====== Différences ======
Cette page vous affiche les différences entre la révision choisie et la version actuelle de la page.
|
architecture:reseaux_telecommunications [2015/01/13 08:31] r.doiteau [Architecture AAA] |
architecture:reseaux_telecommunications [2019/05/11 14:35] (Version actuelle) |
||
|---|---|---|---|
| Ligne 78: | Ligne 78: | ||
| === Vunérabilités === | === Vunérabilités === | ||
| - | Absences de contrôles sur les addreses MAC | + | Absences de contrôles sur les adresses MAC |
| Menaces d'une machine sur port libre | Menaces d'une machine sur port libre | ||
| - | Usurpation de l'addrese IP | + | Usurpation de l’adresse IP |
| Absences de filtrage de trames | Absences de filtrage de trames | ||
| Ligne 224: | Ligne 224: | ||
| + | ===== VPN ===== | ||
| + | ==== Problématique ==== | ||
| + | |||
| + | Comment garantir la sécurité du transport des données au travers des réseaux non sûr => Internet | ||
| + | |||
| + | **VPN poste à site** | ||
| + | |||
| + | L'une des extrémités est un poste, accédant directement au réseau public. | ||
| + | |||
| + | L'autre extrémité une passerelle, interconnectant le réseau public et le réseau privé de l'organisme | ||
| + | |||
| + | Tunnel monter de façon permanente | ||
| + | |||
| + | **VPN site à site** | ||
| + | |||
| + | Les deux extrémités sont des passerelle interconnectant les sites | ||
| + | |||
| + | Dés que la communication est terminé, le tunnel est démonté | ||
| + | |||
| + | passerelle <=> passerelle | ||
| + | |||
| + | routeur ou firewal <=> routeur ou firewall | ||
| + | |||
| + | ===== Protocoles ===== | ||
| + | |||
| + | ==== VPN de niveau 2 === | ||
| + | |||
| + | === PPP === | ||
| + | |||
| + | Liaison permet de full duplex et garantit l'ordre d'arrivé des paquets | ||
| + | |||
| + | PPP => via PAP | ||
| + | |||
| + | PAP : Password Authentification Protocol | ||
| + | |||
| + | Le mot de passe passe en clair sur le réseau | ||
| + | |||
| + | === PPTP === | ||
| + | |||
| + | Deux canaux de communication | ||
| + | |||
| + | Un canal de contrôle pour la gestion du lien | ||
| + | |||
| + | Un canal pour le transport des datas | ||
| + | |||
| + | PPTP => MS-CHAP | ||
| + | |||
| + | Microsoft CHAP : grandes vulnérabilités => MS-CHAPv2 | ||
| + | |||
| + | Envoi non simultané des hash LAN Manager et NTLM | ||
| + | |||
| + | Renouvellement de la clé de chiffrement MPPE | ||
| + | |||
| + | Chiffrement XOR des paquets => transformation booléennes par le ou exclusif | ||
| + | |||
| + | === L2F === | ||
| + | |||
| + | Layer 2 Fowarding | ||
| + | |||
| + | Protocole obsolète | ||
| + | |||
| + | Permet d'encapsuler des trames PPP entre un serveur distant et un serveur L2F | ||
| + | |||
| + | === L2TP === | ||
| + | |||
| + | Permet d'encapsuler des trames PPP pour les envoyer dur des réseaux IP, X25, Frame, Relay ou ATM | ||
| + | |||
| + | Fusion des deux protocoles PPTP et L2F | ||
| + | |||
| + | Attention pas de chiffrement des datas | ||
| + | |||
| + | Encapsulation des trames PPP dans des messages UDP | ||
| + | |||
| + | Un concentrateur LAC (L2TP Access Concentrator) permet l'encapsulater | ||
| + | |||
| + | Un serveur L2TP déencapsule les trames | ||
| + | |||
| + | {{ :architecture:l2tp.png |}} | ||
| + | |||
| + | **Inconvénients** | ||
| + | |||
| + | Encapsulation Lourde => en-tête de 14 octets | ||
| + | |||
| + | Aucune confidentialité des données n'ai assuré | ||
