Vous êtes sur la page 1sur 6

Université Nazi BONI (UNB) Burkina Faso

Ecole Supérieure d’Informatique (ESI) Unité-Progrès-Justice


Master 1 RS-Cybersécurité
Année Universitaire : 2020-2021

THEME : Présentation et fonctionnement de IPSec


(Internet Protocol Security)

Mardi 30 mars 2021

Présenté par :
SANOU François d’Assise

Enseignant :
Dr. Mesmin T. DANDJINOU
SOMMAIRE
1. Introduction ..................................................................................................................................... 2
2. Architecture d’IPSec ........................................................................................................................ 2
3. Les mécanismes de sécurité AH et ESP ........................................................................................... 2
4.1 IPSec mode transport .............................................................................................................. 3
4.2 IPSec mode tunnel ................................................................................................................... 3
5. La gestion des clefs .......................................................................................................................... 4
6. IPSec et VPN .................................................................................................................................... 4
7. Conclusion ....................................................................................................................................... 4

Page 1|6
1. Introduction
IPSec veut dire IP Security Protocol, ensemble de mécanismes de sécurité commun à
IPv4 et IPv6. Internet Protocol Security, RFC 2401 est un protocole de la couche 3 du
modèle OSI, tout comme IP. Il fut à l’origine développé dans le cadre de la version future
de ce dernier protocole, à savoir IPv6. Si pour IPv4 son implémentation est optionnelle, il
n’en est pas de même pour IPv6 où il est mandaté.
Les services de sécurité offerts par IPSec sont l’intégrité en mode non connecté,
l’authentification de l’origine des données, la protection contre le rejeu et la
confidentialité. En terme plus avancé, il fournit deux types de service de sécurité : l’AH
(Authentication Header), qui permet essentiellement l’authentification de l’expéditeur des
données, et l’ESP (Encapsulating Security Payload), qui prend en charge à la fois
l’authentification de l’expéditeur et le chiffrement des données. IPSec est souvent un
composant de VPN (Virtual Private Network) et est à l’origine de son aspect sécurité.
C’est ainsi que nous allons présenter l’architecture et le fonctionnement de IPSec tout en
gardant un œil observateur sur les mécanismes de sécurité AH et ESP avec la gestion des
clefs, pour finir avec la relation entre IPSec et VPN.

2. Architecture d’IPSec
Dans le tableau 1 ci-après nous présentons les fonctions de sécurité qu’offre IPSec.

Tableau 1 : Fonctions de sécurité IPSec

Services Description Méthode


Confidentialité des données Des algorithmes de DES, 3DES, AES
chiffrement
confidentialisent le trafic
Intégrité des données Empêche les attaques HMAC : MD5 ou SHA
d’homme du milieu et
s’assure que les données
n’ont pas été modifiée lors
de leur transport
Authentification de Vérifie l’identité des pairs PSK, certificats ou nonces
l’origine par un mécanisme RSA, signatures ECDSA
d’authentification
Gestion des clés secrètes Algorithme de chiffrement Diffie-Hellman (DH) ou
asymétrique ECDH

Toutefois, l’architecture de IPSec offre la notion d’association de sécurité à travers IKE


(Integrated Key Exchange) ou ISAKMP (Internet Security Association Key Management
Protocol), pour gérer les principaux mécanismes de sécurité qui sont AH et ESP.

