Document 7812429
Download
Report
Transcript Document 7812429
IPSec
Formation
Accès distant
Sécurité et IP
IPv4
La version 4 du protocole Internet (IPv4) est celle utilisée par la majorité des
routeurs actuels. Elle n'offre pas de sécurité :
Contrôle d'authentification
Chiffrement…..
Son mode de fonctionnement conduit à la mise en place de routeurs filtrants
(firewalls).
La refonte de ce protocole en IPnG (IP next Generation) ou IPv6 a pris en
compte cette spécificité en intégrant des facilités d'authentification et de
confidentialité (IPSec).
CIN ST MANDRIER
Accès distant
Sécurité et IP
IPsec : architecture sécurisée pour IP
Permet de sécuriser les échanges sur un réseau TCP/IP au niveau réseau
Commun à IPv4 et IPv6
Exemple d'utilisation : VPN, accès distant, . . . .
IPsec fournit :
Confidentialité et protection contre l'analyse du trafic
Authentification des données (et de leur origine)
Intégrité des données (en mode connecté)
Contrôle d'accès
CIN ST MANDRIER
Accès distant
IPsec
Architecture protocolaire :
Application (FTP, Telnet, SNMP, . . .
Transport (TCP, UDP)
IPsec
Implémentations
IPv4 existantes
IP
Nouvelles
Implémentations
IPv4
(intégrant Ipsec)
IPv6
(intégrant Ipsec)
Physique (Ethernet, . . . )
CIN ST MANDRIER
Accès distant
Sécurité et IP
Rappel architecture IPv4
Vers Hlen Service type
IDENTIFICATION
TTL
Total lenght
F
Protocol
Fragment offset
Header checksum
@ source
@ destination
options
CIN ST MANDRIER
Accès distant
Sécurité et IP
Architecture IPv6
En tête
de base
Vers
Classe
trafic
En tête
d'extension 1
En tête
d'extension 2
En tête
d'extension n
Etiquette de flux
Lg charge utile
En tête suivante
Limite
@ source (16 octets)
@ destination (16 octets)
CIN ST MANDRIER
Accès distant
Sécurité et IP
IPsec fournit :
Confidentialité et protection
Authentification des données (et de leur origine)
Intégrité des données
Le support de ces facilités est obligatoire dans la version 6 du
protocole IP et sont implantées comme des en-têtes d'extension à la
suite de l'en-tête IP principal.
Deux en-tête :
En-tête d'extension d'authentification (Authentification Header : AH)
En-tête d'extension de confidentialité (Encapsulating Security Playload
Header : ESP)
CIN ST MANDRIER
Accès distant
Sécurité et IP
Architecture IPv6
En tête
de base
Type du
prochain entête
En tête
En tête
d'extension AH d'extension ESP
Données
utilisateurs
Paramètres de sécurité
Lg AH
Réservé
Numéro de séquence
Données
protégées par chiffrement
Paramètres
de sécurité
Type du
Numéro de séquence
Taille
prochain enBourrage
bourrage
Données d'authentification
tête
CIN ST MANDRIER
Données d'authentification
Accès distant
Sécurité et IP
Deux modes :
IPSec en mode transport
En tête IP
En tête
IPSec
En tête TCP
Données
IPSec en mode tunnel
En tête IP
En tête
IPSec
En tête IP En tête TCP
Données
CIN ST MANDRIER
Accès distant
Authentification Header AH
Cette transformation authentifie, protége en intégrité les
datagrammes IP et assure une protection anti-replay (chaque
paquet est numéroté par le champ "Sequence Number" de l'en-tête
AH), et les paquets rejoués ne sont pas pris en compte.
L'authentification est basé sur l'utilisation d'un code
d'authentification de message ou MAC (Message Autentication
Code).
Elle n'apporte pas confidentialité mais assure une parade aux
attaques basés sur le leurre d'adresse IP (IP Spoofing) et sue celles
utilisant le re-jeu de paquets IP (replay attack)
CIN ST MANDRIER
Accès distant
Authentification Header AH
transport
Mode tunnel
En tête
IPSec
En tête IP
En tête TCP
Données
En tête
tête AH
IP En
En
En tête
tête AH
IP En tête TCP
Données
Authentification
CIN ST MANDRIER
Accès distant
Encapsulating Security Playload ESP
ESP peur assurer au choix un ou plusieurs des services suivants :
Confidentialité des données et protection partielle contre l'analyse du
trafic si l'on utilise le mode tunnel.
Intégrité des données en mode non connecté et authentification de
l'origine des données, protection partielle contre le re-jeu.
Contrairement à AH, ou l'on se contenter d'ajouter un en-tête
supplémentaire au paquet IP, ESP fonctionne suivant le principe de
l'encapsulation : les données originales sont chiffrées puis en
capsulées.
CIN ST MANDRIER
Accès distant
Encapsulating Security Playload ESP
Mode tunnel
transport
En tête
IP
En tête
ESP
IP
En tête
IP
En tête
TCP
Données
En
En tête
tête
ESP
IP
En tête
TCP
Données Final ESP Final ESP
Chiffrement
Authentification
CIN ST MANDRIER
Accès distant
Avantages et inconvénients d'IPSec
Avantages :
Modèle de sécurité flexible et non exhaustif basé sur une boîte à outils
modulaire
Possibilité d'instaurer plusieurs crans de sécurité : chiffrement faible
ou fort et/ou authentification
Services de sécurité totalement transparents pour les applications
Inconvénients
Mécanismes de sécurité trop nombreux, engendrant un système
complexe
IPsec interdit la translation d'adresses (Network Address Translation)
L'interaction du protocole IKE avec les infrastructures à clé publique
(PKI) est possible mais il reste à normaliser
CIN ST MANDRIER