La sécurité des réseaux VPN :

REPUBLIQUE DU BENIN

*******

MINISTERE DE L’ENSEIGNEMENT SUPERIEUR ET DE LA RECHERCHE SCIENTIFIQUE

*******

UNIVERSITE D’ABOMEY-CALAVI

*******

ECOLE POLYTECHNIQUE D’ABOMEY-CALAVI

*******

DEPARTEMENT DE GENIE INFORMATIQUE ET TELECOMMUNICATIONS

Option : Réseaux des télécommunications (Rt)

MEMOIRE DE FIN DE FORMATION

POUR L’OBTENTION DU

DIPLOME D’INGENIEUR DE CONCEPTION

Thème

Réalisé par : Henoc C. Blaise YATAKPO Présenté et soutenu devant le jury composé de : Président : Dr Léopold DJOGBE, Enseignant à l’EPAC

Membres : 1- Dr. Médésu SOGBOHOSSOU, Enseignant à l’EPAC 2- Dr. Michel DOSSOU, Maître de mémoire, Enseignant à

l’EPAC

3- Ltn. Rodrigue ALAHASSA, Enseignant à l’EPAC Année Académique : 2013 – 2014

7^ème Promotion

La sécurité des réseaux VPN : identification des failles

et détection des intrusions

Sommaire iii

Table des figures viii

Liste des tableaux x

Résumé xi

Abstract xii

INTRODUCTION GENERALE 1

I

ETAT DE L’ART SUR LA SECURITE DES RE-

SEAUX VPN 5

1 PRESENTATION DES RESEAUX VPN 6

2 PROTOCOLES DE SECURITE UTILISES DANS LES RE-

SEAUX VPN 17

3 LES TECHNIQUES DE SECURITE UTILISEES DANS LES

RESEAUX 25

II

MATERIELS ET METHODES 34

4 METHODOLOGIE ET CHOIX TECHNIQUES 35

5 CONFIGURATION DU VPN SITE A SITE ENTRE DEUX RESEAUX LOCAUX DISTANTS (LAN1 et LAN2) 45

6 LA SECURISATION DU RESEAU VPN 54

III

RÉSULTATS ET DISCUSSIONS 59

7 PRESENTATION DES DIFFERENTS ENVIRONNEMENT

DE TEST 60

8 LES TESTS EFFECTUES 65

CONCLUSION ET PERSPECTIVES 81

Bibliographie 82

A Les fichiers de configuration de IPsec-tools et de Racoon 85 B Les fichiers d’installation de Racoon 87 C Les tables Filter et NAT du firewall après la configuration 89

Table des matières 102

Réalisé par Henoc YATAKPO iii

A

- mon père Vincent YATAKPO, pour son soutien ;

- ma mère Pascaline ODJEGNIDE, pour tous ses sacrifices ; - tous mes frères et sœurs ;

REMERCIEMENTS

Nos reconnaissances vont à l’endroit de l’Eternel pour sa grâce, son amour et sa protection sans fin.

Nous voudrions également remercier :

- le Pr. Félicien AVLESSI, Directeur de L’Ecole Polytechnique d’Abomey- Calavi (EPAC) et tout le personnel administratif ;

- le Pr. Marc ASSOGBA, Chef du Département de Génie Informatique et Télécommunications ;

- le Dr. Michel DOSSOU, maître de ce mémoire, qui a eu la bienveillance de nous permettre de travailler sous sa direction sur le présent travail ; - le lieutenant Rodrigue ALAHASSA pour ses conseils ;

- le lieutenant Gil-christ AFOMASSE ; - tous les enseignants de l’EPAC ; - tous mes amis.

v

- ADSL : Asymmetric Digital Subscriber Line - AES : Advanced Encryption Standard

- AH : Authentication Header

- ATM : Asynchronous Transfer Mode - DNS : Domain Name Server

- ESP : Encapsulating Security Payload - GRE : Generic Routing Encapsulation

- HMAC : Hash Message Authentication Code - IDS : Intrusion Detection System

- IETF : Internet Engineering Task Force - IP : Internet Protocol

- IPsec : Internet Protocol Security - IPS : Intrusion Prevention System

- ISAKMP : Internet Security Association and Key Management Protocol - LAN : Local Area Network

- L2F : Layer 2 Forwarding

- L2TP : Layer 2 Tunneling Protocol - MD5 : Message Digest 5

Liste des sigles et abréviations

- MPLS : MultiProtocol Label Switching - NMap : Network Mapper

- PING : Packet INternet Groper - POP : Point Of Presence

- PPP : Point to Point Protocol

- PPTP : Point to Point Tunneling Protocol - RFC : Request For Comments

- SAD : Security Association Database - SDSL : Symmetric Digital Subscriber Line - SHA : Secure Hash Algorithm

- SPD : Security Policy Database - SPI : Security Parameter Index - SSH : Secure SHell

- SSL : Secure Socket Layer

- TCP : Transmission Control Protocol - UDP : User Datagram Protocol

Réalisé par Henoc YATAKPO vii

1.1 Encapsulation d’un paquet IP privé dans un paquet IP public

[2]. . . 7

1.2 VPN site à site reliant deux sites d’une même entreprise. . . . 9

1.3 VPN poste à site reliant un utilisateur distant et le site de l’entreprise. . . 11

2.1 En-tête AH [2]. . . 20

2.2 Présentation du contenu d’un paquet ESP [2]. . . 22

3.1 Les différents modes d’utilisation des firewalls [19]. . . 28

4.1 En-tête ISAKMP [1]. . . 38

4.2 En-tête des charges dans un datagramme ISAKMP [1]. . . 38

4.3 Structure complète d’un datagramme ISAKMP [1]. . . 39

6.1 Positionnement de Snort avant le firewall. . . 56

6.2 Positionnement de Snort entre le firewall et les postes du réseau. 57 6.3 Positionnement de Snort à l’intérieur du réseau. . . 57

