Vous êtes ici : Accueil Glossaire / IPSec

Bienvenue chez IPSec

Mode de fonctionnement

¨ IPSEC (Internet Protocol Security) est une suite de protocoles normalisés par l’IETF qui fournit des services de sécurisation des données au niveau de la couche réseau. Il présente l’avantage d’être à la fois commun aux normes Ipv4 et Ipv6.

Il assure les services ci-dessous :
-          confidentialité : service qui consiste à rendre impossible l’interprétation de données si on n’en est pas le destinataire. C’est la fonction de chiffrement qui assure ce service en transformant des données intelligibles (en clair) en données inintelligibles (chiffrées).
-          authentification : service qui permet de s’assurer qu’une donnée provient bien de l’origine de laquelle elle est censée provenir.
-          intégrité : service qui consiste à s’assurer qu’une donnée n’a pas été altérée accidentellement ou frauduleusement.
-          protection contre le rejeu : service qui permet d’empêcher les attaques consistant à envoyer de nouveau un paquet valide intercepté précédemment sur le réseau pour obtenir la même autorisation que ce paquet à entrer dans le réseau. Ce service est assuré par la présence d’un numéro de séquence.
-          gestion des clés : mécanisme de négociation de la longueur des clés de chiffrement entre deux éléments IPSEC et d’échange de ces clés.

IPSEC fait appel à deux mécanismes de sécurité pour le trafic IP :

ð           AH (Authentification Header).

ð           ESP (Encapsulation Security Payload)

Le but du protocole AH est de remettre au destinataire final un message possédant une identification sécurisée.

·         AH : Le protocole AH assure l’intégrité des données en mode non connecté et l’authentification de l’origine des datagrammes IP sans chiffrement des données . Son principe est d’ajouter un bloc au datagramme IP. Une partie de ce bloc servira à l’authentification, tandis qu’une autre partie, contenant un numéro de séquence, assurera la protection contre le rejeu.
ð           AH est approprié lorsque la confidentialité n’est pas requise ou n’est pas permise.

·         ESP : Le protocole ESP assure, en plus des fonctions réalisées par AH, la confidentialité des données et la protection partielle contre l’analyse du trafic, dans le cas du mode tunnel. C’est pour ces raisons que ce protocole est le plus largement employé.

Le mécanisme est différent de celui de AH. En effet, ce protocole utilise les mécanismes d’encapsulation et de chiffrement des données.

La technologie IPSEC présente deux modes de fonctionnement qui sont :

ð           le mode « transport »

ð           le mode « tunnel ».

Dans le cas du mode transport, les données sont prises au niveau de la couche 4 du modèle OSI (couche transport). Elles sont cryptées et signées avant d’être transmise à la couche IP. Ce mode est relativement facile à mettre en œuvre.

Le défaut présenté par le mode transport, et que, étant donné que le mécanisme s’applique au niveau de la couche transport, il n’y a pas de masquage d’adresse. C’est pourquoi un deuxième mode peut être mis en œuvre, le mode tunnel, dans lequel l’encapsulation Ipsec a lieu après que les données envoyées par l’application est traversé la pile de protocole jusqu’à la couche IP incluses. Dans ce cas, il y a bien masquage des adresses.

 

 

La description suivante est imagée pour permettre une meilleur compréhension et saisir le principe

"IPSec, C'est tout comme".

Souvent les technologies sont décrites dans un langage obscure.
Il n'est pas évident de s'y retrouver dans ces dédales de termes et démonstrations scientifiques, bref de comprendre simplement le fonctionnement d'un service, d'un matériel....

Dans les explications qui suivent, nous essayerons de faire une analogie avec  notre quotidien.
L'objectif est de transposer les connaissances acquises de notre environnement au fonctionnement des mécanismes employés dans les télécommunications.

Les protocoles réseaux ou plus précisément le langage utilisé par les ordinateurs pour communiquer entre eux, ne datent pas d'hier. En effet, les concepteurs de IP (Internet Protocol = langage des réseaux) ont copié et adapté notre façon de dialoguer. Que ce soit dans sa forme parlée ou écrite.
Prenons l'exemple du protocole IP .

