Question VPN / sécurisation - Linux et OS Alternatifs
Marsh Posté le 12-03-2002 à 10:08:19
L'encapsulation sa protège rien
seul le cryptage protège.
Par exemple un paquet ip est encapsulé dans une trame ethernet qd il passe dans ta carte rezo. C pas pour autant que les infos sont protégés, c même un exo tous con qu'on fait avec un crayon et du papier en ecole d'ing. C vraiement simple.
Marsh Posté le 12-03-2002 à 10:09:56
nicool a écrit a écrit : Est ce qu'un tel VPN est sécurisé ? Non pas du tout Est ce que les données encapsulées sont facilement lisibles ? parfaitement lisible avec Ethereal ou une appli man-in-the-middle Est qu'il est facile d'intercepter un tunnel d'un VPN à travers internet? Pas trivial, mais pas du tout impossible, il faut juste etre a un noeud du reseau (ou s'en créer un) Y a t'il d'autres procédés de chiffrement qu'ipsec pour les VPN, disponibles sur linux ou routeur cisco? IPSec est très bien supporté, donc pas besoin de sortir l2tp, pptp et autres protocoles en voie de disparition (mais supporté sous linux/cisco). Sans compter que seul IPSec supporte vraiment le chiffrement/authentification de manière standard |
Ensuite l'encryption seule n'est pas forcement suffisante, il faut aussi mettre en place de l'authentification (ESP + AH).
Ce qui est lourd a mettre en place c'est l'architecture de clefs publique/privée. Si ton réseau n'est pas complexe et statique, tu peux utiliser un "shared secret", cad une clef commune aux deux bouts. Ensuite c'est vai que ca coute cher chez Cisco l'option IPSec (de toute façon qu'est-ce qui ne coute rien chez Cisco?).
IPSec sous linux: http://www.freeswan.org
Marsh Posté le 12-03-2002 à 14:20:49
Sinon il y a aussi cipe, mais qui nécessite de patcher et recompiler le noyau:
http://sites.inka.de/sites/bigred/devel/cipe.html
Marsh Posté le 12-03-2002 à 15:11:02
Hop hop..
<info>
renseigne du coté de 3com, m'avait sembler voir des cartes reseaux qui supportaient IPsec en hard, netement plus rapide donc et qui soulage ton proc..
</info>
Marsh Posté le 12-03-2002 à 16:13:49
pas supportée sous linux, seulement sous windows. J'ai bossé sur la PRO100S d'Intel, et ca ne fait que de l'encryption/authentification, et pas la partie encapsulation.
Et quand bien même c'est pas un pb de puissance, un proc moderne te sature facilement une ligne 2Mbit/s même en encryption lourde, et encore plus si tu utilise les bons algo (blowfish, RSA au lieu du 3DES).
Marsh Posté le 13-03-2002 à 12:45:17
Merci beaucoup les gars pour vos renseignements et précisions, ça me sera très utile
Marsh Posté le 14-03-2002 à 17:36:07
Hop, c'est à nouveau moi, j'ai encore quelques petites questions
Comment de placer à un noeud du réseau ou en créer un, à quoi cela correspond dans la pratique ?
Est il facile pour un pirate qui souhaite intercepter mes flux VPN de savoir ou se placer et d'identifier sa cible précisément; comment fait il?
S'attaque t'il aux routeurs de mon opérateurs, ou ceux de mon entreprise, est ce aisé si les routeurs sont configurés correctement?
Est ce qu'il peut récupérer ces flux en créant son propre noeud réseau, comment ferait il pour que le flux qu'il cible passe par son noeud ?
Et au final, est ce que la mise en place d'un VPN avec IPsec sous Linux est relativement aisée, cela me semble intéressant comparativement à du matériel Cisco ou par rapport aux offres des opérateurs très coûteuses.
J'ai aussi entendu dire qu'on pouvait faire du BGP4 sous linux, est ce que ceci permet d'agglomérer plusieurs connections (plus de 2) comment cela se passe t'il (un lien fera l'affaire).
Excusez moi si certaines questions sont un peu redondantes les une par rapport aux autres, mais j'essaye de bien préciser ma pensée.
Merci beaucoup
ps: je trouve inadmissible de la part d'opérateurs réseau importants, d'affirmer que leurs VPN sont sécurisés uniquement du fait de l'encapsulation des données, c'est à la "limite" du mensonge et cela peut être dangereux pour une entreprise mal renseignée, certains vont même jusqu'à déconseiller IPSec, car d'après c'est un surcoût inutile!
