Vous êtes sur la page 1sur 14

IPSec

Définition

 IPSec (Internet Protocol Security) est un


protocole de la couche 3 du modèle OSI,
tout comme IP.
 IPSec est un protocole destiné à fournir
différents services de sécurité.
 Son intérêt principal est son mode dit de
tunneling.
 Permet de créer des réseaux privés virtuels
(VPN).
Propriétés générales des tunnels
destinés aux VPNs
 les données transitant sont chiffrées
(confidentialité) et protégées (intégrité).
 Les 2 extrémités sont authentifiées.
 les adresses sources et destinations sont
chiffrées, avec IPSec (IP dans IPSec).
 empêcher les attaques type man-in-the-
middle.
Les services proposés par IPSec

 Authentification des extrémités: permet à


chacun de s'assurer de l'identité de son
interlocuteur.
 Confidentialité des données échangées:
IPSec permet de chiffrer le contenu de
chaque paquet IP.
 Authenticité des données: IPSec permet de
s'assurer, pour chaque paquet échangé,
qu'il a bien été émis par la bonne machine
et qu'il est bien à destination de la seconde
machine.
Les services proposés par IPSec

 Intégrité des données échangées: IPSec


permet de s'assurer qu'aucun paquet n'a
subit de modification quelconque durant
son trajet.
 Protection contre les écoutes et analyses
de trafic: IPSec permet de chiffrer les
adresses IP réelles de la source et de la
destination.
 Protection contre le rejeu: prémunir contre
les attaques consistant à capturer un
paquet l'envoyer à nouveau.
Modes d'échange IPsec

 mode transport: offre essentiellement une


protection aux protocoles de niveau
supérieur (transport et application).
 mode tunnel: permet d'encapsuler des
datagrammes IP dans d'autres
datagrammes IP, dont le contenu est
protégé. C'est le mode le plus utilisé.
Description des sous-protocoles
IKE
 IKE: Internet Key Exchange.
 C'est un tunnel administratif.
 Sert à initialiser le tunnel en échangeant les
clés.
 Phase1: a pour objectif d'établir un premier
tunnel entre les 2 machines.
 Phase 2: établir autant de tunnels
secondaires que nécessaire pour la
transmission des données utilisateur entre
les 2 machines.
Description des sous-protocoles
AH
 AH: Authentification Header.
 Vise à établir l'identité des extrémités de
façon certaine.
 Pas de chiffrement.
 Gère:
 L'intégrité des données et en-tête IP.
 L'authentification.
 Protection contre les paquets interceptés par
des pirates.
Description des sous-protocoles
ESP
 ESP: Encapsulating Security Payload.
 Sécuriser le tunnel par chiffrement.
 Fournit les services de sécurité suivants :
 Confidentialité.
 Protection contre de l'analyse de trafic.
 Intégrité (comme AH).
 Authentification des données (comme AH).
 Anti-rejeu (comme AH).
Architectures de sécurité
Security Association
 Une SA est un élément (d'un point de vue
physique, un record dans une base de
données, la SAD) qui contient toutes les
informations requises pour caractériser et
échanger des données à protéger.
 Une AS par sens de communication.
Architectures de sécurité
Security Association (suite)
 La fonction primaire de la SA est d'indiquer
quels traitements doivent être appliqués au
trafic identifié:
 Données et paramètres d'authentification : pour
AH ou ESP, algorithmes, clés...
 Données et paramètres de confidentialité : pour
AH ou ESP, algorithmes, clés, ...
 Données et paramètres d'anti-rejeu : nombres
de séquence, compteurs divers, fenêtres d'anti-
rejeu...
 Type d'en-tête IPSec : modes Transport, Tunnel
ou les 2.
 Durée de vie de la SA : temps ou quantité
maximale de données à protéger
 Options de fragmentation
Architectures de sécurité
SAD
 SAD: Security Association Database.
 C'est le regroupement des SA actives.
 Chaque SA dans la SAD est identifiée par:
 Adresse de destination des paquets.
 Identifiant du protocole AH ou ESP utilisé.
 SPI (Security Parameter Index): Champ de 32
bits envoyé en clair dans les paquets.
Architectures de sécurité
SPD
 SPD: Security Policy Database.
 Les règles de la SPD dépendent des
paramètres suivants :
 Les adresses de source et de destination.
 Un nom sous forme standard (X500 ou DNS).
 Le protocole de transport.
 Les ports source et destination.
 C'est une base de données définissant la
politique de sécurité.
 En résumé:
 SPD: indique quels paquets il faut traiter.
 SAD: Indique comment traiter un paquet
sélectionné.
Implémentation Linux

 Selon le noyau Linux:


 <=2.4: FreeSWAN, OpenSWAN.
 >=2.6: Support natif (KAME-tools), OpenSWAN
ou isakmpd.