Vous êtes sur la page 1sur 5

IPSEC (Internet protocol security)

Prsentation et fonctionnement d'IPsec

IPSec (Internet Protocol Security) est un protocole de la couche 3 du modle OSI. Les concepteurs, S. Kent et R. Atkinson de chez IETF (Internet Engineering Task Force) ont propos une solution en novembre 1998 afin de rpondre aux besoins directs du dveloppement des rseaux en matire de scurit. En effet, en scurisant le transport des donnes lors d'changes internes et externes, la stratgie IPSec permet l'administrateur rseau d'assurer une scurit efficace pour son entreprise contre toute attaque venant de l'extrieur.

Concept de base d'IPSec

Le protocole IPSec est destin fournir diffrents services de scurit. Il permet grce plusieurs choix et options de dfinir diffrents niveaux de scurit afin de rpondre de faon adapte aux besoins de chaque entreprise. La stratgie IPSec permettant d'assurer la confidentialit, l'intgrit et l'authentification des donnes entre deux htes est gre par un ensemble de normes et de protocoles :

Authentification des extrmits : Elle permet chacun de s'assurer de l'identit de chacun des interlocuteurs. Prcisons que l'authentification se fait entre les machines et non entre les utilisateurs, dans la mesure o IPSec est un protocole de couche 3.

Confidentialit des donnes changes : Le contenu de chaque paquet IP peut tre chiffr afin qu'aucune personne non autorise ne puisse le lire.

Authenticit des donnes : IPSec permet de s'assurer que chaque paquet a bien t envoy par l'hte et qu'il a bien t reu par le destinataire souhait.

Intgrit des donnes changes : IPSec permet de vrifier qu'aucune donne n'a t altre lors du trajet.

Protection contre les coutes et analyses de trafic : Le mode tunneling permet de chiffrer les adresses IP relles et les enttes des paquets IP de l'metteur et du destinataire. Ce mode permet ainsi de contrecarrer toutes les attaques de ceux qui voudraient intercepter des trames afin d'en rcuprer leur contenu.

Protection contre le rejeu : IPSec intgre la possibilit d'empcher un pirate d'intercepter un paquet afin de le renvoyer nouveau dans le but d'acqurir les mmes droits que l'envoyeur d'origine. Ces diffrentes caractristiques permettent l'hte A de crypter ses donnes et de les envoyer vers l'hte B via le rseau, puis l'hte B de les recevoir et de les dcoder afin de les lire sans que personne ne puisse altrer ou rcuprer ces donnes.

Application de l'IPSec au modle OSI

Le mode tunneling d'IPSec est un protocole de couche 3 fournissant ses services pour scuriser l'IP qui est de mme couche. Il a pour avantage d'offrir la protection des protocoles de couches suprieurs TCP/IP comme HTTP ou FTP. Il s'tend galement aux protocoles de couches 2 comme L2TP et PPTP.

Modes de transit des donnes : transport et tunnel

Ces deux modes permettent de scuriser les changes rseau lors d'une communication. Nanmoins, le niveau de scurit le plus lev est le mode tunnel.

Le mode transport offre essentiellement une protection aux protocoles de niveaux suprieurs. En effet, ce mode ne modifie pas l'en-tte initial dans la mesure o il ne fait que s'intercaler entre la couche IP et la couche transport.

Le mode tunnel intgre les fonctionnalits du mode transport et permet de protger un ou plusieurs flux de donnes entre utilisateurs internes ou connects via un VPN (Virtual Private Network). Lorsqu'un paquet de donnes est envoy sur le rseau, le paquet est lui-mme encapsul dans un autre paquet. On crypte alors le corps de ce nouveau paquet l'aide d'algorithmes de scurits adquats et on ne laisse en clair que l'entte contenant les adresses IP publiques de l'metteur et du destinataire.

Le mode tunnel propose 2 protocoles de scurit :

PPTP (Point to Point Tunneling Protocol) : Ce protocole standard dans l'industrie a t pris en charge pour la premire fois par Windows NT 4.0. PPTP est une extension du protocole PPP (Point to Point Protocol) qui s'appuie sur les mmes mcanismes d'authentification, de compression et de cryptage que PPP.

L2TP / IPSec : Celui-ci gre tous les types de trafic pour assurer l'encapsulation des donnes. Il encapsule les paquets d'origine dans une trame PPP, en effectuant une compression d'entte si possible, puis encapsule de nouveau dans un paquet de type UDP. IPSec et L2TP sont associs afin d'assurer la scurit et la tunnelisation des paquets sur n'importe quel rseau IP. Leur association reprsente galement une option garantissant la simplicit, la souplesse d'utilisation, l'interaction et la scurit.

