Scribd Logo
Importer

Bienvenue sur Scribd !

  • 21 vues

    IPsec

    Transféré par

    Le Marin
    Ce document décrit le protocole IPSec qui fournit une sécurisation au niveau IP. IPSec offre l'authentification, l'intégrité et la confidentialité des communications. Il permet d'établir une communication sécurisée entre entités via des associations de sécurité et l'échange de clés géré par le protocole IKE.

    Droits d'auteur :

    © All Rights Reserved
    Téléchargez comme PDF, TXT ou lisez en ligne sur Scribd

    IPsec

    Transféré par

    Le Marin
    21 vues24 pages
    Ce document décrit le protocole IPSec qui fournit une sécurisation au niveau IP. IPSec offre l'authentification, l'intégrité et la confidentialité des communications. Il permet d'établir une communication sécurisée entre entités via des associations de sécurité et l'échange de clés géré par le protocole IKE.

    Copyright

    © © All Rights Reserved

    Formats disponibles

    PDF, TXT ou lisez en ligne sur Scribd

    Avez-vous trouvé ce document utile ?

    Ce contenu est-il inapproprié ?

    Ce document décrit le protocole IPSec qui fournit une sécurisation au niveau IP. IPSec offre l'authentification, l'intégrité et la confidentialité des communications. Il permet d'établir une communication sécurisée entre entités via des associations de sécurité et l'échange de clés géré par le protocole IKE.

    Droits d'auteur :

    © All Rights Reserved
    Téléchargez comme PDF, TXT ou lisez en ligne sur Scribd
    Télécharger au format pdf ou txt
    21 vues24 pages

    IPsec

    Transféré par

    Le Marin
    Ce document décrit le protocole IPSec qui fournit une sécurisation au niveau IP. IPSec offre l'authentification, l'intégrité et la confidentialité des communications. Il permet d'établir une communication sécurisée entre entités via des associations de sécurité et l'échange de clés géré par le protocole IKE.

    Droits d'auteur :

    © All Rights Reserved
    Téléchargez comme PDF, TXT ou lisez en ligne sur Scribd
    Télécharger au format pdf ou txt
    sur 24

    IPSec : IP Security

    Protocole fournissant un mécanisme de sécurisation au niveau IP.

    RFC 2401 concernant IPSEC


    RFC 2402 concernant le mode AH (authentification)
    RFC 2406 concernant le mode ESP (chiffrement)
    RFC 2409 concernant IKE (Internet Key Exchange)

    2
    Présentation d’IPsec

    • IPsec n'est pas un protocole : IPv4 ou IPv6.

    • IPsec offre des service d'authentification, d'intégrité et de confidentialité

    • IPsec offre un cadre général qui permet à une paire d'entités d'établir une
    communication sécurisée.

    • Les services et algorithmes utilisés sont paramétrables.

    3
    Utilisation d’IPsec
    • Pour les applications :

    – Echanges sécurisés entre les sites d'une même entreprise


    – Accès sécurisés distants utilisant l'Internet
    – Etablissement d'un intranet sécurisé avec des entreprises partenaires
    – Commerce électronique sécurisé.

    • Pour le réseau, certifie que :

    – Les messages proviennent d'un routeur autorisé


    – Les messages de redirection proviennent d'un routeur qui a reçu le message
    – Les messages de routage ne sont pas modifiés

    • IPsec est le principal procédé utilisé pour construire un VPN

    4
    Model de sécurité IPsec

    Secure

    Insecure

    5
    IPSEC: positionnement
    Les mécanismes AH et ESP

    7
    Association de sécurité
    Les mécanismes mentionnés font bien sur appel à la cryptographie, et utilisent donc un certain
    nombre de paramètres sur lesquels les tiers communicant doivent se mettre d’accord. Afin de
    gérer ces paramètres, IPsec a recours à la notion d’association de sécurité (Security
    Association SA).

     SA = connexion de service, offrant des fonctionnalités de sécurité au trafic transporté.


