StrongSwan: Chemin d'accès sécuritaire en passant par un terrain dangereux
L'Internet: Des dangers recèlent partout
Peut-être vous maintenant voudriez dire: «Recours! La situation
n'est pas si mal!»
Dans l'absolu je concède à vous car lorsqu'il aurait été si mal, on avait bien
sûr mis l'Internet au pilon depuis longtemps. Mais tout le monde il n'est pas
nécessairement beau, tout le monde il n'est pas gentil, car il y a plein de
problèmes dans l'Internet, soit quelconques bot-nets que sont utilisés pour
des machinations suspectes, soit des essoreuses à spam qui essaient déballer
leurs immondices – à des serveurs piratés ou tels explicitement opérés par
quelconques filous pour refiler des logiciels malveillants à vous.
Pour cette raison on pourrait bien faire le parallèle entre l'Internet et une
rivière, vous êtes situé à l'un bord de laquelle et votre destination se trouve
à l'autre. Malheureusement la seule voie y est un gué traversant la rivière, et
pour comble de malheur des crocodiles et des piranhas abondent, mais plein de
sangsues et agents pathogènes se trouvent là-dedans, soit tout que pourrait
gâcher la joie de vous – et il n'y a aucun pont en vue à cent lieues à la
ronde.
Mais il y a malheureusement un problème avec ces saloperies qu'on sait qu'ils
existent, mais on ne sait jamais si, et si oui, quand elles vous attrapent. On
pourrait maintenant s'assurer et s'abstenir du passage, mais on ne peut pas y
accéder à sa destination. Et si on veut accéder à sa destination dont quelques
crapules veulent cambrioler tout de même, il faut bon gré mal gré risquer le
passage, avec touts problèmes y aller de pair.
Maintenant on pourrait essayer accéder à sa destination avec un bateau comme
des applications comme HTTPS ont des préventions de sécurité qui doivent vous
prémunir contre des mauvaises surprises, mais qu'est-ce qu'on fait lorsque ce
bateau se met à rouler (p. ex. le soi-disant
attaque POODLE
ou le bogue Heartbleed)?
Il y alors ne vraiment sert rien si on attrape des problèmes encore une fois.
En plus les n applications qui implémentent leurs
préventions de sécurité soi-mêmes sont en revanche un nombre pareil de points
d'attaque pour quelconques idiots, et vous devez les mettre à jour
sans exception pour que vous n'attrapiez aucuns
problèmes – ou au moins mettre les bibliothèques utilisées par ces applications
qui vous soulagent chiffrer et déchiffrer des données.
Jeter le pont
Pour éliminer des divers problèmes de prime abord il serait extrêmement aidant
lorsqu'on pourrait éviter ce gué et se construit un pont soi-même. Vous
simplement laissez des crapules au dehors tandis que vous pontez la rivière
dangereuse sécuritairement.
Votre destination pourrait être p. ex. un serveur que vous avez loué et auquel
vous voulez obtenir accès. En lieu d'utiliser un bateau (p. ex. SSH ou d'autres
choses semblables) que présente une cible avantageuse pour quelconques
attaquants vous simplement établirez une connexion sécuritaire sur laquelle
vous pouvez n'en faire qu'à sa guise. Il y n'est plus nécessaire que les
logiciels utilisés implementent des préventions de sécurité soi-mêmes; le pont
déjà garantit la protection. Ceci permet par exemple se connecter à votre
serveur par Telnet sans craindre des problèmes lorsque vous travaillez sur
votre connexion IPsec. Par contre il serait absolument irresponsable de
généralement débloquer Telnet à l'Internet comme votre serveur immédiatement
serait sans protection et on pourrait suivre l'entière communication en texte
clair, les données d'identité inclus!
Et lorsque la base de ce pont se révèle d'être instable parce qu'il y a une
faille de sécurité dans StrongSwan, il suffit si vous acceptez l'actualisation
à un seul endroit pour résoudre le problème au lieu d'intervenir aux plusieurs
places.
Comment IPsec peut vous protéger
Comment déjà décrit dans le chapitre
Contre-mesures IPsec vous protège de trois
sortes contre des mauvaises surprises. Il tant force que tout participant
d'une connexion IPsec doit s'identifier aux autres participants. Des stations
inconnues donc ne peuvent pas s'introduire à la connexion, et on peut, en règle
générale, facilement trouver et enlever des pourris.
Il garantit en plus l'integrité des données transférées, soit il est presque
impossible de contrefaire les données transmises à travers une connexion IPsec
- il faut au moins un effort qui est bien hors de proportion avec son bénéfice.
On y a la garantie qu'on reçoit les données tout comme ils étaient transmises.
Tertio IPsec empêche que des tiers puissent suivre les données, parce que des
personnes extérieures perçoivent le train de données comme de bruit qu'une
connexion de données normale: Ce qu'a lieu dans la connexion IPsec donc reste
entièrement caché.
La connexion IPsec y est à l'abri des manipulations, et lorsqu'il y a tout un chacun qui l'essayerait, ça va seulement produire une erreur que se présente comme une connexion avortée à vous. Vous y avez une mise en garde notamment s'il s'accumule bien que la connexion Internet physique est assez stable pour ne pas être en cause pour l'interruption de la connexion.
en hautDes choses contre lesquelles IPsec ne peut pas vous protéger
Mais IPsec a aussi quelques limites. IPsec est ainsi au mieux qualifié pour
protéger une connexion entre deux ordinateurs contre l'écoute et des
manipulations, mais il n'est aucune protection contre des données méchantes
qui entrent votre connexion IPsec régulièrement, p. ex. dans le cadre de
télécharger ou un message courriel que vous prenez de votre serveur courriel.
Pour le remédier ces problèmes il faut des mesures de sécurité entièrement
différentes que offertes par IPsec.
Examinons alors le scénario suivant: Vous établissez une connexion IPsec à
votre serveur qui agit comme une passerelle IPsec aussi pour télécharger
qulconques données de n'importe où. Comme le serveur ciblé en règle générale
n'est pas identique à votre serveur, le train de données doit retourner à
l'Internet non protégé et y tracer son sillon à sa destination. Il y a plein
des possibilités de s'attraper un problème, p. ex. un serveur compromis qui ne
préparent pas (que) des données demandées, mais au mieux voudrait refiler
quelconque Cheval de
Troie à vous, parce qu'il y a quelqu'un qui en voudrait aux données
bancaires des utilisateurs naïfs.
Le serveur renvoie des données en accord de la demande antérieure que sont
classifiées comme légitime par la passerelle IPsec et y laissées sur la
connexion protégée – et vous avez promptement cette garce dans votre système.