Way To Learn AcademyKnowledge Assessment

Chiffrement TLS Et VPN

CCST Networking (Cisco Certified Support Technician)Security

Chiffrement (TLS) et VPN

Définition

Le chiffrement protège la confidentialité et l'intégrité des données en transit. TLS (Transport Layer Security) sécurise les communications applicatives (HTTPS, SMTPS, etc.) en établissant un tunnel chiffré entre client et serveur. Les VPN (Virtual Private Networks) créent des tunnels chiffrés au niveau réseau pour relier des sites distants ou fournir un accès à distance sécurisé.

Contexte

Toute donnée transmise en clair sur un réseau est vulnérable à l'interception (attaque man-in-the-middle, sniffing). Le chiffrement est donc indispensable pour protéger les identifiants, les données métier et les flux de gestion. La certification CCST couvre les principes de TLS, la notion de PKI et les types de VPN utilisés en entreprise.

Détails techniques

TLS (Transport Layer Security)

  • Objectif : confidentialité (chiffrement), intégrité (HMAC) et authentification (certificats) des sessions applicatives.
  • Versions : TLS 1.2 (encore courant) et TLS 1.3 (plus rapide, plus sécurisé — handshake réduit à 1 RTT).
  • Handshake simplifié :
    1. Le client envoie un ClientHello avec les suites de chiffrement supportées.
    2. Le serveur répond avec son certificat X.509 et la suite choisie.
    3. Échange de clés (Diffie-Hellman ou ECDHE) → génération de la clé de session.
    4. Communication chiffrée par clé symétrique (AES-GCM, ChaCha20).
  • PKI (Public Key Infrastructure) : chaîne de confiance CA racine → CA intermédiaire → certificat serveur. Le client vérifie le certificat contre son magasin de certificats de confiance.

Chiffrement symétrique vs asymétrique

Type Principe Exemple Usage
Symétrique Une seule clé partagée AES-256, ChaCha20 Chiffrement des données en transit (rapide)
Asymétrique Paire clé publique / clé privée RSA, ECDSA Échange de clés, signatures, certificats

VPN — Types principaux

Type Protocole Usage
Site-to-Site IPsec (IKEv2 + ESP) Liaison permanente entre deux sites via Internet
Remote Access SSL/TLS VPN (ex. : AnyConnect) Employés en télétravail accédant au réseau d'entreprise
Client-to-Site IPsec IKEv2 Client natif OS vers concentrateur VPN

IPsec — Concepts clés

  • IKE (Internet Key Exchange) : négocie les paramètres de sécurité (SA — Security Association).
  • ESP (Encapsulating Security Payload) : chiffre et authentifie les données.
  • Modes : transport (entre hôtes) vs tunnel (entre passerelles — le plus courant en site-to-site).
  • Phases : Phase 1 (IKE SA — authentification mutuelle) → Phase 2 (IPsec SA — tunnel de données).

Exemple concret

Scénario : relier le siège (192.168.10.0/24) à la succursale (192.168.20.0/24) via un tunnel IPsec site-to-site.

  1. Sur le routeur du siège : définir la politique IKE (chiffrement AES-256, hash SHA-256, groupe DH 14), la clé pré-partagée et le transform set.
  2. Créer une crypto map associant le trafic intéressant (ACL : source 192.168.10.0/24 ↔ destination 192.168.20.0/24) au peer distant.
  3. Appliquer la crypto map sur l'interface WAN.
  4. Répéter symétriquement sur le routeur de la succursale.
  5. Vérifier avec show crypto isakmp sa (Phase 1) et show crypto ipsec sa (Phase 2 — compteurs de paquets chiffrés).

Concepts liés

Pare-feu et ACLAuthentification, Autorisation et Audit (AAA)Segmentation réseau et Zero TrustConnectivité cloud : VPN et SD-WANSécurité des endpoints et IoT
Authentification AaaGestion Des Vulnerabilites Et Patchs