7.1 Architecture du réseau VPN déployé entre le LAN1 (ESPACE) et le LAN2 (EMG) du camp Guézo. . . 60

7.2 Architecture du réseau VPN avec l’IDS Snort. . . 64

TABLE DES FIGURES

8.1 Ping de 10.143.7.20 vers 192.168.1.2(VPN.local). . . 65

8.2 Ping de 192.168.1.2 (VPN.local) vers 10.143.7.20. . . 66

8.3 SSH de 10.143.7.20 vers 192.168.1.2 (VPN.local). . . 66

8.4 Contenu de la SAD. . . 67

8.5 Ping de 192.168.1.2 (VPN.local) vers 10.143.7.22 capturé par tcpdump. . . 68

8.6 Architecture de test avec Snort. . . 69

8.7 Présentation de la console Metasploit. . . 70

8.8 Lancement de Snort en ligne de commande. . . 71

8.9 Scan de port TCP sur la machine 10.143.7.2. . . 72

8.10 Notification des alertes au niveau de la console. . . 73

8.11 Contenu du fichier Alert. . . 74

8.12 Contenu du fichier tcpdump.log. . . 75

8.13 Attaque MS12_020 due au protocole RDP. . . 75

8.14 Alerte due à l’exploit MS12_020. . . 76

8.15 Contenu du fichier tcpdump.log. . . 77

8.16 Interface de la machine redémarrée avec MS12_020. . . 78

8.17 Connexion TCP. . . 78

8.18 Alert due au TCP SYN FLOOD. . . 79

A.1 Les fichiers de configuration de Racoon . . . 85

A.2 Les fichiers de configuration de IPsec-tools . . . 86

B.1 Fichier 1 d’installation de Racoon . . . 87

B.2 Fichier 2 d’installation de Racoon . . . 88

C.1 Les tables Filter avant la configuration . . . 89

C.2 Les tables Filter après la configuration . . . 90

C.3 Les tables NAT après la configuration . . . 91

Réalisé par Henoc YATAKPO ix

1.1 Comparaison des différents types de VPN d’entreprise. . . . 16

2.1 Différences et similitudes entre les protocoles utilisés dans le VPN. . . 24

3.1 Caractéristiques des IDS usuels. . . 30

3.2 Caractéristiques des HIDS usuels. . . 31

3.3 Etude comparative des NIDS ET HIDS. . . 31

4.1 Caractéristiques des systèmes et logiciels permettant la réali- sation d’un VPN. . . 41

4.2 Synthèse des outils utilisés. . . 44

7.1 Caractéristiques des différents serveurs utilisés. . . 61

C.1 Comparative table of usual IDS. . . 98

Résumé

Les réseaux VPN sont confrontés à certains problèmes de sécurité. Pour notre étude, nous avons d’abord déployé le réseau VPN avec IPsec entre deux réseaux LAN. Ensuite nous avons mis en place un pare-feu qui permet de contrôler les différents paquets entrant et sortant des différents réseaux et les protocoles et applications utilisés. Sur ce réseau, nous avons utilisé Metasploit pour exploiter les différentes failles des protocoles et sytèmes d’exploitation utilisés dans ce réseau. Ce qui nous a permis de prendre le contrôle d’un serveur SSH distant par une attaque par dictionnaire, de ralentir certains serveurs avec le TCP SYN FLOOD et même de les mettre momentanément hors service. Enfin nous avons mis en place sur le réseau VPN le système de détection d’intrusion Snort et puis nous avons généré les mêmes attaques.

Suite à ces attaques, le système de détection d’intrusion Snort a généré pour chaque attaque une alerte qui est enregistrée dans un fichier d’alerte. Il a éga- lement enregistré les adresses IP source et destination des différents postes impliqués dans l’attaque ainsi que les numéros de port des applications utili- sées pour générer cette attaque dans un fichier de log. Ces différents résultats ont permis de détecter les différents types d’attaques générés ainsi que la source de ces attaques.

Mots clés : Réseaux, Sécurité, VPN, Tunneling

xi

VPN networks are confronted with certain safety problems. In our study, we initially deployed VPN network with IPsec between two LAN (Local Area Network). Then we set up a firewall which allow to control entering and out- going packages of the various networks and used protocols and applications.

On this network, we used Metasploit to exploit various protocols and opera- ting system faults. What enabled us to take the control of SSH server by an attack by dictionary, to slow down certain servers with TCP SYN FLOOD and to even put them temporarily except service. Finally we set up on VPN Snort, the intrusion detection system and then we have to generate the same attacks. Following these attacks, intrusion detection system (Snort) generated for each intusion an alarm which is recorded in an alarm file. It also has recor- ded the IP addresses source and destination of the various implied stations in the attack as well as the applications numbers of port used to generate this attack in a file of log. These various results allowed to detect the various types of attacks generated as well as the source of these attacks.

keywords : Network, Security, VPN, Tunneling

INTRODUCTION GENERALE

Les réseaux locaux d’entreprise sont des réseaux internes à une organisa- tion, c’est-à-dire que les liaisons entre machines appartiennent à l’organisa- tion [3]. Ces réseaux sont de plus en plus reliés à Internet par l’intermédiaire d’équipements d’interconnexion. Il arrive ainsi souvent que des entreprises éprouvent le besoin de communiquer avec des filiales, des clients ou même du personnel géographiquement éloignés via Internet. Les données transmises sur Internet sont beaucoup plus vulnérables que lorsqu’elles circulent sur un réseau interne à une organisation car le chemin emprunté n’est pas défini à l’avance, ce qui signifie que les données empruntent une infrastructure réseau publique appartenant à différents opérateurs. Ainsi il n’est pas impossible que sur le chemin parcouru, le réseau soit écouté par un utilisateur malveillant.

Il n’est donc pas concevable de transmettre dans de telles conditions des in- formations sensibles pour l’organisation ou l’entreprise. La première solution pour répondre à ce besoin de communication sécurisée consiste à relier les réseaux distants à l’aide de liaisons spécialisées. Toutefois la plupart des en- treprises ne pouvant pas se permettre de relier deux réseaux locaux distants par une ligne spécialisée à cause du coût élevé de sa réalisation [6], il est parfois nécessaire de transmettre les données par Internet. Si la flexibilité de déploiement, la couverture mondiale et le faible coût d’utilisation sont au- tant de qualités ayant imposé ce choix, il n’en demeure pas moins que ce

1

réseau est ouvert à tout type d’attaques. De nombreuses technologies ont vu le jour afin de proposer des solutions de sécurité. Parmi celles-ci se trouvent les réseaux virtuels privés (VPN) qui reposent sur un protocole appelé proto- cole de tunneling qui est un ensemble d’encapsulation, de transmission et de désencapsulation. Ce protocole consiste à construire un chemin virtuel entre l’émetteur et le destinataire par lequel transitent les informations chiffrées par la source. Cette technologie permet de faire circuler les informations de l’entreprise d’un bout à l’autre du tunnel ainsi les utilisateurs ont l’impres- sion de se connecter directement sur le réseau de leur entreprise. Cependant le réseau VPN n’est pas épargné de certaines attaques à savoir les dénis de service, l’usurpation d’identité, etc.

La présente étude vise à identifier les différentes failles et à détecter les intrusions dans les réseaux VPN. La première partie de ce mémoire fera l’état de l’art des techniques de sécurité des réseaux, donnera une vue générale sur les réseaux VPN et proposera des techniques de sécurité. La seconde partie consistera à déployer un réseau VPN à l’intérieur du camp Guézo et à mettre en place sur ce réseau les techniques de sécurité choisies. La troisième partie sera consacrée à la présentation des résultats obtenus. Enfin nous finirons par une conclusion en donnant quelques perspectives en vue de l’amélioration du présent travail.

Contexte, justification et problématique

La quête d’un réseau sécurisé et performant, utilisant des ressources pu- bliques moins coûteuses notamment l’Internet, a poussé les entreprises à l’uti- lisation de la technologie VPN.

Bien qu’un accent particulier ait été mis sur le développement logiciel dans l’implémentation des VPN, les informations en entreprise ne sont pas encore

INTRODUCTION GENERALE

aussi sécurisées qu’il le faut. En fait, une entreprise peut utiliser le VPN pour communiquer avec ses clients et ses partenaires. Elle ouvre alors son réseau local à ces derniers et par ricochet peut être exposée aux attaques. Dans ce cadre, il est fondamental que l’administrateur du VPN puisse suivre les clients sur le réseau et gérer les droits de chacun sur celui-ci.

Ainsi le renforcement de la sécurité dans les échanges des données, la su- pervision du trafic entrant et sortant du réseau et la détection des tentatives d’intrusion imposent l’amélioration des techniques et protocoles de sécurité utilisés dans ces réseaux. A cet effet, d’autres aspects de sécurité doivent être étudiés au sein des entreprises afin de trouver les moyens d’améliorer la qualité de sécurité.

Objectifs

L’objectif de ce présent travail est d’étudier et d’analyser les différents aspects à savoir l’implémentation, la politique et l’organisation des réseaux VPN au sein de l’entreprise afin d’identifier et de sélectionner les systèmes et protocoles pour assurer :

- l’intégrité, c’est-à-dire garantir que les données sont bien celles que l’on croit être ;

- la confidentialité, consistant à rendre secrètes les données échangées ; - la disponibilité, permettant de maintenir le bon fonctionnement du sys-

tème d’information ;

- la non répudiation, permettant de garantir qu’une transaction ne peut être niée ;

- l’authentification, consistant à assurer que seules les personnes autorisées aient accès aux ressources.

Ainsi, il s’agit de garantir au sein des réseaux VPN les droits d’accès aux données et ressources d’un système en mettant en place des mécanismes d’au-

Réalisé par Henoc YATAKPO 3

thentification et de contrôle permettant d’assurer que les utilisateurs de ces ressources possèdent uniquement les droits qui leur ont été octroyés.

