e-Xpert Solutions SA | 3, Chemin du Creux | CH 1233 Bernex-Genève | Tél +41 22 727 05 55 | Fax +41 22 727 05 50 Technologie VPN « IPSEC vs SSL » Séminaire du 21 avril 2004 Sylvain Maret 4 [email protected] | www.e-xpertsolutions.com 4 f Agenda technologie VPN IPSEC vs SSL Survol de la technologie VPN SSL f f f IPSEC en deux mots Comparaison avec IPSEC f f f f 4 Les points forts IPSEC Les points faibles IPSEC Deux problématiques VPN f f Son fonctionnement de base Intrusion par le tunnel Mobilité (Kiosk) Conclusion Solutions à la clef 4 f SSL / TLS: un peu d’histoire SSL version 1 et 2 par Netscape en 1994 f f Contre attaque par Microsoft en 1995 f f f f Transport Layer Security version 1.0 ou SSL version 3.1 RFC 2246 Standard toujours actuel f 4 Private Communication Technology (PCT) SSL version 3 par Netscape en 1995 Repris par IETF en 1997: TLS f f Secure Socket Layer Ajout ciphers (AES) Solutions à la clef 4 f SSL / TLS: fonctionnement classique Généralement utilisé avec le protocole HTTP (HTTPS) f f f f f 4 ldap, imap, smtp, etc. Technologie basée sur PKI f f Navigateurs (IE, Mozilla, etc.) Support d’autres applications f Application Certificat X509 serveur Certificat X509 client Validation par CRL ou OCSP Support du mode « tunnel » SSL / TLS TCP IP Physique Solutions à la clef 4 f Technologie SSL VPN: l’idée Utiliser le client VPN des navigateurs f f Support des technologies d’authentifications f f Approche « Webifyer » « Tunneliser » les autres applications f f 4 Radius, SecurID, Ldap, Certificats numériques, NTLM, etc, Rendre accessible « toutes » les applications dans le navigateur f f Pas besoin d’installer du logiciel Approche « tunnel » SSL Même approche que IPSEC Solutions à la clef Webifyer: pas de clients « natif » 4 Secured by SSL / TLS Laptop Kiosk Telnet, SSH, TN32.., etc. Internet Terminaison SSL Mobile Device Share NT, NFS, email, X11, Terminal Server Citrix, etc. Applications Web Reverse Proxy (OWA, Lotus) Partner Authentification 4 Solutions à la clef 4 Tunnel SSL: avec clients « natif » TCP Static TCP 1352 Lotus SSL / TLS Terminaison SSL Localhost 127.0.0.1:1352 Authentification TCP, UDP, ICMP FTP TCP 20,21 SSL / TLS Interface virtuelle Routage 4 PPP Terminaison SSL Solutions à la clef 4 f Technologie IPSEC IP Security f f f Technologie normalisée par l’IETF en 1995 f f f 4 Certificat client Certificat « gateway » Support authentification « classique » f Application TCP RFC 2401, 2402, 2406 et 2409 Support PKI f f Modification trame IP Support TCP, UDP, ICMP IP IPSEC Physique Radius, SecurID, etc. Solutions à la clef 4 f SSL / IPSEC en terme de sécurité et confort Technologie IPSEC: les points forts ! f Très haut niveau de sécurité f f f f Confort d’utilisation f f 4 Support de l’échange des clés symétriques en cours de session Support AES par la plupart des clients IPSEC Attaque de type MiM pas connue à ce jour Transparent pour l’utilisateur Pas besoin d’utiliser son navigateur Solutions à la clef 4 f SSL / IPSEC en terme de déploiement et mobilité Technologie IPSEC: les points faibles ! f Déploiement complexe f f f f f f f Mobilité fortement réduite f 4 Installation d’un client IPSEC Client très intrusif (Couche 3) Nécessite la maîtrise du poste client Installation des clients « natif » Configuration complexe (NAT, Routage) Problème de cohabitation logiciel Notion de « kiosk » pas réalisable Solutions à la clef 4 f Intrusion: problématique du mode VPN « pure » Ouverture d’un moyen de communication (tunnel) ,entre le client et l’entreprise, très simple à exploiter ! f Virus, Worm, Backdoor f f f f Mise en place d’un Anti-virus Mise en place d’un firewall personnel Mise en œuvre d’une solution IPS Networks f 4 Concerne IPSEC ou SSL (ppp over SSL) Recommandation minimum au niveau du poste client f f WIN32.Blaster.Worm (TCP 135 / DCOM RPC) Check Point InterSpect™ par exemple Solutions à la clef 4 f Mobilité: problématique du « Kiosk » Gestion des « traces » sur la borne f f f f f Historique des URL Cache, fichiers temporaires Cookies Software Helper (Code Mobile) Authentification par certificat numérique f Attention au support physique f f Solutions alternatives f 4 Carte à puce ou Token USB SecurID ou RSA Mobile Solutions à la clef 4 f Conclusion Deux technologies complémentaires f Les VPN SSL ne vont pas remplacer IPSEC à court terme f f Quelle technologie choisir? f f f f f f f 4 Marketing fabriquant! Niveau de sécurité? Déploiement software? Maîtrise des postes clients? Déploiement applications clientes « natives »? Confort à l’utilisation? Mobilité? Etc. Solutions à la clef 4 4 Questions? Solutions à la clef e-Xpert Solutions SA | 3, Chemin du Creux | CH 1233 Bernex-Genève | Tél +41 22 727 05 55 | Fax +41 22 727 05 50 e-Xpert Solutions SA Intégrateur en sécurité informatique Au bénéfice d'une longue expérience dans les secteurs financiers et industriels, e-Xpert Solutions SA propose à sa clientèle des solutions « clé en main » dans le domaine de la sécurité informatique des réseaux et des applications. Des solutions qui vont de la sécurité de périmètre – tel le firewall, VPN, IDS, FIA, le contrôle de contenu, l’anti-virus – aux solutions plus avant-gardistes comme la prévention des intrusions (approche comportementale), l'authentification forte, la biométrie, les architectures PKI ou encore la sécurisation des OS Unix, Microsoft et des postes clients (firewall personnel). 4 [email protected] | www.e-xpertsolutions.com e-Xpert Solutions SA | 3, Chemin du Creux | CH 1233 Bernex-Genève | Tél +41 22 727 05 55 | Fax +41 22 727 05 50 Pour plus d’informations: e-Xpert Solutions SA Chemin du Creux 3 CH – 1233 Bernex / Genève Tel: +41 22 727 05 55 Fax: +41 22 727 05 50 [email protected] 4 [email protected] | www.e-xpertsolutions.com