Pour comprendre le principe mis en œuvre, l’analogie avec le courrier postal est un bon moyen pour permettre de schématiser ces mécanismes.
Pour que les machines puissent correspondent, un langage est utilisé, c'est IP. 
IP est une règle qui permet d'envoyer des informations. On peut effectuer un parallèle avec la façon d'envoyer une lettre.

  • Tout d'abord, il faut rédiger un petit mot, un message, en télécommunication ceux sont des données ou data
  • Puis il faut adresser l'enveloppe, cela correspond à l'adresse IP destination.
  • Il est souhaitable d'indiquer l'adresse de l'expéditeur pour une réponse , cela équivaut à l'adresse IP source.
  • La missive ainsi faite s'appelle dans le jargon informatique un datagramme IP.

N'oubliez pas de l'affranchir avant de la poster.

 

Datagramme IP = lettre+ enveloppe

information de contrôle @ IP Source @ IP Destination Option IP

Données

 =

   

Dans la trame IP ci-dessus, il y a les adresses du destinataire et de l'émetteur, ainsi que les données à transmettre =  un petit mot et les adresses du destinataire et de l'expéditeur
 

 IPSec, c' too com

Maintenant que le courrier est expédié, êtes-vous sûr que durant son acheminement, personne ne décachettera l'enveloppe et lira votre prose?
C'est de même sur l'Internet, lorsque vos datagrammes (informations) sont partis, tout le monde peut les intercepter et les visualiser.

Que peux-t-on faire pour s'assurer que la lettre ne soit pas lue? Il y a plusieurs combinaisons de protection.

  • soit mettre un sceau sur la fermeture de l'enveloppe

  • soit mettre l'enveloppe dans une seconde enveloppe et appliquer le sceau

  • soit coder la lettre, puis la mettre dans les enveloppes et rajouter le sceau

  • soit.........

En télécommunication, nous avons également une multitude de possibilités: c'est  IPSec et ses protocoles (AH, ESP....) qui assurent ces différentes combinaisons pour protéger les données.
IPSec réalise entre autre:
-          l'authentification : pour s’assurer qu’une donnée provient bien de l’origine de laquelle elle est censée provenir.
-          l'intégrité : pour s’assurer qu’une donnée n’a pas été altérée accidentellement ou frauduleusement.
-          la confidentialité : pour rendre impossible l’interprétation de données si on n’en est pas le destinataire. C’est la fonction de chiffrement qui assure ce service en transformant des données intelligibles (en clair) en données inintelligibles (chiffrées).

Protocole AH en mode transport = Enveloppe scellée

information de contrôle @ IP Source @ IP Destination

Option IP

 AH

Données

 = +
AH adjoint au message, un bloc de données supplémentaire créé par un algorithme de scellement. 
Les données ne sont pas chiffrées
Dans le mode transport, les adresses ne sont pas masquées		 = Cela équivaut à un sceau infalsifiable permettant d'authentifier l'émetteur,  apposé sur l'ouverture de l'enveloppe originale.

Protocole AH en mode tunnel = double enveloppes scellées

Nouvelle @ IP Source  Nouvelle @ IP Destination AH

En-tête IP et  @dresses d'origines

Données

 =


+
AH adjoint au message, un bloc de données supplémentaire créé par un algorithme de scellement. 
Les données ne sont pas chiffrées
Dans le mode tunnel, l'en-tête IP et les adresses d'origines sont protégées		 = Cela correspond à glisser la première enveloppe dans une seconde possédant des nouvelles adresses
un sceau infalsifiable authentifiant l'émetteur, scelle l'ouverture de la dernière enveloppe.

Le protocole AH authentifie l'enveloppe et son contenu.
Il assure qu’une donnée provient bien de l’origine de laquelle elle est censée provenir.  
 

Protocole ESP en mode transport

En-tête IP et  @dresses d'origines

 En-tête ESP Données chiffrées Trailer ESP  Authen-
tification		 ~ +

Protocole ESP en mode tunnel

 

Suite

Cours de Cryptologie

Consultant en sécurité informatique