Première partie

ETAT DE L’ART SUR LA SECURITE DES RESEAUX VPN

5

1

PRESENTATION DES RESEAUX VPN

1.1 FONCTIONNEMENT DU VPN

Un VPN est un tunnel sécurisé permettant la communication entre deux entités y compris au travers de réseaux peu sûrs comme peut l’être le ré- seau Internet [2]. Il peut être encore défini comme l’ensemble des techniques permettant d’étendre le réseau de l’entreprise en préservant la confidentialité des données et en traversant les barrières physiques des réseaux traditionnels (Virtuel) [4].

Il nous faut d’abord revenir sur la notion de tunnel. Pour présenter les choses simplement, nous pouvons faire une analogie avec un sac de courrier partant d’un site A pour un autre site B. Le service courrier du site A a rassemblé dans ce sac tous les colis ou lettres provenant des services du site A de l’entreprise à destination des services du site B. Il a ensuite indiqué à l’extérieur du sac l’adresse du site B. Le coursier prend ensuite en charge ce sac pour le déposer au service courrier du site B. Ce dernier ouvre le sac et peut ensuite distribuer dans les différents services locaux les plis en fonction des destinataires indiqués sur chacun d’eux. Un tunnel fait à peu près la même chose : des paquets IP avec des adresses internes (par exemple 10.1.x.y) sont confiés à un équipement tel qu’un routeur ou un parefeu. Celui-ci les envoie sur un canal souvent public (tel qu’Internet) à l’extrémité distante.

CHAPITRE 1. PRESENTATION DES RESEAUX VPN

Pour cela les paquets internes sont encapsulés dans des paquets IP avec les adresses IP publiques (par exemple 198.18.x.y) des extrémités destinataires et sources. L’équipement distant désencapsule chaque paquet pour remettre sur le réseau des paquets dotés seulement des adresses locales de la source et de la destination.

La figure 1.1 résume de façon simplifiée l’opération d’encapsulation [2].

Certains, dont le consortium VPNC (Virtual Private Networking Consor-

Figure1.1 – Encapsulation d’un paquet IP privé dans un paquet IP public [2].

tium)¹, font en fait la distinction entre Secure VPN et Trusted VPN pour présenter les deux cas de figure. Un Secure VPN est un VPN avec de fortes fonctionnalités de sécurité car il est bâti à travers Internet. Le Trusted VPN fait souvent l’impasse sur ces fonctionnalités car le réseau interne de l’opéra- teur qui offre le service VPN est considéré comme suffisamment sûr, ce qui permet de privilégier les performances de routages et de qualité de services (QoS (quality Of Service)).

1. www.vpnc.org consulté le 03 novembre 2014 à 15h

Réalisé par Henoc YATAKPO 7

Dans notre étude, nous nous intéresserons essentiellement aux Secure VPN puisque ce sont eux que nous aurons généralement à bâtir ou à gérer. En effet les Trusted VPN sont, pour la quasi-totalité, uniquement du ressort des fournisseurs d’accès internet.

1.2 Typologie des VPN

Selon l’entité disposant de la maîtrise du ou des VPN, nous pouvons dis- tinguer deux grandes catégories de VPN : le VPN d’entreprise et le VPN d’opérateur [2]. Chacune d’entre elles présente ses avantages et inconvénients et elles ne sont pas exclusives l’une de l’autre puisqu’il n’est pas rare de trou- ver les deux présentes simultanément au sein d’une même entreprise.

1.2.1 VPN d’entreprise

Dans ce cas, l’entreprise garde le contrôle de l’établissement des VPN entre ses différents points de présence ainsi qu’entre ses postes situés à l’extérieur de l’entreprise et les sites principaux.

VPN site à site

Le VPN site à site consiste à relier deux sites d’une même entreprise ou bien le site d’une entreprise et celui d’un fournisseur, d’un prestataire ou d’un client. Mais il faut également que tout ou partie des machines des deux réseaux puissent communiquer avec celles du réseau distant en utilisant les adresses privées de chaque réseau.

Généralement ce type de VPN est mis en place par l’interconnexion de deux éléments matériels (routeurs ou pare-feu) situés à la frontière entre le réseau interne et le réseau public de chaque site. Ce sont ces matériels qui prennent en charge le cryptage, l’authentification et le routage des paquets.

CHAPITRE 1. PRESENTATION DES RESEAUX VPN

Cette configuration présente plusieurs avantages au nombre desquels nous pouvons citer :

- la transparence pour les postes des réseaux puisque tout le VPN est pris en charge par les matériels ;

- la possibilité d’atteindre par le VPN des équipements ne pouvant ac- cueillir des clients VPN comme les imprimantes, des onduleurs ;

- le cryptage est souvent pris en charge par des processeurs spécialisés, ce qui améliore notablement des performances ;

- aucun impact sur les performances des postes puisque ceux-ci ne font pas de cryptage ;

- une très grande facilité pour contrôler le trafic autorisé ; - la possibilité d’initier les VPN d’un côté ou de l’autre.

Mais cette solution présente aussi quelques limites ou contraintes au nombre desquelles nous pouvons citer :

- la nécessité de bien limiter le trafic entre les deux sites au strict nécessaire à la fois pour des questions de sécurité mais aussi de gestion de la bande passante ;

- l’absence de protection des données entre les postes et les firewalls ou les routeurs puisque le tunnel (et donc le VPN) n’est établi qu’entre les deux firewalls ou routeurs.

La figure 1.2 montre comment ce type de VPN peut être representé².

Figure1.2 – VPN site à site reliant deux sites d’une même entreprise.

2. http ://commentcamarche.net consulté le 9 novembre 2014 à 9h

Réalisé par Henoc YATAKPO 9

VPN poste à site

Ce type de VPN est également d’une utilisation très fréquente. Il permet à des utilisateurs distants (nomades, travailleurs à domicile, commerciaux) d’accéder aux ressources de l’entreprise via VPN.

Pour construire cette solution, il faut sur le site central un matériel (firewall, routeur, concentrateur SSL) constituant le point de terminaison de tous les VPN côté central. Du côté des postes de travail distants, il faut un logiciel gérant le type de protocole choisi et compatible avec le matériel du site central.

Dans certains cas, ce logiciel est déjà présent dans le système d’exploitation de ces postes. Dans d’autres cas, il est nécessaire d’installer ce composant logiciel.

Nous pouvons ici aussi trouver des avantages à cette configuration :

- potentiellement l’accès du nomade peut se faire de n’importe quel point de la planète doté d’un accès Internet.

- la protection est totale du poste distant au site central.

Nous pouvons néanmoins lui reprocher quelques inconvénients :

- une installation logicielle est généralement nécessaire sur le poste distant.

- le cryptage impose une charge non négligeable au poste distant, ce qui peut en dégrader les performances.

- les protocoles utilisés pour le VPN doivent pouvoir traverser le firewall du réseau sur lequel est branché le poste distant. En effet, à l’exception des VPN SSL, les tunnels sont généralement établis à l’aide de ports ou de protocoles différents des ports classiquement autorisés (80,21,443) et ces ports spécifiques sont souvent interdits par l’administrateur réseau.

- le logiciel de VPN installé est souvent lié à la marque de l’équipement im- planté sur le site central, ce qui peut poser un souci quand le nomade doit accéder à des sites multiples dotés d’équipements de marques différentes.

CHAPITRE 1. PRESENTATION DES RESEAUX VPN

En effet, il est toujours délicat et parfois très nuisible d’installer plusieurs clients VPN de marques différentes (cas typique du client IPsec), ce qui impose de se procurer un client générique.

- le cryptage n’est pas assuré au-delà du firewall du site central.

- en cas de vol du poste distant (risque particulièrement élevé pour les portables) il y a un risque que le VPN puisse être utilisé par le malfaiteur si des mesures appropriées ne sont pas prises rapidement (désactivation du compte ou du certificat) ou si une authentification forte (avec donc un mot de passe à usage unique) n’est pas systématiquement utilisée pour les accès les plus sensibles.

