30 mai 2012

VPN : SSL ou IPSec, que choisir ?

Logo BSSI
Au sein des entreprises, la mobilité est de plus en plus importante pour les employés, mais quelle technologie d’accès offre le meilleur niveau de sécurité ?

Les entreprises mettent en œuvre pour leurs collaborateurs des accès nomades afin de leur permettre de travailler en mobilité. Les moyens d’accès sont variés, cela peut aller du PC portable professionnel ou personnel, aux terminaux mobiles.

La diversification des moyens, profils et applications ne facilite pas le choix pour la méthode d’accès : VPN SSL ou VPN IPSec.

Technologies  VPN SSL :

Le protocole SSL permet d’offrir des services de sécurité entre le navigateur du client et le serveur distant. SSL est capable de garantir la confidentialité et l’intégrité des données échangées en utilisant des mécanismes de cryptographie asymétrique basés sur des certificats x509 géré au sein d’une PKI (Public Key Infrastructure) par l’entreprise. La technologie VPN SSL permet de sécuriser les connexions à distances sur l’entreprise. Aujourd’hui, les solutions existent sous forme d’Appliance ou intégrées directement à un firewall. L’Appliance sert de terminaison SSL au navigateur du poste nomade qui est préalablement authentifié. A partir de là, l’utilisateur peut accéder à ses applications métiers.

Aujourd’hui, beaucoup des constructeurs sont capables de supporter des mécanismes d’authentification forte et de fournir ainsi une solution sécurisée de bout en bout.

 

Technologie VPN IPSec

Le protocole IPSec permet d’établir des liaisons sécurisées au niveau réseau et va permettre de protéger l’intégrité et la confidentialité des échanges réseaux en créant des tunnels IP chiffrés par des mécanismes cryptographiques symétriques. Les tunnels IPSec sont établis entre deux équipements réseaux ou entre un client lourd installé sur un poste de travail et un équipement réseau. Les clés de chiffrement doivent être préalablement installées des deux cotés ou peuvent être échangées à l’initialisation du tunnel. Ces clés doivent être gérées au sein de l’entreprise.

 

Avantages / Inconvénients des deux technologies

Les deux technologies permettent d’assurer la confidentialité et l’intégrité des données échangées en utilisant les mécanismes de cryptographie moderne.

IPSec nécessite l’installation d’un client lourd sur le poste du client qui travaille dans les couches basses du modèle OSI (niveau 2 et niveau 3) ce qui peut engendrer des problèmes d’interopérabilité et nécessite un support plus important des administrateurs.

IPSec supporte l’algorithme AES pour le chiffrement des données alors que la majorité des applications SSL ne l’ont pas encore implémenté. Il est plus aisé de sécuriser les implémentations d’IPSec car l’administrateur a la maitrise de bout en bout. Ainsi, il existe de nombreuses attaques sur les tunnels SSL à travers des vulnérabilités liées au navigateur. Un autre inconvénient lié à l’IPSec, est la problématique de routage qui nécessite la mise en œuvre de translation d’adresses et au niveau des FAI, la mise en place de mécanismes spécifiques pour le NAT.

 

En conclusion

Pour un déploiement et une gestion simplifiée des postes nomades, le VPN SSL s’avèrent être une bonne solution. Néanmoins, IPSec reste une technologie à considérer dans les environnements demandant un haut niveau de sécurité et dont la maîtrise de bout en bout est nécessaire.

 

M. Nicoleau

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *