Vous êtes nombreux à nous solliciter sur les différents moyens d’augmenter la sécurité de vos données. Un premier aspect dans cette démarche serait de renforcer la confidentialité et l’intégrité des échanges depuis vos infrastructures (serveurs, ordinateurs, mobiles, …) vers vos serveurs hébergés chez Openhost.
En effet, lors d’une communication entre votre poste et votre serveur Openhost, il est possible que vous transmettiez des données sensibles. Il est donc primordial d’assurer la confidentialité de ces données. De plus, il est aussi important que ces données ne puissent pas être modifiés par un tiers pendant la communication.
Afin de répondre à cette problématique, nous allons voir ensemble une solution possible : le Virtual Private Network ou VPN pour les intimes.
Un VPN répond à plusieurs besoins, notamment :
Si vous êtes concerné par ces besoins, alors le VPN est une solution qui conviendra à vos attentes. Reste encore la problématique du choix du protocole VPN et du chiffrement que nous allons découvrir ensemble.
La cryptologie est une science en constante évolution. La première étape vers une sécurité optimale est la veille technologique. Il est nécessaire de se tenir à jour sur les algorithmes de chiffrement, leurs faiblesses, ….
Aujourd’hui, le mot « chiffrement » est en général utilisé pour désigner d’une part le chiffrement en tant que tel, assurant la confidentialité des données, et l’intégrité des données, assurant que la donnée n’a pas été compromise par un tiers.
Pour pouvoir protéger vos données, vous aurez besoin d’une clé de chiffrement. Elle peut être symétrique (la même clé est utilisée pour chiffrer et déchiffrer) ou asymétrique (une clé différente est utilisée pour le chiffrement et le déchiffrement). Pour cette dernière on parle alors d’une paire clé publique/privée.
Une différence non négligeable entre le chiffrement symétrique et asymétrique est le temps et les ressources nécessaires. Le chiffrement symétrique est plus rapide et moins gourmand en ressources que le chiffrement asymétrique. C’est pour cette raison qu’en général les deux techniques sont associés. Dans le cas du HTTPS/SSL, une première connexion sécurisé est établie avec un chiffrement asymétrique (certificats HTTPS). Grâce à cette connexion, une clé sera négociée (ex : avec Diffie-Helman) pour du chiffrement symétrique, utilisé pour l’échange de données client-serveur.
Plusieurs préconisations pour la sécurité, le choix de l’algorithme et de la clé de chiffrement :
Malheureusement, la sécurité de l’information ne résume pas à choisir une longueur de clé et un algorithme de chiffrement. C’est un sujet complexe, différent pour chaque entreprise. Mais ne vous inquiétez pas, nous pouvons vous accompagner dans vos démarches de sécurité !
« Le protocole PPTP est mort, acceptez-le et passez à autre chose. » Citation d’un citoyen concerné
Le protocole PPTP lui-même ne spécifie pas de mécanisme d’intégrité et de chiffrement des échanges. L’implémentation la plus répandue, celle Microsoft, propose différentes méthodes de chiffrement.
Cependant, la totalité des méthodes de chiffrement sont aujourd’hui fortement vulnérables à des attaques compromettant la confidentialité et l’intégrité des échanges.
Nous vous recommandons donc de ne pas utiliser le protocole PPTP pour votre VPN.
Le protocole IPsec (IP Security) est un protocole permettant de sécuriser les communications IP. Contrairement à d’autre protocole de sécurité (ex : SSL), il agit au niveau de la couche 3 (réseaux) du modèle OSI, assurant la sécurité des couches supérieures. Il permet notamment de déployer un VPN site-à-site ou pour des clients nomades.
Un des avantages de l’IPsec est sa compatibilité. Une majorité d’équipement réseaux offre un support natif de l’IPsec. De plus, l’IPsec est nativement supporté sur la majorité des appareils mobile.
Sans trop rentrer dans la partie technique, IPsec utilise le protocole IKE pour établir un canal sécurisé entre les deux équipements. Le protocole utilise de l’UDP sur le port 500. Une fois cette connexion établie, l’IPsec utilisera, en fonction de la configuration soit le protocole AH soit ESP (respectivement protocole 51 et 50 au niveau de la couche 4 du modèle OSI).
Le protocole AH fournit seulement le contrôle d’intégrité des données échangées, assurant qu’elles ne puissent pas être modifiées par un tiers. Il n’offre cependant pas de mécanisme de chiffrement, vos données passent donc en clair sur Internet.
Si vous avez besoin de chiffrement, vous utiliserez alors le protocole ESP. En plus du contrôle d’intégrité, il fournit le chiffrement des données au travers de plusieurs algorithmes de chiffrements (AES, 3DES, …).
L’IPsec est compatible avec des configurations utilisant le NAT, où le serveur ou le client IPsec est situé derrière un pare-feu. Le protocole IPsec n’est pas capable de transférer un autre protocole que l’IP. Dans ce cas-là, il est associé avec L2TP.
Le protocole L2TP est un protocole de « tunneling » : imaginez un bateau transportant des containers, les containers sont vos données (informations échangés) le bateau est le tunnel. Il fournit simplement un moyen de transport sans altérer les données. Cependant, le L2TP ne fournit pas de mécanisme de chiffrement ni de contrôle d’intégrité de lui-même.
On va donc, dans un premier temps, utiliser l’IPsec pour établir une connexion sécurisée entre les deux équipements. Dans un second temps, on va utiliser L2TP pour transporter notre protocole non-IP (ex : IPX) sur cette connexion sécurisée. Les données L2TP étant encapsulées dans une connexion IPsec on bénéficie de la confidentialité et du contrôle d’intégrité avec la capacité de transférer des protocoles non-IP.
