Configuration d'un VP IPSEC CISCOsaqrjareh
 
0673-la-securite-des-reseaux-informatique.pdf
0673-la-securite-des-reseaux-informatique.pdf0673-la-securite-des-reseaux-informatique.pdf
0673-la-securite-des-reseaux-informatique.pdfdaniel896285
 
Virtual Private Network Virtual Private Network
Virtual Private Network Virtual Private NetworkVirtual Private Network Virtual Private Network
Virtual Private Network Virtual Private Networkmia884611
 
Article secus 05_11_pwnplug
Article secus 05_11_pwnplugArticle secus 05_11_pwnplug
Article secus 05_11_pwnplugmichelcusin
 
Cours SSI - Copie (1).pptx
Cours SSI - Copie (1).pptxCours SSI - Copie (1).pptx
Cours SSI - Copie (1).pptxgorguindiaye
 
Cours SSI - Copie (1).pptx
Cours SSI - Copie (1).pptxCours SSI - Copie (1).pptx
Cours SSI - Copie (1).pptxgorguindiaye
 
Cours SSI - Copie.pptx
Cours SSI - Copie.pptxCours SSI - Copie.pptx
Cours SSI - Copie.pptxgorguindiaye
 
Cours SSI - Copie.pptx
Cours SSI - Copie.pptxCours SSI - Copie.pptx
Cours SSI - Copie.pptxgorguindiaye
 
Cours SSI - Copie (1).pptx
Cours SSI - Copie (1).pptxCours SSI - Copie (1).pptx
Cours SSI - Copie (1).pptxgorguindiaye
 
Mini guide technique du réseau pour animateurs epn
Mini guide technique du réseau pour animateurs epnMini guide technique du réseau pour animateurs epn
Mini guide technique du réseau pour animateurs epnepndelamanche
 
Securité des réseaux mobiles de nouvelle génération ngn
Securité des réseaux mobiles de nouvelle génération ngnSecurité des réseaux mobiles de nouvelle génération ngn
Securité des réseaux mobiles de nouvelle génération ngnIntissar Dguechi
 
Sécurités & Annuaires
Sécurités & AnnuairesSécurités & Annuaires
Sécurités & AnnuairesPaulin CHOUDJA
 

Similar to IPsec (20)

VPN site-to-site.pdf
VPN site-to-site.pdfVPN site-to-site.pdf
VPN site-to-site.pdf
 
Pfsense
PfsensePfsense
Pfsense
 
Virtual Private Network
Virtual Private NetworkVirtual Private Network
Virtual Private Network
 
Chapitre_5_Printable Chapitre_5_Printable
Chapitre_5_Printable Chapitre_5_PrintableChapitre_5_Printable Chapitre_5_Printable
Chapitre_5_Printable Chapitre_5_Printable
 
Reseaux Avancés Tunnel_Niveaux347.pdf
Reseaux Avancés Tunnel_Niveaux347.pdfReseaux Avancés Tunnel_Niveaux347.pdf
Reseaux Avancés Tunnel_Niveaux347.pdf
 
Openvpn avec un client windows
Openvpn avec un client windows Openvpn avec un client windows
Openvpn avec un client windows
 
vpn
vpnvpn
vpn
 
Configuration d'un VP IPSEC CISCO
Configuration d'un VP IPSEC CISCOConfiguration d'un VP IPSEC CISCO
Configuration d'un VP IPSEC CISCO
 
0673-la-securite-des-reseaux-informatique.pdf
0673-la-securite-des-reseaux-informatique.pdf0673-la-securite-des-reseaux-informatique.pdf
0673-la-securite-des-reseaux-informatique.pdf
 
Virtual Private Network Virtual Private Network
Virtual Private Network Virtual Private NetworkVirtual Private Network Virtual Private Network
Virtual Private Network Virtual Private Network
 
Article secus 05_11_pwnplug
Article secus 05_11_pwnplugArticle secus 05_11_pwnplug
Article secus 05_11_pwnplug
 
Cours SSI - Copie (1).pptx
Cours SSI - Copie (1).pptxCours SSI - Copie (1).pptx
Cours SSI - Copie (1).pptx
 
Cours SSI - Copie (1).pptx
Cours SSI - Copie (1).pptxCours SSI - Copie (1).pptx
Cours SSI - Copie (1).pptx
 
Cours SSI - Copie.pptx
Cours SSI - Copie.pptxCours SSI - Copie.pptx
Cours SSI - Copie.pptx
 
