220 likes | 484 Views
IPSec. Formation. Sécurité et IP. IPv4 La version 4 du protocole Internet (IPv4) est celle utilisée par la majorité des routeurs actuels. Elle n'offre pas de sécurité : Contrôle d'authentification Chiffrement…..
E N D
IPSec Formation
Sécurité et IP • IPv4 • La version 4 du protocole Internet (IPv4) est celle utilisée par la majorité des routeurs actuels. Elle n'offre pas de sécurité : • Contrôle d'authentification • Chiffrement….. • Son mode de fonctionnement conduit à la mise en place de routeurs filtrants (firewalls). • La refonte de ce protocole en IPnG (IP next Generation) ou IPv6 a pris en compte cette spécificité en intégrant des facilités d'authentification et de confidentialité (IPSec).
Sécurité et IP • IPsec : architecture sécurisée pour IP • Permet de sécuriser les échanges sur un réseau TCP/IP au niveau réseau • Commun à IPv4 et IPv6 • Exemple d'utilisation : VPN, accès distant, . . . . • IPsec fournit : • Confidentialité et protection contre l'analyse du trafic • Authentification des données (et de leur origine) • Intégrité des données (en mode connecté) • Contrôle d'accès
IPsec • Architecture protocolaire : Application (FTP, Telnet, SNMP, . . . Transport (TCP, UDP) IPsec Nouvelles Implémentations IPv4 (intégrant Ipsec) IPv6 (intégrant Ipsec) Implémentations IPv4 existantes IP Physique (Ethernet, . . . )
Sécurité et IP • Rappel architecture IPv4 Vers Hlen Service type Total lenght IDENTIFICATION F Fragment offset Protocol Header checksum TTL @ source @ destination options
En tête d'extension 1 En tête d'extension 2 En tête d'extension n Vers @ source (16 octets) @ destination (16 octets) Sécurité et IP • Architecture IPv6 En tête de base Classe trafic Etiquette de flux Lg charge utile Limite En tête suivante
Sécurité et IP • IPsec fournit : • Confidentialité et protection • Authentification des données (et de leur origine) • Intégrité des données • Le support de ces facilités est obligatoire dans la version 6 du protocole IP et sont implantées comme des en-têtes d'extension à la suite de l'en-tête IP principal. • Deux en-tête : • En-tête d'extension d'authentification (Authentification Header : AH) • En-tête d'extension de confidentialité (Encapsulating Security Playload Header : ESP)
Type du prochain en-tête Lg AH Réservé Paramètres de sécurité Numéro de séquence Données protégées par chiffrement Paramètres de sécurité Bourrage Taille bourrage Type du prochain en-tête Numéro de séquence Données d'authentification Données d'authentification Sécurité et IP • Architecture IPv6 En tête de base En tête d'extension AH En tête d'extension ESP Données utilisateurs
IPSec en mode transport En tête IP En tête IPSec En tête TCP Données IPSec en mode tunnel En tête IP En tête IPSec En tête IP En tête TCP Données Sécurité et IP • Deux modes :
Authentification Header AH • Cette transformation authentifie, protége en intégrité les datagrammes IP et assure une protection anti-replay (chaque paquet est numéroté par le champ "Sequence Number" de l'en-tête AH), et les paquets rejoués ne sont pas pris en compte. • L'authentification est basé sur l'utilisation d'un code d'authentification de message ou MAC (Message Autentication Code). • Elle n'apporte pas confidentialité mais assure une parade aux attaques basés sur le leurre d'adresse IP (IP Spoofing) et sue celles utilisant le re-jeu de paquets IP (replay attack)
Mode transport Mode tunnel En tête IPSec En tête AH En tête IP En tête AH En tête IP En tête TCP En tête TCP Données Données Authentification Authentification Authentification Header AH En tête IP En tête TCP Données
Encapsulating Security Playload ESP • ESP peur assurer au choix un ou plusieurs des services suivants : • Confidentialité des données et protection partielle contre l'analyse du trafic si l'on utilise le mode tunnel. • Intégrité des données en mode non connecté et authentification de l'origine des données, protection partielle contre le re-jeu. • Contrairement à AH, ou l'on se contenter d'ajouter un en-tête supplémentaire au paquet IP, ESP fonctionne suivant le principe de l'encapsulation : les données originales sont chiffrées puis en capsulées.
Mode transport Mode tunnel En tête TCP En tête TCP Données Données Final ESP Final ESP Final ESP Final ESP En tête IP En tête IP En tête ESP En têteIP En têteESP Chiffrement Chiffrement Authentification Authentification Encapsulating Security Playload ESP En tête IP En tête TCP Données
Avantages et inconvénients d'IPSec • Avantages : • Modèle de sécurité flexible et non exhaustif basé sur une boîte à outils modulaire • Possibilité d'instaurer plusieurs crans de sécurité : chiffrement faible ou fort et/ou authentification • Services de sécurité totalement transparents pour les applications • Inconvénients • Mécanismes de sécurité trop nombreux, engendrant un système complexe • IPsec interdit la translation d'adresses (Network Address Translation) • L'interaction du protocole IKE avec les infrastructures à clé publique (PKI) est possible mais il reste à normaliser