Cours VPN

Enseignante: Zeineb HLOU

Mail : zeineb.hlou@edu.isetcom.tn

ANNEE UNIVERSITAIRE 2024/2025

Le protocole de tunneling
niveau 3:IPSec
IPSec

Le protocole IP présente des problèmes de sécurité multiples.

L’IP v4 n’assure pas l’authentification

Des attaques de type IP Spoofing sont possibles.

Les données dans un paquet peuvent changer sans détection.
Pas de traçabilité de l l’intrus

L’IP v4 n’assure pas la confidentialité

Possibilité d’écoute et d’analyse du trafic..

Pas de garantie de réception des datagrammes IP.

Besoin d’introduire des mécanismes de sécurité pour protéger les paquets IP --> version sécurisée d’IP:
IPSec
IPSec

Mécanisme de sécurité pour IP

Fournit une authentification et une confidentialité au niveau IP.

Inclut aussi une fonctionnalité de gestion des clés.

Applications

VPNs (Virtual Private Networks): Interconnexion des LANs (Router-to-Router)

Accès sécurisé distant (individual-to-router)
Connectivité Extranet et Intranet.

IPSec est mandataire pour IPv6, optionnel pour IPv4.

Plusieurs fabricants supportent IPSec dans leurs produits IP v4.

Une implémentation IPSec s’exécute sur un hôte ou sur une passerelle de sécurité pour protéger le trafic IP.
Avantages d’IPSec
L’implémentation d’IPSec sur les Firewalls/routeurs fournit une sécurité appliquée à tout le trafic entrant et sortant.

La surcharge de traitement n’affecte pas les ressources du réseau interne.

Transparence aux utilisateurs: pas besoin d’instruire les utilisateurs, ni de gérer des clés pour chacun d’entre eux.

IPSec est implémenté au dessous de la couche transport

Transparence aux applications.
Pas besoin demettre à jour les applications,même lorsqueIPSec est implémenté au niveau des machines utilisateurs

IPSec peut fournir la sécurité aux utilisateurs individuels.

Utile aux utilisateurs désirant se connecter au réseau en dehors de leurs bureau

Les protocoles IPSec

Authentication Header (AH)

Définit le protocole d’authentification.

N’utilise pas de cryptage.

Encapsulating Security Payload (ESP)

Utilise le cryptage et optionnellement l’authentification.

Algorithmes de cryptage qui supportent ces protocoles

Distribution et gestion des clés(IKE, iSAKMP..)

Les services IPSec

Zeineb HLOU
Les protocoles IPSec

Authentication Header (AH)

Définit le protocole d’authentification.

N’utilise pas de cryptage.

Encapsulating Security Payload (ESP)

Utilise le cryptage et optionnellement l’authentification.

Algorithmes de cryptage qui supportent ces protocoles

Distribution et gestion des clés.(IKE, ISAKMP...)

Association de Sécurité (Security Association)

Zeineb HLOU
Association de Sécurité (Security Association)

1. Une SPD (Security Policy Database) doit être présente sur chaque système capable d'utiliser IPSec

Permet de préciser la politique de sécurité à appliquer au système.

Chaque entrée de cette base de données est identifiée par un SPI (security parameters
index) unique (32 bits)choisi arbitrairement.

Les règles de la SPD doivent pouvoir, si l’adminsitrateur du système le souhaite, dépendre des paramètres suivants :
adresse ou groupe d’adresses IP de destination
adresse ou groupe d’adresses IP source
nom du système (DNS complète, ..)
protocole de transport utilisé (typiquement, TCP ou UDP)
nom d’utilisateur complet, comme foo@bar.net (ce paramètre n’est toutefois pas obligatoire sur certains types d’implémentations)
ports source et destination (UDP et TCP seulement, le support de ce paramètre est facultatif)

Zeineb HLOU
Relation IPsec, SAD, SPD

Zeineb HLOU
Relation IPsec, SAD, SPD

Zeineb HLOU
Mode transport et mode tunnel

Chacun de AH et ESP supporte ces deux modes

Mode Transport

La sécurité est en gros appliquée au Payload IP (données des protocoles supérieurs).

L’entête IP n’est pas protégée (excepté quelques champs dans le protocole AH).
D’habitude utilisé pour les communications de bout en bout.