Cours SSI - Copie.pptx
Cours SSI - Copie.pptxCours SSI - Copie.pptx
Cours SSI - Copie.pptx
 
Cours SSI - Copie (1).pptx
Cours SSI - Copie (1).pptxCours SSI - Copie (1).pptx
Cours SSI - Copie (1).pptx
 
Tuto VP IPSEC Site-to-site
Tuto VP IPSEC Site-to-siteTuto VP IPSEC Site-to-site
Tuto VP IPSEC Site-to-site
 
Mini guide technique du réseau pour animateurs epn
Mini guide technique du réseau pour animateurs epnMini guide technique du réseau pour animateurs epn
Mini guide technique du réseau pour animateurs epn
 
Securité des réseaux mobiles de nouvelle génération ngn
Securité des réseaux mobiles de nouvelle génération ngnSecurité des réseaux mobiles de nouvelle génération ngn
Securité des réseaux mobiles de nouvelle génération ngn
 
Sécurités & Annuaires
Sécurités & AnnuairesSécurités & Annuaires
Sécurités & Annuaires
 

IPsec

  • 2. Plan + Les différentes attaques + Sécurité Détection & Filtrage + Technologie de cryptage + Protocoles de sécurité + IPsec
  • 3. Pourquoi se protéger ?  Protection des données  Usurpation ( Vol ) de l’identité
  • 5. Les différentes attaques 1) IP Sniffing :Saisir des données lors de leur transmission sur un réseau Administration d’un réseau Espionnage d’un réseau Attaque passive Capture de paquets Réseaux partagés Attaque possible sur les réseaux switchés
  • 6. Les différentes attaques 2) IP Spoofing : Vol adresse IP Attaque active Usurpation d’identité (Adresse IP) Attaque aveugle  Source routing  Reroutage
  • 7. Les différentes attaques 3) TCP Flooding : Rendre indisponible le service en envoyant une succession de requêtes SYN vers la cible Attaque de déni de service Utilisation de la technique de spoofing
  • 8. les systèmes de sécurité : détection et filtrage
  • 9. Détection et filtrage Les firewalls  Filtre de paquets ( IP Source / Destination , Protocole, Ports )  Passerelle niveau circuit (PNC)  Passerelle niveau applicatif (PNA) Les systèmes de détection d’intrusion Les système de protection d’intrusions
  • 10. FIREWALL Un firewall est un équipement ou un logiciel complexe, cependant les règles de base sont relativement simples et se résument en une phrase : Tout ce qui n'est pas autorisé est interdit Ou plus rarement, on peut utiliser la règle suivante au lieu de la précédente : Tout ce qui n'est pas interdit est autorisé Le firewall va donc avoir en charge d'appliquer l'une des deux règles, on va être amené à mettre en place des règles de filtrage pour autoriser, rejeter, faire suivre certaines requêtes ou paquets.
  • 11. Passerelle Niveau Application Toute machine connectée à un réseau est susceptible d'être la victime d'actes de malveillance. Pour pouvoir éviter et contrôler le trafic sur le réseau, on peut mettre en place un firewall (aussi appelé serveur pare-feu). Pour une protection globale du réseau ou pour offrir des fonctionnalités on peut également mettre en place un serveur proxy (aussi appelé serveur mandataire)
  • 12. Serveur Proxy Un serveur proxy placé entre un ordinateur et Internet : +Ordinateur est connecté au serveur proxy, + c’est le serveur proxy qui est connecté à Internet. + Les requêtes sont envoyées à ce serveur, + Le serveur va chercher les pages demandées sur Internet + Le serveur renvoie les pages demandées.  L’avantage principal de ce fonctionnement est que l’ordinateur n’est pas directement exposé sur Internet
  • 14. SYSTÈME DE CLÉS Notions de cryptologie Donnée Cryptage avec la clé Donnée cryptée Décryptage avec la clé de décryptage Quand on a une donnée qu’on veut rendre illisible, on peut la crypter. + Pour ce faire, on utilise une clé. + Une clé est un grand entier. + Pour décrypter une donnée cryptée, on utilise une clé de décryptage
  • 15. CLÉS SYMÉTRIQUES Notions de cryptologie Donnée Cryptage et décryptage avec la clé symétrique Donnée cryptée On parle de clés symétriques quand c’est la même clé qui sert au cryptage et au décryptage. On parle aussi de secret partagé car les deux personnes qui dialoguent , doivent avoir une copie de la clé. Cette clé doit rester secrète, d’où une problématique de transmission de la clé. Ce système est rapide d’utilisation.
  • 16. CLÉS PUBLIQUES Notions de cryptologie Donnée Cryptage avec la clé publique Donnée cryptée avec la clé publiqueDécryptage avec la clé privée Donnée Cryptage avec la clé privée Donnée cryptée avec la clé privéeDécryptage avec la clé publique
  • 17. CLÉS PUBLIQUES Notions de cryptologie On parle de clés publiques quand on n’a plus d’une seule clé, mais un couple de clés. Chaque interlocuteur a sa clé publique et sa clé privée correspondantes, qui sont uniques. La clé publique sert à décrypter les données cryptées précédemment par la clé privée correspondante. Et vice versa : la clé privée sert à décrypter les données précédemment cryptées par la clé publique correspondante. La clé publique est accessible à tout le monde. La clé privée ne doit être connue que par son propriétaire. Quand on veut envoyer une donnée cryptée à un élément, on l’encrypte avec la clé publique de ce dernier. Celui ci la décryptera avec sa clé privée. S’il veut répondre, il utilisera ma clé publique. Ce système est efficace, mais lent.
