|
▪
Protocole IPSec (IP Security)
|
|
Le protocole IP tel qu'il avait été conçu à l'origine ne prévoyait pas la possibilité de sécuriser la communication. IPSec est une norme qui définit une extension de sécurité pour le protocole IP afin de permettre la sécurisation des réseaux basés sur ce protocole.
IPSec se place au niveau de la couche réseau.
|
|
| Les grands services d'IPSec : |
| ▪ |
Protection et sécurisation les accès distants d'un réseau |
| ▪ |
IPSec sert à mettre en place des réseaux privés virtuels (VPN : Virtual Private Network |
|
| IPSec fournit également des services comme ci-dessous : |
| ▪ |
Confidentialité |
|
Aucune information ne circule en claire sur le réseau (surtout comme Mot de passe, ou information confidentielle) |
| ▪ |
Protection contre l'analyse du trafic |
|
Le mécanisme qui permet de faire le chiffrement des données. Par exemple, il est possible de crypter les adresses sources et destinataires. |
| ▪ |
Authentification |
|
L'authentification permet de vérifier que l'origine de donnée est bien celle d'éclairée. |
| ▪ |
Intégrité des données |
|
Ce service permet de garantir que les données n'ont pas été modifiées avant d'être reçues. |
| |
| o |
L'intégrité en mode non connecté permet de détecter des modifications sur un datagramme individuel, mais pas sur l'ordre des datagrammes. |
| o |
L'intégrité en mode connecté permet en plus de détecter la perte de paquets ou leur ordonnancement. |
|
|
Principe de fonctionnement |
|
La transmission sécurisée de l'IPSec se fait par le biais de deux protocoles AH (Authentication Header) et ESP (Encapsulating Security Payload).
|
| ▪ |
AH assure l'intégrité des datagrammes et l'authentification de la source. Le principe de AH est d'ajouter une signature digitale (code d'authentification) dans le datagramme qui permet à la réception de vérifier l'authenticité des données incluses.
|
| ▪ |
ESP assure la confidentialité des données. A partir d'un datagramme IP normale, ESP utilise un moyen de cryptage symétrique pour chiffrer les données.
|
|
|
Pour chacun de ses protocoles, il existe deux modes : le mode "transport" et le mode "tunnel".
|
| |
Mode Tunnel :
|
| |
IPSec crée un tunnel pour la communication entre deux machines pour bien sécuriser les données. Le mode tunnel est très utilisé par le protocole IPSec dans le réseau de type LAN-to-LAN car il offre une protection contre l'analyse de trafic, les adresses de la source et l'adresse de destinataire sont toutes masquées.
|
|
| |
Mode Transport :
|
| |
Si l'on ne veut sécuriser que les données, on va choisir d'utiliser le mode transport. Il est généralement utilisé pour acheminer les données de type Host-to-Host.
|
|
Association de sécurité (AS) |
|
L'association de sécurité gère les paramètres associés à la communication (ex : algorithme de cryptage, clés, mécanismes sélectionnés, etc.).
AS établit une seule connexion unidirectionnelle, donc une communication sécurisée bidirectionnelle nécessite deux AS.
|
|
Les protections offertes par IPSec sont basées sur des choix définis dans une base de données des associations de sécurité (Secuirty Association Database, SAD). Elle contient tous les paramètres relatifs a chaque SA et sera consultée pour savoir comment traiter chaque paquet reçu ou a émettre.
|
Protocole IPSec (IP Security)
