LE PROTOCOLE IPSec |
IPSec (Internet Protocole Security) est un protocole de niveau 3. Il est très utilisé lors de la création de réseaux privés virtuels, et pour la sécurisation des accès distants à un intranet. Les services IPSec sont basés sur des mécanismes cryptographiques qui leur confèrent un niveau de sécurité élevé. La sécurisation se faisant au niveau IP, IPSec peut être mis en oeuvre sur tous les équipements du réseau et fournir un moyen de protection unique pour les échanges de données.
IPSec se présente sous la forme
d'une norme développée par un groupe de travail de l'IETF. Une
première version est apparu en août 1995 (RFC 1825 à 1829).
Une seconde version comportant en plus un système de gestion
dynamique des paramètres de sécurité a été publiée en
novembre 1998 (RFC 2401 à 2411).
IPSec s'insère dans la pile de protocoles TCP/IP au niveau d'IP.
Ceci présente l'avantage de le rendre exploitable par les
niveaux supérieurs, et en particulier, d'offrir un moyen de
protection unique pour toutes les applications. En d'autres
termes, là où d'autres systèmes sécurisent les applications
au cas par cas, IPSec sécurise le réseau sous-jacent. Cette
approche n'est pas exempte de contraintes, notamment des
problèmes de performances et la difficulté de pouvoir
distinguer les différents flux avec précision.
Les services de sécurités
fournis par IPSec sont:
* la confidentialité: chiffrement des données et des en-têtes,
algorithme de chiffrement paramétrable (DES ou triple DES)
* l'authentification et l'intégrité des données: ajout d'un
champ MAC, la méthode de génération de MAC est paramétrable
* la protection contre le rejeu: ajout d'un numéro de séquence
qui est protégé en intégrité par le MAC
* le contrôle d'accès.
IPSec permet la création de réseaux virtuels privés entre différents réseaux privés séparés par un réseau non fiable comme Internet. Les matériels impliqués sont les passerelles de sécurités des différents réseaux (routeurs, boitiers dédiés). Cette configuration nécessite l'installation et la configuration d'IPSec sur chacun de ces équipements afin de protéger les échanges de données entre les différents sites. Pour des connexions nomades (employés itinérants) les matériels impliqués sont les portes d'entrées du réseau (serveur d'accés distants, liaison internet) et les machines utilisées par les employés (ordinateur portable).
IPSec s'appuie sur 2 protocoles AH
et ESP utilisés seuls ou en commum. Ces deux protocoles sont
décrits dans les pages suivantes.
Il existe deux modes de protection IPSec:
LE MODE TRANSPORT: seuls certains champs sont protégés
LE MODE TUNNEL: la protection est appliquée à un tunnel IP. Tous les champs du paquet IP sont protégés avant d'être encapsulés dans un autre paquet IP.