Qu'est ce que le chiffrement ?
De manière générale, le chiffrement des connexions réseau permet de protéger la confidentialité et l'intégrité des données qui sont échangées, que ce soit des données métier ou des données d'authentification, par exemple. Lorsque des systèmes communiquent entre eux, il est fréquent qu'ils traversent une zone réseau de moindre confiance, ce qui renforce le besoin de protéger la connexion réseau !
Vous pourrez rencontrer, en particulier, les cas d'usages suivants :
le besoin d'offrir un accès distant aux employés de l'entreprise lorsqu'ils sont connectés de l'extérieur (depuis Internet, réseau Wifi public, depuis leur domicile, etc.) pour qu'ils utilisent le système d'information comme s'ils étaient en interne ;
l'ouverture depuis l'extérieur de certains services de communication ou échange de données (par exemple, un Webmail) ;
la connexion de clients externes à une application Web (par exemple pour faire ou suivre des commandes).
Découvrez les différentes solutions de chiffrement
En fonction des cas d'usage, différentes solutions techniques se présentent à vous pour chiffrer une connexion et la protéger :
les tunnels VPN IPsec
le chiffrement SSL
les tunnels VPN-SSL
Les tunnels VPN IPsec
IPsec est un extension qui permet de chiffrer et authentifier des flux IP. Pour assurer cela, il peut suivre deux modes de fonctionnement :
Le mode tunnel ou AH (authentication header) : la totalité du paquet IP est chiffrée, ce qui inclut l'information de qui parle à qui.
Le mode transport ou ESP (encapsulating security payload) : seul le niveau applicatif est chiffré.
Dans les deux cas, l'authentification et le chiffrement peut se faire soit par certificat, soit avec un secret partagé qui permet ensuite d'échanger une clé RSA.
L'avantage du mode AH est qu'il offre une meilleure protection, puisqu'il protège les adresse source et destination des connexions qui passent dans le tunnel chiffré. Ces adresses sont la plupart du temps des adresses IP internes qui n'ont pas à être dévoilées à l'extérieur.
Cela offre comme autre avantage de moins poser de problème en cas de traversée de réseau avec changement d'adresse (NAT).
L'inconvénient est que le trafic résultant est sensiblement plus volumineux que pour ESP.
Cela étant, aujourd'hui, c'est le mode privilégié pour chiffrer le trafic réseau entre deux sites distants. C'est parfois utilisé pour chiffrer le trafic entre un poste client et un concentrateur VPN, mais la tendance aujourd'hui est d'utiliser des VPN SSL, ce qui est plus léger et présente moins de contraintes d’interopérabilité.
ESP a été conçu avant tout pour chiffrer des flux IPv6, mais ce protocole n'étant pas encore généralisé, il est rare d'utiliser un chiffrement IPsec ESP.
Chiffrement SSL/TLS
L’autre moyen pour chiffrer vos connections est l’utilisation des protocoles SSL/TLS.
De plus, le serveur dispose d'un certificat, ce qui permet au client de s'assurer qu'il parle au bon destinataire et éviter qu'un attaquant se fasse passer pour le serveur légitime. SSL et TLS gèrent les couches de transport et session pour ensuite transmettre la donnée applicative des principaux protocoles comme HTTP pour le Web ou SMTP pour l'envoi de mails. Le gros avantage est qu'ils peuvent être adaptés à la plupart des protocoles.
Dans certains cas, il est possible d'ajouter une authentification du client par certificat, ce qui offre une bien meilleure robustesse que l'authentification au sein de l'applicatif par mot de passe.
Cette polyvalence fait que ce mode de chiffrement est utilisé de manière générique entre un client et un serveur. Cela peut aussi bien être entre des client externes à l'entité qui se connectent à un serveur interne (par exemple, un site Web marchand) que l'inverse.
VPN SSL
Enfin, la dernière méthode que vous pourrez employer est le VPN SSL.
Pour cela, il suffit d'avoir un client VPN sur le poste de travail qui va intercepter le trafic réseau et le faire passer dans un tunnel TLS. A l'autre bout de la chaîne, un concentrateur VPN SSL est installé en DMZ et relaie ensuite les connexions sur le réseau interne.
Qu'il s'agisse de VPN SSL ou IPsec, il est important de définir les règles de filtrage en sortie du tunnel VPN. En effet, en fonction du niveau de sensibilité des applications et du besoin d'accès distant, la surface d'exposition mérite souvent d'être limitée. Par exemple, un utilisateur connecté à distance en VPN SSL ou une filiale reliée en VPN IPsec ne doit pas avoir un accès illimité aux ressources du réseau interne, il ne faut autoriser que les services qui lui sont utiles !
Après avoir vu comment implémenter un cloisonnement périmétrique et le chiffrement des flux, nous allons voir dans le chapitre suivant comment tirer parti des fonctions de sécurité des équipements réseau pour appliquer de la défense en profondeur et limiter les actions d'un attaquant lorsqu'il compromet un poste interne.
En résumé
Il existe 3 solutions pour chiffrer : les VPN IPsec, le VPN SSL et le flux SSL/TLS.
Les VPN IPsec sont utilisés pour faire un chiffrement de site à site.
Le chiffrement SSL/TLS est standard et s'adapte sur de nombreux protocoles applicatifs. Il est utilisé pour protéger les échanges réseau entre un client et un serveur.
Pour la connexion de postes de travail voulant accéder au réseau interne de l'extérieur, la facilité de mise en œuvre de VPN SSL tend à les privilégier pour ce cas d'usage à des clients VPN IPsec.
