Catégories
Uncategorized

Choisissez entre VPN SSL / TLS et VPN IPsec

Si votre organisation a du mal à gérer son VPN IPsec, la sortie sans client peut sembler convaincante – les VPN basés sur SSL / TLS peuvent être beaucoup plus faciles à déployer et à gérer. La clé est de décider quand utiliser IPsec et quand utiliser SSL / TLS. Il n’y a pas nécessairement une bonne ou une mauvaise réponse. En fait, dans de nombreuses entreprises, ce n’est pas un VPN SSL / TLS par rapport à un VPN IPsec; c’est un VPN SSL / TLS je VPN IPsec.

Les VPN IPsec et SSL / TLS peuvent fournir un accès distant sécurisé au niveau de l’entreprise, mais ils le font de manière très différente. Ces différences affectent directement les services d’application et de sécurité et devraient déclencher des décisions de mise en œuvre.

Les VPN IPsec protègent les paquets IP échangés entre des réseaux ou hôtes distants et une passerelle IPsec située à la périphérie de votre réseau privé. Les produits VPN SSL / TLS protègent les flux de trafic des applications des utilisateurs distants vers les passerelles SSL / TLS. En d’autres termes, les VPN IPsec connectent des hôtes ou des réseaux à un réseau privé sécurisé, tandis que les VPN SSL / TLS connectent en toute sécurité la session d’application d’un utilisateur aux services d’un réseau sécurisé.

Les VPN IPsec peuvent prendre en charge toutes les applications basées sur IP. Dans une application IPsec, un VPN ressemble à n’importe quel autre réseau IP. Les VPN SSL / TLS ne peuvent prendre en charge que les applications basées sur un navigateur, et aucun développement personnalisé pour prendre en charge d’autres types.

Avant de décider de mettre en œuvre un ou les deux, vous devez savoir comment les VPN SSL / TLS et IPsec conviennent en termes de sécurité et quel prix vous devez payer pour cette sécurité en termes de coûts administratifs. Comparons comment les VPN IPsec et SSL / TLS vérifient l’authentification et le contrôle d’accès, la protection contre les attaques des clients et la sécurité, puis examinons ce qui est nécessaire pour configurer et gérer les VPN IPsec et SSL / TLS, y compris les clients par rapport aux clients et sans contre la configuration de passerelles VPN dans votre réseau et vos serveurs d’applications.

Authentification et contrôle d’accès

La meilleure pratique de sécurité acceptée consiste à n’autoriser que l’accès explicitement autorisé, en refusant tout le reste. Cela comprend à la fois authentification, en veillant à ce que le sujet qui communique – qu’il s’agisse d’une personne, d’une application ou d’un appareil – ce qu’il prétend être et contrôle d’accès, la cartographie des identités en actions autorisées et l’application de ces restrictions.

Authentification
SSL / TLS et VPN IPsec prennent en charge une gamme de méthodes d’authentification des utilisateurs. IPsec utilise Internet Key Exchange (IKE) version 1 ou version 2, en utilisant des certificats numériques ou des secrets prédéfinis pour l’authentification bidirectionnelle. Les secrets déclarés sont le seul moyen le plus sûr de gérer une communication sécurisée, mais aussi le plus intensif à gérer. Les serveurs Web SSL / TLS sont toujours authentifiés avec des certificats numériques, quelle que soit la méthode utilisée pour authentifier les utilisateurs. Les systèmes SSL / TLS et IPsec prennent en charge l’authentification des utilisateurs par certificat, bien que chacun offre des capacités moins chères grâce à des extensions de fournisseur individuelles. La plupart des fournisseurs SSL / TLS prennent en charge les mots de passe et les jetons comme extensions.

SSL / TLS est plus adapté aux scénarios où l’accès aux systèmes est strictement contrôlé ou lorsque les certificats installés ne sont pas réalisables, comme sur les ordinateurs de bureau des partenaires commerciaux, les ordinateurs de kiosques publics et les ordinateurs personnels à domicile.

