IPSec Formation.

Slides:



Advertisements
Présentations similaires
Sécurité informatique
Advertisements

Protection notice / Copyright notice Copyright © Siemens Enterprise Communications GmbH & Co KG Tous droits réservés. HiPath 3000/5000 V7.0 HiPath.
Wilfried DUQUENNE, Sylvain CLERCQ & Mina BEN HADDOU
Qualité de Service sur Linux
NGN : Opportunités pour le développement de la Voix sur IP
DUDIN Aymeric MARINO Andrès
Patrick PROY Sébastien MATHON DESS Réseaux - promotion 1999/2000
W O R L D W I D E L E A D E R I N S E C U R I N G T H E I N T E R N E T VPN et Solutions pour lentreprise David Lassalle Khaled Bouadi.
Les Firewall DESS Réseaux 2000/2001
La sécurité dans les réseaux WiFi techniques, déploiement et limites ?
Guillaume CACHO Pierre-Louis BROUCHUD
Vue d'ensemble Présentation multimédia : Rôle du routage dans l'infrastructure réseau Activation et configuration du service Routage et accès distant Configuration.
Vue d'ensemble Implémentation de la sécurité IPSec
D1 - 26/07/01 Present document contains informations proprietary to France Telecom. Accepting this document means for its recipient he or she recognizes.
Réseaux Privés Virtuels
Authentification contre Masquarade
Communication entre Ordinateurs
Architecture Réseau Modèle OSI et TCP.
Accès distant par connexion
Le filtrage IP Ahmed Serhrouchni ENST’Paris CNRS.
Introduction Les solutions de sécurité
Distributed Queue Dual Bus
Trafic et analyse des flux de données pour les réseaux IP
Virtual Private Network
Linux – les VPN.
802.1x Audric PODMILSAK 13 janvier 2009.
Le Modele OSI.
VPN - SSL Alexandre Duboys Des Termes IUP MIC 3 Jean Fesquet
Linux – les VPN. Introduction  de plus en plus utilisés  utilisent :  les tunnels  la cryptographie  certificats X509 via une autorité de certification.
Adressage internet utilisé par le protocole IP (Internet Protocol)
IPSec : IP Security Protocole fournissant un mécanisme de
Sécurisation sur TVoIP
La sécurité des réseaux ATM Maryline Laurent-Maknavicius dép. RSM, Télécom Bretagne Avril 1998.
Université des Sciences et de Technologie Mohamed Boudiaf - ORAN
SECURITE DES RESEAUX WIFI
Équipements d'interconnection téléinformatique
Cours 5 Le modèle de référence.
Sommaire Dans ce chapitre, nous aborderons :
Virtual Private Network (VPN)
IPv6 : L’Internet de demain
Sécurité des systèmes et des réseaux télécoms
Couche Transport (4) Routeur Messages entre A et B
Introduction à la cryptographie
VPN sous Linux Essaka Cynthia Serbin Laurent. Sommaire  Introduction  Vpnd  LRP  Freeswan.
Institut Supérieur d’Informatique
IPV6 MOBILE.
Yonel Grusson.
Introduction à la sécurité des interconnexions Internet
Les Réseaux Informatiques
Theme : VPN avec IPSEC et OPENVPN
Sécurité et Internet Formation.
Réseaux Informatiques
Sujet IP security Stéphane BERGEROTProbatoire
Accès distant CIN ST MANDRIER Tunelling Standard commun : L2TP L2TP = Fusion de PPTP et de L2F (RFC 2661) Deux cas possibles : Tunnel direct entre client.
SNMP Simple Network Management Protocol
Yonel Grusson.
3.3 Communication et réseaux informatiques
UE3-1 RESEAU Introduction
Les protocoles de niveau message
Virtual Private Network
Vitual Private Network
IPv6 IP Next Generation Xavier BUREAU & Emilien GUERRIER 11/01/2002.
Couche réseau du modèle OSI
Architecture Client/Serveur
SIRVIN Alexis RIVIERE Mathieu VERRIERE Arthur
Sécurité des Web Services
Les architectures logiques
Cours 10 Les protocoles de niveau paquet. Interconnexion de réseau de niveau paquet La figure montre une interconnexion de deux réseaux IP, A et B, au.
Chapitre 8 Protection du trafic réseau à l'aide de la sécurité IPSec et de certificats Module S43.
1 IPSec : IP Security Protocole fournissant un mécanisme de sécurisation au niveau IP. RFC 2401 concernant IPSEC RFC 2402 concernant le mode AH (authentification)
Transcription de la présentation:

IPSec Formation

Sécurité et IP IPv4 La version 4 du protocole Internet (IPv4) est celle utilisée par la majorité des routeurs actuels. Elle n'offre pas de sécurité : Contrôle d'authentification Chiffrement….. Son mode de fonctionnement conduit à la mise en place de routeurs filtrants (firewalls). La refonte de ce protocole en IPnG (IP next Generation) ou IPv6 a pris en compte cette spécificité en intégrant des facilités d'authentification et de confidentialité (IPSec).