La figure 1.3 ci-contre montre ce type de VPN³.

Figure1.3 – VPN poste à site reliant un utilisateur distant et le site de l’entreprise.

VPN poste à poste

Dans ce dernier cas, l’objectif est d’établir un canal sécurisé de bout en bout entre deux postes ou, plus couramment entre un poste et un serveur. Le poste et le serveur peuvent être situés sur le même réseau ou sur deux réseaux distants reliés eux-mêmes par un VPN site à site.

Ici n’interviennent que des composants logiciels : un logiciel client sur le poste demandeur et un logiciel utilisé en serveur sur le poste destinataire.

3. http ://commentcamarche.net consulté le 10 novembre 2014 à 8h

Réalisé par Henoc YATAKPO 11

Le principal intérêt de cette solution est que la conversation entre les deux postes est parfaitement protégée de bout en bout. C’est donc une très bonne option pour les communications les plus sensibles.

Par contre, elle présente de nombreux inconvénients :

- le cryptage est uniquement logiciel d’où un possible impact sur les per- formances en cas de fort débit, notamment quand les deux extrémités sont sur le même réseau local.

- elle est inapplicable pour atteindre des matériels peu intelligents.

Avantages et inconvénients du VPN d’entreprise

Les principaux avantages de cette solution sont :

- une indépendance quasi-totale vis-à-vis des opérateurs, ce qui fait que la solution peut être bâtie avec des opérateurs différents selon les sites et leur éligibilité ;

- pas de frais mensuels autres que ceux de l’abonnement Internet servant de support à ces VPN ;

- une grande souplesse pour déplacer les tunnels, en changer les périmètres ou contrôler le trafic y circulant ;

- maîtrise des protocoles de sécurité (authentification, cryptage, filtrage) ; - possibilité notamment pour les nomades, d’associer de l’authentification forte facilement, en conservant toute latitude dans le choix de la solution ; - capacité de mise en place de VPN pour un faible usage (connexion oc- casionnelle d’un prestataire par exemple) sans que cela n’augmente le montant mensuel du budget télécom.

Mais il a évidemment quelques inconvénients ou limites :

- adresses IP fixes recommandées, même si tous les matériels et toutes les topologies ne les requièrent pas, au moins pour les sites principaux ; - besoin de compétences internes (ou prestations d’un intervenant) pour

CHAPITRE 1. PRESENTATION DES RESEAUX VPN

bâtir le VPN ;

- aucune garantie de temps de rétablissement en cas de défaillance ;

- aucune garantie de performances puisque ces VPN ont pour support un lien Internet.

1.2.2 VPN opérateur

Lorsqu’il s’agit d’interconnecter plusieurs sites d’une même entreprise avec des engagements de performances et de disponibilité, il est plus judicieux, mais évidemment plus coûteux, de faire appel à un opérateur qui va donc mettre en place un réseau privatif entre tous les sites. Comme nous allons le voir, ce réseau tient plus d’un réseau de tunnels que d’un véritable réseau VPN mais il est assez courant de parler quand même d’un VPN opérateur car il est quand même difficile, sans la complicité du personnel de l’opérateur, d’intercepter les communications échangées entre les sites. Ils font donc plutôt partie des Trusted VPN.

Caractéritiques du VPN opérateur site à site

Chaque site est relié au POP (Point Of Presence) le plus proche avec le media souhaité (ADSL, SDSL, fibre optique, réseau hertzien) et un routeur complètement contrôlé par l’opérateur. Ensuite l’opérateur établit des tunnels ou des circuits privatifs entre les différents sites au moyen des différents liens interconnectant ses POP. La technologie pour ce faire varie en fonction des avancées technologiques et c’est ainsi qu’il y a eu passage des réseaux en Frame-Relay aux réseaux MPLS (MultiProtocol Label Switching) qui sont maintenant les plus courants dans ce cadre-là.

Selon le désir du client et les possibilités techniques ou budgétaires, ce réseau privatif peut être bâti avec différentes topologies :

Réalisé par Henoc YATAKPO 13

- tous les sites secondaires convergent vers le site central et c’est celui-ci qui fait le relais : technologique en hub (en étoile).

- tous les sites peuvent communiquer directement entre eux : full mesh ou maillage complet

- les sites les plus importants peuvent communiquer entre eux et les secon- daires passent obligatoirement par un des sites principaux.

L’opérateur supervise la totalité du réseau et peut affecter des classes de service selon le type de trafic, ce qui permet de rendre prioritaires certains flux.

Avantages et inconvénients du VPN opérateur

Les principaux avantages de ce type de réseau sont : - une transparence totale vis-à-vis des postes du réseau,

- une assurance sur les performances proposées par le réseau aussi bien en terme de débit que de temps de transit des messages,

- une possibilité de mettre en place de la QoS (quality Of Service) pour privilégier les trafics les plus prioritaires et garantir à ceux-ci un minimum de bande passante,

- aucune compétence à développer, en interne en matière de VPN,

- des possibilités de pro-activité de l’opérateur en cas d’incidents sur des liens.

Il y a néanmoins quelques points que nous pouvons considérer comme des inconvénients ou des limites de ce type de solution :

- le coût engendré par l’abonnement de chaque site à ce réseau opérateur, - les contraintes contractuelles en cas de besoin de débit différent ou d’aug-

mentation/réduction du nombre de sites,

- la nécessité d’avoir un opérateur unique pour l’ensemble du réseau mis en VPN,

- si nous voulons être certains que les messages échangés dans ce réseau

CHAPITRE 1. PRESENTATION DES RESEAUX VPN

privatif ne puissent être capturés, nous devons ajouter (ou demander à l’opérateur de le faire) un protocole de cryptage (tel qu’IPsec) entre les stations ou entre les sites.

VPN nomade à réseau

En complément des VPN site à site mis en place par son opérateur, l’en- treprise souhaite souvent permettre à ses collaborateurs de se connecter au réseau interne depuis l’extérieur. Dans ce cas, le nomade utilise une connexion généralement en ADSL ou 3G pour appeler une passerelle de l’opérateur. En- suite, après une authentification plus ou moins forte, il se voit doté d’une adresse IP interne et autorisé à se connecter aux réseaux de l’entreprise.

Cette solution, aussi séduisante qu’elle soit, présente néanmoins quelques in- convénients :

- son coût car elle est souvent synonyme d’abonnement mensuel pour chaque nomade potentiel, ce qui peut être rapidement un frein s’il existe beaucoup de nomades avec un faible taux d’utilisation.

- au-delà d’un certain nombre de nomades, l’entreprise doit souvent louer aussi une passerelle dédiée, ce qui induit un surcoût significatif.

- il y a peu de filtrage entre les nomades et le réseau de l’entreprise, ce qui rend plus difficile la sécurisation de ces accès, d’autant plus que l’authen- tification est souvent basée sur des mots de passe statiques, un malveillant peut assez facilement capturer sur le poste ou par l’examen attentif des frappes clavier, les mots de passe.

Le tableau ci-dessous fait une étude comparative des différents types de VPN d’entreprise.

Réalisé par Henoc YATAKPO 15

Tableau 1.1 – Comparaison des différents types de VPN d’entreprise.

VPN site à site VPN poste à site VPN poste à poste Transparence des

postes dans le réseau

Oui Non Non

Performance Bonne Moyenne Faible

Possibilité d’at- teindre des équipe- ments ne pouvant accueillir de clients VPN

Oui Oui Non

Facilité de contrôle du trafic

Oui Non Non

Initiation de la connexion VPN d’un côté ou de l’autre

Oui Non Non

Mobilité de l’hôte Non Oui Oui

Facilité de déploie- ment

Oui Oui Oui

Maîtrise des pro- tocoles de sécurité (authentification, cryptage)

Oui Oui Oui

Coût de déploie- ment

Elevé Moyen Faible

2

PROTOCOLES DE SECURITE UTILISES DANS LES RESEAUX VPN

Les réseaux privés virtuels reposent sur les protocoles de tunneling. Ces protocoles permettent aux données de passer d’une extrémité du réseau VPN à l’autre. Au nombre de ces protocoles nous pouvons citer : le protocole PPTP (Point to Point Tunneling Protocol), L2F (Layer 2 Forwarding), IPsec (Internet Protocol Security), SSH (Secure SHell), SSL (Secure Sockets Layer) et TLS (Transport Layer Security).