Contrôles d’accès
Après l’authentification passée, le VPN IPsec s’appuie sur des protections sur le réseau de destination, y compris le pare-feu et les applications de contrôle d’accès, plutôt que sur le VPN lui-même. Les normes IPsec, cependant, prennent en charge les sélecteurs – des filtres de paquets qui autorisent, chiffrent ou bloquent le trafic vers des destinations ou des applications individuelles. En tant que problème pratique, la plupart des organisations fournissent aux hôtes un accès à des sous-réseaux entiers, plutôt que de continuer à créer et à modifier des sélecteurs pour chaque changement d’adresse IP ou nouvelle application.

Les VPN SSL / TLS sont généralement déployés avec des contrôles d’accès plus détaillés appliqués à la passerelle, ce qui fournit une autre couche de protection, mais cela signifie également que les administrateurs passent plus de temps à y configurer et à maintenir des politiques. Parce qu’ils opèrent dans la couche de session, les VPN SSL / TLS peuvent filtrer et prendre des décisions sur l’accès des utilisateurs ou des groupes aux applications individuelles (ports), aux URL sélectionnées, aux objets incorporés, aux commandes d’application et même au contenu.

Si vous avez vraiment besoin d’un contrôle d’accès par utilisateur, par application, accédez à SSL / TLS. Si vous devez donner aux groupes d’utilisateurs de confiance un accès homogène à des segments entiers du réseau privé, ou si vous avez besoin du plus haut niveau de sécurité offert par le cryptage secret partagé, accédez à IPsec.

Défense contre l’attaque

Les algorithmes de blocage de cryptage SSL / TLS et IPsec, tels que Triple DES, sont couramment utilisés dans les VPN. Les VPN SSL / TLS prennent également en charge les algorithmes de chiffrement de flux qui sont souvent utilisés pour parcourir les pages Web. Étant donné la longueur de clé comparable, le chiffrement par bloc est moins vulnérable à l’analyse du trafic que le chiffrement par flux.

Si vous implémentez un VPN SSL / TLS, sélectionnez des produits qui prennent en charge la version actuelle de TLS, qui est plus puissante que l’ancienne SSL. Entre autres avantages, TLS élimine les anciennes options d’échange de clés SSL et l’intégrité des messages qui le rendaient vulnérable au piratage et à la falsification de clés.

Outre le chiffrement, il existe des différences importantes entre les VPN IPsec et les VPN TLS qui peuvent affecter la sécurité, les performances et l’opérabilité. Il s’agit notamment des éléments suivants:

  • Gérer un homme au milieu (MitM) d’une attaque. L’utilisation de secrets partagés pour authentifier et crypter IPsec empêche complètement les attaques MitM. De plus, IPsec détecte et rejette les modifications de paquets, ce qui empêche également les attaques MitM, même lorsque les secrets partagés ne sont pas utilisés. Cela peut créer des problèmes s’il existe un système réseau pour traduire les adresses entre les points de terminaison, car la passerelle NAT modifie les paquets par sa nature, en remplaçant les adresses IP publiques par des adresses privées et en faisant correspondre les numéros de port. Cependant, presque tous les produits IPsec prennent en charge l’extension NAT.

    TLS est protégé contre les attaques MitM légères (celles qui ne détournent pas le chiffrement); il transporte des nombres ordinaux dans des paquets chiffrés pour, par exemple, empêcher l’injection de paquets et utilise l’authentification des messages pour détecter les changements de charge utile.

  • Relisez le message. IPsec et TLS utilisent des séquences pour détecter et résister aux attaques de récurrence des messages. IPsec est plus efficace car dans le code système, il rejette les paquets en dehors de l’ordre inférieur de l’ensemble. Dans les VPN SSL / TLS, les paquets en panne sont détectés par un périphérique de session TCP ou un moteur proxy TLS, consommant plus de ressources avant d’être supprimés. C’est l’une des raisons pour lesquelles IPsec est largement utilisé pour les VPN d’un endroit à l’autre, où la puissance brute est essentielle pour répondre aux besoins de grandes et petites latences.
  • Résistance au déni de service (DoS). IPsec est plus résistant aux attaques DoS car il opère sur la couche inférieure du réseau. TLS utilise TCP, le rendant vulnérable aux inondations TCP SYN, qui remplissent les tables de session et paralysent de nombreux ensembles de réseaux standard. Les périphériques VPN IPsec professionnels sont sécurisés contre les attaques DoS; certains fournisseurs IPsec publient même des résultats de test DoS.

