IPSEC


IPSEC

IPsec

IPsec (Internet Protocol Security), défini par l'IETF comme un cadre de standards ouverts pour assurer des communications privées et protégées sur des réseaux IP, par l'utilisation des services de sécurité cryptographiques[1], est un ensemble de protocoles utilisant des algorithmes permettant le transport de données sécurisées sur un réseau IP. IPSec se différencie des standards de sécurité antérieurs en n'étant pas limité à une seule méthode d'authentification ou d'algorithme et c'est la raison pour laquelle il est considéré comme un cadre de standards ouverts.[2] De plus IPSec opère à la couche réseau (couche 3 du modèle OSI) contrairement aux standards antérieurs qui opéraient à la couche application (couche 7 du modèle OSI), ce qui le rend indépendant des applications, et veut dire que les utilisateurs n'ont pas besoin de configurer chaque application aux standards IPSec.[3]

Sommaire

Présentation

Réalisée dans le but de fonctionner avec le protocole IPv6, la suite de protocoles IPsec fut adaptée pour l'actuel protocole IP (IPv4).

Son objectif est d'authentifier et de chiffrer les données : le flux ne pourra être compréhensible que par le destinataire final (chiffrement) et la modification des données par des intermédiaires ne pourra être possible (intégrité).

IPsec est souvent un composant de VPN, il est à l'origine de son aspect sécurité (canal sécurisé ou tunneling).

La mise en place d'une architecture sécurisée à base d'IPsec est détaillée dans la RFC 4301 (la RFC 2401 est obsolète).

Fonctionnement

Lors de l'établissement d'une connexion IPsec, plusieurs opérations sont effectuées :

Échange des clés
  • un canal d'échange de clés, sur une connexion UDP depuis et vers le port 500 (ISAKMP pour Internet Security Association and Key Management Protocol), défini dans la RFC 2408 (la RFC 2408 est obsolète et remplacée par la RFC 4306).

Le protocole IKE (Internet Key Exchange) est chargé de négocier la connexion. Avant qu'une transmission IPSec puisse être possible, IKE est utilisé pour authentifier les deux extrémités d'un tunnel sécurisé en échangeant des clés partagées. Ce protocole permet deux types d'authentifications, PSK (Pre-Shared Key ou secret partagé) pour la génération de clefs de sessions ou à l'aide de certificats/signatures RSA. Une signature est un certificat signé par une tierce-partie appelée Autorité de certification (AC ou CA) qui offre l'Authentification et la Non-répudiation. Sans cette signature, une partie peut simplement nier la responsabilité de messages envoyés.

Sachant que l'usage de la cryptographie asymétrique (clés publiques) peut être utilisé avec IPSec, il ne permet pas la Non-répudiation. IPSec utilise une association de sécurité (Security association) pour dicter comment les parties vont faire usage de AH et de l'encapsulation de la charge utile d'un paquet.

  • Une association de sécurité (SA) est l'établissement d'information de sécurité partagée entre deux entités de réseau pour soutenir la communication protégée. Une SA peut être établie par une intervention manuelle ou par ISAKMP (Internet Security Association and Key Management Protocol).
  • ISAKMP est défini dans la RFC 2408 comme un cadre pour établir, négocier, modifier et supprimer des SA entre deux parties. En centralisant la gestion des SA, ISAKMP réduit la quantité de fonctionnalité reproduite dans chaque protocole de sécurité. ISAKMP réduit également le nombre d'heures exigé par l'installation de communications, en négociant tous les services simultanément[4].
Transfert des données

un ou plusieurs canaux de données par lesquels le trafic du réseau privé est véhiculé, deux protocoles sont possibles :

  • le protocole no 51, AH, (Authentication Header), défini dans la RFC 2402 (remplacée par les RFC 4303 et RFC 4305) et qui fournit l'intégrité et l'authentification. AH authentifie les paquets en les signant, ce qui assure l'intégrité de l'information. Une signature unique est créée pour chaque paquet envoyé et empêche que l'information soit modifiée. [5]

Modes de fonctionnement

Indépendamment des deux protocoles possibles AH/ESP, deux modes sont possibles, tunnel ou transport :

