Académique Documents
Professionnel Documents
Culture Documents
IPSec
Plan de la présentation
• Principes de fonctionnement
• Mécanismes AH et ESP
• Modes Transport et Tunnel
• Association Sécurité (SA)
• Internet Key Exchange (IKE)
• Déploiement et utilisation pratique
1
Introduction
IPSEC - Architecture
• Architecture protocolaire :
IPsec
Nouvelles
Implémentations Implémentations IPv6
IPv4 existantes IPv4 (intégrant Ipsec)
(intégrant Ipsec)
IP
Physique (Ethernet, . . . )
2
IPSEC - Architecture
• Architecture IPv6
En-tête
En-tête En-tête
En-tête En-tête
En-tête En-tête
En-tête
de
de base
base d'extension
d'extension 1 d'extension 22
1 d'extension d'extension
d'extension nn
Classe
Vers Etiquette de flux
trafic
Lg charge utile En tête suivante Limite
@ source (16 octets)
@ destination (16 octets) 5
Sécurité et IP
• Mécanismes cryptographiques :
Authenticité
Authenticité = Code d’d’authentification de message (MAC)
Confidentialité
Confidentialité = Chiffrement
Protection contre le rejeu = Numé
Numéro de sé séquence
3
Sécurité et IP
• Deux modes :
4
Transport, tunnel
• En mode transport elle peut être faite de bout en bout; IPSec utilisé au
niveau d'équipements terminaux
• Elle n'apporte pas confidentialité mais assure une parade aux attaques
basés sur le leurre d'adresses IP (IP Spoofing) et sur celles utilisant le re-
jeu de paquets IP (replay attack).
10
5
Authentification Header (2)
11
En-tête
En-tête IP
IP En-tête
En-tête Données
Données
de
de base
base d'extension
d'extension AH
AH utilisateurs
utilisateurs
Authentifié
(excepté pour les champs variables de l’entête IP)
Type du
prochain en- Lg AH Réservé
tête
Index des Paramètres de sécurité (SPI)
Numéro de séquence
Données d'authentification
12
6
Authentification Header (4)
IPv4
IPv4 + IPSec(AH)
0 7 15 31
13
Utilisation d’AH
Mode tunnel
Mode transport En-
En-tête IP
En-tête IP En-
En-tête TCP
En-tête TCP Donné
Données
Données
Nouvel
Nouvel En- En tête
Entête IP
têteAH
IP En-tête
En
En-tête
têteAH
tête
En-tête
En IP
AH
IP En
En tête AH En-
En tête
En-tête TCP Donné
tête TCP
TCP Données
Données
En-
En-tête IP
En-tête IP dd’origine
’origine
Authentifié
En-
En-tête
En-tête
Du
Dutunnel
tunnel
14
7
Encapsulated Security Payload (1)
15
16
8
Encapsulated Security Payload (3)
En-tête
En-tête En-tête
En-tête Données
Données
IPv4 + IPSec (ESP)
de
de base
base d'extension
d'extension ESP
ESP utilisateurs
utilisateurs
IPv4
0 7 15 31
18
9
Utilisation d’ESP
Mode transport
tunnel
En-
En-tête IP En-
En-tête
En-tête
En-tête IP Donné
Données
Données
dd’origine
’origine TCP
TCP
En-
En -tête En tête En
En-
En
En -tête
tête
En-tête
tête Donné Trailer Auth.
Auth.
Auth
Auth..
es Trailer
Nouvel
Nouvel En-tête
En-
En -tête IP En
IP En-
En tête
-tête IP Auth.
Auth.
En-tête En-tête IP Donné
Donn
Donnéées
Données
Données
En-
En-tête IP
En-tête IP d’ ESP
origine
ESP
d’origine d’ESP
origine
ESP
d’origine TCP
TCP
TCP
TCP ESP
ESP ESP
ESP
ESP
ESP
Chiffré
Chiffré
Authentifié
Authentifié
19
Associations de sécurité
20
10
Les paramètres
Valeurs par
Paramètre Valeurs acceptées keyword
défaut
56-bit DES-CBC des 56-bit DES-CBC
encryption algorithm
168-bit Triple DES 3des
SHA-1 (HMAC) sha SHA-1
hash algorithm
MD5 (HMAC) md5
RSA signatures rsa-
rsa-sig RSA signatures
authentication method
pre-shared keys pre-
pre-share
security association’s
Un nombre en secondes Une journée
lifetime
21
• Deux solutions :
Configuration manuelle : l’l’administrateur dé
définit le contenu de la SA, y
compris les clé
clés.
