Vous êtes nombreux à nous solliciter sur les différents moyens d’augmenter la sécurité de vos données. Un premier aspect dans cette démarche serait de renforcer la confidentialité et l’intégrité des échanges depuis vos infrastructures (serveurs, ordinateurs, mobiles, …) vers vos serveurs hébergés chez Openhost.
En effet, lors d’une communication entre votre poste et votre serveur Openhost, il est possible que vous transmettiez des données sensibles. Il est donc primordial d’assurer la confidentialité de ces données. De plus, il est aussi important que ces données ne puissent pas être modifiés par un tiers pendant la communication.
Afin de répondre à cette problématique, nous allons voir ensemble une solution possible : le Virtual Private Network ou VPN pour les intimes.
Un VPN répond à plusieurs besoins, notamment :
Si vous êtes concerné par ces besoins, alors le VPN est une solution qui conviendra à vos attentes. Reste encore la problématique du choix du protocole VPN et du chiffrement que nous allons découvrir ensemble.
La cryptologie est une science en constante évolution. La première étape vers une sécurité optimale est la veille technologique. Il est nécessaire de se tenir à jour sur les algorithmes de chiffrement, leurs faiblesses, ….
Aujourd’hui, le mot « chiffrement » est en général utilisé pour désigner d’une part le chiffrement en tant que tel, assurant la confidentialité des données, et l’intégrité des données, assurant que la donnée n’a pas été compromise par un tiers.
Pour pouvoir protéger vos données, vous aurez besoin d’une clé de chiffrement. Elle peut être symétrique (la même clé est utilisée pour chiffrer et déchiffrer) ou asymétrique (une clé différente est utilisée pour le chiffrement et le déchiffrement). Pour cette dernière on parle alors d’une paire clé publique/privée.
Une différence non négligeable entre le chiffrement symétrique et asymétrique est le temps et les ressources nécessaires. Le chiffrement symétrique est plus rapide et moins gourmand en ressources que le chiffrement asymétrique. C’est pour cette raison qu’en général les deux techniques sont associés. Dans le cas du HTTPS/SSL, une première connexion sécurisé est établie avec un chiffrement asymétrique (certificats HTTPS). Grâce à cette connexion, une clé sera négociée (ex : avec Diffie-Helman) pour du chiffrement symétrique, utilisé pour l’échange de données client-serveur.
Plusieurs préconisations pour la sécurité, le choix de l’algorithme et de la clé de chiffrement :
Malheureusement, la sécurité de l’information ne résume pas à choisir une longueur de clé et un algorithme de chiffrement. C’est un sujet complexe, différent pour chaque entreprise. Mais ne vous inquiétez pas, nous pouvons vous accompagner dans vos démarches de sécurité !
« Le protocole PPTP est mort, acceptez-le et passez à autre chose. » Citation d’un citoyen concerné
Le protocole PPTP lui-même ne spécifie pas de mécanisme d’intégrité et de chiffrement des échanges. L’implémentation la plus répandue, celle Microsoft, propose différentes méthodes de chiffrement.
Cependant, la totalité des méthodes de chiffrement sont aujourd’hui fortement vulnérables à des attaques compromettant la confidentialité et l’intégrité des échanges.
Nous vous recommandons donc de ne pas utiliser le protocole PPTP pour votre VPN.
Le protocole IPsec (IP Security) est un protocole permettant de sécuriser les communications IP. Contrairement à d’autre protocole de sécurité (ex : SSL), il agit au niveau de la couche 3 (réseaux) du modèle OSI, assurant la sécurité des couches supérieures. Il permet notamment de déployer un VPN site-à-site ou pour des clients nomades.
Un des avantages de l’IPsec est sa compatibilité. Une majorité d’équipement réseaux offre un support natif de l’IPsec. De plus, l’IPsec est nativement supporté sur la majorité des appareils mobile.
Sans trop rentrer dans la partie technique, IPsec utilise le protocole IKE pour établir un canal sécurisé entre les deux équipements. Le protocole utilise de l’UDP sur le port 500. Une fois cette connexion établie, l’IPsec utilisera, en fonction de la configuration soit le protocole AH soit ESP (respectivement protocole 51 et 50 au niveau de la couche 4 du modèle OSI).
Le protocole AH fournit seulement le contrôle d’intégrité des données échangées, assurant qu’elles ne puissent pas être modifiées par un tiers. Il n’offre cependant pas de mécanisme de chiffrement, vos données passent donc en clair sur Internet.
Si vous avez besoin de chiffrement, vous utiliserez alors le protocole ESP. En plus du contrôle d’intégrité, il fournit le chiffrement des données au travers de plusieurs algorithmes de chiffrements (AES, 3DES, …).
L’IPsec est compatible avec des configurations utilisant le NAT, où le serveur ou le client IPsec est situé derrière un pare-feu. Le protocole IPsec n’est pas capable de transférer un autre protocole que l’IP. Dans ce cas-là, il est associé avec L2TP.
Le protocole L2TP est un protocole de « tunneling » : imaginez un bateau transportant des containers, les containers sont vos données (informations échangés) le bateau est le tunnel. Il fournit simplement un moyen de transport sans altérer les données. Cependant, le L2TP ne fournit pas de mécanisme de chiffrement ni de contrôle d’intégrité de lui-même.
On va donc, dans un premier temps, utiliser l’IPsec pour établir une connexion sécurisée entre les deux équipements. Dans un second temps, on va utiliser L2TP pour transporter notre protocole non-IP (ex : IPX) sur cette connexion sécurisée. Les données L2TP étant encapsulées dans une connexion IPsec on bénéficie de la confidentialité et du contrôle d’intégrité avec la capacité de transférer des protocoles non-IP.