Examinez attentivement les produits individuels et publié les résultats des tests tiers, y compris les certificats de l’International Computer Security Association pour IPsec, IKE et SSL / TLS, pour évaluer les vulnérabilités DoS dans chaque déploiement.

Sécurité client

Votre VPN – IPsec ou SSL / TLS – est aussi sécurisé que les ordinateurs portables, PC ou appareils mobiles qui y sont connectés. Sans précaution, n’importe quel appareil client peut être utilisé pour attaquer votre réseau. Par conséquent, les entreprises qui mettent en œuvre tout type de VPN doivent spécifier des mesures de sécurité client supplémentaires, telles que des pare-feu personnels, une analyse des logiciels malveillants, une prévention des cambriolages, une authentification du système d’exploitation et un cryptage de fichiers.

C’est plus facile avec IPsec car IPsec nécessite un logiciel client. Certains clients VPN IPsec incluent des produits de sécurité de bureau intégrés afin que seuls les systèmes conformes aux politiques de sécurité de l’organisation puissent utiliser des VPN.

Les périphériques clients SSL / TLS posent un plus grand défi à cet égard, car les VPN SSL / TLS peuvent être obtenus par des ordinateurs hors du contrôle de l’entreprise – les ordinateurs publics sont un défi particulier. Les fournisseurs traitent cela de plusieurs manières – par exemple:

  • Un VPN SSL / TLS peut essayer de garantir que les données sensibles ne sont pas transférées de session en session sur un ordinateur partagé en supprimant des données telles que les informations d’identification mises en cache, les pages Web enregistrées, les fichiers temporaires et les cookies.
  • Sur un navigateur SSL / VPN, il peut exécuter localement une applet qui recherche les ports ouverts et vérifie la présence d’un logiciel anti-programme malveillant avant que la passerelle accepte l’accès à distance.
  • Certains VPN SSL / TLS combinent la sécurité du client avec des règles d’accès. Par exemple, une passerelle peut filtrer les commandes d’application individuelles – par exemple, FTP GET, mais pas PUT; aucune récupération d’objets HTTP se terminant par .exe – pour restreindre le champ d’activité de ceux qui utilisent des ordinateurs non protégés.

L’état de la session est une dimension de l’utilisabilité plus que de la sécurité, mais il convient de noter que les produits VPN IPsec et SSL / TLS exécutent souvent un Keepalive configurable qui détecte le départ d’un tunnel. Les deux types de tunnels sont arrêtés si le client perd la connectivité réseau ou si le tunnel expire en raison d’une inactivité. Différentes méthodologies sont utilisées en fonction de différents emplacements dans le protocole, mais ont le même effet net sur les utilisateurs.

VPN SSL / TLS vs VPN IPsec

Client contre client

L’application principale des VPN SSL / TLS est leur utilisation de navigateurs standard en tant que clients pour accéder à des systèmes sécurisés, non pas qu’ils doivent installer un logiciel client, mais plusieurs facteurs doivent être pris en considération.

Les VPN SSL / TLS font un excellent travail pour rendre les applications basées sur un navigateur accessibles aux appareils distants. Cependant, d’une manière générale, plus la combinaison d’applications est diversifiée, plus IPsec peut devenir attrayant. Cela se résume à un compromis entre l’installation d’un client IPsec et la personnalisation d’un VPN SSL / TLS.

