Qu'est-ce qu'un VPN SSL ?

SSL VPN est une des implémentations émergentes sur le marché. Il a été conçu pour les solutions d'accès à distance et ne fournissent pas de connexions de site à site.

                                       .

--> .
 Le VPN SSL offre un accès sécurisé aux applications principalement basé sur le Web. Etant donné que le SSL utilise un navigateur Web, les utilisateurs n'ont généralement pas à utiliser de logiciel client spécifique sur leurs ordinateurs. VPN SSL fonctionne au niveau de la couche session du modèle OSI. Et du fait que le client est un navigateur web, seules les applications qui prennent en charge un navigateur web peuvent utiliser cette solution VPN. Par conséquent, des applications telles que Telnet, FTP, SMTP, POP3, téléphonie IP, le contrôle de bureau à distance, et d'autres ne peuvent fonctionner avec les SSL VPNs. Bien sûr, beaucoup de vendeurs utilisent Java ou ActiveX pour améliorer les VPN SSL dans l’optique de prendre en charge les applications non-HTTP, le POP3 et SMTP, et partage de fichiers et d'impression Microsoft Windows. Par exemple, le Cisco SSL VPN prend en charge les applications non-Web, tels que Citrix, Windows Terminal Services, et bien d'autres.

Le Cisco VPN SSL est communément appelé « WebVPN ».

 1- Les technologies du SSL VPN :

Comme la technologie SSL VPN est devenue plus avancé et a rapidement été déployée ces dernières années, elle a attiré l'attention des administrateurs réseau qui sont à la recherche d’une solution VPN d’accès distant qui fournit un accès universel, avec un déploiement et une gestion à faible coût. À l'heure actuelle, aucune norme officielle n'existe pour les technologies de VPN SSL, divers fournisseurs utilisent leurs propres implémentations.

Les VPN transportent le trafic privé sur des réseaux publics. Un VPN sécurisé doit donc satisfaire les exigences de base suivantes:

•  L’Authentification garantit que l'entité VPN communique avec l’équipement destinée. elle peut s'appliquer soit à un dispositif VPN ou un utilisateur VPN. Par exemple, dans un VPN d'accès distant, le périphérique VPN peut authentifier le PC de l'utilisateur afin de s'assurer que c'est bien le PC qui possède l'adresse IP qui est utilisé pour se connecter au concentrateur. Le concentrateur peut également authentifier l'utilisateur final qui utilise le PC pour bien attribuer des privilèges sur la base d'informations de l'utilisateur.

•  La confidentialité garantit la confidentialité des données par le cryptage ces dernières.

•  L'intégrité du message garantit que le contenu des données n'a pas été altéré pendant la transmission.

 A. Le hachage

Le hachage joue un rôle important dans un système de sécurité en assurant l'intégrité du message transmis. Un algorithme de hachage transforme un champ de texte de longueur variable dans une chaîne de taille fixe. Les algorithmes de hachage utilisés dans un système de sécurité ont les deux propriétés suivantes:

•  Un mécanisme de hachage à sens unique: Cela signifie que, compte tenu de la sortie de hachage, il est par conséquent difficile d'inverser la fonction de hachage pour obtenir le message original.

• Sortie sans collision: Cela signifie que pour un algorithme de hachage, ce calcul est impossible de trouver deux données qui ont le même hachage de sortie.

Jusqu'à présent, les algorithmes les plus couramment utilisés pour le hachage cryptographique ont été le Message Digest Algorithm 5 (MD5) et le Secure Hash Algorithm 1 (SHA-1). Ces deux éléments ont été conçus pour un travail à sens unique et sans collision d’algorithmes de hachage.

 MD5 permet un encodage 128-bit, et SHA-1 à 160-bit. En raison de sa grande taille, SHA-1 est normalement considéré comme plus sûr, mais son calcul est plus couteux, que le MD5. Avec le matériel et la mise en oeuvre des logiciels des réseaux d'aujourd'hui, la différence de performance n'est généralement pas une réelle préoccupation.

Par conséquent, SHA-1 est l'algorithme de hachage préféré pour une utilisation dans un déploiement SSL VPN.

 B. Le cryptage :

Les algorithmes de cryptage transforment un texte clair en texte chiffré illisible. Différent du hachage, les algorithmes de chiffrement nécessitent des clés pour le chiffrement et le déchiffrement. Deux principaux types d'algorithmes de chiffrement existent :

Le cryptage symétrique : utilise la même clé pour le chiffrement et le déchiffrement. Il est également appelé cryptage à clé secrète. Les algorithmes symétriques sont normalement utilisés pour crypter le contenu d'un message. Deux principaux types d'algorithmes de chiffrement symétrique existent :

•  Le cryptage de « Stream » (en continu), comme le RC4.

•  Le cryptage par blocs, tels que : DES, Triple DES (3DES) et Advanced Encryption Standard (AES).

Le cryptage asymétrique: est l’utilisation des différentes clés pour le chiffrement et le déchiffrement. Le chiffrement asymétrique est aussi appelée cryptage à clé publique. Un système de chiffrement asymétrique est composé de deux clé de calculs associés. Une, connue dans le domaine public, est appelée la clé publique, l'autre n’est connue que par le propriétaire de la paire des clés. Selon l'utilisation des paires de clés publiques et privées, les algorithmes asymétriques peut être utilisée à des fins de chiffrement ou d'authentification.

Parce que les algorithmes symétriques sont beaucoup plus rapides que les algorithmes asymétriques, la certification numérique ou de gestion des clés est plus couramment utilisée pour le chiffrement des données que les algorithmes asymétriques. Les exemples populaires des algorithmes asymétriques sont Diffie-Hellman (DH) algorithmes et Rivest, Shamir et Adelman (RSA).

C. Signatures numériques et certification numérique :

L'authentification et l'intégrité sont des propriétés importantes pour les VPN sécurisés. Il s'agit notamment de l’authentification de l'entité, de l'origine des données, de l'intégrité et la non-répudiation. Les signatures numériques et les certificats fournissent un système de confiance évolutif.

La signature numérique se réfère à l'action du chiffrage du hachage des données à l'aide des clés privées de l’expéditeur. Le résultat est appelée une signature numérique. La signature peut être facilement vérifiée a l’aide de la clé publique correspondante qui est disponible dans le domaine public.

Un certificat numérique est essentiellement une liaison entre l'identité d'un utilisateur et sa clé publique. Les certificats numériques sont émis par une entité étrangère appelée autorité de certification (CA), qui permet d’assurer la confiance et l'authenticité du certificat.

2-  Les étapes principales d’une connexion SSL :

Cette section porte sur les messages et les opérations nécessaires pour établir une connexion SSL. On décrira comment les différents éléments évoqués jusqu'ici (algorithmes cryptographiques et les protocoles SSL) travaillent ensemble pour établir une connexion SSL.

Les protocoles Handshake SSL sont utilisés pour que le client et le serveur SSL établissent la connexion. Les principales étapes de ce processus sont les suivantes:

•  Des fonctions de sécurité Négociante : Cette version gère les protocoles et les suites de chiffrement.

• L’authentification : Le client authentifie le serveur. facultativement, le serveur peut également authentifier les clients.

• L’échange de clés : les deux parties échangent des clés ou des informations qui sont nécessaires pour générer les clés principales.

•  Le détournement de Clés : Les deux parties détournent la clé principale qui est ensuite utilisé pour générer des clés utilisées pour le chiffrement des données.
•  

Tweet