1 / 14

IPSec

IPSec. Formation. Sécurité et IP. IPv4 La version 4 du protocole Internet (IPv4) est celle utilisée par la majorité des routeurs actuels. Elle n'offre pas de sécurité : Contrôle d'authentification Chiffrement…..

Download Presentation

IPSec

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript


  1. IPSec Formation

  2. Sécurité et IP • IPv4 • La version 4 du protocole Internet (IPv4) est celle utilisée par la majorité des routeurs actuels. Elle n'offre pas de sécurité : • Contrôle d'authentification • Chiffrement….. • Son mode de fonctionnement conduit à la mise en place de routeurs filtrants (firewalls). • La refonte de ce protocole en IPnG (IP next Generation) ou IPv6 a pris en compte cette spécificité en intégrant des facilités d'authentification et de confidentialité (IPSec).

  3. Sécurité et IP • IPsec : architecture sécurisée pour IP • Permet de sécuriser les échanges sur un réseau TCP/IP au niveau réseau • Commun à IPv4 et IPv6 • Exemple d'utilisation : VPN, accès distant, . . . . • IPsec fournit : • Confidentialité et protection contre l'analyse du trafic • Authentification des données (et de leur origine) • Intégrité des données (en mode connecté) • Contrôle d'accès

  4. IPsec • Architecture protocolaire : Application (FTP, Telnet, SNMP, . . . Transport (TCP, UDP) IPsec Nouvelles Implémentations IPv4 (intégrant Ipsec) IPv6 (intégrant Ipsec) Implémentations IPv4 existantes IP Physique (Ethernet, . . . )

  5. Sécurité et IP • Rappel architecture IPv4 Vers Hlen Service type Total lenght IDENTIFICATION F Fragment offset Protocol Header checksum TTL @ source @ destination options

  6. En tête d'extension 1 En tête d'extension 2 En tête d'extension n Vers @ source (16 octets) @ destination (16 octets) Sécurité et IP • Architecture IPv6 En tête de base Classe trafic Etiquette de flux Lg charge utile Limite En tête suivante

  7. Sécurité et IP • IPsec fournit : • Confidentialité et protection • Authentification des données (et de leur origine) • Intégrité des données • Le support de ces facilités est obligatoire dans la version 6 du protocole IP et sont implantées comme des en-têtes d'extension à la suite de l'en-tête IP principal. • Deux en-tête : • En-tête d'extension d'authentification (Authentification Header : AH) • En-tête d'extension de confidentialité (Encapsulating Security Playload Header : ESP)

  8. Type du prochain en-tête Lg AH Réservé Paramètres de sécurité Numéro de séquence Données protégées par chiffrement Paramètres de sécurité Bourrage Taille bourrage Type du prochain en-tête Numéro de séquence Données d'authentification Données d'authentification Sécurité et IP • Architecture IPv6 En tête de base En tête d'extension AH En tête d'extension ESP Données utilisateurs

  9. IPSec en mode transport En tête IP En tête IPSec En tête TCP Données IPSec en mode tunnel En tête IP En tête IPSec En tête IP En tête TCP Données Sécurité et IP • Deux modes :

  10. Authentification Header AH • Cette transformation authentifie, protége en intégrité les datagrammes IP et assure une protection anti-replay (chaque paquet est numéroté par le champ "Sequence Number" de l'en-tête AH), et les paquets rejoués ne sont pas pris en compte. • L'authentification est basé sur l'utilisation d'un code d'authentification de message ou MAC (Message Autentication Code). • Elle n'apporte pas confidentialité mais assure une parade aux attaques basés sur le leurre d'adresse IP (IP Spoofing) et sue celles utilisant le re-jeu de paquets IP (replay attack)

  11. Mode transport Mode tunnel En tête IPSec En tête AH En tête IP En tête AH En tête IP En tête TCP En tête TCP Données Données Authentification Authentification Authentification Header AH En tête IP En tête TCP Données

  12. Encapsulating Security Playload ESP • ESP peur assurer au choix un ou plusieurs des services suivants : • Confidentialité des données et protection partielle contre l'analyse du trafic si l'on utilise le mode tunnel. • Intégrité des données en mode non connecté et authentification de l'origine des données, protection partielle contre le re-jeu. • Contrairement à AH, ou l'on se contenter d'ajouter un en-tête supplémentaire au paquet IP, ESP fonctionne suivant le principe de l'encapsulation : les données originales sont chiffrées puis en capsulées.

  13. Mode transport Mode tunnel En tête TCP En tête TCP Données Données Final ESP Final ESP Final ESP Final ESP En tête IP En tête IP En tête ESP En têteIP En têteESP Chiffrement Chiffrement Authentification Authentification Encapsulating Security Playload ESP En tête IP En tête TCP Données

  14. Avantages et inconvénients d'IPSec • Avantages : • Modèle de sécurité flexible et non exhaustif basé sur une boîte à outils modulaire • Possibilité d'instaurer plusieurs crans de sécurité : chiffrement faible ou fort et/ou authentification • Services de sécurité totalement transparents pour les applications • Inconvénients • Mécanismes de sécurité trop nombreux, engendrant un système complexe • IPsec interdit la translation d'adresses (Network Address Translation) • L'interaction du protocole IKE avec les infrastructures à clé publique (PKI) est possible mais il reste à normaliser

More Related