Académique Documents
Professionnel Documents
Culture Documents
Besoin d’introduire des mécanismes de sécurité pour protéger les paquets IP --> version sécurisée d’IP:
IPSec
IPSec
Applications
Transparence aux utilisateurs: pas besoin d’instruire les utilisateurs, ni de gérer des clés pour chacun d’entre eux.
Zeineb HLOU
Les protocoles IPSec
Zeineb HLOU
Association de Sécurité (Security Association)
1. Une SPD (Security Policy Database) doit être présente sur chaque système capable d'utiliser IPSec
Chaque entrée de cette base de données est identifiée par un SPI (security parameters
index) unique (32 bits)choisi arbitrairement.
Les règles de la SPD doivent pouvoir, si l’adminsitrateur du système le souhaite, dépendre des paramètres suivants :
adresse ou groupe d’adresses IP de destination
adresse ou groupe d’adresses IP source
nom du système (DNS complète, ..)
protocole de transport utilisé (typiquement, TCP ou UDP)
nom d’utilisateur complet, comme foo@bar.net (ce paramètre n’est toutefois pas obligatoire sur certains types d’implémentations)
ports source et destination (UDP et TCP seulement, le support de ce paramètre est facultatif)
Zeineb HLOU
Relation IPsec, SAD, SPD
Zeineb HLOU
Relation IPsec, SAD, SPD
Zeineb HLOU
Mode transport et mode tunnel
Mode Transport
Mode Tunnel
Zeineb HLOU
Récapitulatif – Transport/Tunnel (2)
Mode Transport
Zeineb HLOU
Récapitulatif – Transport/Tunnel (3)
Mode Tunnel
Zeineb HLOU
AH (Authentication Header)
Elle n'apporte pas confidentialité mais assure une parade aux attaques basés sur le leurre d'adresses IP (IP
Spoofing) et sur celles utilisant le rejeu de paquets IP (replay attack).
Utilise des codes d’authentification MAC (Message Authentication Code) avec des clés secrètes entre les
deux extrémités.
Zeineb HLOU
AH (Authentication Header)
Zeineb HLOU
AH (Authentication Header)
Zeineb HLOU
AH (mode Transport / mode Tunnel)
Zeineb HLOU
AH Mode Transport
Zeineb HLOU
AH mode Tunnel
Zeineb HLOU
ESP
(Encapsulating
Security
Payload)
Encapsulated Security Payload
Confidentialité des données et protection partielle contre l'analyse du trafic si l'on utilise
le mode tunnel
Intégrité des données et authentification de l'origine des données, protection contre le re-jeu.
Contrairement à AH, ou l'on se contente d'ajouter un en-tête supplémentaire au paquet IP, ESP
fonctionne suivant le principe de l'encapsulation : les données originales sont chiffrées puis
encapsulées.
Zeineb HLOU
Encapsulated Security Payload
L’entête contient:
SPI
Numéro de séquence
Le trailer comporte:
Bourrage
Longueur du bourrage
Entête suivant
Le chiffrement ne porte que sur les données encapsulées et l’en-queue ESP, elle n’inclut pas les
champs de l'en-tête IP (sauf en mode tunnel) et les données d'authentification
Lauthentification ESP porte uniquement sur le paquet (en-tête +charge utile+en-queue) ESP
et n’inclut ni en-tête IP ni le champ d’authentification.
Zeineb HLOU
Encapsulated Security Payload
Zeineb HLOU
ESP mode transport
Ajout d’ une nouvelle entête pour le traitement dans les routeurs intermédiaires
Les machines du réseau interne ne sont pas impliquées dans les traitements
supplémentaires engendrés par la sécurité.
Zeineb HLOU
Combinaison des SA
Zeineb HLOU
Combinaison des SA
Zeineb HLOU
Combinaison des SA (1)
Zeineb HLOU
Combinaison des SA (2)
Accès distant (AH ou ESP en mode transport suivie de ESP en mode tunnel)
Zeineb HLOU
Combinaison des SA (3)
Zeineb HLOU
Gestion des clés dans IPSec
Zeineb HLOU
Les protocoles de
gestion des clés
pour IPSec