2.1 PPTP (Point to Point Tunneling Protocol)

Le protocole PPTP est un protocole de la couche 2 du modèle OSI basé sur le protocole PPP (Point to Point Protocol) qui permet le multiplexage de différentes connexions protocolaires au niveau réseau simultanées sur la même liaison physique [10]. Cette encapsulation a été conçue dans l’exigence d’une excellente compatibilité avec une plus grande variété de matériels [17].

Pour fonctionner, le protocole PPTP établit deux connexions [2] : - une connexion de contrôle TCP sur le port 1723

- une connexion PPP transportant les données à l’intérieur de paquets GRE (Generic Routing Encapsulation).

17

La connexion de contrôle TCP est établie entre les deux extrémités et facilite l’échange des messages permettant d’initier les sessions, de les terminer mais aussi de détecter une perte de connexion au moyen de messages « keep-alive ».

La chronologie d’une session PPTP est la suivante :

- l’une des extrémités envoie le message suivant Start-Control-Connection- Request pour demander la création d’un canal de contrôle, en indiquant sa possibilité, notamment le nombre de canaux supportés.

- l’autre extrémité répond par un Start-Control-Connection-Reply pour indiquer son acceptation ou son refus, ainsi que ses propres possibilités.

- si cette première phase est réussie, il y a création du tunnel PPTP par l’intermédiaire de messages Incoming-Call-Connected ou Outgoing-Call- Request selon le type de la demande. Ce tunnel est en fait une connexion PPP qui va véritablement transporter les données.

- si l’une des extrémités veut rompre la session, elle peut envoyer un mes- sage Call-Clear-Request, auquel le client répondra par un Call-Disconnect -Notify.

Le protocole GRE quant à lui est un protocole de mise en tunnel développé par Cisco [2]. Il permet d’encapsuler une large gamme de paquets de différents protocoles dans des paquets GRE.

Nous notons qu’à aucun moment, le protocole PPTP ne fait référence aux notions d’authentification et de cryptage. Nous pouvons en déduire que ce protocole est plus un protocole de tunnel que de VPN. Pour ce faire, PPTP fait appel aux protocoles MPPE (Microsoft Point to Point Encryption) pour le cryptage et MS-CHAP (Microsoft Challenge Handshake Protocol) pour l’authentification. Par contre, les protocoles MS-CHAP et MPPE sont sou- vent considérés comme peu recommandables par les experts [2]. Un autre problème est qu’il n’existe pas d’authentification paquet par paquet des don-

CHAPITRE 2. PROTOCOLES DE SECURITE UTILISES DANS LES RESEAUX VPN

nées échangées. Il est alors souvent possible de permuter des bits, même dans un paquet crypté, sans que cela ne puisse être détecté [2].

Ces différentes limitations et faiblesses font que les versions récentes de nombreux pare-feu ne comportent même plus ce protocole en tant que pro- tocole du VPN.

2.2 L2F (Layer 2 Forwarding)

Ce protocole a été développé par Cisco autour des années 1996. L’IETF (Internet Engineering Task Force) en a fait un standard en 1998 avec la RFC (Request For Comments) 2341. Son fonctionnement est voisin du PPTP.

2.3 L2TP (Layer 2 Tunneling Protocol)

L2TP, définit par la RFC, est issu de convergence des protocoles PPTP et L2F. Il est actuellement développé et évalué conjointement par cisco sys- tems, Microsoft, Ascend, 3com ainsi que d’autres acteurs clés du marché des réseaux. Il permet l’encapsulation des paquets PPP au niveau des couches 2 (Frame Relay et ATM) et 3 (IP). Lorsqu’il est configuré pour transpor- ter les données sur IP, L2TP peut être utilisé pour faire du tunneling sur Internet. L2TP repose sur deux concepts : les concentrateurs d’accès L2TP et les serveurs réseau L2TP. L2TP n’intègre pas directement de protocole pour le chiffrement des données. C’est pourquoi l’IETF préconise l’utilisation conjointe d’IPsec et de L2TP.

2.4 MPLS (MultiProtocol Label Switching)

Le protocle MPLS est souvent considéré comme situé dans un niveau inter- médiaire entre le niveau 2 et le niveau 3. C’est pourquoi on lui affecte souvent un niveau hybride 2.5 qui n’existait pas dans les couches OSI traditionnelles.

Réalisé par Henoc YATAKPO 19

Son placement en tant que protocole de VPN peut être contesté lorsqu’il est utilisé dans ses fonctions de base [16]. En effet, il ne met pas en œuvre cer- taines fonctions de sécurité telles que le cryptage, ce qui est en principe un pré-requis pour le VPN.

2.5 IPsec (Internet Protocol Security)

Le protocole IPv4 est non sécurisé à l’origine. Afin de remédier à ce pro- blème de sécurité, l’organisation IETF a rédigé la RFC 2401, abordant le problème de la sécurité sur un réseau IP en 1998. Ce protocole très popu- laire est l’un des plus robustes mais il est aussi un des plus complexes [2]. Le protocole IPSec peut être utilisé en deux modes : mode transport et mode tunnel. Le mode tunnel est le plus courant actuellement pour un VPN site à site. Plusieurs protocoles peuvent intervenir pour assurer la confidentialité et l’intégrité des données dans le protocole IPsec. Nous avons le choix entre AH (Authentication Header) et ESP (Encapsulating Security Payload).

2.5.1 AH (Authentication Header)

Le protocole AH comme son nom l’indique s’occupe de l’authentification et de l’intégrité des données. Il se base sur les algorithmes HMAC-MD5 ou HMAC-SHA pour le contrôle.

La figure 2.1 présente les différents champs d’un en-tête AH :

Figure2.1 – En-tête AH [2].

CHAPITRE 2. PROTOCOLES DE SECURITE UTILISES DANS LES RESEAUX VPN

- Next Header : indique le numéro du protocole contenu dans la charge située immédiatement après l’en-tête AH. Dans le mode tunnel, c’est IPv4 (donc une valeur de 4) ou IPv6 (valeur 41).

- Payload length : représente la taille de l’en-tête AH.

- SPI (Security Parameter Index) : numéro de sécurité défini dans la base SPD (Security Policy Database).

- Sequence Number : ce compteur permet de détecter des paquets qui seraient rejoués après avoir été enregistrés (mais pas obligatoirement dé- codés). Il est incrémenté de 1 à chaque envoi par l’émetteur.

- Authentication Data : ces données permettent d’assurer que la trame est authentique et non altérée.

Le protocole AH est un peu léger car il ne chiffre pas les données. Néanmoins, il est possible de l’utiliser en combinaison avec ESP si la confidentialité des don- nées échangées est primordiale. Par contre, il est généralement considéré que son inconvénient majeur est l’authentification qui recouvre la quasi-totalité du paquet dont les adresses IP. Or, quand celui-ci franchit des routeurs mettant en œuvre une translation d’adresses, les adresses IP du paquet vont changer sans que pour autant les valeurs des données d’authentification soient recti- fiées en conséquence. Cela va provoquer une incohérence quand le destinataire va vouloir valider le paquet en réception et donc entraîner un rejet de celui-ci, d’où une incompatibilité entre AH et NAT (Network Address Translation).

2.5.2 ESP (Encapsulating Security Payload)

Le protocole ESP permet d’assurer la confidentialité des données. Ce pro- tocole a été défini dans la RFC 4303.