Principe d'change de cls Internet (IKE)

Une des spcificits d'IPSec est l'IKE (Internet Key Exchange) qui gre la ngociation des protocoles et des algorithmes bass sur la stratgie de scurit locale pour produire les cls de chiffrage et l'authentification employer. Ce protocole est un driv de plusieurs protocoles. Cette pile de protocoles permet l'change automatique des cls.

Le protocole IKE gre la scurit en tablissant un premier tunnel entre les 2 machines (le tunnel IKE). La deuxime phase consiste tablir d'autres tunnels secondaires pour la transmission de donnes utilisateur entre les 2 machines.

L'authentification utilise les certificats d'ordinateur pour vrifier que les ordinateurs sources et de destination s'approuvent mutuellement. Si la scurit du transport IPSec est correctement tablie, L2TP ngocie le tunnel, ainsi que la compression et les options d'authentification de l'utilisateur, puis procde un contrle d'accs bas sur l'identit de l'utilisateur.

L'agent de stratgie IPSec

L'agent de stratgie IPSec doit tre install sur chaque poste Windows Client et tre charg chaque dmarrage. Il permet de lire la stratgie propre l'ordinateur local et permet de la dployer en transfrant les informations sur l'ordinateur par des services d'intgrit et de chiffrement des donnes. Ces informations sont rparties entre le registre de l'ordinateur, le pilote IPSec et le service ISAKMP/Oakley16(*). Dans le cas o aucune stratgie n'est lue, il trouve une stratgie par dfaut dans le registre et se charge de la dployer.

Administration de cl ISAKMP/Oakley

Les 2 protocoles ISAKMP et Oakley ne fonctionnent que si l'agent de stratgie IPSec n'est pas en cours d'excution. Ce service doit tre implant sur chaque poste Windows Client et permet lors de la communication IPSec de gnrer des cls et dfinir les proprits de scurit entre 2 htes.

Internet Security Association and Key Management Protocol : Gre l'administration des associations de scurit.

Oakley : Gnre les cls qui permettront de chiffrer et de dchiffrer les donnes transitant sur le canal scuris.

L'association des 2 protocoles permet de crer un canal scuris entre les deux htes en se servant de l'authentification des ordinateurs, et, de faire l'change des donnes qui permettra de crer la cl secrte partage. Cette cl sera utilise pour crypter et dcrypter les donnes envoyes via le rseau. ISAKMP/Oakley cre ainsi un contrat de confiance entre les deux ordinateurs puis envoie la cl et ce contrat au pilote IPSec.

Le pilote IPSec

Nomm IPSEC.sys, le pilote IPSec doit galement tre prsent sur chaque poste Windows Client. Il permet de contrler les paquets IP et d'effectuer les vrifications avec les stratgies de scurit locale et les filtres IP mis en place.

Processus d'tablissement d'une connexion

Afin de mettre en place un processus d'tablissement d'une connexion, faisons l'tude d'un cas d'gal gal :

L'hte A est un utilisateur itinrant qui se connecte via une liaison spcialise vers l'hte B qui est un serveur de base de donnes interne son entreprise. Cette connexion pour des raisons de confidentialit et de scurit doit tre protge. La scurit IPSec est alors dploye afin de garantir le cryptage des donnes et l'authentification des 2 htes.La connexion va donc se drouler en 6 tapes :

1re tape : L'hte A cherche tlcharger des donnes situes sur le serveur FTP. Pour ce faire, il lance une transaction vers ce dernier. Le pilote IPSec de l'hte A signale au service ISAKMP/Oakley que la stratgie de scurit ncessite l'IPSec. On utilise alors les stratgies utilises par l'agent de stratgie dans la base de registre.

2me tape : Le Service ISAKMP/Oakley des deux htes gnre une cl partage et une association de scurit (contrat de confiance).

3me tape : Les pilotes IPSec des deux htes prennent chacun la cl et l'association.

4me tape : Les donnes envoyes par l'hte A sont cryptes grce la cl (processus gr par le pilote IPSec).

5me tape : Le serveur hte B reoit les donnes et les dcrypte grce au pilote IPSec qui connat la cl partage et l'association de scurit.

6me tape : Les donnes sont ensuite transmises la couche d'application (couche 7 du modle OSI).