Forum |  HardWare.fr | News | Articles | PC | S'identifier | S'inscrire | Shop Recherche
1394 connectés 

  FORUM HardWare.fr
  Linux et OS Alternatifs

  Question VPN / sécurisation

 


 Mot :   Pseudo :  
 
Bas de page
Auteur Sujet :

Question VPN / sécurisation

n°75553
Nicool
En bois, sauf les chèques...
Posté le 11-03-2002 à 18:11:46  profilanswer
 

J'espère avoir des réponses, car c'est assez important pour moi...
 
Dans le cadre des VPN actuels; par exemples quelques sites (pas web :D ) d'une entreprise, connectés à internet via des LS ou du TurboDSL.
On met en place un "VPN" tels que le font la plupart des opérateurs actuellement, c'est à dire des tunnels (créés et terminés par des routeurs cisco ou linux ou autre) avec les datagrammes des réseaux de chaque sites encapsulés et transitant sur internet jusque au destinataire du tunnel (un autre site par exemple).
On ne met pas en place de procédé de chiffrement tel IPsec.
 
Est ce qu'un tel VPN est sécurisé ?
Est ce que les données encapsulées sont facilement lisibles ?
Est qu'il est facile d'intercepter un tunnel d'un VPN à travers internet?
Y a t'il d'autres procédés de chiffrement qu'ipsec pour les VPN, disponibles sur linux ou routeur cisco?
 
A mon avis l'encapsulation seule, ne sécurise pas les données mais j'ai besoin de vos confirmations et liens vers des infos à ce sujet.
 
J'ai besoin d'arguments, dans le cadre de mon travail avec un opérateur (un des commerciaux affirme aux clients que l'encapsulation protège efficacement les données, je reste sceptique, selon lui la mise en place d'IPsec est trop coûteuse)
 
Merci

mood
Publicité
Posté le 11-03-2002 à 18:11:46  profilanswer
 

n°75743
Nicool
En bois, sauf les chèques...
Posté le 12-03-2002 à 09:58:06  profilanswer
 

personne n'a une petite idée ?

n°75746
le_pacifa
Posté le 12-03-2002 à 10:08:19  profilanswer
 

L'encapsulation sa protège rien
seul le cryptage protège.
Par exemple un paquet ip est encapsulé dans une trame ethernet qd il passe dans ta carte rezo. C pas pour autant que les infos sont protégés, c même un exo tous con qu'on fait avec un crayon et du papier en ecole d'ing. C vraiement simple.


---------------
APB
n°75748
MC
retour à la raison
Posté le 12-03-2002 à 10:09:56  profilanswer
 

nicool a écrit a écrit :

 
Est ce qu'un tel VPN est sécurisé ?
Non pas du tout
Est ce que les données encapsulées sont facilement lisibles ?
parfaitement lisible avec Ethereal ou une appli man-in-the-middle
Est qu'il est facile d'intercepter un tunnel d'un VPN à travers internet?
Pas trivial, mais pas du tout impossible, il faut juste etre a un noeud du reseau (ou s'en créer un)
Y a t'il d'autres procédés de chiffrement qu'ipsec pour les VPN, disponibles sur linux ou routeur cisco?
IPSec est très bien supporté, donc pas besoin de sortir l2tp, pptp et autres protocoles en voie de disparition (mais supporté sous linux/cisco). Sans compter que seul IPSec supporte vraiment le chiffrement/authentification de manière standard




 
Ensuite l'encryption seule n'est pas forcement suffisante, il faut aussi mettre en place de l'authentification (ESP + AH).
 
Ce qui est lourd a mettre en place c'est l'architecture de clefs publique/privée. Si ton réseau n'est pas complexe et statique, tu peux utiliser un "shared secret", cad une clef commune aux deux bouts. Ensuite c'est vai que ca coute cher chez Cisco l'option IPSec (de toute façon qu'est-ce qui ne coute rien chez Cisco?).
 
IPSec sous linux: http://www.freeswan.org

n°75827
[Albator]
MDK un jour, MDK toujours !
Posté le 12-03-2002 à 14:20:49  profilanswer
 

Sinon il y a aussi cipe, mais qui nécessite de patcher et recompiler le noyau:
 
http://sites.inka.de/sites/bigred/devel/cipe.html

n°75841
_Evangelio​n_
Posté le 12-03-2002 à 15:11:02  profilanswer
 

Hop hop..
<info>
renseigne du coté de 3com, m'avait sembler voir des cartes reseaux qui supportaient IPsec en hard, netement plus rapide donc et qui soulage ton proc..
</info>

n°75853
MC
retour à la raison
Posté le 12-03-2002 à 16:13:49  profilanswer
 

pas supportée sous linux, seulement sous windows. J'ai bossé sur la PRO100S d'Intel, et ca ne fait que de l'encryption/authentification, et pas la partie encapsulation.
 
