Internet

 Protocol  Security  

noria.foukia@hesge.ch  
SR  année  2019-­‐2020  

1  
 Contenu  
• Introduc@on  -­‐  Défini@on  
• Mode  Transport  
• Mode  Tunnel  
• AH  et  ESP  
• IKE  
• Exercice  
 

2  
 Défini@on  
• Suite  de  protocoles  de  l’IETF  
• Sécurisa@on  de  la  communica@on  niveau  réseau  
– Authen@fica@on  des  extrémités    
– Confiden@alité  des  données  
– Authen@cité  des  données  
– Intégrité  des  données  échangées  
• Standard  ouvert  avec  algorithmes  cryptographiques  
publics  
• U@lisé  ou  non  pour  VPN  
• Deux  Modes  
• AH  et  ESP  
• IKE  
3  
 Mode  Transport  
• Protège  uniquement  les  données  du  paquet  IP  
• Entre  source  et  des@na@on  autre  que  routeur  
• Besoin  de  connaître  l’adresse  exacte  de  
des@na@on  dans  ce  mode  

4  
 Mode  Tunnel  
• Protège  tout  le  paquet  IP  par  encapsula@on  
totale  avec  ajout  d’entête  
• Entre  routeurs  (pour  dé/encapsula@on)  
• Routeur  se  charge  d’ajouter  l’adresse  IP  à  
l’encapsula@on  du  routeur  qui  va  dé-­‐
encapsuler  et  déchiffrer    

5  
 Protocole  :  Authen@ca@on  Header  
(AH)  

• Authen@cité  de  la  source    

• Intégrité  des  données  

6  
AH  Mode  Tunnel  et  Transport  (1)  

hep://www.sharetechnote.com/html/IP_Network_IPSec_AH.html     7  
AH  Mode  Tunnel  et  Transport  (2)  

hep://www.sharetechnote.com/html/IP_Network_IPSec_AH.html     8  
 Protocole  :  Encapsulated  Security  
Payload  (ESP)  
• Confiden@alité  des  données  
• Authen@cité  de  la  source  op@onnelle  sans  
protec@on  de  l’entête  IP  
• Intégrité  des  données  
• Ajoute  d’un  en-­‐tête  et  d’une  terminaison  
(«  trailer  »)  avec  données  chiffrées  entre  les  
deux  
• Un  MAC  op@onnel  
9  
ESP  Mode  Tunnel  et  Transport  (1)  

hep://www.sharetechnote.com/html/IP_Network_IPSec_ESP.html    
10  
ESP  Mode  Tunnel  et  Transport  (2)  

hep://www.sharetechnote.com/html/IP_Network_IPSec_ESP.html     11  
 Internet  Key  Exchange  (IKE)  
• Authen@fica@on  des  en@tés  
• Echange  de  clés  entre  en@tés  
• Négocia@on  des  paramètres  de  communica@on  
dans  une  Associa@on  de  Sécurité  (AS)  
• Une  AS  créée  par  en@té  IPSec  et  par  
communica@on  
• Plusieurs  AS  possibles  entre  deux  en@tés  selon  les  
flux  
• AS  iden@fiée  par  Security  Parameter  Index  (SPI)  
• Deux  Phases  
12  
 IKE  –  Phase  1  
• Négocia@on  de  la  AS  pour  la  négocia@on  de  la    
Phase  2  à  établir  
• Deux  modes  :  principal  (P)  et  agressif  (A)  
– Authen@fica@on  des  en@tés  :  3  cas  
– Echange  des  clefs  :  en  mode  P  clé  de  session  par  
DH  u@lisée  pour  protéger  la  transac@on  
(paramètres  et  authen@fica@on)  
– Mode  A,  une  seule  étape  pour  l’authen@fica@on  et  
DH  :  pas  de  paramètres  négociés  et  en@tés  en  clair  
13  
 IKE  –  Phase  2  
• négocia@on  de  la  AS  pour  la  protec@on  des  
données  
– Un  mode  :  rapide  pour  transport  trafic  entre  
en@tés  
– Sans  Perfect  Forward  Secrecy  (PFS)  :  on  dérive  les  
clés  SA  de  la  phase  1  
– Avec  PFS  :  nouvel  échange  DH  pour  générer  des  
clés  valables  une  heure  

14  
 IPSec  et  NAT  
• Exercice  en  cours  …  

15  
Merci  

16