Réseaux Privés Virtuels, Mise en Oeuvre

Introduction

• Faiblesses propres aux réseaux TCP/IP.
• Evolution des différents supports de communication : ADSL, Internet, WiFi...
• Les impératifs du réseau d'entreprise : intégrité, confidentialité, performance, authenticité...
• La solution « Réseau Privé Virtuel », principes et apports.
• Interconnexion de réseaux, utilisateurs nomades, sécurité WiFi, le VPN en pratique.
  

Les solutions d'interconnexion IP au cours du temps

• TCP/IP : rappels. Présentation des principaux protocoles de la pile. Plan d'adressage, RFC 1918, configuration dynamique des postes (DHCP). Service de noms (D.N.S.), la notion de « split ». Routage : comprendre les principes et les protocoles spécifiques.
• Frame Relay, X25 et liaisons louées.
• RTC et RNIS, solutions d'accès distant faible débit. Ces solutions sont-elles condamnées ? Sont-elles sécurisées ?
• Internet. Tarifs indépendants des distances, une vraie révolution. Performances. Sécurité.
• ADSL, SDSL, Turbo DSL, le haut débit à moindre coût.
• WiFi, une nouvelle forme de réseaux « unsecure ».
• MPLS, la contre-attaque des opérateurs.
  

Cryptographie
Les besoins « numériques »

• Confidentialité et intégrité des documents ou des échanges.
• Authentification sûre des acteurs d'une transaction.
• Non-répudiation des actions réalisées.

Les techniques cryptographiques

• Chiffrements symétrique et asymétrique.
• Comparaison et complémentarité de ces techniques.
• « Hash function » ou empreinte numérique.
• Certificats numériques et autorités de certification.

Usages de la cryptographie

• Confidentialité, quels algorithmes utiliser ?
• Intégrité, le rôle exclusif des fonctions dites de hachage.
• Authentification et signature électroniques.
• Non-répudiation, une conséquence de l'authentification sûre.

La cryptographie au service des réseaux privés virtuels
Tunnels, les protocoles

Les initiatives des différents éditeurs

• Point-to-Point Tunneling Protocol (PPTP).
• Layer Two Forwarding (L2F).
• Layer Two Tunneling Protocol (L2TP).
• IPSec, le standard IETF
• Présentation du protocole
• Authentification, confidentialité, intégrité, anti-rejeu.
• Modes tunnel et transport.
• Security Association - SPI - Security Policy Database.
• ESP et AH.
  

ISAKMP et IKE
ISAKMP : Internet Security Association and Key Management Protocol

• Description de l'en-tête ISAKMP.
• Les différentes phases de négociation.

IKE : Internet Key Exchange

• Authentification IKE, Pre-shared key, Certificats.
• Phase 1, Phase 2.
• Aggressive mode.
• Mode config, Xauth.
  

Sécurité de l'infrastructure réseau

• Le rôle de l'indispensable firewall.

L'authentification des utilisateurs, un point trop souvent négligé

• Les faiblesses de la solution login/mot de passe.
• Solution SecurID.
• Kerberos.
• Certificats numériques.
• RADIUS et LDAP, les compléments indispensables aux authentifications fortes.

La sécurité du poste client, le maillon faible de la sécurité du réseau étendu

• Choix du système d'exploitation.
• Firewall personnel.
• Antivirus.
• La sensibilisation des utilisateurs.

Wi-Fi et réseaux privés virtuels

• Principes fondamentaux des réseaux sans fil.
• Faiblesses intrinsèques de ces technologies.
• Le WEP est-il efficace ?
• Utilisateurs nomades et postes Wi-Fi, des besoins identiques. Une solution commune, le VPN.
  

L'offre

• L'offre en matière d'équipements VPN, firewall, Internet Appliance est extrêmement nombreuse et diversifiée. Le code en open source et la standardisation des plates-formes matérielles est un élément déterminant de cette évolution.
• Plates-formes VPN : routeurs, firewalls, VPN firewall, concentrateurs VPN, VPN appliances, Internet appliances.
• Clients logiciels et matériels.
• SSL appliances.
  

Panorama des solutions VPN IPSec

• L'open source. FreeS/WAN (Linux) : DNSSEC, position vis-à-vis des certificats, du NAT. OpenBSD : licence BSD.
• Cisco.
• Microsoft : client L2TP, site à site, authentification Kerberos.
• Check point/Nokia : solution haute disponibilité.
• Symantec : offre intégrée IDS, anti-virus, Firewall, VPN.
• Les solutions de VPN administrés : Smartpipe, Openreach, Interasys, e-tunnels, netcelo