  • Dans le cadre du mode transport, Si l'on ne veut sécuriser que les données, on va choisir d'utiliser le mode transport. Il est généralement utilisé pour acheminer les données de type Host-to-Host. On peut choisir le protocole AH, ESP ou les deux.
  • Dans le cadre du mode tunnel, IPsec crée un tunnel pour la communication entre deux machines pour bien sécuriser les données. Le mode tunnel est très utilisé par le protocole IPsec dans le réseau de type LAN-to-LAN car il offre une protection contre l'analyse de trafic, les adresses de la source et l'adresse de destinataire sont toutes masquées. On doit choisir entre le protocole AH ou ESP. Ce mode crée un nouveau paquet IP encapsulant celui qui doit être transporté.

Algorithmes cryptographiques

Pour que les réalisations d'IPsec interopèrent, ils doivent avoir un ou plusieurs d'algorithmes de sécurité en commun. Les algorithmes de sécurité utilisés pour une association de sécurité ESP ou AH sont déterminés par un mécanisme de négociation, tel que IKE (Internet Key Exchange) (RFC 2409, RFC 4306).[6]

Les algorithmes de chiffrage et d'authentification pour IPsec encapsulant le protocole ESP et AH sont:

En référence avec la RFC 4835

Liste des RFC relatives à IPsec

RFC 2367 
PF_KEY Interface
RFC 2401 (rendue obsolète par la RFC 4301
Security Architecture for the Internet Protocol
RFC 2402 (rendue obsolète par les RFC 4302 et RFC 4305
Authentication Header
RFC 2403 
The Use of HMAC-MD5-96 within ESP and AH
RFC 2404 
The Use of HMAC-SHA-1-96 within ESP and AH
RFC 2405 
The ESP DES-CBC Cipher Algorithm With Explicit IV
RFC 2406 (rendue obsolète par les RFC 4303 et RFC 4305
Encapsulating Security Payload
RFC 2407 (rendue obsolète par la RFC 4306
IPsec Domain of Interpretation for ISAKMP (IPsec DoI)
RFC 2408 (rendue obsolète par la RFC 4306
Internet Security Association and Key Management Protocol (ISAKMP)
RFC 2409 (rendue obsolète par la RFC 4306
Internet Key Exchange (IKE)
RFC 2410 
The NULL Encryption Algorithm and Its Use With IPsec
RFC 2411 
IP Security Document Roadmap
RFC 2412 
The OAKLEY Key Determination Protocol
RFC 2451 
The ESP CBC-Mode Cipher Algorithms
RFC 2857 
The Use of HMAC-RIPEMD-160-96 within ESP and AH
RFC 3526 
More Modular Exponential (MODP) Diffie-Hellman groups for Internet Key Exchange (IKE)
RFC 3706 
A Traffic-Based Method of Detecting Dead Internet Key Exchange (IKE) Peers
RFC 3715 
IPsec-Network Address Translation (NAT) Compatibility Requirements
RFC 3947 
Negotiation of NAT-Traversal in the IKE
RFC 3948 
UDP Encapsulation of IPsec ESP Packets
RFC 4106 
The Use of Galois/Counter Mode (GCM) in IPsec Encapsulating Security Payload (ESP)
RFC 4301 (supplante la RFC 2401
Security Architecture for the Internet Protocol
RFC 4302 (supplante la RFC 2402
IP Authentication Header
RFC 4303 (supplante la RFC 2406
IP Encapsulating Security Payload (ESP)
RFC 4304 
Extended Sequence Number (ESN) Addendum to IPsec Domain of Interpretation (DOI) for Internet Security Association and Key Management Protocol (ISAKMP)
RFC 4305 
Cryptographic Algorithm Implementation Requirements for Encapsulating Security Payload (ESP) and Authentication Header (AH)
RFC 4306 (supplante les RFC 2407, RFC 2408, et RFC 2409
Internet Key Exchange (IKEv2) Protocol
RFC 4307 
Cryptographic Algorithms for Use in the Internet Key Exchange Version 2 (IKEv2)
RFC 4308 
Cryptographic Suites for IPsec
RFC 4309 
Using Advanced Encryption Standard (AES) CCM Mode with IPsec Encapsulating Security Payload (ESP)
RFC 4478 
Repeated Authentication in Internet Key Exchange (IKEv2) Protocol
RFC 4543 
The Use of Galois Message Authentication Code (GMAC) in IPsec ESP and AH
RFC 4555 
IKEv2 Mobility and Multihoming Protocol (MOBIKE)
RFC 4621 
Design of the IKEv2 Mobility and Multihoming (MOBIKE) Protocol
RFC 4806 
Online Certificate Status Protocol (OCSP) Extensions to IKEv2
RFC 4809 
Requirements for an IPsec Certificate Management Profile
RFC 4835 (supplante la RFC 4305
Cryptographic Algorithm Implementation Requirements for Encapsulating Security Payload (ESP) and Authentication Header (AH)

