Télécharger la présentation
La présentation est en train de télécharger. S'il vous plaît, attendez
Publié parnoma nooom Modifié depuis plus de 6 années
1
1 IPSec : IP Security Protocole fournissant un mécanisme de sécurisation au niveau IP. RFC 2401 concernant IPSEC RFC 2402 concernant le mode AH (authentification) RFC 2406 concernant le mode ESP (chiffrement) RFC 2409 concernant IKE (Internet Key Exchange)
2
2 IPSec : intérêt et exemple d’application.
3
3 I.P. « routage » Http, telnet, ftp... « application » IPSEC: positionnement SSL IPSec:AH+ESP Https SMTP S/MIMEPGP TCP/UDP « déplacement de bout en bout » Liaison de Données Physique « déplacement de point en point »
4
4 IPSec : fonctionnalités IPSEC permet: - le chiffrement. - l ’authentification. - la gestion des clés. Mécanisme des « SA » (Security Association) permet une négociation préalable avant toute communication des algorithmes utilisés, au travers d ’un protocole distinct. (ex: IKE, ISAKMP …)
5
5 IPSEC: Fonctionnement 2 mécanismes de sécurité : - format AH : Authentification Header utilisé en cas de besoin d ’authentification et d’intégrité. - format ESP : Encapsulation Security Payload utilisé en cas de besoin de chiffrement (confidentialité).
6
6 IPSEC: Fonctionnement 2 modes de fonctionnement : - le mode tunnel (entete IP modifiée) - le mode transport (entête IP non modifiée) Ces 2 modes sont possibles aussi bien dans le cadre de l ’utilisation de AH que de ESP.
7
7 IPSEC : fonctionnement AH AH Données Entête IP Datagramme d ’origine Données Entête IP Mode Transport Authentifié (sauf champs variables d ’entête IP) Données Mode tunnel Entête IP AH Nouvel Entête IP Authentifié (sauf champs variables d ’entête IP)
8
8 IPSEC: fonctionnement ESP Données Entête IP Datagramme d ’origine Trailer ESPEntête IP chiffré Entête ESP Mode Transport Données Authen. authentifié Entête IPEntête ESPTrailer ESP Authen. Nouvel Entête IP chiffré authentifié Données Mode Tunnel
9
9 IPSec : les associations de sécurité (SA) SA = connexion de service, offrant des fonctionnalités de sécurité au traffic transporté. Les services fournis par une SA mettent en œuvre soit le protocole AH soit ESP, mais pas les deux. Si les deux protocoles doivent être appliqués à un flux, il faut créer deux SA. Une communication bi- directionnelle classique entraine l’ouverture de deux SA (une dans chaque sens)
10
10 IPSEC : le problème des clés. Notions mises en jeu : algorithmes asymétriques, hachage (MD5), certificats X509, infrastructures de gestion de clés… 2 solutions: - gestion manuelle des clés + négociation des SA. - gestion de P.K.I. (I.C.P) + négociation des SA. Protocole ISAKMP (Internet Security Association and Key Management Protocol) transport UDP port 500 + protocole IKE (Internet Key Exchange)
11
11 IPSEc : gestion des clés ? Le terme “gestion” englobe: - la génération des clés. - la distribution des clés. - le stockage des clés. - la révocation des clés. - la destruction des clés.
12
12 IPSec : Synoptique
13
13 IPSec: le protocole ISAKMP (1) ISAKMP permet: - la négociation, - l’établissement, - la modification, - la suppression des SA et de leurs attributs. La négociation est indépendante du protocole de sécurité utilisé. Les Paramètres négociés sont décrits dans un “domain of interpretation” (DOI).
14
14 IPSec: le protocole ISAKMP (2) ISAKMP procède en 2 étapes: -création d’une première SA “ISAKMP” permettant ensuite d’assurer la sécurité des négociations. - création d’une SA pour le compte d’un protocole de sécurité, par exemple IPSec. ISAKMP est en fait un “toolkit” permettant de négocier une SA selon des directives “DOI”. Cela permet d’employer ISAKMP pour d’autres protocoles que IPSec.
15
15 IP IPSec : le protocole ISAKMP (3) IKE ISAKMP UDP (1) ISAKMP SA (2) IPSec SA Tunnel IKE bi-directionnel IPSec
16
16 IPSec : le protocole IKE IKE (Internet Key Exchange) est un système développé spécifiquement pour IPsec qui vise à fournir des mécanismes d’authentification et d’échange de clef adaptés à l’ensemble des situations qui peuvent se présenter sur l’Internet. Il est composé de plusieurs éléments : le cadre générique ISAKMP et une partie des protocoles Oakley et SKEME. Lorsqu'il est utilisé pour IPsec, IKE est de plus complété par un “domaine d'interprétation” pour IPsec.
Présentations similaires
© 2024 SlidePlayer.fr Inc.
All rights reserved.