Bien sûr, toutes les applications ne sont pas disponibles pour le navigateur. Si les applications clés ne le sont pas, la passerelle devra pousser un agent de bureau, tel qu’une applet Java, pour autoriser l’accès – par exemple Vers une application client ou serveur héritée. Si l’environnement est riche en telles applications, vous pouvez passer plus de temps et d’efforts à développer ou déployer des modules complémentaires que vous ne le feriez avec la prise en charge VPN IPsec. L’utilisation de ces modules complémentaires peut entrer en conflit avec d’autres politiques de sécurité de bureau. La plupart des organisations, par exemple, bloquent Java non signé car il peut être utilisé pour installer des chevaux de Troie, télécharger ou supprimer des fichiers, etc. Certaines organisations bloquent la sécurisation de tout le contenu actif. Par conséquent, vous devrez peut-être reconfigurer certains clients de navigateur pour utiliser des VPN SSL / TLS, ce qui vous remettra dans l’affaire de la fidélité aux configurations client.

La plupart des plates-formes clientes, y compris Windows, Mac OS X, Android et Apple iOS, prennent en charge nativement IPsec. Certains passants auront toujours besoin d’un logiciel client tiers pour des fonctionnalités avancées, et les anciens clients peuvent ne pas avoir la solution d’origine. Par conséquent, gardez à l’esprit pour évaluer les VPN potentiels. L’installation de clients tiers prend du temps et nécessite un accès aux machines des utilisateurs.

Certains fournisseurs proposent des clients VPN IPsec matériels pour les organisations qui doivent gérer différentes plates-formes de système d’exploitation. Ces petits appareils se trouvent entre l’ordinateur personnel du travailleur et un modem câble ou DSL (Digital Subscriber Line), agissant comme un client VPN IPsec. L’idée est d’investir à l’avance dans du matériel pour permettre la gestion de l’accès VPN via un appareil contrôlé par l’entreprise, et non pas chaque appareil client derrière lui. Les organisations peuvent à la place utiliser les pare-feu IPsec d’un bureau / bureau à domicile pour inclure les travailleurs LAN dans leur topologie VPN de localisation à localisation.

La distribution et la maintenance des politiques sont souvent entravées par la mobilité des utilisateurs et la connectivité occasionnelle. Il s’agit d’un problème important pour les VPN IPsec. Les administrateurs IPsec doivent créer des politiques de sécurité pour chaque connexion réseau autorisée, en identifiant les données critiques, telles que l’identité IKE, le groupe Diffie-Hellman, les algorithmes de cryptographie et la durée de vie de la sécurité. Les fournisseurs IPsec fournissent des systèmes centralisés de gestion des politiques pour faciliter et automatiser la distribution des politiques, mais pas toujours d’une manière qui s’intègre parfaitement aux autres politiques de sécurité réseau et domaines de politiques.

Fondamentalement, la politique de sécurité pour VPN SSL / TLS est implémentée et appliquée sur la passerelle – proxy SSL / TLS. Il n’y a donc pas d’utilisateurs ou d’appareils impliqués et pas de télécommande.

Intégration de passerelles VPN

Les problèmes côté serveur sont généralement perdus au milieu des bourdonnements sur les économies sans client, mais comprendre ce qui compte est de choisir un produit VPN, une conception de système sécurisée et un déploiement rentable.

Que vous choisissiez IPsec ou SSL / TLS, votre passerelle VPN sera l’endroit où le pneu rencontre la route. L’administration VPN côté serveur est requise pour les deux. Les configurations réseau sont un problème majeur pour IPsec, et la gestion du serveur d’applications est un problème pour SSL / TLS.

