Centre Universitaire Nour Bachir Année universitaire 2019-2020

2019
Institue des Sciences
Département de technologie
Filière Télécommunications

IPsec (Internet
Internet Protocol Security)

1. Definition

IPsec (Internet
Internet Protocol Security
Security), défini par l'IETF comme un cadre de standards ouverts pour
assurer des communications privées et protégées sur des réseaux IP, par l'utilisation des services de
sécurité cryptographiques1, est un ensemble de protocoles utilisant des algorithmes permettant le
transport de données sécurisées sur un réseau IP.. IPsec se différencie des standards de sécurité
antérieurs en n'étant pas limité à une seule méthode d'authentification ou d'algorithme et c'est la
raison pour laquelle il est considéré comme un cadre de standards ouverts1. De plus, IPsec opère à la
couche réseau (couche 3 du modèle OSI
OSI)) contrairement aux standards antérieurs qui opéraient
opé à la
couche application (couche 7 du modèle OSI),
), ce qui le rend indépendant des applications, et veut
dire que les utilisateurs n'ont pas besoin de configurer chaque applic
application
ation aux standards IPsec

2. Présentation

Réalisée dans le but de fonctionner avec le protocole IPv6,, la suite de protocoles IPsec a été adaptée
pour l'actuel protocole IPv4.

Son objectif est d'authentifier et de chiffrer les données : le flux ne pourra être compréhensible que
par le destinataire final (confidentialité) et la modification des données par des intermédiaires ne
pourra être possible
ble (authenticité).

IPsec est souvent un composant de VPN,, il est à l'origine de son aspect sécurité (canal sécurisé ou
tunneling).

La mise en place d'une architecture

chitecture sécurisée à base d'IPsec est détaillée dans la RFC 4301.

1
 3. Fonctionnement

Lors de l'établissement d'une connexion IPsec, plusieurs opérations sont effectuées :

Échange des clés

 un canal d'échange de clés, sur une connexion UDP depuis et vers le port 500 (ISAKMP (en)
pour Internet Security Association and Key Management Protocol).

Le protocole IKE (Internet Key Exchange) est chargé de négocier la connexion. Avant qu'une
transmission IPsec puisse être possible, IKE est utilisé pour authentifier les deux extrémités d'un
tunnel sécurisé en échangeant des clés partagées. Ce protocole permet deux types d'authentifications,
PSK (secret prépartagé ou secret partagé) pour la génération de clefs de sessions RSA ou à l'aide de
certificats.

Ces deux méthodes se distinguent par le fait que l'utilisation d'un certificat signé par une tierce-partie
appelée Autorité de certification (CA) assure la non-répudiation. Tandis qu'avec l'utilisation de clefs
RSA, une partie peut nier être à l'origine des messages envoyés.

IPsec utilise une association de sécurité (Security association) pour dicter comment les parties vont
faire usage de AH (Authentication header), protocole définissant un format d'en-tête spécifique
portant les informations d'authentification, et de l'encapsulation de la charge utile d'un paquet.

 Une association de sécurité (SA) est l'établissement d'information de sécurité partagée entre
deux entités de réseau pour soutenir la communication protégée. Une SA peut être établie par
une intervention manuelle ou par ISAKMP (Internet Security Association and Key
Management Protocol).

 ISAKMP est défini comme un cadre pour établir, négocier, modifier et supprimer des SA
entre deux parties. En centralisant la gestion des SA, ISAKMP réduit la quantité de
fonctionnalité reproduite dans chaque protocole de sécurité. ISAKMP réduit également le
nombre d'heures exigé par l'installation de communications, en négociant tous les services
simultanément.

4. Transfert des données

Un ou plusieurs canaux de données par lesquels le trafic du réseau privé est véhiculé, deux protocoles
sont possibles :

 le protocole no 51, AH, (Authentication Header) fournit l'intégrité et l'authentification. AH

authentifie les paquets en les signant, ce qui assure l'intégrité de l'information. Une signature
unique est créée pour chaque paquet envoyé et empêche que l'information soit modifiée3.
 le protocole no 50, ESP (Encapsulating Security Payload), en plus de l'authentification et
l'intégrité, fournit également la confidentialité par l'entremise de la cryptographie.

2
 5. Description

Ce protocole permet de transporter des connexions en conservant les informations du niveau 2 au

niveau 7 du modèle OSI. Le transport de ces connexions se fait grâce à des tunnels IP/UDP, le port
UDP utilisé en standard est le 1701. Un même tunnel peut transporter plusieurs connexions, en
général il n'y a qu'un seul tunnel entre deux mêmes équipements de terminaison. L'équipement qui
initie le tunnel, généralement un NAS ou un BAS, est appelé LAC (L2TP Access Concentrator) et
l'équipement qui termine le tunnel est appelé LNS (L2TP Network Server).

Au départ, avec la RFC 26611, L2TP a été défini pour transporter des sessions PPP, agrégées coté
LAC et terminées coté LNS.
Par la suite L2TP a été généralisé pour transporter n'importe quel protocole de niveau 2 (par exemple
Ethernet) avec L2TPv3 dans la RFC 39312, cette version pouvant être transportée via IP/UDP ou
directement sur IP.

Format de l’entête

3
 Point-to-Point Protocol
6. Definition

Le Point-to-Point Protocol (PPP, protocole point à point) est un protocole de transmission pour
internet, décrit par le standard RFC 1661, fortement basé sur HDLC, qui permet d'établir une
connexion entre deux hôtes sur une liaison point à point. Il fait partie de la couche liaison de données
(couche 2) du modèle OSI.

PPP s'appuie sur trois composants :

 L'encapsulation des datagrammes.

 Le contrôle de la liaison avec LCP (Link Control Protocol).
 Le contrôle de la couche réseau avec NCP (Network Control Protocol).

7. Avantages

Le protocole PPP permet une meilleure gestion des liaisons par rapport à HDLC car :

 Il prend en charge des mécanismes d'authentification, comme PAP ou CHAP.

 Il permet l'agrégation de lien (on parle de PPP Multilink).
 Il permet la compression des données

Il est massivement utilisé pour les connexions Internet dédiées aux particuliers, soit directement basé
sur HDLC (connexion RTC), soit encapsulé (par exemple PPPoX, utilisé par les connexions ADSL et
câble).

8. Format de la trame (cas de trame PPP sur HDLC)

Dans cette configuration, une trame PPP est une trame HDLC à laquelle a été ajouté un protocole
servant à l'encapsulation des couches supérieures.

Flag (Fanion) de début Adresse Commande Protocole Données FCS Flag de fin
8 bits 8 bits 8 bits 8 bits
8 ou 16 bits … 16/32 bits
(01111110b) (11111111b) (00000011b) (01111110b)

 les fanions (Flag) et le FCS sont les mêmes que dans le cas d'HDLC.
 l'adresse est toujours positionnée sur 11111111b pour indiquer que la trame doit être acceptée
par le bon destinataire.
 le champ Commande est toujours positionné sur 00000011b pour indiquer que les trames sont
de type non-numéroté.

9. Organisation

4
 PPP (Point-to-Point Protocol) est logiquement divisé en couches :

- la couche LCP (Link Control Protocol), chargée de la négociation des paramètres généraux
de la liaison, par exemple la taille maximale des paquets et les caractères de contrôle à éviter
("asyncmap").
- les couches NCP (Network Control Protocol), une pour chaque type de protocole à
transmettre sur la liaison. Par exemple dans le cas de paquets IP, la négociation des
paramètres IP de la liaison est effectuée avec le protocole IPCP (IP Control Protocol).
- les couches "réseau" proprement dites, par exemple couche IP. Ces couches ne font pas
partie de PPP au sens propre.

Bien que la suite de cet article concerne la transmission de paquets IP, il faut noter que PPP permet
l'utilisation simultanée de la liaison par différents protocoles. Cependant la plupart des
implémentations actuellement disponibles ne transmettent que des paquets IP.

10. Configuration de PPP

 Les paramètres d'une connexion PPP peuvent être négociés à la négociés par LCP (non liés à IP) et
ceux négociés par IPCP.

Les paramètres négociés par LCP sont :

- Asyncmap (Asynchronous character Map)

Décrit les caractères de contrôle qu'il n'est pas possible de recevoir. Le PPP distant évitera de
les employer (ils seront encodés en 2 caractères). Le cas le plus fréquent concerne XON et
XOFF.
- Protocol field Compression
- Address/Control Compression
Concernent l'encodage des paquets.
- MRU (Maximum Receive Unit)
Taille maximum des paquets que le côté local souhaite recevoir.
- MTU (Maximum Transmit Unit)
Taille maximum des paquets que le côté local enverra.

Les paramètres négociés par IPCP [RFC1332] sont :

- Adresse IP de l'interface PPP locale

- Adresse IP de l'interface PPP distante
- Compression VJ (Van Jacobson)
La compression VJ permet de réduire au minimum l'en-tête des paquets TCP (un en-tête
TCP/IP non jusqu'à 2 octets après compression, avec une moyenne de 3 octets) [RFC1144].
Cette compression ne s'applique par contre pas aux données contenues dans les paquets.

Il est également possible d'authentifier les extremités de la liaison en utilisant les protocoles suivants
[RFC1334] :

5
CHAP (Challenge-Handshake Authentication Protocol)
PAP (Password Authentication Protocol)
CHAP est beaucoup plus résistant aux attaques que PAP et peut être effectué périodiquement sur une
liaison en cours d'utilisation.

11. Mise en place d'une liaison

Comme toujours, il est conseillé de commencer avec une configuration simple qui fonctionne, pour
l'améliorer ensuite.

Un système d'exploitation digne de ce nom disposant d'IP est rarement fourni sans les utilitaires
suivants dont l'utilisation est recommandée :

- ifconfig (pour vérifier la configuration des interfaces)

- netstat (pour vérifier les routes locales, les connexions en cours, les statistiques concernant
les interfaces...)
- ping (pour vérifier le passage des paquets entre deux machines)
- route (pour changer les routes)
- tcpdump ou etherfind (pour voir ce qui passe sur la liaison)
- traceroute (pour vérifier les routes des machines distantes)
- ftp (pour connaître le débit de la liaison)
- nslookup ou dig (une fois que le reste marche, pour étudier la configuration DNS)
Les PPP "tout-en-un" pour MacIntosh, MS-DOS ou Windows proposent au minimum "ping".

Avant toute chose, vérifier (éventuellement manuellement) que la séquence de connexion

téléphonique (décrochage du modem, composition du numéro, séquence login/password) fonctionne
et se termine effectivement par les babillages caractéristiques de PPP, une mixture de caractères
divers contenant beaucoup de "é" et "~".

Il est alors possible de lancer le PPP local.

Au début des essais les "asyncmaps" seront de préférence (si votre PPP le permet) positionnées à
"ffffffff" (aucun caractère de contrôle transmis) et la compression Van Jacobson désactivée.

Pour vérifier la configuration des interfaces PPP, commencer par un ping de la machine locale vers la
machine distante. Puis tester le fonctionnement de telnet vers la machine distante.

Ensuite, tenter des "ping" / "telnet" sur des machines plus éloignées pour vérifier la configuration des
routes, avec l'aide éventuellement de "traceroute".

Lorsque la configuration fonctionne, revenir sur les "asyncmaps" et la compression Van Jacobson
pour améliorer les débits.

Transférer des fichiers binaires (fichiers compressés) pour vérifier que les caractères filtrés par la
liaison sont pris en compte dans les asyncmaps. Dans le cas contraire on peut constater des blocages
apparemment aléatoires.

Un problème de compression Van Jacobson a des répercussions uniquement sur les connexions TCP.

6
 Réseaux Privés Virtuels (VPN)

12. Definition

En informatique, un réseau privé virtuel, abrégé VPN – Virtual Private Network (et RPV au
Québec1), est un système permettant de créer un lien direct entre des ordinateurs distants, qui isole
leurs échanges du reste du trafic se déroulant sur des réseaux de télécommunication publics.

On utilise notamment ce terme dans le travail à distance, ainsi que dans le cadre de l'informatique en
nuage.

13. Types

Le VPN peut être de type point à point, utilisé entre un client et un concentrateur2 VPN (routeur
spécialisé, pare-feu, ou logiciel sur ordinateur), sur Internet par le biais d'un logiciel de VPN3.

Dans une autre acception, le VPN peut exister sous la forme d'un réseau privé virtuel étanche et
distribué sur un nuage MPLS4. Les ordinateurs sur ce VPN y sont souvent raccordés physiquement,
la notion de « virtuel » se rapportant alors au fait que l'infrastructure MPLS fait circuler plusieurs
réseaux virtuels étanches entre eux.

De façon plus générale les VPN peuvent être classés selon les protocoles, services, et type de trafic
(couche OSI 2 ou 3) pouvant circuler en son sein.

14. VPN client / concentrateur

La connexion entre les ordinateurs est gérée de façon transparente par un logiciel de VPN, créant un
tunnel entre eux. Les ordinateurs connectés au VPN sont ainsi sur le même réseau local (virtuel), ce
qui permet de passer outre d'éventuelles restrictions sur le réseau (comme des pare-feux ou des
proxys).

7
 15. Les principales techniques pour les postes clients

Le VPN SSL

Aussi appelé « clientless », car il ne nécessite pas l'installation d'un logiciel client ; un navigateur
Web compatible avec l’ouverture des sessions HTTPS SSL/TLS est suffisant.

Un tunnel VPN SSL ne permet pas de véhiculer différents protocoles de communication comme le
VPN IPsec, mais des solutions existent ainsi :

Pour le protocole RDP, l'ouverture d'un bureau distant utilisera l'accès Web aux services Bureau à
distance (RD Web Access) qui permet d’accéder aux programmes RemoteApp et aux services Bureau
à distance.

Le VPN IPsec

L'installation d'un logiciel « agent » est nécessaire afin d’établir un tunnel vers un serveur VPN.

Un Tunnel VPN IPsec permet de véhiculer différents protocoles de communication tels que SSH,
RDP, SMB, SMTP, IMAP, etc.

Une technique alternative consiste à utiliser du L2TP/IPsec5 qui associe ces protocoles pour faire
passer du PPP sur L2TP sur IPsec, en vue de faciliter la configuration côté client sous Windows6.

16. Intérêt

Un VPN permet d'accéder à des ordinateurs distants comme si l'on était connecté au réseau local. Il
permet d'avoir un accès au réseau interne (réseau d'entreprise, par exemple) ou de créer un réseau de
pairs.

Un VPN dispose généralement aussi d'une « passerelle » permettant d'accéder à l'extérieur, ce qui
permet de changer l'adresse IP source apparente de ses connexions. Cela rend plus difficile
l'identification et la localisation approximative de l'ordinateur émetteur par le fournisseur de service.
Cependant, l'infrastructure de VPN (généralement un serveur) dispose des informations permettant
d'identifier l'utilisateur : par exemple, les sociétés proposant des VPN gratuits ou payants peuvent

8
récolter les données de navigation de leurs clients, ce qui relativise l'anonymat de ces services. Cela
permet aussi de contourner les restrictions géographiques de certains services proposés sur Internet.

Le VPN permet également de construire des « réseaux overlay », en construisant un réseau logique
sur un réseau sous-jacent, faisant ainsi abstraction de la topologie de ce dernier.

L'utilisation de VPN n'est généralement pas légalement restreinte. Elle l'est en Chine. Jusque mi-
2017, le gouvernement semblait tolérer certains usages comme l'accès par un grand nombre de
chercheurs chinois à des études publiées en ligne dans le monde mais inaccessibles en Chine en
raison d'une censure du Net qui a classé non seulement Google Docs et Dropbox, mais aussi Google
scholar en liste noire. En septembre 2017 il semble que la Chine ait décidé d'encore resserrer l'accès
des Chinois à Internet en accroissant la répression pour ceux qui utilisent des réseaux privés virtuels
(VPN) (et donc non-contrôlés par le gouvernement). La communauté scientifique internationale
(relayée par la revue Science) craint que cette mesure puisse « sérieusement éroder la capacité des
scientifiques chinois à rester en contact avec des pairs à l'étranger ».

