S

1
Sécurité à base dIPsec

• A. Benzekri
• IRIT

2
Sécurité des réseaux

• De nouveaux champs dapplication pour les
  entreprises
• Business to Business,
• e-commerce,
• e-business,
• e-learning
•  concurrent engineering ,  collaborative
  works ,
• Frein manque de sécurité d'Internet.
• Attaques le déni de service ou lintrusion
  prudence dans louverture des réseaux à
  lInternet.
• Mise en place
  dune architecture  sécurité .

3
Architecture réseau
4
Faiblesses

• Services de confidentialité et dintégrité des
  données niveau de lapplication (PGP/PEM,
  S-HTTP)
• Pas assez flexible
• Propre aux applications

IPSec
Sécurité au niveau de chaque paquet IP
5
Accès Distants
Utilisation de linfrastructure publique
réduire les coûts de communication
Offrir des communications fiables et sécurisées
entre les partenaires.
6
Solutions
Les protocoles L2TP, L2F,
Tunneling

• Solutions propriétaires
• Pas standardisé
• Peu de sécurité

IPsec
7
Les services IPsec

• IPsec offre
• Sécurisation du niveau Réseau
• Authentification - Non-répudiation
• Confidentialité - Intégrité
• Anti-rejeu
• Deux modes dutilisation dIPsec
• Mode transport
• De bout en bout
• Mode tunnel
• Encapsulation des données
• VPN

• IPsec permet
• Création de VPN
• Sécuriser les accès distants (Utilisation nomade)
• Protection dun serveur sensible

8
Utilisation dIPsec (1)

• Virtual Private Network
• Réseaux privés distants
• 1 VPN
• Accès sécurisé

9
Utilisation dIPsec (2)

• Extranet
• Utilisateurs mobiles / distants
• Tunnel ? accès au réseau privé

10
Composants dIPsec

• Protocoles de sécurité
• Authentication Header (AH)
• Encapsulation Security Payload (ESP)
• Protocole d'échange de clefs
• Internet Key Exchange (IKE)
• Bases de données internes
• Security Policy Database (SPD)
• Security Association Database (SAD)

11
Politique de sécurité dIPsec

• Politiques ensemble de règles
• Locale à chaque machine
• Expression
• Règles de  filtrage 
• Pas de norme de représentation

12
Associations de sécurité

• Connexions simplex
• Composées par un triplet
• Adresse IP destinataire
• Protocole de sécurité
• Security Parameter Index (SPI)
• Plusieurs services ? composition de SA

13
Comment sont fournis ces services ?

• Les services de sécurité sont fournis au moyen de
  mécanismes de cryptographiques
• Code dauthentification de message authenticité
  des données
• Chiffrement confidentialité des données
• Numéro de séquence protection contre le rejeu
• Deux protocoles
• Authentication Header (AH)
• Encapsulation Security Payload (ESP)

14
Gestion des paramètres de sécurisation

• Ces services font appel à la cryptographie et
  utilisent donc un certain nombre de paramètres (
  algorithmes utilisés, clefs, mécanismes
  sélectionnés)

15
Associations de sécurité(Security Association,
SA)

• Structure de données permettant de stocker les
  paramètres relatifs à la sécurisation dune
  communication (Connexions simplex)
• Composées par un triplet
• Adresse IP destinataire
• Protocole de sécurité
• Security Parameter Index (SPI)
• Les SA sont regroupées dans une base de données
  des associations de sécurité (Security
  Association Database, SAD)

16
Gestion des paramètres

• Problèmatique afin déchanger des données de
  façon sécurisée, il est nécessaire de se mettre
  daccord sur les paramètres à utiliser, et
  notamment déchanger les clefs de session
• 1er solution configuration manuelle des
  équipements
• 2eme solution gestion dynamique des paramètres
  au moyen dun protocole sécurisé adapté
• IKE est un protocole orienté connexion utilisé
  par les équipements IPsec pour gérer les
  associations de sécurité
• Echange de clefs à laide de protocoles
  cryptographiques
• Fournit une authentification des entités
• Permet un établissement de SA à travers un réseau
  non sécurisé

17
Security Policy Database

• Les protections offertes par IPsec sont basées
  sur des choix définis par ladministrateur réseau
  par le biais de politiques de sécurité.
• Politiques ensemble de règles
• Permettant de définir quel paquet IP se verra
  apporter des services de sécurité ou sera
  autorisé à passer outre ou sera rejeté
• Indiquant à IKE quelles associations de sécurité
  il doit négocier
• Configuration manuelle de ces politiques sur
  chaque machine (stocké dans la SPD) il nexiste
  pas de norme de représentation.
• On verra une méthode de centralisation de ces
  règles de sécurité

18
IPsec Concepts

• Security Policy Database (SPD)
• Security Association Database (SAD)

SPD Ensemble de règles
Filtre les paquets IP
Asssocie les paquets IP aux SA
19
Fonctionnement dIPsec
Paquet IP
Paquet Protégé
20
Environnement de test

• Utilisation de Linux
• Unix complet
• Documenté
• Utilisation de FreeS/WAN
• Logiciel libre et ouvert
• AH, ESP, IKE
• Fonctionne avec Linux
• Expérimentations faites en utilisant une
  politique de sécurité statique et dynamique

21
Expérimentation
22
Réseau Privé Virtuel
23
Sécuriser les accès distants
24
Protection dun serveur sensible
25
Gestion des politiques de sécurité

• politique de sécurité chaque
  machine
• Problème
• Configuration
• De mise à jour
• Maintenance
• Doù une solution de politiques de sécurité
  centralisé et dynamique sappuyant sur Directory
  Enabled Networking directory service
  manadement, Lightweight Directory Access Protocol
  (LDAP),

26
Gestion Centralisé de Politique de Sécurité