Sécurité et IP IPsec : architecture sécurisée pour IP IPsec fournit : Permet de sécuriser les échanges sur un réseau TCP/IP au niveau réseau Commun à IPv4 et IPv6 Exemple d'utilisation : VPN, accès distant, . . . . IPsec fournit : Confidentialité et protection contre l'analyse du trafic Authentification des données (et de leur origine) Intégrité des données (en mode connecté) Contrôle d'accès

Application (FTP, Telnet, SNMP, . . . IPsec Architecture protocolaire : Application (FTP, Telnet, SNMP, . . . Transport (TCP, UDP) IPsec Nouvelles Implémentations IPv4 (intégrant Ipsec) IPv6 (intégrant Ipsec) Implémentations IPv4 existantes IP Physique (Ethernet, . . . )

Sécurité et IP Vers Hlen Service type Total lenght IDENTIFICATION F Rappel architecture IPv4 Vers Hlen Service type Total lenght IDENTIFICATION F Fragment offset TTL Protocol Header checksum @ source @ destination options

@ destination (16 octets) Sécurité et IP Architecture IPv6 En tête de base En tête d'extension 1 d'extension 2 d'extension n Classe trafic @ source (16 octets) @ destination (16 octets) Vers Etiquette de flux Lg charge utile Limite En tête suivante

Sécurité et IP IPsec fournit : Confidentialité et protection Authentification des données (et de leur origine) Intégrité des données Le support de ces facilités est obligatoire dans la version 6 du protocole IP et sont implantées comme des en-têtes d'extension à la suite de l'en-tête IP principal. Deux en-tête : En-tête d'extension d'authentification (Authentification Header : AH) En-tête d'extension de confidentialité (Encapsulating Security Playload Header : ESP)

Sécurité et IP En tête de base Données utilisateurs Architecture IPv6 En tête de base En tête d'extension AH En tête d'extension ESP Données utilisateurs Données d'authentification Numéro de séquence Paramètres de sécurité Réservé Lg AH Type du prochain en-tête Données d'authentification Type du prochain en-tête Taille bourrage Bourrage Données protégées par chiffrement Numéro de séquence Paramètres de sécurité

Sécurité et IP IPSec en mode transport IPSec en mode tunnel En tête IP Deux modes : En tête IP En tête IPSec En tête TCP Données IPSec en mode transport En tête IP En tête IPSec En tête TCP Données IPSec en mode tunnel

Authentification Header AH Cette transformation authentifie, protége en intégrité les datagrammes IP et assure une protection anti-replay (chaque paquet est numéroté par le champ "Sequence Number" de l'en-tête AH), et les paquets rejoués ne sont pas pris en compte. L'authentification est basé sur l'utilisation d'un code d'authentification de message ou MAC (Message Autentication Code). Elle n'apporte pas confidentialité mais assure une parade aux attaques basés sur le leurre d'adresse IP (IP Spoofing) et sue celles utilisant le re-jeu de paquets IP (replay attack)

Authentification Header AH Mode transport En tête IP En tête AH En tête TCP Données Authentification En tête IPSec Mode tunnel En tête IP En tête AH En tête TCP Données Authentification En tête IP En tête TCP Données

Encapsulating Security Playload ESP ESP peur assurer au choix un ou plusieurs des services suivants : Confidentialité des données et protection partielle contre l'analyse du trafic si l'on utilise le mode tunnel. Intégrité des données en mode non connecté et authentification de l'origine des données, protection partielle contre le re-jeu. Contrairement à AH, ou l'on se contenter d'ajouter un en-tête supplémentaire au paquet IP, ESP fonctionne suivant le principe de l'encapsulation : les données originales sont chiffrées puis en capsulées.

Encapsulating Security Playload ESP Mode tunnel En tête TCP Données Final ESP Chiffrement ESP En tête IP Authentification IP Mode transport En tête TCP Données Final ESP Chiffrement IP En tête ESP Authentification En tête IP En tête TCP Données

Avantages et inconvénients d'IPSec Modèle de sécurité flexible et non exhaustif basé sur une boîte à outils modulaire Possibilité d'instaurer plusieurs crans de sécurité : chiffrement faible ou fort et/ou authentification Services de sécurité totalement transparents pour les applications Inconvénients Mécanismes de sécurité trop nombreux, engendrant un système complexe IPsec interdit la translation d'adresses (Network Address Translation) L'interaction du protocole IKE avec les infrastructures à clé publique (PKI) est possible mais il reste à normaliser