• Aucun résultat trouvé

La sécurité des réseaux VPN : Identification des failles et détection des intrusions

N/A
N/A
Protected

Academic year: 2022

Partager "La sécurité des réseaux VPN : Identification des failles et détection des intrusions"

Copied!
6
0
0

Texte intégral

(1)

La sécurité des réseaux VPN : Identification des failles et détection des intrusions

Henoc YATAKPO, Ing (yatakpohenoc@gmail.com) Jules GBEDANDE, Ing (dariogbedande@gmail.com)

Michel DOSSOU, Dr (michel.dossou@epac.uac.bj) Kokou M. ASSOGBA, Pr (marc.assogba@epac.uac.bj)

Laboratoire d’Electrotechnique, de Télécommunications et d’Informatique Appliquée (LETIA) Ecole Polytechnique d’Abomey-Calavi (EPAC)

Université d’Abomey-Calavi (UAC)

Résumé : Les défis des changements climatiques constituent des enjeux de développement. Ajoutés à ceux-ci les risques terroristes dont l’importance est grande à cause de l’effet multiplicateur qu’est la cybercriminalité. Face à cet état des choses, même les avancées scientifiques en matière de lutte contre le réchauffement climatique, aussi mi- neures soient-elles, ont besoin d’être partagées et échangées entre différentes communautés scientifiques. Ce partage d’informations sensibles peut se faire au travers des réseaux privés virtuels pour garantir la confidentialité et l’authenti- cité des données échangées [1].

L’objectif de notre article est de mon- trer les limites des différents protocoles

utilisés dans ces réseaux tout en propo- sant des solutions.

Les réseaux privés virtuels sont des réseaux privés construits au sein d’une infrastructure informatique publique, tel que l’internet [1, 3]. Bien qu’un accent particulier ait été mis sur le développement logiciel et les protocoles de sécurité dans l’implémentation de ces réseaux, les informations échangées à travers ces réseaux ne sont pas encore aussi sécurisées [1]. Ils subissent encore certaines intrusions et attaques réseaux telles que : les dénis de service et l’usur- pation d’identité.

Ce travail propose une nouvelle archi- tecture réseau permettant de renforcer la sécurité au niveau des échanges des

(2)

données et de détecter les différentes in- trusions dans les réseaux privés virtuels.

Cette architecture est basée sur la mise en place dans le réseau privé virtuel d’un système de sécurité. Ce système de sécurité est composé d’un pare-feu, pour le contrôle des différents trafics et les protocoles et applications utilisés dans le réseau, combiné à un système de pré- vention d’intrusion Snort_inline pour la prévention des différentes tentatives d’intrusion et d’usurpation d’identité [4, 6].

Mots clés : Réseaux, Sécurité, VPN, Tunneling

1 INTRODUCTION

Un réseau VPN (Virtual Private Net- work) est un tunnel sécurisé permet- tant la communication entre deux en- tités y compris au travers de réseaux peu sûrs comme peut l’être le réseau Internet [1]. Il peut être encore défini comme l’ensemble des techniques per- mettant d’étendre le réseau de l’entre- prise en préservant la confidentialité des données et en traversant les barrières physiques des réseaux traditionnels [2].

Ainsi les travaux de recherche dans le domaine des changements climatiques peuvent être échangés entre les diffé- rentes communautés scientifiques au tra- vers des réseaux VPN.

Nous distinguons trois grands types de VPN à savoir le VPN site à site , le VPN poste à site et le VPN poste à poste [3].

Dans le présent travail, nous allons uti- liser une architecture d’un réseau VPN site à site.

Plusieurs protocoles de communication réseaux sont utilisés dans le réseau VPN.

Ces protocoles permettent aux données de passer d’une extrémité du réseau VPN à l’autre. Au nombre de ces pro- tocoles nous pouvons citer : le protocole PPTP (Point to Point Tunneling Pro- tocol), L2F (Layer 2 Forwarding), IPsec (Internet Protocol Security), SSH (Se- cure SHell), SSL (Secure Sockets Layer) et TLS (Transport Layer Security).

Pour ce trvail, nous allons utili- ser le protocole IPsec. Ce proto- cole permet de protéger les échanges entre deux réseaux reliés par inter- net en utilisant des protocoles d’au- thentification AH(Authentication Hea- der) et les protocoles de cryptographie

(3)

ESP(Encapsulation Security Payload).

Cependant Ce protocole n’assure pas la sécurité totale du réseau VPN site à site.

2 Objectifs

L’objectif de ce présent travail est de proposer une architecture permettant de contôler tout le trafic du VPN, de détec- ter et de prévenir les différentes intru- sions. Goh et al[5]. ont noté que les ré- seaux cryptés à l’instar des réseaux VPN ont aussi des failles de sécurité. Ainsi le présent travail vise à renforcer la sécu- rité dans les réseaux VPN.

3 MATERIELS et METHODE

Pour ce travail, nous avons mis en place un VPN site à site avec le pro- tocole IPsec. Nous avons ensuite généré avec Metasploit des attaques sur le ré- seau VPN simple pour voir sa vulnéra- bilité. Enfin nous avons installé et confi- guré un pare-feu et un système de pré- vention d’intrusion (snort_inline). Nous avons généré par la suite les mêmes at- taques sur le réseau sécurisé (VPN avec système de prévention d’intrusion) afin de comparer les vulnérabilités de ces

deux réseaux.

