Ajouter à la (aux) collection (s) Ajouter à enregistré
  1. Aucune catégorie
Telechargé par Brahim Fannane

sslvsipsec-1226706214509222-8

publicité 
e-Xpert Solutions SA | 3, Chemin du Creux | CH 1233 Bernex-Genève | Tél +41 22 727 05 55 | Fax +41 22 727 05 50
Technologie VPN
« IPSEC vs SSL »
Séminaire du 21 avril 2004
Sylvain Maret
4 [email protected] | www.e-xpertsolutions.com
4
f
Agenda technologie VPN IPSEC vs SSL
Survol de la technologie VPN SSL
f
f
f
IPSEC en deux mots
Comparaison avec IPSEC
f
f
f
f
4
Les points forts IPSEC
Les points faibles IPSEC
Deux problématiques VPN
f
f
Son fonctionnement de base
Intrusion par le tunnel
Mobilité (Kiosk)
Conclusion
Solutions à la clef
4
f
SSL / TLS: un peu d’histoire
SSL version 1 et 2 par Netscape en 1994
f
f
Contre attaque par Microsoft en 1995
f
f
f
f
Transport Layer Security version 1.0 ou SSL version 3.1
RFC 2246
Standard toujours actuel
f
4
Private Communication Technology (PCT)
SSL version 3 par Netscape en 1995
Repris par IETF en 1997: TLS
f
f
Secure Socket Layer
Ajout ciphers (AES)
Solutions à la clef
4
f
SSL / TLS: fonctionnement classique
Généralement utilisé avec le
protocole HTTP (HTTPS)
f
f
f
f
f
4
ldap, imap, smtp, etc.
Technologie basée sur PKI
f
f
Navigateurs (IE, Mozilla, etc.)
Support d’autres applications
f
Application
Certificat X509 serveur
Certificat X509 client
Validation par CRL ou OCSP
Support du mode « tunnel »
SSL / TLS
TCP
IP
Physique
Solutions à la clef
4
f
Technologie SSL VPN: l’idée
Utiliser le client VPN des navigateurs
f
f
Support des technologies d’authentifications
f
f
Approche « Webifyer »
« Tunneliser » les autres applications
f
f
4
Radius, SecurID, Ldap, Certificats numériques, NTLM, etc,
Rendre accessible « toutes » les applications dans le
navigateur
f
f
Pas besoin d’installer du logiciel
Approche « tunnel » SSL
Même approche que IPSEC
Solutions à la clef
Webifyer: pas de clients « natif »
4
Secured by
SSL / TLS
Laptop
Kiosk
Telnet, SSH,
TN32.., etc.
Internet
Terminaison SSL
Mobile Device
Share NT, NFS,
email, X11,
Terminal Server
Citrix, etc.
Applications Web
Reverse Proxy
(OWA, Lotus)
Partner
Authentification
4
Solutions à la clef
4
Tunnel SSL: avec clients « natif »
TCP Static
TCP 1352
Lotus
SSL / TLS
Terminaison SSL
Localhost
127.0.0.1:1352
Authentification
TCP, UDP, ICMP
FTP
TCP 20,21
SSL / TLS
Interface virtuelle
Routage
4
PPP
Terminaison SSL
Solutions à la clef
4
f
Technologie IPSEC
IP Security
f
f
f
Technologie normalisée par
l’IETF en 1995
f
f
f
4
Certificat client
Certificat « gateway »
Support authentification
« classique »
f
Application
TCP
RFC 2401, 2402, 2406 et 2409
Support PKI
f
f
Modification trame IP
Support TCP, UDP, ICMP
IP
IPSEC
Physique
Radius, SecurID, etc.
Solutions à la clef
4
f
SSL / IPSEC en terme de sécurité et confort
Technologie IPSEC: les points forts !
f
Très haut niveau de sécurité
f
f
f
f
Confort d’utilisation
f
f
4
Support de l’échange des clés symétriques en cours de session
Support AES par la plupart des clients IPSEC
Attaque de type MiM pas connue à ce jour
Transparent pour l’utilisateur
Pas besoin d’utiliser son navigateur
Solutions à la clef
4
f
SSL / IPSEC en terme de déploiement et mobilité
Technologie IPSEC: les points faibles !