  • 18. HASH, OU CHALLENGE Notions de cryptologie Donnée Fonction de hashage Séquence unique sur 128 bits appelée hash HACH est une fonction mathématique appelé fonction de hashage génère une série de 128 bits à partir d’une donnée. Cette série est unique. La fonction n’est pas réversible. Ainsi, si on applique une fonction de hashage sur une donnée, on obtiendra toujours la même série de bits, et aucune autre donnée ne produira cette série.
  • 19. SSL (SECURE SOCKET LAYER) ET TLS (TRANSPORT LAYER SECURITY) SSL/TLS Utilisation : Codage du message Identification des acteurs Vérification de l'intégrité du message Sans aucune intervention de l’utilisateur Sécurité apportée: Authentification sécurisée Connexion sécurisée Mise en œuvre: Côté serveur : Activer le cryptage SSL pour les pages voulues. Côté client : Activer le SSL (par défaut).
  • 20. VIRTUAL PRIVATE NETWORK VPN L’idée de base est la suivante : Un ou plusieurs réseaux locaux, et un ou plusieurs postes fixes reliés à un réseau public. Simuler un gros réseau local totalement isolé des autres personnes qui utilisent le réseau public.
  • 22. PPTP POINT TO POINT TUNNELING PROTOCOL Description : Niveau 2 OSI Tunneling Cryptage Standard C’est un protocole de niveau 2 permettant de crypter et de transporter l’intégralité du flux de données d’une connexion. Ce protocole est en standard sur plusieurs systèmes, d’où son utilisation courante
  • 23. L2TP LAYER 2 TUNNELING PROTOCOL Fait aussi du tunneling, mais sans le cryptage. Il utilise UDP, donc il est plus rapide, mais moins sûr, et il manque des services. On doit donc corriger ce manque ailleurs. On comble le manque en utilisant IPSec avec L2TP (on a donc 2 type principaux de VPN : VPN PPTP, et VPN L2TP IPSec) Description : Créé à partir de PPTP Plus léger que PPTP Utilise UDP plutôt que IP Pas de cryptage
  • 24. IPsec Définition : « Protocole de sécurité au sein de la couche réseau. Ce protocole est développé pour fournir un service de sécurité à base de cryptographie, permettant de garantir l'authentification, l'intégrité, le contrôle d'accès et la confidentialité des données. » D'une manière plus commune : IPsec = formatage de trame permettant le chiffrement des données au niveau IP.
  • 25. IPsec IPSec (Internet Protocol Security ) est un protocole de la couche 3 du modèle OSI, tout comme IP; il fut à l'origine développé dans le cadre de la version future de ce dernier protocole, à savoir IPv6. Or, si IPSec existe depuis quelques temps déjà, IPv6 n'est quant à lui pas encore déployé à grande échelle, ce qui aurait put empêcher l'utilisation d'IPSec. Mais il n'en est rien puisque ce dernier a été porté vers la version actuelle d'IP (IPv4) et est maintenant disponible pour tous les plus récents patches sécurité .
  • 26. Les implémentations d'IPSec D'un point de vue pratique, IPSec est un protocole relativement difficile à implémenter d'une part à cause de sa complexité intrinsèque (multiples sous- protocoles...) et d'autre part à cause de ses interactions avec les processus réseau courants. S'il a été conçu avec des critères tels que l'interopérablité en tête, IPsec n'en reste pas moins un protocole de niveau 3 qui ne supporte aucune modification ni altération à ce niveau (ou supérieur) une fois ses paquets créés.
  • 27. Les services proposés par IPSec Les services de sécurité proposés par IPSec permettent d'assurer les propriétés des tunnels des VPNs citées précédemment : 1-Authentification des extrémités 2-Confidentialité des données échangées 3-Authenticité des données 4-Intégrité des données échangées 5-Protection contre les écoutes et analyses de trafic 6-Protection contre le rejeu
  • 28. Les services proposés par IPSec 1- Authentification des extrémités : Cette authentification mutuelle permet à chacun de s'assurer de l'identité de son interlocuteur. Rappelons tout de même qu'IPSec est un protocole de niveau 3 et qu'il ne fournit donc qu'une authentification de niveau égal, c'est-à-dire une authentification des machines mettant en œuvre le protocole plutôt que des personnes utilisant réellement la machine.
  • 29. Les services proposés par IPSec 2-Confidentialité des données échangées : IPSec permet si on le désire de chiffrer le contenu de chaque paquet IP pour éviter que quiconque ne le lise.
  • 30. Les services proposés par IPSec 3-Authenticité des données : IPSec permet de s'assurer, pour chaque paquet échangé, qu'il a bien été émis par la bonne machine et qu'il est bien à destination de la seconde machine.