Marsh Posté le 14-03-2002 à 23:41:48
nicool a écrit a écrit : Hop, c'est à nouveau moi, j'ai encore quelques petites questions Comment de placer à un noeud du réseau ou en créer un, à quoi cela correspond dans la pratique ? à se trouver à un endroit sur le réseau où TOUS tes paquets vont passer, pour tous les intercepter et reconstituer le flux comme le ferais ton correspondant. Dans la pratique ca consiste à te trouver sur le même réseau physique qu'une des deux machine au bout du tunnel, ou de t'arranger pour que TOUS les paquets passent par toi (spoofing, MAC spoofing, ARP flooding, ...) Est il facile pour un pirate qui souhaite intercepter mes flux VPN de savoir ou se placer et d'identifier sa cible précisément; comment fait il?soit il sait de où à où est établi le flux (c'est trivial), soit il se démerdes avec quelques routeurs... c'est plus dur mais pas infaisable S'attaque t'il aux routeurs de mon opérateurs, ou ceux de mon entreprise, est ce aisé si les routeurs sont configurés correctement?Il peut se passer de les attaquer. Mais il peut aussi en venir à es ataquer. Le problème est que le meileur routeur bien configuré ne peux rien contre certaines choses qui ne dépendent pas d'eux, ou des fois, ils sont obligéss de croire des réponses non authoritatives simulées de routeurs pour modifier leurs tables de routages (OSPF est le protocole de routage le plus utilisé sur le net) Est ce qu'il peut récupérer ces flux en créant son propre noeud réseau, comment ferait il pour que le flux qu'il cible passe par son noeud ?arp flooding, Hidjacking, spoofing... Et au final, est ce que la mise en place d'un VPN avec IPsec sous Linux est relativement aisée, cela me semble intéressant comparativement à du matériel Cisco ou par rapport aux offres des opérateurs très coûteuses. c'est très simpe. De poste/réseau à poste/réseau, ca prends même pas 1 heure la première fois... J'ai aussi entendu dire qu'on pouvait faire du BGP4 sous linux, est ce que ceci permet d'agglomérer plusieurs connections (plus de 2) comment cela se passe t'il (un lien fera l'affaire). BGP4 : voui, mais je comprends pasla question sur 'aglomération des connexions Excusez moi si certaines questions sont un peu redondantes les une par rapport aux autres, mais j'essaye de bien préciser ma pensée. Merci beaucoup ps: je trouve inadmissible de la part d'opérateurs réseau importants, d'affirmer que leurs VPN sont sécurisés uniquement du fait de l'encapsulation des données, c'est à la "limite" du mensonge et cela peut être dangereux pour une entreprise mal renseignée, certains vont même jusqu'à déconseiller IPSec, car d'après c'est un surcoût inutile! anyway, tu peux toujours crier que tu est secure, tu ne le seras jammais p 100%, alors bon, tant qu'a faire plaisir aux décideurs presssés... |
Marsh Posté le 11-03-2002 à 18:11:46
J'espère avoir des réponses, car c'est assez important pour moi...
Dans le cadre des VPN actuels; par exemples quelques sites (pas web ) d'une entreprise, connectés à internet via des LS ou du TurboDSL.
On met en place un "VPN" tels que le font la plupart des opérateurs actuellement, c'est à dire des tunnels (créés et terminés par des routeurs cisco ou linux ou autre) avec les datagrammes des réseaux de chaque sites encapsulés et transitant sur internet jusque au destinataire du tunnel (un autre site par exemple).
On ne met pas en place de procédé de chiffrement tel IPsec.
Est ce qu'un tel VPN est sécurisé ?
Est ce que les données encapsulées sont facilement lisibles ?
Est qu'il est facile d'intercepter un tunnel d'un VPN à travers internet?
Y a t'il d'autres procédés de chiffrement qu'ipsec pour les VPN, disponibles sur linux ou routeur cisco?
A mon avis l'encapsulation seule, ne sécurise pas les données mais j'ai besoin de vos confirmations et liens vers des infos à ce sujet.
J'ai besoin d'arguments, dans le cadre de mon travail avec un opérateur (un des commerciaux affirme aux clients que l'encapsulation protège efficacement les données, je reste sceptique, selon lui la mise en place d'IPsec est trop coûteuse)
Merci