4 GENERATION D’AT- TAQUES AVEC METAS- PLOIT SUR LE RESEAU VPN SIMPLE

Nous avons proposé une architecture de VPN site à site entre deux ré- seaux locaux LAN10 (10.143.7.0/27) et LAN192 (192.168.1.0/27). Nous avons d’abord déployé un réseau VPN site à site avec racoon et ipsec-tools et nous avons mis en place dans le réseau LAN 192.168.1.0/24 un générateur d’attaque metasploit pour tester la vulnérabilité du réseau VPN. La figure ci-dessous pré- sente l’architecture du réseau VPN dé- ployé avec le générateur d’attaque Me- tasploit.

Figure1 – VPN site à site avec generateur d’attaque METASPLOIT.

Nous avons affiché la base de données des associations de sécurité du serveur

(4)

VPN du réseau (192.168.1.0/27) pour montrer que le traffic passe bien par le tunnel ipsec et non en direct et on a constaté que les tunnels se sont crées entre les deux serveurs VPN. La capture ci-dessous montre ce test :

Figure2 – Base de données des associations de sécurité du serveur VPN 192.168.1.2

Nous avons ensuite effectué à partir de métasploit une attaque de Scan pour afficher les ports TCP ouverts sur une machine de système d’exploitation Win- dows. La capture ci-dessous montre le résultat de ce Scan.

Figure3 – Génération d’attaque de Scan avec Métas- ploit.

5 ARCHITECTURE VPN SITE A SITE SECURISE

Nous avons proposé une architecture de VPN site à site sécurisé entre deux ré- seaux locaux LAN10 (10.143.7.0/27) et LAN192 (192.168.1.0/27). Les serveurs VPN font offices de routeurs, de pare-feu et de sytèmes de prévention d’intrusion.

Ils contrôlent et analysent tout le trafic qu’il soit entrant ou sortant et bloquent les tentatives d’intrusion venues de l’ex- térieur du réseau d’entreprise. La figure ci-dessous montre l’architecture propo- sée.

(5)

Figure4 – Architecture du réseau VPN sécurisé pro- posée.

6 TEST DE GENERATION D’ATTAQUES SUR LE VPN SECURISE

Nous avons effectué à nouveau un test de scan avec Metasploit à partir du LAN192 pour détecter les ports TCP ouverts sur un poste windows d’adresse IP (10.143.7.2) . La capture ci-dessous montre un peu l’ interface du système de prévention d’intrusion Snort_inline.

Figure 5 – Test de génération d’attaque de Scan sur le réseau VPN sécurisé.

7 CONCLUSION ET PERS- PECTIVES

Les réseaux VPN permettent d’étendre les réseaux locaux à tra- vers d’autres réseaux publics non sûrs comme Internet. Cette nouvelle étude effectuée montre que le réseau VPN est l’une des solutions les plus sécuri- sées et les moins coûteuses du marché pour l’échange des informations confi- dentielles. Cependant, l’analyse des différentes failles des protocoles utilisés dans ces réseaux nous a permis de pro- poser des techniques de renforcement de la sécurité basées sur les firewall et le système de prévention d’intrusion Snort_inline.

Références

[1] Jean-Paul ARCHIER. Les VPN, Fonctionnement mise en œuvre et maintenance des Réseaux Privés Virtuels. Editions ENI, 2013.

[2] Maxime BESSON. VPN Principes mise en œuvre et outils open source.

Smile-open source solution, 2010.

[3] Rafael CORVALAN, Ernesto COR- VALAN, and Yoann Le CORVIC.

(6)

Les VPN Principes, conception et déploiement des réseaux privés vir- tuels. Editions DUNOD, 2004.

[4] Nathalie DAGORN. Détection et prévention d’intrusion : présenta- tion et limites. Institut Natio- nal de Recherche en Informatique et en Automatique (INRIA-00084202), page 19, 2006.

[5] V. Goh, J. Zimmermann, and M. Looi. Towards intrusionnde- tection for encrypted networks.

International Conference on Avai- lability, Reliability and Security, page 7, Décembre 2009.

[6] N. Sagar and P. Singh. Signature- base network intrusion detection sys- tem using snort and winpcap. Inter- national Journal of Engineering Re- search Technology (IJERT), page 7, 2012.

Références

Documents relatifs

2 sur 2 Si vous avez reçu un système clos d'aspiration HALYARD* pour nouveau-nés et enfants (5 Fr) figurant dans la liste des codes produits répertoriés ci-dessus, veuillez

Le SSI est un ensemble complet qui comprend dans le même boîtier un Equipement de Contrôle et de Signalisation (ECS) et un Centralisateur de Mise en Sécurité Incendie (CMSI),

Grâce aux 4 éléments suivants : qui (utilisateur), quoi (application), quand (heure) et combien (bande passante), les pare-feu peuvent avoir une visibilité et un contrôle des couches

Cette technique permet donc ` a n’importe quelle application d’ex´ecuter des commandes dans le contexte d’une autre, et ainsi d’en usurper les privil`eges au niveau du

Dans les chapitres suivants de ce Livre Blanc, vous découvrirez les risques juridiques encourus par le dirigeant de l’entreprise, les questions qu’il convient de se poser en matière

Dans les solutions au niveau réseau, l’IPS réside dans un dispositif autonome qui demeure sur le chemin ou hors du chemin pour surveiller activement le trafic du réseau et détecter

Le SSI est un ensemble complet qui comprend dans le même boîtier un Equipement de Contrôle et de Signalisation (ECS) et un Centralisateur de Mise en Sécurité Incendie (CMSI),

et d’un CMSI STT10 équipé d’une Unité de Gestion d’Alarme (UGA) à 2 Zones d’Alarme (ZA), pouvant gérer 14 fonctions, 4 lignes de diffuseurs sonores et/ou lumineux ou bien