Les Forums

Les Forums

Les forums sont fermés. Ils restent présent pour consultation et archivage.
Vous pouvez désormais poser vos questions directement dans les commentaires en bas de chaque page du site.
Alors n'hésitez pas à participer

PKI - VPN

Bonjour,
En plein dans mes revisions de concours, je bloque sur un point de comprehension concernant la liaison entre les certificats et l'identification pour la mise en place d'un VPN.
J'ai dans un premier temps, pour faire des tests, monte une plate forme Openswan et reussi a monter un tunnel L2TP/IPsec en utilisant une cle pre-partage.

Je m'attaque maintenant a la gestion (theorique et pratique) de l'identification par certificats, je ne saisie pas les points suivants :
- pour obtenir un certificat qui sera reconnu par mon serveur VPN que faut il faire? Doit on utiliser une PKI installee en interne? peut on utiliser un intermediare externe type Verisign pour l'optention du certif? Si oui, comment s'assurer que le demandeur est bien celui qu'il pretends?Quels informations lui faut il au prealable founir pour prouver son identite? L'entreprise doit elle passe un contrat avec ce tiers, payant j'imagine?

- une fois le certificat obtenu, l'utilisateur le propose au serveur VPN. Comment ce dernier identifi l'utilisateur? doit il avoir une copie du certif en local? Est ce juste parce que le certificat est emis par un tiers de confiance?

Cas pratique:
pour illustrer mes questions, voici le cas pratique qui m'interresse.

Prenons une entreprise avec une application "Gestion de comande" qui tourne sur son reseau local. L'idee est de donner l'acces a une centaine de petits commerces l'acces a cette application., via un client leger. Le nombre d'acces peut evoluer.
Ils utilisent tous des portables avec des acces DSL.
l'idee donc est de parametrer sur chaque laptop un vpn l2tp/ipsec en utilisant des certificats. Il y a trop d'acces pour une gestion de cles pre-partagees.
L'entreprise n'a pas mis en place de pki en interne.
Question, comment et par quel moyen mes utilisateurs peuvent recuperer un certificat, qui sera utilisable sur la plateforme vpn du site de l'entreprise.

Desole pour ce message un peu long mais cette petite incomprehension de ma part m'empeche d'avoir une vu d'ensemble du process.

Merci d'avance pour les infos que vous pourrez m'apporter.

Ben
Hello.

Je ne sais pas si cela va beaucoup t'aider mais j'avais trouvé pas mal de doc a ce sujet dans un livre ecrit par un certain "andrew tannenbaüm" (je crois) on me l'avais présenté comme etant la bible des réseau...

Et c'est bien le cas.

Bonne chance!
La bible des systèmes ! pour les réseaux c'est le Stevens 🙂

Quant aux problèmes de PKI soulevés, je pense qu'il faut déjà avoir une très bonne compréhension des principes de crypto (algos symétriques, asymétriques, hash) et du fonctionnement des authentifications, chiffrements de données, intégrité. Ensuite, il faudra comprendre ce qu'est une PKI, la chaîne de certification, la signature numérique par un tiers, etc.

Tout cela c'est un cours complet et ça ne se réusme pas en quelques lignes !!!
La bible des systèmes ! pour les réseaux c'est le Stevens 🙂


Tu peux preciser les ref de ce livre?
Merci.
"Le TCP/IP illustré" Volume 1, de Richard Stevens
Pas besoin de lire un bouquin pour répondre à ta question.
Dans ton exemple, tu crée une CA privée (pas besoin de verisign)
ensuite tu delivre toi meme les certifs clients.
Et ton concentrateur VPN n'accepte que les certifs signés par ta propre CA.
Simple non ?
En esperant que ça t'aide...

Eric
Je ne veux pas être rabat-joie mais je pense qu'il n'y a rien de pire que de mettre en oeuvre des mesures de sécurité sans comprendre leur fonctionnement. C'est comme ça que l'on voit des firewalls passoires et des PKI sans liste de révocation à tout va...
Mais bon, on utilise des certificats donc on est sécurisés !!!
J'ai pas dis de ne pas mettre en place de CRL ou OCSP.
Je répond simplement autre chose qu'un reference bibliographique.
Sinon à quoi servent les forums ?
Reste plus qu'à les remplacer par les avis des consommateurs sur amazon.com