Download - Chiffrement opportuniste
Chiffrement
Opportuniste
Barcamp UNG Juin 2009
Sommaire
IPsec
Fonction du chiffrement opportuniste
IKE ?
DNSsec
Inconvénients
IPsec
Batterie de protocole permettant de sécuriser IP en utilisant l’authentification et le chiffrement des paquets IP.
AH, ESP, IKE, ISAKMP, OAKLEY
RFC publiée en Novembre 1998
Inclus dans IPv6
Implémentation pour des VPN
Couche 3.5
Rappel IPsec
Protocoles d’échanges de clé (ISAKMP) pour la création de SA (Security Association)
Authentification des paquets IP (Authentification Header)
Chiffrement des paquets IP (Encapsulated Security Payload)
Impossibilité de routage par NAT
Datagramme IPSec
Et le NAT ?
C’est cool mais …
On sécurise les échanges de données entre X sites et/ou X clients
Accord préalable (échange de clés)
Et le reste des communications ?
Top tendance : Hadopi, Great Firewall of China, Echellon, …
The solution
Le chiffrement opportuniste
Authentification et Chiffrement sans accord préalable
Chiffrement de toutes les connexions
Propagation non intrusive
Facultatif
« Opportunistic Encryption »
RFC 4322 – Décembre 2005
ANONSEC (« Anonymous Security »)
Vise clairement les attaques par MiM, DPI (Deep Packet Inspection), écoutes, …
Ouai mais en fait …
Pas d’accord préalable pour HTTPS !
Ouai mais en fait si… intégré au navigateur
Mais mon HTTPS il est pas dans mon navigateur!
Ouai mais exception de sécurité…
Ouai mais CA préconfiguré…
Fonctionnement - Archi
Fonctionnement
L’application d’Alice résout le nom de Bob
Initiation de la communication
Interception par la passerelle et obtention de la passerelle sécurisée via DNS. Obtention de la clé publique via DNS.
Phase 1 d’IKE (compléter)
Fonctionnement
La passerelle de Bob obtient via DNS la clé publique de la passerelle d’Alice
Phase 2 IKE
La passerelle de Bob authentifie la passerelle d’Alice via DNS.
Etablissement de la connexion
IKE ?! Truc de jedi !
IKE !
IKE
« IPSec Key Exchange »
Sécurisation par secret partagé
Impossibilité d’interception (ESP)
Impossibilité de modification (AH)
Echanges d’informations pour l’établissement d’une connexion sécurisée (Security Assocations)
DNSSEC ?
Importance cruciale du DNS…
Passage à DNSSEC
Signature hiérarchique
Complexification du DNS
Augmentation du nombre de requêtes DNS et du volume des réponses
Inconvénients
Latence d’initialisation de connexion
Efficacité d’utilisation de la bande passante
DDoS à cause d’IKE ?
Cout de l’implémentation
Cisco 5510 – 2000€ pour 250 sessions IPSec