3. Les mécanismes de sécurité AH et ESP

Page 2|6
IPSec propose deux protocoles de couche 3 pour encapsuler le trafic de manière
sécurisée : AH et ESP.
 Authentication Header est le protocole de transport de la pile IPSec qui assure
l’intégrité, l’authentification des datagrammes IP sans chiffrement des données
(sans confidentialité). Il permet également une protection anti-rejeu des données
échangées. AH signe les paquets IP c’est-à-dire adjoindre au datagramme IP
classique un champ supplémentaire permettant à la réception de vérifier
l’authenticité des données incluses dans le datagramme. Il est à préciser que AH
ne supporte pas les routeurs NAT (Network Adress Translation) et le chiffrement
qu’il peu déployé dans le réseau d’entreprise. Pourtant l’IPv4 est toujours
dominant jusqu’à ce jour.
 Encapsulating Security Payload est également un protocole de transport de la pile
IPSec qui est utilisé essentiellement pour la confidentialité, mais peut aussi assurer
l’authenticité des données et l’anti-rejeu des échanges entre deux nœuds IP. ESP
protège la charge initiale de couche 3 (qui comprend ou non l’en-tête IP) en le
rendant illisible des tiers et en y ajoutant des nouveaux en-têtes dans le réseau
public. Donc les données et éventuellement l’en-tête original sont chiffrés. Aussi
ESP supporte les routeurs NAT et assure le chiffrement.
Ainsi, pour des fonctions de sécurité spécifiques, il sera possible de combiner AH et ESP
pour renforcer la sécurité des échanges.

4. Principe de fonctionnement et types d’utilisations possibles


AH comme ESP connaissent deux modes de fonctionnements :
 Le mode Transport : protège juste les données transportées (LAN) ;
 Le mode Tunnel : protège en plus l’en-tête IP (VPN)

4.1 IPSec mode transport


Le mode transport protège uniquement la charge IP et sécurise de bout en bout les
échanges entre deux utilisateurs. Nous avons par le mode transport :
Insertion transparente entre TCP et IP ;
Pas de masquage d’adresse ;
Facilité de mise en œuvre.

4.2 IPSec mode tunnel


Le mode tunnel protège le paquet IP, sa charge et son en-tête original. IPSec ajoute
des nouveaux en-têtes pour le transport et sécurise lien par lien les segments de
réseau. Il est à utilisé quand au moins une des deux extrémités d’IPSec se comporte
comme une passerelle. Nous avons donc par le mode tunneling :
Insertion après IP ;
Encapsulation des datagrammes IP dans d’autres datagrammes IP ;
Masquage d’adresse.

Page 3|6
5. La gestion des clefs
L’implémentation de IPSec nécessite la mise en commun d’un ou plusieurs algorithmes
de sécurité, cryptographiques. Les algorithmes de sécurité utilisés pour une association
ESP ou AH sont déterminés par un mécanisme de négociation, tel que IKE (Internet Key
Exchange).

6. IPSec et VPN
L’IPSec se présente également comme l’une des méthodes existantes pour la création
d’un VPN (réseau privé virtuel). Il permet la liaison entre deux systèmes informatiques,
en toute sécurité, en prenant appui sur un réseau existant.

Figure 1 : Liaison sécurisé entre deux sites d'une même banque

Par la figure 1 ci-dessus, nous pouvons prendre l’exemple d’une banque qui veut intégrer
à son réseau une nouvelle banque qu’il vient de racheter. Cela lui permettra de traiter les
comptes en banque de tous ses nouveaux clients, depuis son site principal, mais aussi de
gérer ses anciens clients depuis son nouveau site. La solution la mieux adapté sera donc
de créer un VPN entre ses deux sites et choisir IPSec comme protocole de tunnelisation.

7. Conclusion
Au terme de cette courte présentation nous pouvons résumer IPSec en quatre point
importants :
 Il crypte les données : ceux qui veut dire qu’elles sont chiffrées avant de circuler
sur le réseau ;
 Il décrypte les données : ce qui veut dire que seul le destinataire peut le
déchiffrer ;
 Il signe les données : ce qui veut dire que nous pouvons être sur de la personne
qui nous les a envoyées ;

Page 4|6
 Il vérifie les données : ce qui veut dire qu’il est capable d’assurer qu’elles n’ont
pas été modifiées entre l’envoi et la réception.

Page 5|6

Vous aimerez peut-être aussi