La figure 2.2 présente le contenu d’un paquet ESP :

- SPI (Security Parameter Index) : numéro d’index dans la base SPD dé- crite plus loin, ce numéro permet de relier le paquet à une association de

Réalisé par Henoc YATAKPO 21

Figure2.2 – Présentation du contenu d’un paquet ESP [2].

sécurité (SA).

- Sequence Number : ce compteur permet de détecter des paquets qui seraient rejoués après avoir été enregistrés (mais pas obligatoirement dé- codés). Il est incrémenté de 1 à chaque envoi par l’émetteur.

- Payload : contient les données utilisateur à véhiculer dans le VPN.

- Padding (Bourrage) : permet d’aligner les blocs à crypter, ce qui est parfois requis par quelques algorithmes de cryptage employés dans ESP.

- Padding length : indique la taille de la zone de bourrage.

- Next Header : indique le protocole contenu dans les données protégées.

- Authentication Data : ces données permettent d’assurer que la trame est authentique et non altérée.

2.6 SSH (Secure Shell)

SSH sécurise la connexion depuis l’ordinateur local jusqu’au serveur distant en établissant une connexion cryptée [20]. Ce protocole était souvent utilisé pour protéger des communications de type console (équivalent Telnet) ou

CHAPITRE 2. PROTOCOLES DE SECURITE UTILISES DANS LES RESEAUX VPN

transfert de fichiers (de type FTP) notamment. Son essor est limité à la fois par le succès grandissant de SSL/TLS et par son champ d’application plus restreint.

2.7 SSL/TLS

SSL (Secure Sockets Layer) et TLS (Transport Layer Security) sont deux variantes d’un même protocole. Leur objectif est de fournir un certain nombre de services pour sécuriser un canal de communication :

- authentification unilatérale ou mutuelle ;

- confidentialité des données échangées de bout en bout ; - intégrité des données de bout en bout.

Cette couche de sécurité peut être appliquée à tout type de canal de com- munication entre deux parties garantissant la transmission des données de façon ordonnée. Ces protocoles sont en plein essor car ils sont très simples à mettre en œuvre et utilisent le port 443, ce qui facilite le franchissement des firewalls. Dans un certain nombre de cas, ils ne nécessitent qu’un simple navigateur pour être utilisables.

Le tableau 2.1 fait une étude comparative des protocoles de tunneling les plus utilisés dans les réseaux VPN.

Réalisé par Henoc YATAKPO 23

Tableau 2.1 – Différences et similitudes entre les protocoles utilisés dans le VPN.

PPTP L2F L2TP MPLS IPsec SSL /TLS

Le fournisseur d’accès Internet de l’utilisateur ou du site distant doit être impliqué dans la négociation du VPN

Non Oui Oui Oui Non Non

Protocole d’encap- sulation

GRE IP, X25,

Frame relay, ATM

IP, X25, Frame relay, ATM

IP, X25, Frame relay, ATM

IP(AH OU ESP)

IP

Authentification des machines

Oui Oui Oui Oui Oui Oui

confidentialité (cryptage)

Oui Oui Oui Oui Oui Oui

Intégrité Non Non Non Non Oui Oui

Adapté pour VPN site à site

Moyen Oui Oui Oui Oui Oui

3

LES TECHNIQUES DE SECURITE UTILISEES DANS LES RESEAUX

Chaque ordinateur connecté à Internet est susceptible d’être victime d’une attaque d’un pirate informatique. La méthode généralement employée par le pirate informatique consiste à scruter le réseau (en envoyant des paquets de données de manière aléatoire) à la recherche d’une machine connectée, puis à chercher une faille de sécurité afin de l’exploiter et d’accéder aux données s’y trouvant. Cette menace est d’autant plus grande que cette machine est connectée en permanence à Internet pour plusieurs raisons :

- la machine cible est susceptible d’être connectée sans pour autant être surveillée ;

- la machine cible est généralement connectée avec une plus large bande passante ;

- la machine cible ne change pas (ou peu) d’adresse IP.

Ainsi, il est nécessaire, autant pour les réseaux d’entreprises que pour les internautes possédant une connexion Internet, de se prémunir des intrusions en installant un dispositif de protection. Plusieurs techniques sont utilisées pour cette protection. Nous pouvons distinguer :

- les Firewalls (pare-feu),

- les systèmes de détection d’intrusion (en anglais Intrusion Detection Sys- tem -IDS),

- les systèmes de prévention d’intrusion (en anglais Intrusion Prevention

25

System -IPS), - le proxy.

3.1 Les Firewalls

Un firewall (ou un pare-feu) est un logiciel ou un matériel permettant de protéger un ordinateur ou un réseau d’ordinateurs des intrusions provenant d’un réseau tiers. C’est un dispositif de protection qui constitue un filtre entre un réseau local et un réseau non sûr tel que l’Internet ou un autre réseau local.

Il a pour objectif :

- de filtrer les communications qui lui parviennent,

- de les autoriser si elles remplissent certaines conditions et de les rejeter dans le cas contraire.

Le firewall doit donc contrôler tout le trafic qu’il soit entrant ou sortant. Une fois le trafic autorisé à entrer ou à sortir, il n’est plus possible de revenir en arrière.

Ainsi les firewalls effectuent trois types de filtrages¹ à savoir : - le filtrage simple de paquets,

- le filtrage dynamique de paquets, - le filtrage applicatif.

3.1.1 Le filtrage simple de paquets

Le filtrage simple de paquets consiste à analyser les en-têtes de chaque pa- quet de données échangé entre une machine du réseau interne et une machine extérieure. Ainsi, les paquets de données échangés entre une machine du ré- seau extérieur et une machine du réseau interne transitent par le pare-feu et possèdent les en-têtes suivants, systématiquement analysés par le firewall :

- adresse IP de la machine émettrice ;

1. http ://commentcamarche.net consulté le 9 novembre 2014 à 8h

CHAPITRE 3. LES TECHNIQUES DE SECURITE UTILISEES DANS LES RESEAUX

- adresse IP de la machine réceptrice ; - type de paquet (TCP, UDP, etc) ;

- numéro de port (un port est un numéro associé à un service ou une application réseau).

Les adresses IP contenues dans les paquets permettent d’identifier la machine émettrice et la machine cible, tandis que le type de paquet et le numéro de port donnent une indication sur le type de service utilisé.

3.1.2 Le filtrage dynamique de paquets

Le filtrage simple de paquets ne s’attache qu’à examiner les paquets IP indépendamment les uns des autres, ce qui correspond au niveau 3 du modèle OSI. Or, la plupart des connexions reposent sur le protocole TCP, qui gère la notion de session, afin d’assurer le bon déroulement des échanges. D’autre part, de nombreux services (le FTP par exemple) initient une connexion sur un port statique, mais ouvrent dynamiquement (c’est-à-dire de manière aléa- toire) un port afin d’établir une session entre la machine faisant office de serveur et la machine cliente. Ainsi, il est impossible avec un filtrage simple de paquets de prévoir les ports à laisser passer ou à interdire. Pour y remé- dier, le système de filtrage dynamique de paquets est basé sur l’inspection des couches 3 et 4 du modèle OSI, permettant d’effectuer un suivi des transac- tions entre le client et le serveur. De cette manière, à partir du moment où une machine autorisée initie une connexion à une machine située de l’autre côté du pare-feu, l’ensemble des paquets transitant dans le cadre de cette connexion sera implicitement accepté par le pare-feu.

