Académique Documents
Professionnel Documents
Culture Documents
IPsec - IP Security Protocol
IPsec - IP Security Protocol
IP security Protocol
Architectures VPN
Communication layers Security protocols
© Ahmed Mehaoua - 2
1
Sécurisation des
communications IP
• Pour sécuriser les échanges ayant lieu sur un réseau TCP/IP, il
existe plusieurs approches :
- niveau applicatif (PGP)
- niveau transport (protocoles TLS/SSL, SSH)
- niveau physique (boîtiers chiffrant).
¾ I. Normalisation d'IPsec
d'IPsec
¾ II. Modes d’
d’IPsec
¾ III. Protocoles de sé
sécurité
curité AH
¾ IV. Protocole de sé
sécurité
curité ESP
2
IPSec : le standard
© Ahmed Mehaoua - 5
IPsec
IPsec
3
I. Normalisation d'IPsec
) A la fin de l’l’anné
année 1999 IPsec s’impose sur le marché
marché.
• 2 modes d’
d’exploitation d’IPsec :
- Transport : Protè
Protège juste les donné
données transporté
transportées (LAN)
- Tunnel : Protè
Protège en plus l'en-
l'en-tête IP (VPN)
• IPsec permet :
• La mise en place de VPN
• Sécuriser les accè
accès distants (Utilisation nomade)
• Protection d’
d’un serveur sensible
4
Composants d’IPsec
• Protocoles de sécurité :
– Authentication Header (AH)
– Encapsulation Security Payload (ESP)
Security
RFC 2401
Architecture for
the Internet
Protocol
S. Kent,
Novembre STANDARD
R.
RFC 2402 IP 1998
Atkinson
Authentication
Header
IP
RFC 2406 Encapsulating
Security
Payload (ESP)
© Ahmed Mehaoua - 10
5
Quel protocole pour quel service
de sécurité ?
© Ahmed Mehaoua - 11
I. Normalisation d'IPsec
Problèmes IP
6
Adresses IP Privées
« NAT »
7
IPv6 : Objectifs
1. Résoudre le problème de pénurie d'adresses d'IPv4 :
– 4.3 Milliards IPv4 disponibles – 240 Millions réellement utilisables
– 172 millions de hosts IPv4 actifs (Janv. 2003)
– 73 % des adresses IPv4 sont octoyées aux organismes nord-américains
• Vietnam (100 Millions d’hab. – 4 classes C)
• Sénégal (10 millions d’hab. - 16 adresses de classe C)
• Tunisie (8 milions d’hab. – 16 classes C pour l’administration)
8
IPv4 vs IPv6
IPv4 Packet Header IPv6 Packet Header
Service Traffic
Ver IHL Total
Total Length
Length Ver Class (8) Flow Label (20)
Type
Next Hop
Identification Flags Offset (13) Payload Length Header Limit
Options + Padding
32 bits
40 octets
Destination Address
(128)
IPv6 : adressage
• Passage de 4 à 16 octets pour l'adressage (RFC 3513):
– 2 128 ≅ 3x10 38 équipements adressables
– 6x10 22 adresses au m2 sur terre
• 3 niveaux de hiérarchie :
1. Une topologie publique (48 bits) : TLA Top Level Aggregator
2. Une topologie de site (16 bits) : SLA Site Level Aggregator
3. Un identifiant d’interface (64 bits) : IID Interface Identifier
9
Plan d’adressage Agrégé
RIR
Regional Internet
Registries
NIR
National Internet
Registries
LIR
Local Internet
Registries
End Users
10
Attribution des
Adresses
z Pour obtenir un préfixe sub-
sub-TLA de 32 bits en Europe (délais 48h):
– Être membre du RIPE-NCC (Réseaux IP Européen-Network Coordination Centre)
• Abonnementt annuel : 2750-3750-5250 Euros (dépend du nbre @ utilisés)
– Remplir le formulaire RIPE-195 sur www.ripe.net puis l’envoyer à
hostmaster@ripe.net
• France Telecom 2001:0688::/32 (depuis juin 2000)
• Renater 2001:0660::/32
• Nerim 2001:07A8::/32
• Tiscali 2001:BC8::/32
sTLA-
sTLA-ID RENATER
/32 /48 /64 /128
2001:0660::/32 /40
POP ID Versailles
2001:0660:30
2001:0660:3000::/40
00::/40
NLA-
NLA-ID Univ.