Et quand bien même c'est pas un pb de puissance, un proc moderne te sature facilement une ligne 2Mbit/s même en encryption lourde, et encore plus si tu utilise les bons algo (blowfish, RSA au lieu du 3DES).

n°76154
Nicool
En bois, sauf les chèques...
Posté le 13-03-2002 à 12:45:17  profilanswer
 

Merci beaucoup les gars pour vos renseignements et précisions, ça me sera très utile :)

n°76611
Nicool
En bois, sauf les chèques...
Posté le 14-03-2002 à 17:36:07  profilanswer
 

Hop, c'est à nouveau moi, j'ai encore quelques petites questions :)
 
Comment de placer à un noeud du réseau ou en créer un, à quoi cela correspond dans la pratique ?
Est il facile pour un pirate qui souhaite intercepter mes flux VPN de savoir ou se placer et d'identifier sa cible précisément; comment fait il?
S'attaque t'il aux routeurs de mon opérateurs, ou ceux de mon entreprise, est ce aisé si les routeurs sont configurés correctement?
Est ce qu'il peut récupérer ces flux en créant son propre noeud réseau, comment ferait il pour que le flux qu'il cible passe par son noeud ?
 
Et au final, est ce que la mise en place d'un VPN avec IPsec sous Linux est relativement aisée, cela me semble intéressant comparativement à du matériel Cisco ou par rapport aux offres des opérateurs très coûteuses.  
 
J'ai aussi entendu dire qu'on pouvait faire du BGP4 sous linux, est ce que ceci permet d'agglomérer plusieurs connections (plus de 2) comment cela se passe t'il (un lien fera l'affaire).
 
Excusez moi si certaines questions sont un peu redondantes les une par rapport aux autres, mais j'essaye de bien préciser ma pensée.
 
Merci beaucoup
 
ps: je trouve inadmissible de la part d'opérateurs réseau importants, d'affirmer que leurs VPN sont sécurisés uniquement du fait de l'encapsulation des données, c'est à la "limite" du mensonge et cela peut être dangereux pour une entreprise mal renseignée, certains vont même jusqu'à déconseiller IPSec, car d'après c'est un surcoût inutile!

n°76813
PinG
Rooteur
Posté le 14-03-2002 à 23:41:48  profilanswer
 

nicool a écrit a écrit :

Hop, c'est à nouveau moi, j'ai encore quelques petites questions :)
 
Comment de placer à un noeud du réseau ou en créer un, à quoi cela correspond dans la pratique ?
à se trouver à un endroit sur le réseau où TOUS tes paquets vont passer, pour tous les intercepter et reconstituer le flux comme le ferais ton correspondant. Dans la pratique ca consiste à te trouver sur le même réseau physique qu'une des deux machine au bout du tunnel, ou de t'arranger pour que TOUS les paquets passent par toi (spoofing, MAC spoofing, ARP flooding, ...)
Est il facile pour un pirate qui souhaite intercepter mes flux VPN de savoir ou se placer et d'identifier sa cible précisément; comment fait il?soit il sait de où à où est établi le flux (c'est trivial), soit il se démerdes avec quelques routeurs... c'est plus dur mais pas infaisable
S'attaque t'il aux routeurs de mon opérateurs, ou ceux de mon entreprise, est ce aisé si les routeurs sont configurés correctement?Il peut se passer de les attaquer. Mais il peut aussi en venir à es ataquer. Le problème est que le meileur routeur bien configuré ne peux rien contre certaines choses qui ne dépendent pas d'eux, ou des fois, ils sont obligéss de croire des réponses non authoritatives simulées de routeurs pour modifier leurs tables de routages (OSPF est le protocole de routage le plus utilisé sur le net)
Est ce qu'il peut récupérer ces flux en créant son propre noeud réseau, comment ferait il pour que le flux qu'il cible passe par son noeud ?arp flooding, Hidjacking, spoofing...
 
Et au final, est ce que la mise en place d'un VPN avec IPsec sous Linux est relativement aisée, cela me semble intéressant comparativement à du matériel Cisco ou par rapport aux offres des opérateurs très coûteuses. c'est très simpe. De poste/réseau à poste/réseau, ca prends même pas 1 heure la première fois...
 
J'ai aussi entendu dire qu'on pouvait faire du BGP4 sous linux, est ce que ceci permet d'agglomérer plusieurs connections (plus de 2) comment cela se passe t'il (un lien fera l'affaire).
BGP4 : voui, mais je comprends pasla question sur 'aglomération des connexions
Excusez moi si certaines questions sont un peu redondantes les une par rapport aux autres, mais j'essaye de bien préciser ma pensée.
 
Merci beaucoup
 
ps: je trouve inadmissible de la part d'opérateurs réseau importants, d'affirmer que leurs VPN sont sécurisés uniquement du fait de l'encapsulation des données, c'est à la "limite" du mensonge et cela peut être dangereux pour une entreprise mal renseignée, certains vont même jusqu'à déconseiller IPSec, car d'après c'est un surcoût inutile!  
anyway, tu  peux toujours crier que tu est secure, tu ne le seras jammais p 100%, alors bon, tant qu'a faire plaisir aux décideurs presssés...  :sarcastic:
 




---------------
-- NO SLACKERS - violators will be fsck'd & tar'd

Aller à :
Ajouter une réponse
  FORUM HardWare.fr
  Linux et OS Alternatifs

  Question VPN / sécurisation

 

Sujets relatifs
un VPN SOUS linuxQUESTION SUR WIN2000
Question d'un noob...[KDE3] Question pour ses testeurs, ici !
question sur windowsquestion bête sur kernel-source
Question con, mais la réponse m'aiderait beaucoup :)question un peu simple
PUre-Ftpd :question [RESOLU]Serveur et client VPN
Plus de sujets relatifs à : Question VPN / sécurisation


Copyright © 1997-2022 Hardware.fr SARL (Signaler un contenu illicite / Données personnelles) / Groupe LDLC / Shop HFR