Négociation dynamique des SA et notamment l'é l'échange des clé
clés de
session, au moyen d’
d’un protocole spé
spécifique.
22
11
Internet Key Exchange (1)
23
• ISAKMP:
ISAKMP Protocole pour la négociation préalable à
l’établissement des associations de sécurité.
• Oakley:
Oakley Détermine le mécanisme pour l’échange
automatique des clefs, le partage, de façon sûre entre les
tiers, d'un ensemble d'informations relatives au chiffrement.
24
12
Négociation IKE
25
Négociation IKE
• Phase 1 d’IKE,
Il y a authentification des peers + établissement de la politique
IKE (= IKE SA). L’algorithme principal de cette phase est
Diffie-Hellman.
• Phase 2 d’IKE,
Il y a négociation des SA IPSec, et génération des clefs pour
IPSec, L’émetteur offre une ou plusieurs transform-sets qui
sont utilisés pour spécifier les différents algorithmes utilisés au
sein du tunnel IPSec.
26
13
IKE phase 1
Phase 1 d’IKE :
Méthode d’é
d’échange
change des clefs :
Méthode d’
d’authentification des peers :
) pre-
pre-shared Key
) certificats numé
numérique authentifié
authentifié par une signature RSA ;
Détermination de la politique ISAKMP ⇔ IPSEc SA
Pour qu’
qu’il y ait communication IPSec possible, il faut que les 2 peers
trouvent un accord sur une politique ISAKMP commune :
) Algorithme d’ d’encryption : DES/3-
DES/3-DES
) Algorithme de hachage : MD5/SHA-
MD5/SHA-1
) IKE SA Life time = duré
durée de vie des SA IKE : 86400 secondes au
moins
27
IKE phase 2
Phase 2 d’IKE :
Négociation des algorithmes IPSec = transform-
transform-set : ESP-
ESP-DES, …
→ Cette né négociation est proté
protégée grâce à la SA IKE préprédéfinie
Identification des peers par adresse IP ou nom :
28
14
SA IPSec
29
IPsec / IKE
15
IKE phase 1
• Deux modes :
Main mode (mode normal) :
) requiert six messages,
) protè
protège l’l’identité
identité de l’l’initiant.
Agressive mode (mode agressif) :
) ne comprend que trois messages,
) révèle l’l’identité
identité,
) plus rapide (pas de DH).
31
16
Phase 1 – Main Mode (2)
33
34
17
IKE phase 1 – Illustration
35
36
18
IKE phase 1 – Illustration
1. Bob initie l'échange et envoie sa valeur DH publique et une valeur aléatoire
ainsi que ses propositions de paramètres cryptographiques pour la SA IKE.
5. Alice vérifie la preuve signée de Bob et s'assure qu'il a bien calculé la même
clé SKEYID.
37
IKE phase 2
• Mode Quick :
Phase 2 plus rapide car elle utilise la cryptographie à clé
clés secrè
secrètes et non
celle à clé
clés publiques qui est beaucoup plus lente et coû
coûteuse.
L'authenticité
L'authenticité des messages est assuré
assurée par l'ajout d'un bloc HASH aprè
après
l'en-
l'en-tête ISAKMP,
La confidentialité
confidentialité est assuré
assurée par le chiffrement de l'ensemble des blocs du
message.
38
19
IKE phase 2 – Illustration
39
40
20
IPSec – La Synthèse
Les paramè
paramètres relatifs à ces mé
mécanismes sont stocké
stockés dans des
associations de sé
sécurité
curité (SA).
(SA).
41
42
21
Où trouver IPSec ?
• Exemples :
Module FreeS/WAN
FreeS/WAN pour Linux
Firewall-
Firewall-1 de Check Point à partir de la version 4.0
43
Où trouver IPSec ?
• Principales utilisations :
Lorsque IPsec est installé
installé sur un serveur sensible, il peut être utilisé
utilisé pour
proté
protéger l’l’accè
accès à ce serveur.
Installé
Installé sur une machine utilisateur, il permet d’
d’accé
accéder aux serveurs ou
aux ré
réseaux proté
protégés par IPsec.
IPsec.
44
22
Déployer IPsec: planification
45
• Point important :
Pour que deux équipements puissent s’ s’entendre, ils doivent être
configuré
configurés avec des paramè
paramètres similaires.
D’où, une né
nécessité
cessité de concertation lors d’
d’une configuration entre deux
réseaux gé
gérés par des personnes diffé
différents.
46
23
Exemple 1: réseaux privés virtuels
47
Exemple 2: extranet
48
24
Quelques Liens
• http://www.hsc.fr/ressources/presentations/
49
25