  • 31. Les services proposés par IPSec . 4-Intégrité des données échangées : IPSec permet de s'assurer qu'aucun paquet n'a subit de modification quelconque (attaque dite active) durant son trajet.
  • 32. Les services proposés par IPSec 5-Protection contre les écoutes et analyses de trafic : IPSec permet de chiffrer les adresses IP réelles de la source et de la destination, ainsi que tout l'en-tête IP correspondant. C'est le mode de tunneling, qui empêche tout attaquant à l'écoute de déchiffrer des informations sur les identités réelles des extrémités du tunnel .
  • 33. Les services proposés par IPSec 6-Protection contre le rejeu : IPSec permet de se protéger contre les attaques consistant à capturer un ou plusieurs paquets dans le but de les envoyer à nouveau (sans pour autant les avoir déchiffrés) pour bénéficier des mêmes avantages que l'envoyeur initial.
  • 34. IPsec : Architecture de sécurité La suite IPsec est une norme ouverte . IPsec utilise les protocoles suivants pour exécuter diverses fonctions : + En-têtes d'authentification (AH) : prévoient l'intégrité des données sans connexion origine authentification des Datagrammes IP et offre une protection contre les attaques de relecture + Charge utile ESP (Encapsulating Security): garantit la confidentialité des données origine authentification
  • 35. IPsec : Architecture de sécurité Le protocole AH (Authentification Header) fournit les services de sécurité suivants : + Intégrité des données + Authentification des données + Anti-rejeu (optionnel) L'en-tête AH est décrite dans l'image suivante :
  • 36. IPsec : Architecture de sécurité Le protocole ESP (Encapsulating Security Payload) fournit les services de sécurité suivants : + Confidentialité + Protection contre de l'analyse de trafic + Intégrité (comme AH) + Authentification des données . On peut voir tout de suite qu’un ESP couvre les services offerts par AH , mais néanmoins il faut souligner le fait qu’un AH offre des services plus complets qu'ESP car il est le seul à protéger l'en-tête du paquet (en-tête original en mode Transport, en-tête IPSec en mode Tunnel).
  • 38. Description des modes d'IPsec Il existe trois modes d’IPsec: Le mode Transport Le mode Tunnel Le mode Nesting
  • 40. Description des modes d'IPsec Le mode Transport ne modifie pas l'en-tête initial; il s'intercale entre le protocole réseau (IP) et le protocole de transport (TCP, UDP...). Plusieurs variantes existent, conformément aux protocoles décrits plus haut :
  • 41. Description des modes d'IPsec En mode transport, uniquement la charge utile du paquet IP est généralement chiffrée et/ou authentifiée. Le routage est intact, étant donné que l'en-tête IP n'est ni modifiée ni chiffrée ; Lorsque l' en-tête d'authentification est utilisée, les adresses IP ne peuvent pas toutefois être traduites Les couches transport et application sont toujours sécurisées par hachage .
  • 42. Description des modes d'IPsec Le mode Tunnel remplace les en-têtes IP originaux et encapsule la totalité du paquet IP. Par exemple, l'adresse IPA externe pourra être celle de la passerelle de sécurité implémentant IPSec, et l'adresse IPB interne sera celle de la machine finale, sur le réseau derrière la passerelle.
  • 43. Description des modes d'IPsec En mode tunnel, la totalité du paquet IP est chiffrée et/ou authentifiée. Elle est ensuite encapsulée dans un nouveau paquet IP avec un en-tête IP. Le mode tunnel est utilisé pour créer des réseaux privés virtuels pour les communications + Réseau à réseau (exemple : entre les routeurs pour relier des sites), + Hôte-à-réseau (exemple : accès des utilisateurs distants) et + Hôte-hôte (exemple : chat privé).
  • 44. Description des modes d'IPsec Le mode de Nesting est hybride puisqu'il utilise les 2 modes cités précédemment. Il s'agit bien d'encapsuler de l'IPSec dans de l'IPSec :
  • 45. Comparatif entre protocoles de sécuritéComparatif entre protocoles de sécurité Protocole Avantages Inconvénients PPTP Très répandu -Peu fiable -Performance faible L2TP Mobilité - L’overHead IPSec Confidentialité/I ntégrité des données -Pas d’authentification des utilisateurs -Pas de QoS -Lourdeur des opérations
  • 46. Comparatif technologie cryptageComparatif technologie cryptage Solution Déploiement SSL - mail (plus rapide ; standard) - les mouvements financiers, les opérations ponctuelles, le e-commerce PPTP seulement quand IPSec n'est pas supporté IPSec avec L2TP pour accéder à un LAN à distance
  • 47. IPsec : Conclusion IPsec est comme nous l'avons vu un assemblage de plusieurs protocoles et mécanismes ce qui le rend techniquement très complexe. IPsec est d'autre part en constante évolution car il est soutenu par une grande population technique et scientifique.. Il est bon de savoir le fait qu'IPsec ne permet pas d'authentifier les personnes donc ne pourra donc pas servir à sécuriser des transactions.