| + | |||
| + | |||
| + | ==== VPN de niveau 3 ==== | ||
| + | |||
| + | === MPLS === | ||
| + | |||
| + | Protocole de niveau 2.5 de communication de paquets par étiquette (label) => notion de routage + étiquetage | ||
| + | |||
| + | Permet de faire cohabiter sur une même infrastructure réseau (liens, routeurs) plusieurs services (données, voix, vidéo,...) et plusieurs protocoles (IPv4, IPv6...) | ||
| + | |||
| + | L'over-head est insérée entre l'en-tête de niveau 2 et 3, sans autre modification de la trame | ||
| + | |||
| + | ** Principe de communication *** | ||
| + | |||
| + | Les routeurs de bord, commutent au centre | ||
| + | |||
| + | //Commutateur MPLS sont souvent appelés routeurs// | ||
| + | |||
| + | Routeur CE => Label => Routeur PE | ||
| + | |||
| + | Les trames sont taguées d’où la notion de réseaux virtuels | ||
| + | |||
| + | {{ :architecture:mpls.png |}} | ||
| + | |||
| + | ** Création de cloisonnement logique ** | ||
| + | |||
| + | Routeur virtuel VRF | ||
| + | |||
| + | Selon une table de routage prédéfinies en fonction des clients | ||
| + | |||
| + | Définition des routes entre les tables | ||
| + | |||
| + | Tout ce qui n'est pas autorisé et explicitement refusé | ||
| + | |||
| + | ** Étiquette ** | ||
| + | |||
| + | Label de 64 bits qui indique ce que l'on peut **router** et vers quelles **destinations** | ||
| + | |||
| + | {{ :architecture:mpls2.png |}} | ||
| + | |||
| + | **MPLS vs IPsec** | ||
| + | |||
| + | MPLS offre un service de contrôle d'accès au réseau, mais n'assure pas la confidentialité ni l'intégrité des données échangées sur le réseaux traversées. | ||
| + | |||
| + | IPsec offre des services de confidentialité de de contrôle d'intégrité basés sur la cryptologie | ||
| + | |||
| + | ** Les deux approches peuvent être menées simultanément** | ||
| + | |||
| + | |||
| + | === IPsec === | ||
| + | |||
| + | PKI | ||
| + | |||
| + | AH | ||
| + | |||
| + | ESP | ||
| + | |||
| + | SPI | ||
| + | |||
| + | 2 phases : | ||
| + | |||
| + | - Établissement | ||
| + | |||
| + | - Négociation | ||
| + | |||
| + | Mode Transport et Tunnel | ||
| + | |||
| + | Mises en cascade et surencapsulation | ||
| + | |||
| + | === SSL/TLS === | ||
| + | |||
| + | Protocole de niveau 5 (session) et de niveau 6 (présentation) | ||
| + | |||
| + | Cette suite protocolaire fournit des services de sécurité : | ||
| + | |||
| + | confidentialité : chiffrement des données | ||
| + | |||
| + | Intégrité: contrôle d'intégrité, anti-modification, anti répudiation | ||
| + | |||
| + | Authentification : authentification serveur, authentification client (optionnelle) | ||
| + | |||
| + | SSL est composé de 4 protocoles : | ||
| + | |||
| + | * Niveau 5 | ||
| + | * Record Layer Protocol (RLP) | ||
| + | |||
| + | * Niveau 6 | ||
| + | * Handshake Protocol (HP) | ||
| + | * Change Cipher Spec Protocol (CCSP) | ||
| + | * Alert Protocol (AP) | ||
| + | |||
| + | SSL v3 permet l'authentification mutuelle (client et serveur) | ||
| + | |||
| + | ** Nouveau Besoin ** | ||
| + | |||
| + | VPN est un réseau lourd à mettre en œuvre et à maintenir, consommateur de ressources | ||
| + | |||
| + | VPN SSL/TLS | ||
| + | |||
| + | SSL et TLS sont implémentés nativement dans les principaux système et logiciels du marché | ||
| + | |||
| + | SSL/TLS est trés utilisé pour sécuriser la plupart des protocoles anciens: | ||
| + | |||
| + | HTTPs, POP3s, SMTPs | ||
