Bonjour ts le monde
je voudrai implémenter un VPN IPSec sur mon reseau, et j'utilise déja SSL/TLS pour sécuriser des applications (https, ftps...).
Ma question est la suivane :
- Est ce que l'implémentation de IPSec ne sera pas un redondance inutil pour les application (https, ftps...) ?
ça me lasse penser à une question plus globale, sachant que IPv6 impléménte deja IPSec, alors :
- Est ce que l'arrivé de IPv6 va tuer les SSL/TLS ? oubien ils vont coéxister ? et est ce que ça ne sera pas une redondance innutile et couteuse pour les perfermance réseaux ?
Voila, toute idée, liens, documentation.... me sera d'une grande uilité. surtout que je dois prendre une décision le plus vite possible
Merci d'avance
IPSec contre SSL/TLS ???
Modérateur: modos Ixus
4 messages
• Page 1 sur 1
IPSec contre SSL/TLS ???
par blonde » 06 Avr 2005 13:18
-
blonde - Aspirant
- Messages: 103
- Inscrit le: 21 Nov 2002 01:00
par iffefroi » 18 Avr 2005 11:59
Salut blonde,
ça fait bizarre d'avoir subitement des questions politico-phylophique sur un forum mais ça peux devenir un débat interressant, c'est pourquoi je me fais un plaisir de répondre à tes questions :
La réponse est oui, il est complétement redondant de crypter, de vérifier l'intégrité des données, et d'authentiier les pairs deux fois. Et donc c'est assez ridicule, les protocoles TLS/SSL ou SSH sont largement bien implémenter pour ne pas avoir besoin de les re-sécuriser.
Par contre je pense que IPSec a un grand avantage par rapport à SSL : l'endroit ou se fait la sécurité. Je pense en effet qu'il est préférable de crypter au niveau du firewall en tout cas sur un endroit unique et précis pour simplifier la gestion du réseau (certificats ou méthodes employées, etc.)
Je vais être un peu moqueur, mais pour l'instant, je n'y crois pas vraiment à IPv6. Je crois que IPv6 gère la sécurité de façon non-obligatoire : c'est-à dire que IPv6 n'oblige pas de crypter et de sécuriser à tous les coups les paquets IP.
oui sans doute. TLS/SSL ont un gros avantages (en https) quand tu vas sur ebay : tu n'as pas besoin de configurer SSL pour que ton mot de passe soit crypter. Dans ce sens SSL (ou surtout https) a l'avantage d'être plus ou moins autoconfigurable. Et l'autoconfiguration c'est l'avenir. Donc soit IPv6 ser plus facilement configurable qu'un tunnel VPN IPSec soit IPv6 ne sera pas utiliser pour le commun des mortels (qui vont sur ebay
)
comme je l'ai dit avant, il sera possible de n'utiliser que SSL pour les applications pour les clients et IPSec pour les applications intra-entreprises.
Voilà j'espère que ma réponse t'a aidé.
Si tu as d'autres questions n'hésitent pas.
Si d'autres personnes ont quelques choses à rajouter : qu'ils n'hésitent pas, c'est toujours interressants de discuter de l'avenir de la technologie.
Iffefroi
ça fait bizarre d'avoir subitement des questions politico-phylophique sur un forum mais ça peux devenir un débat interressant, c'est pourquoi je me fais un plaisir de répondre à tes questions :
- Est ce que l'implémentation de IPSec ne sera pas un redondance inutil pour les application (https, ftps...) ?
La réponse est oui, il est complétement redondant de crypter, de vérifier l'intégrité des données, et d'authentiier les pairs deux fois. Et donc c'est assez ridicule, les protocoles TLS/SSL ou SSH sont largement bien implémenter pour ne pas avoir besoin de les re-sécuriser.
Par contre je pense que IPSec a un grand avantage par rapport à SSL : l'endroit ou se fait la sécurité. Je pense en effet qu'il est préférable de crypter au niveau du firewall en tout cas sur un endroit unique et précis pour simplifier la gestion du réseau (certificats ou méthodes employées, etc.)
Est ce que l'arrivé de IPv6 va tuer les SSL/TLS ?
Je vais être un peu moqueur, mais pour l'instant, je n'y crois pas vraiment à IPv6. Je crois que IPv6 gère la sécurité de façon non-obligatoire : c'est-à dire que IPv6 n'oblige pas de crypter et de sécuriser à tous les coups les paquets IP.
oubien ils vont coéxister ?
oui sans doute. TLS/SSL ont un gros avantages (en https) quand tu vas sur ebay : tu n'as pas besoin de configurer SSL pour que ton mot de passe soit crypter. Dans ce sens SSL (ou surtout https) a l'avantage d'être plus ou moins autoconfigurable. Et l'autoconfiguration c'est l'avenir. Donc soit IPv6 ser plus facilement configurable qu'un tunnel VPN IPSec soit IPv6 ne sera pas utiliser pour le commun des mortels (qui vont sur ebay
)et est ce que ça ne sera pas une redondance innutile et couteuse pour les perfermance réseaux ?
comme je l'ai dit avant, il sera possible de n'utiliser que SSL pour les applications pour les clients et IPSec pour les applications intra-entreprises.
Voilà j'espère que ma réponse t'a aidé.