Editor's Notes

  1. Ces technologies sont les principales utilisées à cet effet.
  2. Quand on a une donnée qu’on veut rendre illisible, on peut la crypter. Pour ce faire, on utilise une clé. Une clé est un grand entier. Pour décrypter une donnée cryptée, on utilise une clé de décryptage.
  3. On parle de clés symétriques quand c’est la même clé qui sert au cryptage et au décryptage. On parle aussi de secrèt partagé car les deux personnes qui dialoguent doivent avoir une copie de la clé. Cette clé doit rester secrète, d’où une problématique de transmission de la clé. Ce système est rapide d’utilisation.
  4. On parle de clés publiques quand on n’a plus une seule clé, mais un couple de clés. Chaque interlocuteur a sa clé publique et sa clé privée correspondante, qui sont uniques. La clé publique sert à décrypter les données cryptées précédemment par la clé privée correspondante. Et vice versa : la clé privée sert à décrypter les données précédemment cryptées par la clé publique correspondante. La clé publique est accessible à tout le monde. La clé privée ne doit être connue que par son propriétaire. Quand on veut envoyer une donnée cryptée à un élément, on l’encrypte avec la clé publique de ce dernier. Celui ci la décryptera avec sa clé privée. S’il veut répondre, il utilisera ma clé publique. Ce système est efficace, mais lent.
  5. On parle de clés publiques quand on n’a plus une seule clé, mais un couple de clés. Chaque interlocuteur a sa clé publique et sa clé privée correspondante, qui sont uniques. La clé publique sert à décrypter les données cryptées précédemment par la clé privée correspondante. Et vice versa : la clé privée sert à décrypter les données précédemment cryptées par la clé publique correspondante. La clé publique est accessible à tout le monde. La clé privée ne doit être connue que par son propriétaire. Quand on veut envoyer une donnée cryptée à un élément, on l’encrypte avec la clé publique de ce dernier. Celui ci la décryptera avec sa clé privée. S’il veut répondre, il utilisera ma clé publique. Ce système est efficace, mais lent.
  6. HACH est une fonction mathématique appelé fonction de hashage génère une série de 128 bits à partir d’une donnée. Cette série est unique. La fonction n’est pas réversible. Ainsi, si on applique une fonction de hashage sur une donnée, on obtiendra toujours la même série de bits, et aucune autre donnée ne produira cette série.
  7. SSL est une technologie de cryptage. TLS est la dernière version. Les deux protocols sont compatibles.
  8. On arrive à un gros morceau : les VPN
  9. L’isolation des autres suppose des systèmes de cryptages et d’autentifications forts. On utilisera pour ce faire, un ou plusieurs des protocols listés, à savoir PPTP, L2TP, ou encore IPSec.