Le principal inconvénient de l’IPsec réside dans l’utilisation de port et de protocole « non-commun » (UDP/500, protocole AH/ESP). Par « non-commun » il faut comprendre pas dans une utilisation lambda d’internet (Web, Mail, …). Il n’est donc pas rare que les communications IPsec soient bloquées par les pare-feu (Hôtel, Hot spot Wifi, …).
OpenVPN est un logiciel open-source permettant le déploiement de VPN site-à-site ou pour des clients nomades.
Dans le même principe que l’IPsec (connexion en 2 étapes), OpenVPN utilise le protocole SSL/TLS pour négocier les clés de chiffrement utilisé pour l’échange de données. La seconde étape utilise un protocole propre de communication pour assurer la confidentialité et l’intégrité des données.
OpenVPN est capable d’utiliser aussi bien un transport TCP qu’UDP et fonctionne sans-problème à travers du NAT. De plus, il est capable de transporter des protocoles non-IP (contrairement à l’IPsec sans L2TP).
Petit inconvénient, OpenVPN n’est pas disponible sur les équipements réseaux (routeurs, …) nativement. Sur les clients mobiles, il nécessitera généralement l’installation d’une application tierce.
L’avantage d’OpenVPN se situe dans sa flexibilité par rapport aux configurations des firewalls. Utilisant le protocole TCP/UDP il est possible de faire transiter le trafic OpenVPN à destination du port 443 (HTTPS), le rendant ainsi utilisable dans la majorité des cas (le port 443 est rarement bloqué par les pare-feu).
Le SSTP (Secure Socket Tunneling Protocol) est un protocole VPN créé par Microsoft et disponible à partir de Windows Vista SP1. Il n’est pas possible de faire du VPN site-à-site avec SSTP, seulement des connexions clients nomades.
L’avantage de SSTP est son intégration dans l’univers Windows. Présent nativement sur les clients, le serveur s’intègre avec les comptes Active Directory : vos utilisateurs peuvent utiliser leurs mots de passes Windows ou des certificats générés automatiquement par votre contrôleur de domaine. De plus, sa configuration est relativement simple.
Le SSTP utilise le protocole SSL/TLS pour fournir la confidentialité et l’intégrité des données. Utilisant le port 443 par défaut, le SSTP est donc utilisable à travers les pare-feu.
Un inconvénient du SSTP : les clients Windows 7 requiert l’utilisation du protocole TLS 1.0. Ce dernier souffre aujourd’hui de vulnérabilités qui peuvent nuire à la confidentialité et l’intégrité des données. Windows 8 est supérieur sont compatibles avec TLS 1.1 et TLS 1.2.
Le choix du protocole pour votre liaison VPN va dépendre de plusieurs facteurs. Le premier étant le type de VPN que vous désirez mettre en place : une connexion site-à-site ou une connexion pour vos clients nomades.
Si vous êtes dans un environnement Windows et que vous souhaitez mettre en place un VPN pour vos utilisateurs nomades, la solution la plus simple reste le SSTP. Le protocole est directement intégré dans Windows Server, il s’intègre avec votre Active Directory et utilise le SSL pour les échanges.
Dans un environnement non-Microsoft, vous avez le choix entre OpenVPN et IPsec (avec ou non L2TP). Les deux choix sont valables, OpenVPN sera préféré car il possible de le faire passer sur le port 443 (HTTPS) réduisant les problèmes de Firewall.
Pour un VPN site-à-site, le SSTP n’est pas utilisable. Vous avez donc le choix entre l’IPsec et l’OpenVPN. Le choix va se faire en fonction des politiques de sécurité au niveau firewall et de la compatibilité de vos équipements. La majorité des routeurs réseaux ont le support d’IPsec intégré directement. Si vous souhaitez communiquer avec un protocole autre que l’IP vous allez devoir associer IPsec à L2TP contrairement à OpenVPN, qui en est capable nativement. IPsec ou OpenVPN, les points déterminants dans la sécurité restent les longueurs des clés utilisées ainsi que les algorithmes de chiffrement.
Il n’y a pas de réponse magique à la sécurité. Chaque entreprise est différente, et de ce fait leurs objectifs de sécurités sont uniques. Ce comparatif n’est pas exhaustif et certaines notions et fonctionnements de la sécurité ont été vulgarisés ou mis de côté volontairement. Le domaine de la sécurité est vaste et complexe, n’hésitez pas à nous contacter pour des informations plus techniques ou pour vous accompagner dans vos besoins de sécurité de l’information.
Skype for Business Online n’est plus disponible depuis 2021.> En savoir plus Qu’est-ce que la communication unifiée ? La communication unifiée est un système qui permet de regrouper en un seul et même outil l’ensemble des moyens de communication : téléphonie IP (ToIp), visioconférence, réunions en ligne, messagerie instantanée, partage de documents (agendas…), web conférences […]
Lire la suiteNos entreprises étant de plus en plus dépendantes de leur système d’information, la sécurisation des outils informatiques est une démarche incontournable en 2022. Il est donc nécessaire que les membres du comité de direction, accompagnés par leur DSI anticipent leur potentielle incapacité d’exploiter leur système d’information de façon optimale en cas de sinistre. [...]
Lire la suiteSkype Entreprise Online sera officiellement mis hors service le 31 juillet 2021 et depuis plus d’un an, il n’est plus possible de souscrire à des licences afin de laisser à Teams. Microsoft Teams est un service entièrement nouveau, conçu dès le départ en mode SaaS en s’appuyant sur les outils Office 365 et les services […]
Lire la suite