     Les services fournis par une SA mettent en œuvre soit le protocole AH soit ESP, mais pas
    les deux.
     Si les deux protocoles doivent être appliqués à un flux, il faut créer deux SA.
     Une communication bi-directionnelle classique entraine l’ouverture de deux SA (une dans
    chaque sens)

    8
    Association de sécurité
    Chaque association est identifiée de manière unique à l’aide d’un triplet
    composé de :

     L’adresse de destination des paquets.


     L’identifiant d’un protocole de sécurité utilisé (AH ou ESP).
     Un index des paramètres de sécurité (Security Parameter Index, SPI)

     Un SPI est un bloc de 32 bits inscrit en clair dans l’en-tête de chaque paquet
    échangé, il est choisi par le récepteur.

    9
    La gestion des clefs et des SA
     La gestion des clefs pour IPsec n’est liée aux autres mécanismes de sécurité
    que par le biais des SA. Une SA peut être configurer manuellement dans le
    cas d’une situation simple , mais la règle général est d’utiliser un protocole
    spécifique qui permet la négociation dynamique des SA et notamment
    l’échange des clefs de session.

    10
    Architecture IPsec

    ESP AH

    Encapsulating Security Authentication Header


    Payload
    IPSec Security Policy

    IKE

    The Internet Key Exchange

    11
    Politique de sécurité

    12
    IPSec : Types d’utilisations possibles

    13
    IPSec : Types d’utilisations possibles

    14
    IPSec : Types d’utilisations possibles

    15
    Principe de fonctionnement

    16
    Principe de fonctionnement

    17
    IPSEC: Fonctionnement
     2 modes de fonctionnement :
    - le mode tunnel (entete IP modifiée)
    - le mode transport (entête IP non modifiée)
     Ces 2 modes sont possibles aussi bien dans le cadre de
    l ’utilisation de AH que de ESP.

    Transport Mode

    Router Router

    Tunnel Mode 18
    IPSEC : fonctionnement AH
    Datagramme
    Entête IP Données d ’origine

    Authentifié (sauf champs variables d ’entête IP)

    Entête IP AH Données Mode


    Transport

    Mode tunnel
    Nouvel Entête IP AH Entête IP Données
    Authentifié (sauf champs variables d ’entête IP)

    19
    IPSEC: fonctionnement ESP
    Datagramme
    Entête IP Données d ’origine

    chiffré
    Mode
    Entête IP Entête ESP Données Trailer ESP Authen. Transport
    authentifié
    Mode
    chiffré Tunnel

    Nouvel Entête IP Entête ESP Entête IP Données Trailer ESP Authen.


    authentifié

    20
    IPSec: le protocole ISAKMP (1)
     ISAKMP permet:

    - la négociation,
    - l’établissement,
    - la modification,
    - la suppression des SA et de leurs attributs.
     La négociation est indépendante du protocole de sécurité utilisé. Les
    Paramètres négociés sont décrits dans un “domain of interpretation”
    (DOI).

    21
    IPSec: le protocole ISAKMP (2)
     ISAKMP procède en 2 étapes:

    -création d’une première SA “ISAKMP” permettant ensuite d’assurer la


    sécurité des négociations.

    - création d’une SA pour le compte d’un protocole de sécurité, par


    exemple IPSec.
    ISAKMP est en fait un “toolkit” permettant de négocier une SA selon
    des directives “DOI”. Cela permet d’employer ISAKMP pour d’autres
    protocoles que IPSec.

    22
    IPSec : le protocole ISAKMP (3)
    IKE Tunnel IKE bi-directionnel IKE
    ISAKMP (1) ISAKMP SA ISAKMP
    UDP UDP
    (2) IPSec SA
    IPSec IPSec
    IP IP

    23
    IPSec : le protocole IKE
    IKE (Internet Key Exchange) est un système développé spécifiquement pour
    IPsec qui vise à fournir des mécanismes d’authentification et d’échange de clef
    adaptés à l’ensemble des situations qui peuvent se présenter sur l’Internet. Il est
    composé de plusieurs éléments : le cadre générique ISAKMP et une partie des
    protocoles Oakley et SKEME. Lorsqu'il est utilisé pour IPsec, IKE est de plus
    complété par un “domaine d'interprétation” pour IPsec.

    24

    Vous aimerez peut-être aussi