f
Déploiement complexe
f
f
f
f
f
f
f
Mobilité fortement réduite
f
4
Installation d’un client IPSEC
Client très intrusif (Couche 3)
Nécessite la maîtrise du poste client
Installation des clients « natif »
Configuration complexe (NAT, Routage)
Problème de cohabitation logiciel
Notion de « kiosk » pas réalisable
Solutions à la clef
4
f
Intrusion: problématique du mode VPN « pure »
Ouverture d’un moyen de communication (tunnel) ,entre le client et
l’entreprise, très simple à exploiter !
f
Virus, Worm, Backdoor
f
f
f
f
Mise en place d’un Anti-virus
Mise en place d’un firewall personnel
Mise en œuvre d’une solution IPS Networks
f
4
Concerne IPSEC ou SSL (ppp over SSL)
Recommandation minimum au niveau du poste client
f
f
WIN32.Blaster.Worm (TCP 135 / DCOM RPC)
Check Point InterSpect™ par exemple
Solutions à la clef
4
f
Mobilité: problématique du « Kiosk »
Gestion des « traces » sur la borne
f
f
f
f
f
Historique des URL
Cache, fichiers temporaires
Cookies
Software Helper (Code Mobile)
Authentification par certificat numérique
f
Attention au support physique
f
f
Solutions alternatives
f
4
Carte à puce ou Token USB
SecurID ou RSA Mobile
Solutions à la clef
4
f
Conclusion
Deux technologies complémentaires
f
Les VPN SSL ne vont pas remplacer IPSEC à court terme
f
f
Quelle technologie choisir?
f
f
f
f
f
f
f
4
Marketing fabriquant!
Niveau de sécurité?
Déploiement software?
Maîtrise des postes clients?
Déploiement applications clientes « natives »?
Confort à l’utilisation?
Mobilité?
Etc.
Solutions à la clef
4
4
Questions?
Solutions à la clef
e-Xpert Solutions SA | 3, Chemin du Creux | CH 1233 Bernex-Genève | Tél +41 22 727 05 55 | Fax +41 22 727 05 50
e-Xpert Solutions SA
Intégrateur en sécurité informatique
Au bénéfice d'une longue expérience dans les secteurs financiers et
industriels, e-Xpert Solutions SA propose à sa clientèle des solutions
« clé en main » dans le domaine de la sécurité informatique des réseaux
et des applications. Des solutions qui vont de la sécurité de périmètre –
tel le firewall, VPN, IDS, FIA, le contrôle de contenu, l’anti-virus – aux
solutions plus avant-gardistes comme la prévention des intrusions
(approche comportementale), l'authentification forte, la biométrie, les
architectures PKI ou encore la sécurisation des OS Unix, Microsoft et des
postes clients (firewall personnel).
4 [email protected] | www.e-xpertsolutions.com
e-Xpert Solutions SA | 3, Chemin du Creux | CH 1233 Bernex-Genève | Tél +41 22 727 05 55 | Fax +41 22 727 05 50
Pour plus d’informations:
e-Xpert Solutions SA
Chemin du Creux 3
CH – 1233 Bernex / Genève
Tel: +41 22 727 05 55
Fax: +41 22 727 05 50
[email protected]
4 [email protected] | www.e-xpertsolutions.com
Documents connexes
BC202001120010
BC202001120010
La sécurité des échanges sur le réseau
La sécurité des échanges sur le réseau
Chiffrement et authentification - Notions informatique
Chiffrement et authentification - Notions informatique
Formation Sécurité Java/JEE
Formation Sécurité Java/JEE
Informations relatives à l`accès aux ressources intranet hors
Informations relatives à l`accès aux ressources intranet hors
STEP 7 Professional V13.0 - Industry Support Siemens
STEP 7 Professional V13.0 - Industry Support Siemens
Téléchargez le fichier
Téléchargez le fichier
Communiqué de presse, le 25 juin 2010 La CLEF, à l`ONU à New
Communiqué de presse, le 25 juin 2010 La CLEF, à l`ONU à New
Histoire de la langue française III. La période féodale
Histoire de la langue française III. La période féodale
Guide patient Avoir un enfant après un cancer | Réseau
Guide patient Avoir un enfant après un cancer | Réseau
Jahresbericht/Rapport annuel 2011 Société Suisse de Linguistique
Jahresbericht/Rapport annuel 2011 Société Suisse de Linguistique
Première partie - La genèse du standard
Première partie - La genèse du standard
Des PC virtuels Écologiques et économiques
Des PC virtuels Écologiques et économiques
Autres moyens de la sécurité
Autres moyens de la sécurité
Téléchargement
publicité