3.1.3 Le filtrage applicatif

Le filtrage applicatif permet de filtrer les communications application par application. Le filtrage applicatif opère donc au niveau 7 (couche applica- tion) du modèle OSI, contrairement au filtrage de paquets simple. Ce type

Réalisé par Henoc YATAKPO 27

de filtrage suppose donc une connaissance des protocoles utilisés par chaque application présente sur le réseau, et notamment de la manière dont elle struc- ture les données échangées (ports). Un firewall effectuant un filtrage applicatif est appelé généralement passerelle applicative (ou « proxy »), car il sert de relais entre deux réseaux en s’interposant et en effectuant une validation fine du contenu des paquets échangés. Le proxy représente donc un intermédiaire entre les machines du réseau interne et le réseau externe, subissant les at- taques à leur place. De plus, le filtrage applicatif permet la destruction des en-têtes précédant le message applicatif, ce qui permet de fournir un niveau de sécurité supplémentaire. Il s’agit d’un dispositif performant, assurant une bonne protection du réseau, pour peu qu’il soit correctement administré. En contrepartie, une analyse fine des données applicatives requiert une grande puissance de calcul et se traduit donc souvent par un ralentissement des com- munications, chaque paquet devant être finement analysé.

Le schéma 3.1 montre les différents modes d’utilisation des firewalls.

Figure3.1 – Les différents modes d’utilisation des firewalls [19].

3.2 Les systèmes de détection d’intrusion (Intrusion Detection System - IDS)

En sécurité informatique, la détection d’intrusion est l’acte de détecter les actions qui essaient de compromettre la confidentialité, l’intégrité ou la disponibilité d’une ressource. La détection d’intrusion peut être effectuée ma- nuellement ou automatiquement. Dans le processus de détection d’intrusion manuelle, un analyste humain procède à l’examen de fichiers logs à la re-

CHAPITRE 3. LES TECHNIQUES DE SECURITE UTILISEES DANS LES RESEAUX

cherche de tout signe suspect pouvant indiquer une intrusion. Un système qui effectue une détection d’intrusion automatisée est appelé système de dé- tection d’intrusion (IDS). Lorsqu’une intrusion est découverte par un IDS, les actions typiques qu’il peut entreprendre sont par exemple d’enregistrer l’information pertinente dans un fichier ou une base de données, de générer une alerte par e-mail ou par un téléphone mobile.

Ainsi un système de détection d’intrusion est un mécanisme destiné à repé- rer des activités anormales ou suspectes sur la cible analysée (réseau, hôte).

Deux techniques de détection d’intrusion sont généralement mises en œuvre par les IDS courants : la détection d’abus (misuse detection) et la détection d’anomalie (anomaly detection) [7].

Dans la détection d’abus (aussi appelée détection de mauvaise utilisation), l’IDS analyse l’information recueillie et la compare (pattern matching, ap- proche par scénario) avec une base de données de signatures (motifs définis, caractéristiques explicites) d’attaques connues (qui ont déjà été documentées), et toute activité correspondante est considérée comme une attaque.

La détection d’anomalie de comportement est une technique assez ancienne.

Elle consiste à modéliser durant une période d’apprentissage le comporte- ment normal d’un système/programme/utilisateur en définissant une ligne de conduite et à considérer ensuite (en phase de détection) comme suspect tout comportement inhabituel.

Selon l’endroit qu’elles surveillent et ce qu’elles contrôlent (les sources d’in- formation), deux familles principales d’IDS sont usuellement distinguées : les NIDS (Network-based Intrusion Detection System) et les HIDS (Host-based Intrusion Detection System) [12].

Réalisé par Henoc YATAKPO 29

Un IDS réseau travaille sur les trames réseau à tous les niveaux (couches ré- seau, transport, application). De plus en plus, en disséquant les paquets et en comprenant les protocoles, il est capable de détecter des paquets malveillants conçus pour outrepasser un pare-feu, et de chercher des signes d’attaque à différents endroits sur le réseau. Les NIDS les plus utilisés sont : Dragon, Tripwire, Snort, Prelude, Bro.

Le tableau 3.1 présente les caractéristiques de ces systèmes.

Tableau 3.1 – Caractéristiques des IDS usuels.

Dragon Prelude Nfr nid Snort Bro

Langages de signatures

script accepte les règles Snort

script Règle Snort accepte les règles Snort et utilise les scripts Bro Méthode de

détection

signature signature signature / anomalie

signature signature / anomalie Portabilité la plupart

des systèmes

Linux machine dé- diée

Linux / win- dows

Linux Opération en

temp réel

Non Oui Oui Oui Oui

Open source Non Oui Non Oui Oui

Débit sup- porté

Non commu- niqué

Moyen Réseau

à grande vitesse

Moyen Moyen

Cependant, les problèmes majeurs liés aux NIDS sont de conserver toujours une bande passante suffisante pour l’écoute de l’ensemble des paquets, et de bien positionner l’IDS pour qu’il soit efficace [7].

Les systèmes de détection d’intrusion basés sur l’hôte ou HIDS, analysent exclusivement l’information concernant cet hôte. Comme ils n’ont pas à contrô- ler le trafic du réseau mais seulement les activités d’un hôte, ils se montrent habituellement plus précis sur les variétés d’attaques. Ces IDS utilisent deux types de sources pour fournir une information sur l’activité : les logs et les traces d’audit du système d’exploitation. Comme exemple de HIDS, nous pouvons citer tripwire, security manager,OSsec.

CHAPITRE 3. LES TECHNIQUES DE SECURITE UTILISEES DANS LES RESEAUX

Le tableau 3.2 présente les principales caractéristiques des HIDS les plus utilisés.

Tableau 3.2 – Caractéristiques des HIDS usuels.

Tripwire security manager ossec Langages de signa-

tures

script script script

Méthode de détec- tion

signature signature signature

Portabilité Linux machine dédiée Linux

Opération en temp réel

Non Oui Non

Open source Oui Non Oui

Les systèmes de détection d’intrusion basés sur l’hôte ont certains avan- tages : l’impact d’une attaque peut être constaté et permet une meilleure réaction, des attaques dans un trafic chiffré peuvent être détectées (ce qui est impossible avec un IDS réseau), les activités sur l’hôte peuvent être observées avec précision, etc. Ils présentent néanmoins des inconvénients, parmi les- quels : les scans sont détectés avec moins de facilité ; ils sont plus vulnérables aux attaques de type DoS (Denial Of Service) ; l’analyse des traces d’audit du système est très contraignante en raison de la taille de ces dernières ; ils consomment beaucoup de ressources CPU, etc.

Le tableau 3.3 montre une étude comparative des HIDS et des NIDS.

Tableau 3.3 – Etude comparative des NIDS ET HIDS.

NIDS HIDS

Permet la détection d’intrusions à par- tir des trafics chif- frés

Non Oui

Permet la détection des scan

Oui Non

Permet la détec- tion des attaques de type DOS

Oui Non

Consommation de ressources CPU

Oui Oui

Opération en temp réel

Oui Oui

Réalisé par Henoc YATAKPO 31

3.3 Les systèmes de prévention d’intrusion (Intrusion Prevention System -IPS)

La prévention d’intrusion est un ensemble de technologies de sécurité ayant pour but d’anticiper et de stopper les attaques [5]. La prévention d’intrusion est appliquée par quelques IDS récents et diffère des techniques de détec- tion d’intrusion décrites précédemment : au lieu d’analyser les fichiers logs du trafic, c’est-à-dire découvrir les attaques après qu’elles se sont déroulées, la prévention d’intrusion essaie de prévenir ces attaques. Là où les systèmes de détection d’intrusion se contentent de donner l’alerte, les systèmes de pré- vention d’intrusion bloquent le trafic jugé dangereux.

Un IPS a toutes les fonctionnalités des IDS auxquelles il ajoute l’analyse des contextes de connexion, l’automatisation d’analyse des logs et la coupure des connexions suspectes. Contrairement aux IDS classiques, aucune signature n’est utilisée pour détecter les attaques. Avant toute action, une décision en temps réel est exécutée (c’est-à-dire que l’activité est comparée à un ensemble de règles). Si l’action est conforme à l’ensemble de règles, la permission de l’exécuter sera accordée et l’action sera exécutée. Si l’action est illégale (c’est- à-dire si le programme demande des données ou veut les changer alors que cette action ne lui est pas permise), une alarme est donnée. Dans la plupart des cas, les autres détecteurs du réseau (ou une console centrale) en seront aussi informés dans le but d’empêcher les autres ordinateurs d’ouvrir ou d’exécuter des fichiers spécifiques.

