easy-rezo
  • Accueil
  • Réseau

Introduction à IPsec

Définition

IPsec (Internet Protocol security) est un framework (et non pas un protocole) les plus utilisés pour réalisés des réseaux VPN (virtual private network).

Il a été développé avec IPv6 dans le but de combler au manque de IPv4. En effet ce protocole n’offre pas d’authentification ( on est jamais réellement sûr et certain de s’adresser à la bonne personne).

IPv6 ayant du chemin à parcourir pour se démocratiser, IPsec a été implémenté comme une sur couche à IP).

Il offre donc les fonctionnalités suivantes :

  • Authentification (non répudiation)
  • Chiffrement
  • intégrité
  • … et parfois anti rejeu (le fait de ne pas pouvoir refaire la même information dans une même communication)
Comme je le disais plus haut, IPsec est un framework (une base de travail, une bibliothèque, etc …) qui va intégré des outils chiffrements et des protocoles de communication.
Protocole :
Avec IP v4, IPsec est transporté par IP avec comme valeur de protocoles d’entête 50 et 51.
Ces protocoles de niveau 3 du modèle OSI sont :
  • Protocole 50 : ESP (Encapsulation Security payload) qui fournit de l’intégrité, chiffrement et authentification (RFC 2406)
  • Protocole 51 : AH (Authentication Header) qui fournit de l’intégrité et de l’authentification (le nom est suffisamment parlant) (RFC 2402)
Nous étudierons en profondeur l’entête de ces protocoles.
Nous verrons tout particulièrement ESP qui est largement le plus utilisé (principalement pour le chiffrement) et de ces deux modes de fonctionnement.
Nous verrons également que le NAT peut être problématique

Chiffrement

Ipsec fournit un chiffrement symétrique des données. Cela permet de faire transiter des données de manière protégée à travers un réseau non sécurisé.

Les algorithmes de chiffrement seront naturellement DES, 3DES, AES etc …

Nous n’étudierons pas les algorithmes, nous ne sommes pas dans un cours de maths

Intégrité

Pour rappel, l’intégrité est une manière d’assurer au destinataire que les données n’ont pas été modifié (involontaire ou pas …).

Les algorithmes seront tout comme SSL, MD5 et SHA-1 (SHA-128 … etc).

Nous ne sommes toujours pas un cours de maths mais nous verrons juste le grand principe de l’intégrité (hache).

Authentification

IPsec permet donc de chiffrer les données mais rien ne dit que vous n’échangez pas des données avec un tiers indésirable. C’est la principal faiblesse de IPv6.

Nous ne sommes jamais à l’abri d’une redirection DNS (DNS cache poisoning) , d’une manipulation d’une table de routage via un routeur corrompu ou plus simplement d’un petit malin sur son propre réseau LAN qui va écouter un trafic via diverses techniques (port mirroring sur un switch corrompu, ARP cache poisoning, HUB ethernet etc …).

L’authentification va nous permettre d’être sûr et certain de “parler” avec le bon destinataire.

L’authentification est réalisée par des algorithmes comme HMAC-md5 ou HMAC-SHA qui reposent sur les signatures digitales. Un message haché est combiné par une clef.

Négociation

Si j’ai bien suivi jusque là, IPsec va nous fournir une sorte de tunnel sécurisé entre deux personnes. Ce tunnel va nous permettre de casser toute tentative de “man in the middle” …

Oui le petit malin boutonneux (ou pas) qui veut absolument lire vos documents échangés à votre agence.

Avant d’en arriver à ce résultat, un processus assez lourd va être enclenché afin de :

  • Négocier les protocoles et algorithmes de chiffrement et d’intégrité (hache)
  • Méthode d’authentification
  • durée de vie du tunnel
Le dernier point peut soulever quelques interrogations …
Il faut savoir que la seul chose qui rend efficace les algorithmes de chiffrement, c’est :
  • La longueur de la clef de chiffrement
  • La durée de vie de cette même clef.
Une nouvelle clef de chiffrement nécessite une nouvelle négociation ce qui est consommateur de ressource.
Il faut faire un compromis entre :
  • Sécurité via une durée de vie courte
  • Performance via une durée de vie longue
Se sont des considérations qui ont un réel sens principalement lorsqu’un équipement va devoir agréger beaucoup de tunnel.
Note du Rédacteur
De loin, IPsec peut sembler compliqué et ressembler à une usine à gaz …
Ayant moi même lu et subi des explications un peu douteuse sur le sujet je peux vous dire que l’apprentissage “peut” ne pas se faire sans mal …
IPsec n’est pas spécialement compliqué. Certe, il utilise une méthode complexe de négociation et fait appel a des notions de chiffrement et d’authentification.
Pour autant, si vous prenez le problème par le bon bout, il n’y a pas de raison de ne pas y arriver.
Tout au long de mes articles, je vais tenter d’être le plus cohérent possible en mettant le plus possible un contexte sur chaque problématique.
Une notion sur les types de chiffrement est évidemment un plus.
Bonne lecture à vous

  • Pages

    • Réseau
      • Introduction à IPsec
        • Protocole
        • Négociation
        • Application
      • Introduction à SSL/TLS et HTTPS
        • Fonctionnalité de HTTPS
        • Mécanisme de SSL
        • Chiffrement
        • Certificat
        • Condensé (hache)
        • Application
      • Introduction au WI-FI
        • Mode de fonctionnement
        • Mode Infrastructure
        • Couche Liaison de données
        • Recettage de wifi pré N selon Apple

  • Blogoliste

    • http://thomasgallinari.e3b.org
Copyright © 2010 easy-rezo All Rights Reserved
RSS XHTML CSS Connexion
Wp Theme by n Graphic Design
Powered by Wordpress