Les hôtes distants IPsec font partie de votre réseau privé, le service informatique doit donc distinguer les éléments suivants:

  • Attribution d’adresse. Les tunnels IPsec ont deux adresses. Les adresses externes proviennent du réseau dans lequel le tunnel est démarré – par ex. Un client distant. Les adresses internes d’un réseau sécurisé sont attribuées sur la passerelle. Le service informatique doit utiliser son protocole de configuration d’hôte dynamique ou d’autres outils de gestion des adresses IP pour fournir une plage pour la passerelle utilisée et doit s’assurer que tout pare-feu interne ou autres systèmes de sécurité permettent à ces adresses d’accéder aux services souhaités.
  • Classification du trafic. Les systèmes SSL / TLS permettent un contrôle détaillé de l’accès au service sur la passerelle. Décider quoi protéger, puis configurer le sélecteur de protection prend du temps de configuration et de maintenance. Par exemple, «les clients RH doivent pouvoir accéder aux serveurs HR» doivent être mappés sur le bon ensemble d’utilisateurs et de sous-réseaux de destination, serveurs, ports et URL et maintenus au fil du temps à mesure que les services changent.
  • Acheminement. L’ajout d’une passerelle VPN IPsec modifie l’itinéraire réseau. Vous passerez du temps à décider comment le trafic client vers et depuis la passerelle VPN doit être acheminé.

Les VPN SSL / TLS ne nécessitent pas d’attribuer une adresse client ou de modifier le routage au sein de votre réseau car ils fonctionnent davantage dans un ensemble de réseaux. Cependant, les passerelles VPN SSL / TLS sont généralement déployées derrière un pare-feu de périmètre, qui doit être configuré pour fournir le trafic SSL / TLS à la passerelle. En revanche, un pare-feu de périmètre est souvent une passerelle VPN IPsec.

SSL / TLS Vs. Fournisseurs VPN IPsec

Les passerelles VPN SSL / TLS peuvent avoir un impact positif sur les serveurs d’applications de votre réseau privé. Si le personnel informatique doit restreindre l’accès à une précision plus précise du pare-feu – par exemple En accédant à un répertoire sur un utilisateur Web – vous devrez peut-être appliquer des contrôles d’accès au niveau du système d’exploitation, tels que Windows NTFS et – l’authentification des utilisateurs ou par application sur les serveurs eux-mêmes. Cela contrôlerait l’accès au personnel provenant des points de terminaison de l’entreprise via IPsec ou SSL / TLS VPN.

En appliquant les mêmes contrôles d’accès détaillés aux passerelles VPN SSL / TLS, les organisations peuvent transférer cette sécurité à partir de serveurs d’applications. Il permet également à une organisation d’appliquer une politique uniforme sur la passerelle et au sein des systèmes internes, même si la passerelle dirige le trafic vers une destination externe, comme un service SaaS. Citrix NetScaler, par exemple, peut fournir un environnement de politique de sécurité unique pour toutes les applications professionnelles sanctionnées, que ce soit sur site ou dans le cloud.

Ce contrôle d’accès précis a un prix: plus de planification, de configuration et de vérification signifie abonnement. Et cela n’élimine pas la nécessité de contrôles sur les serveurs à moins que tout le trafic ne passe par la passerelle, donc la surveillance des politiques de synchronisation est une autre tâche continue.

Test de temps

Y aura-t-il toujours un VPN SSL / TLS contre un VPN IPsec? Il est probable qu’IPsec restera attractif pour les groupes qui ont besoin du plus haut niveau de sécurité, nécessitera un accès plus large aux systèmes informatiques ou à de riches ensembles d’applications héritées, et, bien sûr, pour se connecter entre des lieux et des lieux – souvent contrôlés par un WAN défini par logiciel plutôt que par un VPN. . SSL / TLS continuera à être attrayant pour les implémentations moins sécurisées ou celles qui ont besoin d’un seul endroit pour contrôler beaucoup de différenciation fine et différente des droits d’accès pour les utilisateurs sur plusieurs systèmes ou pour ceux qui ne peuvent pas imposer ou contrôler l’utilisation d’IPsec.

Les services informatiques doivent évaluer les besoins spécifiques des différents groupes d’utilisateurs pour décider si un VPN leur convient, par opposition à un type de système plus récent, tel qu’un outil de périmètre défini par logiciel; quel type de VPN répondra le mieux à leurs besoins; et si vous devez le fournir vous-même ou souscrire un service VPN, tel que Palo Alto Prisma ou Cisco Umbrella.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée.