Académique Documents
Professionnel Documents
Culture Documents
Protocol Security
noria.foukia@hesge.ch
SR
année
2019-‐2020
1
Contenu
• Introduc@on
-‐
Défini@on
• Mode
Transport
• Mode
Tunnel
• AH
et
ESP
• IKE
• Exercice
2
Défini@on
• Suite
de
protocoles
de
l’IETF
• Sécurisa@on
de
la
communica@on
niveau
réseau
– Authen@fica@on
des
extrémités
– Confiden@alité
des
données
– Authen@cité
des
données
– Intégrité
des
données
échangées
• Standard
ouvert
avec
algorithmes
cryptographiques
publics
• U@lisé
ou
non
pour
VPN
• Deux
Modes
• AH
et
ESP
• IKE
3
Mode
Transport
• Protège
uniquement
les
données
du
paquet
IP
• Entre
source
et
des@na@on
autre
que
routeur
• Besoin
de
connaître
l’adresse
exacte
de
des@na@on
dans
ce
mode
4
Mode
Tunnel
• Protège
tout
le
paquet
IP
par
encapsula@on
totale
avec
ajout
d’entête
• Entre
routeurs
(pour
dé/encapsula@on)
• Routeur
se
charge
d’ajouter
l’adresse
IP
à
l’encapsula@on
du
routeur
qui
va
dé-‐
encapsuler
et
déchiffrer
5
Protocole
:
Authen@ca@on
Header
(AH)
6
AH
Mode
Tunnel
et
Transport
(1)
hep://www.sharetechnote.com/html/IP_Network_IPSec_AH.html
7
AH
Mode
Tunnel
et
Transport
(2)
hep://www.sharetechnote.com/html/IP_Network_IPSec_AH.html
8
Protocole
:
Encapsulated
Security
Payload
(ESP)
• Confiden@alité
des
données
• Authen@cité
de
la
source
op@onnelle
sans
protec@on
de
l’entête
IP
• Intégrité
des
données
• Ajoute
d’un
en-‐tête
et
d’une
terminaison
(«
trailer
»)
avec
données
chiffrées
entre
les
deux
• Un
MAC
op@onnel
9
ESP
Mode
Tunnel
et
Transport
(1)
hep://www.sharetechnote.com/html/IP_Network_IPSec_ESP.html
10
ESP
Mode
Tunnel
et
Transport
(2)
hep://www.sharetechnote.com/html/IP_Network_IPSec_ESP.html
11
Internet
Key
Exchange
(IKE)
• Authen@fica@on
des
en@tés
• Echange
de
clés
entre
en@tés
• Négocia@on
des
paramètres
de
communica@on
dans
une
Associa@on
de
Sécurité
(AS)
• Une
AS
créée
par
en@té
IPSec
et
par
communica@on
• Plusieurs
AS
possibles
entre
deux
en@tés
selon
les
flux
• AS
iden@fiée
par
Security
Parameter
Index
(SPI)
• Deux
Phases
12
IKE
–
Phase
1
• Négocia@on
de
la
AS
pour
la
négocia@on
de
la
Phase
2
à
établir
• Deux
modes
:
principal
(P)
et
agressif
(A)
– Authen@fica@on
des
en@tés
:
3
cas
– Echange
des
clefs
:
en
mode
P
clé
de
session
par
DH
u@lisée
pour
protéger
la
transac@on
(paramètres
et
authen@fica@on)
– Mode
A,
une
seule
étape
pour
l’authen@fica@on
et
DH
:
pas
de
paramètres
négociés
et
en@tés
en
clair
13
IKE
–
Phase
2
• négocia@on
de
la
AS
pour
la
protec@on
des
données
– Un
mode
:
rapide
pour
transport
trafic
entre
en@tés
– Sans
Perfect
Forward
Secrecy
(PFS)
:
on
dérive
les
clés
SA
de
la
phase
1
– Avec
PFS
:
nouvel
échange
DH
pour
générer
des
clés
valables
une
heure
14
IPSec
et
NAT
• Exercice
en
cours
…
15
Merci
16