Si tu as d'autres questions n'hésitent pas.
Si d'autres personnes ont quelques choses à rajouter : qu'ils n'hésitent pas, c'est toujours interressants de discuter de l'avenir de la technologie.
Iffefroi
-
iffefroi - Premier-Maître
- Messages: 46
- Inscrit le: 23 Mars 2005 12:06
- Localisation: Strasbourg
Re: IPSec contre SSL/TLS ???
par tomtom » 18 Avr 2005 23:35
blonde a écrit:Bonjour ts le monde
je voudrai implémenter un VPN IPSec sur mon reseau, et j'utilise déja SSL/TLS pour sécuriser des applications (https, ftps...).
Ma question est la suivane :
- Est ce que l'implémentation de IPSec ne sera pas un redondance inutil pour les application (https, ftps...)
Ben, ça n'a rienà voir !
HTTPS, FTPS, ca sert à fournir un accès avec une authentification [en general] unidirectionnelle (on authentifie de manière forte le serveur uniquement) sans configuration coté client.
Si tu fais un VPN SSL, tu feras une authentification symetrique et c'est pour des acces en général plus interactifs (shell, partages de fichiers, d'agendas, d'imprimantes etc.)
Monter un vpn juste pour faire du http, ca vaut pas le coup...
ça me lasse penser à une question plus globale, sachant que IPv6 impléménte deja IPSec, alors :
- Est ce que l'arrivé de IPv6 va tuer les SSL/TLS ? oubien ils vont coéxister ? et est ce que ça ne sera pas une redondance innutile et couteuse pour les perfermance réseaux ?
IPv6 n'impose aucun chiffrement, il le permet juste de manière native.
De plus, il n'y aura pas d'overhead puisque l'information sera déja dans le protocole.
Enfin, tu t'imagines un instant faire du ipsec avec tous les serveurs web de la terre ? IPV6 est pensé pour élargir la plage d'adresse essentiellemnt, la sécurité intrinsèque est un ajout bien "smart"
t.
One hundred thousand lemmings can't be wrong...
-
tomtom - Amiral
- Messages: 6035
- Inscrit le: 26 Avr 2002 00:00
- Localisation: Paris
par Walkyrie_II » 04 Fév 2006 21:45
Pas du tout d'accord !!! Ils sont complementaires et non rien a voir. IPsec et SSL ne sont pas au même niveau des couches OSI
IP-sec permet au maximun qu'une authentification mutuelle des hostes et EN AUCUN cas de l'utilisateur !!!
SSL peut permettre une authentification forte (si le 2 parties disposent d'un certificat) mutuelle au niveau Session et pas glissement Application et pas concéquant niveau utilisateur/service. Même si ce n'est pas l'utilisation général des serveurs web. Les banque vont y venir, mais il reste le pb d coût des lecteurs carte a puce pour securisé le bi-clef.... a charge de qui ?
Avec des certificats et SSL tu peux faire du NOMADISME si l'application est prévu pour SSL, ce qui n'est pas le cas avec IPSec qui je le rapelle et fonction du poste !!!
Par contre IPsec te crée un tunel pour TOUTES les communications avec un hôte de confiance que l'application soit ou non prévu pour fonctionner en mode sécurisé . Mais cela reste du Point a point et sur un WAN point de salut hors encapsualtion IP-sec dans IP.
pour une authentification forte de l'utilsateur c'est SSL/TLS
pour du tunel IPSEC
bref dire que ca fait la meme chose ou que l'un dispense de l'autre reviendrai a dire :
Parce que je fais un tunel GRE entre deux routeurs, je n'ai pas besoin de la signature numérique sur mes email.
IP-sec permet au maximun qu'une authentification mutuelle des hostes et EN AUCUN cas de l'utilisateur !!!
SSL peut permettre une authentification forte (si le 2 parties disposent d'un certificat) mutuelle au niveau Session et pas glissement Application et pas concéquant niveau utilisateur/service. Même si ce n'est pas l'utilisation général des serveurs web. Les banque vont y venir, mais il reste le pb d coût des lecteurs carte a puce pour securisé le bi-clef.... a charge de qui ?
Avec des certificats et SSL tu peux faire du NOMADISME si l'application est prévu pour SSL, ce qui n'est pas le cas avec IPSec qui je le rapelle et fonction du poste !!!
Par contre IPsec te crée un tunel pour TOUTES les communications avec un hôte de confiance que l'application soit ou non prévu pour fonctionner en mode sécurisé . Mais cela reste du Point a point et sur un WAN point de salut hors encapsualtion IP-sec dans IP.
pour une authentification forte de l'utilsateur c'est SSL/TLS
pour du tunel IPSEC
bref dire que ca fait la meme chose ou que l'un dispense de l'autre reviendrai a dire :
Parce que je fais un tunel GRE entre deux routeurs, je n'ai pas besoin de la signature numérique sur mes email.
- Walkyrie_II
- Enseigne de vaisseau
- Messages: 179
- Inscrit le: 04 Fév 2006 21:33
- Localisation: Paris
4 messages
• Page 1 sur 1
Retour vers Confidentialité et Cryptographie
Qui est en ligne ?
Utilisateur(s) parcourant actuellement ce forum : Aucun utilisateur inscrit et 1 invité