17. VPN sur les routeurs

Avec l’utilisation croissante des VPN, beaucoup ont commencé à déployer la connectivité VPN sur
les routeurs. Ainsi, l’objectif étant de renforcer la sécurité et le chiffrement de la transmission de
données en utilisant diverses techniques cryptographiques7. À domicile, les utilisateurs déploient
généralement des réseaux privés virtuels sur leurs routeurs pour protéger des périphériques: tels que
des téléviseurs intelligents ou des consoles de jeux qui ne sont pas pris en charge par les clients VPN
natifs. Les périphériques pris en charge ne sont pas limités à ceux capables d’exécuter un client
VPN8.

De nombreux fabricants de routeurs fournissent des routeurs avec des clients VPN intégrés. Certains
utilisent des microprogrammes open-source tels que DD-WRT, OpenWRT et Tomato; afin de
prendre en charge des protocoles supplémentaires tels que OpenVPN.

18. Chiffrement

Les connexions VPN ne sont pas nécessairement chiffrées. Cependant si l'on ne chiffre pas, cela peut
permettre à des éléments intermédiaires sur le réseau d'accéder au trafic du VPN, ce qui peut être

9
problématique si les informations qui y transitent sont sensibles. De plus, des techniques de DPI
permettent à des pare-feux de filtrer le trafic du VPN s'il n'est pas chiffré.

19. Chiffreur IP

Un chiffreur IP est un équipement de sécurité du réseau informatique, réalisant la fonction passerelle

pour un réseau privé virtuel9.

Un chiffreur IP est placé au point d'entrée et de sortie d'un réseau local afin d'établir un lien de
communication entre plusieurs de ces réseaux locaux, en utilisant un réseau externe considéré comme
non sûr. Ce réseau externe peut être, par exemple, Internet. L'établissement de ces liaisons permet de
constituer un réseau privé virtuel chiffré, augmentant ainsi la sécurité de la transmission
d'information d'un réseau à un autre, principalement en termes de confidentialité9.

20. Protocoles

Un réseau privé virtuel utilise un ou plusieurs protocoles parmi les suivants :

 GRE (Generic Routing Encapsulation) développé au départ par Cisco, à l'origine protocole
transportant des paquets de couche 3, mais pouvant désormais aussi transporter la couche 210
 PPTP (Point-to-Point tunneling Protocol) est un protocole transportant des trames de couche
2 (du PPP) développé par Microsoft, 3Com, Ascend, US Robotics et ECI Telematics.
 L2F (Layer Two Forwarding) est un protocole transportant des trames PPP (couche 2)
développé par Cisco Systems, Nortel et Shiva. Il est désormais obsolète.
 L2TP (Layer Two Tunneling Protocol) est l'aboutissement des travaux de l'IETF
(RFC 393111) pour faire converger les fonctionnalités de PPTP et L2F. Il s'agit ainsi d'un
protocole transportant des sessions PPP (couche 2).
 IPsec est un protocole transportant des paquets (couche 3), issu des travaux de l'IETF,
permettant de transporter des données chiffrées pour les réseaux IP. Il est associé au protocole
IKE pour l'échange des clés.
 L2TP/IPsec est une association de ces deux protocoles (RFC 319312,5) pour faire passer du
PPP sur L2TP sur IPsec, en vue de faciliter la configuration côté client sous Windows6.
 SSL/TLS, déjà utilisé pour sécuriser la navigation sur le web via HTTPS, permet également
l'utilisation d'un navigateur Web comme client VPN. Ce protocole est notamment utilisé par
OpenVPN.
10
 SSH permet, entre autres, d'envoyer des paquets depuis un ordinateur auquel on est connecté.
 MPLS permet de créer des VPN distribués (VPRN)13 sur un nuage MPLS14, de niveau 2
(L2VPN) point à point15, point à multipoint (VPLS), ou de niveau 3 (L3VPN) notamment en
IPv4 (VPNv4)16 et/ou IPv6 (VPNv6 / 6VPE17,18), par extension et propagation de VRF
(Virtual routing and forwarding – tables de routage virtuelles) sur l'ensemble du réseau
MPLS.

11