Y a-t-il des raisons d'utiliser SSL sur IPSec?
est-il recommandé d'utiliser les deux protocoles ensemble? Dans quelle situation?
Il existe différentes couches de transport sécurisé à considérer ici:
- VPN
- VPN SSL (y compris les tunnels)
- VPN IPSec
- SSL/TLS pour les services individuels
VPN IPSec vs SSL
Les VPN SSL et IPSec sont de bonnes options, tous deux avec un pedigree de sécurité considérable, bien qu'ils puissent convenir à différentes applications.
Les VPN IPsec fonctionnent sur la couche 3 (réseau) et, dans un déploiement typique, donnent un accès complet au réseau local (bien que l'accès puisse être verrouillé via des pare-feu et que certains serveurs VPN prennent en charge les ACL). Cette solution est donc mieux adaptée aux situations où vous souhaitez que les clients distants se comportent comme s'ils étaient connectés localement au réseau, et est particulièrement adaptée aux VPN de site à site. Les VPN IPSec ont également tendance à nécessiter un logiciel spécifique fourni par le fournisseur, qui est plus difficile à maintenir sur les appareils des utilisateurs finaux, et limite l'utilisation du VPN aux appareils gérés.
Les VPN SSL sont souvent cités comme étant le choix préféré pour l'accès à distance. Ils fonctionnent sur les couches 5 et 6 et, dans un déploiement typique, accordent l'accès à des services spécifiques en fonction du rôle de l'utilisateur, dont les plus pratiques sont les applications basées sur un navigateur. Il est généralement plus facile de configurer un VPN SSL avec un contrôle plus granulaire des autorisations d'accès, ce qui peut fournir un environnement plus sécurisé pour l'accès à distance dans certains cas. En outre, SSL/TLS est intrinsèquement pris en charge par les appareils modernes et peut généralement être déployé sans avoir besoin de logiciels côté client spécialisés, ou avec des clients légers basés sur un navigateur dans le cas contraire. Ces clients légers peuvent souvent également exécuter des vérifications locales pour s'assurer que les machines de connexion répondent à certaines exigences avant de leur accorder l'accès - une fonctionnalité qui serait beaucoup plus difficile à réaliser avec IPSec.
Dans les deux cas, l'un peut être configuré pour réaliser des choses similaires à l'autre - les VPN SSL peuvent être utilisés pour créer simplement un tunnel avec un accès réseau complet, et les VPN IPSec peuvent être verrouillés pour des services spécifiques - mais il est largement admis qu'ils le sont mieux adapté aux scénarios ci-dessus.
Cependant, pour exactement ces raisons, de nombreuses organisations utiliseront une combinaison des deux; souvent un VPN IPSec pour les connexions de site à site et SSL pour l'accès à distance.
Il existe un certain nombre de références au sujet de SSL vs IPSec (certaines d'entre elles proviennent directement de fournisseurs):
- https://supportforums.Cisco.com/document/113896/quick-overview-ipsec-and-ssl-vpn-technologies
- http://netsecurity.about.com/cs/generalsecurity/a/aa111703.htm
- http://www.sonicwall.com/downloads/EB_Why_Switch_from_IPSec_to_SSL_VPN.pdf
- http://searchsecurity.techtarget.com/feature/Tunnel-vision-Choosing-a-VPN-SSL-VPN-vs-IPSec-VPN
- http://www.networkworld.com/article/2287584/lan-wan/ipsec-vs--ssl-vpns.html
Cryptage de bout en bout
Dans certains des cas ci-dessus, tels que les VPN IPSec et les tunnels VPN SSL, vous n'obtiendrez peut-être pas le chiffrement de bout en bout avec le service réel que vous utilisez. C'est là que l'utilisation d'une couche supplémentaire de SSL/TLS est utile.
Supposons que vous êtes distant et que vous essayez de vous connecter à une application Web hébergée en interne via un VPN IPSec. Si vous utilisez le protocole HTTP via votre navigateur, votre trafic est chiffré pendant qu'il passe par le tunnel VPN lui-même, mais il est ensuite déchiffré lorsqu'il atteint le point de terminaison VPN distant et voyage sur le réseau interne en texte clair. Cela peut être acceptable dans certains cas d'utilisation, mais dans l'intérêt de la défense en profondeur, nous souhaitons idéalement savoir que nos données ne peuvent être interceptées nulle part entre vous et le service lui-même. En vous connectant à cette application via HTTPS, vous disposez effectivement de deux couches de sécurité: une entre vous et le point de terminaison VPN, et une autre qui le traverse (entre vous et le serveur Web lui-même).
Bien sûr, cela ne se limite pas au HTTPS - vous devez également utiliser d'autres protocoles sécurisés comme SSH, FTPS, SMTP avec STARTTLS, etc.
Voici un bon article de Cisco sur IPSEC et SSL. Il comprend les forces et les faiblesses ainsi qu'une vue d'ensemble de chacune, ainsi que la mise en œuvre des deux ensemble.
Cela dépend si vous avez un tunnel VPN d'entreprise (qui fonctionne sur IPSEC) mais une couche au-dessus du serveur Web interne que vous atteignez via VPN dans le réseau d'entreprise peut être HTTPS (qui est via SSL)
Il y a longtemps que j'ai fait un discours à ce sujet
Il y a des raisons d'utiliser les deux protocoles. Lorsque vous utilisez un tunnel IPsec, vous souhaitez toujours un chiffrement au niveau de l'application. Ceci est avantageux s'il y a un espace entre l'extrémité du tunnel et la fin de votre session.
Le diagramme suivant explique pourquoi vous pouvez souhaiter un chiffrement au niveau de l'application comme HTTPS (SQL dans mon exemple) en plus d'IPsec.
User => Website => IPSec Tunnel => Back End Network => SQL Backend
| => Data can be read by other hosts!