Univ. de Versailles
2001:0660:300F
2001:0660:300F::/48
::/48
SLA-
SLA-ID Laboratoire CNRS PRISM
2001:0660:300F:0004
2001:0660:300F:0004:/64
:/64
Host-
Host-ID lune.prism.uvsq.fr
2001:0660:300F:0004:0030:80FF:FE1A:079C
2001:0660:300F:0004:0030:80FF:FE1A:079C
11
II. Modes d’IPsec
• mode transport
- insertion transparente entre TCP et IP
- pas de masquage d’ d’adresse
- facilité
facilité de mise en œuvre
Ö sécurise de bout en bout les échanges entre deux utilisateurs.
• mode tunnel
- insertion aprè
après IP
- encapsulation des datagrammes IP dans d'autres datagrammes IP
- masquage d’ d’adresse
Ö sécurise lien par lien les segments de ré
réseau.
Ö utilisé
utilisé quand au moins une des deux extré
extrémité
mités d’
d’IPsec se
comporte comme une passerelle
12
Transport Mode Encapsulation
© Ahmed Mehaoua - 25
13
Tunnel Mode Encapsulation
© Ahmed Mehaoua - 27
III.
III. Protocole de sé
sécurité
curité AH
¾ Garantit :
- l'authentification.
- l’unicité
unicité (anti-
(anti-rejeu)
rejeu)
- l'inté
l'intégrité
grité
! Pas de confidentialité
confidentialité !
=> les donné
données sont seulement signé
signées mais pas chiffré
chiffrées
support des algorithmes MD5 (128 bits) et SHA-
SHA-1
14
IPSec protocols – AH protocol
• AH - Authentication Header
– Defined in RFC 1826
– Integrity: Yes,
Yes, including IP header
– Authentication: Yes
– Non-
Non-repudiation: Depends on cryptography algorithm.
– Encryption: No
– Replay Protection: Yes
III.
III. Protocole de sé
sécurité
curité AH
15
IV.
IV. Protocole de sé
sécurité
curité ESP
¾ Garantit:
- l'authentification.
- l’unicité
unicité (anti-
(anti-rejeu)
rejeu)
- l'inté
l'intégrité
grité
- la confidentialité
confidentialité
Unencrypted Encrypted
16
IV.
IV. Protocole de sé
sécurité
curité ESP
n SA : ‘Security Association’
Association’
17
V. Fonctionnement SA, SAD, SPD
n SA : ‘Security Association’
Association’ (suite)
SA : exemple
Destination : 192.78.42.76
Protocole : ESP
index : 10314
Mode : tunnel
algorithme de chiffr : AES
clé de chiffrement : 0xEB3167C....
algorithme d'authent : SHA1
clé d'authentification : 0xC372F4....
politique associée : #23
date d'expiration : 061120 15:30:00
© Ahmed Mehaoua - 36
18
Combinaison des SA
© Ahmed Mehaoua - 37
19
V. Fonctionnement SA, SAD, SPD
1) IPsec reç
reçoit des donné
données à envoyer
2) Consultation de la base de donné
données SPD (quel traitement pour ces donné
données ?)
3) Mé
Mécanismes de sé sécurité
curité pour ce trafic ?
4) Oui Ö récupé
cupération des caracté
caractéristiques requises pour la SA et consultation de la
base SAD
5) SA existe ?
6) Oui Ö utilisé
utilisée pour traiter le trafic en question
Non Ö appel à IKE pour établir une nouvelle SA
20
V. Fonctionnement SA, SAD, SPD
VI.
