A.U.

: 2021-2022
Ben Hassine Inès

TD 4 : IPsec & VPN

QCM :
Exercice 1
On considère une société internationale qui offre la possibilité à ses employés de se connecter
en PPP au serveur central de l’entreprise en utilisant un numéro de téléphone local. Autrement
dit, quelle que soit leur position géographique, les employés se connectent à un ISP local mais
leur sessions PPP se poursuivent via Internet jusqu’au serveur d’accès à distance (RAS, Remote
Access Server) de la société, encapsulées dans L2TP.
Décrire l’encapsulation des protocoles des paquets transitant entre la machine de l’employé et
l’ISP puis entre l’ISP et le RAS, lorsque :
1. Le tunnel L2TP est créé par l’ISP et se poursuit jusqu’au RAS.
2. Le tunnel L2TP est créé par l’employé et se poursuit jusqu’au RAS.

Corrigé :
1. Les paquets transitant entre l’employé et l’ISP sont de la forme :
PPP IP Données IP
Et ceux transitant entre l’ISP et le RAS :
IP UDP L2TP PPP IP Données IP

2. Les paquets transitant entre l’employé et l’ISP sont de la forme :

PPP IP UDP L2TP PPP IP Données IP
Et ceux transitant entre l’ISP et le RAS :
IP UDP L2TP PPP IP Données IP
Exercice 2 :
On s’intéresse dans cet exercice aux configurations suivantes :
- IPsec-AH en mode Transport
- IPsec-AH en mode Tunnel
- IPsec-ESP (chiffré et authentifié) en mode transport
- IPsec-ESP (authentifié uniquement) en mode transport
- IPsec-ESP (chiffré uniquement) en mode transport
- IPsec-ESP (chiffré et authentifié) en mode Tunnel
Pour chacune de ces configurations, représenter les encapsulations de paquets et indiquer les
parties des paquets qui sont authentifiés et celles qui sont chiffrées.
Corrigé :
- IPsec-AH en mode Transport

- IPsec-AH en mode Tunnel

- IPsec-ESP (DES, HMAC-SHA-96) en mode transport

- IPsec-ESP (HMAC-SHA-96 uniquement) en mode transport

- IPsec-ESP (DES uniquement) en mode transport

- IPsec-ESP (DES, HMAC-SHA-96) en mode Tunnel

Exercice 3 : L2TP et IPsec
Indiquer les en-têtes que l’on trouve dans un paquet L2TP en transit sur Internet, chiffré avec
IPsec en mode transport (Protocole ESP).
Corrigé :
Les en-têtes que l’on trouve dans un paquet L2TP en transit sur Internet, chiffré avec IPsec en
mode transport (protocole ESO) sont représentés sur cette figure :

Exercice 4 : IPsec entre routeurs intermédiaires

On souhaite utiliser IPsec tel que le chiffrement soit assuré par les routeurs intermédiaires. Quel
mode faut-il utiliser et pourquoi ?
Corrigé :
On ne peut pas assurer en mode transport que le paquet passera effectivement par le routeur qui
est capable d’effectuer le déchiffrement. Il faut donc ajouter au paquet un en-tête IP
correspondant à ce routeur, c’est-à-dire utiliser le mode tunnel.
Exercice 5 : IPsec et NAT
Parmi les 6 configurations d’IPsec proposées à l’exercice 2, indiquer celles qui peuvent être
utilisées avec de la translation d’adresse.
Corrigé :
Parmi les configurations proposées, seul ESP en mode tunnel fonctionne lorsque l’on utilise du
NAT. Ceci est dû aux deux raisons suivantes :
- L’authentification AH porte sur l’en-tête IP qui est modifié par le NAT. La valeur
d’authentification contenue dans l’en-tête AH sera donc erronée. Ce problème ne
survient pas avec ESP puisque l’en-tête n’est pas authentifié.
- Lorsqu’on utilise du NAT, la somme de contrôle contenu dans l’en-tête TCP ou UDP
doit être modifiée car son calcul inclut les adresses IP source et destination. Le problème
survient en utilisant IPsec qui empêche de modifier cette valeur.
En effet, les données peuvent être chiffrées ce qui empêche leur modification ou bien
elles peuvent être authentifiées et la modification de celles-ci rendait incorrect le test
d’intégrité contenu dans l’en-tête AH ou ESP. Ce problème ne survient pas avec ESP
en mode tunnel, car le test d’intégrité TCP ou UDP porte sur l’en-tête IP d’origine et
non sur le nouvel en-tête IP, c’est-à-dire celui qui est modifié par le NAT.