Mode Tunnel

Sécurise le paquet comme un tout (en incluant l’entête).

Encapsule tout le paquet IP (Inner) dans un autre (outer)

Le paquet est acheminé selon l’entête du paquet extérieur (outer)

D’habitude utilisé pour les VPNs (router-to-router, firewall-to-firewall)

Zeineb HLOU
Récapitulatif – Transport/Tunnel (2)

Mode Transport

La protection est appliquée uniquement sur la charge du paquet IP.

Utilisé pour offrir une sécurité de bout en bout

Zeineb HLOU
Récapitulatif – Transport/Tunnel (3)
Mode Tunnel

En mode tunnel la sécurité peut être faite par des passerelles

Zeineb HLOU
AH (Authentication Header)

AH: Authentication Header (RFC 2402)

Offre l’authentification de l’origine et l’intégrité des données.

Authentifie la charge et la majorité des champs de l’entête du paquet IP.

Elle n'apporte pas confidentialité mais assure une parade aux attaques basés sur le leurre d'adresses IP (IP
Spoofing) et sur celles utilisant le rejeu de paquets IP (replay attack).

Utilise des codes d’authentification MAC (Message Authentication Code) avec des clés secrètes entre les
deux extrémités.

Zeineb HLOU
AH (Authentication Header)

Zeineb HLOU
AH (Authentication Header)

Zeineb HLOU
AH (mode Transport / mode Tunnel)

Zeineb HLOU
AH Mode Transport

Zeineb HLOU
AH mode Tunnel

Zeineb HLOU
ESP
(Encapsulating
Security
Payload)
Encapsulated Security Payload

ESP peut assurer au choix un ou plusieurs des services suivants :

Confidentialité des données et protection partielle contre l'analyse du trafic si l'on utilise
le mode tunnel

Intégrité des données et authentification de l'origine des données, protection contre le re-jeu.

Contrairement à AH, ou l'on se contente d'ajouter un en-tête supplémentaire au paquet IP, ESP
fonctionne suivant le principe de l'encapsulation : les données originales sont chiffrées puis
encapsulées.

Zeineb HLOU
 Encapsulated Security Payload

ESP ajoute un entête et un trailer au paquet IP.

L’entête contient:
SPI
Numéro de séquence

Le trailer comporte:

Bourrage
Longueur du bourrage
Entête suivant
Le chiffrement ne porte que sur les données encapsulées et l’en-queue ESP, elle n’inclut pas les
champs de l'en-tête IP (sauf en mode tunnel) et les données d'authentification

Lauthentification ESP porte uniquement sur le paquet (en-tête +charge utile+en-queue) ESP
et n’inclut ni en-tête IP ni le champ d’authentification.
Zeineb HLOU
Encapsulated Security Payload

Zeineb HLOU
ESP mode transport

Utilisé pour crypter et optionnellement authentifier le payload IP (ex: datagramme TCP)

Les données sont cryptées mais l’entête IP est en clair.

L’analyse du trafic représente un inconvénient.
Généralement utilisé pour un trafic host-to-host.
Zeineb HLOU
ESP mode tunnel

Crypte et optionnellement authentifie le paquet IP entier

Ajout d’ une nouvelle entête pour le traitement dans les routeurs intermédiaires

Peut être différente de l’entête originale,empêchant l’analyse du trafic.

Utilisé pour les VPN et la sécurité gateway-to-gateway

Les machines du réseau interne ne sont pas impliquées dans les traitements
supplémentaires engendrés par la sécurité.

Le nombre des clés nécessaires est réduit.

Zeineb HLOU
ESP mode tunnel

Zeineb HLOU
Combinaison des SA

Zeineb HLOU
Combinaison des SA

Zeineb HLOU
Combinaison des SA (1)

Sécurisation entre deux passerelles (AH ou ESP en mode tunnel)

Zeineb HLOU
Combinaison des SA (2)

Accès distant (AH ou ESP en mode transport suivie de ESP en mode tunnel)

Zeineb HLOU
Combinaison des SA (3)

Accès distant (AH en mode transport suivie de ESP en mode tunnel)

Zeineb HLOU
Gestion des clés dans IPSec

Zeineb HLOU
Les protocoles de
gestion des clés
pour IPSec