3.4 Le proxy

Un proxy (serveur mandataire) est un serveur situé entre un réseau privé et Internet. Constituant une protection pour le réseau d’une entreprise, il peut également faire office de cache [8]. Dans ce dernier cas, il enregistre les pages

CHAPITRE 3. LES TECHNIQUES DE SECURITE UTILISEES DANS LES RESEAUX

Web transférées par les utilisateurs pour les délivrer sans qu’il soit nécessaire de se connecter sur le serveur initial. Ainsi, lorsqu’un utilisateur se connecte à Internet à l’aide d’une application cliente configurée pour utiliser un serveur proxy, celle-ci va se connecter en premier lieu au serveur proxy et lui donner sa requête. Le serveur proxy va alors se connecter au serveur que l’application cliente cherche à joindre et lui transmettre la requête. Le serveur va ensuite donner sa réponse au proxy, qui va à son tour la transmettre à l’application cliente.

La plupart des proxy permettent également de faire du filtrage c’est-à- dire d’autoriser ou d’interdire l’accès à certains sites qui peuvent pomper la bande passante ou peuvent contenir des informations non désirées pour certains publics.

Réalisé par Henoc YATAKPO 33

MATERIELS ET METHODES

4

METHODOLOGIE ET CHOIX TECHNIQUES

Les protocoles de sécurité utilisés dans les réseaux VPN présentent cer- taines failles qui peuvent être utilisées par les attaquants pour les déstabiliser.

Il est donc important de pouvoir analyser les flux qui circulent sur le réseau afin de détecter d’éventuelles attaques.

Dans ce chapitre, nous présenterons la Méthodologie d’étude ainsi que les différents choix techniques opérés pour assurer le renforcement de la sécurité dans les réseaux VPN.

4.1 Le type du réseau VPN choisi

Dans le présent travail, nous allons utiliser une architecture d’un réseau VPN site à site parce qu’elle garantit non seulement une bonne qualité de service à l’entreprise du fait de la prise en charge du VPN et du cryptage par des processeurs spécialisés mais aussi facilite le contrôle du trafic autorisé et offre la possibilité d’initier les connexions VPN d’un côté ou de l’autre du tunnel comme le montre le tableau 1.1 de la section 1.2.2.

Avec ce modèle, les deux extrémités du tunnel utilisent des équipements situés dans le périmètre de l’entreprise pour négocier et rendre des services de sécurité. Avec ce système, on rend entièrement transparents les mécanismes

35

de sécurité au niveau des utilisateurs finaux [6]. Les données transmises par les postes clients traversent le tunnel comme elles traverseraient n’importe quel autre réseau public ou privé lui permettant d’accéder à sa destination, sans aucune implémentation spécifique d’un quelconque mécanisme de sécu- rité au niveau des postes clients ce qui apporte une flexibilité et permet un déploiement rapide et simple.

4.2 Le protocole de tunneling choisi

Plusieurs protocoles sont utilisés pour établir des tunnels VPN. Il s’agit des protocoles PPTP, L2F, L2TP, MPLS, IPsec, SSL /TLS.

Les deux protocoles utilisés pour assurer à la fois l’authentification, la confi- dentialité et l’intégrité des données sur le réseau VPN sont les protocoles SSL et IPsec (tableau 2.1 de la section 2.7) puisqu’ils utilisent des mécanismes de hachage et de chiffrement des données [18].

Pour la présente étude, nous allons utiliser IPsec puisqu’il permet d’inter- cepter les trames au niveau 3 pour leur appliquer des mécanismes de hachage et d’authentification ce qui le rend particulièrement plus intéressant en ma- tière de sécurité que SSL [6]. IPsec supporte l’algorithme AES (Advanced Encryption Standard) pour le chiffrement des données alors que la majorité des applications SSL ne l’ont pas encore implémenté [14].

IPsec utilise le protocole IKE (Internet Key Exchange) qui se charge de la gestion automatique (négociation, mise à jour, suppression) de tous les paramètres relatifs à la sécurisation des échanges. Afin de stocker et de ma- nipuler facilement l’ensemble des paramètres gérés par IKE et utilisés par les mécanismes de sécurisation, IPsec a recours à la notion d’association de sécu- rité (Security Association, SA) qui est une structure de données qui regroupe

CHAPITRE 4. METHODOLOGIE ET CHOIX TECHNIQUES

l’ensemble des paramètres de sécurité associés à une communication donnée [11].

Pour stocker l’ensemble des associations de sécurité actives, on utilise une base de données des associations de sécurité (Security Association Database, SAD). Les éléments stockés dans cette base de données sont créés et modi- fiés par IKE puis consultés par la couche IPsec pour savoir comment traiter chaque paquet reçu ou à émettre.

Les protections offertes par IPsec sont basées sur des choix définis par l’ad- ministrateur du réseau par le biais de politiques de sécurité. Ces politiques sont généralement stockées dans une base de données de politique de sécurité (Security Policy Database, SPD) et se présentent sous forme d’une liste or- donnée de règles, chaque règle comportant un certain nombre de critères qui permettent de déterminer quelle partie du trafic est concernée. La consulta- tion de la base de données des politiques de sécurité permet de décider, pour chaque paquet, s’il se verra apporter des services de sécurité, sera autorisé à passer outre ou sera rejeté. C’est également cette base qui indique à IKE quelles associations de sécurité il doit négocier et, en particulier, quels tunnels sécurisés il doit établir.

4.3 Fonctionnement du protocole IKE

Le protocole IKE se décompose en deux phases distinctes [1]. Dans une première phase, un canal sécurisé (chiffré et authentifié) est créé entre les deux participants. Dans une deuxième phase, ce canal est utilisé pour négocier les divers paramètres de la SA.

La phase 1 permet d’établir un canal sécurisé avec authentification des deux extrémités d’un tunnel, canal dénommé ISAKMP (Internet Security

Réalisé par Henoc YATAKPO 37

Association and Key Management Protocol) SA. Ce canal sert ensuite aux échanges d’informations nécessaires à la phase 2. Elle peut se dérouler selon deux modes : principal (en anglais main) et agressif (en anglais aggressive).

Le mode agressif a la caractéristique de nécessiter moins de messages que le premier mais de ne pas cacher l’identité des participants à un éventuel attaquant en écoute passive sur le réseau.

La phase 2 négocie et établit les SA IPsec permettant de protéger les échanges de données. Elle ne peut se dérouler que si la phase 1 s’est achevée correctement. La structure d’une en-tête ISAKMP est montrée par la figure 4.1 :

Figure4.1 – En-tête ISAKMP [1].

Ensuite viennent une ou plusieurs charges (payload), chacune d’entre elles commençant par l’en-tête suivant :

Figure4.2 – En-tête des charges dans un datagramme ISAKMP [1].

CHAPITRE 4. METHODOLOGIE ET CHOIX TECHNIQUES

Le schéma 4.3 résume la structure complète d’un datagramme ISAKMP.

Figure4.3 – Structure complète d’un datagramme ISAKMP [1].

4.4 Le protocole de hachage choisi

Les algorithmes de hachage utilisés dans IPsec sont MD5 et SHA-1.

La fonction MD5 a été développée par Ron Rivest en 1992 afin de pallier les faiblesses détectées dans sa version précédente MD4. MD5 génère un hash de 128 bits, soit 32 caractères hexadécimaux. Mais cette longueur de 128 bits est maintenant considérée comme peu sûre pour éviter les collisions puisque plusieurs attaques ont été conduites contre ce protocole et ont permis de générer des collisions [9].

SHA-1 a été développé par NSA (National Security Agency). Elle présente beaucoup de points communs avec MD5 mais utilise un hash de 160 bits.

Réalisé par Henoc YATAKPO 39