Click here to load reader

VPN: SSL vs IPSEC

  • View
    11.244

  • Download
    7

Embed Size (px)

Text of VPN: SSL vs IPSEC

  • 1. e-Xpert Solutions SA | 3, Chemin du Creux | CH 1233 Bernex-Genve | Tl +41 22 727 05 55 | Fax +41 22 727 05 50Technologie VPN IPSEC vs SSL Sminaire du 21 avril 2004Sylvain Maret 4 [email protected] | www.e-xpertsolutions.com

2. 4 Agenda technologie VPN IPSEC vs SSLSurvol de la technologie VPN SSLSon fonctionnement de baseIPSEC en deux motsComparaison avec IPSECLes points forts IPSECLes points faibles IPSECDeux problmatiques VPNIntrusion par le tunnelMobilit (Kiosk)Conclusion 4 Solutions la clef 3. 4 SSL / TLS: un peu dhistoireSSL version 1 et 2 par Netscape en 1994Secure Socket LayerContre attaque par Microsoft en 1995Private Communication Technology (PCT)SSL version 3 par Netscape en 1995Repris par IETF en 1997: TLSTransport Layer Security version 1.0 ou SSL version 3.1RFC 2246Standard toujours actuelAjout ciphers (AES)4Solutions la clef 4. 4 SSL / TLS: fonctionnement classiqueGnralement utilis avec leprotocole HTTP (HTTPS)ApplicationNavigateurs (IE, Mozilla, etc.)Support dautres applications SSL / TLSldap, imap, smtp, etc. TCPTechnologie base sur PKICertificat X509 serveurCertificat X509 clientIPValidation par CRL ou OCSPSupport du mode tunnel Physique 4Solutions la clef 5. 4 Technologie SSL VPN: lideUtiliser le client VPN des navigateursPas besoin dinstaller du logicielSupport des technologies dauthentificationsRadius, SecurID, Ldap, Certificats numriques, NTLM, etc,Rendre accessible toutes les applications dans lenavigateurApproche Webifyer Tunneliser les autres applicationsApproche tunnel SSLMme approche que IPSEC 4Solutions la clef 6. 4Webifyer: pas de clients natif Secured by Telnet, SSH,SSL / TLSLaptop TN32.., etc.Internet Share NT, NFS,Kioskemail, X11,Terminaison SSLTerminal ServerCitrix, etc.Mobile DeviceApplications Web Reverse Proxy(OWA, Lotus) Partner Authentification4Solutions la clef 7. 4 Tunnel SSL: avec clients natif TCP Static SSL / TLSTCP 1352Lotus Localhost Terminaison SSL 127.0.0.1:1352AuthentificationTCP, UDP, ICMPSSL / TLS FTP TCP 20,21 PPP Interface virtuelle Terminaison SSLRoutage4Solutions la clef 8. 4 Technologie IPSECIP SecurityModification trame IPApplicationSupport TCP, UDP, ICMPTechnologie normalise parlIETF en 1995TCPRFC 2401, 2402, 2406 et 2409Support PKIIPCertificat clientIPSECCertificat gateway Support authentificationPhysique classique Radius, SecurID, etc.4 Solutions la clef 9. 4 SSL / IPSEC en terme de scurit et confortTechnologie IPSEC: les points forts ! Trs haut niveau de scuritSupport de lchange des cls symtriques en cours de sessionSupport AES par la plupart des clients IPSECAttaque de type MiM pas connue ce jourConfort dutilisationTransparent pour lutilisateurPas besoin dutiliser son navigateur 4Solutions la clef 10. 4 SSL / IPSEC en terme de dploiement et mobilitTechnologie IPSEC: les points faibles ! Dploiement complexeInstallation dun client IPSECClient trs intrusif (Couche 3)Ncessite la matrise du poste clientInstallation des clients natif Configuration complexe (NAT, Routage)Problme de cohabitation logiciel Mobilit fortement rduiteNotion de kiosk pas ralisable 4 Solutions la clef 11. 4 Intrusion: problmatique du mode VPN pure Ouverture dun moyen de communication (tunnel) ,entre le client etlentreprise, trs simple exploiter !Virus, Worm, BackdoorWIN32.Blaster.Worm (TCP 135 / DCOM RPC)Concerne IPSEC ou SSL (ppp over SSL) Recommandation minimum au niveau du poste clientMise en place dun Anti-virusMise en place dun firewall personnel Mise en uvre dune solution IPS NetworksCheck Point InterSpect par exemple4 Solutions la clef 12. 4 Mobilit: problmatique du Kiosk Gestion des traces sur la borneHistorique des URLCache, fichiers temporairesCookiesSoftware Helper (Code Mobile) Authentification par certificat numriqueAttention au support physiqueCarte puce ou Token USBSolutions alternativesSecurID ou RSA Mobile4Solutions la clef 13. 4 ConclusionDeux technologies complmentairesLes VPN SSL ne vont pas remplacer IPSEC court terme Marketing fabriquant! Quelle technologie choisir?Niveau de scurit?Dploiement software?Matrise des postes clients?Dploiement applications clientes natives ?Confort lutilisation?Mobilit?Etc.4Solutions la clef 14. 4 Questions? 4Solutions la clef 15. e-Xpert Solutions SA | 3, Chemin du Creux | CH 1233 Bernex-Genve | Tl +41 22 727 05 55 | Fax +41 22 727 05 50 e-Xpert Solutions SA Intgrateur en scurit informatiqueAu bnfice d'une longue exprience dans les secteurs financiers et industriels, e-Xpert Solutions SA propose sa clientle des solutions cl en main dans le domaine de la scurit informatique des rseaux et des applications. Des solutions qui vont de la scurit de primtre tel le firewall, VPN, IDS, FIA, le contrle de contenu, lanti-virus auxsolutions plus avant-gardistes comme la prvention des intrusions(approche comportementale), l'authentification forte, la biomtrie, les architectures PKI ou encore la scurisation des OS Unix, Microsoft et despostes clients (firewall personnel).4 [email protected] | www.e-xpertsolutions.com 16. e-Xpert Solutions SA | 3, Chemin du Creux | CH 1233 Bernex-Genve | Tl +41 22 727 05 55 | Fax +41 22 727 05 50 Pour plus dinformations: e-Xpert Solutions SAChemin du Creux 3CH 1233 Bernex / Genve Tel: +41 22 727 05 55Fax: +41 22 727 05 [email protected] [email protected] | www.e-xpertsolutions.com

Search related