Notes et références

  1. How to Cheat at Securing Your Network Dubrawski, Ido – Burlington, MA : Elsevier, 2007. – p 83. (ISBN 978-1-59749-231-7)
  2. Ibid.
  3. Ibid.
  4. Ibid., p. 85
  5. Ibid.
  6. RFC 4835

Voir aussi

Articles connexes

Ce document provient de « IPsec ».

Wikimedia Foundation. 2010.

Contenu soumis à la licence CC-BY-SA. Source : Article IPSEC de Wikipédia en français (auteurs)

Regardez d'autres dictionnaires:

  • IPSec — im TCP/IP‑Protokollstapel: Anwendung HTTP IMAP SMTP DNS … Transport TCP UDP …   Deutsch Wikipedia

  • IPsec — im TCP/IP‑Protokollstapel: Anwendung HTTP IMAP SMTP DNS … Transport TCP UDP Internet IPsec Netzzugang …   Deutsch Wikipedia

  • Ipsec — im TCP/IP‑Protokollstapel: Anwendung HTTP IMAP SMTP DNS … Transport TCP UDP …   Deutsch Wikipedia

  • IPsec — (abreviatura de Internet Protocol security) es un conjunto de protocolos cuya función es asegurar las comunicaciones sobre el Protocolo de Internet (IP) autenticando y/o cifrando cada paquete IP en un flujo de datos. IPsec también incluye… …   Wikipedia Español

  • IPsec — (сокращение от IP Security) набор протоколов для обеспечения защиты данных, передаваемых по межсетевому протоколу IP, позволяет осуществлять подтверждение подлинности и/или шифрование IP пакетов. IPsec также включает в себя протоколы для… …   Википедия

  • IPSec — (Internet Protocol Security), défini par l IETF comme un cadre de standards ouverts pour assurer des communications privées et protégées sur des réseaux IP, par l utilisation des services de sécurité cryptographiques[1], est un ensemble de… …   Wikipédia en Français

  • IPsec — (Internet Protocol Security), défini par l IETF comme un cadre de standards ouverts pour assurer des communications privées et protégées sur des réseaux IP, par l utilisation des services de sécurité cryptographiques[1], est un ensemble de… …   Wikipédia en Français

  • IPsec — (la abreviatura de Internet Protocol security) es una extensión al protocolo IP que añade cifrado fuerte para permitir servicios de autenticación y cifrado y, de esta manera, asegurar las comunicaciones a través de dicho protocolo. Inicialmente… …   Enciclopedia Universal

  • IPsec — Internet Protocol Security (IPsec) is a suite of protocols for securing Internet Protocol (IP) communications by authenticating and/or encrypting each in a data stream. IPsec also includes protocols for cryptographic key establishment.… …   Wikipedia

  • IPSec —    A suite of protocols under development by the Internet Engineering Task Force (IETF) designed to add security provisions to the Internet Protocol (IP). Also known as IP Security.    The Authentication Header (AH) ensures that the datagram has… …   Dictionary of networking


Share the article and excerpts

Direct link
Do a right-click on the link above
and select “Copy Link”

We are using cookies for the best presentation of our site. Continuing to use this site, you agree with this.