II.14. ETUDE COMPARATIVES DES DIFFERENTS PROTOCOLES
Chaque protocoLe présenté permet de
réaLiser des soLutions performantes de VPN. Nous aLLons ici aborder Les
points forts et Les points faibLes de queLques de ses protocoLes.
II.14.1. VPN-SSL
Présentée comme La soLution miracLe pour
permettre aux itinérants de se connecter aux appLications
réparties de L'entreprise Les VPN-SSL souffrent de probLèmes
principaLement Liés aux navigateurs web utiLisés. Le but
d'utiLiser des navigateurs web est de permettre aux utiLisateurs d'utiLiser un
outiL dont iLs ont L'habitude et qui ne nécessite pas de configuration
suppLémentaire. Cependant Lorsqu'un certificat expire L'utiLisateur doit
aLLer manueLLement Le renouveLer. Cette opération peut poser
probLème aux utiLisateurs novices. De pLus sur La majorité des
navigateurs web La consuLtation des Listes de certificats
révoqués n'est pas activée
par défaut : toute La sécurité de SSL
reposant sur ces certificats ceci pose un grave probLème de
sécurité. Rien n'empêche de pLus Le cLient de
téLécharger une version modifiée de son navigateur pour
pouvoir utiLiser de nouveLLes fonctionnaLités (skins, pLugins...). Rien
ne certifie que Le navigateur n'a pas été modifié et que
son autorité de certification en soit bien une.
Enfin Un autre probLème Lié à
L'utiLisation de navigateurs web comme base au Vpn est Leur
spécificité au monde web. En effet par défaut un
navigateur n'interceptera que des communications Https ou éventueLLement
FTPs. Toutes Les communications venant d'autre type d'appLications (MS OutLook,
ou une base de données par exempLe) ne sont pas supportées. Ce
probLème est généraLement contourné par
L'exécution d'une appLet Java dédiée dans Le navigateur.
Mais ceci impLique égaLement La maintenance de cette appLet (s'assurer
que Le cLient possède La bonne version, qu'iL peut La
re-téLécharger au besoin)
L'idée suivant LaqueLLe Le navigateur web est une
pLate-forme idéaLe pour réaLiser des accès Vpn est donc
sérieusement à nuancer.
II.14.2. Le Protocole PPTP
PPTP présente L'avantage d'être
compLètement intégré dans Les environnements Windows. Ceci
signifie en particuLier que L'accès au réseau LocaL distant
pourra se faire via Le système d'authentification de Windows NT : RADIUS
et sa gestion de droits et de groupe.
Cependant comme pour certains produits Microsoft qui ne manquent
pas de faiLLe, La sécurité fait parti des points faibLes de ce
protocoLe :
- Mauvaise gestion des mots de passe dans Les environnements
mixtes Win 95/NT - FaibLesses dans La génération des cLés
de session : réaLisé à partir d'un hachage
du mot de passe au Lieu d'être entièrement
générées au hasard. (faciLite Les
attaques « force brute »)
- FaibLesses cryptographiques du protocoLe Ms-CHAPV1
corrigées dans La version 2 mais aucun contrôLe sur cette version
n'a été effectué par une entité
indépendante.
- Identification des paquets non impLémentée :
vuLnérabiLité aux attaques de type « spoofing »
| 
