IPSec Formation

Sécurité et IP IPv4 La version 4 du protocole Internet (IPv4) est celle utilisée par la majorité des routeurs actuels. Elle n'offre pas de sécurité : Contrôle d'authentification Chiffrement….. Son mode de fonctionnement conduit à la mise en place de routeurs filtrants (firewalls). La refonte de ce protocole en IPnG (IP next Generation) ou IPv6 a pris en compte cette spécificité en intégrant des facilités d'authentification et de confidentialité (IPSec).

Sécurité et IP IPsec : architecture sécurisée pour IP IPsec fournit : Permet de sécuriser les échanges sur un réseau TCP/IP au niveau réseau Commun à IPv4 et IPv6 Exemple d'utilisation : VPN, accès distant, . . . . IPsec fournit : Confidentialité et protection contre l'analyse du trafic Authentification des données (et de leur origine) Intégrité des données (en mode connecté) Contrôle d'accès

Application (FTP, Telnet, SNMP, . . . IPsec Architecture protocolaire : Application (FTP, Telnet, SNMP, . . . Transport (TCP, UDP) IPsec Nouvelles Implémentations IPv4 (intégrant Ipsec) IPv6 (intégrant Ipsec) Implémentations IPv4 existantes IP Physique (Ethernet, . . . )

Sécurité et IP Vers Hlen Service type Total lenght IDENTIFICATION F Rappel architecture IPv4 Vers Hlen Service type Total lenght IDENTIFICATION F Fragment offset TTL Protocol Header checksum @ source @ destination options

@ destination (16 octets) Sécurité et IP Architecture IPv6 En tête de base En tête d'extension 1 d'extension 2 d'extension n Classe trafic @ source (16 octets) @ destination (16 octets) Vers Etiquette de flux Lg charge utile Limite En tête suivante

Sécurité et IP IPsec fournit : Confidentialité et protection Authentification des données (et de leur origine) Intégrité des données Le support de ces facilités est obligatoire dans la version 6 du protocole IP et sont implantées comme des en-têtes d'extension à la suite de l'en-tête IP principal. Deux en-tête : En-tête d'extension d'authentification (Authentification Header : AH) En-tête d'extension de confidentialité (Encapsulating Security Playload Header : ESP)

Sécurité et IP En tête de base Données utilisateurs Architecture IPv6 En tête de base En tête d'extension AH En tête d'extension ESP Données utilisateurs Données d'authentification Numéro de séquence Paramètres de sécurité Réservé Lg AH Type du prochain en-tête Données d'authentification Type du prochain en-tête Taille bourrage Bourrage Données protégées par chiffrement Numéro de séquence Paramètres de sécurité

Sécurité et IP IPSec en mode transport IPSec en mode tunnel En tête IP Deux modes : En tête IP En tête IPSec En tête TCP Données IPSec en mode transport En tête IP En tête IPSec En tête TCP Données IPSec en mode tunnel

Authentification Header AH Cette transformation authentifie, protége en intégrité les datagrammes IP et assure une protection anti-replay (chaque paquet est numéroté par le champ "Sequence Number" de l'en-tête AH), et les paquets rejoués ne sont pas pris en compte. L'authentification est basé sur l'utilisation d'un code d'authentification de message ou MAC (Message Autentication Code). Elle n'apporte pas confidentialité mais assure une parade aux attaques basés sur le leurre d'adresse IP (IP Spoofing) et sue celles utilisant le re-jeu de paquets IP (replay attack)

Authentification Header AH Mode transport En tête IP En tête AH En tête TCP Données Authentification En tête IPSec Mode tunnel En tête IP En tête AH En tête TCP Données Authentification En tête IP En tête TCP Données

Encapsulating Security Playload ESP ESP peur assurer au choix un ou plusieurs des services suivants : Confidentialité des données et protection partielle contre l'analyse du trafic si l'on utilise le mode tunnel. Intégrité des données en mode non connecté et authentification de l'origine des données, protection partielle contre le re-jeu. Contrairement à AH, ou l'on se contenter d'ajouter un en-tête supplémentaire au paquet IP, ESP fonctionne suivant le principe de l'encapsulation : les données originales sont chiffrées puis en capsulées.

Encapsulating Security Playload ESP Mode tunnel En tête TCP Données Final ESP Chiffrement ESP En tête IP Authentification IP Mode transport En tête TCP Données Final ESP Chiffrement IP En tête ESP Authentification En tête IP En tête TCP Données

Avantages et inconvénients d'IPSec Modèle de sécurité flexible et non exhaustif basé sur une boîte à outils modulaire Possibilité d'instaurer plusieurs crans de sécurité : chiffrement faible ou fort et/ou authentification Services de sécurité totalement transparents pour les applications Inconvénients Mécanismes de sécurité trop nombreux, engendrant un système complexe IPsec interdit la translation d'adresses (Network Address Translation) L'interaction du protocole IKE avec les infrastructures à clé publique (PKI) est possible mais il reste à normaliser