Le principal inconvénient de l’IPsec réside dans l’utilisation de port et de protocole « non-commun » (UDP/500, protocole AH/ESP). Par « non-commun » il faut comprendre pas dans une utilisation lambda d’internet (Web, Mail, …). Il n’est donc pas rare que les communications IPsec soient bloquées par les pare-feu (Hôtel, Hot spot Wifi, …).
OpenVPN est un logiciel open-source permettant le déploiement de VPN site-à-site ou pour des clients nomades.
Dans le même principe que l’IPsec (connexion en 2 étapes), OpenVPN utilise le protocole SSL/TLS pour négocier les clés de chiffrement utilisé pour l’échange de données. La seconde étape utilise un protocole propre de communication pour assurer la confidentialité et l’intégrité des données.
OpenVPN est capable d’utiliser aussi bien un transport TCP qu’UDP et fonctionne sans-problème à travers du NAT. De plus, il est capable de transporter des protocoles non-IP (contrairement à l’IPsec sans L2TP).
Petit inconvénient, OpenVPN n’est pas disponible sur les équipements réseaux (routeurs, …) nativement. Sur les clients mobiles, il nécessitera généralement l’installation d’une application tierce.
L’avantage d’OpenVPN se situe dans sa flexibilité par rapport aux configurations des firewalls. Utilisant le protocole TCP/UDP il est possible de faire transiter le trafic OpenVPN à destination du port 443 (HTTPS), le rendant ainsi utilisable dans la majorité des cas (le port 443 est rarement bloqué par les pare-feu).
Le SSTP (Secure Socket Tunneling Protocol) est un protocole VPN créé par Microsoft et disponible à partir de Windows Vista SP1. Il n’est pas possible de faire du VPN site-à-site avec SSTP, seulement des connexions clients nomades.
L’avantage de SSTP est son intégration dans l’univers Windows. Présent nativement sur les clients, le serveur s’intègre avec les comptes Active Directory : vos utilisateurs peuvent utiliser leurs mots de passes Windows ou des certificats générés automatiquement par votre contrôleur de domaine. De plus, sa configuration est relativement simple.
Le SSTP utilise le protocole SSL/TLS pour fournir la confidentialité et l’intégrité des données. Utilisant le port 443 par défaut, le SSTP est donc utilisable à travers les pare-feu.
Un inconvénient du SSTP : les clients Windows 7 requiert l’utilisation du protocole TLS 1.0. Ce dernier souffre aujourd’hui de vulnérabilités qui peuvent nuire à la confidentialité et l’intégrité des données. Windows 8 est supérieur sont compatibles avec TLS 1.1 et TLS 1.2.
Le choix du protocole pour votre liaison VPN va dépendre de plusieurs facteurs. Le premier étant le type de VPN que vous désirez mettre en place : une connexion site-à-site ou une connexion pour vos clients nomades.
Si vous êtes dans un environnement Windows et que vous souhaitez mettre en place un VPN pour vos utilisateurs nomades, la solution la plus simple reste le SSTP. Le protocole est directement intégré dans Windows Server, il s’intègre avec votre Active Directory et utilise le SSL pour les échanges.
Dans un environnement non-Microsoft, vous avez le choix entre OpenVPN et IPsec (avec ou non L2TP). Les deux choix sont valables, OpenVPN sera préféré car il possible de le faire passer sur le port 443 (HTTPS) réduisant les problèmes de Firewall.
Pour un VPN site-à-site, le SSTP n’est pas utilisable. Vous avez donc le choix entre l’IPsec et l’OpenVPN. Le choix va se faire en fonction des politiques de sécurité au niveau firewall et de la compatibilité de vos équipements. La majorité des routeurs réseaux ont le support d’IPsec intégré directement. Si vous souhaitez communiquer avec un protocole autre que l’IP vous allez devoir associer IPsec à L2TP contrairement à OpenVPN, qui en est capable nativement. IPsec ou OpenVPN, les points déterminants dans la sécurité restent les longueurs des clés utilisées ainsi que les algorithmes de chiffrement.
Il n’y a pas de réponse magique à la sécurité. Chaque entreprise est différente, et de ce fait leurs objectifs de sécurités sont uniques. Ce comparatif n’est pas exhaustif et certaines notions et fonctionnements de la sécurité ont été vulgarisés ou mis de côté volontairement. Le domaine de la sécurité est vaste et complexe, n’hésitez pas à nous contacter pour des informations plus techniques ou pour vous accompagner dans vos besoins de sécurité de l’information.
Les étapes de l’externalisation Nos équipes sont souvent confrontées à la question de l’externalisation du système informatique de l’entreprise vers le cloud : comment celle-ci se déroule-t-elle ? Comment s’effectue la migration des données vers le cloud ? Comment aborder cette externalisation des données sereinement ? Y-a-t-il un risque de perte de données ? Externaliser […]
Lire la suite
Important L’année 2021 a vu l’arrêt progressif de notre service de messagerie Exchange 2016 hébergé par Openhost. Nous vous proposons de migrer vos messageries (ou celles de vos clients) sur Exchange Online, également connu sous le nom d’Office 365. En savoir plus Pour bon nombre d’entre nous, la messagerie électronique est certainement l’outil de travail […]
Lire la suite
Si certains de vos abonnements Office 365 ont été créés à des dates différentes, il est fort probable qu’ils aient également des dates de renouvellement différentes. Par exemple, vous avez ajouté des outils spécifiques à certains collaborateurs ou des add-on de téléphonie, de sécurité ou de Business Intelligence.Afin de ne pas avoir à gérer plusieurs […]
Lire la suite