VI. Gestion, distribution des clefs – IKE / ISAKMP
21
VI.
VI. Gestion, distribution des clefs – IKE / ISAKMP
¾ Basé
Basé sur des améamélioration des protocoles ISAKMP/Oakley
ISAKMP/Oakley (dont la
sécurité
curité et la “scalabilité
scalabilité” étaient limité
limitées)
¾ RFC 2409
¾ Deux maniè
manières d'é
d'échanger des clefs :
- clefs pré
pré-partagé
partagées
- certificats X.509
relations IPSec-IKE-SA
• IKE->gestionnaire de SA
• IPSec->utilisateur de SA
© Ahmed Mehaoua - 44
22
VI.
VI. Gestion, distribution des clefs – IKE / ISAKMP
VI.
VI. Gestion, distribution des clefs – IKE / ISAKMP
23
IKE (Internet Key Exchange)
24
VII.
VII. Faiblesses d'IPsec
d'IPsec
¾Broadcast et multicast
Problè
Problème de performance et impossibilité
impossibilité de ré
résolution par
l’augmentation de la puissance.
VII.
VII. Faiblesses d'IPsec
d'IPsec (suite)
¾Firewalls
Le filtrage de datagrammes IPsec est dé délicat pour deux raisons :
- les RFCs ne pré
pr é cisent pas si, sur un systè
système remplissant
simultané
simultan ément les fonctions de passerelle de sé
sécurité
curité et de firewall,
firewall,
le dé
dé codage de l'IPsec
l'IPsec doit avoir lieu avant ou aprè
après l'application des
règles de firewalling ;
-il n'est pas possible au code de firewalling de lire certaines donné données,
par exemple des numé num éros de port, dans des donné
donn é es chiffré
chiffr es, ou
é
transmises dans un format qu'il ne connaîconna ît pas.
¾NATs
Thé
Théoriquement, aucune translation d'adresse ne devrait affecter un
datagramme IPsec,
IPsec, car ce type d'opé
d'opération modifie le contenu des
datagrammes,
datagrammes , ce qui est incompatible avec les mé
mécanismes de
protection de l'intéé grité
l'int grit é des donné
données d'IPsec
d'IPsec..
25
VII.
VII. Faiblesses d'IPsec
d'IPsec (suite 2)
26
Typologie des technologies VPN
VPN de niveau 2
VPN
- IP avec IPSEC
VPN
- IP avec MPLS
VPN
- SSL
Access Access
IPsec to Core VPN
IPsec tunnel IPsec tunnel
MPLS
CPE MPLS PE MPLS PE CPE
mapping mapping
MPLS
CPE MPLS PE MPLS PE CPE
27
Extranet VPN : IPsec to MPLS to VLAN
Leased Line/
Frame Relay/ATM/
DSL Dedicated IOS
Access
Local or MPLS
Direct- PE
Dial ISP MPLS
IOS T1
Small Office Router =IPsec tunnel
With
Unity Advantages:
Client Home Office • Unity is the common language
VPN3002 within Cisco VPN environment
1700 • Policy push applies to CPE
IOS routers as well.
Router
28
Les offres commerciales de VPN
pour l'entreprise
Level 3
France Telecom (Oleane
(Oleane VPN)
Easynet
Qwest
Global Crossing
Cable & Wireless (IPsec, aucune classe, 50 PoP nat, 49 PoP int.)
Cegetel/Infonet (MPLS, 3 classes: Std, Data, Tps réel, 160, 55 pays)
Colt (IPsec, 4, 13, via offre IP Corporate)
FT/Global One (MPLS, 3, 60, 140)
KPNQwest (IPSec, 5 classes, 30, 300)
Maiaah (MPLS, 5, 7, via réseaux tiers)
QoS Networks (IPSec, 5 classes, 1, 9)
LDcom/Siris (MPLS, 4 classes, 77, 0)
Worldcom (MPLS)
29
Critère des choix d'un fournisseur de VPN
30